GİRİŞ
Amaç
İşbu Kişisel Verileri Saklama ve İmha Politikası (“Politika ESER AYDOĞDU BİLGE(“ESER AYDOĞDU BİLGE”) tarafından gerçekleştirilmekte olan saklama ve imha faaliyetlerine ilişkin iş ve işlemler konusunda usul ve esasları belirlemek amacıyla hazırlanmıştır.
ESER AYDOĞDU BİLGE; misyon, vizyon ve temel ilkeler doğrultusunda; ESER AYDOĞDU BİLGE çalışanları, çalışan adayları, stajyerleri, şirket ortakları, gerçek kişi tedarikçiler ve diğer üçüncü kişilere ait kişisel verilerin T.C. Anayasası, uluslararası sözleşmeler, 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) ve diğer ilgili mevzuata uygun olarak işlenmesini ve ilgili kişilerin haklarını etkin bir şekilde kullanmasının sağlanmasını öncelik olarak belirlemiştir.
Kişisel verilerin saklanması ve imhasına ilişkin iş ve işlemler, ESER AYDOĞDU BİLGE tarafından bu doğrultuda hazırlanmış olan Politikaya uygun olarak gerçekleştirilir.
Kapsam
ESER AYDOĞDU BİLGE çalışanları, çalışan adayları, şirket ortakları, gerçek kişi tedarikçiler ve diğer üçüncü kişilere ait kişisel veriler bu Politika kapsamında olup ESER AYDOĞDU BİLGE’nin sahip olduğu ya da ESER AYDOĞDU BİLGE tarafından yönetilen kişisel verilerin işlendiği tüm kayıt ortamları ve kişisel veri işlenmesine yönelik faaliyetlerde bu Politika uygulanır.
Tanımlar ve Kısaltmalar
Alıcı Grubu : |
Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisi.
|
Açık Rıza : |
Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.
|
Anonim Hale Getirme : |
Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi.
|
Çalışan :
Stajyer :
Çalışan Adayı : |
ESER AYDOĞDU BİLGE personeli
ESER AYDOĞDU BİLGE de eğitim amacıyla mesleki çalışma gösteren gerçek kişileri ifade eder.
ESER AYDOĞDU BİLGE’nin hali hazırda istihdam ettiği kişilerden olmayan ve ESER AYDOĞDU BİLGE’ye özgeçmiş ve/veya iş başvurularında gönderilmesi mutad olan diğer evrakları, ESER AYDOĞDU BİLGE ile iş akdi yapmak maksadıyla herhangi bir şekilde, doğrudan veya aracılar vasıtasıyla gönderen tüm gerçek kişileri ifade eder.
|
Elektronik Ortam : |
Kişisel verilerin elektronik aygıtlar ile oluşturulabildiği, okunabildiği, değiştirilebildiği ve yazılabildiği ortamlar.
|
İlgili Kişi :
|
Kişisel verisi işlenen gerçek kişi. |
İlgili Kullanıcı : |
Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişiler.
|
İmha : |
Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi.
|
Kanun : |
6698 Sayılı Kişisel Verilerin Korunması Kanunu.
|
Kayıt Ortamı : |
Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam.
|
Kişisel Veri : |
Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.
|
Kişisel Veri İşleme Envanteri :
|
Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter.
|
Kişisel Verilerin İşlenmesi : |
Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, saklanması, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.
|
Kurul : |
Kişisel Verileri Koruma Kurulu |
Özel Nitelikli Kişisel Veri : |
Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri.
|
|
|
Politika : |
Kişisel Verileri Saklama ve İmha Politikası
|
Veri İşleyen : |
Veri sorumlusunun verdiği yetkiye dayanarak veri sorumlusu adına kişisel verileri işleyen gerçek veya tüzel kişi.
|
Veri Güvenliği Sorumlusu :
Veri Sorumlusu : |
Şirket tarafından Veri Güvenli Sorumlusu sıfatıyla işbu Politikada yer alan fonksiyonları yerine getirmek üzere seçilen gerçek kişiyi ifade eder.
Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasında ve yönetilmesinden sorumlu gerçek veya tüzel kişi.
|
Yönetmelik : |
28 Ekim 2017 tarihli Resmi Gazetede yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik
|
Kayıt Ortamları
Kişisel veriler, ESER AYDOĞDU BİLGE tarafından Tablo 2’de listelenen ortamlarda hukuka uygun olarak
güvenli bir şekilde saklanır.
