Bu Politikanın uygulanmasında kullanılan kavramlar aşağıda yer verilen anlamları ifade eder:
Açık Rıza: KVKK’ nın 3. maddesinde açık rıza; “belirli bir konuya ilişkin,
bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza” şeklinde
tanımlanmıştır. Ayrıca Anayasa’nın 20. maddesinin 3. fıkrasında, kişisel
verilerin, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebileceği
hüküm altına alınmıştır. Açık rıza, KVKK’ da hem özel nitelikli kişisel
veriler, hem de özel nitelikli olmayan kişisel verilerin bakımından temel
hukuka uygunluk sebebi olarak öngörülmüştür.
Alenileştirme: “Herkes tarafından bilinir kılma” anlamında olan alenileştirme kavramı,
KVKK’ nın 5. maddesinde, kişisel verilerin işlenebilmesi için gerekli olan
“kişisel verisi işlenen gerçek kişinin açık rızasının alınması gerekliliği” nin
istisnalarından biri olarak sayılmıştır. Buna göre, ilgili kişinin kendisi
tarafından alenileştirilen, bir başka ifadeyle herhangi bir şekilde kamuoyuna
açıklanmış olan kişisel veriler, ayrıca ilgili kişinin açık rızası olmaksızın
KVKK’ nın 4. maddesinde düzenlenen genel ilkeler kapsamında işlenebilecektir.
Anonim Hale Getirme: Anonim hale getirme veya anonimleştirme,
verilerin başka verilerle eşleştirilse dahi, hiçbir surette kimliği belirli
veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale
getirilmesini ifade etmektedir. Bu kapsamda, elde kalan veri üzerinden bir
izleme yapılarak başka verilerle eşleştirme ve destekleme sonrasında verinin
kime ait olduğu anlaşılabiliyorsa, bu verinin anonim hale getirildiği kabul
edilemez.
Belirli Bir Konuya İlişkin Olma: Veri işlemek üzere verilen rızanın geçerli
olması için rızanın belirli bir konuya ilişkin ve o konu ile sınırlı olması
gerekir. Veri sorumlusu ve veri işleyenlerce açık rıza beyanının hangi konuya
ilişkin olarak istenildiğinin açıkça belirtilmesi gerekmektedir. Buna göre,
genel bir irade açıklaması ile “kişisel verilerimin işlenmesini kabul ediyorum”
şeklinde açık uçlu ve belirsiz bir rıza tek başına KVK bağlamında “açık rıza”
olarak kabul edilemez.
İlgili Kişi: KVKK’ da, yalnızca gerçek kişilerin
verilerinin korunması öngörülmektedir. Bu nedenle KVKK’ da kişisel verisi
işlenen gerçek kişiyi ifade etmek için “ilgili kişi” ifadesi kullanılmıştır.
Kanuna göre, düzenleme kapsamında korunması gereken temel esas, başta özel
hayatın gizliliği olmak üzere temel hak ve özgürlüklerden ibarettir. Son
yıllarda önem kazanan kişinin mahremiyet hakkı ile bilgi güvenliği hakkının
korunması da bu kapsamda değerlendirilmektedir. Korunması gereken kişi,
düzenlemenin tanımlar kısmında açıkça belirtildiği üzere “gerçek kişi”dir.
Kişisel Veri: Belirli ya da belirlenebilir nitelikteki bir
kişiye ilişkin her türlü bilgidir. Buna göre, kişisel veriden söz edebilmek
için, verinin bir gerçek kişiye ilişkin olması ve bu kişinin de belirli ya da
belirlenebilir nitelikte olması gerekmektedir.
Veri Kayıt Sistemi: Kişisel Verilerin belirli kriterlere
göre
yapılandırılarak işlendiği kayıt
sistemini ifade eder.
Müşteri: Hizmet, mal alımı gibi hususlarda ticari
ilişki içinde olunan gerçek kişi tüketicileri, bayi, distribütor,
tedarikçilerin işlenecek kişisel verileri de dahil olmak üzere; tedarikçi
yetkilerini, bayi yetkili ve çalışanlarını, distribütor yetkili ve
çalışanlarını ifade etmektedir.
Potansiyel Müşteri: Ürün ve hizmetlerimize kullanma talebinde
veya ilgisinde bulunmuş veya bu ilgiye sahip olabileceği ticari teamül ve
dürüstlük kurallarına uygun olarak değerlendirilmiş gerçek kişilerdir.
Özel Nitelikli Kişisel Veri: Kişilerin ırkı, etnik kökeni, siyasi
düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve
kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza
mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik
verileridir.
Silme: Tamamen veya kısmen otomatik yollarla veya
herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan
yollarla işlenen kişisel verilerin silinmesi söz konusu kişisel verilerin
ilgili kullanıcılar tarafından hiçbir şekilde erişilemez ve tekrar kullanılamaz
hale getirilmesi işlemidir.
KVK Kurulu:
Kişisel Verilerin Korunması Kurulu’dur.
Veri Sorumlusu: Kişisel Verilerin işlenme
amaçlarını ve vasıtalarını belirleyen, verilerin sistematik bir şekilde
tutulduğu yeri (veri kayıt sistemi)
yöneten kişi veri sorumlusudur.
Veri İşleyen: Veri sorumlusunun verdiği yetkiye
dayanarak onun adına Kişisel Veri işleyen gerçek ve tüzel kişidir.
Çalışan Adayı:
Şirketimiz’ e herhangi bir yolla iş başvurusunda bulunmuş ya da özgeçmiş ve
ilgili bilgilerini Şirketimiz’ in incelemesine açmış olan gerçek kişilerdir.
Grup Şirket Müşterisi: Grup
şirketleri üzerinden Kişisel
Verileri
elde edilen kişiler
Şirket / Şirketimiz: Uludağ Elektrik Dağıtım Anonim Şirketi (“Şirket”)
Şirket Hissedarı: Şirket’in hissedarı gerçek kişilerdir.
Şirket Yetkilisi:
Şirket’in yönetim kurulu
üyesi ve diğer yetkili gerçek kişilerdir.
Şirket İş Ortağı: Şirketimiz’ in her türlü iş ilişkisi içerisinde bulundurduğu
gerçek kişiler ile tüzel kişilerin çalışanı, yetkilisi, hissedarı olan gerçek
kişiler.
Ziyaretçi: Şirketimiz’ in sahip olduğu fiziksel yerleşkelere çeşitli amaçlarla
girmiş olan veya internet sitelerimizi herhangi bir
amaç ile ziyaret eden tüm
gerçek kişiler.
Üçüncü Kişi: Yukarıda sayılan kişi
gruplarına girmeyen gerçek kişilerdir.
Uludağ Elektrik Dağıtım Anonim Şirketi (“Şirket”) olarak 6698 sayılı Kişisel Verilerin
Korunması Kanunu (“Kanun”)
uyarınca Kişisel
Verilerin hukuka
uygun olarak korunması ve işlenmesine azami önem veriyor ve tüm planlama ve faaliyetlerimizde bu özenle hareket
ediyoruz. Şirket olarak, özel hayatın gizliliğinin temeli olan Kişisel Verilerin korunması ve
işlenmesini sadece mevzuata uyum sağlamak
doğrultusunda değerlendirmiyor, yaklaşımımızın temeline insana verdiğimiz değeri koyuyoruz. Bu bilinçle Şirket olarak, Kişisel Verilerin
korunması ve işlenmesi için tüm idari
ve teknik tedbirleri alıyoruz.
3.1 Politikanın
Amacı
Kişisel
Verilerin Korunması ve
İşlenmesi Politikasının (“Politika”) amacı, Kanun’un amacına
uygun olarak Kişisel Verilerin korunması ve
işlenmesinde başta Anayasa’nın 20. maddesinde
düzenlenen özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini
azami derecede
korumak ve Şirketimiz’in yükümlülükleri ile Kanun uyarınca uyacağı usul ve esaslar
hakkında Kişisel Veri Sahiplerini bilgilendirmektir.
Politikanın amacı doğrultusunda,
Şirketimiz tarafından gerçekleştirilen Kişisel Verilerin korunması
ve işlenmesi faaliyetlerinde
mevzuata tam uyumun sağlanması ve Kişisel Veri Sahiplerinin özel hayat gizliliği ve veri güvenliği hakkının korunması hedeflenmektedir.
Gerek kişisel veriye ilişkin Şirket
politikalarımızın gerekse Kanun’dan doğan yükümlülüklerin bir gereği olarak
kişisel verilerin Kanun’a uygun olarak işlenmesi, güvenliğinin sağlanması,
aktarılması, imhası veya anonimleştirilmesi Şirket’in en önemli önceliklerinden
bir tanesidir. Bu önceliğin en önemli ayağını ise müşterilerimizin, potansiyel
müşterilerimizin, çalışanlarımızın, çalışan adaylarımızın, Şirket
hissedarlarının, Şirket yetkililerinin, ziyaretçilerimizin; işbirliği içinde
olduğumuz kuruluşların çalışanlarının, hissedarlarının ve yetkililerinin,
sözleşmesel ilişkiye girilen gerçek kişiler ve üçüncü kişilerin kişisel
verilerinin korunması ve işlenmesi oluşturmaktadır.
Bu doğrultuda, Kanun ve bu kapsamda
yayımlanmış mevzuat gereğince işlenen kişisel verilerin korunması için Şirket
tarafından gereken idari ve teknik tedbirler alınmıştır. Politika’da kişisel
verilerin işlenmesinde Şirket’in benimsediği ve Kanun’da da sayılmış temel
ilkelere ilişkin detaylı açıklamalarda bulunulacak, sonrasında ise Şirket’in
Kanun’da belirtilen yükümlülüklerini ne şekilde yerine getirdiği detaylı olarak
açıklanacaktır.
3.2 Politikanın Kapsamı
Bu Politika; gerçek kişi olmak kaydıyla Şirket Hissedarları, Şirket İş Ortakları, Şirket Yetkilileri, Çalışan Adayları, Ziyaretçiler, Şirket Müşterileri, Potansiyel
Müşteriler ve Üçüncü Kişiler için hazırlanmıştır ve bu belirtilen kişiler kapsamında uygulanacaktır. Şirket, bu Politikayı internet sitesinde yayımlamak suretiyle
bu Kişisel Veri Sahiplerini Kanun hakkında bilgilendirmektedir. Hangi sıfat ile olursa olsun tüzel kişilere bu Politika uygulanmayacaktır. Bu Politika,
yukarıda belirtilen ilgili kişiler için, Şirketimiz’in bu ilgili kişilerin
Kişisel Verilerini tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlemesi halinde uygulanacaktır. Verinin aşağıda
belirtilen kapsamda
“Kişisel
Veri” kapsamında yer almaması veya Şirketimiz
tarafından gerçekleştirilen
Kişisel
Veri
işleme faaliyetinin
yukarıda belirtilen yollarla
olmaması halinde bu Politika uygulanmayacaktır.
4.1 Kişisel Verilerin Güvenliği
Şirketimiz Kanun’a uygun olarak Kişisel Verilerin hukuka aykırı olarak işlenmesini ve erişilmesini önlemek, Kişisel Verilerin muhafazası sağlamak amacıyla uygun güvenlik düzeyini
temin etmeye yönelik gerekli her türlü teknik
ve idari tedbirleri almaktadır. Bu kapsamda çalışanlarımız olarak eğitimlere tabii
tutularak kişisel verilerin korunması hakkında bilgilendirilmektedirler. Ayrıca
çalışanlarımızla yaptığımız iş sözleşmelerimizde veya Şirketimiz’le sözleşmesel
ilişki içerisinde olan kişi veya kurumlarla akdedilen her türlü sözleşmede yer
alan gizlilik hükümleri çerçevesinde, yapılan iş veya sunulan hizmet gereği
öğrenilen her türlü kişisel veri hukuki koruma altına alınmaktadır. Şirketimiz
bünyesinde bulunan kişisel verilerin korunması noktasında Kanun’da çizilen
çerçevede her türlü teknik ve idari tedbiri aldığına dair uluslararası
standartlarda sertifikalara sahiptir. Bu kapsamda Şirketimiz uluslararası bilgi
yönetimi ve güvenliği standarttı olan ISO 27001 belgesi ile sertifikalandırılmıştır.
