Websitemize Hoşgeldiniz.
Destek: info@empenergy.com.tr

Verilerin Korunması

EMP ENERGY MÜHENDİSLİK

ELEKTRİK TAAHHÜT VE TİCARET LİMİTED ŞİRKETİ

KVKK ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİ POLİTİKASI

 

  1. GİRİŞ

 

1.1. AMAÇ

6698 sayılı Kişisel Verilerin Korunması Kanunu 7 Nisan 2016 tarihinde yürürlüğe girmiş olup; işbu politika, EMP ENERGY MÜHENDİSLİK ELEKTRİK TAAHHÜT VE TİCARET LİMİTED ŞİRKETİ kısaca (“EMP ENERGY”) ’nin; Kanuna Özel Nitelikli Kişisel Verilerin Korunması Politikası, uyumluluğunun sağlanmasını ve EMP ENERGY tarafından özel nitelikli kişisel verilerin korunması ve işlenmesine ilişkin yükümlülüklerin yerine getirilmesinde uyulacak prensiplerin belirlenmesini amaçlamaktadır.

 

1.2. KAPSAM

Politika, özel nitelikli kişisel verilerin işleme şartlarını belirlemekte ve kişisel verilerin işlenmesinde EMP ENERGY tarafından benimsenen ana ilkeleri ortaya koymaktadır. Bu çerçevede Politika, EMP ENERGY tarafından Kanun kapsamındaki tüm kişisel veri işleme faaliyetlerini, EMP ENERGY ’nin işlediği tüm kişisel verilerin sahiplerini ve işlediği tüm kişisel verileri kapsamaktadır.

 

1.3. YÜRÜLÜK VE DEĞİŞİKLİK

Politika, EMP ENERGY tarafından internet sitesinde yayımlanarak kamuoyuna sunulmuştur. Başta Kanun olmak üzere yürürlükteki mevzuat ile bu Politika ’da yer verilen düzenlemelerin çelişmesi halinde mevzuat hükümleri uygulanır.

EMP ENERGY, yasal düzenlemelere paralel olarak Politika ’da değişiklik yapma hakkını saklı tutar.

 

  1. ÖZEL NİTELİKLİ KİŞİSEL VERİLER

Irka, etnik kökene, siyasi düşüncelere, felsefi inanca, dine, mezhebe veya diğer inançlara, kılık ve kıyafete, dernek, vakıf ya da sendika üyeliklerine, sağlığa, cinsel hayata, ceza mahkûmiyeti ve güvenlik tedbirlerine ve biyometrik verilere ilişkin verileri ifade etmektedir.

 

2.1. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİ

EMP ENERGY nezdinde, Kanun ile “özel nitelikli” olarak belirlenen kişisel verilerin işlenmesinde, Kanunda öngörülen düzenlemelere hassasiyetle uygun davranılmaktadır. Kanunun 6. maddesinde, hukuka aykırı olarak işlendiğinde kişilerin mağduriyetine veya ayrımcılığa sebep olma riski taşıyan bir takım kişisel veri “özel nitelikli” olarak belirlenmiştir. Bu veriler; ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir.

Kanuna uygun bir biçimde EMP ENERGY nezdinde; özel nitelikli kişisel veriler, KVK Kurulu tarafından belirlenecek olan yeterli önlemlerin alınması kaydıyla aşağıdaki durumlarda işlenmektedir:

  • Kişisel veri sahibinin açık rızası var ise veya
  • Kişisel veri sahibinin açık rızası yok ise;

Kişisel veri sahibinin sağlığı ve cinsel hayatı dışındaki özel nitelikli kişisel veriler, kanunlarda öngörülen hallerde, Kişisel veri sahibinin sağlığına ve cinsel hayatına ilişkin özel nitelikli kişisel verileri ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenmektedir.

 

 

2.2. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN AKTARILMASI

EMP ENERGY gerekli özeni göstererek, gerekli güvenlik tedbirlerini alarak ve KVK Kurulu tarafından öngörülen yeterli önlemleri alarak; meşru ve hukuka uygun kişisel veri işleme amaçları doğrultusunda kişisel veri sahibinin özel nitelikli kişisel verilerini aşağıdaki durumlarda üçüncü kişilere aktarabilmektedir:

  • Kişisel veri sahibinin açık rızası var ise veya
  • Kişisel veri sahibinin açık rızası yok ise;

Kişisel veri sahibinin sağlığı ve cinsel hayatı dışındaki özel nitelikli kişisel verileri (ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir), kanunlarda öngörülen hallerde,

Kişisel veri sahibinin sağlığına ve cinsel hayatına ilişkin özel nitelikli kişisel verileri ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından.

