+90 258 371 26 76
info@ozstarmakina.com
TR
MENÜ

“DENİZLİ ÖZSTAR KURUYEMİŞ MAKİNA SANAYİ VE TİCARET LTD. ŞTİ.”

 

ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN KORUNMASI POLİTİKASI

 

A. POLİTİKA, KAPSAM, AMAÇ

 

Özel Nitelikli Kişisel Veri İşleme Politikası’nın (“Politika”) amacı, “DENİZLİ ÖZSTAR KURUYEMİŞ MAKİNA SANAYİ VE TİCARET LTD. ŞTİ.”’nin (“Şirket”) özel nitelikli kişisel verilerin toplanması, işlenmesi, aktarılması, saklanması, depolanması ve imha edilmesi gibi her türlü veri işleme faaliyetlerindeki kuralların, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (“Kanun”) ve “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler” ile ilgili Kişisel Verileri Koruma Kurulunun 31.01.2018 tarihli ve 2018/10 Sayılı Kararının belirttiği usul ve esaslara göre belirlenmesidir.

 

1. Kapsam

 

Bu Politika hükümleri, Şirket bünyesinde yapılan ticari faaliyet konuları ve çalışma alanları ile bu işlemlere ilişkin satış, pazarlama, lojistik, depolama, muhasebe, finans, kalite güvence, satın alma, insan kaynakları, hukuk, iç denetim ve bilgi işlem dahil olmak üzere ancak sayılanlarla sınırlı kalmamak kaydıyla tüm departman ve birimlerin faaliyetlerinden elde edilen kişisel verilerin Kanun kapsamında toplanması, işlenmesi, saklanması, korunması, gizliliğinin ve bütünlüğünün bozulmaması için Şirket’in kullandığı prosedür ve süreçler ile bunlara ilişkin tüm bilgi sistemlerini ve alt bilgileri, kontratları, çevre ve fiziksel alanlar ile tüm bunlar için üretilen sistem ve düzenlemeleri kapsamaktadır. Bu doğrultuda Politika, Şirket’in tüm çalışanları, ziyaretçileri, üçüncü kişileri, stajyer ve sözleşmeli çalışanları ile destek hizmeti veren üçüncü tarafların çalışanlarını kapsamaktadır.

 

B. TANIMLAR

 

KVKK: 6698 sayılı Kişisel Verilerin Korunması Kanunu’nu,

KVK Kurulu: Kişisel Verileri Koruma Kurulu’nu,

KVK Kurumu: Kişisel Verileri Koruma Kurumu’nu,

KVK Komitesi: Şirket bünyesindeki Kişisel Verileri Koruma Komite ’sini,

İlgili Kişi: Kişisel verisi işlenen gerçek kişiyi,

Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi,

Özel Nitelikli Kişisel Veri: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verilerini,

Açık Rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı,

Envanter: Şirket için önemli, gerekli ve işlenecek nitelikteki her türlü bilgi varlığını,

Kişisel Verilerin İşlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi,

Veri İşleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi,

Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi,

Veri Kayıt Sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini,

Anonim Hâle Getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini,

Yok Etme: Kişisel verilerin, hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemini ifade eder.

 

C. GÖREV VE SORUMLULUKLAR

 

  1. Şirket, KVKK uyarınca veri sorumlusudur.

 

  1. Yönetim Kurulu ile yönetici, birim sorumlusu, pozisyonlarında olanlar başta olmak üzere tüm çalışanlar, Şirket bünyesinde kişisel verilerin işlenmesi konusunda doğru uygulamaların geliştirilmesi ve teşvik edilmesinden ve ayrıca bireysel görev tanımlarında yer verilmiş bu konuya ilişkin diğer yükümlülüklerden sorumludur.

 

  1. Komite, kişisel veri koruma sisteminin yönetilmesi ile Kanun ve sair ilgili mevzuatlara ve düzenlemelere uyumun sağlanması ve belgelenmesi konularında görevli birim olarak kurulmuş olup bu konularda Yönetim Kurulu’na karşı sorumludur.

 

  1. Çalışanların Görev ve Sorumlulukları:

 

Özel nitelikli kişisel veri işleyen çalışanlar, KVK Politikası’nda belirtilen sorumluluklarına ek olarak aşağıdaki konulardan da sorumludurlar;

 

  • Özel Nitelikli Kişisel Veri İşleme Politikası’na ve ilgili diğer politika ve prosedürlere uyumlu davranmak,
  • Görev ve sorumluluklarını Özel Nitelikli Kişisel Veri İşleme Politikası’nda yer alan talimatlara uygun olarak yerine getirmek.