4.2 Denetim
Şirketimiz yukarıda açıklanan veri güvenliğinin tesisi ve alınan tedbirlerin düzenliliğini ve
devamlılığını sağlamak amacıyla gerekli denetimleri yapar
ve yaptırır. Bu kapsamda Şirketimiz
bünyesinde bulunan kişisel verilerin Kanun’a uygun olarak muhafazasının
sağlanmasına ilişkin Şirketimiz içerisinde prosedürler oluşturulmuştur. Ayrıca
gerektiğinde dışarıdan aldığımız hukuki veya teknik destek ile de söz konusu
verilerin hukuka uygun olarak muhafaza edildiği düzenli olarak denetlenmekte ve
verilerin güvenliği temin edilmektedir.
4.3 Gizlilik
Şirketimiz, ilgili veri sorumluları ve
veri işleyenlerin, sahip oldukları Kişisel Verileri Kanun ve Politika
hükümlerine aykırı olarak başkasına açıklamamaları ve işleme amacı dışında kullanmamaları
için teknolojik imkân ve uygulama maliyetlerine göre gerekli tüm teknik ve
idari tedbirleri almaktadır. Bu bağlamda Şirket çalışanlarımız ile Kanun ve
Politika hakkında bilgilendirilme ve eğitim çalışmaları yürütülmektedir.
Yukarıda da bahsedildiği gibi Şirket’in akdettiği her türlü sözleşmede yer alan
gizlilik hükümleri vasıtasıyla, yapılan iş veya sunulan hizmet gereği öğrenilen
her türlü kişisel veri hukuki koruma altına alınmaktadır. Zira gizlilik
politikamızın en önemli unsurlarından birisi olan kişisel verilerin korunması,
Şirketimiz nezdinde son derece önem arz eden bir konudur.
4.4 Kişisel Verilerin Yetkisiz İfşası
Şirketimiz tarafından işlenen Kişisel
Verilerin kanuna uygun olmayan yollarla başkaları tarafından elde edilmesi
halinde, Şirketimiz bu durumu en kısa sürede ilgili Kişisel Veri Sahibine ve
KVK Kurulu’na bildirilmesi için gerekli işlemleri yürütür. KVK Kurulu
tarafından gerek görülmesi halinde bu durum KVK Kurulunun internet sitesinde ya
da KVK Kurulu tarafından uygun görülecek başka bir yöntemle ilan edilebilir.
4.5 Özel Nitelikli Kişisel Verilerin Korunması
Özel
nitelikli kişisel veriler, işlenmeleri halinde sahipleri hakkında ayrımcılık
yapılmasına neden olma riski taşıyan verilerdir. Bu nedenle diğer kişisel
verilere göre çok daha sıkı şekilde korunmaları gerekmektedir. Tanımlar kısmında belirtildiği üzere, kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi
inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti,
dernek, vakıf ya da sendika üyeliği,
sağlığı, cinsel hayatı, ceza mahkûmiyeti
ve güvenlik tedbirleriyle ilgili verileri ile biyometrik
ve genetik verileri Özel Nitelikli Kişisel Veridir. Şirketimiz tarafından Özel Nitelikli Kişisel Verilerin, başkaları tarafından öğrenildiği takdirde ilgili kişinin mağdur olabilmesine veya ayrımcılığa maruz kalabilmesine neden olabilecek nitelikte veriler olmaları
dikkate alınırak, hukuka uygun olarak işlenen bu tür kişisel verilerin korunması için gerekli
tüm tedbirler Şirketimiz’ce hassasiyetle alınmaktadır. Kanun’un 6.maddesinin
dördüncü fıkrasında özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul
tarafından belirlenen yeterli önlemlerin alınmasının şart olduğu
belirtilmektedir. Bu kapsamda konuyla ilgili KVK Kurulu’nun çıkarmış olduğu
kararlar Şirketimiz tarafından dikkate alınmakta ve özel nitelikli verilerin
korunmasında bu kararlara riayet edilerek önlemler alınmaktadır.
5.1 Kişisel Verilerin
İşlenmesinde Genel
İlkeler
Şirketimiz tarafından Kişisel Veriler,
Kanunda ve bu Politikada öngörülen usul ve esaslara uygun olarak
işlenir. Şirketimiz Kişisel Verileri Hukuka ve Dürüstlük Kurallarına
Uygun Olma Şirketimiz, Kişisel Verileri, ilgili mevzuata ve dürüstlük kuralının gereklerine uygun olarak
işlenir ve bu sınırlar içerisinde kullanılır.
5.2 Doğru ve Gerektiğinde Güncel Olma
Şirketimiz, Kişisel Veri Sahiplerinin
temel haklarını ve meşru menfaatlerini dikkate alarak işlediği Kişisel
Verilerin doğru ve güncel olmasını sağlar. Bu kapsamda verilerin elde edildiği
kaynakların belirli olması, doğruluğunun teyit edilmesi, güncellenmesi gerekip
gerekmediğinin değerlendirilmesi gibi hususları özenle dikkate alır.
5.2.1 Belirli, Açık
ve
Meşru Amaçlar İçin İşlenme
Şirketimiz, veri işleme amacını açık ve
kesin olarak belirler ve bu amacın meşru olmasını sağlar. Amacın meşru olması,
Şirketimiz’ in işlediği Kişisel Verilerin, yapmış olduğu iş veya sunmuş olduğu
hizmetle bağlantılı ve bunlar için gerekli olması anlamına gelir.
5.2.2 İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma
Şirketimiz, işlenen Kişisel Verilerin,
belirlenen amaçların gerçekleştirilebilmesine elverişli olmasını sağlar ve
amacın gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan Kişisel
Verilerin işlenmesinden kaçınır. Sonradan ortaya çıkması muhtemel ihtiyaçların
karşılanmasına yönelik veri işlemek için, işlemeye ilk kez başlıyor gibi,
Kanun’da düzenlenmiş olan Kişisel Verilerin işlenme şartlarından birini
gerçekleştirir. Ayrıca işlenen veriyi, sadece amacın gerçekleştirilmesi için
gerekli olanla sınırlı tutar.
5.2.3 İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç İçin Gerekli
Olan Süre Kadar Muhafaza Edilme
Şirketimiz, ilgili mevzuatta verilerin
saklanması için öngörülen bir süre bulunması halinde bu sürelere uyum gösterir;
aksi durumda Kişisel Verileri, ancak işlendikleri amaç için gerekli olan süre
kadar muhafaza eder. Şirketimiz tarafından bir Kişisel Verinin daha fazla
saklanması için geçerli bir sebep olmaması durumunda, söz konusu veri silinir,
yok edilir veya anonim hale getirilir.
5.3 Kişisel Verilerin
İşlenme
Şartları
Şirketimiz Kişisel Verileri veri
sahibinin açık rızası olmaksızın işlemez. Şirketimiz aşağıdaki şartlardan
birinin varlığı hâlinde, veri sahibinin açık rızası aranmaksızın Kişisel
Verileri işleyebilir.
5.3.1 Kanunlarda Açıkça Öngörülmesi
Şirketimiz, Kişisel Veri Sahiplerinin
Kişisel Verilerini açık rıza olmasa dahi kanunların açıkça öngördüğü hallerde
işleyebilir.
5.3.2 Fiili İmkânsızlık Nedeniyle Rızasını Açıklayamayacak Durumda
Bulunan veya Rızasına Hukuki Geçerlilik Tanınmayan Kişinin Kendisinin ya da Bir
Başkasının Hayatı veya Beden Bütünlüğünün Korunması için Zorunlu Olması
Şirketimiz tarafından, rızanın
açıklanamadığı ya da geçerli olmadığı hallerde, kişilerin hayat veya beden
bütünlüğünün korunması için Kişisel Veriler açık rıza olmadan işlenebilir.
Örneğin kişinin şuurunun yerinde olmadığı veya akıl hastası olması sebebiyle
rızasının geçerli olmadığı bir durumda, hayat veya beden bütünlüğünün korunması
amacıyla, tıbbi müdahale yapılması sırasında, Kişisel Veri Sahibinin Kişisel
Verileri işlenebilecektir. Bu bağlamda kan grubu, geçirilen hastalıklar ve
ameliyatlar, kullanılan ilaçlar gibi veriler, ilgili sağlık sistemi üzerinden
işlenebilir.
5.3.3 Bir Sözleşmenin Kurulması veya İfasıyla Doğrudan Doğruya İlgili
Olması Kaydıyla, Sözleşmenin Taraflarına Ait Kişisel Verilerin İşlenmesinin
Gerekli Olması
Şirketimiz tarafından bir sözleşmenin
kurulması veya ifasıyla ilgili olarak Kişisel Veriler işlenebilecektir.
Örneğin, yapılan bir sözleşme gereği paranın ödenmesi için alacaklı tarafın
hesap numarası alınabilecektir.
5.3.4 Şirketimiz’ in Hukuki Yükümlülüğünü Yerine Getirebilmesi İçin
Zorunlu Olması
Şirketimiz, veri sorumlusu olarak hukuki
yükümlülüklerini yerine getirebilmek için zorunlu ise, Kişisel Veri
Sahiplerinin Kişisel Verilerini işleyebilir.
5.3.5 Kişisel Veri Sahibi / İlgili Kişinin Kendisi Tarafından
Alenileştirilmiş Olması
Şirketimiz tarafından Kişisel Veri
Sahiplerinin kendisi tarafından alenileştirilen bir başka ifadeyle herhangi bir
şekilde kamuoyuna açıklanmış olan Kişisel Verileri, Kişisel Veri Sahipleri
tarafından alenileştirilen ve böylelikle herkes tarafından bilinebilecek hale
gelen bu tür verilerin işlenmesinde, korunması gereken hukuki yararın ortadan
kalktığı kabul edilmesi sebebiyle işlenebilir. Ancak Şirketimiz bu tür
verilerin işlenmesinde dahi gerekli özeni göstermekte ve aleni olan kişisel
verileri veri sahibinin söz konusu verileri alenileştirme amacının dışında
hiçbir suretle işlememektedir.
5.3.6 Bir Hakkın Tesisi, Kullanılması veya Korunması İçin Veri
İşlemenin Zorunlu Olması
Şirketimiz hukuken meşru bir hakkın
kullanılması veya korunması için veri işlemenin zorunlu olduğu hallerde Kişisel
Veri Sahiplerinin Kişisel Verilerini açık rıza aramaksızın işleyebilir. Örneğin
işten ayrılan bir işçinin dava zamanaşımı süresi boyunca dava konusu olabilecek
verilerinin saklanılmasına ilişkin veri sahibi işçiden rıza alınmasına gerek
olmayacaktır.
5.3.7 Kişisel Veri Sahiplerinin Temel Hak ve Özgürlüklerine Zarar
Vermemek Kaydıyla, Şirketimiz Tarafından Meşru Menfaatleri İçin Veri
İşlenmesinin Zorunlu Olması
Şirketimiz, Kişisel Veri Sahiplerinin
Kanun ve Politika kapsamında korunan temel hak ve özgürlerine zarar vermemek
kaydıyla meşru menfaatlerinin temini için Kişisel Verilerin işlenmesinin
zorunlu olduğu durumlarda Kişisel Veri Sahiplerinin Kişisel Verilerini
işleyebilir. Şirketimiz, Kişisel Verilerin korunmasına ilişkin temel ilkelere
uyulması ve Şirketimiz ile Kişisel Veri Sahiplerinin menfaat dengesinin
gözetilmesi konusunda gerekli hassasiyeti göstermektedir.
