POLİTİKANIN AMAÇ VE DAYANAĞI
Kanunun 12 nci maddesinin birinci fıkrasında;
“Veri sorumlusu;
- a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
- b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
- c) Kişisel verilerin muhafazasını sağlamak
amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.” hükmü yer almaktadır.
Bu kapsamda, kişisel verilerin işlenmesi sürecinde ÖZEMEK PLASTİK PROFİL VE KALIP SAN. TİC. LTD. ŞTİ. olarak veri saklama ile teknik ve idari tedbirler konusunda politikalarımızın detaylandırılması ve açıklanması için hazırlanmıştır.
POLİTİKANIN KAPSAMI
Kişisel verilerin güvenliğinin sağlanması için öncelikle şirketimiz tarafından işlenen tüm kişisel verilerin neler olduğu “kişisel veri işleme envanteri” ile ortaya çıkarılmıştır. İş bu envanterde ;
- Kişisel verilerin özel nitelikli kişisel veri olup olmadığı,
- kişisel verilerin işlenmesinin hukuki sebebi ve amacı,
- Saklama süreleri ve alıcı grupları belirtilmiştir.
Şirket olarak “kişisel veri işleme envanterine” sadık kalınacaktır. Kapsam dahilinde idari ve teknik tedbirler alınacaktır.
KİŞİSEL VERİLERİN ÖZEMEK PLASTİK PROFİL VE KALIP SAN. TİC. LTD. ŞTİ. TARAFINDAN SAKLANMASI USULLERİ
KAYIT ORTAMLARI
Veri sahiplerine ait kişisel veriler, ŞİRKETİMİZ tarafından aşağıdaki tabloda listelenen ortamlarda başta KVKK hükümleri olmak üzere ilgili mevzuata uygun olarak ve uluslararası veri güvenliği prensipleri çerçevesinde güvenli bir şekilde saklanmaktadır:
Elektronik ortamlar:
- MAİL SERVER
- TIGER LOGO – BORDRO – CANIAS – PDKS
- FILE SERVER
- FİREWALL
Fiziksel ortamlar:
- Birim Dolapları
- ARŞİV
- KİŞİSEL VERİ GÜVENLİĞİNE İLİŞKİN İDARİ TEDBİRLER
- Çalışanların Eğitilmesi ve Farkındalık Çalışmaları
Çalışanların, kişisel verilerin hukuka aykırı olarak açıklanmaması ve paylaşılmaması gibi konular hakkında eğitim almaları, çalışanlara yönelik farkındalık çalışmaları yapılması amacıyla şirket bünyemizde veri işleyen ve veri işlme potansiyeli olan tüm çalışanlarımıza farkındalık eğitimleri verilmiştir.
Öte yandan, çalışanlarımızın yükümlülüklerinin bir parçası olarak gizlilik anlaşmalarını imzalamaları imzalanmıştır/imzalanacaktır.
Çalışanların güvenlik politika ve prosedürlerine uymaması durumunda devreye girecek bir disiplin yönetmeliğine maddeler eklenmiştir.
Kişisel veri güvenliğine ilişkin politika ve prosedürlerde önemli değişikliklerin meydana gelmesi halinde; yapılacak yeni eğitimlerle bu değişikliklerin, çalışanların bilgilerine sunulacak ve bilgilerinin güncel tutulması sağlanmalıdır.
- Kişisel Verilerin Mümkün Olduğunca Azaltılması
Kanunun 4 üncü maddesinin ikinci fıkrasının (b) ve (d) bentleri uyarınca kişisel veriler, gerektiğinde doğru ve güncel olmalı, ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmelidir. İş bu amaçla şirketimiz bünyesinde;
- Ziyaretçi/misafirlerin kişisel verileri tutulmamaktadır,
- İhtiyaç olmayan veriler “kişisel veri saklama ve imha politikası ile kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi” yönetmeliğine uygun olarak imha edilmektedir,
Bunun yanında, yetkisiz erişimin önüne geçilebilmesi için kişisel veri işleme amaçlarına uygun olmasına rağmen, veri sorumlularının sıklıkla erişimi gerekmeyen ve arşiv amaçlı tutulan kişisel verilerin, güvenli ortamlarda muhafaza edilmektedir.