Tablo 2: Kişisel veri saklama ortamları
Elektronik Ortamlar |
Elektronik Olmayan Ortamlar |
· Sunucular (Etki alanı, yedekleme, e-posta, veritabanı, web, dosya paylaşım, vb.)
· Yazılımlar (ofis yazılımları)
|
· Kağıt · Manuel veri kayıt sistemleri · Yazılı, basılı, görsel ortamlar |
Saklama ve İmhaya İlişkin Açıklamalar
ESER AYDOĞDU BİLGE tarafından; çalışanlar, çalışan adayları, gerçek kişi tedarikçilere ilişkin olarak ilişkide bulunulan üçüncü kişilerin, kurumların veya kuruluşların çalışanlarına ait kişisel veriler Kanuna uygun olarak saklanır ve imha edilir.
Bu kapsamda saklama ve imhaya ilişkin detaylı açıklamalara aşağıda sırasıyla yer verilmiştir.
Saklamaya İlişkin Açıklamalar
Kanunun 3 üncü maddesinde kişisel verilerin işlenmesi kavramı tanımlanmış, 4 üncü maddesinde işlenen kişisel verinin işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli süre kadar muhafaza edilmesi gerektiği belirtilmiş, 5 ve 6 ncı maddelerde ise kişisel verilerin işleme şartları sayılmıştır.
Buna göre, şirketimiz faaliyetleri çerçevesinde kişisel veriler, ilgili mevzuatta öngörülen veya işleme amaçlarımıza uygun süre kadar saklanır.
Saklamayı Gerektiren Hukuki Sebepler
ESER AYDOĞDU BİLGE’nin şirket faaliyetleri çerçevesinde işlenen kişisel veriler, ilgili mevzuatta öngörülen süre kadar muhafaza edilir. Bu kapsamda kişisel veriler;
6698 sayılı Kişisel Verilerin Korunması Kanunu,
6102 sayılı Türk Ticaret Kanunu
5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu,
6331 sayılı İş Sağlığı ve Güvenliği Kanunu,
4857 sayılı İş Kanunu,
Bu kanunlar uyarınca yürürlükte olan diğer ikincil düzenlemeler çerçevesinde öngörülen saklama süreleri kadar saklanmaktadır
Saklamayı Gerektiren İşleme Amaçları
Ana Amaçlar |
Alt Amaçlar (İkincil Amaçlar) |
ESER AYDOĞDU BİLGE Şirketinin Genel Yönetimi |
Şirket Yönetim Faaliyetlerin Planlanması ve İcrası Şirket içi İletişim Faaliyetlerinin Planlanması ve İcrası Şirketin Finansmanı ve/veya Muhasebe İşlerinin Takibi Kurumsal Sürdürülebilirlik Faaliyetlerin Planlanması ve İcrası Şirketler ve Ortaklık Hukuku İşlemlerinin Gerçekleştirilmesi Finansal ve İdari Planlamaların Yapılması
|
Şirket'in İnsan Kaynakları Politikaları ve Süreçlerinin Planlanması ve İcra Edilmesi
|
Personel Temin Süreçlerinin Yönetilmesi |
Şirket Tarafından Yürütülen Ticari Faaliyetlerin Gerçekleştirilmesi İçin İlgili İş Birimlerimiz Tarafından Gerekli Çalışmaların Yapılması ve Buna Bağlı İş Süreçlerinin Yürütülmesi
|
Kurumsal İletişim Faaliyetlerinin Planlanması ve İcrası Bilgi Güvenliği Süreçlerinin Planlanması, Denetimi ve İcrası Bilgi Teknolojileri Alt Yapısının Oluşturulması ve Yönetilmesi Finans ve/veya Muhasebe İşlerinin Takibi Kurumsal Sürdürülebilirlik Faaliyetlerin Planlanması ve İcrası İş Faaliyetlerinin Etkinlik/Verimlilik ve/veya Yerindelik Analizlerinin Gerçekleştirilmesi Faaliyetlerinin Planlanması ve/veya İcrası İş Sürekliliğinin Sağlanması Faaliyetlerinin Planlanması ve/veya İcrası Etkinlik Yönetimi
|
Şirket'in Ticari ve/veya İş Stratejilerinin Planlanması ve İcrası |
