KVKK POLİTİKASI
- Amaç Kişisel Verilerin Korunması Politikası (“Politika”), VERİ ÇÖZÜM TELEKOMÜNİKASYON İNTERNET HİZMETLERİ veri sorumlusu sıfatıyla elimizde bulundurduğumuz kişisel verilerin, 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) uyarınca işlenmesi ve korunmasına yönelik yöntem ve kuralları açıklamak amacıyla hazırlanmıştır.
- Kapsam İşbu Politika, VERİ ÇÖZÜM TELEKOMÜNİKASYON İNTERNET HİZMETLERİ’ın faaliyetlerini gerçekleştirmek amacıyla çalışan adayları, çalışanlar, müşteriler, potansiyel müşteriler, şirket ortak ve temsilcileri, hizmet sağlayıcıları gibi gerçek kişilere ait kişisel verilerin işlenmesi ve korunmasına ilişkindir.
- Kısaltmalar ve Tanımlar Alıcı Grubu Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisi. Açık Rıza Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza. Bilgi Sistemi VERİ ÇÖZÜM TELEKOMÜNİKASYON İNTERNET HİZMETLERİ’ın’nin operasyonel faaliyetlerini yerine getirmesine yardımcı olarak kurulmuş, bilgi ve verileri toplayan, çözümleyen ve depolayan otomatik sistemler, yazılımlar Çalışan VERİ ÇÖZÜM TELEKOMÜNİKASYON İNTERNET HİZMETLERİ’ın personeli. Elektronik Ortam Kişisel verilerin elektronik aygıtlar ile oluşturulabildiği, okunabildiği, değiştirilebildiği ve yazılabildiği ortamlar. Fiziksel Ortam Elektronik ortamların dışında kalan tüm yazılı, basılı, görsel vb. diğer ortamlar. Hizmet Sağlayıcı VERİ ÇÖZÜM TELEKOMÜNİKASYON İNTERNET HİZMETLERİ’ın ile belirli bir sözleşme çerçevesinde hizmet sağlayan gerçek veya tüzel kişi, tedarikçi. KVKK 6698 Sayılı Kişisel Verilerin Korunması Kanunu. Kişisel Veri Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi. Kişisel Verilerin İşlenmesi Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, saklanması, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem. Kurul Kişisel Verileri Koruma Kurulu. Özel Nitelikli Kişisel Veri Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri. Politika Kişisel Verilerin Korunması Politikası. Veri Sahibi Kişisel verisi işlenen gerçek kişi. Veri Sorumlusu Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasında ve yönetilmesinden sorumlu gerçek veya tüzel kişi. Bu Politika için Veri Sorumlusu VERİ ÇÖZÜM TELEKOMÜNİKASYON İNTERNET HİZMETLERİındır.
- Kişisel Verilerin İşlenmesi 4.1 Kişisel Verilerin İşlenmesinde Uygulanan İlkeler VERİ ÇÖZÜM TELEKOMÜNİKASYON İNTERNET HİZMETLERİ tüm kişisel veri işleme faaliyetleri kapsamında aşağıda açıklanan genel ilkelere uygun şekilde hareket etmektedir. • Hukuka ve dürüstlük kurallarına uygun hareket etme: Kişisel veriler, KVKK mevzuatına, genel güven ve dürüstlük kurallarına uygun olarak işlenir. • Doğruluk ve gerektiğinde güncel olma: Kişisel verilerin işlenmesi faaliyetleri yürütülürken, kişisel verilerin doğru ve gerektiğinde güncel olmasını sağlamak için gerekli idari ve teknik tedbirler alınmakta olup, kişisel veri sahiplerinin bu kapsamdaki talepleri dikkate alınarak kişisel verilerle ilgili gerekli düzenlemeler yapılır. • Belirli, açık ve meşru amaçlar için işleme: Kişisel veriler, hukuka uygun, açık ve meşru amaçlar dahilinde işlenir ve söz konusu amaçlara ilişkin olarak veri sahipleri açık bir şekilde bilgilendirilir. • İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma: Kişisel veriler, veri sahibine bildirilen amaçlar için ve gerekli olduğu ölçüde işlenmekte olup, gerek duyulmayan kişisel verilerin işlenmesinden kaçınılır. • İlgili mevzuatta öngörülen veya ilgili amaç için gerekli olan süre kadar muhafaza edilme: Kişisel veriler, ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilir. Kişisel veriler, saklama süresinin bitiminde veya işleme amacının ortadan kalkması durumunda, VERİ ÇÖZÜM TELEKOMÜNİKASYON İNTERNET HİZMETLERİ’ın tarafından veya ilgili veri sahibinin talebi üzerine silinir, yok edilir veya anonim hale getirilir.
