7. KİŞİSEL VERİLERİN GÜVENLİĞİNİN SAĞLANMASI
Şirket faaliyetleri kapsamında işlediğimiz kişisel verilerinizin ilgili mevzuata uygun olarak muhafaza edilmesi ve güvenliğinin sağlanması için gerekli görülen idari ve teknik tedbirler alınmaktadır. Bu doğrultuda veri ihlali, yetkisiz erişim, veri kaybı, verilerin izinsiz değiştirilmesi ve sair tehditlere karşı uygun teknolojik imkanlardan da yararlanılarak önlem alınmakta ve gerekli denetimler yapılmaktadır. Bütün bu önemlere ve tedbirlere rağmen bir veri ihlali söz konusu olursa, en geç 72 saat içerisinde durum ilgili kişilere ve Kişisel Verileri Koruma Kurumuna bildirilecektir.
Bu kapsamda, mevcut risk ve tehditleri tespit ediyor, çalışanlarımızı eğiterek farkındalık çalışmaları gerçekleştiriyor, kişisel veri güvenliğine ilişkin politika ve prosedürleri belirliyoruz. Şirketimiz tarafından Kanun’un 12. maddesi uyarınca “veri güvenliğini” sağlamaya yönelik alınan idari ve teknik tedbirler Politikanın 7.1. maddesinde belirtilmiştir.
7.1. KİŞİSEL VERİLERİN GÜVENLİĞİ İÇİN ALINAN İDARİ ve TEKNİK TEDBİRLER
Kişisel veri içeren bilgisayarların ağ güvenliği sağlanmaktadır.
Bulutta depolanan kişisel verilerin güvenliği sağlanmaktadır.
Çalışanlar için veri güvenliği konusunda belli aralıklarla eğitim ve farkındalık çalışmaları yapılmaktadır.
Kişisel verilere erişmeye yetkili kişiler belirlenmiş ve yetki matrisi oluşturulmuştur.
5651 sayılı kanuna uygun bir şekilde uygun erişim logları düzenli olarak tutulmaktadır.
Erişim, bilgi güvenliği, kullanım, saklama ve imha konularında kurumsal politikalar hazırlanmış ve uygulamaya başlanmıştır.
Gerektiğinde veri maskeleme önlemi uygulanmaktadır.
Kişisel verilerin aktarıldığı kurum ve kuruluşlarla gizlilik taahhütnameleri yapılmaktadır.
Görev değişikliği olan ya da işten ayrılan çalışanların kişisel verilere erişim yetkileri kaldırılmaktadır.
Güncel anti-virüs sistemleri ve güvenlik duvarları bulunmaktadır.
İmzalanan sözleşmeler veri güvenliği hükümleri içermektedir.
Kağıt yoluyla aktarılan kişisel veriler için ekstra güvenlik tedbirleri alınmakta ve ilgili evrak gizlilik dereceli belge formatında gönderilmektedir.
Kişisel veri güvenliği politika ve prosedürleri belirlenmiştir.
Kişisel veri güvenliği sorunları hızlı bir şekilde raporlanmaktadır.
Kişisel veri güvenliğinin takibi yapılmaktadır.
Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmaktadır.
Kişisel veri içeren ortamların güvenliği sağlanmaktadır.
Kişisel veriler mümkün olduğunca azaltılmaktadır.
Kullanıcı hesap yönetimi ve yetki kontrol sistemi uygulanmakta olup bunların takibi de yapılmaktadır.
Kurum içi periyodik ve/veya rastgele denetimler yapılmakta ve kişisel verilerin gizliliği sağlanıp sağlanmadığı kontrol edilmektedir.
Log kayıtları kullanıcı müdahalesi olmayacak şekilde tutulmaktadır.
Olası kişisel veri ihlallerine ilişkin risk ve tehditler belirlenmiştir.
Özel nitelikli kişisel veri güvenliğine yönelik protokol ve prosedürler belirlenmiş ve uygulanmaktadır.
Özel nitelikli kişisel veriler elektronik posta yoluyla gönderilecekse mutlaka şifreli olarak ve KEP veya kurumsal posta hesabı kullanılarak gönderilmektedir.