ESER AYDOĞDU BİLGE’nin Tarafı Olduğu Sözleşmeler ve/veya Mevzuattan Kaynaklı Yükümlülüklerini Yerine Getirmesi Ürün ve/veya Hizmetlerin Satış Süreçlerinin Planlanması ve İcrası ESER AYDOĞDU BİLGE’nin Sunduğu Ürün ve/veya Hizmetlerin Usulune Uygun ve Düzgün Bir Şekilde Sunulması İş Ortakları ve/veya Tedarikçilerle Olan İlişkilerin Yönetimi Stratejik Planlama Faaliyetlerinin İcrası İş Ortakları ve/veya Tedarikçilerin Bilgiye Erişim Yetkilerinin Planlanması ve İcrası Müşteri İlişkileri Yönetimi Süreçlerinin Planlanması ve İcrası Müşteri Talep ve/veya Şikayetlerinin Takibi Şirketin Sunduğu Ürün ve/veya Hizmet Sonrası Destek Hizmetleri Aktivitelerinin Planlanması ve/veya İcrası Şirketin Finansal Risk Süreçlerinin Planlanması ve/veya İcrası Şirketin Sunduğu Ürün ve/veya Hizmetlere Bağlılık Oluşturulması ve/veya Arttırılması Süreçlerinin Planlanması ve/veya İcrası Şirketin Üretim ve/veya Operasyonel Risk Süreçlerinin Planlanması ve/veya İcrası Sözleşme Süreçlerinin ve/veya Hukuki Taleplerin Takibi Üretim ve/veya Operasyon Süreçlerinin Planlanması ve İcrası Ürün ve Hizmetlerin Satış ve Pazarlaması İçin Pazar Araştırması Faaliyetlerinin Planlanması ve İcrası Ürün ve/veya Hizmetlerin Pazarlama Süreçlerinin Planlanması ve İcrası Hizmetlere ve Ürünlere Yönelik Tanıtım, Pazarlama, Promosyon Ve Kampanya Faaliyetlerinin Yapılması,
|
ESER AYDOĞDU BİLGE İnsan Kaynakları Politikaları ve Süreçlerinin Planlanması ve İcrası
|
ESER AYDOĞDU BİLGE Şirket Çalışanları/Stajyerleri İçin İş Akdi ve/veya Mevzuattan Kaynaklı Yükümlülüklerin Yerine Getirilmesi Çalışan/Stajyer Talep ve Şikayet Yönetimi ESER AYDOĞDU BİLGE Ücret Yönetimine İlişkin Analiz ve İyileştirme Faaliyetlerinin Planlanması ESER AYDOĞDU BİLGE Çalışanlarına/Stajyerlerine Yan Hak ve Menfaat Sağlanması Süreçlerinin Planlanması ve Destek Olunması ESER AYDOĞDU BİLGE Çalışanlarının/Stajyerlerinin Ücret Yönetiminin Planlanması Faaliyetlerine Destek Olunması ESER AYDOĞDU BİLGE Çalışanlarının/Stajyerlerinin Eğitim ve Kariyer Gelişimlerine İlişkin Süreçlerin Planlanması ve Destek Verilmesi ESER AYDOĞDU BİLGE Çalışanlarının/Stajyerlerinin Memnuniyet ve Bağlılığının Artırılmasına Yönelik Süreçlerin Planlanması ve Yönetilmesi ESER AYDOĞDU BİLGE nezdinde Stajyer ve/veya Öğrenci Temin, Yerleştirilmesi ve Operasyon Süreçlerinin Planlanması ve/veya İcrası ESER AYDOĞDU BİLGE Çalışanların Bilgiye Erişim Yetkilerinin Planlanması ve İcrası İş Sağlığı ve/veya Güvenliği Süreçlerinin Planlanması ve/veya İcrası
|
ESER AYDOĞDU BİLGE Stratejik İnsan Kaynakları Planlanması, Yedekleme Süreçleri ve Organizasyonel Gelişim Faaliyetleri Konusunda Destek Olunması
|
ESER AYDOĞDU BİLGE Çalışanlarının/Stajyerlerinin Performans Değerlendirilmelerine İlişkin Süreçlerin Yönetilmesi ESER AYDOĞDU BİLGE’nin Gelişim ve Yedekleme Planlamaları Faaliyetleri ESER AYDOĞDU BİLGE İçerisinde Personel ve Yöneticilerin Atama ve Terfi Süreçlerinin Yönetimine Destek Olunması |
ESER AYDOĞDU BİLGE Denetim Faaliyetlerinin Planlanması ve İcrası |
ESER AYDOĞDU BİLGE’nin Faaliyetlerinin Şirket Prosedürleri ve İlgili Mevzuata Uygun Olarak Yürütülmesinin Temini İçin Denetim Faaliyetlerinin Planlanması ve İcrası |
ESER AYDOĞDU BİLGE’nin ve ESER AYDOĞDU BİLGE’la İş İlişkisi İçerisinde Olan İlgili Kişilerin Hukuki, Teknik ve Ticari-İş Güvenliğinin Temin |
