ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİ VE GÜVENLİĞİ POLİTİKASI
EFELER POLİMER SANAYİ VE TİCARET LİMİTED ŞİRKETİ
1. AMAÇ
Efeler Polimer Sanayi ve Ticaret Limited Şirketi (“Şirketimiz” veya “Efeler Polimer”) olarak, 6698 sayılı Kişisel Verileri Korunma Kanunu (“KVKK”) ve ilgili mevzuata uygun bir şekilde özel nitelikli kişisel verileri işlemekte ve güvenliğini sağlamaktayız.
İşbu Özel Nitelikli Kişisel Verilerin İşlenmesi ve Güvenliği Politikası (“Politika”), “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler” ile ilgili Kişisel Verileri Koruma Kurulu’nun 31/01/2018 tarihli ve 2018/10 sayılı kararı (“Kurul Kararı”) uyarınca, veri sorumlusu olarak özel nitelikli kişisel verilerin işlenmesine yönelik aldığımız önlemlerin belirlenmesi amacıyla hazırlanmıştır.
İşbu Politika ile Efeler Polimer Kişisel Veri Güvenliği Politikası (“Güvenlik Politikası”) birbirlerini tamamlayıcı nitelikte olup, bu Politika’da bahsedilmeyen hususlar için Güvenlik Politikası’nın incelenmesi gerekmektedir.
Efeler Polimer, veri sorumlusu olarak, özel nitelikli kişisel veri işlerken, üçüncü kişiler ile paylaşırken ve veri kayıt ortamlarında saklarken işbu Politika’ya uygun olarak hareket edecektir.
2. KAPSAM
İşbu Politika, aşağıdaki kişilere ait edindiğimiz ve edinebileceğimiz özel nitelikli kişisel verilerin uygun güvenlik düzeyini sağlamaya yönelik faaliyetlerimizi kapsamaktadır:
- Şirketimizin çalışanları, çalışan adayları, eski çalışanları,
- Müşterilerimiz, müşteri şirket çalışanları ve yetkilileri,
- İş ortaklarımız,
- Tedarikçi çalışanlarını ve tedarikçi yetkililerini,
- Diğer üçüncü kişileri.
3. YETKİ VE SORUMLULUKLAR
Efeler Polimer Çalışanları: Efeler Polimer, çalışanlarının kişisel verilerini KVKK’ya ve ilgili mevzuata uygun olarak toplamak, işlemek ve güvenli bir şekilde muhafaza etmekle yükümlüdür.
4. TANIMLAR VE KISALTMALAR
Kişisel Veri | Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi. |
Özel Nitelikli Kişisel Veri | Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık kıyafet, dernek vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik veriler. |
İlgili Kişi | Kişisel verisi işlenen gerçek kişi. |
Kişisel Verilerin İşlenmesi | Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem. |
Açık Rıza | Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza. |
KVKK | 7 Nisan 2016 tarihli ve 29677 sayılı Resmi Gazete’de yayımlanan, 24 Mart 2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanunu. |
Kurul | Kişisel Verileri Koruma Kurulu. |
Kurum | Kişisel Verileri Koruma Kurumu. |
Kurul Kararı | “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler” ile ilgili Kişisel Verileri Koruma Kurulu’nun 31/01/2018 tarihli, 2018/10 sayılı kararı. |
Politika | Özel Nitelikli Kişisel Verilerin İşlenmesi ve Güvenliği Politikası. |
Güvenlik Politikaları | Kişisel Veri Güvenliği Politika ve Prosedürleri |
Veri Sorumlusu | Kişisel verilerin işlenme amaçlarını ve vasıtalarını belirleyen, verilerin sistematik bir şekilde tutulduğu yeri yöneten kişi. |
Veri İşleyen | Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel veri işleyen gerçek ve tüzel kişi. |
Kişisel Veri İşleme Envanteri | Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçlarını, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve detaylandırdıkları envanteri. |
5. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİ
5.1 Özel Nitelikli Kişisel Verilerin İşlenmesine İlişkin Genel İlkeler
Efeler Polimer, kişisel verilerin işlenmesine ilişkin KVKK’da belirtilen genel ilkelere uymakla yükümlüdür. Bu kapsamda Efeler Polimer, özel nitelikli kişisel veriler işlerken aşağıdaki ilkelere uygun olarak hareket edecektir:
- Hukuka ve dürüstlük kuralına uygun olarak kişisel verileri işleme,
- Kişisel verilerin doğru ve gerektiğinde güncel olmasını sağlama,
- Kişisel verileri belirli, açık ve meşru amaçlarla işleme,
- Kişisel verileri işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olarak işleme,
- İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza etme.
