KİŞİSEL VERİLERİN İŞLENMESİ VE KORUNMASI POLİTİKASI

KİŞİSEL VERİLERİN İŞLENMESİ VE KORUNMASI POLİTİKASI

 

BPS KORUMA ve GÜVENLİK HİZMETLERİ TİCARET LİMİTED ŞİRKETİ

 

KİŞİSEL VERİLERİN İŞLENMESİ VE KORUNMASI POLİTİKASI

1.VERİ GİZLİLİĞİ TAAHHÜDÜ

İşbu Veri Gizliliği ve Güvenliği Politikası “Politika” BPS Koruma ve Güvenlik Hizmetleri Ticaret Limited Şirketi (BPS Koruma ve Güvenlik) 6698 Sayılı Kişisel Verilerin Korunması Kanunu ve ilgili diğer mevzuat ile hayata geçirilen veri koruma yükümlülüklerini yerine getirirken ve ek olarak kişisel verileri işlerken BPS Koruma ve Güvenlik içerisinde ve/veya BPS Koruma ve Güvenlik tarafından uyulması gereken esasları belirlemektedir.

BPS Koruma ve Güvenlik kendi bünyesinde bulunan kişisel veriler için yeterli ve makul güvenlik düzeyini uygulamayı, kişisel verilerin gizliliğine saygı duymayı ve işbu Politika’ya ve Politika’ya bağlı olarak uygulanacak araç, program ve süreçlere uygunluk sağlayacağını taahhüt eder.

 

2.POLİTİKANIN AMACI

Bu Politikanın temel amacı, BPS Koruma ve Güvenlik tarafından hukuka uygun bir biçimde yürütülen kişisel veri işleme faaliyeti ve kişisel verilerin korunmasına yönelik esasları ortaya koymak, bu kapsamda kişisel verileri şirketimiz tarafından işlenen kişileri aydınlatarak ve bilgilendirilerek şeffaflığı sağlamaktır.

 

3.POLİTİKANIN KAPSAMI

İşbu Politika; BPS Koruma ve Güvenlik ‘in tüm departmanlarını ve çalışanlarını kapsamaktadır.

İşbu Politika; BPS Koruma ve Güvenlik ‘in kişisel verileri işlemekte olduğu tüm faaliyetleri kapsayacak olup, her türlü olay ve eylemde uygulanacaktır.

İşbu Politika anonim hale getirilmiş ya da kişisel veri olmayan veriler hakkında uygulanmayacaktır.

Yeni mevzuatlar ile belirlenmesi durumunda, BPS Koruma ve Güvenlik ‘in kişisel veriler üzerinde yeni mevzuatlara uyumlu olacak şekilde daha yüksek bir güvenlik seviyesi sağlayacak ve mevzuat gerekliliklerine uyacaktır.

İşbu Politikanın BPS Koruma ve Güvenlik tarafından uygulanmasında hukuki bir engel olduğuna kanaat getirildiği durumlarda, BPS Koruma ve Güvenlik’in uygulayacağı adımları, gerek görülmesi durumunda Kurul’a da danışarak, yeniden belirleyecektir.

 

 

4.TANIMLAR

İşbu Politika'da kullanılan tanımlar aşağıda yer almaktadır:

Açık rıza

Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza

Anonim hale getirme

Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesi

Kişisel veri

Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi

Kişisel verilerin işlenmesi

Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem

KVK Kanunu

6698 sayılı Kişisel Verilerin Korunması Kanunu

KVK Kurulu

Kişisel Verileri Koruma Kurulu

KVK Kurumu

Kişisel Verileri Koruma Kurumu

Özel nitelikli kişisel veri

Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri

Veri işleyen

Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi

Kişisel veri sahibi

KVK Kanunu'nda "ilgili kişi" olarak addedilen, kişisel verisi işlenen gerçek kişi

Veri sorumlusu

Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi

Veri Sorumluları Sicili

Kişisel Verileri Koruma Kurulu gözetiminde Başkanlık tarafından tutulan veri sorumluları sicili (VERBİS)

Veri Envanteri

BPS Koruma ve Güvenlik ‘in iş süreçlerine bağlı olarak gerçekleştirmekte olduğu kişisel veri işleme faaliyetlerini; kişisel veri işleme amaçları, kişisel verilerin aktarıldığı alıcı grubu ve ilgili kişisel veri sahibi grubuyla ilişkilendirerek oluşturduğu ve detaylandırdığı envanter.

