Bilgi Güvenliği ve İmha Politikası

Paydaşlarımıza sağladığımız hizmetlerin desteklenmesi ve sürdürülmesi için gerekli her türlü verinin bütünlüğünün sağlanması, bunların yasal mevzuata uygun sürelerle arşivlenmesi ve 3. Kişilerle paylaşılmasının önlenmesi adına Bilgi Güvenliği konusundaki 3 temel prensibimiz; gizlilik, bütünlük ve yetkililerce erişilebilirlik olarak belirlenmiştir.

ISO 27001 standardına dair gereksinimlerin uygulanması,
Paydaşlarımızın bilgilerinin korunması açısından yapılması gerekenlerin personelimize eğitimlerle aktarılması, iş akitleriyle sorumlulukların yazılı hale getirilm
Tüm verilerin yedeklenmesi amacıyla gerekli alt yapı belirlenip, sorumluların tanımlanması,
Bilgi güvenliğinin şirket kültürü haline getirilmesi,
Güvenlik sektöründe olmamızın bilinciyle, paydaşlarımızı öncelik edinerek Bilgi Güvenliği konusunda sektörün öncü şirketlerinden biri olmayı amaçlıyoruz.

TAGS TAM ALARM GÜVENLİK SİSTEMLERİ SANAYİ VE TİCARET ANONİM ŞİRKETİ  KİŞİSEL VERİ SAKLAMA VE İMHA POLİTİKASI

  1. GİRİŞ

Türkiye Cumhuriyeti Anayasa’sının 20’nci maddesine göre; herkes özel hayatına ve aile hayatına saygı gösterilmesini ve kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar.  Kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemek amacı ile 6698 Sayılı Kişisel Verilerin Korunması Kanunu  (“KVK Kanunu”)  07.04.2016 tarihli 29677 sayılı Resmi Gazetede yayımlanarak yürürlüğe girmiştir. İşbu Kişisel Veri Saklama ve İmha Politikası  (” İmha Politikası “),  TAGS Tam Alarm Güvenlik Sistemleri Sanayi ve Ticaret Anonim Şirketi  ( Şirket “)  tarafından KVK Kanunu’nun 7. maddesi ile Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik  (” Yönetmelik “)  uyarınca hazırlanmıştır.

İmha Politikasının amacı, işlenmesini gerektiren sebeplerin ortadan kalkması halinde,

  • Kişisel verilerin muhafazası ve silinmesi amacıyla Kanun ve Yönetmelik’e uygun sürelerin belirlenmesi,
  • Şirket dâhilinde müşteriler, ziyaretçiler, çalışanlar, çalışan adayları, tedarikçiler- taşeronlar ve onların çalışanları, iş ortakları, internet sitesini kullananlar, kısacası sayılanlarla sınırlı olmamak üzere faaliyetler sırasında temas edilen kişilerden edinilen tüm kişisel verilerin, hangi süre ve koşullarda saklanacağına ilişkin bilginin sağlanması,
  • Şirket tarafından tutulan kişisel verilerin işlendikleri amaç için gerekli olan azami süreyi belirleme işlemi ile silme, yok etme ve anonim hale getirme işlemlerinin dayanağını açıklaması,
  • Tutulması gerekli kişisel verilerin Kanun ve Yönetmelik’e uygun olarak saklanmasının sağlanması,
  • Tutulan kayıt ortamlarının belirlenmesi suretiyle saklanan kişisel verilere hızlı, kolay ve etkili erişimin sağlanmasıdır.
  1.  TANIMLAR

İşbu İmha Politikası’nda kullanılan terimler aşağıda yer alan anlamlara gelmektedir:

Kişisel Veri

Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi;

Veri Sorumlusu

Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi.

İlgili Kişi

Kişisel verisi işlenen gerçek kişi;

Veri İşleyen

Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen gerçek ve tüzel kişiler;

Açık Rıza

Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza

Alıcı Grubu

Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisi;

KVK Kurulu

Kişisel Verileri Koruma Kurulu.

KVK Kurumu

Kişisel Verileri Koruma Kurumu.

