Demir Otomat – Kurumsal Kişisel Verilerin Korunması Politikası
- Doküman Adı: Kişisel Verilerin Korunması Politikası
- Amaç: Demir Otomat tarafından kişisel verilerin korunmasına yönelik süreçlerin planlanması ve uygulanacak esasların belirlenmesi
- Yayınlanma Tarihi: 02.01.2023
- Versiyon: 1
- Referans / Gerekçe: 6698 sayılı Kişisel Verilerin Korunması Kanunu ve sair mevzuat
- Onay Merci: Demir Otomat Elektrik Malz. Ve İnş. San. Tic. Ltd. Şti. Yönetim Kurulu
1. Amaç
Her bireyin kendisi ile ilgili kişisel verilerin korunmasını isteme hakkı Anayasa’dan doğan kutsal bir haktır.
Demir Otomat Elektrik Malz. Ve İnş. San. Tic. Ltd. Şti. olarak bu hakkın gereklerini yerine getirmeyi en değerli görevlerimizden biri olarak kabul ediyoruz.
Bu nedenle kişisel verilerinizin hukuka uygun olarak işlenmesine ve korunmasına önem veriyoruz.
Kurumsal Kişisel Verilerin Korunması Politikası, kişisel verileri işlerken ve korurken temel aldığımız ilkeleri ve uyguladığımız prosedürleri belirlemek amacıyla hazırlanmıştır.
2. Kapsam
Politika; Demir Otomat Elektrik Malz. Ve İnş. San. Tic. Ltd. Şti.’nin yönettiği bütün kişisel veriler üzerinde,
tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla gerçekleştirilen
elde etme, kaydetme, depolama, muhafaza, değiştirme, yeniden düzenleme, açıklama, aktarma, devralma, erişilebilir hâle getirme,
sınıflandırma veya kullanımın engellenmesi gibi tüm işlemleri kapsar.
Politika; şirket ortaklarının, yetkililerinin, müşterilerinin, çalışanlarının, tedarikçi yetkililerinin ve çalışanlarının ve üçüncü kişilerin işlenen tüm kişisel verilerine ilişkindir.
Demir Otomat, Politika’yı mevzuata ve Kişisel Verileri Koruma Kurumu’nun kararlarına uyum ve kişisel verilerin daha iyi korunması amaçlarıyla değiştirebilir.
3. Tanımlar
| Alıcı Grubu | Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisi. |
| Açık Rıza | Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza. |
| Anonim Hale Getirme | Kişisel verilerin, başka verilerle eşleştirilerek dahi kimliği belirli/belirlenebilir bir kişiyle ilişkilendirilemeyecek hale getirilmesi. |
| İlgili Kişi | Kişisel verisi işlenen gerçek kişi. |
| İlgili Kullanıcı | Verilerin teknik olarak depolanması/korunması/yedeklenmesinden sorumlu kişi/birim hariç; veri sorumlusu organizasyonu içinde veya talimatla kişisel verileri işleyen kişiler. |
| İmha | Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi. |
| Kanun/KVKK | 6698 Sayılı Kişisel Verilerin Korunması Kanunu. |
| Kayıt Ortamı | Kişisel verilerin bulunduğu her türlü ortam. |
| Kişisel Veri | Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi. |
| Veri Envanteri | İş süreçlerine bağlı işleme faaliyetlerinin; amaç/hukuki sebep, veri kategorisi, alıcı grubu, saklama süresi, aktarım ve güvenlik tedbirleri ile detaylandırıldığı envanter. |
| Kişisel Verilerin İşlenmesi | Kişisel veriler üzerinde gerçekleştirilen her türlü işlem (elde etme, kaydetme, depolama, aktarma, vb.). |
| Komisyon | Politika’yı ve ilgili prosedürleri yönetmek ve yürürlüğünü sağlamak amacıyla kurulan Kişisel Verileri Koruma Komisyonu. |
| Kurul | Kişisel Verileri Koruma Kurulu. |
| Kurum | Kişisel Verileri Koruma Kurumu. |
| Özel Nitelikli Kişisel Veri | Irk, etnik köken, siyasi düşünce, dini inanç, sağlık, cinsel hayat, ceza mahkûmiyeti, biyometrik/genetik vb. veriler. |
| Periyodik İmha | İşleme şartları ortadan kalkınca, saklama ve imha politikasında belirtilen tekrar eden aralıklarla re’sen silme/yok etme/anonimleştirme. |
| Politika | Kişisel Verilerin Korunması Politikası. |
| Veri İşleyen | Veri sorumlusunun verdiği yetkiye dayanarak veri sorumlusu adına kişisel verileri işleyen gerçek veya tüzel kişi. |
| Veri Sorumlusu | Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen; kayıt sisteminin kurulması ve yönetiminden sorumlu gerçek veya tüzel kişi. |
4. Genel İlkeler
Demir Otomat, yeni bir kişisel veri işlemeyi gerektiren iş akışlarının hazırlık aşamasında aşağıdaki ilkelere uygunluğu denetler;
uygun bulunmayan iş akışları hayata geçirilmez.
- Hukuka ve dürüstlük kurallarına uyma
- Doğru ve gerektiğinde güncel olma
- Belirli, açık ve meşru amaçlarla işlenme
- Amaçla bağlantılı, sınırlı ve ölçülü işlenme
- Gerekli süre kadar muhafaza etme; amaç ortadan kalktığında imha etme
5. Görev ve Sorumluluklar
Demir Otomat bünyesinde kişisel verilerin işlenmesine ilişkin işbu Politika’yı ve diğer prosedürleri yönetmek ve Politika’nın yürürlüğünü sağlamak amacıyla
Kişisel Verilerin Korunması Komisyonu kurulmuştur. Komisyon’u Genel Müdür, İnsan Kaynakları Sorumlusu, İdari ve Mali İşler Şefi oluşturmaktadır.