- Veri İşleyenler ile İlişkilerin Yönetimi
- Veri sorumlusu olan şirketimiz, bilgi teknolojileri ihtiyaçlarını karşılamak için dışarıdan veri işleyenlerden hizmet alması gerektiği durumlarda söz konusu veri işleyenlerin kişisel veriler konusunda güvenliği sağladığından emin olunacaktır. Zira Kanunun 12 nci maddesinin ikinci fıkrası gereği veri işleyenler de kişisel verilerin güvenliğinin sağlanması konusunda veri sorumlusuyla müştereken sorumludur.
Veri işleyen ile imzalanan sözleşmenin yazılı olacaktır, veri işleyenin sadece veri sorumlusunun (şirketimizin) talimatları doğrultusunda, sözleşmede belirtilen veri işleme amaç ve kapsamına uygun ve kişisel verilerin korunması mevzuatı ile uyumlu şekilde hareket edeceğine ilişkin hüküm içerecek, veri işleyenin, işlediği kişisel verilere ilişkin olarak süresiz sır saklama yükümlülüğüne tabi olacağı hususları da sözleşmede yer alacaktır.
- Yine şirketimiz bünyesinde veri işleme pozisyonu olan çalışanlarımızla KVKK kapsamında yükümlülüklerini düzenleyen sözleşme imzalanmıştır.
- KİŞİSEL VERİ GÜVENLİĞİNE İLİŞKİN TEKNİK TEDBİRLER
- Siber Güvenliğin Sağlanması için;
- Kişisel veri içeren bilgi teknoloji sistemlerinin internet üzerinden gelen izinsiz erişim tehditlerine karşı güvenlik duvarları aktiftir.
- Çalışanların, kişisel veri güvenliği bakımından tehdit teşkil eden internet sitelerine veya online servislere erişimini engellemek için İnternet ağ geçidi kullanılmaktadır.
- Kişisel veri içeren sistemlere erişimin de sınırlı olması için, yapmakta oldukları iş ve görevler ile yetki ve sorumlulukları için çalışanlara gerekli olduğu ölçüde erişim yetkisi tanınmış bu kapsamda kullanıcı adı ve şifre kullanılmak suretiyle ilgili sistemlere erişim sağlanmaktadır.
- Kötü amaçlı yazılımlardan korunmak için ayrıca, bilgi sistem ağını düzenli olarak tarayan ve tehlikeleri tespit eden antivirüs, antispam gibi ürünler kullanılmaktadır.
- Tüm kullanıcıların işlem hareketleri kaydının düzenli olarak tutulacak, Depolanan internet log kayıtları “kişisel verileri işleme envanterindeki” süreler sonunda silinecektir.
- 5651 sayılı kanunun amir hükümleri gereği gerekli tedbirler alınmış olup, ilgili kanuna uyum sağlanmıştır.
- Kişisel Verilerin Bulutta Depolanması
- Bulut depolama hizmeti sağlayıcısı tarafından alınan güvenlik önlemlerinin de yeterli ve uygun olup olmadığının şirketimizce kontrol edilmekte ve kontrol edilecektir.
- Bu kapsamda, sistemde yer alan kişisel verilerin depolanması ve kullanımı sırasında, kriptografik yöntemlerle şifrelenmesi, bulut ortamlarına şifrelenerek atılması, kişisel veriler için mümkün olan yerlerde, özellikle hizmet alınan her bir bulut çözümü için ayrı ayrı şifreleme anahtarları kullanılmasına özen gösterilecektir.
- Bulut bilişim hizmet ilişkisi sona erdiğinde; kişisel verileri kullanılır hale getirmeye yarayabilecek şifreleme anahtarlarının tüm kopyaları da yok edilecektir.