4.2 İşlenen Kişisel Veriler Kişisel veriler, veri sahiplerinden alınan açık rıza aracılığıyla veya KVKK’nın 5. ve 6. maddelerince açık rızaya tabi olmaksızın yürütülebilecek faaliyetler çerçevesinde işlenmekte olup, bu veriler ancak bu Politikanın ‘4.3 Kişisel Verilerin İşlenme Amaçları’ bölümünde örneklendirilen amaçlar çerçevesinde işlenmektedir. VERİ ÇÖZÜM TELEKOMÜNİKASYON İNTERNET HİZMETLERİ’ın ve veri sahibi arasındaki ilişkinin türüne göre farklılaşmakta olan ve bu Politikadaki ilkelere uyumlu bir şekilde işlenen başlıca kişisel veri türleri aşağıdaki gibidir: • Kimlik Verisi: Ad, soyad, TC Kimlik Numarası (TCKN), nüfus cüzdanı bilgileri, sürücü belgesinde yer alan kimlik bilgileri, evlilik cüzdanında yer alan kimlik bilgileri, askerlik durumu belgesinde yer alan kimlik bilgileri, özgeçmiş içerisinde yer alan kimlik bilgileri, acil durumlarda aranacak kişi bilgileri, eş, çocuk ve/veya çalışan tarafından bakılan çocuğa ait ad, soyad, TCKN, doğum tarihi ve cinsiyet bilgileri, referans verilen kişilerin adı soyadı, gerçek kişi tedarikçi ad, soyad, TCKN, nüfus cüzdanı bilgileri, vergi kimlik numarası, veri merkezinde çalışacak müşteriler için sigorta sicil numarası. • İletişim Verisi: Adres, ikametgah belgesi bilgileri, e-posta, ev telefonu, şirket telefonu, cep telefonu, acil durumlarda erişilecek kişilerin telefon numaraları, referans verilen kişilerin telefon numarası, özgeçmiş içerisinde yer alan iletişim bilgileri, gerçek kişi tedarikçi adres, gerçek kişi tedarikçi/temsilci e-posta, telefon, cep telefonu. • Özlük Verisi: İşe giriş/çıkış bildirgeleri, bordro bilgileri, özgeçmiş bilgileri, savunma yazısında yer alabilecek özel nitelikli kişisel veriler. • Hukuki İşlem Verisi: Dava dosyalarındaki bilgiler, icra bilgileri. • Müşteri İşlem Verisi: Çağrı merkezi kayıtları, fatura bilgileri, dekont bilgileri, sipariş bilgileri, talep bilgileri. • Fiziksel Mekan Güvenliği Verisi: Kamera kayıtları.
