Kişisel Veri Yönetimi Ve Güvenliği Politikası

Amaç

Veri güvenliğine büyük önem veren Levent Orhan 6698 sayılı Kişisel Verilerin Korunması Kanunu’na uyumu sağlamak için; kişisel verilerin hukuka aykırı olarak elde edilmesi işlenmesini ve erişilmesini önlemek; belirli, meşru ve açık amaçlar doğrultusunda işlenmiş olan kişisel veriler üzerindeki organizasyonel, teknik, idari, teknolojik, metodolojik kontrol ve önlemlerin alarak ilgili yasaya uyumu sağlamak amaçlanmaktadır.

Kapsam

Levent Orhan, Kişisel Verilerin Korunması Kanunu’na uygun olarak alınmış ve işlenmiş veya işlenmekte olan kişisel verilerin ister dijital ortamda isterse fiziksel ortam kayıtlı olsun tüm farklı mekân ve ortamlardaki kişisel verilerin güvenliğinin sağlanmasıdır.

Uygulama

  • Kurumda Kişisel Veri Güvenliği Yönetim Sistemi kurulmuştur. Her çalışan kişisel veri güvenliğine uygun çalışmaktan ve bilgi güvenliğine uygun davranmaktan sorumludur. Bilgi güvenliğine uygun çalışmayan ve belirlenmiş kurallara iş, işlem ve olaylar için “Bilgi Güvenliği Olay İhlal Formu” doldurarak kurumun veri güvenliğine katkıda bulunulur.
  • Kurum olarak Kişisel Verilerin Korunması Kanunu ve Kişisel Verileri Koruma Kurumu’nun yasal düzenlemelerine uygun olarak çalışmak için gerekli, politika, prosedür, talimat ve formların geliştirilmesi, KVKK ile ilgili yönetilebilir bir sistem kurulması ve kurulan bu sistemin denetlenmesi ve gerekli iyileştirmelerin yapılması için Veri Sorumlusu sıfatı ile Yönetim Kurulu, Kişisel Verileri Koruma Komitesi ve Veri Sorumlusu İrtibat Kişisi atar.  
  • Kişisel verilerin kurum tarafından hazırlanan KVKK Politika ve prosedürlerine uygun olarak korunmasından ilgili sürece müdahil olan tüm çalışanlar müteselsilen sorumludur.
  • Kişisel veriler organizasyonel, idari, teknik, teknolojik imkanlar ve uygulamalar ile korunmakta ve yapılan iç ve dış denetimlerle güvenlik sıkılaştırması düzenli olarak yapılmaktadır.
  • Bilgi güvenliği, kişisel veri güvenliğinin sağlanması için konusunda deneyimli, teknik tecrübesi olan uzmanlar istihdam edilir.
  • Kurum çalışanları, kişisel veriler, özel nitelikli kişisel veriler ve kişisel verilerin korunması; kişisel verilerin hukuka uygun olarak işlenmesi konusunda bilinçlendirme eğitimleri alırlar. KVKK Komitesi, veri sorumlusu irtibat kişisi’ ne KVKK ile ilgili teknik eğitimler verilir.
  • Kurumda, kişisel verilere erişim yetkilendirilmiştir. Kişisel verilere erişmesi gereken çalışanların söz konusu kişisel verilere erişimini sağlamak adına gerekli KVKK prosedürleri işletilir, bu prosedürlerin oluşturulması ve uygulanmasından Veri Sorumlusu İrtibat Kişisi, KVKK Komitesi müteselsilen sorumludur.
  • Kurum çalışanları, Kişisel verilere üzerinde yalnızca kendilerine tanımlanan yetki dâhilinde ve ilgili KVKK prosedürüne uygun olarak erişim sağlayabilir. Sehven dahi fazladan bir yetki açılmışsa bunu bildirmek çalışanın sorumluluğundadır. Eğer çalışan erişim yetkisini aşarsa, yapmış olduğu her türlü erişim ve işleme hukuka aykırı olup iş akdinin haklı nedenle feshine sebep olur.
  • Kurum çalışanları, kişisel verilerin güvenliğinin ihlali; yetkisiz erişim; özel nitelikli kişisel verilerin ifşası veya kişisel verilerin güvenliğinin yeterince sağlanmadığı şüphesi oluşursa durumu derhal Bilgi Güvenliği Olay İhlal Formu aracılığı ile veri sorumlusu irtibat kişisi’ ne bildirir. Her ihlal şüphesi veri sorumlusu irtibat kişisi aracılığı ile KVKK Komitesi’ne iletilir.
