Close
ICRON will be a Silver Exhibitor at the upcoming Gartner Supply Chain Executive Conference 2019 on 17th-19th June 2019 in Barcelona, Spain. Click here to find out more.

ICRON TEKNOLOJİ BİLİŞİM A.Ş.  

KİŞİSEL VERİLERİN İŞLENMESİ VE KORUNMASI POLİTİKASI

 

1.    Giriş

ICRON Teknoloji Bilişim A.Ş. (ICRON veya Şirket veya Biz) 07.04.2016 tarihli Resmi Gazete’de yayımlanarak 07.10.2016 tarihi itibariyle tüm hükümleriyle yürürlüğe giren “Kişisel Verilerin Korunması Kanunu”na (KVKK ya da Kanun) tam uyumun sağlanması için gerekli olan hassasiyeti en üst düzeyde göstermektedir. Bu kapsamda kişisel verilerin de hukuka uygun olarak işlenmesini ve korunmasını önemsemekte ve öncelikleri arasına almaktadır.  İşbu sebeple ICRON, kişisel verilerin işlenmesi ve korunması faaliyetlerine ilişkin olarak sizleri şeffaf bir şekilde bilgilendirmek adına “Kişisel Verilerin İşlenmesi Ve Korunması Politikası”nı (Politika) hazırlamıştır.

 

2.    Politika’nın Amaç ve Kapsamı

İşbu Politika, kişisel verilerin işlenmesi ve korunmasına ilişkin olarak ICRON tarafından kişisel verisi işlenen EK-1’de listesi yer alan ilgili kişilere  açıklamalarda bulunmak amacıyla hazırlanmış olup, bu kapsamda kişisel verileri ICRON tarafından işlenen işbu ilgili kişiler, hangi kişisel verilerinin, hangi amaçla işlendiği, bu verilerinin hangi amaçlarla kimlere aktarılabileceği, kişisel verilerinin korunmasına yönelik hangi idari ve teknik tedbirlerin alındığı, kişisel verileri üzerinde sahip olduğu hakların neler olduğu ve bu haklara yönelik taleplerine ilişkin başvuru yöntemleri ve diğer hususlarda bilgilendirilmektir. Bu şekilde Şirket tarafından gerçekleştirilen kişisel verilerin işlenmesi ve korunması faaliyetlerinde mevzuata tam uyumun sağlanması ve işbu ilgili kişilerin kişisel verilerine dair mevzuattan kaynaklanan tüm haklarının korunması hedeflenmektedir. ICRON çalışanlarının ve danışmanlarının kişisel verilerinin işlenmesi ve korunması faaliyetlerine ilişkin bilgilendirme “Çalışan Kişisel Verilerinin İşlenmesi Ve Korunması Politikası”nda yer almaktadır.

 

3.    Tanımlar

İşbu Politika’da yer alan tanımlar aşağıdaki gibidir:

Açık Rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı,

Alıcı Grubu: Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisini,
Anonim Hâle Getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini,
İlgili Kişi: Kişisel verisi işlenen gerçek kişiyi, (işbu Politika kapsamında çalışanlar ve danışmanların haricinde ICRON tarafından kişisel verisi işlenen EK-1’de listesi yer alan kişileri)

Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi,

Özel Nitelikli Kişisel Veri (ÖNKV): Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verilerini,

Kişisel Verilerin İşlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi,

Kurul: Kişisel Verileri Koruma Kurulu’nu,

Kurum: Kişisel Verileri Koruma Kurumu’nu,

Veri Kayıt Sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini,

Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi,

ifade eder.

Bu Politika’da yer almayan tanımlar için Kanun’daki ve ikincil düzenlemelerdeki tanımlar geçerlidir.

 

4.    Kişisel Verilerin İşlenmesinde Genel İlkeler

KVKK’nun 4. maddesinde kişisel verilerin işlenmesi için uyulması gereken genel ilkeler düzenlenmektedir. ICRON, kişisel veri işleme faaliyetleri kapsamında öncelikli olarak aşağıda açıklanan işbu genel ilkelere uygun şekilde hareket etmektedir.

