Corporate
"part of your drive"
Corporate
"part of your drive"
1.1. Giriş.............................4
1.2. Politika’nın Amacı.............................4
1.3
Politika’nın Kapsamı.............................4
1.4. Tanımlar.............................5
2.1. Kişisel Verilerin İşlenmesi ve Aktarılmasında Genel İlkeler.............................7
2.1.1. Hukuka ve
Dürüstlük Kurallarına Uygun Olma.............................7
2.1.2. Doğru ve Gerektiğinde Güncel
Olma.............................8
2.1.3. Belirli, Açık ve Meşru Amaçlar İçin
İşlenme.............................8
2.1.4. İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü
Olma.............................8
2.1.5. İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç İçin Gerekli Olan
Süre Kadar Muhafaza Edilme.............................8
2.2. Özel Nitelikli Kişisel Verilerin İşlenme
Şartları.............................9
2.2.1. Kanunlarda Açıkça
Öngörülmesi.............................9
2.2.2. Kamu Sağlığının Korunması, Koruyucu Hekimlik, Tıbbi Teşhis,
Tedavi ve Bakım Hizmetlerinin Yürütülmesi, Sağlık Hizmetleri ile Finansmanının Planlanması ve Yönetimi
Amacıyla.............................9
2.3. Özel Nitelikli Kişisel Verilerin Aktarılma
Şartları.............................9
2.3.1. Özel Nitelikli Kişisel Verilerin Yurt Dışına Aktarılma
Şartları.............................9
3.1. Özel Nitelikli Kişisel Verilerin İşlenmesi Süreçlerinde Yer Alan Çalışanlara Yönelik Alınan
Tedbirler.............................10
3.1.1. Eğitim ve Farkındalık Çalışmalarının
Yürütülmesi.............................10
3.1.2. Gizlilik Sözleşmelerinin
Yapılması.............................10
3.1.3. Yetkili Kullanıcıların, Yetki Kapsamları ve Sürelerinin Net
Olarak Tanımlanması.............................10
3.1.4. Periyodik Yetki Kontrollerinin
Gerçekleştirilmesi.............................11
3.2. Özel Nitelikli Kişisel Verilerin İşlendiği, Muhafaza
Edildiği ve/veya Erişildiği Ortamların Elektronik Ortam Olması Durumunda Alınan
Tedbirler.............................11
3.2.1. Verilerin Kriptografik Yöntemler Kullanılarak Muhafaza
Edilmesi.............................11
3.2.2. Kriptografik Anahtarların Güvenli ve Farklı Ortamlarda
Tutulması.............................11
3.2.3. Veriler Üzerindeki Hareketlerin İşlem Kayıtlarının
Loglanması.............................11
3.2.4. Verilerin Bulunduğu Ortamlara Ait Güvenlik Güncellemelerinin
ve Güvenlik Testlerinin Yapılması/Yaptırılması, Test Sonuçlarının Kayıt Altına
Alınması.............................11
3.2.5. Verilere Bir Yazılım Aracılığıyla Erişiliyorsa Bu Yazılıma Ait
Kullanıcı Yetkilendirmelerinin ve Güvenlik Testlerinin Düzenli Olarak Yapılması/Yaptırılması, Test Sonuçlarının
Kayıt Altına Alınması.............................11
3.2.6. Verilere Uzaktan Erişim Gerekiyorsa En Az İki
Kademeli Kimlik Doğrulama Sisteminin Sağlanması.............................11
3.3. Özel Nitelikli Kişisel
Verilerin İşlendiği, Muhafaza Edildiği ve/veya Erişildiği Ortamların Fiziksel Ortam Olması Durumunda Alınan
Tedbirler.............................12
3.3.1. Verilerin Bulunduğu Ortamın Niteliğine Göre Yeterli Güvenlik
Önlemlerinin Alınması.............................12
3.3.2. Verilerin Bulunduğu Ortamın Fiziksel Güvenliğinin
Sağlanarak Yetkisiz Giriş Çıkışların Engellenmesi.............................12