  • Kişisel verilerin alınması, işlenmesi, güvenliği, güncellenmesi, silinmesi, anonim hale getirilmesi gibi durumlara yönelik detaylı KVKK politika, prosedür, talimat ve formları KVKK Koordinatörü, veri sorumlusu irtibat kişisi ve komite tarafından oluşturulur.
  • Kurum çalışanlarından kendisine kurum mobil cihazları tahsis edilen her çalışan, ayrıcalıklı haklar tablosuna alınır. Çalışanlar kendi kullanımına tahsis edilen mobil cihazlarının güvenliğinden kendileri sorumludur.
  • Kurum çalışanları kendi sorumluluk alanında yer alan fiziki dosyaların güvenliğinden kendileri sorumludur. Dosyalar Temiz Masa Temiz Ekran Politikası’ na uygun olarak korunur.
  • Kurum çalışanları kişisel verilerin güvenliği için talep edilen veya ek olarak talep edilecek olan güvenlik önlemleri olması durumunda tüm çalışanlar ek güvenlik önlemlerine uymak ve bu güvenlik önlemlerinin sürekliliğini sağlamak ile yükümlüdür.
  • Kurum Kişisel Verilerin Korunması Kanunu’na uyum sağlayabilmek için veri güvenliği konusunda teknik ve idari önlemleri alır.
  • Kurumumuzda iş sürekliliği esastır. Verilerin, kişisel verilerin kaybolmasını zarar görmesini, bütünlüğünün bozulmasını engellemek üzere yedekleme programları kullanılmakta ve yeterli düzeyde güvenlik önlemleri alınmaktadır. Kurum gerekli hallerde kullanmak üzere felaket kurtarma (disaster recovery) senaryolarına uygun olarak iş ve eylemler gerçekleştirecektir.
  • Kurumumuzda, kişisel verilerin yer aldığı belgeler dijital ortamda ve fiziksel ortamlarda korunmaktadır. Bu kapsamda, kişisel veriler ortak alanlarda ve masaüstünde saklanmaz. Kişisel Verilerin yer aldığı dosya ve klasörler vb. belgeler masaüstüne veya ortak klasöre taşınmaz, KVKK Komitesi, Veri Sorumlusu İrtibat Kişisi ve ilgili bilgi işlem yöneticisinin önceden yazılı onayı alınmadan Kurum bilgisayarlarındaki bilgiler usb vb. başka bir aygıta aktarılamaz, Kurum dışına çıkartılamaz.
  • KVKK Komitesi, kurum içerisinde bulunan tüm kişisel verilerin korunmasına yönelik teknik ve idari önlemleri almak, gelişmeleri ve idari faaliyetleri sürekli takip etmekle ve gerekli KVKK politika, prosedür, talimat ve formları hazırlayarak Yönetim Kurulu onayına sunmak, onay akabinde Kurum içerisinde duyurmak ve bunlara uyulmasını sağlamak ve denetlemekle yükümlüdür. Bu kapsamda, Komite ve Veri Sorumlusu İrtibat Kişisi çalışanların farkındalığını artırmak üzere gerekli eğitimlerin düzenlenmesini sağlar.
  • Kurumumuzda bir müdürlük özel nitelikli kişisel veri işliyorsa, bu müdürlük, Komite tarafından işledikleri kişisel verilerin önemi, güvenliği ve gizliliği hakkında bilgilendirilir ve ilgili müdürlük Komite talimatlarına uygun hareket ederler. Özel nitelikli kişisel verilere erişim yetkisi yalnızca sınırlı çalışanlara verilir ve bunların listesi ve takibi Komite tarafından yapılır.
  • Kurum içerisinde işlenen özel nitelikli kişisel verilerin tamamı “Gizli Bilgi” olarak kabul edilir. Özel nitelikli kişisel veriler kâğıt üzerindeyse kırmızı renkte “Kişisel Veri GİZLİDİR” ibaresi yer alır.
  • Kurum çalışanları, Kişisel Verilerin güvenliğine ve gizliliğine ilişkin yükümlülüklerinin, iş ilişkisinin sona ermesinden sonra da devam edeceği konusunda bilgilendirilmiş ve kurum çalışanlarından bu kurallara uymaları yönünde taahhüt alınmıştır.
  • Kurumda kişisel verilerin güvenliği konusunda güvenlik sıkılaştırması uygulanır.
  • Her yıl KVKK kişisel veri güvenliği iç tetkiklerinde KVKK ile ilgili sorular denetimlerde sorulmak üzere ayrı bir liste halinde iç tetkikçilere verilir. İç tetkikçiler tetkik öncesinde yapılan eğitimlerde KVKK ile ilgili bilgilendirme yapılır.
