SWEDISH CARE SAĞLIK HiZMETLERi A.Ş.
Özel Nitelikli Kişisel Verilerin Korunması ve İşlenmesi Politikası
1. POLİTİKANIN ÖZETİ
2. POLİTİKANIN AMACI
3. POLİTİKANIN KAPSAMI
4. TANIMLAR
5. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİ SÜREÇLERİNDE YER ALAN PERSONELE YÖNELİK ÖNLEMLER
5.1. Personelin Eğitilmesi Ve Farkındalık Çalışmaları
5.2. Gizlilik Sözleşmesi
5.3. Özel Nitelikli Kişisel Verilere Erişim Yetkilendirmesinin Kapsamı, Süresi ve Denetimi
6. özel nitelikli kişisel verilerin işlendiği muhafaza edildiği ve/veya erişildiği ortamlara yönelik önlemler
6.1. Elektronik Ortam
a) Özel Nitelikli Verilerin Kriptografik yöntemler kullanılarak muhafaza edilmesi
b) Kriptografik anahtarlar
c) Log Kayıtları
d) Verilerin bulunduğu ortamlara ait güvenlik güncellemeleri, testleri ve kayıtları
e) Verilere bir yazılım aracılığıyla erişiliyorsa
f) Verilere uzaktan erişim sağlanıyorsa
6.2. Fiziksel Ortam
a)Özel Nitelikli Kişisel Verilerin Bulunduğu Ortamın Niteliğine Göre Alınacak Güvenlik Önlemleri
b) Özel Nitelikli Kişisel Verilerin Bulunduğu Ortamların fiziksel güvenliğinin sağlanması
7. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN AKTARILMASINA YÖNELİK ALINMASI GEREKEN ÖNLEMLER
7.1. E-posta İle Aktarım
7.2. Harici Hafıza Depolama Ürünleri İle Aktarım
7.3. Sunucular Arası Aktarım
7.4. Kağıt Ortamı Yoluyla Aktarım
8. YÜRÜRLÜK
9. ONAYLAR
10. POLİTİKA TARİHÇESİ VE REVİZYON BİLGİSİ
1. POLİTİKA ÖZETİ
Politika adı |
Özel Nitelikli Kişisel Verilerin Korunması ve İşlenmesine Yönelik Politika |
Versiyon |
1.0 |
Politika sahibi |
KİŞİSEL VERİLERİ KORUMA KOMİTESİ |
Uygulama tarihi |
|
Revizyon tarihi |
|
Statü |
Aktif |
2. POLİTİKANIN AMACI
İşbu Politikanın amacı; 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) ile öngörülen ilkeler ve Swedish Care Sağlık Hizmetleri A.Ş. (“Şirket”) tarafından hazırlanarak yürürlüğe konan Kişisel Verilerin Korunması ve İşlenmesi Politikası ve Kişisel Verileri Koruma Kurulu’nun 31/01/2018 tarihli Resmi Gazete’de 201810 Karar numarası ve 2018/3 toplantı sıra sayısı ile yayınladığı Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemlerin Belirlenmesine Dair Kişisel Verileri Koruma Kurulu Kararı doğrultusunda KVKK’nın 6/1 maddesi ile belirtilen özel nitelikli kişisel verilerin işlenmesinde uygun güvenlik düzeyini temin etmeye yönelik teknik ve idari tedbirlerin belirlenmesi ve uygulanması ile ilgili kuralları belirlemektir.
3. POLİTİKANIN KAPSAMI
İşbu Politika, tüm Şirket personeli, danışmanları, iş ortakları ve personeli ile Şirket’in işlediği özel nitelikli kişisel verilere temas eden herkes için uygulanacaktır.
İşbu Politika kapsamında;
1-Özel nitelikli kişisel veri işlenmesi süreçlerinde bulunan yukarıda belirtilen kişilere,
2-Özel nitelikli kişisel verileri işlendiği, muhafaza edildiği ve/veya erişildiği elektronik veya fiziksel ortamlarda,
3-Özel nitelikli kişisel verilerin işlenmesine ve aktarımına
ilişkin alınması gereken yeterli önlemler ve uygun güvenlik düzeyini temin etmeye yönelik teknik ve idari tedbirlere ilişkin süreçler düzenlenmektedir.