3.4. Özel Nitelikli Kişisel
Veriler Aktarılırken Alınan Tedbirler.............................12
3.4.1. E-Posta Yoluyla
Aktarma..............................12
3.4.2. Taşınabilir Bellek, CD, DVD Gibi Ortamlar Yoluyla
Aktarma..............................12
3.4.3. Farklı Fiziksel Ortamlardaki Sunucular Arasında
Aktarma.............................12
3.4.4. Kağıt Ortamı Yoluyla Aktarma.............................12
4.1 Kanun ve Politika’nın Uygulanmayacağı Haller.............................13
ENDO ENDRÜSTİYEL DON. VE OTOM.SİS.TİC.A.Ş. (“Şirket” veya “ENDO”) kişisel verilerin korunması ve işlenmesinde başta Anayasa’nın 20. maddesinde düzenlenen özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumaya azami önem atfetmektedir. Şirketimiz özel nitelikli kişisel verilerin, başkaları tarafından öğrenildiği takdirde ilgili kişinin mağdur olmasına veya ayrımcılığa maruz kalmasına neden olabilecek nitelikte veriler olmasını dikkate almakta, bu sebeple hukuka uygun olarak işlenen bu tür kişisel verilerin korunmasına özen göstermektedir.
Bu çerçevede, 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun” ya da “KVK Kanunu”) ile 07.03.2018 tarihli ve 30353 sayılı Resmi Gazete’de yayımlanarak yürürlüğe giren Kişisel Verileri Koruma Kurulunun (“KVK Kurulu”) 31.01.2018 tarihli ve 2018/10 no’lu Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler başlıklı kararı (“Karar”) uyarınca özel nitelikli kişisel verilerin güvenliğini sağlamak için gerekli her türlü idari ve teknik önlemi almaktadır.
ENDO, işbu politikada her zaman değişiklik yapabilir. Özel Nitelikli Kişisel Verilerin Güvenliği Politikası’nın güncel versiyonuna www.endo.com.tr sitesinde yayınlanır. Özel Nitelikli Kişisel verilerinizin Şirketimiz tarafından işlenme amaçları konusunda detaylı bilgilere; www.endo.com.tr internet adresinde yer alan Kişisel Verilerin Korunması ve Gizlilik Politikasından ulaşılabilir.
Özel Nitelikli Kişisel Verilerin Güvenliği Politikası’nın (“Politika”) amacı, Kanun’un ve Karar’ın amacına uygun olarak tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen özel nitelikli kişisel verilerin işlenmesinde Şirketimizin uyacağı usul ve esasları belirlemektir. Politika’nın amacı doğrultusunda, Şirketimiz tarafından gerçekleştirilen özel nitelikli kişisel verilerin işlenmesi faaliyetlerinde mevzuata tam uyumun sağlanması ve kişisel veri sahiplerinin özel hayatın gizliliği ve veri güvenliği hakkının korunması hedeflenmektedir.
Bu Politika; gerçek kişi olmak kaydıyla Şirket Hissedarları; Şirket Yetkilileri; Şirket İş Ortakları; Şirket İş Ortaklarının Hissedarları, Yetkilileri, Çalışanları; Çalışanlar; Çalışan Adayları; Şirket Müşterileri; Potansiyel Müşteriler; Sözleşme Tarafları; Ziyaretçiler ve Üçüncü Kişiler için hazırlanmıştır ve bu belirtilen kişiler kapsamında uygulanacaktır. Hangi sıfatla olursa olsun tüzel kişilere bu Politika uygulanmayacaktır.
Bu Politika, yukarıda belirtilen ilgili kişiler için, özel nitelikli kişisel verilerinin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla Şirketimiz tarafından işlenmesi halinde uygulanacaktır. Verinin aşağıda belirtilen kapsamda “Özel Nitelikli Kişisel Veri” kapsamında yer almaması veya Şirketimiz tarafından gerçekleştirilen kişisel veri işleme faaliyetinin yukarıda belirtilen yollarla olmaması halinde bu Politika uygulanmayacaktır.