 

5.KİŞİSEL VERİ ENVANTERİ VE KİŞİSEL VERİLERİN SINIFLANDIRILMASI

BPS Koruma ve Güvenlik ‘in nezdinde; BPS Koruma ve Güvenlik ‘in meşru ve hukuka uygun kişisel veri işleme amaçları doğrultusunda, KVK Kanunu’nun 5. maddesinde belirtilen kişisel veri işleme şartlarından bir veya birkaçına dayalı ve bunlarla sınırlı olarak, başta kişisel verilerin işlenmesine ilişkin 4. maddede belirtilen ilkeler olmak üzere, KVK Kanunu’nda belirtilen genel ilkelere ve KVK Kanunu’nda düzenlenen tüm yükümlülüklere uyularak ve işbu Politika kapsamındaki kişisel veri sahipleri (Müşteriler, Potansiyel müşteriler, Çalışanlar, Çalışan adayları, İşbirliği İçinde olduğumuz tedarikçi çalışanları, tedarikçi yetkilileri, Hissedar/Ortak, Çalışan yakını, Referans vb.) ile sınırlı olarak;

 

  • Şirketimiz tarafından yürütülen ticari faaliyet gereklerinin yerine getirilmesi ve hizmetin ifası ile şirketimiz tarafından sunulan hizmetlerden ilgili kişileri faydalanmasını sağlamak,
  • Satış sonrası  hizmetleri planlanması ve/veya icra edilmesi,
  • Şirketimizin ilgili iş birimleri tarafından gerekli çalışmaların yapılması ve buna bağlı iş süreçlerinin yürütülmesi ve raporların yapılması,
  • Satış hizmetleri sunumu için alınan kişisel veriler,
  • Şirketimizin ticari, operasyonel ve iş stratejilerinin belirlenmesi ve uygulanması,
  • Şirketimiz ve/veya tedarikçilerimiz tarafından sunulan ürün ve hizmetler ile şirketimizle iş ilişkisi içerisinde olan üçüncü kişilerin hukuki ve ticari güvenliğinin temini, hukuksal süreçlerin takibi ve mevzuattan doğan hakların tesisi, kullanılması ve korunması,
  • Şirket faaliyetlerimizin, şirket prosedürleri veya ilgili mevzuata uygun olarak yürütülmesinin temini,
  • Kurumsal sürdürülebilirlik, kurumsal yönetim, stratejik planlama ve bilgi güvenliği süreçlerinin planlanması, denetimi ve icrası; iş sürekliliğin sağlanması,
  • İhtiyaca göre farklılıklar arz eden sektörlerdeki iş ortaklarımız ile yürütülen işlerin icrası ve ilişkilerin yönetimi,
  • Kamu Kurum, Emniyet Müdürlüğü Özel Güvenlik Birimi gibi  otoritelerce öngörülen bilgi paylaşımı, raporlama, bilgilendirme yükümlülüklerinin yerine getirilmesi,
  • Yasal mevzuattan kaynaklanan bilgi ve belge saklama yükümlülüklerinin yerine getirilmesi,
  • Şirketimizce ihtiyaç duyulan planlama ve istatistik faaliyetlerinin yürütülmesi,
  • Şirketimizin ticari ve iş stratejilerinin belirlenmesi ve uygulanması,
  • Finans, iletişim, pazar araştırması ve satın alma operasyonlarımızın yürütülmesi,
  • Şirket içi sistem ve uygulama yönetimi operasyonlarının sürdürülmesi,
  • Hizmetlerin pazarlama süreçlerinin planlanması ve icra edilmesi,
  • Şirketin sunduğu hizmetlere bağlılık oluşturulması ve/veya arttırılması süreçlerinin planlanması ve/veya icra edilmesi,
  • Hukuki süreçlerimizin yönetilmesi, tarafınıza kesintisiz olarak daha iyi ve güvenilir hizmet verilebilmesi amaçlarıyla 6698 sayılı Kanun’un 5. ve 6. maddelerinde belirtilen kişisel veri işleme şartları ve amaçları dahilinde işlenecektir.