5.4 Özel Nitelikli
Kişisel Verilerin İşlenme Şartları
KVKK’ nın ilgili hükümleri doğrultusunda
Şirketimiz tarafından; özel nitelikli kişisel veriler, KVK Kurulu tarafından
belirlenecek olan yeterli önlemlerin alınması kaydıyla ancak kişisel veri
sahibinin açık rızası ile işlenebilmektedir. Kişisel veri sahibinin özel nitelikli
verilerinin işlenmesine yönelik açık rızası yok ise bu durumda ancak Kanun’un
6.maddesinin üçüncü fıkrasında sayılan istisnai haller kapsamında veriler
Şirketimiz tarafından işlenebilecektir. Buna göre; kişisel veri sahibinin
sağlığı ve cinsel hayatı dışındaki özel nitelikli kişisel veriler, kanunlarda
öngörülen istisnai hallerde; kişisel veri sahibinin sağlığına ve cinsel
hayatına ilişkin özel nitelikli kişisel verileri ise ancak kamu sağlığının
korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin
yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi
amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve
kuruluşlar tarafından işlenmektedir. Şirketimiz söz konusu istisnai hallerin
mevcut olması durumunda özel nitelikli verileri Kanun’a ve ilgili her türlü
mevzuata uygun olarak ilgili kişinin açık rızası olmadan işleyebilecektir.
5.5 Kişisel Verilerin Aktarılma
Şartları
Şirketimiz Kişisel Verileri işleme amaçları doğrultusunda gerekli gizlilik koşullarını
oluşturarak ve güvenlik
önlemlerini alarak
Kişisel Veri Sahiplerinin Kişisel Verilerini ve
Özel Nitelikli Kişisel Verileri üçüncü kişilere Kanuna uygun olarak aktarabilir. Şirketimiz Kişisel Verilerin
aktarılması sırasında Kanunda öngörülen düzenlemelere uygun hareket etmektedir. Bu
kapsamda Şirketimiz meşru ve hukuka uygun Kişisel Veri işleme amaçları doğrultusunda aşağıda sayılan, Kanunun 5. maddesinde belirtilen Kişisel Veri işleme şartlarından bir veya
birkaçına dayalı ve sınırlı olarak
Kişisel Verileri üçüncü kişilere:
·
Kişisel Veri
sahibinin açık
rızası var ise;
·
Kanunlarda Kişisel Verinin aktarılacağına
ilişkin açık bir düzenleme var
ise,
·
Kişisel Veri sahibinin veya başkasının hayatı veya beden bütünlüğünün korunması için zorunlu ise ve Kişisel Veri sahibi fiili imkânsızlık nedeniyle rızasını
açıklayamayacak durumda
ise veya rızasına hukuki
geçerlilik tanınmıyorsa,
·
Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili
olmak kaydıyla sözleşmenin taraflarına ait Kişisel
Verinin aktarılması gerekli
ise,
·
Şirketimiz’in hukuki yükümlülüğünü yerine getirmesi için Kişisel Veri aktarımı zorunlu
ise,
·
Kişisel Veriler, Kişisel
Veri
sahibi tarafından alenileştirilmiş ise,
·
Kişisel Veri
aktarımı bir hakkın tesisi, kullanılması veya
korunması için zorunlu ise,
·
Kişisel Veri sahibinin temel hak ve özgürlüklerine
zarar vermemek kaydıyla, Şirketimiz’in meşru menfaatleri
için Kişisel Veri aktarımı zorunlu
ise aktarabilir.
5.6 Kişisel Verilerin
Yurt Dışına Aktarılma
Şartları
Şirketimiz Kişisel Veri işleme amaçları doğrultusunda gerekli güvenlik önlemleri temin
etmek ve ilgili Kişisel Veri Sahibinin açık rızasını almak kaydıyla, ilgili
kişinin Kişisel Verilerini ve Özel Nitelikli Kişisel Verilerini yurt dışındaki üçüncü kişilere aktarabilir. Kanun’un 5.maddesinin ikinci fıkrası
veya özel nitelikli verilere ilişkin 6.maddenin üçüncü fıkrasında belirtilen
istisnai hallerden bir veya bir kaçının bulunması halinde Şirketimiz, kişisel verileri, KVK Kurulu tarafından yeterli korumaya sahip olduğu ilan edilen yabancı ülkelere veya yeterli korumanın
bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli
bir korumayı yazılı olarak taahhüt ettiği ve KVK Kurulu’nun izninin bulunduğu yabancı
ülkelere aktarılabilir.
6.1 Kişisel Verilerin Sınıflandırılması
·
Kimlik Bilgisi:
Ad-soy ad, T.C. kimlik numarası,
uyruk bilgisi, anne adı-baba adı, doğum yeri, doğum tarihi, cinsiyet gibi bilgileri
içeren ehliyet, nüfus cüzdanı ve pasaport gibi belgeler ile vergi numarası, SGK
numarası, imza bilgisi vb. bilgiler
·
İletişim Bilgisi:
Telefon numarası, adres, e-mail adresi, faks numarası, IP adresi gibi bilgiler
·
Müşteri Form Bilgisi:
Şirket’in müşterisi olan gerçek kişilere ait şikâyetlerin, taleplerin,
ihbarların iletildiği formlarda yer alan kimlik bilgileri, iletişim bilgileri,
talep, şikâyet veya ihbar kapsamında iletilen bilgiler.
·
Ses Kaydı: Şirket’e ait
çağrı merkezlerinin talep, şikâyet, ihbar vb. bildirimlerin iletilmesi
sırasında kişisel veri sahibinin işlem güvenliği nedeniyle ses kaydının
alınması suretiyle elde edilen ve veri sahibinin kimliğiyle ilişkilendirilen
kayıt bilgileri.
·
Lokasyon Verisi:
Kişisel veri sahibinin Şirket’e ait araç kullanırken bulunduğu yerin konumunu
tespit eden bilgiler, GPS lokasyonu, seyahat verileri vb.
·
Sağlık Verileri:
Sağlık raporları, muayene kayıtları, kişinin uygun sağlık koşullarını
sağladığına dair kayıtlar vb. veri sahibinin sağlığıyla ilgili her türlü
doküman veya bilgi.
·
Aile Bireyleri ve Yakın Bilgisi: Kişisel veri sahibinin aile bireyleri (örn. eş, anne, baba,
çocuk), yakınları ve acil durumlarda ulaşılabilecek diğer kişiler hakkındaki
bilgiler
·
Güvenlik
Bilgisi: Binalara girişte, bina içinde güvenlik amacıyla işlenen kişisel
veriler; kamera kayıtları ve bina girişlerinde elde edilen kişisel veriler
(ad-soy ad-TC- giriş-çıkış saati gibi)
·
Finansal Bilgi:
Banka hesap numarası, IBAN numarası, kredi kartı bilgisi, fatura, finansal
profil, malvarlığı verisi, maaş, gelir bilgisi gibi veriler.
·
Beceri ve Yetkinliklere İlişkin Bilgiler: Kişisel veri sahibinin yabancı dil bilgisi, bilgisayar/program
bilgisi, mesleki sertifikalar vb. gibi kişinin işle ilgili becerilerini ve
yetkinliğini gösterir bilgiler
·
Özlük Bilgisi:
Geçici süreli çalışanlar da dâhil olmak üzere çalışanlara ait özlük haklarının
oluşmasına temel olacak bilgilerin elde edilmesine yönelik işlenen her türlü
kişisel veri
6.2 Kişisel Verilerin
İşlenme
Amaçları
Şirketimiz Kanun’un 10. Maddesindeki aydınlatma yükümlülüğün yerine getirebilmek amacıyla veri sahiplerine, Kişisel Verilerin hangi amaçlarla
işleneceği, işlenen verilerin kimlere ve hangi amaçla aktarılabileceği konusunda bilgi verir.
Kişisel verileriniz; genel olarak insan kaynakları politikalarımızın en iyi şekilde planlanması ve uygulanması, ticari ortaklıklarımızın ve stratejilerimizin doğru olarak planlanması ve yürütülmesi, Şirketimiz’
in
ve iş ortaklarımızın hukuki, ticari ve fiziki güvenliğinin temini,
Şirketimiz kurumsal işleyişinin sağlanması, Şirketimiz tarafından sunulan ürün ve
hizmetlerden sizleri en iyi faydalandırmak için çalışmaların yapılması; Şirketimiz
tarafından sunulan ürün ve hizmetlerin sizlerin talep, ihtiyaç ve isteklerinize göre özel hale getirilerek
sizlere önerilmesi, veri güvenliğinin en üst düzeyde sağlanması, veri tabanlarının oluşturulması, Şirketimiz internet sitesinde sunulan hizmetlerin geliştirilmesi, Şirketimiz’
e talep ve şikâyetlerini iletenler
ile iletişime geçilmesi, Şirketimiz
internet sitesinde oluşan
hataların giderilmesi amaçlarıyla sınırlı olarak Kanun’un 5. ve 6. maddelerinde belirtilen kişisel
veri işleme şartları kapsamında işlenir.