Bu Politikanın uygulanmasında kullanılan kavramlar aşağıda yer verilen anlamları ifade eder:
Açık Rıza |
: |
Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızadır. |
Çalışan Adayı |
: |
Şirketimize herhangi bir yolla iş başvurusunda bulunmuş ya da özgeçmiş ve ilgili bilgilerini şirketimizin incelemesine açmış olan gerçek kişilerdir. |
Çalışan |
: |
Şirketimizde iş akdiyle çalışan tüm gerçek kişilerdir. |
İmha |
: |
Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesini ifade eder. |
Kişisel Veri |
: |
Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgidir. |
Kişisel Verilerin Aktarılması |
: |
Veri sorumlularının uhdesinde bulunan kişisel verilerin, üçüncü kişilere aktarılmasıdır. Kural olarak, kişisel veriler veri sahibinin açık rızası olmaksızın üçüncü kişilere aktarılamaz. |
Kişisel Verilerin İşlenmesi |
: |
Kişisel Verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemdir. |
KVK Kurulu |
: |
Kişisel Verilerin Korunması Kurulu’dur. |
Kişisel Veri Sahibi /İlgili Kişi |
: |
Kişisel Verisi (Özel nitelikli kişisel veriler dahil) işlenen Şirket Hissedarları, Şirket Yetkilileri, Şirket İş Ortakları, Şirket İş Ortaklarının Hissedarları, Yetkilileri, Çalışanları; Çalışanlar, Çalışan Adayları, Şirket Müşterileri, Potansiyel Müşteriler, Sözleşme Tarafları, Ziyaretçiler ve Üçüncü Kişileri ifade eder. |
Loglama |
: |
Bir bilişim sisteminin ürettiği olay kayıtlarının ve sistemdeki kullanıcı hareketlerinin kaydedilme işlemidir. |
Otomatik Olarak Veri İşleme
|
: |
Bilgisayar, telefon, saat vb. işlemci sahibi cihazlar tarafından yerine getirilen, yazılım veya donanım özellikleri aracılığıyla önceden hazırlanan algoritmalar kapsamında insan müdahalesi olmadan kendiliğinden gerçekleşen işleme faaliyetidir. |
Özel Nitelikli Kişisel Veri |
: |
Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık kıyafet, dernek vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik veriler özel nitelikli verilerdir. |
Potansiyel Müşteri |
: |
Ürün ve hizmetlerimize kullanma talebinde veya ilgisinde bulunmuş veya bu ilgiye sahip olabileceği ticari teamül ve dürüstlük kurallarına uygun olarak değerlendirilmiş gerçek kişilerdir. |
Sözleşme Tarafı |
: |
Şirket Müşterisi; Şirket İş Ortağı; İş Ortaklarının Hissedarı, Yetkilisi, Çalışanı olmayan ancak Şirket’le herhangi bir sözleşmesel ilişkisi olan diğer gerçek kişilerdir. |
Şirket / Şirketimiz |
: |
Endo Endrüstiyel Don. Ve Otom.Sis.Tic.A.Ş.’dir. |
Şirket Hissedarı |
: |
Endo Endrüstiyel Don. Ve Otom.Sis.Tic.A.Ş. hissedarı olan kişilerdir. |
Şirket Yetkilisi |
: |
Endo Endrüstiyel Don. Ve Otom.Sis.Tic.A.Ş.yönetim kurulu üyesi ve diğer yetkili kişilerdir. |
Şirket Müşterisi |
: |
Şirketimizle herhangi bir sözleşmesel ilişkisi olup olmadığına bakılmaksızın Şirketimizin sunmuş olduğu ürün ve hizmetleri kullanan veya kullanmış olan gerçek kişilerdir. |
