KİŞİSEL VERİLERİN İŞLENMESİ VE GÜVENLİĞİ POLİTİKASI

1.1 AMAÇ

Kişisel verilerin korunması, ÜNLEM BİLİŞİM TEKNOLOJİ ANONİM ŞİRKETİ’nin (“Şirket”) en önemli öncelikleri arasında olup, bu hususta yürürlükte bulunan tüm mevzuata uygun davranmak için azami gayret göstermektedir. 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”); Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi “Kişisel Veri” olarak sınıflandırarak bu verilere ilişkin işleme standartları ve bu verilerin korunması konusunda veri sorumlularını yükümlü kılmaktadır.

İşbu ÜNLEM BİLİŞİM TEKNOLOJİ ANONİM ŞİRKETİ Kişisel Verilerin İşlenmesi ve Güvenliği Politikası (“Politika”) çerçevesinde şirketimiz tarafından gerçekleştirilen Kişisel Veri işleme faaliyetlerinin yürütülmesinde benimsenen ilkeler ve Kişisel Veri işleme faaliyetleri esnasında Şirket tarafından alınacak asgari veri güvenliği önlemleri belirlenmektedir.

1.2 KAPSAM

İşbu Politika, Kanun kapsamında tanımlanan kimliği belirli veya belirlenebilir gerçek kişilere ait, otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla şirket bünyesinde işlenen Kişisel Verilere ilişkindir.

KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN HUSUSLAR

Kişisel Verileri İşlenmesi Esnasında Uyulacak Genel İlkeler

Şirketimiz Kişisel Verileri, Kanun’da ve ilgili diğer mevzuatlarda öngörülen usul ve esaslara uygun olarak işlenmektedir. Bu doğrultuda şirketimiz Kişisel Verileri işlediği süreçlerde aşağıda listelenen ilkelere (“Genel İlkeler”) uygun hareket etmektedir.

Şirketimiz Kişisel Verileri;

  • Hukuka ve dürüstlük kurallarına uygun,
  • Doğru ve gerektiğinde güncel biçimde,
  • Belirli, açık ve meşru amaçlar için,
  • İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olarak,

Kişisel Verilerin İşlenmesi Şartları

Kanunda Kişisel Verilerin hukuka aykırı olarak işlendiğinde kişilerin mağduriyetine sebep olma nedeniyle, bu verilere işleme şartları atfedilmiştir. Kişisel Veriler, şirketimiz tarafından, işbu Politika’da belirtilen ilkelere uygun olarak ve Kişisel Verileri Koruma Kurulu’nun (“Kurul”) belirlediği ya da belirleyeceği asgari güvenlik önlemleri dahil olmak üzere gerekli her türlü idari ve teknik tedbirler alınarak ve aşağıdaki şartlardan en az birinin varlığı halinde işlenmektedir.

  • İlgili Kişinin açık rızasının bulunması halinde,

Aşağıdaki hallerde Kişisel Veriler İlgili Kişi Açık Rızası alınmadan işlenebilecektir.

  • Kanunlarda açıkça öngörülmesi
  • Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması
  • Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
  • Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
  • İlgili kişinin kendisi tarafından alenileştirilmiş olması.
  • Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
  • İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

KİŞİSEL VERİLERİN AKTARILMASINA İLİŞKİN HUSUSLAR

Şirketimiz hukuka uygun olan Kişisel Veri işleme amaçları doğrultusunda gerekli güvenlik önlemlerini alarak Kişisel Verileri üçüncü kişilere (“Üçüncü Kişiler”) aktarabilmektedir. Şirketimiz, bu doğrultuda Kanun’un 8’inci ve 9’uncu maddesinde öngörülen düzenlemelere uygun hareket etmektedir. İlgili Kişinin açık rızasının bulunması durumunda şirketimiz, Kişisel Verileri, veri işleme amaçları doğrultusunda ve Genel İlkeler’e uygun olarak ve Kurul tarafından öngörülen yöntemler de dahil gerekli güvenlik önlemlerini alarak aktarabilmektedir

Aşağıda yer alan şartların varlığı halinde kişisel veriler ilgili kişinin açık rızası aranmaksızın Üçüncü Kişiler’e aktarılabilecektir:

  • İlgili Kişinin sağlığı ve cinsel hayatı dışındaki Özel Nitelikli Kişisel Veriler, kanunlarda öngörülen hallerde,
  • İlgili Kişinin sağlık durumuna ve cinsel hayatına ilişkin Özel Nitelikli Kişisel Veriler, ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili şirket ve kuruluşlar tarafından aktarılabilmektedir.
  • İş bu politikanın 2.2.maddesinde belirtilen hallerde

KİŞİSEL VERİLERİN ELDE EDİLMESİ ESNASINDA İLGİLİ KİŞİLERİN AYDINLATILMASI

Kanun’un 10 uncu maddesine göre; kişisel verilerin elde edilmesi sırasında veri sorumluları veya yetkilendirdiği kişilerce ilgili kişilerin bilgilendirilmesi gerekmektedir. Şirketimizin ilgili kişilere yönelik aydınlatma yükümlülüğünü yerine getirirken asgari olarak aşağıdaki konular hakkında ilgili kişileri bilgilendirmektedir:

  • Veri sorumlusunun ve varsa temsilcisinin kimliği,
  • Kişisel verilerin hangi amaçla işleneceği,
  • Kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
  • Kişisel veri toplamanın yöntemi ve hukuki sebebi,
  • Kanun’un 11 inci maddede sayılan ve ilgili kişilere tanınmış olan haklar ve bu hakların ne şekilde kullanılabileceği.

Alternatif yöntem ve metotların benimsendiği haller hariç, şirket tarafından aydınlatma yükümlülüğünün yerine getirilmesi için ilgili kişilere fiziksel ya da elektronik ortamda, sonradan kanıtlanabilir şekilde sunulan aydınlatma metinleri kullanılmaktadır. Kişisel Verilerin işlendiği süreçlerde görev alan şirket çalışanları, kişisel verilerin elde edilmesi öncesinde ilgili kişilere gerekli aydınlatma metinlerinin sunulduğu ve ilgili kişilerin bilgilendirildiğinden emin olmalıdır.

KİŞİSEL VERİLERİN SAKLANMASI VE İMHASI

Kanun’un 7 nci maddesinde düzenlenen kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi yükümlülüğü gereği, şirketimizin tarafından Kanun ve diğer mevzuat hükümlerine uygun olarak işlenmiş olmasına rağmen işlenmesini gerektiren sebeplerin ortadan kalkması halinde tüm kişisel veriler, şirketimizin re’sen vermiş olduğu karara veya İlgili Kişinin talebine istinaden silinir, yok edilir veya anonim hale getirilir. Kişisel verilerin saklanması ve imhasına ilişkin detaylı bilgilere ilişkin detaylı bilgiler Confluence üzerinden erişilebilen ÜNLEM BİLİŞİM TEKNOLOJİ ANONİM ŞİRKETİ KİŞİSEL VERİ SAKLAMA VE İMHA PROSEDÜRÜ’nde yer almaktadır.

KİŞİSEL VERİLERİN GÜVENLİĞİNİN VE GİZLİLİĞİNİN SAĞLANMASI

Şirketimiz tarafından Kişisel Verilerin hukuka aykırı olarak açıklanmasını, erişimini, aktarılmasını veya başka şekillerde meydana gelebilecek güvenlik eksikliklerini önlemek için, imkanlar dahilinde, korunacak verinin niteliğine göre gerekli her türlü tedbir alınmaktadır. Bu kapsamda şirketimiz tarafından gerekli her türlü idari ve teknik tedbirler alınmakta; ilgili tedbirler güncel Kurul kararlarına uygun şekilde gözden geçirilip güncellenmekte ve kişisel verilerin kanuni olmayan yollarla ifşası durumunda Kanun’da öngörülen tedbirlere uygun olarak hareket edilmektedir. Bu bölümde ifade edilen veri güvenliği önlemleri, Kişisel Verilerin işlenmesi esnasında şirket tarafından alınacak asgari önlemlerdir

KİŞİSEL VERİLERİN HUKUKA UYGUN İŞLENMESİNİ SAĞLAMAK VE KİŞİSEL VERİLERE HUKUKA AYKURU ERİŞİLMESİNİ ÖNLEMEK İÇİN ŞİRKETİMİZ TARAFINDAN ALINAN İDARİ TEDBİRLER

