KİŞİSEL VERİLERİN KORUNMASI POLİTİKASI

ÖNSÖZ

Eko Çağrı Merkezi Hizmetleri Tic. ve San. A.Ş. (EKOCCS), 6698 Sayılı Kişisel Verilerin Korunması Hakkında Kanun ve özel hüküm içeren sair mevzuata uygun olarak veri sorumlusu sıfatıyla muhafaza etmekte olduğu kişisel verileri, 6698 Sayılı Kanun ve sair mevzuat hükümlerine uygun olarak aşağıda yer alan süreçlere uygun olarak saklayabilir, işleyebilir ve aktarabilir.

Kişisel verilerin politikasının uygulanması sürecinde çelişki doğması halinde öncelikle 6698 sayılı kanun hükümleri ve Kişisel Verileri Koruma Kurumu ilke kararları tatbik edilecektir.

İşbu politika kapsamında, şirket çalışanlarına, şirket ile sözleşmesel ilişki içerisinde bulunan tedarikçi ve müşterilere, ziyaretçilere, iş başvuru yapan çalışan adaylarına, şirket ile herhangi bir şekilde veri paylaşımında bulunmuş gerçek kişilere, stajyerlere, şirket tarafından hizmet alınan 3. Kişilere ve şirket faaliyetleri nedeniyle 3. Kişilere ait kişisel veriler, bu politikada sayılanlar ile sınırlı olmamak kaydı ile kanuni zorunluluk nedeniyle elde edilmiş kişisel veriler bulunmaktadır.

İşbu politikada veya mevzuatta oluşabilecek revizyonlar tarih ve konu belirtilerek politikaya eklenecek, gerekli duyurular yapıldıktan sonra politikanın ayrılmaz bir parçası olarak kabul edilecektir.

VERİ SORUMLUSU

Kişisel verilerin toplanması, işlenmesi, aktarılması ve veri kayıt sisteminin oluşturulması kapsamında EKOCCS veri sorumlusudur.

VERİ GÜVENLİĞİ KURULU

İnsan Kaynakları, Finans ve Hukuk departmanları temsilcilerinden oluşur. Kurul tarafından gerek duyulması halinde veya talep doğrultusunda gerekli toplantılar gerçekleştirilir. Politikaların revizyonu ve mevzuata uyumu kurul tarafından kontrol edilir.

VERİ SORUMLUSU TEMSİLCİSİ

Veri sorumlusu temsilcisi Yönetim Kurulu kararı ile 3 sene süre ile atanır. Veri sorumlusu 6698 sayılı kanun, bağlı yönetmelikler ve Kişisel Verileri Korumu Kurumu ilke kararlarının tatbikinden ve mevzuattan kaynaklı yükümlülüklerin ifasından sorumludur.

Kişisel verilerin usulüne uygun olarak elde edilmesi, muhafazası, işlenmesi, aktarılması, silinmesi, yok edilmesi, anonimleştirilmesi, VERBIS kaydının yapılması bu kapsamda gerekli olan özel ve teknik tedbirlerin alınması veri sorumlusunun yükümlülüğündedir.

 

İRTİBAT KİŞİSİ

İrtibat kişisi Yönetim Kurulu kararı ile 3 sene süre ile atanır. Kurum ile kurulacak iletişim için veri sorumlusu tarafından VERBIS kayıt işlemleri sırasında ismi ve iletişim bilgileri sicile bildirilir. İrtibat kişisinin veri sorumlusunu temsil yetkisi bulunmamaktadır. İrtibat kişisi, ilgili kişilerin veri sorumlusuna yönelteceği taleplerin cevaplandırılması konusunda iletişimi sağlar. 