Şirket İş Ortağı, İş Ortaklarının Hissedarı, Yetkilisi, Çalışanı |
: |
Şirketimizin her türlü iş ilişkisi içerisinde bulunduğu gerçek kişiler ile Şirketimizin her türlü iş ilişkisi içerisinde bulunduğu gerçek ve tüzel kişilerde (iş ortağı, tedarikçi, taşeron vb.) çalışan, hissedarları ve yetkilileri dahil olmak üzere tüm gerçek kişilerdir. |
Üçüncü Kişi |
: |
Endo Endrüstiyel Don. Ve Otom.Sis.Tic.A.Ş. Kişisel Verilerin Korunması ve İşlenmesi Politikası kapsamında herhangi bir Kişisel Veri Sahibi kategorisine girmeyen diğer kişilerdir. (Örn. Talep ve şikayet başvurusu yapanlar, çalışanların aile bireyleri ve yakınları) |
Veri İşleyen |
: |
Veri sorumlusunun verdiği yetkiye dayanarak onun adına Kişisel Veri işleyen gerçek veya tüzel kişidir. |
Veri Kayıt Sistemi |
: |
Kişisel Verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini ifade eder. |
Veri Sorumlusu
|
: |
Kişisel Verilerin işlenme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir. |
Ziyaretçi |
: |
Şirketimizin sahip olduğu fiziksel yerleşkelere çeşitli amaçlarla girmiş olan veya internet sitelerimizi herhangi bir amaç ile ziyaret eden tüm gerçek kişilerdir. |
Şirketimiz tarafından kişisel veriler, Kanun’da ve bu Politikada öngörülen usul ve esaslara uygun olarak işlenir. Şirketimiz kişisel verileri işlerken aşağıdaki ilkelere uyar.
2.1.1. Hukuka ve Dürüstlük Kurallarına Uygun Olma
Şirketimiz kişisel verileri ilgili mevzuata ve dürüstlük kuralının gereklerine uygun olarak işler ve bu sınırlar içerisinde kullanır. Dürüstlük kuralına uygun olma ilkesi uyarınca Şirketimiz, veri işlemedeki hedeflerine ulaşmaya çalışırken ilgili kişilerin çıkarlarını ve makul beklentilerini dikkate alır. İlgili kişinin beklemediği ve beklemesinin de gerekmediği sonuçların ortaya çıkmasını önleyici şekilde hareket eder. İlke uyarınca ayrıca ilgili kişi için söz konusu veri işleme faaliyetinin şeffaf olması sağlanır ve Şirketimizin bilgilendirme ve uyarı yükümlülüklerine uygun hareket edilir.
2.1.2. Doğru ve Gerektiğinde Güncel Olma
Şirketimiz kişisel veri sahiplerinin temel haklarını ve meşru menfaatlerini dikkate alarak işlediği kişisel verilerin doğru ve güncel olmasını sağlar. Bu kapsamda verilerin elde edildiği kaynakların belirli olması, doğruluğunun teyit edilmesi, güncellenmesi gerekip gerekmediğinin değerlendirilmesi gibi hususları özenle dikkate alır. Kişisel verilerin doğru ve güncel bir şekilde tutulması, Şirketimizin çıkarına uygun olduğu gibi ilgili kişinin temel hak ve özgürlüklerinin korunması açısından da gereklidir. Şirketimiz aktif özen yükümlülüğü uyarınca her zaman veri sahibinin bilgilerinin doğru ve güncel olmasını temin edecek kanalları açık tutar. Bu ilke Şirketimizin menfaatlerini koruduğu gibi ilgili kişinin haklarına da yöneliktir.