 

 

BPS Koruma ve Güvenlik ‘in Kişisel Verileri Koruma Kurumu tarafından çıkarılan Veri Sorumluları Sicili Yönetmeliği uyarınca kişisel veri envanteri oluşturmuştur. Bu veri envanterinde veri kategorileri, verinin kaynağı, veri işleme amaçları, veri işleme süreci, verilerin aktarıldığı alıcı grupları ve saklama süreleri yer almaktadır.

 

Bu kapsamda BPS Koruma ve Güvenlik ‘in içerisinde aşağıdaki türlerde veri kategorileri bu türlerle sınırlı olmamakla beraber bulunmaktadır ;

 

Kimlik bilgisi, iletişim bilgisi,  özlük bilgisi, hukuki işlem bilgisi, müşteri işlem bilgisi, fiziksel mekan güvenliği bilgisi,  finans bilgisi, mesleki deneyim bilgisi, pazarlama satış bilgisi, görsel ve işitsel kayıt bilgisi, ırk ve etnik köken bilgisi, din bilgisi (eski kimlikte), dernek üyeliği (cv’de), vakıf üyeliği (cv’de), sağlık bilgisi ile ceza mahkumiyeti ve güvenlik tedbirleri bilgisi ve diğer bilgiler ( imza, unvan, eğitmen) veri kategorisi.

6. KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN GENEL İLKELER

  6.1.Hukuka Uygunluk

   Şirketimiz, Anayasa başta olmak üzere, KVK Kanunu ve ilgili mevzuata uygun olarak, kişisel   verileri işleme faaliyetlerini hukuka ve dürüstlük kurallarına uygun olarak yürütür.

  6.2.Verilerin Doğru ve Gerektiğinde Güncel Olması

Şirketimiz; kişisel veri sahiplerinin temel haklarını ve kendi meşru menfaatlerini dikkate  alarak işlediği kişisel verilerin doğru ve güncel olmasını sağlamakta, bu doğrultuda gerekli  tedbirleri almaktadır. Bu kapsamda tüm kişi kategorilerine ilişkin veriler güncel tutulmaya çalışılmakta, doğruluğu ve güncelliğini sağlamaya yönelik her türlü idari ve teknik tedbirler alınmaktadır. (Her birim ve veri işleyen personel işledikleri verilerin güncelliğinin sağlanması konusunda sorumluluk taşımaktadır.)

   6.3.Belirli, Meşru ve Açık Amaç

Şirketimiz; yalnızca açık ve kesin olarak belirlenen meşru amaçlarla kişisel veri işlemekte olup, bu amaçlar dışında veri işleme faaliyetinde bulunmamaktadır. Şirketimiz tarafından kişisel verilerin işleneceği amaç işleme faaliyeti öncesi belirlenmekte ve “Kişisel  Veri Envanteri” ne de işlenmektedir.

 

   6.4.Verilerin İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olması

Şirketimiz tarafından kişisel veriler, belirlenen amaçların gerçekleştirilebilmesi için gerektiği ölçüde işlenmektedir. Sonradan kullanılabileceği varsayımı ile veri işleme faaliyeti yürütülmemektedir. Bu kapsamda süreçler sürekli gözden geçirilmekte, kişisel verilerin azaltılması ilkesi hayata geçirilmeye çalışılmaktadır.