4. TANIMLAR
Hesap: Şirket sistemlerine, kaynaklarına, yazılımlara, veri tabanlarına ve uygulamalara erişilmesi için kullanılan tanımlama bilgisidir.
Grup: Hesap bilgisinin tanımlı olduğu departman bilgisidir.
Karar: 31/01/2018 tarihli Resmi Gazete’de 2018/10 Karar numarası ve 2018/3 toplantı sıra sayısı ile yayımlanan Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemlerin belirlenmesine Kişisel Verileri Koruma Kurulu Kararı
Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi,
Özel Nitelikli Kişisel Veri: KVKK’nın 6/1 maddesinde belirtilmiş olan kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verilerini,
Kişisel Verilerin İşlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi,
Kurul: Kişisel Verileri Koruma Kurulu,
Kurum: Kişisel Verileri Koruma Kurumu,
KVKK: 6698 Sayılı Kişisel Verilerin Korunması Kanunu
Politika: Özel Nitelikli Kişisel Verilerin Korunması ve İşlenmesine Yönelik işbu Politika
Rol/profil: Uygulamalarda ilave özellikler alınması için verilen tanımlama bilgisidir.
5.ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİ SÜREÇLERİNDE YER ALAN PERSONELE YÖNELİK ÖNLEMLER
5.1. Personelin Eğitimi Ve Farkındalık Çalışmaları
5.1.1. İşbu Politikanın uygulanması Kişisel Verileri Koruma Komitesi tarafından sağlanacaktır.
5.1.2. İşbu Politika ile özel nitelikli kişisel verilerin işlenmesi süreçlerinde yer alan Şirket personelinin görev tanımları gereği yürüttüğü faaliyetler doğrultusunda, KVKK ve buna bağlı yönetmelikler ve özel nitelikli kişisel veri güvenliği konularına ilişkin düzenli eğitim almaları, tüm Şirket personeline yönelik farkındalık çalışmaları yapılması sağlanacak olup, söz konusu eğitim ve farkındalık çalışmalarının belirlenmesi ve planlanması doğrultusunda ilgili personele uygun takvimin hazırlanması, bildirimi ve personel tarafından katılımın kaydının ve takibinin sağlanması yükümlülükleri Kişisel Verileri Koruma Komitesi tarafından yerine getirilecektir.
5.1.3. Politika’da açıklanan özel nitelikli kişisel verilerin işlenmesi faaliyetleri hakkında ilgili yetki ve sorumluluklar Şirket uygulamaları, tüm Şirket yazılım ve donanımları, Şirket ağları ve internet erişimi faaliyetlerine ilişkin erişim ve yetkilendirme süreçlerine uygun bir şekilde tüm personel tarafından yerine getirilecektir.
5.2. Gizlilik Sözleşmeleri
Özel nitelikli kişisel verilerin işlenmesi süreçlerinde yer alan personel ile gizlilik sözleşmelerinin imzalanması Kişisel Verileri Koruma Komitesi tarafından yerine getirilecektir. İşe alım sürecinin bir parçası olarak özel nitelikli kişisel verilerin işlenmesi süreçlerinde yer alacak personel ile gizlilik sözleşmesi imzalanması Kişisel Verileri Koruma Komitesi tarafından sağlanacaktır.
5.3. Özel Nitelikli Kişisel Verilere Erişim Yetkilendirmesinin kapsamı, süresi ve denetimi
5.3.1. Özel Nitelikli Kişisel Verilere Erişim yetkisine sahip kullanıcıların görev tanımları gereği yürüttüğü faaliyetler doğrultusunda, KVKK ve Kişisel Verilerin Korunması ve İşlenmesi Politikası doğrultusunda erişebileceği, işleyebileceği verilerin sınırlanması sağlanacak olup, söz konusu sınırlamalar doğrultusunda yetki ve sorumlulukların belirlenmesi için, hesapların tanımlanması ve rol/profil tanımlamalarının yapılması yükümlülükleri Kişisel Verileri Koruma Komitesi tarafından yerine getirilecektir.
