KİŞİSEL VERİ GÜVENLİĞİ POLİTİKASI

EFELER POLİMER SANAYİ VE TİCARET LİMİTED ŞİRKETİ

1. AMAÇ

Efeler Polimer Sanayi ve Ticaret Limited Şirketi (“Şirketimiz” veya “Efeler Polimer”) olarak, 6698 sayılı Kişisel Verileri Korunma Kanunu (“KVKK”) ve ilgili mevzuata uygun bir şekilde özel nitelikli kişisel verileri işlemekte ve güvenliğini sağlamaktayız. İşbu Kişisel Veri Güvenliği Politikası (“Politika”), Efeler Polimer tarafından işlenen kişisel verilerin hukuka uygunluğunu sağlama, kişisel verilere hukuka aykırı olarak erişilmesini önleme ve kişisel verilerin muhafazasını sağlamaya yönelik uyulması gereken temel esas ve usullerin tanımlanması ve gerekli teknik ve idari tedbirlerin belirlenmesi amacıyla hazırlanmıştır. İşbu Politika ile Efeler Polimer Özel Nitelikli Kişisel Verilerin İşlenmesi ve Güvenliği Politikası (“ÖNKV Politikası”) birbirlerini tamamlayıcı nitelikte olup, bu Politika’da bahsedilmeyen hususlar için ÖNKV Politikası’nın incelenmesi gerekmektedir.

2. KAPSAM

İşbu Politika, aşağıdaki kişilere ait edindiğimiz kişisel verilerin uygun güvenlik düzeyini sağlamaya yönelik faaliyetlerimizi kapsamaktadır:

Şirketimizin çalışanları, çalışan adayları, eski çalışanları ve bu kişilerin aile yakınları,
Şirket temsilcisi veya vekilleri,
İş ortaklarımızın çalışanı, temsilcisi ve vekili,
Tedarikçilerimizin çalışanı, yetkilisi ve vekili,
Müşterilerimiz, müşteri şirket çalışanları ve yetkilileri,
Potansiyel müşterilerimiz,
Hukuken yetkili kişiler,
Ziyaretçilerimiz,
Diğer üçüncü kişiler.

Bu bağlamda, Efeler Polimer bilgi sistemlerine ve kişisel verilere erişimi olan tüm taraflar, işbu Politika’ya tabidir.

3. TANIMLAR VE KISALTMALAR

Kişisel Veri	Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.
Özel Nitelikli Kişisel Veri	Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık kıyafet, dernek vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik veriler.
İlgili Kişi	Kişisel verisi işlenen gerçek kişi.
Kişisel Verilerin İşlenmesi	Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.
Açık Rıza	Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.
KVKK	7 Nisan 2016 tarihli ve 29677 sayılı Resmi Gazete’de yayımlanan, 24 Mart 2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanunu.
Kurul	Kişisel Verileri Koruma Kurulu.
Kurum	Kişisel Verileri Koruma Kurumu.
Politika	Kişisel Veri Güvenliği Politikası.
Özel Nitelikli Kişisel Verilerin İşlenmesi ve Güvenliği Politikası	“Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler” ile ilgili Kişisel Verileri Koruma Kurulu’nun 31/01/2018 tarihli, 2018/10 sayılı kararına istinaden hazırlanan Efeler Polimer politikasıdır.
Veri Sorumlusu	Kişisel verilerin işlenme amaçlarını ve vasıtalarını belirleyen, verilerin sistematik bir şekilde tutulduğu yeri yöneten kişi.
Veri İşleyen	Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel veri işleyen gerçek ve tüzel kişi.
Kişisel Veri İşleme Envanteri	Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçlarını, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve detaylandırdıkları envanteri.
Kişisel Verilerin İmhası Hakkında Yönetmelik	28 Ekim 2017 tarihli ve 30224 sayılı Resmi Gazete’de yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik.
Elektronik Ortam	Kişisel verilerin elektronik aygıtlar ile oluşturulabildiği, okunabildiği, değiştirilebildiği ve yazılabildiği ortamlar.
Elektronik Olmayan Ortam	Elektronik ortamların dışında kalan tüm yazılı, basılı, görsel vb. diğer ortamlar.