 

   6.5.Kişisel Verilerin Gerektiği Kadar Muhafaza Edilmesi ve Sonrasında Silinmesi

Şirketimiz, kişisel   verileri ancak ilgili mevzuatta belirtildiği veya işlendikleri amaç için gerekli olan süre kadar muhafaza etmektedir. Bu kapsamda, Şirketimiz öncelikle ilgili mevzuatta kişisel verilerin saklanması için bir süre öngörülüp öngörülmediğini tespit etmekte, bir süre belirlenmişse bu süreye uygun davranmakta, bu kapsamda hukuk ve ceza zamanaşımı sürelerini dikkate almakta ve kişisel verileri işlendikleri amaç için gerekli olan süre kadar saklamaktadır. Sürenin bitimi veya işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel veriler Şirketimizin “Veri İmha Politikası”na göre silinmekte, yok edilmekte veya anonim hale getirilmektedir.

 

 

7.KİŞİSEL VERİLERİN İŞLENME ŞARTLARI

Kişisel veriler yalnızca aşağıda belirtilen yasal dayanaklar kapsamında toplanabilir, işlenebilir veya kullanılabilir. 

 

7.1Açık Rıza

Kişisel verilerin korunması Anayasal bir hak olup, temel hak ve hürriyetler, özlerine dokunulmaksızın yalnızca Anayasa’nın ilgili maddelerinde belirtilen sebeplere bağlı olarak ve ancak kanunla sınırlanabilir. Anayasa'nın 20. maddesinin üçüncü fıkrası gereğince, kişisel veriler ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilecektir. Şirketimizce, kişisel verilerin işlenmesinde ancak aşağıdaki şartlar varsa ilgili kişinin açık rızası aranmaksızın kişisel verileri işlenmektedir;

 

    • Açık rıza özgür irade ile verilmelidir, aksi durumda hükümsüzdür.

 

    • İlgili kişiden yazılı olarak veya elektronik ortamda açık rıza alınacaktır. Bu durumlara ek olarak kayıt alınması durumlarda sözlü rıza da kabul edilebilir. Bu şekilde açık rızalar ispatlanabilir şekilde kaydedilecektir. Açık rıza alınmadan önce kişilere ilgili hakları bildirilecektir.

 

    •  Özel nitelikli kişisel verilerin işlenmesi gerekli durumlarda açık rızalar kanıtlanabilir şekilde alınacaktır.

 

    •  Kişisel veri işleyen departmanlar, işledikleri kişisel veriler toplanırken ilgili veri sahibinin açık rızasının varlığının ve geçerliliğinin kontrolünü sağlamakla yükümlüdür. Açık rıza olmadığının tespit edilmesi durumunda veri işleme faaliyeti durdurulacaktır.

 

7.2.Kişisel Verilerin Açık Rıza Alınmaksızın İşlenmesi

      1. Kanunlarda açıkça öngörülmesi,
      2. Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
      3. Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
      4. Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
      5. Veri sahibinin kendisi tarafından alenileştirilmiş olması,
      6. Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
      7. Veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

 

7.3.Özel Nitelikli Kişisel Verilerin İşlenmesi

      1. Özel nitelikli kişisel veriler yalnızca veri sahibinin ispatlanabilir açık rızasının bulunması ya da  kanunlarda açıkça öngörüldüğü hallerde işlenebilir.
      2. Sağlık ve cinsel hayata ilişkin kişisel veriler ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla açık rıza almaksızın işlenebilir. Bu tarz bir işleme durumunda, veri işleyen sır saklama yükümlülüğü altındadır.
      3. Özel nitelikli kişisel veriler işlenirken, Kurul tarafından belirlenen yeterli önlemler alınacaktır.
      4. Özel nitelikli kişisel verilerin işlenmesi gereken her durumda KVKK Komitesi bilgilendirilecektir.

 

 

7.4.Çalışanların Verilerinin İşlenmesi

      1. Yukarıda belirlenen tüm kişisel veri işleme ilkeleri, çalışanların kişisel verileri üzerinde de uygulanacaktır.
      2.  CV toplama kanallarını kullanmadan iş başvurusunda bulunan kişilerin kişisel verileri iş ilişkisini başlatmak amacı ile açık rızaları Çalışan adayı aydınlatma metninin ekinde yer alan açık rıza beyan formu okunup imzalatıldıktan sonra  işlenebilir. Çalışan adayının açık rızası halinde formda belirtilen süre kadar( 1 yıl )  saklanabilecektir.
      3.  İş ilişkisi ile bağlantılı ve sözleşmenin ifası ile ilgili olan çalışan; kişisel verileri çalışanların açık rızası olmadan işlenebilir. Aksi durumlarda, çalışanın onayı, hukuki hükümlülük, meşru menfaat ve benzeri bir gerekçe olmalıdır.