2.1.3. Belirli, Açık ve Meşru Amaçlar İçin İşlenme
Şirketimiz veri işleme amacını açık ve kesin olarak belirler ve bu amacın meşru olmasını sağlar. Amacın meşru olması Şirketimizin işlediği kişisel verilerin, yapmış olduğu iş veya sunmuş olduğu hizmetle bağlantılı ve bunlar için gerekli olması anlamına gelir. Şirketimiz belirttiği bu amaçlar dışında başka amaçlarla veri işleme yapmaz. Bu itibarla, kişisel veri işleme amaçlarının açıklandığı hukuki işlem ve metinlerde belirlilik ve açıklık ilkesine uyumda hassasiyet gösterir.
2.1.4. İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma
Şirketimiz işlenen kişisel verilerin belirlenen amaçların gerçekleştirilebilmesine elverişli olmasını sağlar ve amacın gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınır. Sonradan ortaya çıkması muhtemel ihtiyaçların karşılanmasına yönelik veri işlemek için, işlemeye ilk kez başlıyor gibi, Kanun’da düzenlenmiş olan kişisel verilerin işlenme şartlarını gerçekleştirir. Ayrıca işlenen veriyi sadece amacın gerçekleştirilmesi için gerekli olanla sınırlı tutar. Şirketimiz mevcutta olmayan ve sonradan gerçekleşmesi düşünülen amaçlarla kişisel veri toplamaz veya işlemez. Ölçülülük ilkesi kapsamında, veri işleme ile gerçekleştirilmesi istenen amaç arasında makul bir denge kurar.
2.1.5. İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç İçin Gerekli Olan Süre Kadar Muhafaza Edilme
Şirketimiz ilgili mevzuatta verilerin saklanması için öngörülen bir süre bulunması halinde bu sürelere uyum gösterir; aksi durumda kişisel verileri, ancak işlendikleri amaç için gerekli olan süre kadar muhafaza eder. Şirketimiz tarafından bir kişisel verinin daha fazla saklanması için geçerli bir sebep olmaması durumunda söz konusu veri silinir, yok edilir veya anonim hale getirilir. Kişisel verilerin saklanması ve imhasına ilişkin prosedürler Şirketimizin Kişisel Veri Saklama ve İmha Politikası’nda ayrıntılı olarak düzenlenmektedir.
Şirketimiz özel nitelikli kişisel verileri veri sahibinin açık rızası olmaksızın işlemez. Özel nitelikli kişisel veriler yalnızca aşağıdaki şartlardan birinin varlığı hâlinde veri sahibinin açık rızası aranmaksızın işlenebilir:
2.2.1. Kanunlarda Açıkça Öngörülmesi
Kişisel veri sahibinin sağlığı ve cinsel hayatı dışındaki özel nitelikli kişisel verileri kanunların açıkça öngördüğü hallerde veri sahibinin açık rızası aranmaksızın işlenebilir.
2.2.2. Kamu Sağlığının Korunması, Koruyucu Hekimlik, Tıbbi Teşhis, Tedavi ve Bakım Hizmetlerinin Yürütülmesi, Sağlık Hizmetleri ile Finansmanının Planlanması ve Yönetimi Amacıyla
Kişisel veri sahibinin sağlığına ve cinsel hayatına ilişkin özel nitelikli kişisel verileri kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenebilir.
Şirketimiz özel nitelikli kişisel verileri gerekli güvenlik önlemlerini alarak Kanun’un 8. maddesi uyarınca aşağıdaki şartlardan birine dayalı ve sınırlı olarak yeterli önemler alınmak kaydıyla aktarabilmektedir:
2.3.1. Özel Nitelikli Kişisel Verilerin Yurt Dışına Aktarılma Şartları
Şirketimiz özel nitelikli kişisel verileri gerekli güvenlik önlemlerini alarak Kanun’un 9. maddesi uyarınca yukarıda belirtilen kişisel veri işleme şartlarından bir veya birkaçına dayalı ve sınırlı olarak yurt dışındaki üçüncü kişilere aktarabilmektedir.
Şirketimiz kişisel verileri, Türkiye’nin taraf olduğu uluslararası sözleşme hükümleri saklı kalmak üzere, yalnızca KVK Kurulu tarafından yeterli korumaya sahip olduğu ilan edilen yabancı ülkelere veya yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt ettiği ve KVK Kurulu’nun izninin bulunduğu yabancı ülkelere aktarmaktadır.