Hukuk İşlerinin Takibi Şirket Faaliyetlerinin Şirket Prosedürleri ve/veya İlgili Mevzuata Uygun Olarak Yürütülmesinin Temini İçin Gerekli Operasyonel Faaliyetlerinin Planlanması ve İcrası Şirket Demirbaşlarının ve/veya Kaynaklarının Güvenliğinin Temini Şirket Operasyonlarının Güvenliğinin Temini Yetkili Kuruluşlara Mevzuattan Kaynaklı Bilgi Verilmesi Şirketler ve Ortaklık Hukuku İşlemlerinin Gerçekleştirilmesi Verilerin Doğru ve Güncel Olmasının Sağlanması Şirket Yerleşkesinin Güvenliğinin Temini Şirket Denetim Faaliyetlerinin Planlanması ve İcrası İş Sağlığı ve/veya Güvenliği Süreçlerinin Planlanması ve/veya İcrası |
İmhayı Gerektiren Sebepler
Kişisel veriler;
İşlenmesine esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası,
İşlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,
Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin açık rızasını geri alması,
Kanunun 11 inci maddesi gereği ilgili kişinin hakları çerçevesinde kişisel verilerinin silinmesi ve yok edilmesine ilişkin yaptığı başvurunun Kurum tarafından kabul edilmesi,
ESER AYDOĞDU BİLGE’nin, ilgili kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabı yetersiz bulması veya Kanunda öngörülen süre içinde cevap vermemesi hallerinde; ilgili kişinin Kurula şikâyette bulunması ve bu talebin Kurul tarafından uygun bulunması,
Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olması ve kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması, durumlarında, ESER AYDOĞDU BİLGE tarafından ilgili kişinin talebi üzerine silinir, yok edilir ya da re’sen silinir, yok edilir veya anonim hale getirilir.
Teknik ve İdari Tedbirler
Kişisel verilerin güvenli bir şekilde saklanması, hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi ile kişisel verilerin hukuka uygun olarak imha edilmesi için Kanunun 12 nci maddesiyle Kanunun 6 ncı maddesi dördüncü fıkrası gereği özel nitelikli kişisel veriler için Kurul tarafından belirlenerek ilan edilen yeterli önlemler çerçevesinde ESER AYDOĞDU BİLGE tarafından teknik ve idari tedbirler alınır.
Özel Nitelikli Olmayan Kişisel Veriler
ESER AYDOĞDU BİLGE, Kişisel Verilerin korunması için teknik ve idari tedbirler almaktadır. Bu tedbirler aşağıdaki gibidir:
Teknik Tedbirler
Kişisel Veriler, eğer elektronik veri olarak saklanmaları gerekmekte ise, ESER AYDOĞDU BİLGE’nin merkezi veri tabanlarına ve/veya ESER AYDOĞDU BİLGE’nin bilgisayarlarına kayıt edilmeli ve Veri Güvenliği Sorumlusunun izni olmaksızın hiçbir koşulda taşınabilir harici depolama aygıtlarına, telefonlara, CD’lere ve doğrudan veya dolaylı olarak üzerine veri yazılması mümkün olan diğer cihazlara kayıt edilmemelidir. Kişisel Verilerin Veri Sorumlusunun yazılı izni ile taşınabilir harici depolama aygıtlarına, telefonlara, CD’lere ve doğrudan veya dolaylı olarak üzerine veri yazılması mümkün olan diğer cihazlara kaydedilmiş olması halinde bu veriler Veri Güvenliği Sorumlusunun talimatı üzerine söz konusu taşınabilir harici veri depolama aygıtlarından silinmeli ve silme işleminin gerçekleştirildiği veri sorumlusuna yazılı ve imzalı olarak teyit edilmelidir.