 

8. KİŞİSEL VERİLERİN AKTARILMASI

8.1.Türkiye’de Bulunan Üçüncü Kişilere Aktarım

8.1.1. Kişisel veriler yalnızca ilgili kişinin açık rızası bulunduğu durumlarda Türkiye’de  bulunan üçüncü kişilere aktarılabilir.

8.1.2. Kişisel veriler kanunun 5. Maddesinin 2. fıkrasında belirtilen koşullardan en az birinin geçerli olması halinde, kişinin açık rızası olmadan Türkiye’de bulunan üçüncü kişilere aktarılabilir.

8.1.3.Kişisel verilerin Türkiye içerisindeki aktarımı sırasında uyulacak yükümlülüklere uygunluğun sağlanmasından aktarımı yapan ilgili departman sorumludur.

 

            8.2.Yurt Dışında Bulunan Üçüncü Kişilere Aktarım

8.2.1.Kişisel verilerin yurtdışına aktarılmasına ilişkin olarak, KVKK’nın 9. maddesi doğrultusunda veri sahibinin açık rızası aranmaktadır.

8.2.2.Ancak, özel nitelikli kişisel veriler dahil, kişisel verilerin veri sahibin açık rızası olmaksızın işlenmesine izin verilen şartların varlığı halinde, kişisel verinin aktarılacağı yabancı ülkede, yeterli korumanın bulunması kaydıyla veri sahibinin açık rızası aranmaksızın da BPS Koruma ve Güvenlik tarafından kişisel veriler yurtdışına aktarılabilecektir.

8.2.3.Eğer aktarım yapılacak ülke Kurul tarafından yeterli korumanın bulunduğu ülkeler arasında belirlenmemiş ise, BPS Koruma ve Güvenlik  ilgili ülkedeki veri sorumlusu/veri işleyen yeterli korumayı yazılı olarak taahhüt edecek ve Kurul’dan izin alınacaktır.

9.Kişisel Sağlık Verilerinin Aktarımı

9.1.1.Kişisel sağlık verileri anonim hale getirilmeden, mevzuata uygun olmadan, gerekli izin ve onaylar alınmadan üçüncü kişilere aktarılamaz.

9.1.2.Kişisel sağlık verileri kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amaçları çerçevesinde ve kanunlarda açıkça öngörülmüş olması durumunda kamu kurum ve kuruluşlarına aktarılabilir.

9.1.3.Sağlık verilerinin aktarımı sırasında uyulacak yükümlülüklere uygunluğun sağlanmasından aktarımı yapan ilgili departman sorumludur.

 

10.GİZLİLİK

BPS Koruma ve Güvenlik içerisinde kanun kapsamında işlenen kişisel verilerin tamamı gizlidir. Çalışanlar, kişisel veriler üzerinde yalnızca kendilerine tanımlanan yetki dahilinde toplama, işleme, aktarım, kullanım, silme, yok etme, anonimleştirme faaliyetlerini yürütebilir. Aksi durumda çalışanların bu faaliyetleri yürütmesi yasaktır. Ek olarak, çalışanlar kişisel verileri bireysel veya ticari amaçlarla kullanamaz. Personelle imzalanan gizlilik sözleşmesinde ayrıca belirtilmiştir.

11.GÜVENLİK

Kişisel verilerin güvenliği sırasıyla çalışan, departman ve BPS Koruma ve Güvenlik sorumluluğundadır. Kişisel verilerin kaybolmasına, hukuka aykırı olarak işlenmesine, kötüye kullanılmasına, yetkisiz kişilerce her türlü işleme alınmasına karşı korunması gerekmektedir. Bu güvenlik önlemleri elektronik ve fiziki olarak saklanan kişisel verilerin tamamını kapsamaktadır.