  • Şirketimiz nezdinde Kişisel Verilere yönelik olarak meydana gelebilecek riskler belirlenmiş ve bunlara karşı alınması gereken önlemler tespit edilmiştir,
  • Şirketimiz Kişisel Verilerin işlenmesi ve korunmasına ilişkin olarak çalışanlarını eğitmekte, bilinçlendirilmelerini sağlamakta ve onlara yönelik farkındalık çalışmaları yapmaktadır.
  • Kişisel Verilerin güvenliğini sağlamak amacıyla bu verilere erişen çalışanlarla Çalışan Gizlilik Taahhütnamesi imzalanmaktadır.
  • Çalışanların Kişisel Verilere erişimlerinin kapsamı ve süresi sınırlandırılmaktadır.
  • Periyodik olarak yetki kontrolleri gerçekleştirilmektedir.
  • Görev değişikliği olan veya işten ayrılan çalışanların erişim yetkileri derhal kaldırılmaktadır. Bu kapsamda kendilerine tahsis edilen envanter iade alınmaktadır.

KİŞİSEL VERİLERİN HUKUKA UYGUN İŞLENMESİNİ SAĞLAMAK VE KİŞİSEL VERİLERE HUKUKA AYKURU ERİŞİLMESİNİ ÖNLEMEK İÇİN ŞİRKETİMİZ TARAFINDAN ALINAN TEKNİK TEDBİRLER

Kişiler Verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, elektronik ortam ise;

  • Şirketimiz Kişiler Verilere erişim halinde yetki matrisi uygulamaktadır.
  • Kişisel Verilere erişen çalışanların yetki kontrolleri yapılmaktadır.
  • Kişisel Veriler üzerinde gerçekleştirilen tüm hareketlerin işlem kayıtları güvenli olarak loglanmaktadır.
  • Kişisel Verilerin bulunduğu ortamlara ait güvenlik güncellemeleri sürekli takip edilmektedir, gerekli güvenlik testleri düzenli olarak yapılmakta/yaptırılmaktadır, test sonuçları kayıt altına alınmaktadır.
  • Kişisel Verilere bir yazılım aracılığı ile erişiliyorsa bu yazılıma ait kullanıcı yetkilendirmeleri yapılmaktadır, gerekli güvenlik testleri düzenli olarak yapılmakta/yaptırılmaktadır, test sonuçları kayıt altına alınmaktadır.
  • Kişisel Verilere uzaktan erişim gerekiyorsa en az iki kademeli kimlik doğrulama sistemi sağlanmaktadır.

Kişiler Verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, fiziksel ortam ise;

  • Kişisel Verilerin bulunduğu ortamın niteliğine göre yeterli güvenlik önlemlerinin (elektrik kaçağı, yangın, su baskını, hırsızlık vb. durumlara karşı) alındığından emin olunmaktadır.
  • Bu ortamların fiziksel güvenliği sağlanarak yetkisiz giriş çıkışlar engellenmektedir.

KİŞİSEL VERİLERİN HUKUKA UYGUN AKTARIMINI SAĞLAMAK İÇİN ŞİRKETİMİZ TARAFINDAN ALINAN TEDBİRLER

  • Şirketimiz, Kişisel Verilerin e-posta yoluyla aktarılması gerekiyorsa kurumsal e-posta adresiyle veya Kayıtlı Elektronik Posta (KEP) hesabı kullanarak aktarmaktadır.
  • Taşınabilir Bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerekiyorsa şifrelenmektedir
  • Farklı fiziksel ortamlardaki sunucular arasında aktarma gerçekleştiriliyorsa, sunucular arasında sFTP yöntemiyle veri aktarımı gerçekleştirilmektedir.
  • Kişisel Verilerin kağıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemler alınmaktadır.

KİŞİSEL VERİLERİN KANUNİ OLMAYAN YOLLARLA İFŞASI DURUMUNDA ALINACAK TEDBİRLER

Şirketimiz tarafından yürütülen Kişisel Veri işleme faaliyeti kapsamında, Kişisel Verilerin hukuka aykırı olarak yetkisiz kimseler tarafından elde edilmesi durumunda, durum Kurul’un 24.01.2019 tarih ve 2019/10 sayılı kararına uygun biçimde Kurul’a en geç 72 (yetmiş iki) saat içerisinde bildirilecek ve ihlalden etkilenen ilgili kişilere mümkün olan en kısa süre içerisinde bilgilendirme yapılacaktır.