Şirketimiz Kanun uyarınca kişisel verileri güvenli bir şekilde saklamak, kişisel verilerin hukuka aykırı olarak işlenmesini ve erişilmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü idari ve teknik tedbiri almaktadır. Şirketimiz Kişisel Veri Saklama ve İmha Politikası’ndadüzenlenen söz konusu tedbirlere ek olarak özel nitelikli kişisel verilerin güvenliğini arttırmak amacıyla ilave tedbirler uygulamaktadır. Bu kapsamda Şirketimiz özel nitelikli kişisel verilerin güvenliğine ilişkin ayrı bir prosedüre de sahiptir.
Şirketimizin özel nitelikli kişisel verilerin güvenliğini sağlamak amacıyla aldığı başlıca tedbirler aşağıda açıklanmaktadır:
Şirketimiz özel nitelikli kişisel verilerin işlenmesi süreçlerinde yer alan çalışanlara yönelik olarak aşağıdaki tedbirleri uygular:
3.1.1. Eğitim ve Farkındalık Çalışmalarının Yürütülmesi
Şirketimiz Kanun ve sair mevzuatile özel nitelikli kişisel verilerin güvenliği konusunda ilgili çalışanlarına yönelik olarak düzenli bilgilendirme ve eğitim çalışmaları yürütür.
3.1.2. Gizlilik Sözleşmelerinin Yapılması
Şirketimiz özel nitelikli kişisel verilere erişim yetkisine sahip olan çalışanlarınınkişisel verileri Kanun’a aykırı olarak başkasına açıklamamaları ve işleme amacı dışında kullanmamaları için teknolojik imkan ve uygulama maliyetlerine göre gerekli tüm idari ve teknik tedbirleri alır. Bu bağlamda ilgili çalışanların işe alınma süreçlerinin bir parçası olarak gizlilik sözleşmeleri yapılır.
3.1.3. Yetkili Kullanıcıların, Yetki Kapsamları ve Sürelerinin Net Olarak Tanımlanması
Şirketimiz özel nitelikli kişisel verilere erişim yetkisine sahip çalışanlarını net olarak belirler vebu çalışanların yetki kapsamları ile yetki sürelerini net olarak tanımlar. Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri derhal kaldırılır ve Şirketimiz tarafından kendisine tahsis edilen envanter iade alınır.
3.1.4. Periyodik Yetki Kontrollerinin Gerçekleştirilmesi
Şirketimiz özel nitelikli kişisel verilere erişim yetkisine sahip çalışanlarına yönelik olarak periyodik yetki kontrolleri gerçekleştirir.
Şirketimiz özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamların elektronik ortam olması durumunda aşağıdaki tedbirleri uygular:
3.2.1. Verilerin Kriptografik Yöntemler Kullanılarak Muhafaza Edilmesi
Şirketimiz özel nitelikli kişisel verileri uygun kriptografik yöntemler kullanarak muhafaza eder.
3.2.2. KriptografikAnahtarların Güvenli ve Farklı Ortamlarda Tutulması
Şirketimiz özel nitelikli kişisel verileri muhafaza etmek için kullanılan kriptografikanahtarları verilerin bulunduğu ortamdan farklı ve güvenli ortamlarda tutar.
3.2.3. Veriler Üzerindeki Hareketlerin İşlem KayıtlarınınLoglanması
Şirketimiz özel nitelikli kişisel veriler üzerinde gerçekleştirilen tüm hareketlerin işlem kayıtlarını güvenli olarak loglar.