Kanun

24/3/2016 tarihli ve 6698 Sayılı Kişisel Verilerin Korunması Kanunu;

Verbis

Veri Sorumluları Sicil Bilgi Sistemi

Veri Kayıt Sistemi

Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi;

Kişisel Verilerin İşlenmesi

Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi kapsamaktadır.

Kişisel Veri İşleme Envanteri

 

Şirketin iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırılmış olan envanter.

İmha

Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi;

İmha Politikası

Şirket tarafından kişisel verilerin işlendikleri amaç için gerekli olan azami süreyi belirleme işlemi ile silme, yok etme ve anonim hale getirme işlemi için dayanak yapılmış olan politika.

Periyodik İmha

Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi.

Kayıt Ortamı

Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam;

Karartma

Kişisel verilerin bütününün, kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek şekilde üstlerinin çizilmesi, boyanması ve buzlanması gibi işlemleri;

Maskeleme

Kişisel verilerin belli alanlarının, kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek şekilde silinmesi, üstlerinin çizilmesi, boyanması ve yıldızlanması gibi işlemleri.

Anonim Hale Getirme

Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesi;

Müşteri

Şirket’e alışveriş ve ziyaret amacıyla gelen, hizmetlerinden faydalanan, internet sitesini, kullanan gerçek kişiler.

Ziyaretçi

Şirket’e iş ve ziyaret amacı ile gelen gerçek kişiler.

Çalışan

Şirket çalışanları, stajyerleri ve/veya yönetim kurulu üyeleri ve/veya temsilcileri ve Şirket taşeronlarının/tedarikçilerinin yetkilileri ve çalışanları.

Çalışan Adayı

Şirketimize herhangi bir yolla iş başvurusunda bulunmuş ya da özgeçmiş ve ilgili bilgilerini şirketimizin incelemesine açmış olan gerçek kişiler.

İş Ortağı

Şirket’in taahhüt ve yükümlülükleri kapsamında iş birliği içinde olduğu gerçek ve tüzel kişilerin yetkilileri ve çalışanları.

Tedarikçi

Şirket’e ürün ya da hizmet sağlayan üretici.

Taşeron

Şirketten belirli bir işin bir bölümünde ve eklentilerinde iş alan ve kendi adlarına işçi çalıştıran işveren sıfatına sahip kişiler.

Üçüncü Kişi

Şirket’in faaliyetleri ile doğrudan ilişkili olmasa da yararlanan ve/veya çalışan yakınları, ziyaretçiler v.b.

  1. KİŞİSEL VERİLERİ SAKLAMA VE İMHA SÜREÇLERİNDE YER ALAN GÖREVLİLERİN UNVANLARI, BİRİMLERİ VE GÖREV TANIMLARI

Şirketin tüm birimleri ve çalışanları, sorumlu birimlerce Politika kapsamında alınmakta olan teknik ve idari tedbirlerin gereği gibi uygulanması, birim çalışanlarının eğitimi ve farkındalığının arttırılması, izlenmesi ve sürekli denetimi ile kişisel verilerin hukuka aykırı olarak işlenmesinin önlenmesi, kişisel verilere hukuka aykırı olarak erişilmesinin önlenmesi ve kişisel verilerin hukuka uygun saklanmasının sağlanması amacıyla kişisel veri işlenen tüm ortamlarda veri güvenliğini sağlamaya yönelik teknik ve idari tedbirlerin alınması konularında sorumlu birimlere aktif olarak destek verir.   Kişisel verilerin saklama ve imha süreçlerinde görev alanların unvanları, birimleri ve görev tanımlarına ait dağılım aşağıdaki tabloda verilmiştir.