- Bilgi Teknolojileri Sistemleri Bakım Onarım
Arızalandığı ya da bakım süresi geldiği için üretici, satıcı, servis gibi üçüncü kurumlara gönderilen cihazlar eğer kişisel veri içermekte ise bu cihazların bakım ve onarım işlemi için gönderilmesinden önce, kişisel verilerin güvenliğinin sağlanması için cihazlardaki veri saklama ortamının sökülerek saklanması, sadece arızalı parçaların gönderilmesi sağlanacaktır. Bakım ve onarım gibi amaçlarla dışarıdan personel gelmişse kişisel verileri kopyalayarak kurum dışına çıkartmasının engellenmesi için gerekli tedbirler alınacaktır.
- Kişisel Verilerin Yedeklenmesi
Kişisel verilerin herhangi bir sebeple zarar görmesi, yok olması, çalınması veya kaybolması gibi hallerde ilgili veriler yedeklenecektir. Tüm yedeklerin fiziki güvenliği de sağlanacaktır.
Öte yandan, yedeklenen kişisel veriler sadece sistem yöneticisi tarafından erişilebilir olacak, veri seti yedekleri ağ dışında tutulacaktır.
İş bu politikalar kapsamında şirketimizdeki birimlerin görev ve sorumlulukları aşağıdaki tabloda belirtilmiştir.
PERSONEL UNVAN, BİRİM VE GÖREV LİSTESİ
BİRİM | GÖREV | SORUMLULUK |
İnsan Kaynakları | İnsan Kaynakları Departmanı- Kişisel veri saklama ve imha politikası uygulama sorumlusu
|
Görev dahilinde olan süreçlerin saklama süresine uygunluğunun sağlanması ile periyodik imha süresi uyarınca kişisel veri imha sürecinin yönetimi |
Finans/ İdari İşler | İdari işler departmanı
Kişisel veri saklama ve imha politikası uygulama sorumlusu
|
Görev dahilinde olan süreçlerin saklama süresine uygunluğunun sağlanması ile periyodik imha süresi uyarınca kişisel veri imha sürecinin yönetimi |
Biligi Teknolojileri | Bilgi Teknolojileri Departmanı- Kişisel veri saklama ve imha politikası uygulama sorumlusu
|
Görev dahilinde olan süreçlerin saklama süresine uygunluğunun sağlanması ile periyodik imha süresi uyarınca kişisel veri imha sürecinin yönetimi |
Muhasebe | Muhasebe departmanı,
Kişisel veri saklama ve imha politikası uygulama sorumlusu
|
Görev dahilinde olan süreçlerin saklama süresine uygunluğunun sağlanması ile periyodik imha süresi uyarınca kişisel veri imha sürecinin yönetimi |
Eğitim | Eğitim departmanı
Kişisel veri saklama ve imha politikası uygulama sorumlusu
|
Görev dahilinde olan süreçlerin saklama süresine uygunluğunun sağlanması ile periyodik imha süresi uyarınca kişisel veri imha sürecinin yönetimi |
YETKİ VE SORUMLULUK
|
YETKİ
Bu Politika kapsamındaki personel belirlenen görevlerin yerine getirilmesi konusunda; yasalar,ile belirlenen ve kendilerine delege edilen yetkilere sahiptirler.
SORUMLULUKLAR
Bu politika dokümanı kapsamındaki personel, yönetmelik ve diğer talimatlarla belirlenen görevlerin ÖZEMEK PLASTİK politikasına, yasalara ve dahili mevzuata uygun olarak yerine getirilmesinden, bu yönetmelikte belirtilen işlerin doğru ve zamanında yapılmasından, ŞİRKETİMİZİN üçüncü kişilere karşı iyi bir şekilde temsil edilmesinden, suistimalli bir işlemin bilinmesi ya da tespit edilmesi durumunda bunu bir üst amirine gerekirse de Genel Müdürlük üst yönetimine bildirmekten, verilen yetkileri gereği gibi kullanmaktan ve bu uygulama talimatının güncel tutulmasını sağlamaktan sorumludurlar.
YÜRÜRLÜK
Bu doküman 01.01.2020 tarihinde yürürlüğe girecektir.