Kişisel Verileri içeren elektronik ortamlara uygun kötü amaçlı yazılımlara karşı virüs
koruma programları ve güvenlik duvarları kurulmalıdır.
Kişisel Verilerin muhafaza edildiği elektronik ortamlar en az üç ayda bir defa test
edilmeli, test sonuçları loglanmalıdır.
Kişisel Verilerin muhafaza edildiği elektronik ortamlarda mevcut olan; ancak ESER AYDOĞDU BİLGE
tarafından kullanılmayan yazılım ve servisler silinmelidir.
Kişisel Verilerin muhafaza edildiği elektronik ortamlara erişme yetkisi bulunan tüm
kullanıcıların işlem hareketi kayıtları düzenli olarak tutulmalı ve arşivlenmelidir.
Kişisel Veriler bulut ortamlarında muhafaza edilecekse, bulut ortamlarında muhafaza
edilecek kişisel veriler yedeklenmeli, kriptografik yöntemlerle şifrelenmeli ve bulut ortamına şifrelendikten sonra aktarılmalıdır. Bulut bilişim hizmet ilişkisi sona erdiğinde, şifreleme anahtarlarının tüm kopyaları imha edilmelidir.
Kişisel Verilerin muhafaza edildiği sistemin çökmesi, kötü niyetli, yazılım, servis dışı
bırakma saldırısı, eksik veya hatalı veri girişi, gizlilik ve bütünlüğü bozan ihlaller, bilişim sisteminin kötüye kullanılması gibi sistem güvenliği ihlallerinde, bu hadiselere ilişkin deliller toplanmalı ve güvenli bir şekilde saklanmalıdır.
Sızma (Penetrasyon) testleri ile ESER AYDOĞDU BİLGE bilişim sistemlerine yönelik risk, tehdit,
zafiyet ve varsa açıklıklar ortaya çıkarılarak gerekli önlemler alınmalıdır.
Bilgi güvenliği olay yönetimi ile gerçek zamanlı yapılan analizler sonucunda bilişim
sistemlerinin sürekliliğini etkileyecek riskler ve tehditler sürekli olarak izlenmelidir.
ESER AYDOĞDU BİLGE’nin bilişim sistemleri teçhizatı, yazılım ve verilerin fiziksel güvenliği için
gerekli önlemler alınmalıdır.
Elektronik ortamda muhafaza edilen Kişisel Veriler her üç ayda bir defa
yedeklenmelidir. Yedeklenen Kişisel Verilere erişim, yalnızca ESER AYDOĞDU BİLGE Yöneticilerine münhasır olmalı ve yedeği alınan veriler muhakkak ağ dışında muhafaza edilmelidir.
Elektronik ortamda muhafaza edilen Kişisel Verilerin kazara kaybolmasını
engellemek için uygun bir yedekleme programı kullanılmalı ve yedeklenen Kişisel Verileri içeren dosyalar kriptografi yöntemi ile şifrelenmelidir.
Kişisel Verileri ihtiva eden elektronik cihazların tamirinin veya bakımının gerekmesi
halinde, bu cihazlar tamir için gönderilmeden önce veri depolama ortamları sökülür ve ESER AYDOĞDU BİLGE’nin yerleşkesinde emniyete alınır.
Kişisel Verilere erişim yetkisi yalnızca ESER AYDOĞDU BİLGE Yöneticilerine ait olmalıdır. Kişisel
Verilere erişim yetkisi olan kimselerin kimliği halin icabına göre uygun kimlik doğrulama yöntemleri kullanılarak doğrulanmalıdır. Kimlik doğrulama yönteminin elektronik şifreler olması halinde, bu elektronik şifreler güçlü şifreler olmalıdır. Kullanıcılarının seçecekleri şifreler en az 6 karakterden oluşmalı, en az bir büyük harf, bir küçük harf bir de özel karakter (örneğin; &%@) içermelidir ve kullanıcılar şifrelerini kimse ile paylaşmamalıdır. Bu sistemlerin kaba kuvvet algoritması (BFA) veya benzeri siber saldırılardan korunması için şifre deneme sayısı sınırlı olmalı, belirli sayıda başarısız denemeden sonra söz konusu kullanıcının şifresi dondurulmalıdır.
Elektronik (e-mail ve diğer elektronik haberleşme yöntemleri dahil) veri transferleri
şifreli olarak gerçekleştirilmelidir.