BPS Koruma ve Güvenlik, kişisel verilerin hukuka uygun işlenmesini sağlamak için, teknolojik imkânlar ve uygulama maliyetine göre teknik ve idari tedbirler almaktadır.

 

11.1. Kişisel Verilerin Hukuka Uygun İşlenmesini Sağlamak ve Kişisel Verilere Hukuka Aykırı Erişimi Engellemek İçin Alınan Teknik Tedbirler

 

BPS Koruma ve Güvenlik, kişisel verilerinizi korumak amacıyla her türlü teknik, teknolojik güvenlik önlemlerini almış ve olası risklere karşı kişisel verilerinizi korumaktadır. Güvenlik tedbirlerinden bazıları;

  • Ağ güvenliği ve uygulama güvenliği sağlanmaktadır.
  • Bilgi teknolojileri sistemleri tedarik, geliştirme ve bakımı kapsamındaki güvenlik önlemleri alınmaktadır.
  • Güncel anti-virüs sistemleri kullanılmaktadır.
  • Güvenlik duvarları kullanılmaktadır.
  • Saldırı tespit ve önleme sistemleri kullanılmaktadır.
  • Şifreleme yapılmaktadır. Kişisel veri içeren sistemlere kullanıcı adı ve şifre kullanılmak suretiyle erişim sağlanmaktadır
  • Çalışanlar için yetki matrisi oluşturulmuştur
  • Erişim, bilgi güvenliği, kullanım, saklama ve imha konularında kurumsal politikalar hazırlanmış ve uygulamaya başlanmıştır.
  • Çalışanlar için veri güvenliği konusunda belli aralıklarla eğitim ve farkındalık çalışmaları yapılmaktadır.
  • Çalışanlar için veri güvenliği hükümleri içeren disiplin düzenlemeleri mevcuttur.
  • Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmaktadır.
  • Kişisel veri içeren fiziksel ortamların dış risklere (yangın, sel vb.) karşı güvenliği sağlanmaktadır.
  • Kişisel veri içeren ortamların güvenliği sağlanmaktadır.
  • Kişisel veriler mümkün olduğunca azaltılmaktadır.

 

11.2.Kişisel Verilerin Hukuka Uygun İşlenmesini Sağlamak ve Kişisel Verilere Hukuka Aykırı Erişimi Engellemek İçin Alınan İdari Tedbirler

 

11.2.1. Kuruluş içerisinde bilgi güvenliği operasyonu ve uygulamasının başlatılması ve kontrol edilmesi amacıyla bir yönetim çerçevesi kurulmuştur.

          1. KVKK Komitesi ve İrtibat kişisi atanmış ve görev tanımları belirlenmiştir.
          2. KVKK Başvuru kanalları belirlenmiştir.
          3. İhlal, talep/şikayet yönetim iş akışları belirlenmiştir.

11.2.2. Kişisel verilerin işlenmesi ve korunmasına ilişkin ana esaslar, politika ve prosedürler belirlenmiştir.

    1. Veri İşleme ve Saklama Politikası Oluşturulmuştur.
    2. Kişisel Verilerin İşlenmesi ve Korunması Politikası Oluşturulmuştur.
    3. Bilgi Güvenliği Yönetim Politikası Oluşturulmuştur.
    4. Özel Nitelikli Kişisel Veri Güvenliğine Yönelik Politika Oluşturulmuştur.

          11.2.3. İşlenen kişisel veriler kapsamında GAP analizi yapılmış, mevcut risk ve tehditler belirlenmiştir.

11.2.4. Çalışanlar için kişisel veri güvenliği konusunda eğitim ve farkındalık çalışmaları yapılmaktadır.

11.2.5. Çalışanlar için güvenlik politikası, ana esaslar ve prosedürlerine uymaması durumunda devreye girecek bir disiplin süreci mevcuttur.

          11.2.6. Gizlilik taahhütnameleri yapılmaktadır.

          11.2.7. Çalışan, müşteri, tedarikçi vs. için aydınlatma metni yayımlanmıştır.