Hukuka ve dürüstlük kurallarına uygun olma: ICRON, her türlü kişisel veri işleme sürecinde yürürlükte bulunan mevzuata uygun şekilde hareket etmekte ve dürüstlük kurallarına uymaktadır.
Doğru ve gerektiğinde güncel olma: ICRON, sizlerin kişisel verilerinin doğru ve güncel duruma uygun olması için gerekli tedbirleri almakta, güncellenmesi için olanak sağlamakta ve verilerin veri tabanlarına doğru şekilde aktarımını temin için gerekli önlemleri almaktadır.
Belirli, açık ve meşru amaçlar için işlenme: ICRON, kişisel veri işleme faaliyetlerini belirli ve meşru amaçlarla sınırlı tutmakta ve sözkonusu amaçlara ilişkin olarak sizleri aydınlatma metinleri aracılığıyla açık bir şekilde bilgilendirmektedir.

İ̇şlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma: ICRON tarafından kişisel veriler, temin edildikleri sırada sizlere bildirilen amaç için gerektiği ölçüde, bu amaçla bağlantılı ve sınırlı olarak işlenmektedir.
İ̇lgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme: ICRON kişisel verilerinizi yürürlükte bulunan mevzuat kapsamında belli bir süre belirlendiği takdirde bu süre boyunca muhafaza etmektedir. Mevzuatta bu şekilde bir süre belirlenmediği takdirde ise veri kullanım amacı ve şirket prosedürleri göz önünde tutularak makul saklama süreleri belirlenmekte ve veriler bu süre ile sınırlı şekilde saklanmaktadır. Bahsi geçen sürelerin sona ermesini takiben ise veriler, “ICRON Teknoloji Bilişim A.Ş. Kişisel Veri Saklama ve İmha Politikası” doğrultusunda silinmekte, yok edilmekte ve anonim hale getirilmektedir.

 

5.    Kişisel Verilerin İşlenme Şartları

KVKK’nın 5. maddesinde kişisel verilerin işlenme şartları, 6. maddesinde ise özel nitelikli kişisel verilerin işlenme şartları düzenlenmektedir. KVKK işbu maddelerde yazılı hallerde ilgili kişinin açık rızası olmasa dahi kişisel verilerin işlenebilmesini öngörmüş ve bu işlemenin de hukuka uygun olmasına imkan tanımıştır. Bu işlenme şartları kişisel verinin özel nitelikli kişisel veri olup olmamasına ya da özel nitelikli kişisel veriler arasından sağlık ve cinsel hayata ilişkin kişisel veri olup olmamasına göre değişmektedir. Özel nitelikli kişisel veriler bireyler arasında ayrımcılık potansiyelini barındıran, başkaları tarafından öğrenildiği takdirde ilgili kişinin mağduriyetine sebebiyet verebilecek olan verilerdir ve KVKK bu verilerin işlenmesinde Kurul tarafından belirlenecek yeterli önlemlerin alınmasını şart koşmuştur.

KVKK m.5/2 ve KVKK m. 6/3 hükümlerinde düzenlenen açık rıza aranmaksızın kişisel verilerin işlenebileceği haller aşağıda olup, ICRON, öngörülen işbu durumların haricinde açık rızanıza istinaden kişisel verilerinizi işleyebilmektedir.

KVKK m. 5/2’ye göre aşağıdaki şartlardan birinin varlığı halinde açık rıza aranmaksızın kişisel verilerin işlenmesi mümkündür:

a) Kanunlarda açıkça öngörülmesi.

b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
d) İlgili kişinin kendisi tarafından alenileştirilmiş olması.
e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

KVKK 6/3’e göre aşağıdaki durumlarda Kurul tarafından belirlenen yeterli önlemlerin alınması şartıyla açık rıza aranmaksızın özel nitelikli kişisel verilerin işlenmesi mümkündür:

Sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde, sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.

 

6.    Kişisel Verilerin Yurt İçine Ve Yurt Dışına Aktarılma Şartları

KVKK’nın 8. maddesi kişisel verilerin yurt içindeki 3. kişilere, 9. maddesi ise yurt dışındaki 3. kişilere aktarılması hususlarını düzenlemektedir.

KVKK’nın 8. maddesine göre kişisel verilerin aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklı kalmak kaydıyla, kişisel veriler ilgili kişinin rızası olmaksızın ancak a) KVKK m.5/2, b)  yeterli önlemler alınmak kaydıyla KVKK m. 6/3 hükümlerinde yer alan şartlardan birinin varlığı halinde yurt içindeki 3. kişilere aktarılabilecektir.

