A. AMAÇ
Kişisel Verilerin Korunması Kanunu’na uygun olarak; Kişisel verilerin hukuka aykırı olarak elde edilmesi işlenmesini ve erişilmesini önlemek. Belirli, meşru ve açık amaçlar doğrultusunda İşlenmiş olan kişisel veriler üzerindeki organizasyonel, teknik, idari, teknolojik önlemlerin alınmasını sağlamak.
B. KAPSAM
Kurumumuzda Kişisel Verilerin Korunması Kanunu’na uygun olarak alınmış ve işlenmiş veya işlenmekte olan olan kişisel verilerin ister dijital ortamda isterse fiziksel ortam kayıtlı olsun tüm farklı mekan ve ortamlardaki kişisel verilerin güvenliğinin sağlanmasıdır.
C. UGULAMA
Kurumumuzda Kişisel Veri Güvenliği Yönetim Sistemi kurulmuştur. Her çalışan kişisel veri güvenliğine uygun çalışmaktan ve bilgi güvenliğine uygun davranmaktan sorumludur. Bilgi güvenliğine uygun çalışmayan ve belirlenmiş kurallara uymayanlar için “Bilgi Güvenliği Olay İhlal Formu” doldurarak kurumun veri güvenliğine katkıda bulunulur.
BEKS ÇORAP olarak Kişisel Verilerin Korunması Kanunu ve Kişisel Verileri Koruma Kurumu’nun yasal düzenlemelerine uygun olarak çalışmak için gerekli, politika, prosedür, talimat ve formların geliştirilmesi, KVKK ile ilgili yönetilebilir bir sistem kurulması ve kurulan bu sistemin denetlenmesi ve gerekli iyileştirmelerin yapılması için Veri Sorumlusu sıfatı ile Yönetim Kurulu, Kişisel Verileri Koruma Komitesi ve Veri Sorumlusu İletişim Temsilcisi atar.
Kişisel verilerin kurum tarafından hazırlanan KVKK Politika ve prosedürlerine uygun olarak korunmasından ilgili sürece müdahil olan tüm çalışanlar müteselsilen sorumludur.
Kişisel veriler organizasyonel, idari, teknik, teknolojik imkanlar ve uygulamalar ile korunmakta ve yapılan iç ve dış denetimlerle güvenlik sıkılaştırması düzenli olarak yapılmaktadır.
Bilgi güvenliği, kişisel veri güvenliğinin sağlanması için konusunda deneyimli, teknik tecrübesi olan uzmanlar istihdam edilir.
BEKS ÇORAP çalışanları, kişisel veriler, özel nitelikli kişisel veriler ve kişisel verilerin korunması; kişisel verilerin hukuka uygun olarak işlenmesi konusunda bilinçlendirme eğitimleri alırlar. KVKK/GDPR Komitesi, Veri Sorumlusu İletişim Temsilcisi’ne KVKK ile ilgili teknik eğitimler verilir.
Kurumumuzda kişisel verilere erişim yetkilendirilmiştir. Kişisel verilere erişmesi gereken çalışanların söz konusu kişisel verilere erişimini sağlamak adına gerekli KVK prosedürleri işletilir, bu prosedürlerin oluşturulması ve uygulanmasından Veri Sorumlusu İletişim Temsilcisi, KVKK/GDPR Komitesi müteselsilen sorumludur.
BEKS ÇORAP çalışanları, kişisel verilere üzerinde yalnızca kendilerine tanımlanan yetki dâhilinde ve ilgili KVKK prosedürüne uygun olarak erişim sağlayabilir. Sehven dahi fazladan bir yetki açılmışsa bunu bildirmek çalışanın sorumluluğundadır. Eğer çalışan erişim yetkisini aşarsa, yapmış olduğu her türlü erişim ve işleme hukuka aykırı olup iş akdinin haklı nedenle feshine sebep olur.
BEKS ÇORAP çalışanlarında, Kişisel Verilerin güvenliğinin ihlali; yetkisiz erişim; özel nitelikli kişisel verilerin ifşası veya kişisel verilerin güvenliğinin yeterince sağlanmadığı şüphesi oluşursa durumu derhal Bilgi Güvenliği Olay İhlal Formu aracılığı ile Veri Sorumlusu İletişim Temsilcisi’ne bildirir. Her ihlal şüphesi ilgili görevliler aracılığı ile KVKK/GDPR Komitesi’ne iletilir.