5.3.2. Özel Nitelikli Kişisel verilerin; KVKK, Kişisel Verilerin Korunması ve İşlenmesi Politikası ve ilgili diğer mevzuata uygun bir şekilde işlenebilmesi için, işlemeye ilişkin koşulların işbu Politikada öngörülen sistematik bir analiz çerçevesinde, her bir işleme faaliyeti bazında ayrı ayrı değerlendirilmesi gerekmektedir. Bu analiz KVKK’nın 4. maddesinde özel nitelikli kişisel verilerin işlenmesinde uyulması zorunlu olan ilkeler çerçevesinde ve kişisel verileri işleme envanteri yardımı ile gerçekleştirilecektir.
5.3.3. Özel nitelikli kişisel veriler ancak belirli, açık ve meşru bir amaç için işlenebilir. Bu nedenle ilk olarak, özel nitelikli kişisel veriyi işleme amacı tespit edilmelidir.
5.3.4. Özel nitelikli kişisel verileri işleme faaliyeti, tespit edilen amaçla bağlantılı, sınırlı ve ölçülü olmalıdır. Tespit edilen amacın gerçekleştirilmesi için, söz konusu özel nitelikli kişisel verinin işlenmesi zorunlu olmalıdır. İşlenen özel nitelikli kişisel verilerin, belirlenen amaçların gerçekleştirilebilmesine elverişli olması gerekmektedir. Belirlenen amaçların gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan özel nitelikli kişisel verilerin işlenmesinden kaçınılması gerekmektedir.
5.3.5. Özel nitelikli kişisel veriler üzerinde gerçekleştirilecek her türlü işlemde esas alınması gereken hukuka ve dürüstlük kurallarına uygun olma ilkesi;
- Özel nitelikli kişisel verilerin işlenmesinde meşru bir temele dayanılması,
- Özel nitelikli kişisel verilerin, meşru bir sebep olmaksızın bireyler aleyhine sonuçlar doğuracak şekilde kullanılmaması,
- Özel nitelikli Kişisel verilerin işlenmesinde şeffaflığın ilke edinilmesi ve kişilerin bu bağlamda bilgilendirilmesi,
- Özel nitelikli kişisel verilerin, bireylerin makul beklentileri ve öngörüleri doğrultusunda işlenmesi
şeklinde verilebilecek örneklerle sınırlı olmayacak şekilde açıklanabilir.
5.3.6. İşlenen özel nitelikli kişisel veri güncel ve doğru olmalıdır. Bu ilke doğrultusunda;
- Özel nitelikli kişisel verilerin doğru olmasını sağlayacak makul önlemlerin alınması,
- Özel nitelikli kişisel verilerin elde edildiği kaynakların belirli olması,
- Özel nitelikli kişisel verilerin doğru olmamasından kaynaklı taleplerin özenle dikkate alınması,
- Özel nitelikli kişisel verilerin güncellenmesi gerekip gerekmediğinin değerlendirilmesi
ve İşbu Politikada belirlenen diğer hususlara dikkat edilmesi gerekmektedir. Güncelliğini ve doğruluğunu yitiren özel nitelikli kişisel veriler, Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik ve Kişisel Verileri Saklama ve İmha Politikası’nda öngörülen usuller ve esaslar çerçevesinde işleme tabi tutulur.
5.3.7. Özel nitelikli kişisel verilerin, ancak ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmesi zorunludur. Buna göre, ilgili mevzuatta verilerin saklanması için öngörülen bir süre varsa bu süreye uyulacak; yoksa veriler, ancak işlendikleri amaç için gerekli olan süre kadar muhafaza edilecektir. Bir verinin daha fazla saklanması için geçerli bir sebep olmaması durumunda, o veri, Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik ve Kişisel Verileri Saklama ve İmha Politikası’nda öngörülen usuller ve esaslar çerçevesinde işleme tabi tutulur. Gelecekte kullanma ihtimalinin varlığına dayanarak veri saklanamayacaktır.