5.2 Özel Nitelikli Kişisel Verileri İşleme Şartları
Efeler Polimer, yukarıda bahsedilen genel ilkeler ile KVKK’nın 6. maddesinde belirtilen şartlara uygun olarak özel nitelikli kişisel verileri işlemekle yükümlüdür. Bu kapsamda Efeler Polimer, aşağıdaki şartlardan birine dayalı olarak özel nitelikli kişisel verileri işleme faaliyeti yürütebilecektir:
- Özel nitelikli kişisel verilerin işlenmesine yönelik ilgili kişinin açık rızasının alınması.
- Sağlık ve cinsel hayata ilişkin kişisel veriler hariç, özel nitelikli kişisel verinin işlenmesinin kanunda öngörülmesi.
- Sağlık ve cinsel hayata ilişkin kişisel veriler ise, açık rıza aranmaksızın, ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenebilmektedir.
5.3 Özel Nitelikli Kişisel Verilerin Aktarılması
Efeler Polimer, özel nitelikli kişisel verileri KVKK’nın 8. ve 9. maddelerinde belirtilen veri işleme şartlarına uygun olarak üçüncü kişiler ile paylaşabilecektir. Özel nitelikli kişisel verileri üçüncü kişilere aktarması esnasında, Efeler Polimer, Kurul Kararı’nda belirtilen güvenlik önlemlerini alacaktır. Bu kapsamda Efeler Polimer aşağıdaki önlemleri almaktadır;
- Özel nitelikli kişisel veriler elektronik posta yoluyla gönderilecekse mutlaka şifreli olarak ve KEP veya kurumsal posta hesabı kullanılarak gönderilmektedir.
- Özel nitelikli kişisel verileri farklı fiziksel ortamlardaki sunucular arasında aktardığı durumlarda kapalı ağ sistemi kullanılmaktadır.
- Taşınabilir bellek, CD, DVD ortamında aktarılan özel nitelikli kişiler veriler şifrelenerek aktarılmaktadır.
- Özel nitelikli kişisel veriler kağıt üzerinden aktardığı durumlarda, belgenin çalınması, kaybolması ya da yetkisi kişisel tarafından erişilmesi gibi risklere karşı gerekli önlemleri almakta ve belgeyi “gizlilik dereceli belgeler” formatında göndermektedir.
5.4 Özel Nitelikli Kişisel Verilerin Muhafazası
Efeler Polimer, yukarıda detaylıca bahsi geçen genel ilke ve işleme şartlarına uygun bir şekilde özel nitelikli kişisel verileri muhafaza etmektedir. Özel nitelikli kişisel verilerin muhafaza edildiği ve/veya erişildiği ortamlara ilişkin, Efeler Polimer, Kurul Kararı’nda belirtilen güvenlik önlemlerini alacaktır. Bu kapsamda Efeler Polimer aşağıdaki önlemleri almaktadır;
- Özel nitelikli kişisel verileri kriptografik yöntemler kullanılarak muhafaza etmekte ve kriptografik anahtarları güvenli ve farklı ortamlarda tutmaktadır.
- Özel nitelikli kişisel veriler üzerinde gerçekleştirilen tüm hareketlerin işlem kayıtlarının güvenli olarak loglanmaktadır.