Kişisel Verilerin depolandığı elektronik depolama aygıtlarının güvenliğini sağlamak
için söz konusu sistemlerin bakımları ve güvenlik güncelleştirmeleri düzenli olarak yapılmalı, yaptırılmalıdır.
Kişisel verilerin hukuka aykırı işlenmesini önlemeye yönelik riskler belirlenmekte, bu
risklere uygun teknik tedbirlerin alınması sağlanmakta ve alınan tedbirlere yönelik teknik
kontroller yapılmalıdır.
Kişisel Verilerin depolandığı elektronik sistemlerin güvenliği, ESER AYDOĞDU BİLGE tarafından
belirlenen periyotlarda test edilir ve Şirket tarafından gerekli görülmesi halinde, bu sistemlerin siber saldırılara karşı açıklarının bulunup bulunmadığı, ESER AYDOĞDU BİLGE Yöneticilerine raporlanır. Bu testlerin sonuçları Şirket tarafından kayıt altına alınır. Kişisel Verilerin depolandığı elektronik sistemlerin siber saldırılara karşı açıklarının bulunup bulunmadığının test edilmesinde iş birliği yapılacak üçüncü şahısların işbu Politika ve Kanun ile ikincil mevzuatına uymayı taahhüt etmesi şarttır.
Çevresel tehditlere karşı bilişim sistemleri güvenliğinin sağlanması için, donanımsal
(sistem odasına sadece yetkili personelin girişini sağlayan erişim kontrol sistemi, 7/24
çalışan izleme sistemi, yerel alan ağını oluşturan kenar anahtarların fiziksel güvenliğinin
sağlanması, yangın söndürme sistemi, iklimlendirme sistemi vb.) ve yazılımsal (güvenlik
duvarları, atak önleme sistemleri, ağ erişim kontrolü, zararlı yazılımları engelleyen
sistemler vb.) önlemler alınmalıdır.
Kişisel verilerin bulunduğu saklama alanlarına erişimler kayıt altına alınarak uygunsuz
erişimler veya erişim denemeleri kontrol altında tutulmalıdır.
ESER AYDOĞDU BİLGE, silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar
kullanılamaz olması için gerekli tedbirleri almalıdır.
ESER AYDOĞDU BİLGE, kişisel verilerin hukuka aykırı olarak başkaları tarafından elde edilmesi
halinde bu durumu ilgili kişiye ve Kurula bildirmek için Kurum tarafından buna uygun bir sistem ve altyapı oluşturmalıdır.
Güvenlik açıkları takip edilerek uygun güvenlik yamaları yüklenmekte ve bilgi
sistemleri güncel halde tutulmaktadır.
İdari Tedbirler
Kişisel Verilere erişim, yalnızca Kişisel Verilere erişme yetkisi, ESER AYDOĞDU BİLGE
Yöneticilerine münhasır olmalıdır.
Çalışanlara, işbu Politika ve Kanun uyarınca söz konusu olan yükümlülüklerine
ilişkin olarak düzenli eğitimler verilmeli ve ESER AYDOĞDU BİLGE ile aralarındaki iş ilişkisi sona erdikten sonra dahi ESER AYDOĞDU BİLGE nezdindeki görevlerini ifa ederken öğrendikleri Kişisel Verileri üçüncü şahıslara açıklamama yükümlülüğü altında oldukları hatırlatılmalıdır.
Çalışanlara, Kişisel Verileri hukuka aykırı olarak açıklamalarını önlemek, özellikle
kötü amaçlı yazılımlar vasıtasıyla veya dikkatsizlik ve tedbirsizlik ile Kişisel Verilerin hukuka aykırı olarak üçüncü şahısların eline geçmesini önlemek için farkındalık yaratıcı eğitimler verilmelidir.
Tüm Çalışanların, Kişisel Verilerin güvenliğine ilişkin rol ve sorumlulukları, görev
tanımlarında belirlenmeli ve Çalışanlara bu sorumlulukları yerine getirmeleri gerektiği hatırlatılmalıdır.
Kişisel Veriler, yalnızca gerekli olduğu hallerde kopyalanmalı ve gereklilik
ortadan kalktığı takdirde kopyalar Kişisel Verileri Saklama ve İmha Politikasına uygun şekilde imha edilmelidir.