6.2.1 Çalışan Adaylarının Kişisel Verilerinin İşlenme Amaçları
Şirketimiz’ e
iş başvurusunda bulunan çalışan adaylarının kişisel verileri:
§ Çalışan
Adaylarının durumunun, niteliğinin ve tecrübesinin başvurulan pozisyona
uygunluğunun denetlenmesi,
§ Başvurulan
pozisyon için en uygun adayın belirlenmesi,
§ Referansların
kontrolü, Çalışan Adayı’ nın vermiş olduğu bilgilerin doğrulunun teyit
edilmesi, Çalışan Adayı hakkında araştırma yapmak
§ Adayın
talebi ve konuya ilişkin vermiş olduğu açık rıza doğrultusunda ileride açılacak
uygun pozisyonlar için başvurunun değerlendirilmesi,
§ Başvuru ve
işe alım süreci hakkında Çalışan Adayı ile iletişime geçmek veya kişinin açık
rızası bulunması halinde, adayın niteliklerine uygun olarak sonradan açılan
herhangi bir pozisyon için aday ile iletişime geçmek,
§ İlgili
mevzuatın gereklerini ya da yetkili kurum veya kuruluşların taleplerini
karşılamak
amaçlarıyla sınırlı olarak Kanun’un 5. ve 6. maddelerinde
belirtilen kişisel
veri işleme şartları kapsamında işlenir
6.2.2 Çalışanlarımızın Kişisel Verilerin İşlenme Amaçları
Şirketimiz çalışanlarının kişisel verileri:
§ Çalışanların
yönetimi ve iş düzeninin sağlanması;
§ Yasal,
idari veya sözleşmesel yükümlülüklerin yerine getirilmesi;
§ Güvenlik ve
internet kullanımı ile ilgili koşullar gibi Şirket politikalarına uyumun
sağlanması;
§ Eğitim ve
kalite kontrol gibi işletmesel gerekliliklerin yerine getirilmesi;
§ Çalışanların
işe uyumunun sağlanabilmesi için oryantasyon programlarının yürütülmesi;
§ Çalışanlara
zimmetlenen eşyaların veya araçların takibi, kontrolü, denetlenmesi;
§ Çalışanların
mesai saatlerinin takibinin yapılması;
§ Şirket
nezdinde yürütülen faaliyetlere ilişkin her türlü belgenin, dokümanın takibinin
yapılması, kimler tarafından elde edildiği, ödünç alındığı, arşivlendiği, imha
edildiği ve benzeri faaliyetlerin kimler tarafından gerçekleştirildiğine
ilişkin kayıtların tutulması;
§ Sendikaların
kaynaktan kesme uygulaması gereği sendika üyelik aidatlarının maaştan
kesilebilmesi,
§ Şirket’in
iş sağlığı ve güvenliği mevzuatı çerçevesinde yükümlülüklerini yerine
getirilebilmesi
§ Çalışanların
performans değerlendirmelerinin yapılması;
§ Şirket içi
görev dağılımının yapılması, görev tanımlarının belirlenmesi, görev
değişikliklerinin bildirilmesi,
§ Şirket’in
iş sağlığı ve güvenliği mevzuatı çerçevesinde yükümlülüklerinin yerine
getirilebilmesi;
§ Çağrı
merkezlerinde işlem güvenliğinin sağlanması amacıyla;
§ Şirket içi
eğitimlerin organize edilmesi, eğitimlere katılımın takip edilmesi, eğitimlere
katılacak uygun çalışanların belirlenmesi;
§ Çalışanlara
ilişkin disiplin prosedürlerinin yürütülmesi;
§ Yangın,
deprem, sel ve benzeri her türlü doğal afet durumlarında veya insan sağlığının
tehlikeye sokabilecek doğal veya insan kaynaklı her türlü acil durumda
binalarda bulunan çalışan sayısının net bir şekilde belirlenebilmesi;
§ Çalışan
masraflarının belirlenmesi, harcırah çıkarılması, masrafların kontrol edilmesi,
çalışanlara gerekli ödemelerin yapılması, masrafların ve ödemelerin takibinin
yapılması;
§ Çalışılan
pozisyonun gerektirdiği sağlık koşullarına uygunluğun denetlenmesi, çalışanın
periyodik sağlık kontrolleri, muayene ve gözetimlerin yapılması, çalışanın
sağlığına uygun pozisyonda çalışmasına yönelik iş yerinde idari düzenlemelerin
yapılması,
§ İş
ilişkisinin sona ermesinden sonra ortaya çıkabilecek sağlığa dayalı hukuki
süreçlerin aydınlatılması, uyuşmazlıkların giderilmesi;
§ Sosyal
Güvenlik Kurumu’na gerekli bildirimlerin yapılması ve yasal yükümlülüklerin
yerine getirilmesi;
§ Çalışanların
terfilerinin, maaşlarının, primlerinin, izinlerinin ve benzeri haklarının
belirlenmesi;
§ Hediye veya
promosyon verilmesi, çekiliş veya yarışmalara dahil edilmesi, doğum günü
kutlaması veya çalışanlar veya onların yakınları lehine olan benzeri diğer
etkinliklerin gerçekleştirilmesi ya da yardımlarda bulunulması;
§ Anket ve
oylamalar ile çalışanların görüşünün alınması; Şirket tanıtım ve reklamlarının
oluşturulması ve geliştirilmesi;
§ Sözleşmeye
ve hukuka aykırılıkların soruşturulması, tespiti, önlenmesi, incelenmesi ve
ilgili idari veya adli makamlara bildirilmesi; referansların kontrolü; güvenli
çalışma uygulamalarının sağlanması, personelin sisteme girişlerinin ve personel
devamsızlıklarının kontrolü ve yönetimi;
§ İleride
Şirket ile çalışanlar arasında çıkabilecek uyuşmazlıkların çözümlenmesi;
Şirket’in birleşme, bölünme, tür değiştirme, kontrol değişikliği veya yeniden
yapılandırma gibi işlemlere tabi olması halinde, bu işlemlerin sağlıklı bir
şekilde gerçekleştirilmesi;
§ İşten
ayrılmalarda iş geliştirme ve uygulamadaki eksikliklerin giderilmesi amacıyla
çalışan görüşlerinin alınması
amaçlarıyla sınırlı olarak Kanun’un 5. ve 6. maddelerinde
belirtilen kişisel
veri işleme şartları kapsamında işlenir.
6.2.3 Müşterilerimizin Kişisel Verilerin İşlenme Amaçları
Şirketimiz
müşterilerinin kişisel verileri:
§ Şirketimiz’
le ile yapmış olduğunuz sözleşmelere ilişkin yükümlülüklerin yerine
getirilebilmesi ve diğer yasal, idari veya sözleşmesel yükümlülüklerin yerine
getirilmesi,
§ Etkin bir
müşteri hizmeti sunulması için soru, talep ve iddiaların yanıtlanması, müşteri
hesabı ile ilgili sorunların tespit edilmesi, tespit edilen sorunların
giderilmesi, Şirket’in uygulamalarının ve hizmetlerinin tanıtılması,
bildirilmesi;
§ Sözleşmeye
ve kanuna aykırılıkların soruşturulması, tespiti, önlenmesi, incelenmesi ve
ilgili idari veya adli makamlara bildirilmesi;
§ İleride
Şirket ile müşteri arasında çıkabilecek uyuşmazlıkların çözümlenmesi, Şirket’in
hukuki zeminde kendisine tanınan haklarını kullanması ve koruması;
§ Şirket’in
birleşme, bölünme, tür değiştirme, kontrol değişikliği veya yeniden
yapılandırma gibi işlemlere tabi olması halinde, bu işlemlerin sağlıklı bir
şekilde gerçekleştirilmesi
§ amaçlarıyla
sınırlı olarak Kanun’un 5. ve 6. maddelerinde belirtilen kişisel veri işleme
şartları kapsamında işlenir.
6.2.4 Tedarikçilerimizin Kişisel Verilerinin İşlenme Amaçları
Şirketimiz’ e herhangi bir şekilde ürün veya hizmet
sunan gerçek kişilere ait kişisel veriler:
§ Tedarikçi
ile yapılan sözleşmenin kurulması ve ifa edilmesi;
§ Tedarikçinin
sözleşmesel yükümlülüklerine uygun davranıp davranmadığının denetlenmesi,
§ Tedarikçilere
ödeme yapılması;
§ Şirket’in
hizmet/ürün alım politika ve süreçlerinin yönetilmesi;
§ İleride
Şirket ile tedarikçi arasında çıkabilecek uyuşmazlıkların çözümlenmesi;
§ amaçlarıyla
sınırlı olarak Kanun’un 5. ve 6. maddelerinde belirtilen kişisel veri işleme
şartları kapsamında işlenir.
6.2.5 Ziyaretçilerimizin Kişisel Verilerin İşlenme Amaçları
Ziyaretçilerimize ait kişisel veriler:
§ Şirket’in
ve çalışma ortamının güvenliğinin temini,
§ İleride
çıkabilecek hukuki uyuşmazlıkların giderilmesi
§ Yetkili
resmi kurum veya kuruluşların hukuka uygun olarak talep etmeleri halinde ilgili
kurumlara gerekli bildirimlerin resmi yollarla yapılması,
amaçlarıyla
sınırlı olarak Kanun’un 5. ve 6. maddelerinde belirtilen kişisel veri işleme
şartları kapsamında işlenir.
6.3 Şirketimiz çalışanlarının kişisel verileri Kişisel Verilerin
Aktarılma Amaçları
Kişisel Verileriniz, insan kaynakları politikalarımızın en iyi şekilde planlanması ve
uygulanması, ticari ortaklıklarımızın ve stratejilerimizin doğru olarak planlanması ve
yürütülmesi, Şirketimiz’in ve iş ortaklarımızın hukuki, ticari ve fiziki güvenliğinin temini, Şirketimiz kurumsal işleyişinin sağlanması, Şirketimiz tarafından sunulan ürün ve hizmetlerden sizleri en iyi faydalandırmak için çalışmaların yapılması; Şirketimiz
tarafından sunulan ürün ve hizmetlerin sizlerin talep, ihtiyaç ve isteklerinize göre özel hale getirilerek sizlere önerilmesi, veri güvenliğinin en üst düzeyde sağlanması, veri tabanlarının oluşturulması, Şirketimiz internet sitesinde sunulan hizmetlerin geliştirilmesi, Şirketimiz’e
talep ve şikâyetlerini iletenler
ile iletişime geçilmesi, Şirketimiz
internet sitesinde oluşan hataların giderilmesi amaçlarıyla sınırlı olarak Kanun’un 8. ve 9. maddelerinde belirtilen şartlar
kapsamında aktarılır.
6.4 Kişisel Verilerin Aktarılacağı Kişiler
Kişisel Verileriniz; hissedarlarımıza, iş ortaklarımıza, tedarikçilerimize, grup şirketlerimize,
iştiraklerimize, işbirliği içinde bulunduğumuz şirket ve kurumlara, akdi veya kanuni yükümlülüklerimizi
yerine getirmek amacıyla dışarıdan hizmet aldığı şirketlere (güvenlik,
sağlık, iş güvenliği, hukuk
vb. konularda), yetkili kurum ve kuruluşlara aktarılabilir.
7.1 Kişisel Veri Toplamanın Yöntemi
ve Hukuki Sebebi
Kişisel verileriniz, Şirketimiz
tarafından verilen hizmet ya da ticari faaliyete bağlı olarak değişkenlik
göstermekte olup, otomatik veya otomatik olmayan yöntemlerle; Şirketimiz ve
bağlı olan işletme müdürlükleri doğrudan, internet sitesi, çağrı merkezi, mobil
uygulamalar, sosyal medya mecraları ve benzeri nitelikteki belirli
vasıtalarla; sözlü, yazılı veya
elektronik olarak toplanmaktadır. Şirketimiz’ le elektrik enerjisi sağlamak
amacıyla yapmış olduğunuz anlaşmalar esnasında ve bu süreçteki her aşamada
verdiğiniz kişisel verileriniz, Şirketimiz’ in sunduğu ürün ve hizmetlerden
yararlandığınız müddetçe ve güncellenerek işlenecektir. Ayrıca, Şirketimiz ürün
ve hizmetlerini kullanmak amacıyla çağrı merkezimizi veya internet sayfamızı
kullandığınızda, Şirketimiz’ i veya internet sitemizi ziyaret ettiğinizde yahut
abonelik, tahakkuk, tahsilat ve fatura ödeme işlemleri gerçekleştirdiğinizde ve
Şirketimiz’ in düzenlediği eğitim, seminer veya organizasyonlara katıldığınızda
kişisel verileriniz işlenebilecektir.
Söz konusu kişisel verileriniz; Veri Sahibi ile Şirket
arasındaki hukuki duruma göre, elektrik
piyasası mevzuatı kapsamında faaliyetlerimizi yürütmek amacıyla veri
sahiplerinin Kanun’un 5.maddesinin birinci fıkrası uyarınca vermiş olduğu açık
rıza ve Kanun’un 5.maddesinin ikinci fıkrası ile 6.maddesinin üçüncü fıkrasında
belirtilen açık rızanın istisnası olan hallerden kaynaklanan hukuki sebeplerle
işlenmektedir. Kişisel verileriniz belirtilen hukuki sebeplerle başta 6331
sayılı İş Sağlığı ve Güvenliği Kanunu, 4857 sayılı İş Kanunu, 6098 sayılı Türk
Borçlar Kanunu, 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu
olmak üzere yürürlükte olan her türlü mevzuata uygun şekilde ve işbu Politika’ da
belirtilen amaçlarla Şirketimiz tarafından toplanmaktadır.
7.2 Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hâle Getirilmesi
Kişisel Verilerin silinmesi, yok
edilmesi veya anonim hâle getirilmesine ilişkin diğer kanunlarda yer alan
hükümler saklı kalmak kaydı ile Şirketimiz, bu Kanun ve diğer kanun hükümlerine
uygun olarak işlemiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan
kalkması hâlinde Kişisel Verileri resen veya veri sahibinin talebi üzerine
siler, yok eder veya anonim hale getirir.
Kişisel verilerin silinmesi ile bu veriler
tekrar hiçbir şekilde kullanılamayacak ve geri getirilemeyecek şekilde imha
edilir. Buna göre veriler, kayıtlı oldukları evrak, dosya, CD, disket, hard
disk gibi araçlardan geri dönüştürülemeyecek şekilde silinir.
Verilerin yok edilmesi ise, bilgilerin tekrar geri getirilemeyecek ve kullanılamayacak şekilde, verilerin kaydedildiği evrak, dosya, CD, disket, hard disk gibi veri saklamaya elverişli materyallerin imha
edilmesini
ifade etmektedir.
Verilerin anonim hale getirilmesiyle, Kişisel Verilerin başka verilerle eşleştirilse dahi kimliği
belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi
kastedilmektedir.
Kişisel
Verilerin Silinmesi ve Yok Edilmesi Teknikleri Şirket tarafından en çok
kullanılan silme veya yok etme teknikleri aşağıda sıralanmaktadır:
§ Fiziksel Olarak Yok Etme (Physical Destruction): Kişisel
veriler herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik
olmayan yollarla da işlenebilmektedir. Bu tür veriler silinirken/yok edilirken
kişisel verinin sonradan kullanılamayacak biçimde fiziksel olarak yok edilmesi
sistemi uygulanmaktadır.
§ Yazılımdan
Güvenli Olarak Silme (Secure Deletion Software): Tamamen veya kısmen otomatik
olan yollarla işlenen ve dijital ortamlarda muhafaza edilen veriler
silinirken/yok edilirken; bir daha kurtarılamayacak biçimde verinin ilgili
yazılımdan silinmesine ilişkin yöntemler kullanılır.
§ Uzman Tarafından Güvenli Olarak Silme (Sending to a Specialist
for Secure Deletion): Şirket bazı durumlarda kendisi adına kişisel verileri
silmesi için bir uzman ile anlaşabilir. Bu durumda, kişisel veriler bu konuda
uzman olan kişi tarafından bir daha kurtarılamayacak biçimde güvenli olarak
silinir/yok edilir.
7.3 Kişisel Verilerin Saklanma Süresi
Şirket, temel
ilke olarak ilgili kanunlarda ve mevzuatlarda öngörülmesi durumunda kişisel
verileri bu mevzuatlarda belirtilen süre boyunca saklanmasını esas almaktadır.
Kişisel verilerin ne kadar süre boyunca saklanması gerektiğine ilişkin
mevzuatta bir süre düzenlenmemişse, kişisel veriler Şirket o veriyi işlerken
yürütülen faaliyet ile bağlı olarak Şirket’in uygulamaları ve ticari yaşamının
teamülleri veya ilgili kanunlarda öngörülen zamanaşımı süreleri uyarınca
işlenmesini gerektiren süre kadar işlenmekte daha sonra silinmekte, yok
edilmekte veya anonim hale getirmektedir.
Kişisel verilerin işlenme amacı sona ermiş ise, Şirket ilgili mevzuat açısından saklanma sürelerinin de sonuna gelinmişse; kişisel veriler yalnızca olası hukuki uyuşmazlıklarda delil teşkil etmesi veya kişisel veriye bağlı ilgili hakkın ileri sürülebilmesi veya savunmanın tesis edilmesi amacıyla saklanabilmektedir. Buradaki sürelerin belirlenmesinde bahsi geçen hakkın ileri sürülebilmesine yönelik zamanaşımı süreleri ile zamanaşımı sürelerinin geçmesine rağmen daha önce aynı konularda Şirket’e yöneltilen taleplerdeki örnekler esas alınarak saklama süreleri belirlenmektedir. Bu durumda saklanan kişisel verilere herhangi bir başka amaçla erişilmemekte ve ancak ilgili hukuki uyuşmazlıkta kullanılması gerektiği zaman ilgili kişisel verilere erişim sağlanmaktadır. Burada bahsi geçen süre sona erdikten sonra kişisel veriler silinmekte, yok edilmekte veya anonim hale getirilmektedir.
|
SAKLAMA VE İMHA SÜRELERİ TABLOSU |
||
|
Kişisel Veri Sahibi Kategorisi |
İşlenen Kişisel Veriler |
Azami Muhafaza Süresi |
|
Çalışan adayı |
Kimlik
bilgileri, fotoğraf, iletişim bilgileri, eğitim bilgileri, yabancı dil,
bilgisayar hâkimiyeti gibi yetkinliklere ilişkin bilgiler, geçmiş iş
tecrübeleri, referanslara ilişkin bilgiler, kişinin hobileri, askerlik
bilgisi, sağlık problemlerine ilişkin bilgi |
Verilen
rıza kapsamında 6 ay |
|
Çalışan |
Kimlik bilgileri, adres bilgileri, iletişim bilgileri, özlük
bilgileri, aile bireyleri ve yakın bilgisi,
fotoğraf, finansal bilgi, eğitim öğrenim bilgileri, beceri ve
yetkinliklere ilişkin bilgiler, geçmiş çalışma tecrübeleri, referanslara
ilişkin bilgiler, medeni durum, eş ve çocuklarına ait bilgiler, mülakat
notları, yönetici değerlendirmeleri, çalışanlara ait sayısal ve sözel
değerlendirmeler, sabıka kaydı, sağlık verileri, askerlik bilgisi, işe giriş
çıkış saatleri, disiplin kayıtları, vize ve pasaport bilgileri, otel
rezervasyonları, seyahat bilgileri, kamera kaydı görüntüleri, sendika
bilgileri, (Sistem odasına giriş yetkisi olan çalışanlar için parmak izi) |
İş ilişkisi devam ettiği sürece, İş ilişkisinin sona ermesinden
itibaren TBK 146 gereği 10 yıllık süre boyunca
Parmak izi verileri işten ayrılmaların ardından silinmekte.
Sağlık verileri, İş Sağlığı ve Güvenliği Hizmetleri Yönetmeliği
7/1-b maddesi uyarınca işten ayrılmaların ardından 15 yıllık süre boyunca
saklanmaktadır. |
|
Müşteri |
Kimlik
bilgisi, iletişim bilgisi, finansal bilgiler, müşteri form bilgisi, ses kaydı |
TBK
md.146 uyarınca 10 yıl |
|
Tedarikçi |
Kimlik bilgileri, iletişim bilgileri, finansal bilgiler |
TBK md.146 uyarınca 10 yıl |
|
Ziyaretçi |
Kimlik
bilgileri, giriş çıkış saatleri, kamera
kaydı görüntüleri |
Azami
50 gün |
|
3.kişi |
Çalışanın eşine ve çocuklarına ait kimlik bilgileri, eşin
çalışıp çalışmadığı, çocukların öğrenim durumlarına ilişkin Asgari Geçim
İndirimi kapsamında istenen bilgiler |
İş ilişkisi devamı süresince, işten ayrılmaların ardından TBK
md.146 gereği 10 yıl. |
|
Çalışanın
eşine ve çocuklarına ait kimlik bilgileri, eşin çalışıp çalışmadığı,
çocukların öğrenim durumlarına ilişkin Asgari Geçim İndirimi kapsamında
istenen bilgiler |
İş
ilişkisi devamı süresince, işten ayrılmaların ardından TBK md.146 gereği 10
yıl. |
|
|
Çalışanın referans gösterdiği kişilere ilişkin kimlik bilgileri,
iletişim bilgileri, kişinin iş yerindeki pozisyonu |
6 ay |
|
7.4 Kişisel Verilerin Saklanmasını Ve İmhasını Gerektiren Teknik Ve
Hukuki Sebepler
Kanun’un
7.maddesi uyarınca işlenmesini gerektiren sebepler ortadan kalktığı takdirde
kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi
gerekmektedir.
Türk Borçlar
Kanunu md. 146 gereğince “ Kanun’da aksine bir hüküm bulunmadıkça, her alacak
on yıllık zamanaşımına tabidir.” Buna göre olası bir alacak davasında delil
olarak sunulabilecek olan verilerin söz konusu maddede belirtilen süreler
boyunca saklanmasında Şirketimiz kendisine yasal çerçevede sunulan haklarının
tesis edilmesi, korunması veya kullanılması kapsamında meşru bir menfaati
bulunmaktadır.
Türk Ticaret
Kanunu’nun 82.maddesinin beşinci fıkrası uyarınca, aynı maddenin birinci
fıkrasının (a) ve (d) bentlerinde belirtilen belgelerin 10 yıl saklanması
gerekmektedir. Bu kapsamda ilgili maddede belirtilen belgelerde yer alan
kişisel verilerin de 10 yıl saklanması gerekecektir.
Vergi Usul Kanunu
md.253’e göre defter tutmak mecburiyetinde olanlar, tuttukları defterlerle
kanunun üçüncü kısmında yazılı vesikaları, ilgili bulundukları yılı takip eden
takvim yılından başlayarak beş yıl süre ile muhafaza etmeye mecburdurlar.
6331 sayılı İş Sağlığı ve Güvenliği
Kanununun 6 ncı, 8 inci, 24 üncü, 27 nci, 30 uncu ve 31
inci maddeleri ile 9/1/1985 tarihli ve 3146 sayılı Çalışma ve Sosyal Güvenlik
Bakanlığının Teşkilat ve Görevleri Hakkında Kanunun 2 nci ve 12 nci maddelerine
dayanılarak hazırlanan İş Sağlığı ve Güvenliği Hizmetleri Yönetmeliği’nin
7.maddesinin b fıkrası uyarınca İşveren ilgili mevzuatta belirlenen süreler
saklı kalmak kaydıyla; İşyerinde yürütülen iş sağlığı ve güvenliği
faaliyetlerine ilişkin her türlü kaydı tutmak ve işten ayrılma tarihinden
itibaren en az 15 yıl süreyle çalışanların kişisel sağlık dosyalarını
saklamakla yükümlüdür. Bu kapsamda Şirket çalışanlarına ait iş sağlığı ve
güvenliğine ilişkin veriler ile sağlık verilerinin yönetmelikte belirlenen
şekilde kaydı tutulacak ve veriler saklanacaktır.
8.1 Kişisel Veri Sahibinin
Aydınlatılması
Şirketimiz,
Kanun’un 10. maddesine uygun olarak, kişisel verilerin elde edilmesi
sırasında Kişisel Veri Sahiplerini aydınlatmaktadır. Bu kapsamda varsa, Şirket temsilcisinin kimliği, kişisel verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi ile Kişisel Veri
Sahibinin sahip olduğu hakları konusunda
aydınlatma yapmaktadır.
8.2 Kişisel Veri Sahibinin Kanun Uyarınca Hakları
Şirketimiz, Kanun’un 10.maddesi uyarınca size haklarınızı bildirmekte; söz konusu hakların
nasıl kullanılacağına dair yol göstermekte ve tüm bunlar için gerekli iç işleyişi, idari ve teknik
düzenlemeleri gerçekleştirmektedir. Şirketimiz, Kanun’un 11.maddesi uyarınca kişisel verileri alınan kişilere;
§ Kişisel veri
işlenip işlenmediğini
öğrenme,
§ Kişisel verileri işlenmişse buna
ilişkin bilgi talep
etme,
§ Kişisel
verilerin işlenme
amacını ve bunların amacına uygun
kullanılıp kullanılmadığını öğrenme,
§ Yurt
içinde veya yurt
dışında kişisel verilerin aktarıldığı üçüncü kişileri
bilme,
§ Kişisel verilerin eksik veya yanlış
işlenmiş olması halinde bunların düzeltilmesini
isteme,
§ Kanun’un 7 nci maddesinde öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini
isteme,
§ Kanun’un 11.
Maddesinin (d) ve (e) bentleri
uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
§ İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına
itiraz etme,
§ Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması halinde zararın giderilmesini talep etme haklarının olduğunu açıklar.
İlgili
kişilerin haklarını kullanmasına yönelik usul ve esasların belirlendiği KVK
Kurulu tarafından çıkarılan Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında
Tebliğ’de (“Tebliğ”) başvurunun ne şekilde yapılacağı ile ilgili açıklamalar
yer almaktadır. Buna göre “ilgili kişi,
Kanunun 11 inci maddesinde belirtilen hakları kapsamında taleplerini, yazılı
olarak veya kayıtlı elektronik posta (KEP) adresi, güvenli elektronik imza,
mobil imza ya da ilgili kişi tarafından veri sorumlusuna daha önce bildirilen
ve veri sorumlusunun sisteminde kayıtlı bulunan elektronik posta adresini
kullanmak suretiyle veya başvuru amacına yönelik geliştirilmiş bir yazılım ya
da uygulama vasıtasıyla veri sorumlusuna iletir” denilmek suretiyle başvurunun
ne şekilde yapılması gerektiği belirtilmektedir. Aynı tebliğde başvuruda yer
alması gereken asgari unsurlar da belirtilmektedir. Buna göre başvuruda yer
alması gereken asgari unsurlar: Ad, soy ad ve başvuru yazılı ise
imza; Türkiye Cumhuriyeti vatandaşları için T.C. kimlik numarası, yabancılar
için uyruğu, pasaport numarası veya varsa kimlik numarası; tebligata esas
yerleşim yeri veya iş yeri adresi, varsa bildirime esas elektronik posta
adresi, telefon ve faks numarası, talep konusu şeklinde sıralanmaktadır. Yine
söz konusu tebliğde belirtilen hususlardan birisi de başvurunun hangi tarihten
itibaren yapılmış sayılacağıdır. Tebliğin 5.maddesinde bu durum ikiye ayrılarak
şu şekilde izah edilmektedir: yazılı başvurularda, veri sorumlusuna veya
temsilcisine evrakın tebliğ edildiği tarih, diğer yöntemlerle yapılan
başvurularda; başvurunun veri sorumlusuna ulaştığı tarih, başvuru tarihidir.
Kanun’un
uygulanmasıyla ilgili taleplerinizi söz konusu tebliğ ile KVK Kurulu’nun
belirlemiş olduğu yöntemler vasıtasıyla Şirketimiz’ e iletebilirsiniz.
Şirketimiz başvuruda yer alan taleplerinizi, talebin niteliğine göre en kısa
sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandırır. KVK Kurulu’nun
çıkarmış olduğu söz konusu tebliğde ücrete ilişkin hükümler de yer almaktadır.
Buna göre Şirketimiz’ e yapacağınız başvuruya yazılı olarak cevap verilecekse,
on sayfaya kadar ücret alınmaz. On sayfanın üzerindeki her sayfa için 1 Türk
Lirası işlem ücreti alınabilecektir. Başvuruya cevabın
CD, flash bellek gibi bir kayıt ortamında verilmesi halinde ise
Şirketimiz’ ce kayıt ortamının maliyetini geçmeyecek şekilde bir ücret talep
edilebilecektir.
Şirketimiz, talebi kabul edebileceği gibi gerekçesini açıklayarak
reddedebilir; cevabını ilgili kişiye
yazılı olarak veya elektronik ortamda bildirir. Başvuruda yer alan talebin kabul edilmesi
hâlinde Şirketimiz gereğini
yerine getirir. Başvurunun Şirketimiz’
in
hatasından kaynaklanması hâlinde alınan ücret veri
sahibine iade
edilir.
Başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap
verilmemesi hâllerinde; veri sahibi, cevabı
öğrendiği tarihten itibaren otuz ve her hâlde başvuru tarihinden itibaren
altmış gün içinde Kurula
şikâyette bulunma hakkına sahiptir.
8.3 Politika ve Kanunun Tamamen veya Kısmen Uygulanmayacağı Haller
Bu Politika ve Kanun hükümleri
aşağıdaki hâllerde
uygulanmayacaktır:
§ Kişisel verilerin, üçüncü kişilere verilmemek ve veri güvenliğine ilişkin yükümlülüklere uyulmak kaydıyla gerçek kişiler tarafından tamamen kendisiyle
veya aynı konutta yaşayan aile fertleriyle ilgili faaliyetler kapsamında
işlenmesi.
§ Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle
araştırma, planlama
ve istatistik gibi amaçlarla işlenmesi.
§ Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında
işlenmesi.
§ Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini
veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler
kapsamında işlenmesi.
§ Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin
olarak yargı makamları veya
infaz mercileri tarafından işlenmesi.
Bu
Politikanın ve Kanunun amacına ve temel ilkelerine uygun ve orantılı olmak
kaydıyla veri sorumlusunun aydınlatma yükümlülüğünü düzenleyen 10 uncu, zararın
giderilmesini talep etme hakkı hariç, ilgili kişinin haklarını düzenleyen 11
inci ve Veri Sorumluları Siciline kayıt yükümlülüğünü düzenleyen 16 ncı
maddeleri aşağıdaki hâllerde uygulanmayacaktır:
§ Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli
olması.
§ İlgili kişinin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi.
§ Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili
kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca,
denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya
kovuşturması için gerekli olması.
§ Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik
ve mali çıkarlarının korunması için gerekli olması.
9.1 Kişisel
Verilerin Hukuka Uygun İşlenmesini Sağlamak için Alınan Teknik ve İdari
Tedbirler
Şirketimiz tarafından, kişisel verilerin
güvenliğinin sağlanması için, gerekli her türlü teknik ve idari tedbirler alınmaktadır.
Şirketimiz nezdinde alınan idari ve teknik tedbirlere aşağıda yer
verilmektedir:
9.1.1 Ekipman
Güvenliği
§ Hassas
bilgiler içeren evraklar, bilgi ve belgelerin masa üzerinde kolayca
ulaşılabilir yerlerde ve açıkta bırakılmamaktadır. Bu bilgi ve belgeler kilitli
yerlerde muhafaza edilmektedir.
§ Kullanım
ömrü sona eren, artık ihtiyaç duyulmadığına karar verilen bilgiler kâğıt
öğütücü, disk/disket kıyıcı, yakma vb. metotlarla imha edilmektedir.
§ Elektrik
şebekesine yedekli bağlantı, kesintisiz güç kaynağı gibi önlemler ile
ekipmanları elektrik arızalarından koruyacak tedbirler alınmıştır.
§ Güç ve
iletişim kablolarının fiziksel etkilere ve dinleme faaliyetlerine karşı
korunması için önlemler alınmıştır.
§ Personelin
kullandığı masaüstü veya dizüstü bilgisayarlar iş sonunda ya da masa
terkedilecekse ekran kilitlemektedir. Kilitlenmeyi unutan personele gerekli
uyarılar yapılmakla birlikte açık bırakılan ekranlar 15 dakika işlemsiz
bırakıldığında ekran otomatik kitlenecek şekilde ayarlamıştır.
§ Sistemlerde
kullanılan şifre, telefon numarası ve T.C kimlik numarası gibi bilgiler ekran
üstlerinde veya masa üstünde bulunmamaktadır.
§ Faks
makinelerinde gelen giden yazılar sürekli kontrol edilmekte ve makinede yazı
bırakılmamaktadır.
§ Her türlü
bilgiler, şifreler, anahtarlar ve bilginin sunulduğu sistemler, ana makineler
(sunucu), PCler vb. cihazlar yetkisiz kişilerin erişebileceği şifresiz ve
korumasız bir şekilde başıboş bırakılmamaktadır.
§ Ekipman
yerleşimi yapılırken çevresel tehditler ve yetkisiz erişimden kaynaklanabilecek
zararların asgari düzeye indirilmeye çalışılmaktadır.
§ Ekipman,
gereksiz erişim asgari düzeye indirilecek şekilde yerleştirilmektedir.
§ Kritik veri
içeren araçlar yetkisiz kişiler tarafından gözlenemeyecek şekilde
yerleştirilmiştir.
§ Özel koruma
gerektiren ekipman izole edilmiştir.
§ Nem ve
sıcaklık gibi parametreler izlenmektedir.
§ Hırsızlık,
yangın, duman, patlayıcılar, su, toz, sarsıntı, kimyasallar, elektromanyetik
radyasyon, sel gibi potansiyel tehditlerden kaynaklanan riskleri düşürücü
kontroller uygulanmaktadır.
§ Bilgi işlem
araçlarının yakınında yeme, içme ve sigara içme konularını düzenleyen kurallar
bulunmaktadır.
§ Elektrik,
su, kanalizasyon ve iklimlendirme sistemleri destekledikleri bilgi işlem
dairesi için yeterli düzeydedir.
§ Elektrik
şebekesine yedekli bağlantı, kesintisiz güç kaynağı gibi önlemler ile
ekipmanları elektrik arızalarından koruyacak tedbirler alınmıştır.
§ Yedek
jeneratör ve jeneratör için yeterli düzeyde yakıt bulundurulmaktadır.
§ Su
bağlantısı iklimlendirme ve yangın söndürme sistemlerini destekleyecek
düzeydedir.
§ Acil
durumlarda iletişimin kesilmemesi için servis sağlayıcıdan iki bağımsız hat
kullanılmaktadır.
§ Karışmanın
olmaması için güç kabloları ile iletişim kabloları ayrıştırılmıştır.
§ Hatalı
bağlantıların olmaması için ekipman ve kablolar açıkça etiketlenmiş ve
işaretlenmiştir.
§ Hassas ve
kritik bilgiler için ekstra güvenlik önlemleri alınmaktadır.
§ Alternatif
yol ve iletişim kanalları mevcuttur.
§ Bağlantı
panelleri ve odalara kontrollü erişim altyapısı kurulmuştur.
§ Ekipmanın
bakımı, üreticinin tavsiye ettiği zaman aralıklarında ve üreticinin tavsiye
ettiği şekilde yapılmaktadır.
§ Bakım
sadece yetkili personele yaptırılmaktadır.
§ Tüm şüpheli
ve mevcut arızalar ve bakım çalışmaları için kayıt tutulmaktadır. (BGYS.FR.002)
§ Ekipman
bakım için kurum dışına çıkarılırken kontrolden geçirilmektedir.
§ Üretici
garantisi kapsamındaki ürünler için garanti süreleri kayıt altına alınmakta ve
takip edilmektedir.
§ Kurum alanı
dışında bilgi işleme için kullanılacak ekipman için yönetim tarafından yetkilendirme
yapılmaktadır.
§ Tesis
dışına çıkarılan ekipmanın başıboş bırakılmamasına, seyahat halinde dizüstü
bilgisayarların el bagajı olarak taşınması konusunda bilgilendirme
yapılmaktadır.
§ Cihazın
muhafaza edilmesi ile ilgili olarak üretici firmanın talimatlarına
uyulmaktadır.
§ Kurum alanı
dışında kullanılacak ekipmanlar için uygulanacak güvenlik önlemleri, tesis
dışında çalışmaktan kaynaklanacak farklı riskler değerlendirilerek
belirlenmektedir.
§ Kritik
depolama cihazlarının içerdiği bilginin bir daha okunamaması için klasik silme
veya format işlemlerinin ötesinde yeterli düzeyde işlem yapılmaktadır.
9.2 İşletim
Sistemleri ve Son Kullanıcı Güvenliği
§ Kurum,
işletim sistemlerinin güncel ve güvenli olması için yama yönetimi yapmaktadır.
§ Kurum,
bilgisayar başındaki kullanıcının doğru kullanıcı olup olmadığını tespit etmek
için her bilgisayarda etki alanı kimlik doğrulamasını sağlamaktadır.
§ Kurum,
mevcut envanteri haricindeki donanımların, kurum bilgisayarlarında kullanımını
engellemektedir.
§ İşletim
sistemlerinde kurulumda gelen yönetici hesaplarının (Administrator, root) kaba
kuvvet saldırılarına karşı, Microsoft ürünlerinde pasif hale getirilmesi, Linux
tabanlı ürünlerde root hesabına ssh erişiminin engellenmesi gerekir.
§ Son
kullanıcılar sistemlere, etki alanları dâhilinde kendilerine verilmiş kullanıcı
adı ve şifreleri ile bağlanmaktadır.
§ Son
kullanıcılar, yetkileri dâhilinde sistem kaynaklarına ulaşabilmekte ve
internete çıkabilmektedir.
§ Son
kullanıcıların yetkileri, içinde bulundukları departmana göre belirlenmektedir.
§ Son
kullanıcıların internet üzerindeki ve ortak paylaşıma açık network
alanlarındaki aktiviteleri, güvenlik zafiyetlerine ve bilgi sızdırmalarına
karşı 5651 sayılı yasa kapsamında loglanarak kayıt altına alınmaktadır.
§ Güvenlik
zafiyetlerine karşı, son kullanıcılar kendi hesaplarının ve/veya sorumlusu
oldukları cihazlara ait kullanıcı adı ve şifre gibi kendilerine ait bilgilerin
gizliliğini korumakta ve başkaları ile paylaşmamaktadır.
§ Son
kullanıcılar bilgisayarlarında ki ve sorumlusu oldukları cihazlarda ki
bilgilerin yedeklerini harici disklere aktarmaktadır.
§ Son
kullanıcılar, güvenlik zafiyetlerine sebep olmamak için, bilgisayar başından
ayrılırken mutlaka ekranlarını kilitleme, son kullanıcı tarafından ekranı
kilitlenmeyen bilgisayarlar ise 15 dakika içerisinde otomatik kilitlenmektedir.
§ Son
kullanıcılar, mesai bitiminde bilgisayarlarını kapatmaktadır.
§ Kullanıcı
bilgisayarlarında, güncel anti virüs bulunmaktadır.
§ Kurum, son
kullanıcı güvenliğine dair oluşturulmuş grup politikalarını, etki alanı
üzerinden kullanıcı onayı olmaksızın uygulamaktadır.
§ Temiz masa,
temiz ekran ilkesi benimsenmiş ve hayata geçirilmiştir.
§ Kurum, son
kullanıcıların farkında olmadan yapabilecekleri ve sonunda zafiyet
yaratabilecek değişikleri merkezi grup politikalarıyla engellemektedir.
§ Kullanıcılarına
yeni parolaları bildirilirken sms gibi daha güvenli yöntemler kullanılmalıdır.
9.3 Kriptoloma
Yöntemleri
§ Sunuculara
bağlantı kurulurken kriptolu yöntemler tercih edilmektedir. Düz metin
kullanarak veri alışverişi yapan yöntemlerin kullandığı portlar gerekirse
kapatılmaktadır.
9.4 Parola
Güvenliği
§ Harflerin
yanı sıra, rakam ve "? , @, ! , #, %, +, -, *, %" gibi özel
karakterler içermektedir.
§ Büyük ve
küçük harfler bir arada kullanılmaktadır.
§ Güçlü
parola yöntemleri kullanılması konusunda personel uyarılmaktadır. Örneğin: t
yerine +, B yerine 8, Z yerine 2, o yerine 0(sıfır) gibi.
§ Parolalar
türlerine göre 90 ila 120 günlük periyotlarla değiştirilirler. Personel aynı
parolanın tekrar kullanılmaması konusunda ve isim, doğum tarihi, şirket adı
gibi kolay tahmin edilebilir rakam ve harf kombinasyonlarının parola olarak
kullanılmaması konusunda uyarılmaktadır.
9.5 İnternet ve
Elektronik Posta Güvenliği
§ E-postaya
eklenecek dosya uzantıları “.exe”, “.vbs” veya yasaklanan diğer uzantılar
olamaz. Zorunlu olarak bu tür dosyaların iletilmesi gerektiği durumlarda,
dosyalar sıkıştırılarak ( zip veya rar formatında) mesaja eklenmektedir.
§ Kullanıcıya
resmi olarak tahsis edilen e-posta adresi, kötü amaçlı ve kişisel çıkar amaçlı
kullanılmayacağı konusunda uyarılar yapılmaktadır.
§ Spam,
zincir, sahte vb. zararlı olduğu düşünülen e-postalara yanıt
verilmemektedir. Farkındalık eğitimlerinde bu husus personele anlatılmakta
ve böyle bir durumda sistem yöneticisi ile irtibata geçilmesi gerektiği
belirtilmektedir.
§ Kurum ile
dış dünya arasında ki yazışmalar SSL protokolü ile güvence altına alınmaktadır.
§ Kullanıcı,
e-posta kullanımı sırasında dile getirdiği tüm ifadelerin kendisine ait
olduğunu kabul etmektedir. Suç teşkil edebilecek, tehditkâr, yasadışı, hakaret
edici, küfür veya iftira içeren, ahlaka aykırı mesajların içeriğinden kullanıcı
sorumludur.
9.6 Sunucu ve
Sistem Güvenliği
§ Kuruma ait
sistemler ve sunucular dışarıdan gelebilecek saldırılara karşı, güncel
teknolojilere sahip donanımsal firewall cihazları ile korunmaktadır.
§ Kurum
çalışanlarının internete çıkışlarının kontrol edilerek, zararlı ve kurum
politikasına uymayan sitelere erişimlerinin engellenmesi için proxy cihazları
ile korunmaktadır.
§ Kritik
servislere erişim kayıt altına alınmaktadır.
§ Sunucu
üzerinde çalışan işletim sistemleri, yazılımlar ve anti virüs vb. koruma amaçlı
yazılımlar sürekli güncellenmektedir.
§ Sistem
yöneticileri 'Administrator' ve 'root' gibi genel sistem hesapları
kullanılmamaktadır.
§ Ayrıcalıklı
bağlantılar teknik olarak güvenli kanal (SSL, VPN gibi şifrelenmiş ağ)
üzerinden yapılmaktadır.
§ Sunucu
kurulumları, konfigurasyonları, işletim sistemi yedeklemeleri, yamaları,
güncellemeleri Sistem Yönetimi tarafından yapılmaktadır.
§ Sunucular
üzerinde lisanslı yazılımlar kurulmaktadır.
§ Sistem,
uygulama, veritabanı vb. yedekleri düzenli aralıklarla alınmaktadır. Yedekler
sunucu üzerinde tutulmalarının yanı sıra ayrı bir storage da saklanmaktadır.
§ Sistemlerin
ve verilerin bir kopyası farklı bir lokasyonda tutulmaktadır.
§ Cihazlar
üzerinde yerel kullanıcı hesapları açılmamaktadır.
§ Yazılım ve
donanımlarının erişim logları, merkezi log sisteminde tutulmakta ve
izlenmektedir.
§ Donananım
konfigurasyon yedekleri düzenli olarak alınmakta ve bir yedekleme sunucusunda
tutulmaktadır.
§ Tüm ağ ve
sistem cihazlarında bir NTP sunucusu kullanılarak tarih ve saatlerin eşzamanlı
olması sağlanmaktadır.
9.7 Ağ
Cihazları Güvenliği
§ Router,
switch gibi ağ cihazlarında ön tanımlı hesaplar ve şifreler kullanılmamakta.
Erişim için güvenli şifre ve kullanıcı adı tanımlanmaktadır.
§ Ağlara,
cihazları erişim listeleri her zaman güncel tutulmaktadır.
§ Cihazlar
üzerinde kullanılmayan servisler kapatılmaktadır.
§ Cihazların
başında yetkisiz kişilerin erişimini önlemek amacıyla Console(Konsol) portu
için “enable şifresi” gibi kodlanmış ayrı bir parola verilmektedir.
§ Güçlü bir
şifreleme ve erişim kontrol sistemi kullanılmaktadır. Bunun için Wi-Fi
Protected Access2 (WPA2-kurumsal) şifreleme kullanılmaktadır.
§ Varsayılan
SSID(Service Set Identifier - kablosuz ağı tanımlayan addır- ) isimleri
kullanılmamaktadır. SSID ayar bilgisi içerisinde kurumla ilgili bilgi
olmamaktadır, mesela kurum ismi, ilgili bölüm, çalışanın ismi vb.
§ Kurum
kullanıcısı olmayan kişilerin, kablosuz ağa yetkisiz erişimi
engellenmektedir.
§ Ağa dahil
olan her cihaz ve kullanıcı için erişimler sınırlandırılmalıdır. Sadece
internete çıkacak olan kullanıcılar ile diğer uygulamalara (ses, güvenlik,
mobilite vb.) erişim kısıtlanmalı gerekirse networkler farklı IP aralıkları
üzerinde ayarlanmış, cihaz üzerinde ve firewall üzerinde Access Control Listler
(Yetki kuralları) oluşturulmuştur.
§ Erişim
cihazları (Access point) üzerinden gelen kullanıcılar Firewall üzerinden kurum
ağına dâhil olmaktadırlar.
§ Erişim
cihazları üzerinden gelen kullanıcıların ağ kaynaklarına erişim yetkileri,
internet üzerinden gelen kullanıcıların yetkileri ile sınırlı olmaktadır.
§ Kullanıcı
bilgisayarlarında kişisel anti-virüs ve güvenlik duvarı yazılımları yüklü
olmaktadır.
§ Kablosuz
erişim noktalarının aktif cihazlara giden kablolamasında fiziksel güvenliğe
dikkat edilmektedir.
§ Kurum
çalışanlarının kullandığı ile misafirler için olan SSID’ler farklı
olmaktadır.
§ Kablosuz ağ
cihazlarına erişim sadece yetkili kişiler tarafından SSH ile ya da cihaz
başında console (konsol) ile yapılmakta, http ve telnet kapatılmaktadır.
9.8 Uzaktan
Erişim Yönetimi
§ İnternet
üzerinden Kurumun herhangi bir yerindeki bilgisayar ağına erişen kişiler
ve/veya kurumlar VPN teknolojisini kullanmaktadırlar. Bu; veri bütünlüğünün
korunması, erişim denetimi, mahremiyet, gizliliğin korunması ve sistem
devamlılığını sağlamaktadır. VPN teknolojileri IpSec, SSL, VPDN, PPTP, L2TP vb.
protokoller kullanılmaktadır.
§ Kurum
çalışanları bağlantı bilgilerini hiç kimse ile paylaşmaması konusunda
bilgilendirilmiştir.
§ Kurum ağına
uzaktan erişecek bilgisayarların işletim sistemi ve anti virüs yazılımı
güncellemeleri yapılmıştır.
§ Kurumdan
ilişiği kesilmiş veya görevi değişmiş kullanıcıların gerekli bilgileri
yürütülen projeler üzerinden otomatik olarak alınmakta, yetkiler ve hesap
özellikleri buna göre güncellenmektedir. Bu kapsamda personelin erişim
yetkilerini belirleyen bir erişim politikası hazırlanmıştır.
§ Uzak erişim
verilecek olan kullanıcılara sözleşmesine göre günlük saatlik izinler
verilmektedir.
§ Uzak
erişimle kurulan bağlantılarda, bağlanan kişinin tüm internet hareketleri
loglanmaktadır.
§ Uzak erişim
bağlantısında boşta kalma süresi (herhangi bir işlem yapılmadığı takdirde
connection timeout süresi) kurumun ihtiyacına göre limitlendirilmektedir.
9.9 Veri Tabanı
Güvenliği
§ Bilgilerin
saklandığı sistemler fiziksel güvenliği sağlanmış sistem odalarında
tutulmaktadır.