 

  1. KVK Komitesi’nin Görev ve Sorumlulukları

 

Komite, KVK Politikası’nda belirtilen sorumluluklarına ek olarak aşağıdaki konulardan sorumludur;

 

  • İşbu Politika’nın oluşturulması ve güncellenmesinin sağlanması,
  • Özel nitelikli kişisel veri işleme süreçlerini bu politikaya göre düzenlemek ve ilgili iş birimlerince uygulanmasını koordine etmek,
  • Şirket içindeki özel nitelikli kişisel verilerin işleme prensiplerinin geliştirilmesi, uygulanması ve güncellenmesine yönelik bir çerçeve oluşturulması ve sürdürülmesinde ilgili birimler ile birlikte çalışarak gerekli tedbirlerin ve eğitimlerin alınmasını sağlamak,
  • Çalışanlara işbu politika kapsamında oluşturulan süreçlerin uygulanması için destek olmak,
  • İşbu politikaya yönelik ihlalleri üç ayda bir yönetime raporlamak,
  • Özel nitelikli kişisel veri işleme konularını ve gelişmelerini, politika/standart ve/veya diğer iç yönetmelikleri Şirket personeline uygun bir şekilde iletmek,
  • Özel nitelikli kişisel verilerin işlenmesine yönelik ihlaller ile ilgili şikâyetlerin raporlanması, yanıtlanması ve çözümlerin koordine edilebilmesinde temel rol üstlenmek,
  • Özel Nitelikli Kişisel Verilerin işlenmesi söz konusu olan; yeni ürün ve hizmetlerin geliştirilmesi sürecinde yer almak, işleme gereksinimlerinin belirlenmesine, yeni ürün veya hizmet üretim ortamına uygulanmadan önce konu hakkında görüş ve önerilerde bulunmak,
  • Özel nitelikli kişisel verilerin bulunduğu sistemlerin idari, teknik ve fiziksel güvenlik kontrollerini geliştirmek ve uygulanmasını sağlamak,
  • Yetkili iş birimleriyle birlikte çalışarak, özel nitelikli kişisel verilerin bulunduğu sistemlere iyileştirmelerin ve güvenlik değerlendirmelerinin yapılmasını sağlamak,
  • Şirket sistemlerinde bulunan ya da dağıtılan özel nitelikli kişisel verilerin korunmasını ve kullanımını izlemek ve değerlendirmek için prosedürleri ve teknolojiyi uygulamak.

 

D. VERI GÜVENLİĞİ

 

Tüm çalışanlar, Şirket tarafından işlenen ve kendi sorumluluklarında olan verilerin güvenli olarak tutulmasını ve KVKK Taahhütnamesi imzalamadıkça hiçbir üçüncü tarafa açıklanmamasını sağlamakla yükümlüdür. 

 

Kişisel verilere, yalnızca bunlara erişimi gerekli olanlar erişebilmelidir. Erişimler, Erişim Yönetimi Talimatı uyarınca sağlanır. 

 

Veri güvenliği, Şirket’in KVK Politikası ve buna bağlı dokümanlar uyarınca sağlanır. 

 

Kişisel verilere ilişkin bilgi güvenliği olayları Komite tarafından en kısa süre içerisinde Kurul’a ve ilgili kişiye bildirilir. 

 

Özel nitelikli kişisel verilerin işlenmesi söz konusu olduğunda ayrıca KVKK tarafından belirlenen yeterli güvenlik önlemlerinin, veri sorumlusu olan Şirket tarafından yerine getirilmesi gerekmektedir.

 

  1. Personellere Yönelik Güvenlik Önlemlerinin Alınması

 

İnsan Kaynakları, Hukuk Birimi, İş Sağlığı ve Güvenliği Birimi, İdari İşler Birimi, vb. gibi özel nitelikli kişisel veri işlemek suretiyle iş süreçlerini yürüten iş birimlerinde bulunan çalışanlar hakkında;

 

  • Gizlilik sözleşmeleri yapılmalı ve bu sözleşmenin ekinde Özel Nitelikli Kişisel Verilerin
  • Korunması Politikası da bulunmalıdır.
  • Yukarıda sayılan ilgili birimlere 6 (altı) ayda bir kişisel verilerin güvenliği konusunda eğitimlerin verilmesi,
  • Özel nitelikli kişisel verilere erişim yetkisine sahip kullanıcıların, yetki kapsamlarının ve sürelerinin net olarak tanımlanması ve periyodik olarak yetki kontrollerinin gerçekleştirilmesi gerekir.
  • Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkilerinin derhal kaldırılması, mevcut hesaplarının derhal kapatılması gerekmektedir. Bu kapsamda, veri sorumlusu Şirket tarafından kendisine tahsis edilen kişisel veri barındıran envanterlerin (bilgisayar, harddisk, dosya, klasör vb.) iade alınması sağlanmalıdır.