• İşlem Güvenliği Verisi: Kullanıcı kodu, şifre, IP adresi, internet erişim logları, şirket giriş/çıkış logları, alan adı, sunucu bilgileri. • Risk Yönetimi Verisi: Tahsilat takip bilgileri. • Finansal Veri: IBAN, masraf tutarı, kesinti tutarı (trafik cezası/HGS/OGS/avans/haciz), çalışan eşi gelir bilgileri, kredi kartı bilgileri, ödeme bilgileri, gerçek kişi ortakların şirketteki pay miktarı. • Mesleki Deneyim Verisi: Eğitim bilgileri, alınan eğitimler, sertifikalar, özgeçmişte yer alan önceki işyeri bilgileri, çalışan eş ve çocuk eğitim bilgileri, çalışan eşi işyeri bilgileri, işyeri bilgileri. • Pazarlama Verisi: Kampanyalar ya da etkinlikler aracılığı ile elde edilen bilgiler, geçmiş satınalma bilgileri. • Görsel ve İşitsel Kayıtlar Verisi: Fotoğraflar, ses kaydı • Özel Nitelikli Kişisel Veri: Din bilgisi, mülakat veya referans aramasında elde edilebilecek felsefi inanç, din, mezhep ve diğer inançları hakkındaki bilgi, özgeçmiş içerisinde yer alıyorsa ya da mülakat veya referans aramasında elde edilebilecek dernek üyelik bilgisi, sendika üyelik bilgisi, vakıf üyelik bilgisi, sağlık bilgileri (kan grubu, görme testi, hemogram, akciğer grafisi, işitme testi, kronik veya düzenli kontrol gerektiren sağlık problemi, düzenli kullanılan ilaçlar, sağlık ile ilgili olması durumunda avans ihtiyacı sebebi, iş kazası ya da doktor raporunda yer alan sağlık bilgileri, mülakat veya referans aramasında elde edilebilecek sağlık bilgileri, iş yeri hekiminin imzalattığı işe giriş ve periyodik muayene formları), sabıka kaydı, parmak izi, şirket araçları kullanılırken araç takip sistemi üzerinde tutulan tarih bazlı lokasyon verisi. • Diğer: Şirket, departman, ünvan, imza, araç bilgileri, araç takip sistemi üzerinde tutulan tüm tarihlere ilişkin hız, rota, kaza riski bildirimi verisi.
4.3 Kişisel Verilerin İşlenme Amaçları 4.3.1 Açık Rıza Aranmayan Haller VERİ ÇÖZÜM TELEKOMÜNİKASYON İNTERNET HİZMETLERİ’in , KVKK’nın 5. maddesinin 2. fıkrasında ve 6. maddesinin 3. fıkrasında belirtilen kişisel veri işleme şartları içerisindeki amaçlarla sınırlı olarak veri sahibinin kişisel verilerini aşağıda belirtilen hallerde açık rıza olmaksızın işleyebilmektedir: • Kanunlarda açıkça öngörülmesi, • Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, • Fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, • VERİ ÇÖZÜM TELEKOMÜNİKASYON İNTERNET HİZMETLERİ’in hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, • Veri sahibinin kendisi tarafından alenileştirilmiş olması, • Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması, • Veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, VERİ ÇÖZÜM TELEKOMÜNİKASYON İNTERNET HİZMETLERİ’ın meşru menfaatleri için veri işlenmesinin zorunlu olması, • Sağlık ve cinsel hayat dışında kalan özel nitelikli kişisel verilerin işlenmesinin kanunlarda öngörülmüş olması, • Sağlık ve cinsel hayata ilişkin özel nitelikli kişisel verilerin ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenmesinin sağlanması.
4.3.2 Veri İşleme Faaliyetleri ve Amaçları Kişisel veriler, aşağıdaki amaçlar kapsamında VERİ ÇÖZÜM TELEKOMÜNİKASYON İNTERNET HİZMETLERİ’ın tarafından işlenebilmekte ve aktarılmakta olup, bu amaçlar için gerekli olan veya ilgili mevzuatların öngördüğü süre kadar saklanabilmektedir. Aşağıda örneklendirilen veri işleme faaliyetlerinin, bu Politikanın ‘4.3.1 Açık Rıza Aranmayan Haller’ bölümünde öngörülen koşullardan herhangi birini karşılamaması durumunda, ilgili veri işleme faaliyetine ilişkin olarak veri sahibinin açık rızası alınmaktadır: • Yasal ve idari yükümlülükler kapsamında sorumlu olunan faaliyetlerin gerçekleştirilmesi, • Sözleşmelerin kurulması ve ifası, • Müşterilerle ilişkilerin ve iletişimin