Kişisel Verilerin alınması, işlenmesi, güvenliği, güncellenmesi, silinmesi, anonim hale getirilmesi gibi durumlara yönelik detaylı KVKK politika, prosedür, talimat ve formları Veri Sorumlusu Temsilcisi ve Komite tarafından oluşturulur.
BEKS ÇORAP çalışanlarından kendisine kurum mobil cihazları tahsis edilen her çalışan, Ayrıcalıklı Haklar Tablosu ’na alınır. Çalışanlar kendi kullanımına tahsis edilen mobil cihazlarının güvenliğinden kendileri sorumludur.
BEKS ÇORAP çalışanları kendi sorumluluk alanında yer alan fiziki dosyaların güvenliğinden kendileri sorumludur. Dosyalar Temiz Masa Temiz Ekran Politikası ’na uygun olarak korunur.
BEKS ÇORAP çalışanları kişisel verilerin güvenliği için talep edilen veya ek olarak talep edilecek olan güvenlik önlemleri olması durumunda tüm çalışanlar ek güvenlik önlemlerine uymak ve bu güvenlik önlemlerinin sürekliliğini sağlamak ile yükümlüdür.
BEKS ÇORAP Kişisel Verilerin Korunması Kanunu’na uyum sağlayabilmek için veri güvenliği konusunda yazılım ve teknolojik önlemleri alır. Firewall, antivirüs programı, UTM, Sandbox, HoneyPot, DLP gibi çözümleri kurum bütçesine ve önceliğine uygun olarak hayata geçirir. Penetrasyon testleri gerçekleştirilir.
Kurumumuzda iş sürekliliği esastır. Verilerin, kişisel verilerin kaybolmasını zarar görmesini, bütünlüğünün bozulmasını engellemek üzere yedekleme programları kullanılmakta ve yeterli düzeyde güvenlik önlemleri alınmaktadır. Kurumumuz gerekli hallerde kullanmak üzere felaket kurtarma (disaster recovery) senaryolarına uygun olarak yüksek hızlı radyolink haberleşme sistemini kurmuştur.
BEKS ÇORAP ’ta kişisel verilerin yer aldığı belgeler dijital ortamda ve fiziksel ortamlarda korunmaktadır. Bu kapsamda, kişisel keriler ortak alanlarda ve masaüstünde saklanmaz. Kişisel Verilerin yer aldığı dosya ve klasörler vb. belgeler masaüstüne veya ortak klasöre taşınmaz, KVKK/GDPR Komitesi, Veri Sorumlusu İletişim Temsilcisi ve ilgili IT yöneticisinin önceden yazılı onayı alınmadan bilgisayarlardaki bilgiler USB vb. başka bir aygıta aktarılamaz, kurum dışına çıkartılamaz.
KVKK/GDPR Komitesi, Yönetim Kurulu ile birlikte kurum içerisinde bulunan tüm kişisel verilerin korunmasına yönelik teknik ve idari önlemleri almak, gelişmeleri ve idari faaliyetleri sürekli takip etmekle ve gerekli KVKK politika, prosedür, talimat ve formları hazırlayarak Yönetim Kurulu onayına sunmak, onay akabinde kurum içerisinde duyurmak ve bunlara uyulmasını sağlamak ve denetlemekle yükümlüdür. Bu kapsamda, Komite ve Veri Sorumlusu İletişim Temsilcisi çalışanların farkındalığını artırmak üzere gerekli eğitimlerin düzenlenmesini sağlar.
Kurumumuzda bir departman özel nitelikli kişisel veri işliyorsa, bu departman, Komite tarafından işledikleri kişisel verilerin önemi, güvenliği ve gizliliği hakkında bilgilendirilir ve ilgili departman Komite talimatlarına uygun hareket ederler. Özel nitelikli kişisel verilere erişim yetkisi yalnızca sınırlı çalışanlara verilir ve bunların listesi ve takibi Komite tarafından yapılır.
Kurumumuzda içerisinde işlenen özel nitelikli kişisel verilerin tamamı “Gizli Bilgi” olarak kabul edilir. Özel nitelikli kişisel veriler kâğıt üzerindeyse dosyanın ilk sayfasına beyaz A4 üzerine kırmızı renkte “KVKK/GDPR Gizli Bilgi” kaşesi vurulur.
Kurum çalışanları, Kişisel Verilerin güvenliğine ve gizliliğine ilişkin yükümlülüklerinin, iş ilişkisinin sona ermesinden sonra da devam edeceği konusunda bilgilendirilmiş ve kurum çalışanlarından bu kurallara uymaları yönünde taahhüt alınmıştır.
BEKS ÇORAP ’ta kişisel verilerin güvenliği konusunda güvenlik sıkılaştırması uygulanır. Her yıl BEKS ÇORAP ’ta KVKK/GDPR ile ilgili uyumu sağlamak için üçüncü bir göz tarafından denetlenir ve bir denetim raporu hazırlanır. Bu rapor KVKK/GDPR Komitesi’ne iletilir. KVKK/GDPR Komitesi KVKK üçüncü göz denetim raporunu üst yönetime sunar.
Her yıl KVKK/GDPR kişisel veri güvenliği iç tetkiklerinde KVKK ile ilgili sorular denetimlerde sorulmak üzere ayrı bir liste halinde iç tetkikçilere verilir. İç tetkikçiler tetkik öncesinde yapılan eğitimlerde KVKK ile ilgili bilgilendirme yapılır.
Yapılan iç tetiklerde ortaya çıkan KVKK uygunsuzlukları KVKK/GDPR Komitesi ve Veri Sorumlusu İletişim Temsilcisi’ne iletilir. Çıkan uygunsuzlukların giderilmesi sağlanır.
BEKS ÇORAP ’ta Kişisel Veri Güvenliği Taahhütnamesi gereği veri işleyen sıfatına sahip kurumları denetleyebilir. Denetimde iç tetkikçiler, komite üyeleri, kurumun bilgi güvenliği danışmanı bulunabilir. Denetim sonuç raporu KVKK/GDPR Komitesi’ne sunulur.
Kurumumuz Kişisel Veri Güvenliği Taahhütnamesi gereği veri işleyen sıfatına sahip kurumlarda uygunsuzluk tespit ederse derhal KVKK/GDPR Komitesi’ni toplantıya davet eder. Gerekli uykusuzluklara karşı aksiyon alınması sağlanır.
BEKS ÇORAP ’ta bilgi güvenliği ve kişisel veri güvenliğini ihlal eden çalışanlar için kurumsal düzenlemeler, yönetmelikler, yasal mevzuatlara uygun olarak disiplin, soruşturma ve adli işlemlerin yapılması sağlar.
BEKS ÇORAP ’ta veri minimizasyonu ilkesine ve kurumsal iletişim kurallarına dikkat edilir.
D. SORUMLULUKLAR
KVKK/GDPR Komitesi: Kişisel Veri Yönetimi ve Güvenliği Politikası’nın geliştirilmesinden ve politikanın yayımlanmasından, güncellenmesinden ve yayılımının sağlanmasından sorumludur.
KVKK/GDPR Veri Sorumlusu İletişim Sorumlusu: Dokümanın düzenlenmesi ve revize edilmesinden sorumludur. KVKK ile ilgili İç Tetkiklerde soruların hazırlanması ve İç Tetkikçilerin eğitimesinden sorumludur.
İç Tetkikçiler: Kişisel verilerin korunması ile ilgili soruları iç denetim sırasında sorulmasından sorumludur.
Tüm Yöneticileri: İç tetkik sonuçlarının takibinden iyileştirilmesinden. Kişisel verilerin yasalara uygun olarak alınmasından, işlenmesinden, güncellenmesinden, korunmasından, gerektiğinde silinmesinden, yok edilmesinden sorumludur.
Çalışanları: Kişisel verilerin yasalara uygun olarak alınmasından, işlenmesinden, güncellenmesinden, korunmasından ve KVKK ile ilgili tüm kurumsal politikalara uygun iş yapmaktan ve davranmaktan sorumludur.