Menu CC
Menu CC

Veri Sahibi Başvuru Yönetim Politikası

  1. AMAÇ

Bu politikanın amacı, Türkiye Cumhuriyeti Anayasası ile 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) ile CEYLAN OTELCİLİK VE TURİSTİK İŞLETMELER A.Ş. (Şirket)’nin “Kişisel Verilerin Korunması ve İşlenmesi Politikası” kapsamındaki düzenlemelere ek olarak özel nitelikli kişisel verilerin işlenmesi kapsamındaki yükümlülüklere uyumun sağlanması, özel nitelikli kişisel verilerin işlenmesi ve güvenliğinin sağlanması ile ilgili kontrol ve önlemlerin, işleyiş kurallarının ve sorumlulukların belirlenmesi ile veri sahiplerinin ve kurum çalışanlarının bilinçlendirilmesidir.

  1. KAPSAM

Bu politika hükümleri, Şirket tarafından özel nitelikli kişisel verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen müşteriler, çalışanlar, çalışanların aile üyeleri, stajyerler, müşteriler, hissedarlar hakkında uygulanır.

  1. SORUMLULUK

Şirket Kişisel Verilerin Korunması ve İşlenmesi Politikası’ na ek niteliğindeki işbu Politika Şirket Yönetim Kurulu tarafından onaylanıp yürürlüğe girmiştir. Politikalar çerçevesinde Şirket bünyesinde gerçekleştirilecek tüm faaliyetler ve alınacak önlemler ilgili prosedürlerle belirlenir. Söz konusu prosedürlerin hazırlanması, güncellenmesi ve uygulamaya konulmasından Şirket Üst Yönetimi sorumludur.

Tüm Şirket çalışanları, görevlerini politikalara ve ilgili tüm prosedür ve mevzuata uygun olarak yerine getirmekten sorumludur.

  1. TANIMLAR

Bu politikada yer alan önemli tanımlar aşağıda belirtilmiştir.

Açık rıza

Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza

Anonim hale getirme

Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi

İlgili kişi

Kişisel verisi işlenen gerçek kişi

İlgili kullanıcı

Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişiler

İmha

Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi

Kanun

6698 sayılı Kişisel Verilerin Korunması Kanunu

Kayıt ortamı

Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam

Kişisel veri

Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi

Kişisel verilerin işlenmesi

Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem

Kişisel Verilerin Silinmesi

Kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi

Kişisel Verilerin Yok Edilmesi

Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi

Kişisel Verilerin Anonim Hale Getirilmesi

Kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi

Kurul

Kişisel Verileri Koruma Kurulu

Kurul Kararı

Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler" ile ilgili Kişisel Verileri Koruma Kurulunun 31/01/2018 Tarihli ve 2018/10 Sayılı Kararı

Kurum

Kişisel Verileri Koruma Kurumu

Özel Nitelikli Kişisel Veri

Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri

Periyodik imha

Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda Kişisel Verileri Saklama ve İmha Politikası’nda belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi

Sicil

Kişisel Verileri Koruma Kurumu Başkanlığı tarafından tutulan veri sorumluları sicili

Veri işleyen

Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi

Veri kayıt sistemi

Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi

Veri sorumlusu

Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi
  1. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİ

5.1. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN GENEL İLKELER

Şirket nezdinde özel nitelikli kişisel veriler, Kanun’da ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenmekte ve kişisel verilerin işlenmesinde “Kişisel Verilerin Korunması ve İşlenmesi Politikası”nda düzenlenen ilkeler dikkate alınmaktadır.

5.2. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENME ŞARTLARI

Şirket tarafından özel nitelikli kişisel verilerin işlenmesinde, öncelikle veri işleme şartlarının var olup olmadığı belirlenir, hukuka uygunluk şartının varlığından emin olunduktan sonra veri işleme faaliyeti gerçekleştirilir. Bu kapsamda Kurul tarafından belirlenen yeterli önlemlerin alınması kaydıyla özel nitelikli kişisel verilerden;

  1. Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler,
    • Kişisel veri sahibinin açık rızası var ise veya
    • Kanunlarda öngörülen hallerde işlenmektedir.
  2. Sağlık ve cinsel hayata ilişkin kişisel veriler,
    • Kişisel veri sahibinin açık rızası var ise işlenir.
    • Kişisel veri sahibinin açık rızası yok ise, sağlık ve cinsel hayata ilişkin kişisel veriler ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenebilir.

Özel nitelikli kişisel verilerin elde edilmesi sırasında Şirket “Kişisel Verilerin Korunması ve İşlenmesi Aydınlatma Metni” ile aşağıdaki konular hakkında ilgili kişilere bilgi verir.

Şirket bilgileri,

  • b) Özel nitelikli kişisel verilerin işlenme amaçları,
  • c) İşlenen özel nitelikli kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
  • d) Kişisel veri toplamanın yöntemi ve hukuki sebebi,
  • e) İlgili kişinin Kanun kapsamındaki hakları.

İlgili kişinin açık rızası, kişisel veri sahibinin kendisiyle ilgili veri işlenmesine, Kişisel Verilerin Korunması ve İşlenmesi Aydınlatma Metni ile yeterli bilgi sahibi olarak, özgür iradesiyle, tereddüde yer bırakmayacak şekilde ve sadece ilgili işlemle sınırlı olarak Kişisel Verilerin İşlenmesine İlişkin Açık Rıza Beyanı ile onay vermesi suretiyle alınır.

Kanunlarda kişisel verilerin işlenebileceğine ilişkin bir hüküm bulunması durumunda, Şirket tarafından, ilgili kanuni düzenleme ile sınırlı olarak kişisel veriler işlenmektedir.

İşlenen kişisel veriler Kanun hükümlerine aykırı olarak başkasına açıklanamaz ve işleme amacı dışında kullanılamaz.

Özel nitelikli kişisel verilerin açık rıza dışında kalan işleme şartları ve örnekleri aşağıdaki tabloda yer almaktadır:

İşleme Şartları

Kapsam

Örnek

Kanun Hükmü

Sağlık ve cinsel hayat dışındaki kişisel veriler ilgili kişinin açık rızası aranmaksızın işlenebilir. Vergi Kanunları, İş Kanunu, Türk Ticaret Kanunu vb. daha sıkı hassas veri işleme şartları.

Çalışana ait sendikalılık bilgisinin özlük dosyasında mevzuat gereği tutulması gerekir.

Kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması, yönetimi ve

Finansmanı

Kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması, yönetimi ve finansmanı amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenmesi

Doktorun hastası hakkında işlediği sağlık verileri.

5.3. VERİ KONUSU KİŞİ GRUBU VE İŞLENEN KİŞİSEL VERİ KATEGORİLERİ

Şirket’imiz nezdinde özel nitelikli kişisel verisi işlenen kişi grubu aşağıda belirtilmektedir:

Veri Konusu Kişi Grubu

Çalışanlar

Şirket çalışanları

Stajyer

Şirket'te staj yapan lise ve üniversite öğrencileri

Aile Üyeleri

Çalışanların aile üyeleri

Hissedarlar

Şirket hissedarı gerçek kişiler

Müşteriler

Şirketimizle herhangi bir sözleşmesi ilişkisi olup olmadığına bakılmaksızın Şirketimizin sunmuş olduğu ürün ve hizmetleri alan/kullanan veya kullanmış olan gerçek kişiler

Bu kişilere ilişkin işlenen özel nitelikli kişisel veriler aşağıda belirtilmiştir:

Özel Nitelikli Kişisel Veri

Uyruğu, dini, sabıka kaydı, engellilik durumu, sağlık ve kan grubu bilgisi

5.4. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİ İŞLEME AMAÇLARI

Şirket tarafından toplanan kişisel veriler, Kanun’un 6. maddesinde belirtilen işleme şartlarına uygun olarak aşağıda sayılan amaçlar dahilinde işlenmektedir:

Ana Amaçlar

Alt Amaçlar

Şirketin idaresi, faaliyetlerin hukuka, Şirket politika ve prosedürlerine uygun olarak yerine getirilmesi

Tabii olunan mevzuatlar gereği yasal yükümlülüklerimizin yerine getirilmesi ve yürürlükteki mevzuattan doğan haklarımızın kullanılabilmesi

Ürün/hizmetlerin planlaması ve satışına ilişkin süreçlerin tesisi ve yönetimi; ürün ve hizmet koşullarının ifası ve üstlenilen yükümlülüklerin eksiksiz ve doğru bir şekilde yerine getirebilmesi

Müşterilere konaklama, tur ve vize hizmetlerinin verilmesi

Sözleşme süreçlerinin ve/veya hukuki işlemlerin takibi

Operasyon süreçlerinin yürütülmesi

Risk yönetimi, denetim ve kontrol faaliyetlerinin icrası

İşlemlere dayanak olacak tüm kayıt ve belgelerin düzenlenmesi

İlgili mevzuat hükümleri doğrultusunda bilgi ve belge almaya yetkili kamu/özel kurum ve kuruluşlarına mevzuattan kaynaklı bilgi verilmesi

Hukuki yükümlülüklere ve şirket politikalarına uyumu teminen denetim şirketlerine, Kanun’a uygun olarak bilgi verilmesi

Şirket’in, personelin ve Şirket ile iş ilişkisi içerisinde olan kişilerin fiziki, hukuki ve ticari güvenliğinin temini

İnsan kaynakları politikalarının yürütülmesi; insan kaynakları süreçlerinin planlanması ve icrası

İş sözleşmelerinin kurulması, ifası ve üstlenilen yükümlülüklerin yerine getirilmesi

İşe alım ve özlük süreçlerinin yürütülmesi

Kurumsal sağlık sigortası ve bireysel emeklilik gibi yan hak ve menfaatlerine ilişkin süreçlerin tesisi, hakların kullanılması veya korunması

İş sağlığı ve güvenliği düzenlemelerine uyum; işyeri hekiminin sağlık gözetimi kapsamında işe giriş ve periyodik muayeneler ve tetkikler, sağlık raporu, e-reçete, sağlık taramaları süreçleri

 

Kanun’un 6(3) maddesinde belirtilen kişisel veri işleme şartlarının karşılanmadığı hallerde kişisel veriler, veri sahibinin açık rızasına istinaden işlenebilecektir.

5.5. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VEYA ANONİM HALE GETİRİLMESİ

Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel veriler resen veya ilgili kişinin talebi üzerine Şirket tarafından silinir, yok edilir veya anonim hale getirilir.

Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesinde Kanun’un 4. maddesindeki genel ilkeler ile 12. maddesi kapsamında alınması gereken teknik ve idari tedbirlere, ilgili mevzuat hükümlerine, Kurul kararlarına ve Kişisel Veri Saklama ve İmha Politikası’ na uygun hareket edilmektedir.

5.6. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN AKTARILMASI

Şirket tarafından gerçekleştirilecek özel nitelikli kişisel veri aktarımlarında Kurul Kararı ile düzenlenmiş olan özel nitelikli kişisel veri aktarım şartlarına uygun hareket edilir.

Şirket tarafından özel nitelikli kişisel verilerin aktarılabileceği taraflar ve aktarım amaçlarına aşağıda yer verilmiştir:

Veri Aktarılabilecek Taraflar

Aktarım Amaçları

Kanunen Yetkili Kurumlar

Yetkili kamu kurum ve kuruluşları ile özel hukuk kişilerinin hukuki yetkisi dahilinde bilgi-belge talebinin karşılanması.

İş Ortakları

İş ortaklığının kurulma amaçlarının ve ticari faaliyetlerin yerine getirilmesi.

Grup Şirketleri

Grup şirketlerinin de katılımını gerektiren faaliyetlerin sürdürülmesi.

Tedarikçiler

Dış kaynaklı olarak temin edilen mal ve hizmetlere ilişkin süreçlerin yönetilmesi, destek ve danışmanlık hizmeti alınması, personelin yan haklardan faydalandırılması.

5.6.1. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN YURT İÇİNDE AKTARILMASI

Şirket tarafından özel nitelikli kişisel veriler, Kurul tarafından belirlenen yeterli önlemler alınmak suretiyle ve aşağıdaki hallerden birinin bulunması halinde aktarılabilir:

  1. İlgili kişinin açık rızasının alınması,
  2. Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler bakımından kanunlarda açıkça öngörülmüş olması.
  3. Kişisel veri sahibinin açık rızası yok ise, sağlık ve cinsel hayata ilişkin kişisel veriler ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından; üçüncü kişilere aktarılabilir.

Özel nitelikli kişisel verilerin aktarımına ilişkin alınan yeterli önlemler bu Politika’nın 6. maddesinde düzenlenmiştir.

5.6.2. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN YURT DIŞINA AKTARILMASI

Şirket tarafından kişisel veriler, aşağıdaki durumlardan birinin bulunması halinde yurt dışına aktarılabilir:

  1. İlgili kişinin açık rızasının alınması,
  2. Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler bakımından kanunlarda açıkça öngörülmüş olması ve
    • Kişisel verinin aktarılacağı yabancı ülkede yeterli korumanın bulunması,
    • Yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurul’un izninin bulunması.

Kişisel veriler, uluslararası sözleşme hükümleri saklı kalmak üzere, Türkiye’nin veya ilgili kişinin menfaatinin ciddi bir şekilde zarar göreceği durumlarda, ancak ilgili kamu kurum veya kuruluşunun görüşü alınarak Kurul’un izniyle yurt dışına aktarılabilir.

Özel nitelikli kişisel verilerin yurt dışına aktarımına ilişkin alınan yeterli önlemler bu Politika’nın 6. maddesinde düzenlenmiştir.

  1. VERİ GÜVENLİĞİNE İLİŞKİN HUSUSLAR

Şirket tarafından özel nitelikli kişisel verilerin, hukuka aykırı olarak işlenmesini ve erişilmesini önlemek ve muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri alınır; Kanun hükümlerinin ve Kurul Kararı’nın uygulanmasını sağlamak amacıyla gerekli denetimlerin yapılması sağlanır.

6.1 İDARİ TEDBİRLER

  1. Özel nitelikli kişisel verilerin korunmasına ilişkin ortaya çıkabilecek risklerin gerçekleşme olasılığının ve gerçekleşmesi durumunda yol açacağı kayıpların belirlenerek, risklerin azaltılması veya ortadan kaldırılmasına yönelik tedbirlerin alınması sağlanır.
  2. Özel nitelikli kişisel verilerin işlenmesi, gizliliğinin ve güvenliğinin sağlanması ve imha edilmesine ilişkin tüm politika ve prosedürler ile ilgili süreçlerde görev alan personelin görev, yetki ve sorumlulukları yazılı hale getirilir ve tüm personelin erişimine sunulur.
  3. Personele Kanun ve buna bağlı yönetmelikler ile özel nitelikli kişisel veri güvenliği konularında düzenli olarak eğitimler verilmesi sağlanır.
  4. Politika ve prosedürlerin güncel tutulması ve yapılan değişikliklerle ilgili çalışanlara gerekli eğitimlerin verilmesi ve bilgilendirmeler yapılması sağlanır.
  5. İşe alım süreci kapsamında, çalışanlar ile Şirket arasında düzenlenen sözleşmelere özel nitelikli kişisel verilerin korunması ve gizliliğinin sağlanmasına ilişkin hükümler eklenip çalışan tarafından imzalanması sağlanır.
  6. İşlenen kişisel verilere hala ihtiyaç olup olmadığı ve doğru yerde muhafaza edilip edilmediği tespit edilerek, arşiv amaçlı tutulan kişisel verilerin, daha güvenli ortamlarda muhafaza edilmesi, ihtiyaç duyulmayan özel nitelikli kişisel verilerin ise Kişisel Veri Saklama ve İmha Politikası doğrultusunda silinmesi, yok edilmesi veya anonim hale getirilmesi sağlanır.
  7. Saklanan kişisel verilere Şirket içi erişim, görev tanımı gereği erişmesi gerekli personel ile sınırlandırılır.
  8. Çalışanların Şirket tarafından belirlenip duyurulan politika ve prosedürlerine uymaması durumunda Disiplin Prosedürü doğrultusunda yaptırımlar uygulanır.
  9. Özel nitelikli kişisel verilerin paylaşılması ile ilgili olarak, Özel nitelikli kişisel verilerin paylaşıldığı kişiler ve veri işleyenler ile özel nitelikli kişisel verilerin korunması ve veri güvenliğine ilişkin gizlilik sözleşmeleri imzalanır veya mevcut sözleşmelere veri güvenliğine ilişkin hükümler eklenir.
  10. Politika ve prosedürler kapsamında; düzenli olarak kontroller yapılır, gelişime açık alanlar için gerekli aksiyonlar planlanıp uygulamaya alınır.
  11. Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimlerin yapılması ve denetimler sonucunda ortaya çıkan gizlilik ve güvenlik zafiyetleri için aksiyonlar planlanarak bulguların derhal giderilmesi sağlanır.
  12. İşlenen özel nitelikli kişisel verilerin hukuka aykırı yollarla başkaları tarafından elde edilmesi halinde, bu durum en kısa sürede ilgilisine ve Kurul’a bildirilir.

6.2 TEKNİK TEDBİRLER

  1. Kişisel veri içeren bilgi teknoloji sistemlerinin ve verilerin korunması amacıyla, SSL bağlantıları, anti virüs ve güvenlik duvarı yazılım ve donanımları kullanılır.
  2. Kullanılmayan yazılım ve servislerin cihazlardan silinmesi sağlanır.
  3. Yazılım ve donanımların düzgün bir şekilde çalışması, alınan güvenlik önlemlerinin yeterli olup olmadığı ve verilerin bulunduğu ortamlara ait güvenlik güncellemeleri düzenli olarak kontrol edilir. Gerekli güvenlik testleri düzenli olarak yapılarak test sonuçları kayıt altına alınır. Olası güvenlik açıklarının kapatılması için gerekli yama ve yazılım güncellemelerinin yapılması sağlanır.
  4. Özel nitelikli kişisel veri içeren sistemlere erişim, erişim politikaları, kullanıcı ve rol yönetimi prosedürleri çerçevesinde sağlanır. Verilere erişim yetkisine sahip kullanıcıların, yetki kapsamları ve süreleri net olarak tanımlanır. Bilgi Teknolojileri çalışanlarının kişisel verilere erişim yetkileri kontrol altında tutulur.
  5. Verilere uzaktan erişim gerekiyorsa en az iki kademeli kimlik doğrulama sistemi kullanılır.
  6. Periyodik olarak yetki kontrolleri gerçekleştirilir.
  7. Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri derhal kaldırılır. Bu kapsamda, Şirket tarafından kendisine tahsis edilen envanter iade alınır.
  8. Verilerin kurum dışına sızmasını engelleyecek veya gözlemleyecek teknik altyapının temin edilmesi sağlanır.
  9. Tüm kullanıcıların işlem hareketleri kaydının (log kayıtları) düzenli olarak tutulması sağlanır.
  10. Düzenli olarak ve ihtiyaç oluştuğunda sızma testi hizmeti alınarak sistem zafiyetlerinin kontrolü sağlanır.
  11. Özel nitelikli kişisel verilerin bulunduğu ortamın niteliğine göre yeterli güvenlik önlemleri (elektrik kaçağı, yangın, su baskını, hırsızlık vb. durumlara karşı) alınır. Bu ortamların fiziksel güvenliği sağlanarak yetkisiz giriş çıkışlar engellenir.
  12. Özel nitelikli kişisel verilerin güvenli bir biçimde saklanmasını sağlamak için verilerin yedeklenmesi ve tüm yedeklerin fiziksel güvenliği sağlanır.
  13. Özel nitelikli kişisel verilerin geri dönüştürülemeyecek ve denetim izi bırakmayacak şekilde yok edilmesi sağlanır.
  14. Özel nitelikli kişisel verilerin saklandığı her türlü elektronik ortamdaki veriler kriptografik yöntemler kullanılarak muhafaza edilir. Kriptografik anahtarların güvenli ve farklı ortamlarda tutulması sağlanır.
  15. Bulut ortamında yer alan kişisel verilerin depolanması ve kullanımı sırasında, kriptografik yöntemlerle şifrelenmesi ve kişisel veriler için mümkün olan yerlerde, özellikle hizmet alınan her bir bulut çözümü için ayrı ayrı şifreleme anahtarları kullanılması; bulut bilişim hizmet ilişkisi sona erdiğinde ise; kişisel verileri kullanılır hale getirmek için gerekli şifreleme anahtarlarının tüm kopyalarının yok edilmesi sağlanır.
  16. Özel nitelikli kişisel verilerin e-posta yoluyla aktarılması gerekiyorsa şifreli olarak kurumsal e-posta adresiyle veya Kayıtlı Elektronik Posta (KEP) hesabı kullanılarak aktarılması sağlanır.
  17. Taşınabilir Bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerektiğinde kriptografik yöntemlerle şifrelenir ve kriptografik anahtarın farklı ortamda tutulması sağlanır.
  18. Farklı fiziksel ortamlardaki sunucular arasında aktarma gerçekleştirilirken, sunucular arasında VPN kurularak veya sFTP yöntemiyle veri aktarımı gerçekleştirilir.
  19. Verilerin kağıt ortamı yoluyla aktarımında evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemlerin alınır ve “gizlilik dereceli belgeler” formatında gönderilir.
  1. VERİ SAHİBİNİN HAKLARI

İlgili kişinin Kanun kapsamındaki hakları, Kanun’un uygulanmasıyla ilgili taleplerini iletme yöntemleri ve taleplerin Şirket tarafından sonuçlandırılmasına ilişkin hükümler Kişisel Verilerin Korunması ve İşlenmesi Politikası’nda düzenlenmiştir.