yürütülmesi, yönetilmesi, planlanması ve icrası, • VERİ ÇÖZÜM TELEKOMÜNİKASYON İNTERNET HİZMETLERİ hizmetleri hakkında bilgi almak isteyen ve sunulan hizmetlerle ilişkili yeniliklerden haberdar olmak isteyen kişilerle iletişimin yürütülmesi, • VERİ ÇÖZÜM TELEKOMÜNİKASYON İNTERNET HİZMETLERİ’ın hizmetleri hakkında geri bildirim veren kişilerle talep etmeleri durumunda iletişim sağlanması, • Sözleşme sonrası hizmetlerin gerçekleştirilmesi, • Finans ve muhasebeye yönelik faaliyetlerin planlanması, takibi ve icrası, • Kanuna aykırı işlemlerin veya suiistimallerin soruşturulması, tespiti, bildirilmesi ve önlenmesi ile birlikte, hukuki sürece tabi faaliyetlerin, dava ve şikayetlerin yönetilmesi ve yürütülmesi, • VERİ ÇÖZÜM TELEKOMÜNİKASYON İNTERNET HİZMETLERİ’ın taraf olduğu hukuk süreçlerinin icrası ve takibi, • Marka bilinilirliğini artırmak kapsamında organizasyon, toplantı, davet ve etkinliklerin planlanması, yönetimi ve icrası, • Hizmet sağlayıcılarla tesis edilen iş birliklerinin yürütülmesi, • Kimlik tespiti ve doğrulanması, finansal güvenlik kurallarına uyulması amacıyla gerekli filtreleme ve raporlama gibi işlemler, güvenli ödeme ve tahsilat sistemlerinin işletilmesi, • Veri sahiplerinin mevzuat ve/veya VERİ ÇÖZÜM TELEKOMÜNİKASYON İNTERNET HİZMETLERİ’ın kural ve politikalarındaki değişiklikler hususunda aydınlatılması, • Talep ve şikayetlerin alınması, değerlendirilmesi ve sonuçlandırılmasına yönelik talep ve şikayet yönetimi faaliyetlerin planlanması ve icrası, • Sözleşme ilişkisi içerisine girmeye veya sözleşme yenilemeye yönelik operasyon, araştırma, analiz, raporlama faaliyetlerinin gerçekleştirilmesi, • VERİ ÇÖZÜM TELEKOMÜNİKASYON İNTERNET HİZMETLERİ’ın iş sürekliliğinin sağlanması amacıyla bilgi sistemlerinin yeterli, etkili ve verimli çalışması için gerekli ortamın sağlanması, • İş başvurusu, aday değerlendirme ve işe alım süreçlerinde adayların ilgili pozisyona uygunluğunun incelenmesi ile birlikte bu adaylarla ve başvuruyla bağlantılı kişiler ile iletişime geçilmesi, çalışanların özlük hakları ve istihdam süreçlerine dair gerekliliklerin yerine getirilmesi, • Çalışanların sağlık sigortası, yemek, taşınabilir bilgisayar, cep telefonu, araç gibi yan haklardan faydalandırılması, • Çalışanların eğitim ve etkinliklerden faydalandırılması, • Hizmet sağlayıcı/iş ortağı ile ilişkilerin yönetimi, geliştirilmesi, planlanması ve icrası, • Yetkili kurum ve kuruluşlara hukuki yükümlülük nedeniyle bilgi verilmesi ve/veya denetime ilişkin faaliyet ve yükümlülüklerin ifası, • Organizasyon ve etkinliklere katılan kişilerin kayıtlarının tutulması, • Verilerin doğru ve güncel olarak tutulmasını sağlanmasına yönelik faaliyetlerin yerine getirilmesi • İş Sağlığı ve/veya güvenliği süreçlerinin planlanması ve icrası, • VERİ ÇÖZÜM TELEKOMÜNİKASYON İNTERNET HİZMETLERİ’e giriş-çıkış yapan her türlü ziyaretçiye ilişkin çalışmaların hukuka uygun şekilde yerine getirilmesi, 6 • VERİ ÇÖZÜM TELEKOMÜNİKASYON İNTERNET HİZMETLERİ’ın ve ilişki içerisinde olduğu tarafların fiziki ve/veya elektronik ortamlarının güvenliğinin sağlanması.
4.4 Kişisel Verilerin Toplanması VERİ ÇÖZÜM TELEKOMÜNİKASYON İNTERNET HİZMETLERİ , bu Politikanın ‘4.3 Kişisel Verilerin İşlenme Amaçları’ bölümünde örneklendirilen amaçların karşılanması için doğrudan çalışanlar ve müşterilerden, iş başvurusunda bulunan çalışan adaylarından, tedarikçilerden, potansiyel müşterilerden, şirket ortak ve temsilcilerinden, resmi kurumlardan ve diğer fiziksel ortamlardan kişisel veri edinebileceği gibi, internet siteleri, sosyal medya ve diğer kamuya açık mecralar veya düzenlenen eğitimler, organizasyonlar ve benzeri etkinlikler aracılığı ile de kişisel veri toplayabilmektedir.