Unvan

Birim

Görev Tanımı

Tolga PALA

Satış Direktörü

Komite Başkanı-yönetim ve iletişimden sorumlu

Yavuz Selim AKKAYA

Proje Direktörü

Bilgi Teknolojileri ve veri güvenliğinden sorumlusu

Ayşenur PARLAK

Satış Sonrası Hizmetler Koordinatörü

KVKK Risk Yönetimi, Politika ve Prosedürlerden sorumlusu

Büşra inan

Finans Koordinatörü

KVKK uyum ve denetim sorumlusu

Aynur USLU

İnsan kaynakları Müdürü

İş süreçlerinin planlanması-Raporlama sorumlusu

  1. KAYIT ORTAMLARI

Şirket, aşağıda detayları açıklanan kayıt ortamlarında veri işleme faaliyetlerini sürdürmektedir:

  1. Elektronik Ortamlar
  • Sunucular ( etki alanı, yedekleme, e-posta, veri tabanı, bulut, web, dosya paylaşım vb. ),
  • Yazılımlar ( ofis yazılımları, kurum içi portal, kamera kayıt görüntüleme, VERBİS vb. ),
  • Bilgi güvenliği cihazları ( güvenlik duvarı, saldırı tespit ve engelleme, günlük kayıt dosyası, antivirüs vb. ),
  • Kişisel bilgisayarlar ( masaüstü, dizüstü ),
  • Mobil cihazlar ( telefon, tablet vb. ),
  • Optik diskler ( CD, DVD, hard disk vb.),
  • Çıkartılabilir bellekler ( USB, hafıza kartı vb. ),
  • Yazıcı, tarayıcı, fotokopi makinesi,fotoğraf makinası
  1. Elektronik Olmayan Ortamlar
  • Kağıt,
  • Manuel veri kayıt sistemleri ( anket formları, ziyaretçi giriş defteri vb.)
  • Yazılı –basılı görsel ortam
  • Birim dolapları
  • Klasörler
  • Arşiv
  1. KİŞİSEL VERİLERİN SAKLANMASI

Şirket tarafından; müşteriler, ziyaretçiler, çalışanlar, çalışan adayları,  tedarikçiler, taşeronlar, hissedarlar, iş ortakları, internet sitesi ve kioskları kullananlar, kısacası sayılanlarla sınırlı olmamak üzere faaliyetler sırasında temas edilen kişilerden edinilen tüm kişisel veriler Kanuna uygun olarak saklanır ve imha edilir. Kanunun 3. maddesinde kişisel verilerin işlenmesi kavramı tanımlanmış, 4. maddesinde işlenen kişisel verinin işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli süre kadar muhafaza edilmesi gerektiği belirtilmiş, 5 ve 6. maddelerde ise kişisel verilerin işleme şartları sayılmıştır. Buna göre, şirket faaliyetleri çerçevesinde kişisel verileri, ilgili mevzuatta öngörülen veya işleme amaçlarımıza uygun süre kadar saklamaktadır.

  1. KİŞİSEL VERİLERİN SAKLANMASINI GEREKTİREN HUKUKİ SEBEPLER  VE İŞLEME AMAÇLARI 

6.1.     Kişisel Verilerin Saklanmasını Gerektiren Hukuki Sebepler

Şirket, elde ettiği kişisel verileri aşağıda belirtilen mevzuatlarda öngörülen sebepler ve süreler dahilinde muhafaza eder;

    • 6698 sayılı Kişisel Verilerin Korunması Kanunu,
    • 6098 sayılı Türk Borçlar Kanunu,
    • 6102 Sayılı Türk Ticaret Kanunu,
    • 6502 Sayılı Tüketicinin Korunması Hakkında Kanun,
    • 4734 sayılı Kamu İhale Kanunu,
    • 657 sayılı Devlet Memurları Kanunu,
    • 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu,
    • 5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun,
    • 5188 Sayılı Özel Güvenlik Hizmetlerine Dair Kanun,
    • 5018 sayılı Kamu Mali Yönetimi Kanunu,
    • 6331 sayılı İş Sağlığı ve Güvenliği Kanunu,
    • 4982 Sayılı Bilgi Edinme Kanunu,
    • 3071 sayılı Dilekçe Hakkının Kullanılmasına Dair Kanun,
    •  
    • 2547 sayılı Yükseköğretim Kanunu, 
    • 5434 sayılı Emekli Sağlığı Kanunu,

BLOG