3.2.4. Verilerin Bulunduğu Ortamlara Ait Güvenlik Güncellemelerinin ve Güvenlik Testlerinin Yapılması/Yaptırılması, Test Sonuçlarının Kayıt Altına Alınması
Şirketimiz özel nitelikli kişisel verilerin bulunduğu ortamlara ait güvenlik güncellemelerini sürekli takip eder, gerekli güvenlik testlerini düzenli olarak yapar veya yaptırır, yapılan güvenlik testlerinin sonuçlarını kayıt altına alır.
3.2.5. Verilere Bir Yazılım Aracılığıyla Erişiliyorsa Bu Yazılıma Ait Kullanıcı Yetkilendirmelerinin ve Güvenlik Testlerinin Düzenli Olarak Yapılması/Yaptırılması, Test Sonuçlarının Kayıt Altına Alınması
Şirketimiz özel nitelikli kişisel verilere bir yazılım aracılığı ile erişiliyorsa bu yazılıma ait kullanıcı yetkilendirmelerini yapar, bu yazılımların güvenlik testlerini düzenli olarak yapar veya yaptırır, yapılan güvenlik testlerinin sonuçlarını kayıt altına alır.
3.2.6. Verilere Uzaktan Erişim Gerekiyorsa En Az İki Kademeli Kimlik Doğrulama Sisteminin Sağlanması
Şirketimiz özel nitelikli kişisel verilere uzaktan erişim gerekiyorsa en az iki kademeli kimlik doğrulama sistemi kullanarak verilerin güvenliğini arttırır.
Şirketimiz özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamların fiziksel ortam olması durumunda aşağıdaki tedbirleri uygular:
3.3.1. Verilerin Bulunduğu Ortamın Niteliğine Göre Yeterli Güvenlik Önlemlerinin Alınması
Şirketimiz özel nitelikli kişisel verilerin bulunduğu ortamın niteliğine göre elektrik kaçağı, yangın, su baskını, hırsızlık vb. durumlara karşı yeterli güvenlik önlemlerini alır ve bu önlemlerin işlerliğinden emin olur.
3.3.2. Verilerin Bulunduğu Ortamın Fiziksel Güvenliğinin Sağlanarak Yetkisiz Giriş Çıkışların Engellenmesi
Şirketimiz özel nitelikli kişisel verilerin bulunduğu ortamın fiziksel güvenliğini sağlayarak yetkisiz giriş çıkışları engellemek amacıyla gerekli idari ve teknik tedbirleri alır.
Şirketimiz özel nitelikli kişisel verileri aktarırken aşağıdaki tedbirleri uygular:
3.4.1. E-Posta Yoluyla Aktarma
Özel nitelikli kişisel verilerin e-posta yoluyla aktarılması gerekiyorsaŞirketimiz verileri şifreli olarak kurumsal e-posta adresi veya kayıtlı elektronik posta (KEP) hesabı kullanarak aktarır.
3.4.2. Taşınabilir Bellek, CD, DVD Gibi Ortamlar Yoluyla Aktarma
Özel nitelikli kişisel verilerin taşınabilir bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerekiyorsaŞirketimiz verileri kriptografik yöntemlerle şifreleyerek ve kriptografık anahtarı farklı ortamda tutarak aktarır.
3.4.3. Farklı Fiziksel Ortamlardaki Sunucular Arasında Aktarma
Özel nitelikli kişisel verilerin farklı fiziksel ortamlardaki sunucular arasında aktarılması gerekiyorsa Şirketimiz verileri sunucular arasında VPN kurarak veya sFTP yöntemini kullanarak aktarır.
3.4.4. Kağıt Ortamı Yoluyla Aktarma
Özel nitelikli kişisel verilerin kâğıt ortamı yoluyla aktarılması gerekiyorsa Şirketimiz verilerin bulunduğu evrakı çalınma, kaybolma ya da yetkisiz kişiler tarafından görülme gibi risklere karşı gerekli önlemleri alarak ve "gizlilik dereceli belgeler” formatında düzenleyerek gönderir.
Bu Politika ve Kanun hükümleri aşağıdaki hâllerde uygulanmayacaktır:
EDF-İK045 R0.20.01.2022