 

KİŞİSEL VERİLERE İLİŞKİN İLKELER

  1. Kişisel veriler ve özel nitelikli kişisel veriler 6698 sayılı kanun ve sair mevzuatta yer alan usul ve esaslara uygun olarak, ilgili kişinin açık rızası ile işlenebilir. Mevzuatta yer alan istisnalar saklıdır.
  2. Kişisel verilere ilişkin uygulamalarda Kişisel Verileri Koruma Kurumu tarafından alınan ilke kararları ve ikincil düzenlemelere uyum sağlanır.
  3. Kişisel verilerin işlenmesinde aşağıdaki ilkelere uyulması zorunludur;
    1. Hukuka ve dürüstlük kurallarına uygun olma,
    2. Doğru ve gerektiğinde güncel olma,
    3. Belirli, açık ve meşru amaçlar için işlenme,
    4. İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma,
    5. İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.
  4. Kişisel veriler, sunulan faaliyet gereğince sadece ilgili departman çalışanları erişilebilir olacak şekilde korunacaktır.
  5. Elektronik ortamda bulunan kişisel veriler şifreli olarak muhafaza edilecektir.
  6. Veri sorumlusu, 6698 Sayılı Kişisel Verilerin Korunması Hakkında Kanun ve özel hüküm içeren sair mevzuata uygun olarak muhafaza etmekte olduğu kişisel verileri, 6698 Sayılı Kanun gereğince şartları oluştuğunda, şirket politikası gereğince veya ilgilinin talebi halinde silebilir, yok edebilir veya anonim hale getirebilir.
  7. Kişisel veriler, ilgili kişinin açık rızası alınarak veya kanunda belirtilen şartların gerçekleşmesi ile yurt içi ve yurt dışında bulunan 3.kişilere aktarılabilir.
  8. Kişisel verilere ilişkin aydınlatma metni ve ilgili kişilerin sahip oldukları haklar ekoccs.com uzantılı internet sitesi üzerinden kamu ile paylaşılır.
  9. Kişisel verilerin muhafaza edildiği ve işlendiği elektronik ortamlara ilişkin kayıtlar BT departmanı tarafından muhafaza edilir. Bu konuda mevzuatta bir hüküm olmaması halinde bu kayıtlar 2 yıl süre ile muhafaza edilir.
  10. Kanuna uygun olarak işlenmiş olan özel nitelikli olan veya olmayan kişisel verilerin işlenmesi sebebinin ortadan kalkması halinde veya talep halinde veriler silinecek, yok edilecek veya usulüne uygun olarak anonim hale getirilecektir.
  11. Kişisel verilerin işlenmesi, muhafaza edilmesi, aktarılması, silinmesi, yok edilmesi ve anonim hale getirilmesi için gerekli eğitim ve duyurular çalışanlara aktarılır.
  12. Kişisel verilerin hukuka aykırı olarak işlenmesini, kişisel verilere hukuka aykırı olarak erişilmesini ve kişisel verilerin usulüne uygun muhafazasını sağlamak için gerekli teknik ve idari önlemler veri sorumlusu temsilcisi tarafından tespit edilir ve uygulanır.
  13. Kişisel verilerin veri sorumlusu adına 3.kişiler tarafından işlenmesi halinde gerekli denetim ve kontroller veri sorumlusu temsilcisi aracılığı ile gerçekleştirilir.
  14. İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu temsilcisi bu durumu en kısa sürede ilgilisine, adli mercilere ve Kurula bildirir. 
  15. Kişisel verilerin korunması politikasının uygulanması gereğince veri sorumlusu temsilcisi tarafından gerekli görüldüğünde denetim yapılabilir.
  16. Kişisel verilere ilişkin olarak ilgili kişiler tarafından mevzuata uygun olarak yapılacak başvurular, irtibat kişisi tarafından veri sorumlusu temsilcisine bildirilir, İnsan Kaynakları Departmanı ve Hukuk Departmanlarının görüşleri alınarak talebe ilişkin en geç 30 gün içerisinde yazılı olarak cevap verilir. Cevap kural olarak ücretsiz gerçekleştirilir. Cevap hazırlanması ek bir maliyet gerektirmesi halinde kurul tarafından yayınlanmış olan tarife gereğince ücret ilgili kişiden talep edilir.
  17. Kişisel Verileri Koruma Kurumu tarafından hizmete sunulacak olan Veri Sorumluları Sicili kaydı ve sair işlemler veri sorumlusu tarafından gerçekleştirilir.
  18. Gerçekleştirilecek toplu iş sözleşmesi görüşmelerinde kişisel verilere ilişkin hüküm oluşturulur.