5.3.8. Bu Politika’da açıklanan faaliyetlere ilişkin ilgili yetki ve sorumluluklar Şirket uygulamaları, tüm Şirket yazılım ve donanımları, Şirket ağları ve internet erişimi faaliyetlerine ilişkin erişim ve yetkilendirme süreçlerine uygun bir şekilde özel nitelikli kişisel verilere erişim yetkisine sahip personel tarafından yerine getirilecektir.
a) Rol/Profil Tanımlama
5.3.9. Uygulamalar ve sistemler üzerinde departmanlara ve ilgili personele bulunduğu rol/profil kapsamında yapılacak olan belirlemeler ve sınırlandırmalar çerçevesinde, Kişisel Verileri Koruma Komitesi tarafından rol/profil tanımlamaları yapılacak ve yetkilendirmeler bu rol/profil tanımlamalarına göre düzenlenecektir. Bu sayede işe başlayan personel uygun bir role/profile tanımlandığında görevin gerektirdiği tüm yetkiler otomatik olarak hesaba eklenmiş olacaktır.
5.3.10. Kişisel Verileri Koruma Komitesi tarafından yapılacak olan belirlemeler ve sınırlandırmalar çerçevesinde rol/profil tanımlamalarının yapılması ve söz konusu tanımlamaların hukuka ve Şirket ihtiyaçlarına uygunluğunun denetlenmesi ve gerekli düzenlemelerinin yapılması için koordinasyonun sağlanması yükümlülüğü Kişisel Verileri Koruma Komitesi’ne aittir.
b) Yetki Tanımlama
5.3.11. Uygulamalar ve sistemler üzerinde departmanlara ve ilgili personele dair Kişisel Verileri Koruma Komitesi tarafından yapılacak olan belirlemeler ve sınırlandırmalar çerçevesinde, rol/profillere erişim yetki tanımlaması yapılacaktır.
5.3.12. Kişisel Verileri Koruma Komitesi tarafından yapılacak olan belirlemeler ve sınırlandırmalar çerçevesinde rol/profillere erişim yetki tanımlamalarının yapılması ve söz konusu tanımlamaların hukuka ve Şirket ihtiyaçlarına uygunluğunun denetlenmesi, güncelliğinin sağlanması ve gerekli düzenlemelerinin yapılması için koordinasyonun sağlanması yükümlülüğü Kişisel Verileri Koruma Komitesi’ne aittir.
c) Kullanıcı Tanımlama
5.3.13. Uygulamalar ve sistemler üzerinde departmanlara ve ilgili personele dair Kişisel Verileri Koruma Komitesi tarafından yapılacak olan belirlemeler ve sınırlandırmalar çerçevesinde, Kişisel Verileri Koruma Komitesi tarafından personelin görev tanımı doğrultusunda kendisine özgü kullanıcı hesabı açılacak ve uygun rol/profillere atanacaktır.
5.3.14. Kişisel Verileri Koruma Komitesi tarafından yapılacak olan belirlemeler ve sınırlandırmalar çerçevesinde kullanıcı hesaplarının açılması ve uygun rol/profillere atanması ve söz konusu kullanıcı hesaplarına ilişkin tanımlamaların hukuka ve Şirket ihtiyaçlarına uygunluğunun denetlenmesi, güncelliğinin sağlanması ve gerekli düzenlemelerinin yapılması Kişisel Verileri Koruma Komitesi’ne, hesapların hukuka ve yetkilendirmeler ile tüm Şirket düzenlemelerine uygun bir biçimde kullanılması yükümlülüğü kullanıcıya, hesapların hukuka uygun olarak kullanılıp kullanılmadığını denetleme ve uygulanacak yaptırımları belirleme yükümlülüğü ise kullanıcının bağlı bulunduğu departmanın yöneticisi ve Kişisel Verileri Koruma Komitesi’ne aittir.
5.3.15. Kişisel Verileri Koruma Komitesi tarafından yapılacak olan belirlemeler ve sınırlandırmalar çerçevesinde görev değişikliği olan ya da işten ayrılan personelin kendisine tahsis edilen envanterin iade alınması, söz konusu iade alma sürecinin denetlenmesi ve gerekli düzenlemelerinin yapılması Kişisel Verileri Koruma Komitesi’ne, envanterin iadesinin sağlanması yükümlülüğü kullanıcıya, envanterin iadesinin hukuka uygun bir şekilde gerçekleşip gerçekleşmediğini denetleme ve uygulanacak yaptırımları belirleme yükümlülüğü ise kullanıcının bağlı bulunduğu departmanın yöneticisi ve Kişisel Verileri Koruma Komitesi’ne aittir.
6. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENDİĞİ MUHAFAZA EDİLDİĞİ VE/VEYA ERİŞİLDİĞİ ORTAMLARA YÖNELİK ÖNLEMLER
6.1. Elektronik Ortamlar
a) Özel Nitelikli Verilerin Kriptografik yöntemler kullanılarak muhafaza edilmesi,
6.1.2. Özel nitelikli kişisel verilerin işlendiği muhafaza edildiği ve/veya erişildiği elektronik ortamların veya sistemlerin kriptografik yöntemlerle şifrelenmesi, bulut ortamına aktarılıyorsa şifrelenerek aktarılması, söz konusu şifreleme sürecinin, devamlılığının denetlenmesi ve gerekli düzenlemelerinin yapılması, şifreleme işleminin hukuka uygun bir şekilde gerçekleşip gerçekleşmediğini denetleme ve uygulanacak yaptırımları belirleme yükümlülüğü kullanıcının bağlı bulunduğu departmanın yöneticisi ve Kişisel Verileri Koruma Komitesi’ne aittir.
b) Kriptografik anahtarlar
6.1.3. Özel nitelikli kişisel verilerin işlendiği muhafaza edildiği ve/veya erişildiği elektronik ortamların veya sistemlerin kriptografik yöntemler kullanılarak şifrelenmesi, bulut ortamına aktarılıyorsa şifrelenerek atılması sonucu oluşturulacak kriptografik/şifreleme anahtarlarının mümkün olan her yerde ayrı ayrı olarak belirlenmesi ve kullanılması, söz konusu şifreleme sürecinin, devamlılığının denetlenmesi ve gerekli düzenlemelerinin yapılması, şifreleme işleminin hukuka uygun bir şekilde gerçekleşip gerçekleşmediğini denetleme ve uygulanacak yaptırımları belirleme yükümlülüğü kullanıcının bağlı bulunduğu departmanın yöneticisi ve Kişisel Verileri Koruma Komitesi’ne aittir.
6.1.4. Özel nitelikli kişisel verilerin işlendiği muhafaza edildiği ve/veya erişildiği elektronik ortamların veya sistemlerin kriptografik yöntemler kullanılarak şifrelenmesi, bulut ortamına aktarılıyorsa şifrelenerek atılması sonucu oluşturulacak kriptografik/şifreleme anahtarlarının güvenli ve farklı ortamlarda tutulmasının belirlenmesi ve kullanılması, söz konusu kriptografik/şifreleme anahtarlarının güvenliğinin sağlanmasının devamlılığının denetlenmesi ve gerekli düzenlemelerinin yapılması, kriptografik/şifreleme anahtarlarının güvenliğinin sağlanmasının hukuka uygun bir şekilde gerçekleşip gerçekleşmediğini denetleme ve uygulanacak yaptırımları belirleme yükümlülüğü kullanıcının bağlı bulunduğu departmanın yöneticisi ve Kişisel Verileri Koruma Komitesi’ne aittir.
c) Log Kayıtları
6.1.5. Özel nitelikli kişisel verilerin işlendiği muhafaza edildiği ve/veya erişildiği elektronik ortamlarda veya sistemlerde özel nitelikli kişisel veriler üzerinde gerçekleştirilen tüm hareketlerin işlem kayıtlarının güvenli olarak loglanmasını sağlama, söz konusu loglama işlemlerinin devamlılığının denetlenmesi ve gerekli düzenlemelerinin yapılması, loglama işlemlerinin hukuka uygun bir şekilde gerçekleşip gerçekleşmediğini denetleme ve uygulanacak yaptırımları belirleme yükümlülüğü kullanıcının bağlı bulunduğu departmanın yöneticisi ve Kişisel Verileri Koruma Komitesi’ne aittir.
d) Verilerin bulunduğu ortamlara ait güvenlik güncellemeleri, testleri ve kayıtları
6.1.5.Özel nitelikli kişisel verilerin işlendiği muhafaza edildiği ve/veya erişildiği elektronik ortamlarda veya sistemlerde özel nitelikli kişisel verilerin bulunduğu ortamlara ait güvenlik güncellemelerinin sürekli olarak takip edilmesi, söz konusu güvenlik güncellemelerinin sürekli olarak takibinin denetlenmesi ve gerekli düzenlemelerin yapılması için koordinasyonun sağlanması, güncelleme işlemlerinin hukuka uygun bir şekilde gerçekleşip gerçekleşmediğini denetleme ve uygulanacak yaptırımları belirleme yükümlülüğü kullanıcının bağlı bulunduğu departmanın yöneticisi ve Kişisel Verileri Koruma Komitesi’ne aittir.