Gerekli görülmesi halinde KVKK danışmanlığı desteği alınabilir.
- Olağan olarak 6 ayda bir toplanır; şartlar gerektirirse olağanüstü toplanabilir.
- Politika’da değiştirilmesi/geliştirilmesi gereken hususları tartışır.
- Kişisel verilerin hukuka uygun işlenmesi ve korunması adına yapılabilecekleri tespit eder.
- Şirket içi ve iş ortakları nezdinde KVKK farkındalığı için adımları belirler.
- Riskleri tespit eder; idari ve teknik tedbirleri alır.
- Kurum ile irtibatı sağlar ve ilişkileri yönetir.
- İlgili kişi taleplerini değerlendirir.
- Periyodik imha süreçlerini takip eder.
- Veri Envanteri’ni günceller.
- Gerekli görevlendirmeleri yapar.
6. Veri Güvenliği İçin Alınan Tedbirler
Demir Otomat; (i) kişisel verilerin hukuka aykırı işlenmesini önlemek, (ii) hukuka aykırı erişimi önlemek, (iii) muhafazayı sağlamak amacıyla
uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirleri alır.
6.1. Teknik Tedbirler
- Ağ güvenliği ve uygulama güvenliği sağlanır.
- BT sistemleri tedarik/geliştirme/bakım süreçlerinde güvenlik önlemleri alınır.
- Erişim logları düzenli tutulur.
- Güncel anti-virüs sistemleri kullanılır.
- Güvenlik duvarları kullanılır.
- Kişisel veri içeren fiziksel ortamlara giriş-çıkış güvenliği sağlanır.
- Yangın/sel vb. dış risklere karşı fiziksel güvenlik sağlanır.
- Ortam güvenliği sağlanır.
- Kişisel veriler yedeklenir; yedek güvenliği sağlanır.
- Kullanıcı hesap yönetimi ve yetki kontrol sistemi uygulanır.
- Log kayıtları kullanıcı müdahalesi olmadan tutulur.
- Saldırı tespit ve önleme sistemleri kullanılır.
- Şifreleme yapılır.
6.2. İdari Tedbirler
- Çalışanlar için veri güvenliği hükümleri içeren disiplin düzenlemeleri mevcuttur.
- Eğitim ve farkındalık çalışmaları yapılır.
- Erişim, bilgi güvenliği, kullanım, saklama ve imha politikaları hazırlanır ve uygulanır.
- Gerektiğinde veri maskeleme uygulanır.
- Gizlilik taahhütnameleri yapılır.
- Yetki matrisi oluşturulur.
- Görev değişikliği/işten ayrılmada yetkiler kaldırılır.
- Sözleşmeler veri güvenliği hükümleri içerir.
- Politika ve prosedürler belirlenir.
- Veri güvenliği sorunları hızlı raporlanır.
- Takip/denetim yapılır.
- Kişisel veriler mümkün olduğunca azaltılır.
- Periyodik ve/veya rastgele denetimler yapılır/yaptırılır.
- Mevcut risk ve tehditler belirlenir.
- Özel nitelikli kişisel veri güvenliğine yönelik protokol/prosedürler uygulanır.
- Özel nitelikli veri e-posta ile gönderilecekse şifreli ve KEP/kurumsal posta ile gönderilir.
- Hizmet sağlayıcıların veri güvenliği farkındalığı sağlanır.
7. İlgili Kişinin Hakları
İlgili kişi, Demir Otomat’a başvurarak aşağıdaki konularda talepte bulunabilir:
- Kişisel verilerinin işlenip işlenmediğini öğrenme
- İşlenmişse buna ilişkin bilgi talep etme
- İşlenme amacını ve amacına uygun kullanılıp kullanılmadığını öğrenme
- Yurt içinde/yurt dışında aktarıldığı üçüncü kişileri öğrenme
- Eksik/yanlış işlenmişse düzeltilmesini isteme ve aktarılanlara bildirilmesini isteme
- İşleme sebepleri kalkmışsa silinmesini/yok edilmesini/anonimleştirilmesini isteme ve aktarılanlara bildirilmesini isteme
- Otomatik sistemlerce analiz sonucu aleyhe durum çıkmasına itiraz etme
- Kanuna aykırı işleme nedeniyle zararın giderilmesini talep etme
8. İhlal Bildirimleri
Demir Otomat çalışanları, KVKK hükümlerini ve/veya Politika’yı ihlal ettiğini düşündüğü iş, eylem veya olguyu Komisyon’a raporlar.
Komisyon gerekli görmesi halinde toplanır ve ihlale ilişkin eylem planı oluşturur.
İhlal, kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi yoluyla gerçekleşmişse,
Komisyon, Kurul’un 24.01.2019 tarih ve 2019/10 sayılı kararı kapsamında durumu 72 saat içerisinde ilgilisine ve Kurul’a bildirir.
9. Değişiklikler
Politika üzerindeki değişiklikler Komisyon tarafından hazırlanır ve Demir Otomat Yönetim Kurulu’nun onayına sunulur.
Güncellenen Politika çalışanlara e-posta ile gönderilebilir veya internet sitesi üzerinde yayınlanır.
10. Yürürlük Tarihi
Politika’nın işbu versiyonu 02.01.2022 tarihinde Yönetim Kurulu tarafından onaylanarak yürürlüğe girmiştir.