  • Yapılan iç tetkiklerde ortaya çıkan KVKK uygunsuzlukları KVKK Komitesi ve veri sorumlusu irtibat kişisi’ne iletilir. Çıkan uygunsuzlukların giderilmesi sağlanır.
  • Levent Orhan Tedarikçi Gizlilik Sözleşmesi gereği veri işleyen sıfatına sahip kurumları denetleyebilir. Denetimde iç tetkikçiler, komite üyeleri, kurumun bilgi güvenliği danışmanı bulunabilir. Denetim sonuç raporu KVKK Komitesi’ne sunulur.
  • Kurumda Kişisel Veri Güvenliği protokolü gereği veri işleyen sıfatına sahip kurumlarda uygunsuzluk tespit ederse derhal KVKK Komitesi’ni toplantıya davet eder. Gerekli uykusuzluklara karşı aksiyon alınması sağlanır.
  • Kurumda bilgi güvenliği ve kişisel veri güvenliğini ihlal eden çalışanlar için kurumsal düzenlemeler, yönetmelikler, yasal mevzuatlara uygun olarak disiplin, soruşturma ve adli işlemlerin yapılması sağlar.
  • Veri minimizasyonu için gerekli önlemler alınır, çalışanlar konu ile ilgili periyodik olarak yılda 2 kez e-posta ile uyarılır.
  • Çalışanlar bilgi güvenliği kuralları ve kişisel veri güvenliği yönetim sistemi kuralları ile ilgili yılda 2 kez e-posta üzerinden, duyuru panoları üzerinden uyarılır.
  • Çalışanlar bilgi güvenliği ve 6698 sayılı yasa ile ilgili kişisel veri güvenliği yönetim sistemi ile ilgili kuralları ve bu kuralların güncel hallerini takip etmekten sorumludurlar. Güncellenen dokümanlar ortak klasör olan “BGYS-KVYS” üzerinden ve/veya kurumsal web sayfası üzerinde veya duyuru panoları üzerinde olabilir.
  • Özel nitelikli kişisel verilerin işlenmesinde Kurul tarafından belirlenen şartların yerine getirilmesi ve Kurul tarafından belirtilen yeterli önlemlerin alınması gerekir.
  • Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, fiziksel ortam ise: Özel nitelikli kişisel verilerin bulunduğu ortamın niteliğine göre yeterli güvenlik önlemlerinin (elektrik kaçağı, yangın, su baskını, hırsızlık vb. durumlara karşı) alındığından emin olunması; Bu ortamların fiziksel güvenliğinin sağlanarak yetkisiz giriş çıkışların engellenmesi gerekir.
  • Özel nitelikli kişisel veriler aktarılacaksa:  Verilerin e-posta yoluyla aktarılması gerekiyorsa şifreli olarak kurumsal e-posta adresiyle veya Kayıtlı Elektronik Posta (KEP) hesabı kullanılarak aktarılması; taşınabilir bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerekiyorsa kriptografik yöntemlerle şifrelenmesi ve kriptografik anahtarın farklı ortamda tutulması; farklı fiziksel ortamlardaki sunucular arasında aktarma gerçekleştiriliyorsa, sunucular arasında VPN kurularak veya SFTP yöntemiyle veri aktarımının gerçekleştirilmesi; Verilerin kağıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemlerin alınması ve evrakın “gizlilik dereceli belgeler” formatında gönderilmesi gerekir.

Sorumluluklar

KVKK Komitesi: Kişisel Veri Yönetimi ve Güvenliği Politikasının geliştirilmesinden ve politikanın yayımlanmasından, güncellenmesinden ve yayılımının sağlanmasından sorumludur.

KVKK Veri Sorumlusu İrtibat Kişisi: KVKK süreçlerinin yönetilmesinden, dokümanın düzenlenmesi ve revize edilmesinden sorumludur. KVKK ile ilgili İç Tetkiklerde soruların hazırlanması ve İç Tetkikçilerin eğitilmesinden sorumludur.

İç Tetkikçiler: Kişisel verilerin korunması ile ilgili soruları iç denetim sırasında sorulmasından sorumludur.

Çalışanlar: Kişisel verilerin yasalara uygun olarak alınmasından, işlenmesinden, güncellenmesinden, korunmasından ve KVKK ile ilgili tüm kurumsal politikalara uygun iş yapmaktan ve davranmaktan sorumludur.

Scroll to Top