Veri işleyen hizmet sağlayıcılarının veri güvenliği konusunda belli aralıklarla denetimi sağlanmaktadır.
Veri işleyen hizmet sağlayıcılarının, veri güvenliği konusunda farkındalığı sağlanmaktadır.
8. KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ veya ANONİM HALE GETİRİLMESİ
Kanun’un 7. maddesi gereğince hukuka uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde resen veya veri sahibinin talebi üzerine Şirketimiz kişisel verileri siler, yok eder veya anonim hâle getirir. Kişisel verilerin işlenme amacı sona ermiş, ilgili mevzuat ve saklama sürelerinin de sonuna gelinmiş olmasına rağmen kişisel veriler yalnızca olası hukuki uyuşmazlıklarda delil teşkil etmesi veya kişisel veriye bağlı ilgili hakkın ileri sürülebilmesi veya savunmanın tesis edilmesi amacıyla saklama süresi uzayabilir. Bu durumda saklanan kişisel verilere herhangi bir başka amaçla erişilmemekte ve ancak ilgili hukuki uyuşmazlıkta kullanılması gerektiği zaman ilgili kişisel verilere erişim sağlanmaktadır. Bahsi geçen hakkın ileri sürülebilmesine yönelik zaman aşımı sürelerinin sona ermesinden sonra yine kişisel veriler silinmekte, yok edilmekte veya anonim hale getirilmektedir.
8.1 Kayıt Ortamları
Kişisel veriler, Şirketimiz tarafından kişisel bilgisayarlarda, mobil cihazlarda, bilgi güvenliği cihazlarında (firewall, modem), kağıt ve yazılı basılı görsel ortamlarda işlenmektedir.
8.2 Saklamayı Gerektiren Hukuki Sebepler
Şirketimizde, faaliyetleri çerçevesinde işlenen kişisel veriler, ilgili mevzuatta öngörülen süre kadar muhafaza edilir.
Bu kapsamda kişisel veriler;
6698 sayılı Kişisel Verilerin Korunması Kanunu,
6102 Sayılı Türk Ticaret Kanunu,
213 Sayılı Vergi Usulü Kanun,
6098 sayılı Türk Borçlar Kanunu,
4734 sayılı Kamu İhale Kanunu,
5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu,
5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun,
6331 sayılı İş Sağlığı ve Güvenliği Kanunu,
6502 sayılı Tüketicinin Korunması Hakkında Kanun,
4982 Sayılı Bilgi Edinme Kanunu,
3071 sayılı Dilekçe Hakkının Kullanılmasına Dair Kanun,
4857 sayılı İş Kanunu,
5434 sayılı Emekli Sağlığı Kanunu,
2828 sayılı Sosyal Hizmetler Kanunu,
İş Sağlığı ve Güvenliği Hizmetleri Yönetmeliği,
Ve ilgili diğer mevzuat
Çerçevesinde öngörülen saklama süreleri kadar saklanmaktadır.
8.3 Saklamayı Gerektiren İşleme Amaçları
Politikanın 3. maddesinde kurumun veri işleme amaçları başlığı altında açıklanmıştır.
8.4 İmhayı Gerektiren Sebepler
Kişisel veriler Şirketimiz tarafından re’sen veya;
İşlenmesine esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya mülgası,
İşlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,
Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin açık rızasını geri alması,
Kanunun 11 inci maddesi gereği ilgili kişinin hakları çerçevesinde kişisel verilerinin silinmesi ve yok edilmesine ilişkin yaptığı başvurunun Şirketimiz tarafından kabul edilmesi,
İlgili kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan başvuruyu Şirketimizin reddetmesi, ilgili kişinin verilen cevabı yetersiz bulması veya Kanunda öngörülen süre içinde Şirketimizin cevap vermemesi hallerinde; Kurula şikâyette bulunması ve bu talebin Kurul tarafından uygun bulunması,
Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olması ve kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması,
Durumlarında ilgili kişinin talebi üzerine silinir, yok edilir veya anonim hale getirilir.
|