4. KİŞİSEL VERİLERİN GÜVENLİĞİ POLİTİKASI

Efeler Polimer, bilgi sistemleri aracılığıyla ya da fiziksel olarak işlediği, kendine veya paydaşlarına ait olan kurumsal ve kişisel veriyi üst düzey değerli bir varlık olarak kabul eder. Kurumsal ve kişisel bilgileri barındıran bilgi sistemlerini ve fiziki iş alanlarını, tehditlerden, etkili bir şekilde ve sürekli olarak korur ve bunlara ilişkin olarak 6.Bölüm’de belirtilen tüm teknik ve idari tedbirleri alır. Efeler Polimer veya tedarikçileri tarafından işlenen kişisel veriler dahil olmak üzere her tür bilginin sadece yetkili kişiler tarafından amacına uygun kullanılması, eksiksiz ve doğru olarak saklanması, gerektiğinde kullanıma hazır olması ve doğru zamanda ve şekilde imha edilmesi tüm çalışanlarımızın ortak sorumluluğudur. Kişisel veri ve bilgi güvenliğinin sağlanması ile Efeler Polimer’in sistemsel güvenlik zafiyetinden kaynaklı maddi ve manevi zararlardan, olası yasal cezalardan korunması ve bunların olası etkilerinin azaltılması hedeflenir. Yetki ve sorumlulukları ne olursa olsun, tüm Efeler Polimer çalışanları ve Efeler Polimer ile çalışan tüm iş ortakları, Efeler Polimer Kişisel Veri Güvenliği Politikası’na, Efeler Polimer Saklama ve İmha Politikası’na ve Efeler Polimer yönetimi tarafından yayımlanmış olan diğer tüm kurumsal politika, prosedür ve yönergelere uymak zorundadır. Efeler Polimer’in bilgi sistemlerine ve işlediği kişisel veriler ile kurumsal bilgilerine erişimi olan tüm iş ortakları ve bu iş ortaklarının personelinin, Efeler Polimer tarafından tanımlanan kişisel veri ve bilgi güvenliği genel ilke ve esaslarına uymaları ve yükümlülüklerine bağlı kalması şarttır. Efeler Polimer, tüm çalışanlarından ve paydaşlarından aşağıda belirtilen hususlara özen göstermesini bekler;

Her birim yöneticisinin sorumlu olduğu birimin KVKK’ya uygun şekilde faaliyetini sürdürmesi,
Kişisel veri işleme envanterlerinin ve VERBİS kayıtlarının güncel tutulması,
Kurumsal güvenlik politika ve prosedürlerine uygun hareket edilmesi,
Efeler Polimer’in işlediği kişisel verilerin, ancak ve ancak kanunlarda öngörülen amaçlar ya da Efeler Polimer’in hukuka uygun işleme amaçları doğrultusunda işlenmesi,
Kişisel Verilerin Korunmasına yönelik risk değerlendirme çalışmalarının sürdürülmesi,
Kişisel ve kurumsal veri ihlallerinin vakit kaybetmeden Efeler Polimer idari birimine bildirilmesi.

Efeler Polimer’de bilgi teknolojileri ile görevli iş birimi, bilgi sistemlerinin güvenliğini tanımlayan politika ve prosedürlerin işlevsel sahibi olarak, bunların şirket içinde doğru şekilde uygulanmasından sorumludur. Tüm şirket çalışanları, bu yönergeler paralelinde çalışacağını taahhüt eder. Birim yöneticileri kişisel veri ve bilgi güvenliği politika ve prosedürlerine uyumun sağlanması için kendi birimlerinde gerekli tedbirleri almak ve faaliyetleri izlemekten birinci derece sorumludur. Efeler Polimer kurumsal olarak bilgi güvenliği ve gizlilik ile ilgili uygulanabilir şartları karşılayacağını ve sürekli olarak iyileştireceğini taahhüt eder. Efeler Polimer’in kişisel veri işleme amaçlarının ve yöntemlerinin KVKK’ya uyumluluk sağlaması, itibarımızın korunmasına ve işimizin başarısının devamlılığının sağlanmasına destek olacaktır.

5. KİŞİSEL VERİLERİN GÜVENLİĞİNE İLİŞKİN TEDBİRLER

Efeler Polimer, KVKK’nın 12. maddesine uygun olarak, işlemekte olduğu kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, verilere hukuka aykırı olarak erişilmesini önlemek ve verilerin muhafazasını sağlamak için uygun güvenlik düzeyini sağlamaya yönelik gerekli teknik ve idari tedbirleri almakla ve bu kapsamda gerekli denetimleri yapmak ve yaptırmakla yükümlüdür. Bu yükümlülük çerçevesinde Efeler Polimer tarafından alınan idari ve teknik tedbirler aşağıda sayılmıştır:

5.1. İdari Tedbirler

Kağıt yoluyla aktarılan kişisel veriler için ekstra güvenlik tedbirleri alınmakta ve ilgili evrak gizlilik dereceli belge formatında gönderilmektedir.
Çalışanlara, kişisel verilerin güvenliğinin sağlanması, hukuka aykırı olarak açıklanmaması ve paylaşılmamasına ilişkin gerekli eğitim ve farkındalık çalışmaları yapılmaktadır.
Çalışanlar için veri güvenliği konusunda belli aralıklarla eğitim ve farkındalık çalışmaları yapılmaktadır.
Efeler Polimer tarafından yürütülen faaliyetlere ilişkin çalışanlardan gizlilik taahhüdü alınmakta ve spesifik faaliyetlere ilişkin gizlilik sözleşmeleri imzalatılmaktadır. İmzalanan sözleşmeler veri güvenliği ve disiplin hükümleri içermektedir.
Üçüncü taraflarla imzalanan sözleşmeler veri güvenliği hükümleri içermektedir.
Kişisel veri güvenliğine ilişkin şirket içi prosedürlere, politikalara ve talimatlara uymayan çalışanlara karşı disiplin prosedürü uygulanmaktadır.
Kişisel veri işlemeye başlamadan önce, Efeler Polimer tarafından, ilgili kişileri aydınlatma yükümlülüğü yerine getirilmektedir.
Kişisel veri işleme envanteri hazırlanmaktadır ve veri işleme süreçlerindeki değişiklikler güncellenmektedir.
Kişisel veri güvenliği politika ve prosedürleri belirlenmektedir. Kişisel veri güvenliği politika ve prosedürlerine uyumun takibi yapılmaktadır.
Kurum içi periyodik ve rastgele denetimler yapılmakta ve yaptırılmaktadır.
Alınan teknik önlemler periyodik olarak iç denetim mekanizması gereği raporlanmaktadır.
Kişisel verilerin kullanımı iş amaçları doğrultusunda mümkün olduğunca azaltılmaktadır.
Kişisel verilerin paylaşıldığı kişiler ile kişisel verilerin işlenmesi, korunması vegüvenliğine ilişkin sözleşmeler imzalanmakta veya mevcut sözleşmeye buna ilişkin hükümler eklenmektedir.
Veri işleyen hizmet sağlayıcılarının, veri güvenliği konusunda farkındalığı sağlanmaktadır ve bu kapsamda imzalanan sözleşmelere koruyucu hükümler getirilmiştir.
Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmaktadır.
Efeler Polimer’in karşılaşabileceği riskler ve halihazırda mevcut olan riskler belirlenmiş ve önlemler alınmıştır.
Efeler Polimer bünyesinde gerçekleştirilen kişisel veri işleme faaliyetleri iş birimleri özelinde analiz edilerek, iş birimlerinin yalnızca faaliyetlerini gerçekleştirme amacıyla kişisel veri işlemesi sağlanmaktadır.
Özel nitelikli kişisel verilerin güvenliğine yönelik ayrı politika belirlenmiştir.
Özel nitelikli kişisel veri işleme süreçlerinde yer alan çalışanlara yönelik özel nitelikli kişisel veri güvenliği konusunda eğitimler verilmiş, gizlilik sözleşmeleri yapılmış, verilere erişim yetkisine sahip kullanıcıların yetkileri tanımlanmıştır.

5.2. Teknik Tedbirler

Taşınabilir bellek, CD, DVD ortamında aktarılan özel nitelikli kişiler veriler şifrelenerek saklanmakta ve aktarılması gerekirse şifrelenerek aktarılmaktadır.
Ağ güvenliği ve uygulama güvenliği sağlanmaktadır ve ağ yoluyla kişisel veri aktarımlarında kapalı sistem ağ kullanılmaktadır.
Bilgi teknolojileri sistemleri tedarik, geliştirme ve bakımı kapsamındaki güvenlik önlemleri alınmaktadır.
Bulutta depolanan kişisel verilerin güvenliği sağlanmaktadır.
Çalışanlar için yetki matrisi oluşturulmuştur. Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır. Kullanıcı hesap yönetimi ve yetki kontrol sistemi uygulanmakta olup bunların takibi de yapılmaktadır.
Erişim logları düzenli olarak tutulmaktadır.
Log kayıtları kullanıcı müdahalesi olmayacak şekilde tutulmaktadır.
Güncel anti-virüs sistemleri kullanılmaktadır.
Kişisel veri güvenliği sorunları hızlı bir şekilde raporlanmaktadır ve çözüme ilişkin derhal aksiyom alınmaktadır.
Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmaktadır.
Özel nitelikli kişisel veriler elektronik posta yoluyla gönderilecekse mutlaka şifreli olarak ve KEP veya kurumsal posta hesabı kullanılarak gönderilmektedir.
Özel nitelikli kişisel veriler için güvenli şifreleme / kriptografik anahtarlar kullanılmakta ve farklı birimlerce yönetilmektedir.
Sızma testi uygulanmaktadır.
Saldırı tespit ve önleme sistemleri kullanılmaktadır.
Veri kaybı önleme yazılımları kullanılmaktadır ve testler yapılmaktadır.
Veri işleyen hizmet sağlayıcılarının veri güvenliği konusunda belli aralıklarla denetimi ve veri işleyen hizmet sağlayıcılarının, veri güvenliği konusunda farkındalığı sağlanmaktadır.
Siber güvenlik önlemleri alınmış olup uygulanması sürekli takip edilmektedir.
Kişisel veriler yedeklenmekte ve yedeklenen kişisel verilerin güvenliği de sağlanmaktadır.
Teknik güvenlikle ilgili olarak uzman dış kaynaklardan danışmanlıklar alınmaktadır.

6. KİŞİSEL VERİLERİN GÜVENLİ ORTAMLARDA SAKLANMASI

6.1. Elektronik Olmayan Ortam

Kişisel veriler kağıt, form, belge, sözleşme veya herhangi bir basılı varlık olarak elektronik olmayan ortamda saklanabilecektir. Aşağıda, basılı varlıkların saklandığı ortamlar belirtilmiştir.

Efeler Polimer ofislerinde bulunan kilitli dolaplar,
Efeler Polimer ofislerinde bulunan panolar,
Efeler Polimer ofislerinde bulunan arşiv odası,
Efeler Polimer ofislerinde bulunan çekmeceler ve klasörler.

Bu kapsamda elektronik ortamdan elde ettiğimiz ancak sonrasında çıktısını alarak veya kağıt, form veya belgede yazarak sakladığımız tüm kişisel verilerin de fiziki ortamda saklandığı kabul edilmiştir.

6.2. Elektronik Ortam

Kişisel veriler aşağıdaki elektronik ortamda saklanabilecektir.

Masaüstü ve dizüstü bilgisayarlar,
Mobil cihazlar,
E-posta sunucuları,
Bulut ortamı,
Yazılımlar ve bağlı olduğu veritabanları
Taşınabilir medya (USB Bellek, CD ve DVD vb.),
Ağ üzerinde veri saklanması için kullanılan disk sürücüleri.

Bu kapsamda fiziki ortamda, sözlü veya basılı kağıt, form veya belge olarak elde ettiğimiz ancak tamamen veya kısmen otomatik bir sisteme kaydettiğimiz tüm kişisel verilerin de elektronik ortamda saklandığı kabul edilmiştir.

7. KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VE ANONİMLEŞTİRİLMESİ TEKNİKLERİ

Efeler Polimer, KVKK’nın 7. maddesi uyarınca, kişisel verilerin işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verileri resen veya ilgili kişinin talebi üzerine silmek, yok etmek veya anonim hâle getirmekle yükümlüdür. Bu bağlamda, Kurul tarafından Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik hazırlanmış olup 28 Ekim 2017 tarihli ve 30224 sayılı Resmi Gazete’de yayımlanmıştır. Efeler Polimer, aşağıdaki hallerde, kişisel verileri silmek, yok etmek veya anonim hale getirmekle yükümlü olacaktır. Efeler Polimer bu imha faaliyetini bu sürelerin bitmesini takip eden ilk periyodik imha işleminde gerçekleştirebilecektir.

Kişisel veri işleme şartının ortadan kalkması (Örneğin, açık rızanın geri alınması, sözleşmenin sona ermesi vs.),
Efeler Polimer’in kişisel verileri işlemek için meşru bir amacının bulunmaması,
İlgili kişinin kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin başvurunun Efeler Polimer tarafından kabul edilmesi veya şikâyet edilen Kurul tarafından talebin uygun bulunması.

Efeler Polimer, yukarıda belirtilen hallerde kanunda öngörülen saklama süreleri ve Efeler Polimer Kişisel Verileri Saklama ve İmha Politikası’nda belirtilen sürelerin bitimi itibariyle silme, yok etme veya anonim hale getirme yükümlülüğünü aşağıda açıklanan yöntemlerle yerine getirmektedir.

8. REFERANSLAR VE DAYANAKLAR

KVKK ve Kişisel Verileri Koruma Kurumu tarafından yayımlanan Kişisel Veri Güvenliği Rehberi (Teknik ve İdari Tedbirler) adlı rehber