 

VERİ GÜVENLİĞİ UYGULAMALARI

  1. Kişisel veri içeren elektronik ortamlar için gerekli güvenlik tedbirleri alınacaktır.
    1. Elektronik ortamda yer alan kişisel verilere ulaşım ancak görev ve yetki kapsamında gerçekleştirilecek olup, verilere kullanıcı adı ve şifre kullanılmak suretiyle ulaşılacaktır. Şifre ve kullanıcı adı oluşturulurken kolay tahmin edilemeyecek kuvvetli kombinasyonların kullanılması temin edilecektir.
    2. Kişisel verileri tehdit edecek kötü amaçlı yazılımlardan korunmak amacıyla BT departmanından alınacak görüş çerçevesinde gerekli yazılımlar temin edilecektir.
    3. BT departmanı tarafından; bilişim sisteminde çalışan program ve yazılımların tespiti yapılarak, kötü niyetli sızma olup olmadığı, güvenlik zafiyeti olup olmadığı, çalışanlara ait log kayıtlarının tutulup tutulmadığı konusunda 3’er aylık periyotlarda raporlama yapılacaktır.
    4. Veri sorumlusu temsilcisi tarafından gerek görülmesi halinde çalışanlara ait elektronik cihazların şirket içerisinde kullanımına yönelik sınırlamalar getirilebilir.
    5. Kişisel verilerin bulut ortamında muhafaza edilmesi halinde bulut ortamında güvenliğin sağlanması için gerekli teknik tedbirler alınır, bulut sistemi kullanılmasına son verilmesi halinde sisteme giriş sağlayan tüm şifreleme anahtarları imha edilir.
  2. Kişisel veri içeren elektronik ortamlar için gerekli güvenlik tedbirleri alınacaktır.
    1. Veri sorumlusuna ait fiziki ortamlarda kağıt olarak veya cihazlarda muhafaza edilen kişisel verilerin çalınması ve kaybolmasına karşı gerekli tedbirler alınır.
    2. Kişisel verilerin muhafaza edildiği dış ortamların deprem, sel, yangın gibi dış etkilerden korunması amacıyla İş Sağlığı ve Güvenliği departmanından gerekli görüş alınır.
    3. Veri sorumlusu temsilcisi tarafından gerek görülmesi halinde kişisel veri içeren kağıtlar ve cihazlar özel güvenlikli bir odada muhafaza altına alınabilir.
  3. Kişisel veri güvenliği doğrultusunda veri sorumlusu temsilcisinin talebi ile tüm departmanların katılımı ile envanteri oluşturulur. Bu doğrultuda risk analizi raporlaması yapılır.
  4. Kişisel Verilerin Silinmesi, Yok Edilmesi ve Anonimleştirilmesi Politikası hazırlanır.
  5. Kurum içi periyodik ve rastgele denetimler ile veri güvenliği kontrolleri yapılır.

İHLAL ve YAPTIRIMLAR

Veri sorumlusu tarafından yayınlanmış olan kişisel verilere ilişkin politika ve talimatların çalışanlar tarafından ihlal edilmesi halinde;   sözleşme ve 4857 sayılı kanun gereğince çalışanın savunması alınır ve fiile uygun disiplin tedbiri tesis edilir. Fiilin aynı zamanda 5237 sayılı kanun veya sair kanunlarca suç teşkil etmesi halinde gerekli adli mercilere bildirim yapılır.

İşbu politikanın duyurulması ve yürütülmesi İnsan Kaynakları Departmanı tarafından gerçekleştirilecektir.

 

 

EKLER

Kişisel Verilerin Silinmesi, Yok Edilmesi ve Anonimleştirilmesi Politikası

Kişisel Verilerin Korunması Kanunu