- Özel nitelikli kişisel verilerin bulunduğu ortamlara ait güvenlik güncellemelerinin sürekli takip etmekte, gerekli güvenlik testlerinin düzenli olarak yaptırmakta ve test sonuçlarını kayıt altına almaktadır.
- Fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmaktadır.
- Özel nitelikli kişisel verilerin kaybını önleme yazılımları kullanılmaktadır.
- Özel nitelikli kişisel verilere bir yazılım aracılığı ile erişildiği hallerde bu yazılıma ait kullanıcı yetkilendirmeleri yapılmaktadır.
- Özel nitelikli kişisel verilerinin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, fiziksel ortam ise, elektrik kaçağı, yangın, su baskını, hırsızlık vb. durumlara karşı önlemleri almaktadır. Bu ortamların fiziksel güvenliği sağlanarak yetkisiz giriş çıkışları engellenmektedir.
- Özel nitelikli kişisel veriler yedeklenmekte ve yedeklenen kişisel verilerin güvenliği de sağlanmaktadır.
- Özel nitelikli kişisel veriler için güvenli şifreleme ve kriptografik anahtarlar kullanılmakta ve farklı birimlerce yönetilmektedir.
- Özel nitelikli kişisel veri güvenliğine yönelik protokol ve prosedürler belirlenmiş ve uygulanmaktadır.
- Özel nitelikli kişisel veriler için güvenli şifreleme ve kriptografik anahtarlar kullanılmakta ve farklı birimlerce yönetilmektedir. Kullanılan güvenli şifreleme yönteminden kasıt verilerin kriptografik yöntemler kullanılarak şifrelenmesi ve bir anahtara sahip olmayan kişilerce ulaşılmasının engellenmesidir. Verilerin güvenli bir şekilde şifrelenmesi ve bu veriye erişim için gerekli kriptografik anahtarın aynı bağlamda değerledirilmesi gerekmektedir.
6. ÇALIŞANLARIN ÖZEL NİTELİKLİ KİŞİSEL VERİLERİ İŞLEMESİ
Efeler Polimer, özel nitelikli kişisel verileri işleyen çalışanları için Kurul Kararı’nda belirtilen aşağıdaki tedbirleri almaktadır:
- Personellere, kişisel verilerin güvenliğinin sağlanması, hukuka aykırı olarak açıklanmaması ve paylaşılmamasına ilişkin gerekli eğitim ve farkındalık çalışmaları yapılmaktadır.
- Çalışanlar ile gizlilik sözleşmesi akdedilmektedir.
- Personeller, çalıştığı departmana ve iş rolüne göre kişisel verilerin bulunduğu sunuculara erişim için yetkilendirilmektedir. Bu yetkilerin kapsamı ve süreleri net olarak belirlenmektedir.
- Dönemsel olarak yetki kontrolleri yapılmaktadır.
- Çalışanların görev değiştirmesi veya işten ayrılması halinde verilere erişim yetkileri kaldırılmakta ve kendisine verilen envanter geri alınmaktadır.
7. GÜVENLİK POLİTİKASI
Efeler Polimer, özel nitelikli kişisel veriler dahil olmak üzere işlediği tüm kişisel verilerin güvenliğini sağlamak amacıyla KVKK’ya ve Kurum’un internet sitesinde yayınladığı Kişisel Veri Güvenliği Rehber’inde belirtilen teknik ve idari tedbirlere uygun olarak kişisel veri güvenliği politika ve prosedürleri oluşturmuştur. Güvenlik Politikası, işlenen kişisel verilerin hukuka uygunluğunu sağlamak, hukuka aykırı olarak erişilmesini önlemek ve muhafazasını sağlamak amaçlarıyla uygun güvenlik düzeyini sağlamaya yönelik Efeler Polimer’in aldığı teknik ve idari tedbirlere yer vermektedir. Bu kapsamda Güvenlik Politikası’nda yer alan tüm teknik ve idari tedbirler, işbu Politika’da belirlenen tedbirlere ek olarak özel nitelikli kişisel verileri işleme faaliyetlerinde uygulanmaktadır.