          11.2.8. Açık rıza alınması gereken süreçler belirlenmiş ve uygulanmaktadır.

11.2.9. Kurum içi periyodik ve/veya rastgele denetimler yapılmakta ve yaptırılmaktadır. Denetimler sonucunda ortaya çıkan gizlilik ve güvenlik zafiyetlerini gidermektedir.

11.2.10. İşleme amacı bakımından anılan kişisel verilere ihtiyaç olup olmadığı değerlendirilmekte, kişisel veriler mümkün olduğunca azaltılmaktadır.

11.3.Kişisel Verilerin Kanuni Olmayan Yollarla İfşası Durumunda Alınacak Tedbirler

İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde, Şirketimiz bu durumu en kısa sürede (Maksimum 72 saatte) ilgili veri sahibine ve Kurul'a bildirecektir.

 

12.BİNA GİRİŞLERİ İLE BİNA İÇERİSİNDE YAPILAN KİŞİSEL VERİ İŞLEME FAALİYETLERİ ile ZİYARETÇİLERİMİZE SAĞLANAN İNTERNET ERİŞİMLERİNE İLİŞKİN KAYITLARIN SAKLANMASI

12.1. BPS Koruma ve Güvenlik tarafından güvenliğin sağlanması amacıyla, BPS Koruma ve Güvenlik ‘in binalarında güvenlik kamerasıyla izleme faaliyeti ile misafir giriş çıkışlarının takibine yönelik kişisel veri işleme faaliyetinde bulunulmaktadır.

12.2.Güvenlik kameraları kullanılması suretiyle BPS Koruma ve Güvenlik tarafından kişisel veri işleme faaliyeti yapılmaktadır. Kamera kayıtları 1 ay süreyle saklanmaktadır.

12.3. BPS Koruma ve Güvenlik güvenlik kamerası ile izleme faaliyeti kapsamında; şirketin ve diğer kişilerin güvenliğini sağlamaya ilişkin menfaatlerini korumak gibi amaçlar taşımaktadır.

 12.4.Bu izleme faaliyeti, KVKK ve Özel Güvenlik Hizmetlerine Dair Kanun ve ilgili mevzuata uygun olarak sürdürülmektedir.

12.5.Bu kapsamda kamera ile izleme yapıldığı bilgisi, tüm çalışan ve ziyaretçilere duyurulmakta ve kişiler aydınlatılmaktadır. Bildirim yazıları izleme yapılan alanların girişlerine asılmaktadır.

12.6. BPS Koruma ve Güvenlik tarafından KVK Kanunu’nun 12. maddesine uygun olarak, kamera ile izleme faaliyeti sonucunda elde edilen kişisel verilerin güvenliğinin sağlanması için gerekli teknik ve idari tedbirler alınmaktadır.

12.7. BPS Koruma ve Güvenlik tarafından güvenliğin sağlanması amacı ve bu Politika’ da belirtilen diğer amaçlarla; BPS Koruma ve Güvenlik tarafından merkez, depo, şubelerimiz içerisinde kaldığınız süre boyunca talep eden ziyaretçilerimize internet erişimi sağlanabilmektedir. Bu durumda internet erişimlerinize ilişkin log kayıtları 5651 Sayılı Kanun ve bu Kanuna göre düzenlenmiş olan mevzuatın amir hükümlerine göre tutulmakta; bu kayıtlar ancak yetkili kamu kurum ve kuruluşları tarafından talep edilmesi halinde veya BPS Koruma ve Güvenlik içinde gerçekleştirilecek denetim süreçlerinde ilgili hukuki yükümlülüğümüzü yerine getirmek amacıyla işlenmektedir.