KVKK’nın 9. maddesine göre ise kişisel veriler açık rıza aranmaksızın ancak KVKK m.5/2 ile KVKK m. 6/3 hükümlerinde yer alan şartlardan birinin varlığı ve kişisel verilerin aktarılacağı ülkede; a) Yeterli korumanın bulunması, b) Yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması, kaydıyla yurt dışına aktarılabilir.

 

7.    Toplama Yöntemleri ve Toplanan Kişisel Verileriniz

Kişisel verileriniz ICRON tarafından, sayılanlar ile sınırlı olmamak üzere; şirketimize ulaştırmak üzere CV’lerinizi vermiş/iletmiş olduğunuz çalışanlarımız/danışmanlarımız/tedarikçilerimiz kanalıyla, yine elden, elektronik posta, sosyal medya yoluyla yada web sitesi üzerinden ilettiğiniz CV’leriniz, doldurarak teslim ettiğiniz/ilettiğiniz “iş başvuru formu/formlar, internet sitesinde girdiğiniz ve/veya görüşmeler sırasında sözlü olarak yada elden yada paylaştığınız kartvizitinizden ve/veya elektronik posta yoluyla bizzat iletmiş/paylaşmış olduğunuz ve/veya işvereniniz tedarikçiler tarafından iletilmiş/paylaşılmış bilgiler/belgeler, yine çalışan adaylarımızdan, aile üyeniz/yakınınız olan çalışanlarımız/danışmanlarımızdan, tedarikçilerimizden, ürün veya hizmet alan kişi yani müşterilerimizden sözlü olarak yada elden yada elektronik ortamdan yada elektronik posta yoluyla iletilmiş/paylaşılmış bilgiler/formlar/belgeler üzerinden fiziki ve elektronik ortamlar aracılığıyla yine doldurduğunuz webinar kayıt formları üzerinden fiziki ve elektronik ortamlar aracılığıyla ve gerek tarafımıza ait gerekse 3. taraf  çerezleri dahil diğer fiziki ve elektronik ortamlar (ropörtajlar sırasında ses/görüntü kaydedici cihazlar vs.) aracılığıyla otomatik ve otomatik olmayan yollarla toplanmakta ve toplanan kişisel verileriniz ICRON’dan talep ettiğiniz ürün hizmete, ICRON tarafından yürütülecek faaliyetler ve kanuni yükümlülüklere göre değişmektedir. Toplanan kişisel veri kategorileri ve ilgili veri kategorilerinin açılımları işbu Politika’nın ekinde (EK-2) yer almaktadır. Kişisel verisi işlenen ilgili kişiye göre işbu kişisel veri kategorileri içerisinde yer alan bilgiler değişiklik gösterebilmektedir.

 

8.    Kişisel Verilerinizi İşleme Amaçlarımız

Elde edilen kişisel verileriniz ICRON tarafından KVKK’da öngörülen genel ilkelere uygun olarak; KVKK’nın 5 ve 6. maddelerinde belirtilen işleme şartları dahilinde EK-3’de sayılan amaçlar ile işlenmektedir.

 

9.    Kişisel Verilerinizin Aktarılması

ICRON kişisel verilerinizin 3. kişilerle paylaşılması hususunda, diğer kanunlarda yer alan hükümler saklı kalmak kaydıyla KVKK’da düzenlenen şartlara uymakta, kişisel verilerinizi KVKK’da öngörülen şartlar haricinde açık rızanız temin edilmeksizin 3. kişilerle paylaşmamaktadır.

Bu çerçevede ICRON tarafından hukuka uygun olarak işlenen kişisel verileriniz; aşağıda EK-4’de belirtilen alıcı gruplarına KVKK’nın 8 ve 9. maddelerinde belirtilen işleme şartları çerçevesinde aktarılabilmektedir.

Kişisel verilerinizin paylaşıldığı bu durumlarda ICRON verilerin paylaşıldığı tarafın bu Politika’da yer alan kurallara ve mevzuatta yer alan hükümlere uygun şekilde işleme ve aktarım faaliyetinde bulunması için gerekli önlemleri alır.