4.5 Kişisel Verilerin Aktarılması VERİ ÇÖZÜM TELEKOMÜNİKASYON İNTERNET HİZMETLERİ , bu Politikanın ‘4.3 Kişisel Verilerin İşlenme Amaçları’ bölümünde örneklendirilen amaçlar çerçevesinde ve KVKK’nın 8. ve 9. maddeleri uyarınca kişisel verileri, ilgili kamu kurum ve kuruluşlarına, hizmet sağlayıcılarına, çalışan aday profilinin kuruma yatkınlığının tespiti amacıyla referans gösterilen kişilere, denetim ve danışmanlık firmalarına, bankalara, kargo ve kurye hizmeti veren firmalarına, eğitim ve etkinlik firmalarına, hizmet alınan mali müşavirlik ve hukuk bürolarına, sigorta firmalarına, sağlık kuruluşlarına, yemek ve araç kiralama şirketlerine, telefon operatörlerine, tedavi ve sağlık kontrolü için işyeri hekimi/OSGB’ye, şirkete giriş kart basımı ve AVM çalışma saatleri dışında ofis ulaşımının sağlanması amacıyla İşyeri Bina Yönetimi’ne, talep gelmesi durumunda hukuki yükümlülükler kapsamında mahkemelere ve ilgili mercilere, kullanılabilecek bilişim teknolojileri gereği yurtdışı sunucularına veya bulut bilişim yolu kullanılan durumlarda buluta aktarabilmekte ve kişisel veriler bu kapsamda kullanılan sunucu ve elektronik ortamlarda işlenerek saklanabilmektedir
4.6 Kişisel Verilerin Saklanma Süresi ve İmhası Kişisel veriler ilgili mevzuatların öngördüğü süre veya bu verilerle ilişkili faaliyetlerin ve bu Politikada belirtilen amaçların gerçekleştirilmesi için gerekli olan süre boyunca saklanmaktadır. Kullanım amacı sonlanan veya saklama süresi sona eren kişisel veriler, KVKK’nın 7. maddesi uyarınca VERİ ÇÖZÜM TELEKOMÜNİKASYON İNTERNET HİZMETLERİ tarafından veya veri sahibinin talebi üzerine imha edilmektedir
- Kişisel Veri Sahibinin Hakları KVKK’nın 11. maddesi kapsamında veri sahipleri VERİ ÇÖZÜM TELEKOMÜNİKASYON İNTERNET HİZMETLERİ karşısında aşağıdaki haklara sahiptir: • Kişisel verilerin işlenip işlenmediğini öğrenme, • İşlenmişse buna ilişkin bilgi talep etme, • Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanıp kullanılmadığını öğrenme, • Varsa yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri öğrenme, • Kişisel verilerin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme, • Kişisel verilerin KVKK ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel verilerin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme, • İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle aleyhinize bir sonucun ortaya çıkmasına itiraz etme, • Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğranması halinde, zararın giderilmesini talep etme.
- Veri Sahipleri Tarafından Haklarının Kullanılması “5. Kişisel Veri Sahibinin Hakları” bölümünde tanımlanan haklarınızdan bir veya birden fazlasının sorgulanması amacıyla, www.veritescil.com.tr sayfasında yer alan KVKK Veri Sahibi Başvuru Formunu doldurarak tarafımıza iletmeniz durumunda, başvurunuzda yer alan talepleriniz, talebin niteliğine göre en kısa sürede ve en geç 30 (otuz) gün içinde sonuçlandırılacaktır. Sizin adınıza üçüncü kişilerin talepte bulunabilmeleri için, başvuruda bulunacak kişi adına sizin tarafınızdan noter vasıtasıyla düzenlenmiş olan özel vekaletnamenin sunulması gerekmektedir. Şirketimiz, başvuruda bulunan kişinin Veri Sahibi olup olmadığını tespit etmek adına İlgili Kişiden bilgi talep edebilecek, başvuruda belirtilen hususları netleştirmek adına, Veri Sahibine başvurusu ile ilgili sorular yöneltebilecektir.