 

2.3. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN KORUNMASI

EMP ENERGY nezdinde, Kanun ile “özel nitelikli” olarak belirlenen ve hukuka uygun olarak işlenen özel nitelikli kişisel verilerin korunmasında hassasiyetle davranılmaktadır. Bu kapsamda, Şirketimiz tarafından, kişisel verilerin korunması için alınan teknik ve idari tedbirler, özel nitelikli kişisel veriler bakımından özenle uygulanmakta ve Şirketimiz bünyesinde gerekli denetimler sağlanmaktadır.

Ayrıca özel nitelikli kişisel veriler bakımından Kişisel Verileri Koruma Kurulu tarafında belirlenen önlemler ile, uygun güvenlik düzeyini temin etmeye yönelik teknik ve idari tedbirler de alınmaktadır.

Şirketimizin genel prensibi, kanundan kaynaklanan sebepler olmadıkça özel nitelikli kişisel veri işlememektedir.

Gerekli olmayan özel nitelikli kişisel veriler silinmekte veya karartılmaktadır.

Buna istinaden, özel nitelikli kişisel verilerin güvenliğine yönelik sistemli kurallar işbu politikada belirlenmiştir.

 

2.3.1. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİNDE YER ALAN ÇALIŞANLARA YÖNELİK TEDBİRLER

  • Kanun ve buna bağlı yönetmelikle ile özel nitelikli kişisel veri güvenliği konularında düzenli eğitimler verilmektedir.
  • Gizlilik sözleşmeleri imzalanmaktadır.
  • Verilere erişim yetkisine sahip kullanıcıların yetki kapsamları ve yetki süreçleri yetki matrisi ile tanımlanmıştır.
  • Periyodik olarak yetki kontrolü yapılmaktadır.
  • Göre değişikliği olan ya da işten ayrılan çalışanların bu alanlarındaki yetkileri derhal kaldırılmaktadır.
  • Çalışana envanter tahsis edilmiş ise derhal geri alınmaktadır.

 

2.3.2. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENDİĞİ, MUHAFAZA EDİLDİĞİ ELEKTRONİK ORTAMLAR İÇİN

  • Elektronik ortama özel veri aktarılmamakatadır..
  • Kriptografik anahtarlar güvenli ve farklı ortamlarda tutulmaktadır.
  • Verilerin bulunduğu ortamlara ait güvenlik güncellemeleri sürekli takip edilmektedir.
  • Verilere yazılım aracılığı ile erişiliyorsa bu yazılıma ait kullanıcı yetkilendirilmesi yapılmaktadır.
  • Gerekli güvenlik testleri yaptırılarak, test sonuçları kayıt alınmaktadır.
  • Verilere uzaktan erişim olması halinde iki kademeli kimlik doğrulama sistemi kullanılmaktadır.

 

 

 

 

 

2.3.3. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENDİĞİ, MUHAFAZA EDİLDİĞİ FİZİKSEL ORTAMLAR İÇİN

 

  • Özel nitelikli kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmaktadır.
  • Özel nitelikli kişisel veri içeren fiziksel ortamların dış risklere (yangın, sel vb.) karşı güvenliği sağlanmaktadır.

 

2.3.4. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN AKTARILMASINA İLİŞKİN ÖNLEMLER

  • E-posta yolu ile aktarılması halinde kurumsal e-posta adresi veya Kayıtlı Elektronik Posta (KEP) hesabı kullanılmaktadır.
  • Taşınır bellek, CD, DVD gibi ortamlar yoluyla aktarılması halinde – gerekli durumlarda- kriptografik yöntemlerle şifrelenmekte, ve kriptografik anahtar farklı ortamda tutulmaktadır.
  • Farklı fiziksel ortamlardaki sunucular arasında aktarma yapılırken, sunucular arasında VPN kurularak veya SFTP yöntemiyle aktarım yapılmaktadır.
  • Kağıt ortamında aktarım yapılırken evrakın çalınması, kaybolması, yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemler alınmakta ve belgeler “gizlilik dereceli belgeler” formatında kapalı zarfta gönderilmektedir.