6.1.6.Özel nitelikli kişisel verilerin işlendiği muhafaza edildiği ve/veya erişildiği elektronik ortamlara veya sistemlere ilişkin gerekli güvenlik testlerinin düzenli olarak yapılması/yaptırılması, söz konusu güvenlik testlerinin düzenli olarak yapılması/yaptırılması işlemlerinin sağlanmasının denetlenmesi ve gerekli düzenlemelerinin yapılması için koordinasyonun sağlanması, güvenlik testlerinin düzenli olarak yapılması/yaptırılmasının hukuka uygun bir şekilde gerçekleşip gerçekleşmediğini denetleme ve uygulanacak yaptırımları belirleme yükümlülüğü kullanıcının bağlı bulunduğu departmanın yöneticisi ve Kişisel Verileri Koruma Komitesi’ne aittir.
6.1.7.Özel nitelikli kişisel verilerin işlendiği muhafaza edildiği ve/veya erişildiği elektronik ortamlara veya sistemlere ilişkin yapılan tüm güvenlik testlerinin sonuçlarının kayıt altına alınması, söz konusu tüm güvenlik testlerinin sonuçlarının kayıt altına alınması işlemlerinin denetlenmesi ve gerekli düzenlemelerinin yapılması için koordinasyonun sağlanması, tüm güvenlik testlerinin sonuçlarının kayıt altına alınmasının hukuka uygun bir şekilde gerçekleşip gerçekleşmediğini denetleme ve uygulanacak yaptırımları belirleme yükümlülüğü kullanıcının bağlı bulunduğu departmanın yöneticisi ve Kişisel Verileri Koruma Komitesi’ne aittir.
e) Verilere bir yazılım aracılığıyla erişiliyorsa
6.1.8. Özel nitelikli kişisel verilerin işlendiği muhafaza edildiği ve/veya erişildiği elektronik ortamlarda veya sistemlerde özel nitelikli kişisel verilere bir yazılım aracılığıyla erişiliyorsa bu yazılıma ait kullanıcı yetkilendirmelerinin yapılması, söz konusu kullanıcı yetkilendirme işlemlerinin sağlanmasının denetlenmesi ve gerekli düzenlemelerinin yapılması için koordinasyonun sağlanması, kullanıcı yetkilendirme işlemlerinin hukuka uygun bir şekilde gerçekleşip gerçekleşmediğini denetleme ve uygulanacak yaptırımları belirleme yükümlülüğü kullanıcının bağlı bulunduğu departmanın yöneticisi ve Kişisel Verileri Koruma Komitesi’ne aittir.
6.1.9. Özel nitelikli kişisel verilerin işlendiği muhafaza edildiği ve/veya erişildiği elektronik ortamlarda veya sistemlerde özel nitelikli kişisel verilere bir yazılım aracılığıyla erişiliyorsa bu yazılımların güvenlik testlerinin düzenli olarak yapılması/yaptırılması, söz konusu güvenlik testlerinin düzenli olarak yapılması/yaptırılması işlemlerinin denetlenmesi ve gerekli düzenlemelerinin yapılması, güvenlik testlerinin düzenli olarak yapılması/yaptırılmasının hukuka uygun bir şekilde gerçekleşip gerçekleşmediğini denetleme ve uygulanacak yaptırımları belirleme yükümlülüğü kullanıcının bağlı bulunduğu departmanın yöneticisi ve Kişisel Verileri Koruma Komitesi’ne aittir.