- Kişisel Verilerin Güvenliği ile İlgili Uygulanan Teknik ve İdari Tedbirler Kişisel verilerin hukuka aykırı olarak işlenmesinin ve erişilmesinin önlenmesi ve verilerin muhafazasını sağlamak amacıyla, KVKK’nın 12. maddesinde yer alan ilkeler çerçevesinde, VERİ ÇÖZÜM TELEKOMÜNİKASYON İNTERNET HİZMETLERİ tarafından alınmış olan idari ve teknik tedbirler aşağıda belirtilmiştir. 7.1 Teknik Tedbirler • Bilgi sistemlerine erişim kişi bazlı tanımlanan kullanıcı kodu ve şifre ile yapılır. Şifrelerin en az 8 karakter, içinde alfanümerik, büyük, küçük ve özel karakter barındırmasına dikkat edilir. • Erişim yetkileri veri işleme amaçlarına uygun olarak kişi ve rol bazlı kısıtlamaya tabi tutulur. • Erişim yetkisi verilen çalışan, kendisine verilen kullanıcı kodu ve şifreyi bir başkasıyla paylaşmaz. • Görev değişikliği çalışanların erişim yetkileri güncellenir, işten ayrılan çalışanların erişim yetkileri kaldırılır. • Kişisel veri içeren dokümanlar, belgeler kilit altında tutulur. • Kişisel veri içeren elektronik dosyalar erişim yetkileri kısıtlanarak ve/veya şifrelenerek saklanır. • İçerisinde kuruma özel gizlilik sınıfına sahip dokümanlar veya kişisel veri barındıran dosyalar bulunan taşınabilir bellekler (USB, hafıza kartı vb.), optik diskler (CD, DVD vb.) kullanılmadıklarında kilitli çekmece veya dolaplarda saklanır. • Akıllı telefon, tablet bilgisayar vb. taşınabilir cihazlar üzerinde kişisel veri içeren dosyalar saklanmaz. • Çalışanların bilgisayar ekranı, herhangi bir hareket olmadığı takdirde kurumun belirlediği süre içerisinde kendiliğinden kapanır ve açılması için yeniden şifre ister. • Çalışan mesai bitiminde veya masasından ayrıldığında ekranını kilitler. • Kişisel veri içeren dosyalar elektronik olarak transfer edilirken şifrelenir. 8 • Ağ güvenliği ve zararlı yazılım sızmasının önlenmesi için güvenlik duvarı ve virüs tarayıcılar kullanılır. • Sızma testleri periyodik olarak uygulanır. • Gerekli durumlarda veri maskeleme yöntemi uygulanır. • Güvenlik açıkları takip edilerek uygun güvenlik yamaları yüklenir ve bilgi sistemleri iç ve dış tehditlere karşı güncel tutulur. • Kişisel verilerin güncelliğinin korunması ve iş sürekliliğinin sağlanması amacıyla düzenli sıklıkta veri yedekleme yapılır
7.2 İdari Tedbirler • Çalışanlar kişisel verilerin korunması ile ilgili gizlilik ve bilgi güvenliği sözleşmesini imzalar. İlgili sözleşmelerin şartlarını yerine getirmeyen çalışanlar için yaptırım maddeleri uygulanır. • Çalışanlara kişisel verilerin korunması konusunda farkındalıklarının oluşması ve sürekli kılınması amacıyla yılda en az 1 kez eğitim verilir. • Kuruma özel ve gizlilik sınıfına sahip dokümanlar veya kişisel veriler (çalışana, müşterilere ve/veya 3. partilere ait olanlar) masa üzerinde veya kolayca ulaşılabilir yerlerde bulundurulmaz. • Sistem şifreleri ekran üstlerinde, klavye altlarında, panolarda, masa üstünde veya e-mail vb. herhangi bir elektronik form içerisinde bulundurulmaz. • Kişisel veri işlemeye başlamadan önce, veri sahiplerine aydınlatma ve gerekli durumlarda açık rıza yükümlülüğü yerine getirilir. • Veri aktarımı yapılan üçüncü kişi ve kuruluşlar ile imzalanan sözleşmelerde kişisel verilerin korunması ve güvenlik önlemleri güvence altına alınır. • Yazıcılar, faks ve/veya fotokopi cihazları kontrol edilir ve bu cihazlarda kuruma özel ya da kişisel veri içeren çıktı bırakılmaz.