Kişisel Verilerin saklandığı fiziksel ortamlarda uygun güvenlik önlemleri alınmak
suretiyle yetkisiz erişimlerin önüne geçilmelidir.
Üçüncü şahıslarla yapılan sözleşmelerde ESER AYDOĞDU BİLGE tarafından aktarılan Kişisel
Verilerin gizli tutulması ve bu üçüncü kişilerin söz konusu Kişisel Verilere ilişkin olarak ESER AYDOĞDU BİLGE’nin talimatlarına uygun hareket etmesine, Kişisel Verilerin muhafaza edilmesi için gerekli önlemleri almasına yönelik hükümler derç edilmelidir.
Kişisel Verilerin basılı kopyalarının üzerine kırmızı renkte ve rahatça görülebilir
büyüklükte “Gizlidir” damgası vurulmalı ve bu evraklar Kişisel Verilerin depolanmasına tahsis edilmiş bir dolapta veya kasada kilitli olarak tutulmalı ve bu dolabın veya kasanın anahtarı ve şifre kombinasyonu yalnızca Veri Sorumlusunda bulunmalıdır.
Kişisel Verilerin işlenmesine ilişkin süreçlerde görev alan Çalışanların görevleri
değiştiği veya işten ayrıldıkları takdirde, görevi değişen veya işten ayrılan Çalışan elinde bulunan tüm Kişisel Verileri ESER AYDOĞDU BİLGE’ye iade eder.
Kurum tarafından yürütülen faaliyetlere ilişkin çalışanlara gizlilik sözleşmeleri
imzalatılmalıdır.
Güvenlik politika ve prosedürlerine uymayan çalışanlara yönelik uygulanacak
disiplin prosedürü hazırlanmalıdır.
Kişisel veri işlemeye başlamadan önce Kurum tarafından, ilgili kişileri aydınlatma
yükümlülüğü yerine getirilmektedir.
Kişisel veri işleme envanteri hazırlanmıştır.
Şirket içi periyodik ve rastgele denetimler yapılmaktadır.
Çalışanlara yönelik bilgi güvenliği eğitimleri verilmektedir
İnsan Faktörü
Kişisel Verilerin güvenliğine ilişkin olarak insan faktöründen kaynaklanan riskleri azaltmak için Şirket, yürürlükteki mevzuata uygun şekilde, tüm Çalışan Adayları ve Çalışanları için geçmiş sorgulaması yapabilir. Çalışan Adaylarına ve Çalışanlara ilişkin olarak bu şekilde elde edilen bilgiler de işbu politikanın uygulanması bakımından Kişisel Veri sayılır.
Çalışan ile Şirket arasındaki hizmet akdinin herhangi bir sebeple sona ermesi halinde Çalışan, elinde bulunan tüm Kişisel Verileri Şirkete iade etmekle ve bu Kişisel Verileri iade ettikten sonra elinde başka herhangi bir Kişisel Veri kalmadığını yazılı olarak taahhüt etmekle yükümlüdür.
ESER AYDOĞDU BİLGE, Çalışanlarına, veri güvenliği ve kişisel verilerin korunmasına ilişkin olarak Şirket tarafından belirlenecek periyotlarda düzenli olarak eğitimler verir.
Veri Güvenliği Sorumlusu
ESER AYDOĞDU BİLGE, işbu Politikanın uygulanmasını gözetmesi için bir Veri Güvenliği Sorumlusu belirler. Veri Güvenliği Sorumlusu, Şirketin Kanun’un ve ikincil mevzuatının uygulanmasından dolayı taşıdığı hukuki ve cezai sorumluluğu üstlenmeksizin işbu politikada kendisine verilen görevleri ifa eder ve genel olarak Şirketin Kanun ve ikincil mevzuat hükümlerine uygun şekilde faaliyet göstermesi için görüş ve önerilerini paylaşır.
Özel Nitelikli Kişisel Veriler
Teknik Tedbirler
Özel Nitelikli Kişisel Verilerin korunmasına ilişkin olarak Özel Nitelikli Olmayan
Kişisel Verilerin korunmasına ilişkin olarak işbu Politika’da öngörülen tüm tedbirler uygulanır. İşbu 4.2.1 başlığında belirtilen tedbirler, 4.1.1 başlığında belirtilen teknik tedbirlere ek ve ilavedir.
Özel Nitelikli Kişisel Veriler, Özel Nitelikli Olmayan Kişisel Verilerden farklı
ortamlarda muhafaza edilir.