6.1.10. Özel nitelikli kişisel verilerin işlendiği muhafaza edildiği ve/veya erişildiği elektronik ortamlarda veya sistemlerde özel nitelikli kişisel verilere bir yazılım aracılığıyla erişiliyorsa bu yazılımların güvenlik testlerinin sonuçlarının kayıt altına alınması, söz konusu tüm güvenlik testlerinin sonuçlarının kayıt altına alınması işlemlerinin sağlanmasının denetlenmesi ve gerekli düzenlemelerinin yapılması için koordinasyonun sağlanması, tüm güvenlik testlerinin sonuçlarının kayıt altına alınmasının hukuka uygun bir şekilde gerçekleşip gerçekleşmediğini denetleme ve uygulanacak yaptırımları belirleme yükümlülüğü kullanıcının bağlı bulunduğu departmanın yöneticisi ve Kişisel Verileri Koruma Komitesi’ne aittir.
f) Verilere uzaktan erişim sağlanıyorsa
6.1.11. Özel nitelikli kişisel verilerin işlendiği muhafaza edildiği ve/veya erişildiği elektronik ortamlarda veya sistemlerde özel nitelikli kişisel verilere uzaktan erişim gerekiyorsa en az iki kademeli kimlik doğrulama sisteminin sağlanması, söz konusu kimlik doğrulama sisteminin denetlenmesi ve gerekli düzenlemelerinin yapılması, kimlik doğrulama sisteminin hukuka uygun bir şekilde gerçekleşip gerçekleşmediğini denetleme ve uygulanacak yaptırımları belirleme yükümlülüğü kullanıcının bağlı bulunduğu departmanın yöneticisi ve Kişisel Verileri Koruma Komitesi’ne aittir.
6.2. Fiziksel Ortamlar
a) Özel Nitelikli Kişisel Verilerin Bulunduğu Ortamın Niteliğine Göre Alınacak Güvenlik Önlemleri
Özel nitelikli kişisel verilerin işlendiği muhafaza edildiği ve/veya erişildiği fiziksel ortamlarda özel nitelikli kişisel verilerin bulunduğu ortamın niteliğine göre elektrik kaçağı, yangın, su baskını, hırsızlık gibi durumlara karşı yeterli güvenlik önlemlerinin alınması, söz konusu güvenlik önlemlerinin alındığının denetlenmesi ve gerekli düzenlemelerinin yapılması, güvenlik önlemlerinin hukuka uygun bir şekilde gerçekleşip gerçekleşmediğini denetleme ve uygulanacak yaptırımları belirleme yükümlülüğü kullanıcının bağlı bulunduğu departmanın yöneticisi ve Kişisel Verileri Koruma Komitesi’ne aittir.
b) Özel Nitelikli Kişisel Verilerin Bulunduğu Ortamların fiziksel güvenliğinin sağlanması
Özel nitelikli kişisel verilerin işlendiği muhafaza edildiği ve/veya erişildiği fiziksel ortamlarda özel nitelikli kişisel verilerin bulunduğu ortamların fiziksel güvenliğinin sağlanarak yetkisiz giriş çıkışların engellenmesi, söz konusu güvenliğin sağlandığının denetlenmesi ve gerekli düzenlemelerinin yapılması, güvenlik önlemlerinin hukuka uygun bir şekilde gerçekleşip gerçekleşmediğini denetleme ve uygulanacak yaptırımları belirleme yükümlülüğü kullanıcının bağlı bulunduğu departmanın yöneticisi ve Kişisel Verileri Koruma Komitesi’ne aittir.
7. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN AKTARILMASINA YÖNELİK ALINMASI GEREKEN ÖNLEMLER
7.1.) E-posta İle Aktarım
7.1.1. Özel nitelikli kişisel verilerin e-posta yoluyla aktarılması gerekiyorsa şifreli olarak kurumsal e-posta adresiyle aktarılması gerekmektedir.
7.1.2. Özel nitelikli kişisel verilerin e-posta yoluyla aktarılırken şifreli olarak kurumsal e-posta adresiyle aktarılmasını sağlama, söz konusu aktarımın işbu Politika’ya uygun olarak sağlandığının denetlenmesi ve gerekli düzenlemelerinin yapılması, aktarımın hukuka uygun bir şekilde gerçekleşip gerçekleşmediğini denetleme ve uygulanacak yaptırımları belirleme yükümlülüğü kullanıcının bağlı bulunduğu departmanın yöneticisi ve Kişisel Verileri Koruma Komitesi’ne aittir.
7.2.) Harici Hafıza Depolama Ürünleri İle Aktarım
7.2.1. Özel nitelikli kişisel verilerin taşınabilir bellek (usb vb.), harici diskler, CD, DVD gibi ortamlar yoluyla aktarılması gerekiyorsa kriptografik yöntemlerle şifrelenmesi gerekmektedir.