 

10. Kişisel Verilerinizin Saklanması

Şirketimiz tarafından Kanun ve diğer mevzuat hükümlerine uygun olarak işlenmiş olmasına rağmen işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel veriler Şirketimizin resen vermiş olduğu karar veya talebinize istinaden silinir, yok edilir veya anonim hale getirilir. Şirketimiz, kişisel verilerinizin saklama sürelerini belirlerken yürürlükte bulunan mevzuatı ve işleme faaliyetine konu olan kişisel verilerinizin işleme amaçlarını gözönünde tutarak tespit yapmaktadır. Bu kapsamda kişisel verilerinizin işleme faaliyetine ilişkin yasal yükümlülükler ile ilgili zamanaşımı süreleri sözkonusuysa mutlaka dikkate alınmaktadır. Kişisel veri işleme amacının ortadan kalkması halinde ise, kişisel verilerin tutulmasına olanak sağlayan başka bir hukuki sebep veya dayanak bulunmadığı sürece veriler silinmekte, yok edilmekte ve anonim hale getirilmektedir. Detaylı bilgi ICRON’ın, kişisel verilerin işlendikleri amaç için gerekli olan azami süreyi belirleme işlemi ile silme, yok etme ve anonim hale getirme işlemi için dayanak yaptığı “ICRON Teknoloji Bilişim A.Ş. Kişisel Veri Saklama ve İmha Politikası”nda mevcuttur.

 

11.  Sahip Olduğunuz Haklarınız Ve Bu Hakların Kullanılması

KVKK’nun 11. maddesine göre ilgili kişi olarak;

a) Kişisel verinizin şirketimiz tarafından işlenip işlenmediğini öğrenme,
b) Kişisel verileriniz işlenmişse buna ilişkin bilgi talep etme,
c) Kişisel verilerinizin işlenme amacını ve amacına uygun kullanılıp kullanılmadığını öğrenme,
ç) Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
d) Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,

e) KVKK ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel verilerinizin silinmesini veya yok edilmesini isteme,
f) d) ve e) bentlerinde yapılan işlemlerin, kişisel verilerin aktarıldığı 3.kişilere bildirilmesini isteme,
g) Kişisel verilerinizin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle aleyhinize bir sonuç ortaya çıkması durumunda itiraz etme,
ğ) Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle herhangi bir zarara uğramanız hâlinde zararın giderilmesini talep etme

haklarına sahipsiniz.

Bahsi geçen bu haklarınıza ilişkin taleplerinizi iletmek için “ICRON Teknoloji Bilişim A.Ş. Kı̇şisel Verı̇lere İlişkin İlgili Kişi Başvuru Formu”nu  doldurarak, başvuru formunda belirtilen usullerden biriyle iletmeniz durumunda talebiniz mümkün olan en kısa sürede ve her halükarda Kanun’da öngörülen süre içerisinde değerlendirilerek sonuçlandırılacaktır. Başvurunuzun incelenmesi ve sonuçlandırılmasına ilişkin işlemin bir maliyeti gerektirmesi halinde ICRON Kurul tarafından belirlenen ücreti alabilecektir.

Sizin adınıza 3. kişilerin başvuru talebinde bulunabilmesi için sizler tarafından, başvuruda bulunacak kişi adına noter kanalıyla düzenlenmiş özel vekaletnameniz bulunmalıdır.

Şirketimiz başvuruda bulunan kişinin siz olup olmadığını tespit etmek adına sizlerden bilgi talep edebilecek başvuruda belirtilen hususları netleştirmek adına, size başvurunuz ile ilgili sorular yöneltebilecektir.

 

12.  Verilerinizin Güvenliği İçin Aldığımız Tedbirler

ICRON, kişisel verilerinizin hukuka aykırı olarak işlenmesini önlemek, verilerinize hukuka aykırı olarak erişilmesini önlemek ve muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik makul teknik ve idari önlemleri almakta, bu kapsamda Kurum’un internet sitesinde yayımlanan “Kişisel Veri Güvenliği Rehberi”nde belirtilen ve ayrıca Kurul’un 31/01/2018 tarih 2018/10 sayılı “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler İle İlgili Kararı”nı (Karar) dikkate almaktadır. ICRON tarafından alınan teknik ve idari tedbirler EK-5’te yer almaktadır.

 

13.  Güncelleme ve Değişiklikler

ICRON kişisel verilerin korunması hakkındaki uygulamalar ve yasal düzenlemeler hakkında güncel bilgiler sunmak amacıyla işbu Politikada değişiklik yapma hakkını saklı tutmaktadır. Yapılan değişiklikler işbu Politika’nın ekinde (EK-6) yer almaktadır.

EKLER

EK 1- İlgili Kişi Listesi

EK 2- Veri Kategorileri Ve Açılımı Tablosu

EK 3- Kişisel Veri İşleme Amaçları

 

EK 4- Verilerin Aktarıldığı Üçüncü Kişi Kategorileri

EK 5- Alınan Teknik Ve İdari Tedbirler

EK 6- Güncelleme ve Değişiklikler Tablosu

EK-1

İLGİLİ KİŞİ LİSTESİ

 

Çalışan Adayı
Tedarikçi Yetkilisi
Diğer Danışman adayıİnternet sitesi ziyaretçiPotansiyel Ürün veya Hizmet Alıcısı yetkilisi/çalışanıÜrün veya Hizmet Alan Kişi çalışanı/yetkilisiTedarikçi3. Kişiler Çalışan aile üyesi/yakınıDanışman aile üyesi/yakınıTedarikçi çalışanı/yetkilisiÜrün veya Hizmet Alan Kişi Çalışanı/YetkilisiÇalışan adayı referansları

EK-2

VERİ KATEGORİLERİ VE AÇILIMI

 

Kimlik Bilgisi Ad soyad, doğum tarihi, TC kimlik numarası, imza sirkülerindeki kimlik bilgileri, imza, pasaport fotokopisi, acil durumda haber verilecek kişi ad soyad bilgisi, aile durum bildirimi formundaki eş/çocuk gibi kişilerin kimlik bilgileri (ad soyad, TC kimlik numarası, doğum tarihi, cinsiyet, anne adı baba adı gibi)
İletişim Bilgisi Adres, e-posta adresi, telefon, acil durumda haber verilecek kişi telefon bilgisi
Finans Banka hesap bilgileri, vergi dairesi, vergi numarası, sözleşme kapsamındaki finansal bilgiler
İşlem Güvenliği IP adresi bilgileri, internet sitesi giriş çıkış bilgileri gibi
Görsel ve İşitsel Kayıtlar Video kaydı
Eğitim, İş ve Profesyonel Yaşama İlişkin Bilgiler Şirket adı/unvan, meslek, çalıştığı yer, aile durum bildirimi formundaki eş/çocuk gibi kişilerin bilgileri
Özlük CV, aday değerlendirme bilgileri, mülakat değerlendirme bilgileri/sonucu, teklif
Pazarlama Çerez kayıtları gibi
Tedarikçi işlem ödeme bilgileri (tutar vb)
Hukuki İşlem İmza sirküleri, sözleşme

EK-3

KİŞİSEL VERİ İŞLEME AMAÇLARI

 

Acil Durum Yönetimi Süreçlerinin Yürütülmesi
Bilgi Güvenliği Süreçlerinin Yürütülmesi
Çalışan Adayı/Stajyer/Öğrenci Seçme Ve Yerleştirme Süreçlerinin Yürütülmesi
Çalışan Adaylarının Başvuru Süreçlerinin Yürütülmesi
Çalışanlar İçin İş Akdi Ve Mevzuattan Kaynaklı Yükümlülüklerin Yerine Getirilmesi
Çalışanlar İçin Yan Haklar Ve Menfaatleri Süreçlerinin Yürütülmesi
Danışman Adayı Seçme Ve Yerleştirme Süreçlerinin Yürütülmesi
Danışman Adaylarının Başvuru Süreçlerinin Yürütülmesi
Faaliyetlerin Mevzuata Uygun Yürütülmesi
Finans Ve Muhasebe İşlerinin Yürütülmesi
Firma / Ürün / Hizmetlere Bağlılık Süreçlerinin Yürütülmesi
İletişim Faaliyetlerinin Yürütülmesi
İş Faaliyetlerinin Yürütülmesi / Denetimi
Mal / Hizmet Satın Alım Süreçlerinin Yürütülmesi
Mal / Hizmet Satış Sonrası Destek Hizmetlerinin Yürütülmesi
Mal / Hizmet Satış Süreçlerinin Yürütülmesi
Müşteri İlişkileri Yönetimi Süreçlerinin Yürütülmesi
Müşteri Memnuniyetine Yönelik Aktivitelerin Yürütülmesi
Organizasyon Ve Etkinlik Yönetimi
Pazarlama Analiz Çalışmalarının Yürütülmesi
Reklam / Kampanya / Promosyon Süreçlerinin Yürütülmesi
Sözleşme Süreçlerinin Yürütülmesi
Ürün / Hizmetlerin Pazarlama Süreçlerinin Yürütülmesi
Yetkili Kişi, Kurum Ve Kuruluşlara Bilgi Verilmesi
Ziyaretçi Kayıtlarının Oluşturulması Ve Takibi

EK-4

 

VERİLERİN AKTARILDIĞI ÜÇÜNCÜ KİŞİ KATEGORİLERİ

 

Danışmanlar
Herkese açık
Yurtiçi/dışı tedarikçiler
Yetkili kamu kurum ve kuruluşları

EK-5

ALINAN TEKNİK VE İDARİ TEDBİRLER

 

İdari Tedbirler
İşlenen kişisel veriler kapsamında mevcut risk ve tehditler belirlenmiştir.
Çalışanlar için kişisel veri güvenliği konusunda belli aralıklarla eğitim ve farkındalık çalışmaları yapılmaktadır.
Çalışanların kişisel veri güvenliğine ilişkin rol ve sorumlulukları, görev tanımlarında belirlenmiştir.
Gizlilik taahhütnameleri yapılmaktadır.
Çalışanlar için veri güvenliği hükümleri içeren disiplin düzenlemeleri mevcuttur.
Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır.
Kişisel veri güvenliğine ilişkin politika ve prosedürler belirlenmiştir.
Erişim, Bilgi Güvenliği, Kullanım, saklama ve imha konularında kurumsal politikalar hazırlanmış ve uygulamaya başlanmıştır.
İşleme amacı bakımından anılan kişisel verilere ihtiyaç olup olmadığı değerlendirilmekte, kişisel veriler mümkün olduğunca azaltılmaktadır.
İhtiyaç duyulmayan kişisel veriler, kişisel veri saklama ve imha politikası ile kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi hakkında yönetmeliğe uygun olarak imha edilmektedir.
Veri işleyenler ile ve kişisel verilerin paylaşıldığı diğer kişiler ile kişisel verilerin korunması ve veri güvenliğine ilişkin yazılı sözleşme imzalamakta yahut mevcut yazılı sözleşmesine bu kapsamda düzenlemeler yapılmaktadır.
Veri işleyenlerin veri güvenliği konusunda – veri işleyenlerle imzalanan sözleşmeler ya da mevcut sözleşmelerine konulan hükümler ile- farkındalığı sağlanmaktadır.
Veri işleyenlerin veri güvenliği konusunda belli aralıklarla denetimi sağlanmaktadır.
İmzalanan sözleşmeler veri güvenliği hükümleri içermektedir.
Kurum içi periyodik ve/veya rastgele denetimler yapılmakta ve yaptırılmaktadır. Denetimler sonucunda ortaya çıkan gizlilik ve güvenlik zafiyetlerini gidermektedir.
Verilerin hukuka aykırı yollarla başkaları tarafından elde edilmesi halinde, durumu en kısa sürede ilgili kişiye ve Kurul’a bildirmektedir.
Özel nitelikli kişisel veri güvenliğine yönelik protokol ve prosedürler belirlenmiş ve uygulanmaktadır.
Çalışanlar için özel nitelikli kişisel veri güvenliği konusunda belli aralıklarla eğitim ve farkındalık çalışmaları yapılmaktadır.
Özel nitelikli kişisel veriler elektronik posta yoluyla gönderilecekse mutlaka şifreli olarak kurumsal e-posta adresiyle veya Kayıtlı Elektronik Posta (KEP) hesabı kullanılarak gönderilmektedir.
Kağıt yoluyla aktarılan özel nitelikli kişisel veriler için ekstra güvenlik tedbirleri alınmakta ve ilgili evrak gizlilik dereceli belge formatında gönderilmektedir.

