1. AMAÇ

 

6698 sayılı Kişisel Verilerin Korunması Kanunu’na uygun olarak; Kişisel verilerin hukuka aykırı olarak elde edilmesi işlenmesini ve erişilmesini önlemek. Belirli, meşru ve açık amaçlar doğrultusunda İşlenmiş olan kişisel veriler üzerindeki organizasyonel, teknik, idari, teknolojik, metodolojik kontrol ve önlemlerin alınmasını sağlamak. 

 

  1. KAPSAM

 

Belkim Kimyevi Maddeler Tic. ve San. A.Ş. Kişisel Verilerin Korunması Kanunu’na uygun olarak alınmış ve işlenmiş veya işlenmekte olan olan kişisel verilerin ister djital ortamda isterse fiziksel ortam kayıtlı olsun tüm farklı mekan ve ortamlardaki kişisel verilerin güvenliğinin sağlanmasıdır.

 

  1. UYGULAMA

 

  1. Belkim Kimyevi Maddeler Tic. ve San. A.Ş. Kişisel Veri Güvenliği Yönetim Sistemi kurulmuştur. Her çalışan kişisel veri güvenliğine uygun çalışmaktan ve bilgi güvenliğine uygun davranmaktan sorumludur. Bilgi güvenliğine uygun çalışmayan ve belirlenmiş kurallara uymayanlar için “Bilgi Güvenliği Olay İhlal Formu” doldurarak kurumun veri güvenliğine katkıda bulunulur.

 

  1. Şirket, Kişisel Verilerin Korunması Kanunu ve Kişisel Verileri Koruma Kurumu’nun yasal düzenlemelerine uygun olarak çalışmak için gerekli, politika, prosedür, talimat ve formların geliştirilmesi, KVKK ile ilgili yönetilebilir bir sistem kurulması ve kurulan bu sistemin denetlenmesi ve gerekli iyileştirmelerin yapılması için Veri Sorumlusu sıfatı ile üst yönetim, Kişisel Verileri Koruma Komitesi, Veri Sorumlusu İrtibat Kişisi ve KVKK Koordinatörü atar.

 

  1. Kişisel verilerin kurum tarafından hazırlanan KVKK Politika ve prosedürlerine uygun olarak korunmasından ilgili sürece müdahil olan tüm çalışanlar müteselsilen sorumludur. 

 

  1. Kişisel veriler organizasyonel, idari, teknik, teknolojik imkanlar ve uygulamalar ile korunmakta ve yapılan iç ve dış denetimlerle güvenlik sıkılaştırması düzenli olarak yapılmaktadır. 
  2. Bilgi güvenliği, kişisel veri güvenliğinin sağlanması için konusunda deneyimli, teknik tecrübesi olan uzmanlar istihdam edilir.

 

  1. Kurumumuz   çalışanları, kişisel veriler, özel nitelikli kişisel veriler ve kişisel verilerin korunması; kişisel verilerin hukuka uygun olarak işlenmesi konusunda bilinçlendirme eğitimleri alırlar.

 

  1.  KVKK/GDPR Komitesi, Veri Sorumlusu İletişim Temsilcisi’ne KVKK ile ilgili teknik eğitimler verilir.

 

  1. Kurumumuz kişisel verilere erişim için yetkilendirilmiştir. Kişisel verilere erişmesi gereken çalışanların söz konusu kişisel verilere erişimini sağlamak adına gerekli KVK prosedürleri işletilir, bu prosedürlerin oluşturulması ve uygulanmasından Veri Sorumlusu İletişim Temsilcisi, KVKK/GDPR Komitesi müteselsilen sorumludur.

 

  1. Belkim Kimyevi Maddeler Tic. ve San. A.Ş. Çalışanları, Kişisel verilere üzerinde yalnızca kendilerine tanımlanan yetki dâhilinde ve ilgili KVKK prosedürüne uygun olarak erişim sağlayabilir. Sehven dahi fazladan bir yetki açılmışsa bunu bildirmek çalışanın sorumluluğundadır. Eğer çalışan erişim yetkisini aşarsa, yapmış olduğu her türlü erişim ve işleme hukuka aykırı olup iş akdinin haklı nedenle feshine sebep olur. Kurum   çalışanları, kişisel verilerin güvenliğinin ihlali; yetkisiz erişim; özel nitelikli kişisel verilerin ifşası veya kişisel verilerin güvenliğinin yeterince sağlanmadığı şüphesi oluşursa durumu derhal Bilgi Güvenliği Olay İhlal Formu aracılığı ile Veri Sorumlusu İletişim Temsilcisi’ne bildirir. Her ihlal şüphesi ilgili görevliler aracılığı ile KVKK/GDPR Komitesi’ne iletilir.