7.2.2. Özel nitelikli kişisel verilerin taşınabilir bellek (usb vb.), harici diskler, CD, DVD gibi ortamlar yoluyla aktarılması gerekiyorsa kriptografik yöntemlerle şifrelenmesini sağlama, söz konusu aktarımın işbu Politika’ya uygun olarak sağlandığının denetlenmesi ve gerekli düzenlemelerinin yapılması, aktarımın hukuka uygun bir şekilde gerçekleşip gerçekleşmediğini denetleme ve uygulanacak yaptırımları belirleme yükümlülüğü kullanıcının bağlı bulunduğu departmanın yöneticisi ve Kişisel Verileri Koruma Komitesi’ne aittir.
7.2.3. Özel nitelikli kişisel verilerin taşınabilir bellek (usb vb.), harici diskler, CD, DVD gibi ortamlar yoluyla aktarılırken kriptografik yöntemlerle şifrelenmesi sonucu oluşturulan kriptografik anahtarların farklı ortamlarda tutulması gerekmektedir.
7.2.4. Özel nitelikli kişisel verilerin taşınabilir bellek (usb vb.), harici diskler, CD, DVD gibi ortamlar yoluyla aktarılırken kriptografik yöntemlerle şifrelenmesi sonucunda oluşturulan kriptografik anahtarları farklı ortamlarda tutulmasını sağlama, söz konusu kriptografik anahtarların farklı ortamlarda tutulmasının işbu Politikaya uygun olarak sağlandığının denetlenmesi ve gerekli düzenlemelerinin yapılması, anahtarların tutulmasının hukuka uygun bir şekilde gerçekleşip gerçekleşmediğini denetleme ve uygulanacak yaptırımları belirleme yükümlülüğü kullanıcının bağlı bulunduğu departmanın yöneticisi ve Kişisel Verileri Koruma Komitesi’ne aittir.
7.3.) Sunucular Arasındaki Aktarım
7.3.1. Özel nitelikli kişisel verilerin farklı fiziksel ortamlardaki sunucular arasında aktarımı gerçekleştiriliyorsa, sunucular arasında VPN kurularak veya sFTP yöntemiyle veri aktarımının gerçekleştirilmesi gerekmektedir.
7.3.2. Özel nitelikli kişisel verilerin farklı fiziksel ortamlardaki sunucular arasında aktarımı gerçekleştiriliyorsa, sunucular arasında VPN kurularak veya sFTP yöntemiyle veri aktarımının gerçekleştirilmesini sağlama, söz konusu aktarımın işbu Politikaya uygun olarak sağlandığının denetlenmesi ve gerekli düzenlemelerinin yapılması, aktarımın hukuka uygun bir şekilde gerçekleşip gerçekleşmediğini denetleme ve uygulanacak yaptırımları belirleme yükümlülüğü kullanıcının bağlı bulunduğu departmanın yöneticisi ve Kişisel Verileri Koruma Komitesi’ne aittir.
7.4.) Kağıt Ortamı Yoluyla Aktarım
7.4.1. Özel nitelikli kişisel verilerin kağıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemlerin alınması ve evrakın “gizlilik dereceli belgeler” formatında gönderilmesi gerekmektedir.
7.4.2. Özel nitelikli kişisel verilerin kağıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemlerin alınması ve evrakın “gizlilik dereceli belgeler” formatında gönderilmesinin sağlanması, söz konusu aktarımın işbu Politikaya uygun olarak sağlandığının denetlenmesi ve gerekli düzenlemelerinin yapılması, aktarımın hukuka uygun bir şekilde gerçekleşip gerçekleşmediğini denetleme ve uygulanacak yaptırımları belirleme yükümlülüğü kullanıcının bağlı bulunduğu departmanın yöneticisi ve Kişisel Verileri Koruma Komitesi’ne aittir.
8. YÜRÜRLÜK
8.1. İşbu Politika yayınlanma tarihi itibari ile yürürlüğe girecektir.
8.2. İşbu Politika’nın tüm Şirket personeline ulaşacak biçimde yayınlanması ve gerekli güncellemelerin yapılması halinde bunların da duyurulması Kişisel Verileri Koruma Komitesi’nin yükümlülüğündedir.