§ Veri
tabanında kritik verilere her türlü erişim işlemleri (okuma, değiştirme, silme,
ekleme) kaydedilmekte ve veri tabanı sistemleri envanteri dokümante edilmektedir.
§ Yama ve
güncelleme çalışmaları yapılmadan önce bildirimde bulunulmalı ve sonrasında
ilgili uygulama kontrolleri gerçekleştirilmelidir.
§ Veri tabanı
sunucusu sadece ssh, rdp, ssl ve veri tabanının orijinal yönetim yazılımına
açık olmalı; bunun dışında ftp, telnet vb. gibi açık metin şifreli bağlantılara
kapalı olmalıdır.
§ Veri tabanı
sunucusuna ancak zorunlu hallerde "root" veya "admin"
olarak bağlanılmaktadır. Root veya admin şifresi tanımlı kişi/kişilerde
bulunmamaktadır.
§ Bağlanacak
kişilerin kendi adına kullanıcı adı verilmekte ve yetkilendirme yapılmaktadır.
§ Veri
tabanlarında yönetici yetkisine sahip (sysdba, sysoper, admin vb.) kullanıcı
haklarına hangi kullanıcıların sahip olduğu kontrol edilmektedir.
§ Veri tabanı
sunucularına ancak yetkili kullanıcılar erişmektedir.
§ Veri tabanı
kullanıcılarının mesai saatleri içerisinde deployment yapmaları
engellenmektedir.
§ Alınan veri
tabanı yedekleri disklerdeki doluluk oranına bağlı olarak en azından en son
full yedek ve devamındaki incremental yedekleri olacak şekilde saklanmalıdır.
§ Veri tabanı
sunucularına kod geliştiren kullanıcı dışında diğer kullanıcılar bağlanıp sorgu
yapamamaktadır. Veri tabanından rapor sorgusu yapacak kullanıcılara sadece
“select” yetkisi tanımlanmıştır. Bunun dışında veri tabanlarından “update,
delete ve/veya join” istekleri çalıştıramamaktadır.
§ Veri tabanı
sistemlerinde tutulan bilgiler sınıflandırılırken ve uygun yedekleme
politikaları oluşturulurken, yedeklemeden sorumlu sistem yöneticileri
belirlenmiş ve yedeklerin düzenli olarak alınması kontrol altında tutulmuştur.
Belirli aralıklarla yedekten geri dönme senaryoları ile yedeklerin güvenirliği
test edilmektedir.
§ Veri tabanı
yedekleme planları dokümante edilmelidir. Hangi veri tabanının, hangi yöntem
ile hangi gün ve saatte yedeğinin alındığını içermektedir.
§ Yama ve
güncelleme çalışmaları yapılmadan önce bildirimde bulunulmakta ve sonrasında
ilgili uygulama kontrolleri gerçekleştirilmektedir.
§ Sistem
dokümantasyonu güvenli şekilde saklanmaktadır.
§ Ara yüzden
gelen kullanıcılar bir tabloda saklanmalı, bu tablodaki kullanıcı adı ve
şifreleri şifrelenmiş(encrypted) bulunmaktadır.
§ Veri
tabanlarında kullanıcı oluşturulabilmesi için üst idare tarafından hazırlanacak
bir taahhütname doldurulmakta, üst idareye resmi yazı ile başvurulmakta, veri
tabanındaki herhangi bir nesne için yapılacak yetki talepleri, ilgili nesnenin
sahibi olan birim sorumlusundan veya proje yöneticisinden yazılı olarak veya
e-posta yoluyla yapılmakta ve telefon ile teyit edildikten sonra yetkilendirme
yapılmaktadır.
§ En üst
düzey veri tabanı yöneticiliği yetkisi sadece bir kullanıcıda bulunmaktadır.
§ Veri
tabanında bulunan farklı şemalara, kendi yetkili kullanıcısı dışındaki diğer
kullanıcıların erişmesi engellenmektedir.
§ Veri tabanı
sunucularına ancak yetkili kullanıcılar erişmektedir.
§ Bütün
şifreler düzenli aralıklarla değiştirilmektedir. Şifre belirleme konusunda “Parola
Güvenliği Politikası” esas alınmaktadır.
§ Veri tabanı
kullanıcıları belirli aralıklarla incelenmeli ve veri tabanının kendi
oluşturduğu veya sonradan oluşturulan ama kullanılmayan kullanıcı hesapları
belirlenmekte ve kilitlenmektedir.
§ Veri tabanı
yedeklerinin başarılı bir şekilde alınıp alınmadığı bilgisi, yedekleme
işleminin sonunda otomatik olarak e-posta yoluyla veri tabanı yöneticilerine
gönderilmektedir.
§ Veri tabanı
tablo erişim hakları belli aralıklarla denetlenmektedir.
9.10 Kaydedilebilir
Taşınır Materyaller Güvenliği
§ Taşınacak
veri eğer usb disk ile taşınacaksa bu usb diskin tehdit unsuru olan bir yazılım
içermediğinin kontrolleri anti virüs ve malware programları ile
yapılmaktadır.
§ Cd ve dvd
lerde veri saklamak için ise kaliteli medyalar kullanmakta, düşük hızla
yazdırmakta, alt yüzeye mümkün olduğunca temas etmemekte, nemli, ışık almayan
ortamlarda cd leri çok fazla sıkıştırmadan saklamaktadır.
§ Kötü amaçlı
kimselerin bilgilerimize ulaşmasını engellemek için taşınabilir
materyallerimizi güvenilir şekilde muhafaza edilmesi, gerekirse kilitli
dolaplarda muhafaza edilmesi konusunda personellere gerekli bilgilendirme
yapılmaktadır.
9.11 İhlal
Bildirim ve Yönetimi
§ İhlali
yapan kullanıcı tespit edilmesi ve ihlalin suç unsuru içerip içermediği
belirlenmektedir.
§ Güvenlik
ihlaline neden olan çalışanlar ve üçüncü taraflarla ilgili resmi bir disiplin
sürecine başvurulmaktadır.
§ Tüm
çalışanlar, üçüncü taraf kullanıcıları ve sözleşme tarafları bilgi güvenliği
olayını önlemek maksadıyla güvenlik zayıflıklarını doğrudan kendi yönetimlerine
veya hizmet sağlayıcılarına mümkün olan en kısa sürede rapor etmekte
sorumludurlar.
§ Bilgi
sistemi arızaları ve hizmet kayıpları, zararlı kodlar, dos atakları,
tamamlanmamış veya yanlış iş verisinden kaynaklanan hatalar, gizlilik ve
bütünlük ihlâlleri, bilgi sistemlerinin yanlış kullanımı gibi farklı bilgi
güvenliği olaylarını bertaraf edecek tedbirler alınmıştır.
§ Normal
olasılık planlarına ilave olarak olayın tanımı ve sebebinin analizi, önleme,
tekrarı önlemek maksadıyla düzeltici tedbirlerin planlanması ve uygulanması,
olaylardan etkilenen veya olaylardan kurtulanlarla iletişim, eylemin ilgili
otoritelere raporlanması konuları göz önüne alınmaktadır.
9.12 Bilgi
Güvenliği İzleme ve Denetleme
§ Bilgi
Güvenliği Sistemi düzenli olarak denetlenmektedir.
§ Denetim
yapacak personelin Bilgi Güvenliği konusunda yetkilendirilmiş kurumlardan iç
denetim eğitimi almaları, denetime katılacak kişilerin iç denetçi
sertifikasının olmasına dikkat edilmektedir.
9.13 Kişisel Veri İhlallerinin Önlenmesi ve İhlalin Gerçekleşmesi
Durumunda Alınacak Eylemler
Belirtildiği
üzere, Şirketimiz Kanun uyarınca veri güvenliğine ilişkin yükümlülüklerini
eksiksiz yerine getirmekte olup, kişisel verilerin Kanuna ve ilgili mevzuata
uygun şekilde muhafaza edilmesine ve veri güvenliğinin temin edilmesine yönelik
her türlü teknik ve idari tedbiri almaktadır. Ayrıca Şirketimiz’de olası bir
veri ihlali durumunda söz konusu ihlalin en kısa sürede veri sahibine ve
Kişisel Veri Koruma Kurum’a bildirmeye yönelik prosedürler
uygulanmaktadır. Bu kapsamda, Şirketimiz
nezdinde tutulan verilerin herhangi bir şekilde hukuka aykırı erişilmesi
halinde, ihlali öğrenen çalışanımız tarafından derhal “Kişisel Veri İhlal
Bildirim Formu” doldurmaktadır ve söz konusu forma göre veri sahibine ve
Kişisel Veri Koruma Kurumuna ivedi bir şekilde bildirim yapılmaktadır.
Çalışanlarımıza bu prosedürün eksiksiz bir şekidle yürütülebilmesi amacıyla
gerekli bilgilendirmeler yapılmakta ve eğitimler verilmektedir.
Olası veri ihlali durumunda Şirketimiz
tarafından uygulanacak olan prosedüre aşağıda yer verilmektedir.
§ Bilginin
gizlilik, bütünlük ve kullanılabilirlik açısından zarar görmesi, bilginin son
kullanıcıya ulaşana kadar bozulması, değişikliğe uğraması ve başkaları
tarafından ele geçirilmesi, yetkisiz erişim gibi güvenlik ihlali durumlarında
mutlaka kayıt altına alınmalıdır.
§ Bilgi
güvenlik olayı raporlarının bildirilmesini, işlem yapılmasını ve işlemin
sonlandırılmasını sağlayan sürecin oluşturulmalıdır.
§ Bilgi
güvenliği ihlâli oluşması durumunda kişilerin tüm gerekli faaliyetleri
hatırlamasını sağlamak maksadıyla bilgi güvenliği olayı rapor formatı
hazırlanmalıdır.
§ İhlali
yapan kullanıcı tespit edilmeli ve ihlalin suç unsuru içerip içermediği
belirlenmelidir.
§ Tüm
çalışanlar, üçüncü taraf kullanıcıları ve sözleşme tarafları bilgi güvenliği
olayını önlemek maksadıyla güvenlik zaafiyetleriı doğrudan kendi yönetimlerine
veya hizmet sağlayıcılarına mümkün olan en kısa sürede rapor edilir.
§ Bilgi
sistemi arızaları, zararlı kodlar, gizlilik ve bütünlük ihlâlleri veya bilgi
sistemlerinin yanlış kullanımı gibi farklı bilgi güvenliği olaylarını bertaraf
edecek tedbirler alınır.
§ Normal
olasılık planlarına ilave olarak olayın tanımı ve sebebinin analizi, önleme,
tekrarı önlemek maksadıyla düzeltici tedbirlerin planlanması ve uygulanması,
olaylardan etkilenen veya olaylardan kurtulanlarla iletişim, eylemin ilgili
otoritelere raporlanması konuları göz önüne alınır.
§ İç problem
analizi, adli incelemeler veya üretici firmadan zararın telafi edilmesi için
aynı türdeki olayların izleme kayıtları (log) toplanır ve korunur.
§ Bilgi
güvenliği olaylarının değerlendirilmesi sonucunda edinilen bilgi ile edinilen
tecrübe ve yeni kontrollerin oluşturulması, aynı olayın tekrar etmesini
önleyecek veya yüksek etkili olayların oluşmasını engelleyecektir.
§
Kanıt toplama; kuruluş içerisinde disiplin faaliyeti
için delil toplanırken uygulanacak genel kurallar şunlardır;
ü
Kanıtın mahkemede kullanılıp kullanılamayacağı ile ilgili kabul
edilebilirlik derecesi,
ü
Kanıtın niteliği ve tamlığını gösteren ağırlığı.