 

Teknik Tedbirler
İnternet gibi ortamlardan gelen saldırılara karşı ağ geçidi kullanılmaktadır.
Güvenlik duvarları kullanılmaktadır.
Çalışanlara yapmakta oldukları iş ve görevleri ile yetki ve sorumlulukları için gerekli olduğu ölçüde erişim yetkisi tanınmaktadır.
Kişisel veri içeren sistemlere kullanıcı adı ve güçlü şifre kullanılmak suretiyle erişim sağlanmaktadır.
Çalışanlar için yetki ve kontrol matrisi oluşturulmuştur.
Erişim logları düzenli olarak tutulmaktadır.
Kişisel veri içeren sistemlere erişim politika ve prosedürü oluşturulmuş ve uygulanmaktadır.
Şifre girişi deneme sayısı kısıtlanmıştır.
Düzenli aralıklarla şifre ve parolaların değiştirilmesi sağlanmaktadır.
Görev değişikliği olan ya da işten ayrılan çalışanların zaman kaybetmeksizin giriş yetkileri kaldırılmakta ya da hesapları silinmekte, kendilerine tahsis edilen envanter iade alınmaktadır.
Güncel antivirüs antispam gibi ürünler kullanılmakta ve güncel tutulmaktadır.
Bilişim ağlarında hangi yazılım ve servislerin çalıştığı kontrol edilmektedir.
Kişisel veri güvenliğinin takibi yapılmaktadır.
Kişisel veri güvenliği sorunları hızlı bir şekilde raporlanmaktadır.
Çalışanların sistem ve servislerdeki güvenlik zaafiyetlerini ya da bunları kullanan tehditleri bildirmesi için resmi bir raporlama prosedürü oluşturulmuştur.
Kişisel veri içeren ortamların güvenliği sağlanmaktadır.
Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli fiziksel güvenlik önlemleri alınmakta, yetkisiz giriş çıkışlar engellenmektedir.
Kişisel veri içeren fiziksel ortamların dış risklere (elektrik kaçağı, yangın, sel vb.) karşı güvenliği sağlanmaktadır.
Ağ güvenliği ve uygulama güvenliği sağlanmaktadır.
Ağ yoluyla kişisel veri aktarımlarında kapalı sistem ağ kullanılmaktadır.
Şifreleme yapılmaktadır.
Bulutta depolanan kişisel verilerin güvenliği sağlanmaktadır.
Bulutta depolanan kişisel veriler bilinmekte, yedeklenmekte ve senkronizasyonu sağlanmaktadır.
Gerek yeni Bilgi Teknolojileri sistemleri tedarik, geliştirme ve bakımı gerekse mevcut sistemlerin geliştirilmesi, iyileştirilmesi bakımı kapsamında güvenlik önlemleri alınmaktadır.
Kişisel veriler yedeklenmekte ve yedeklenen kişisel verilerin güvenliği de sağlanmaktadır.
Özel nitelikli kişisel verilere erişim yetkisine sahip kullanıcıların, yetki kapsamları ve süreleri net olarak tanımlanmaktadır.
Özel nitelikli kişisel veriler için periyodik olarak yetki kontrolleri gerçekleştirilmektedir.
Özel nitelikli kişisel verilerin bulunduğu ortamlara ait güvenlik güncellemeleri sürekli takip edilmekte, gerekli güvenlik testleri düzenli olarak yapılmakta/yaptırılmakta, test sonuçları kayıt altına alınmaktadır.
Özel nitelikli kişisel verilere bir yazılım aracılığı ile erişiliyorsa bu yazılıma ait kullanıcı yetkilendirmeleri yapılmakta, bu yazılımların güvenlik testleri düzenli olarak yapılmakta/yaptırılmakta, test sonuçları kayıt altına alınmaktadır.

EK-6

GÜNCELLEME VE DEĞİŞİKLİKLER TABLOSU

İşbu Politika’da yapılan değişiklikler aşağıdaki tabloda yer almaktadır.

 

GÜNCELLEME TARİHİ DEĞİŞİKLİKLERİN KAPSAMI
08.12.2020 İlk yayın