 

 

  1. ÖZEL NİTELİKLİ KİŞİSEL VERİ İŞLENİLMESİNE İLİŞKİN ÖNLEMLER

Özel nitelikli kişisel veriler, öğrenilmesi halinde ilgili kişi hakkında ayrımcılık yapılmasına veya mağduriyete neden olabilecek nitelikteki veriler olması sebebi ile Şirketimizce bu verilerin korunmasına ayrıca önem verilmektedir. Özel nitelikteki kişisel verinin ilgilinin açık rıza olmaksızın işlenmesi yasaktır.

Sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.

Şirket çalışanların, Şirket pay sahipleri ve yetkilileri ile İş Ortaklarının çalışanlarının özel nitelikteki verileri iş sağlığı ve güvenliği yükümlülüklerinin yerine getirilmesi amacıyla işlenmekte, ilgili veri sahipleri tarafından, hizmet alınan ortak sağlık birimi ya da sır saklama yükümlülüğü altında olan kişiler kanalıyla Şirketimize aktarılan bu verilerin işlenmesi, aktarılması ve muhafazasına ilişkin olarak EMP ENERGY aşağıdaki kuralları takip etmekte ve önlemleri almaktadır:

 

  • Özel nitelikli kişisel verilerin işlenmesi süreçlerinde yer alan çalışan, ortak sağlık birimi ve sır saklama yükümlülüğü altında bulunan sağlık yetkililerine yönelik, KVKK ve buna bağlı yönetmelikler ile özel nitelikli kişisel veri güvenliği konularında düzenli olarak eğitimler verilmekte, bu kişilerle gizlilik sözleşmeleri yapılmakta,
  • Verilere erişim yetkisine sahip kullanıcıların, yetki kapsamlarının ve sürelerinin net olarak tanımlanmakta,
  • Periyodik olarak yetki kontrolleri gerçekleştirilmekte,
  • Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri derhal kaldırılmakta,
  • Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, elektronik ortam ise verilerin kriptografik yöntemler kullanılarak muhafaza edilmekte, kriptografik anahtarlar güvenli ve farklı ortamlarda tutulmakta, veriler üzerinde gerçekleştirilen tüm hareketler işlem kayıtları güvenli olarak loglanmakta, verilerin bulunduğu ortamlara ait güvenlik güncellemeleri sürekli takip edilmekte, gerekli güvenlik testlerinin düzenli olarak yapılmakta, erişime ilişkin kullanıcı yetkilendirmelerini yapılmaktadır.
  • Fiziksel ortamda tutulan özel nitelikli kişisel verilere ilişkin bulunduğu ortamın niteliğine göre yeterli güvenlik önlemeleri alınmakta ve düzenli olarak kontrol edilmekte, bu ortamların fiziksel güvenliğinin sağlanarak giriş çıkışlarda yetki sorgulaması yapılmaktadır.
  • Özel nitelikli kişisel verilerin aktarımında ise, verilerin e-posta yoluyla aktarılması gerekiyorsa şifreli olarak kurumsal e-posta adresiyle veya Kayıtlı Elektronik Posta (KEP) hesabı kullanılarak aktarılması, taşınabilir Bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerekiyorsa kriptografik yöntemlerle şifrelenmesi ve kriptografik anahtarın farklı ortamda tutulması, farklı fiziksel ortamlardaki sunucular arasında aktarma gerçekleştiriliyorsa, sunucular arasında VPN kurularak veya sFTP yöntemiyle veri aktarımının gerçekleştirilmesi, verilerin kağıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemlerin alınması ve evrakın “gizlilik dereceli belgeler” formatında gönderilmesi hususlarına dikkat edilmektedir.

 

  1. AÇIK RIZA ALINIRKEN İŞLENECEK PROSEDÜR

EMP ENERGY nezdinde hazırlanmış olan Aydınlatma Metni ve Açık Rıza Metni ilgiliye anlayabileceği şekilde izah edilir, özel nitelikli kişisel verisinin hangi amaçla işleneceği, aktarımının yapılıp yapılmayacağı, ne kadar süreyle saklanacağı, sürenin sonundaki imha prosedürü hakkında ilgiliye bilgi verilir. Akabinde, Açık Rıza Metni ilgilinin ıslak imzası alınmak suretiyle alınarak kendisine onaylatılır. Islak imzalı Açık Rıza Metni fiziki olarak depolanır. Saklamada Kişisel Verilerin Saklanması ve İmhası Politikası hükümlerine tabidir.

İşbu Politika, EMP ENERGY Kişisel Verilerin Korunması, Saklanması Ve İmhası Politikasının tamamlayıcısıdır.

 

-son-