Özel Nitelikli Kişisel Verilerin muhafaza edildiği ve/veya erişildiği elektronik
ortamlarda Özel Nitelikli Kişisel Veriler, kriptografik yöntemler kullanılarak muhafaza edilir. Kullanılacak kriptografik yöntemin türünü ve niteliğini Veri Güvenliği Sorumlusu belirler.
Kriptografik anahtarlar farklı ve güvenli ortamlarda muhafaza edilir.
Özel Nitelikli Kişisel Veriler üzerinde gerçekleştirilen tüm hareketlerin işlem
kayıtları güvenli olarak loglanır.
Özel Nitelikli Kişisel Verilerin bulunduğu ortamlara ait güvenlik güncellemeleri
sürekli takip edilir, gerekli güvenlik testleri düzenli olarak yapılır/yaptırılır, test sonuçları kayıt altına alınır.
Özel Nitelikli Kişisel Verilere bir yazılım aracılığı ile erişilecekse bu yazılıma ait
kullanıcı yetkilendirmeleri yapılır, bu yazılımların güvenlik testleri düzenli olarak yapılır/yaptırılır ve test sonuçları kayıt altına alınır.
Özel Nitelikli Kişisel Verilere uzaktan erişim gerekiyorsa en az iki kademeli
kimlik doğrulama sistemi kullanılır.
Özel Nitelikli Kişisel Veriler elektronik posta aracılığı ile aktarılacaksa şifreli
olarak ESER AYDOĞDU BİLGE’nin kurumsal elektronik posta adresiyle veya Kayıtlı Elektronik Posta (KEP) hesabı kullanılarak aktarılır.
Özel Nitelikli Kişisel Verilerin taşınabilir bellek, CD, DVD gibi ortamlar yoluyla
aktarılması gerekiyorsa kriptografik yöntemlerle şifrelenir ve kriptografik anahtarlar farklı ortamlarda tutulur.
Özel Nitelikli Kişisel Veriler farklı fiziksel ortamlardaki sunucular arasında
aktarılacak ise, sunucular arasında VPN kurularak veya SFTP yöntemiyle veri aktarımı gerçekleştirilir.
Özel Nitelikli Kişisel Veri’nin kağıt ortamı yoluyla aktarımı gerekiyorsa evrakın
çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemler alınmakta ve evrak “gizli” formatta gönderilmektedir
Özel Nitelikli Kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği
fiziksel ortamların yeterli güvenlik önlemleri alınmakta, fiziksel güvenliği sağlanarak yetkisiz giriş çıkışlar engellenmektedir.
Özel Nitelikli Kişisel veri işleme süreçlerinde yer alan çalışanlara yönelik özel
nitelikli kişisel veri güvenliği konusunda eğitimler verilmiş, gizlilik sözleşmeleri yapılmış,
verilere erişim yetkisine sahip kullanıcıların yetkileri tanımlanmıştır.
İdari Tedbirler
Özel Nitelikli Kişisel Verilerin korunmasına ilişkin olarak Özel Nitelikli Olmayan Kişisel Verilerin korunmasına ilişkin olarak işbu Politika’da öngörülen tüm tedbirler uygulanır. İşbu 4.2.2 başlığında belirtilen tedbirler 4.1.2 başlığında belirtilen tedbirlere ek ve ilavedir.
ESER AYDOĞDU BİLGE Çalışanlarına, Özel Nitelikli Kişisel Verilerin hassasiyetine ve korunmasına ilişkin farkındalık yaratıcı eğitimler, ESER AYDOĞDU BİLGE Yöneticileri tarafından belirlenecek periyotlarda düzenli olarak verilir.
Özel Nitelikli Kişisel Verilerin işlenmesine ilişkin süreçlerde görev alan Çalışanlar ile bu verilerin korunmasına ilişkin gizlilik sözleşmeleri imzalanır.
Özel Nitelikli Kişisel Verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, fiziksel ortam ise, Özel Nitelikli Kişisel Verilere yetkisiz erişime ve bu verilerin kaybı riskine karşı yeterli önlemler alınır, özellikle, bu Özel Nitelikli Kişisel Verilerin muhafaza edildiği ortamlara yetkisiz giriş çıkış engellenir.
Özel Nitelikli Kişisel Verilerin kâğıt ortamı yolu ile aktarılması gerekirse, evrakın çalınması,