  1. Kişisel Verilerin alınması, işlenmesi, güvenliği, güncellenmesi, silinmesi, anonim hale getirilmesi gibi durumlara yönelik detaylı KVKK politika, prosedür, talimat ve formları Veri Sorumlusu Temsilcisi ve Komite tarafından oluşturulur. 

 

  1. Kurum çalışanlarından kendisine kurum mobil cihazları tahsis edilen her çalışan, Ayrıcalıklı Haklar Tablosu’na alınır. Çalışanlar kendi kullanımına tahsis edilen mobil cihazlarının güvenliğinden kendileri sorumludur.

 

  1. Kurum    çalışanları kendi sorumluluk alanında yer alan fiziki dosyaların güvenliğinden kendileri sorumludur. Dosyalar Temiz Masa Temiz Ekran Politikası’na uygun olarak korunur.



  1. Belkim Kimyevi Maddeler Tic. ve San. A.Ş. Çalışanları kişisel verilerin güvenliği için talep edilen veya ek olarak talep edilecek olan güvenlik önlemleri olması durumunda tüm çalışanlar ek güvenlik önlemlerine uymak ve bu güvenlik önlemlerinin sürekliliğini sağlamak ile yükümlüdür. 

 

  1. Belkim Kimyevi Maddeler Tic. ve San. A.Ş. Kişisel Verilerin Korunması Kanunu’na uyum sağlayabilmek için veri güvenliği konusunda yazılım ve teknolojik önlemleri alır. Firewall, antivirüs programı,DLP, veri maskeleme gibi çözümleri kurum bütçesine ve önceliğine uygun olarak hayata geçirir. Penetrasyon testleri gerçekleştirilir.

 

  1. Kurumda    iş sürekliliği esastır. Verilerin, kişisel verilerin kaybolmasını zarar görmesini, bütünlüğünün bozulmasını engellemek üzere yedekleme programları kullanılmakta ve yeterli düzeyde güvenlik önlemleri alınmaktadır. Belkim Kimyevi Maddeler Tic. ve San. A.Ş. gerekli hallerde kullanmak üzere felaket kurtarma (disaster recovery) senaryolarına uygun olarak iş ve eylemler gerçekleştirecektir.

 

  1. Belkim Kimyevi Maddeler Tic. ve San. A.Ş.’de Kişisel verilerin yer aldığı belgeler dijital ortamda ve fiziksel ortamlarda korunmaktadır. Bu kapsamda, kişisel keriler ortak alanlarda ve masaüstünde saklanmaz. Kişisel Verilerin yer aldığı dosya ve klasörler vb. belgeler masaüstüne veya ortak klasöre taşınmaz, KVKK/GDPR Komitesi, Veri Sorumlusu İletişim Temsilcisi ve ilgili IT yöneticisinin önceden yazılı onayı alınmadan Şirket bilgisayarlarındaki bilgiler USB vb. başka bir aygıta aktarılamaz, Şirket dışına çıkartılamaz.

 

  1. KVKK/GDPR Komitesi, Yönetim Kurulu ile birlikte Şirket içerisinde bulunan tüm kişisel verilerin korunmasına yönelik teknik ve idari önlemleri almak, gelişmeleri ve idari faaliyetleri sürekli takip etmekle ve gerekli KVKK politika, prosedür, talimat ve formları hazırlayarak Yönetim Kurulu onayına sunmak, onay akabinde Şirket içerisinde duyurmak ve bunlara uyulmasını sağlamak ve denetlemekle yükümlüdür. Bu kapsamda, Komite ve Veri Sorumlusu İletişim Temsilcisi çalışanların farkındalığını artırmak üzere gerekli eğitimlerin düzenlenmesini sağlar. 

 

  1. Kurumda  bir departman özel nitelikli kişisel veri İşliyorsa, bu departman, Komite tarafından işledikleri kişisel verilerin önemi, güvenliği ve gizliliği hakkında bilgilendirilir ve ilgili departman Komite talimatlarına uygun hareket ederler. Özel nitelikli kişisel verilere erişim yetkisi yalnızca sınırlı çalışanlara verilir ve bunların listesi ve takibi Komite tarafından yapılır. 

 

  1. Belkim Kimyevi Maddeler Tic. ve San. A.Ş. İçerisinde işlenen özel nitelikli kişisel verilerin tamamı “Gizli Bilgi” olarak kabul edilir. Özel nitelikli kişisel veriler kâğıt üzerindeyse dosyanın ilk sayfasına beyaz A4 üzerine kırmızı renkte “KVKK Gizli Bilgi” kaşesi vurulur.