13.KİŞİSEL VERİLERİN İMHASI (SİLİNMESİ, YOK EDİLMESİ VE ANONİMLEŞTİRİLMESİ) ŞARTLARI

Türk Ceza Kanunu’nun 138. Maddesinde, KVK Kanunu’nun 7. Maddesinde ve Kurum tarafından çıkarılan “Kişisel Verilerin Silinmesi, Yok Edilmesi ve Anonimleştirilmesi hakkında yönetmelik” uyarınca; ilgili kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde BPS Koruma ve Güvenlik’in kendi kararına istinaden veya kişisel veri sahibinin talebi üzerine kişisel veriler silinir, yok edilir veya anonim hâle getirilir. BPS Koruma ve Güvenlik bu konuda yönetmelik hükümlerine göre bir Politika oluşturmuş ve bu Politika uyarınca verinin niteliğine göre imha yapılmaktadır. Bu yönetmelik uyarınca BPS Koruma ve Güvenlik tarafından periyodik imha tarihleri belirlenmiş olup (yılda 1),  yükümlülüğün başlaması ile beraber çeşitli aralıklarla periyodik imhanın yapılacağına göre takvim oluşturulmuştur. ( Veri imha takip çizelgesi ile takip edilmektedir.)

 

  1. İHLAL OLAYLARI

BPS Koruma ve Güvenlik ’de çalışan her bir çalışan, 6698 sayılı Kişisel Verilerin Korunması Kanunu ve işbu Politika kapsamında belirtilen kısıtlamalara aykırı olduğunu düşündüğü bir eylem veya olayı departman yöneticilerine durumu fark ettiği en kısa sürede yazılı olarak aktarmak ile yükümlüdür. Aktarmaması halinde doğabilecek zarar ve cezai yükümlülük çalışana rücu edilebilecektir.

Yapılan bilgilendirmeler sonucunda BPS Koruma ve Güvenlik’in KVKK komitesi mevzuatı dikkate alarak ihlal eylem veya olaylarına ilişkin olarak ilgili kişi veya yetkili kuruma (KVKK) bildirim yapmakla yükümlü tutulmuştur.

 

  1. SORUMLULUKLAR

BPS Koruma ve Güvenlik’in içerisinde sorumluluklar sırasıyla çalışan, departman şeklindedir. Bu kapsamda;

15.1.Çalışanlar kendi çalışma alanları içerisinde bulunan basılı veya bilgisayar ortamındaki tüm kişisel verilerden sorumludur ve bu veriler üzerindeki her türlü işlemede kanunda ve işbu Politika da belirtilen şartlara uyacaktır.

15.2.Departman yöneticileri, departmanları içerisindeki çalışanların işlediği basılı veya bilgisayar ortamındaki tüm kişisel verilerden sorumludur ve bu veriler üzerindeki her türlü işleme için kanunda ve işbu Politika da belirtilen şartlara departmanının uygun çalıştığını garanti etmektedir.

15.3.Departmanın yöneticileri, kontroller ve denetimler yaparak kendi departmanlarında işbu Politikanın uygulanmasına katkı verecektir.

15.4.Yönetici konumundaki çalışanlar kendi alanlarına giren kişisel veri işleme faaliyetlerinden sorumludur ve kişisel verilerin kanuna ve işbu Politikaya uygun işlenmesini sağlayacaktır.

15.5.Departmanlar kişisel veriler ile ilgili yeni veri işleme, veri silme, belirsizlik ve benzeri her türlü durumda BPS Koruma ve Güvenlik’in KVKK Komitesini bilgilendirmek ile yükümlüdür. Bilgilendirmemesi halinde doğabilecek zarar ve cezai yükümlülük çalışana rücu edilebilecektir.

  1. YÜRÜTME

İşbu Politikanın yürütülmesinden BPS Koruma ve Güvenlik tarafından KVK Kanunu düzenlemelerine uygun hareket edilmesini ve Kişisel Verilerin Korunması ve İşlenmesi Standardının yürürlüğünü sağlamak için yönetim yapısı kurulmuştur.

BPS Koruma ve Güvenlik bünyesinde işbu Politika ve bu Politikaya bağlı ve ilişkili diğer Politikaları yönetmek üzere Şirket üst yönetiminin kararı gereğince Kişisel Verilerin Korunması Komitesi “Komite” kurulmuştur.

 

  1. POLİTİKA’NIN YