ŞİRKET A.Ş. ÖZEL NİTELİKLİ KİŞİSEL VERİ İŞLEME POLİTİKASI
-İÇ YÖNERGE-
Özel Nitelikli Veri İşlenmesi Sırasında Dikkat Edilmesi Gereken Hususlar
(1) Kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü veriyi kapsamaktadır. Kişisel verinin özel bir türü olan özel nitelikli kişisel veri ise ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep, diğer inançlar, kılık ve kıyafet, dernek, vakıf veya sendika üyeliği, sağlık, cinsel hayat, ceza mahkumiyeti ve güvenlik tedbirleri, biyometrik ve genetik verileri ifade eder. Özel nitelikli kişisel veriler, Kişisel Verileri Koruma Kurulu’nun 31/01/2018 Tarihli ve 2018/10 Sayılı Kararı “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler” uyarınca işlenmelidir.
(2) Özel nitelikli kişisel verilerin güvenliğine yönelik sistemli, kuralları net bir şekilde belli, yönetilebilir ve sürdürülebilir ayrı bir politika ve prosedür belirlenmelidir.
(3) Özel nitelikli kişisel verilerin işlenmesi süreçlerinde yer alan çalışanlara yönelik, Kişisel Verilerin Korunması Kanunu ve buna bağlı yönetmelikler ile özel nitelikli kişisel veri güvenliği konularında düzenli olarak eğitimler verilmelidir.
(4) Özel nitelikli kişisel verilerin işlenmesi süreçlerinde yer alan çalışanlarla gizlilik sözleşmesi yapılmalıdır.
(5) Özel nitelikli kişisel verilerin işlenmesi süreçlerinde yer alan çalışanların, verilere erişim yetkisine sahip kullanıcıların, yetki kapsamları ve süreleri net olarak tanımlanmalı, periyodik olarak yetki kontrolleri gerçekleştirilmeli, görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri derhal kaldırılmalı, bu kapsamda, veri sorumlusu tarafından kendisine tahsis edilen envanter iade alınmalıdır.
(6) Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, elektronik ortam ise:
Veriler, kriptografik yöntemler kullanılarak muhafaza edilmelidir.
Kriptografik anahtarlar güvenli ve farklı ortamlarda tutulmalıdır.
Veriler üzerinde gerçekleştirilen tüm hareketlerin işlem kayıtları güvenli olarak loglanmalıdır.
Verilerin bulunduğu ortamlara ait güvenlik güncellemeleri sürekli takip edilmeli, gerekli güvenlik testleri düzenli olarak yapılmalı veya yaptırılmalı, test sonuçları kayıt altına alınmalıdır.
Verilere bir yazılım aracılığı ile erişiliyorsa bu yazılıma ait kullanıcı yetkilendirmeleri yapılmalı, bu yazılımların güvenlik testleri düzenli olarak yapılmalı/yaptırılmalı, test sonuçları kayıt altına alınmalıdır.
Verilere uzaktan erişim gerekiyorsa en az iki kademeli kimlik doğrulama sistemi sağlanmalıdır.
(7) Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, fiziksel ortam ise:
Özel nitelikli kişisel verilerin bulunduğu ortamın niteliğine göre yeterli güvenlik önlemlerinin (elektrik kaçağı, yangın, su baskını, hırsızlık vb. durumlara karşı) alındığından emin olunmalıdır.
Bu ortamların fiziksel güvenliği sağlanarak yetkisiz giriş çıkışlar engellenmelidir.
(8) Özel nitelikli kişisel veriler aktarılacaksa:
Veriler, e-posta yoluyla aktarılması gerekiyorsa, şifreli olarak kurumsal e-posta adresiyle veya Kayıtlı Elektronik Posta (KEP) hesabı kullanılarak aktarılmalıdır.
Taşınabilir Bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerekiyorsa kriptografik yöntemlerle şifrelenmeli ve kriptografik anahtarlar farklı ortamda tutulmalıdır.
Farklı fiziksel ortamlardaki sunucular arasında aktarma gerçekleştiriliyorsa, sunucular arasında VPN kurularak veya sFTP yöntemiyle veri aktarımı gerçekleştirilmelidir.
Verilerin kâğıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemlerin alınmalı ve evrak “gizlilik dereceli belgeler” formatında gönderilmelidir.
(9) Tüm bu önlemlerin yanı sıra Kişisel Verileri Koruma Kurumu’nun internet sitesinde yayımlanan Kişisel Veri Güvenliği Rehberi’nde belirtilen, uygun güvenlik düzeyini temin etmeye yönelik teknik ve idari tedbirler de dikkate alınmalıdır.

ÖZEL NİTELİKLİ VERİ İŞLEME ENVANTERİ