 

  1. Şirket çalışanları, Kişisel Verilerin güvenliğine ve gizliliğine ilişkin yükümlülüklerinin, iş ilişkisinin sona ermesinden sonrada devam edeceği konusunda bilgilendirilmiş ve Şirket çalışanlarından bu kurallara uymaları yönünde taahhüt alınmıştır.

 

  1. Belkim Kimyevi Maddeler Tic. ve San. A.Ş. kişisel verilerin güvenliği konusunda güvenlik sıkılaştırması uygulanır. Her yıl Belkim Kimyevi Maddeler Tic. ve San. A.Ş. KVKK/GDPR ile ilgili uyumu sağlamak için üçüncü bir göz tarafından denetlenir ve bir denetim raporu hazırlanır. Bu rapor KVKK/GDPR Komitesi’ne iletilir. KVKK/GDPR Komitesi KVKK üçüncü göz denetim raporunu üst yönetime sunar.

 

  1. Her yıl KVKK/GDPR kişisel veri güvenliği iç tetkiklerinde KVKK ile ilgili sorular denetimlerde sorulmak üzere ayrı bir liste halinde iç tetkikçilere verilir. İç tetkikçiler tetkik öncesinde yapılan eğitimlerde KVKK ile ilgili bilgilendirme yapılır.

 

  1. Yapılan iç tetkiklerde ortaya çıkan KVKK uygunsuzlukları KVKK/GDPR Komitesi ve Veri Sorumlusu İletişim Temsilcisi’ne iletilir. Çıkan uygunsuzlukların giderilmesi sağlanır.

 

  1. Belkim Kimyevi Maddeler Tic. ve San. A.Ş. Kişisel Veri Güvenliği Taahhütnamesi gereği veri işleyen sıfatına sahip kurumları denetleyebilir. Denetimde iç tetkikçiler, komite üyeleri, kurumun bilgi güvenliği danışmanı bulunabilir. Denetim sonuç raporu KVKK/GDPR Komitesi’ne sunulur.



  1. Belkim Kimyevi Maddeler Tic. ve San. A.Ş. Kişisel Veri Güvenliği Taahhütnamesi gereği veri işleyen sıfatına sahip kurumlarda uygunsuzluk tespit ederse derhal KVKK/GDPR Komitesi’ni toplantıya davet eder. Gerekli uykusuzluklara karşı aksiyon alınması sağlanır.

 

  1. Belkim Kimyevi Maddeler Tic. ve San. A.Ş. bilgi güvenliği ve kişisel veri güvenliğini ihlal eden çalışanlar için kurumsal düzenlemeler, yönetmelikler, yasal mevzuatlara uygun olarak disiplin, soruşturma ve adli işlemlerin yapılması sağlar.




  1. SORUMLULUKLAR

 

KVKK Koordinatörü: 6698 ile ilgili yasaya uyum için süreçlere destek olmak için gerekli tüm işleri yaptırmak, kaynak sağlamaktan, şirketler arası KVKKorganizasyonundan sorumludur.

 

Veri Sorumlusu İrtibat Kişisi: Dokümanın düzenlenmesi ve revize edilmesinden sorumludur. KVKK ile ilgili İç Tetkiklerde soruların hazırlanması ve İç Tetkikçilerin eğitimesinden sorumludur.

 

KVKK/GDPR Komitesi: Kişisel Veri Yönetimi ve Güvenliği Politikası’nın geliştirilmesinden ve politikanın yayımlanmasından, güncellenmesinden ve yayılımının sağlanmasından sorumludur.

 

SOME Ekibi: Siber saldırı veya veri güvenliği ihlali durumunda süreçleri yönetmenten sorumludur.

İç Tetkikçiler: Kişisel verilerin korunması ile ilgili soruları iç denetim sırasında sorulmasından sorumludur.

 

Tüm Yöneticileri: Kişisel verilerin yasalara uygun olarak alınmasından, işlenmesinden, güncellenmesinden, korunmasından, gerektiğinde silinmesinden, yok edilmesindenden sorumludur. İç tetkik sonuçlarının takibinden iyileştirilmesinden.

 

Çalışanları: Kişisel verilerin yasalara uygun olarak alınmasından, işlenmesinden, güncellenmesinden, korunmasından ve KVKK ile ilgili tüm kurumsal politikalara uygun iş yapmaktan ve davranmaktan sorumludur.