 

  1. Elektronik Ortamlarda Güvenlik Önlemlerinin Alınması

Söz konusu verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, elektronik ortam ise;

 

  • Verilerin kriptografik yöntemler kullanılarak muhafaza edilmesi,
  • Kriptografik anahtarların güvenli ve farklı ortamlarda tutulması,
  • Veriler üzerinde gerçekleştirilen tüm hareketlerin işlem kayıtlarının güvenli olarak loglanması,
  • Verilerin bulunduğu ortamlara ait güvenlik güncellemelerinin sürekli takip edilmesi, gerekli güvenlik testlerinin düzenli olarak yapılması/yaptırılması, test sonuçlarının kayıt altına alınması,
  • Verilere bir yazılım aracılığı ile erişiliyorsa bu yazılıma ait kullanıcı yetkilendirmelerinin yapılması, bu yazılımların güvenlik testlerinin düzenli olarak yapılması/yaptırılması, test sonuçlarının kayıt altına alınması,
  • Verilere uzaktan erişim gerekiyorsa en az iki kademeli kimlik doğrulama sisteminin sağlanması gerekmektedir.

 

  1. Fiziki Ortamlarda Güvenlik Önlemlerinin Alınması

 

Verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, fiziki ortam ise;

 

  • Özel nitelikli kişisel verilerin bulunduğu ortamın niteliğine göre yeterli güvenlik önlemlerinin (elektrik kaçağı, yangın, su baskını, hırsızlık vb. durumlara karşı) alındığından emin olunması,
  • Bu ortamların fiziksel güvenliğinin sağlanarak yetkisiz giriş çıkışların engellenmesi gerekmektedir.

 

  1. Veri Paylaşımı

 

Özel Nitelikli Kişisel Veriler ancak ilgili kişinin açık rızası veya 6698 sayılı kanunun 6. Maddesinin 3. fıkrasında bulunan istisnalar kapsamında hukuka ve hakkaniyete uygun olarak üçüncü kişilerle paylaşılabilir. Buna göre kişisel verilerin paylaşılabilmesi için aşağıdaki koşullardan birinin bulunması aranır;

 

  • Veri sahibin açık rızasının alınmış olması,
  • Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler için kişisel verilerin işlenmesi durumlarının kanunlarda açıkça öngörülmesi,
  • Sağlık ve cinsel hayata ilişkin özel nitelikli kişisel veriler ise kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenebilir. 

 

Özel nitelikli kişisel verilerin paylaşıldığı aşağıda belirtilen önlemleri alacak ve bu kapsamda aktarım faaliyetlerini yerine getirecektir;

 

Özel Nitelikli Kişisel Verilerin;

 

  • E-posta yoluyla aktarılması gerekiyorsa şifreli olarak kurumsal e-posta adresiyle veya Kayıtlı Elektronik Posta (KEP) hesabı kullanılarak aktarılmalıdır,
  • Taşınabilir Bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerekiyorsa kriptografik yöntemlerle şifrelenmesi ve kriptografik anahtarın farklı ortamda tutulması gerekir,
  • Farklı fiziksel ortamlardaki sunucular arasında aktarma gerçekleştiriliyorsa, sunucular arasında VPN kurularak veya sFTP yöntemiyle veri aktarımının gerçekleştirilmesi gerekir,
  • Verilerin kağıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemlerin alınması ve evrakın “gizlilik dereceli belgeler” formatında gönderilmesi gerekir.

 

  1. Politikanın Güncel Tutulması

 

Komite, kişisel verilerin korunması hakkında mevzuat ve sair ilgili mevzuat ve düzenlemelere ilişkin yenilik, değişiklik, gelişmeleri takip etmek ve bu doğrultuda Politika’yı güncel tutmakla yükümlüdür.

 

Doküman Sahipliği ve Onay

 

Bu doküman sahibi Komite’dir. Ayrıca Komite, işbu Politika’nın yukarıda belirtilen gözden geçirme gereklilikleri uyarınca düzenli olarak gözden geçirilmesinden sorumludur.

 

Bu dokümanın güncel versiyonu şirketin İnternet web sitesi üzerinde tüm çalışan personel ve ziyaretçilerin erişimine sunulmuş ve yayınlanmıştır.

 

İşbu Politika XXX tarihinde Genel Müdür tarafından imzalanıp onaylanarak yürürlüğe girmiştir.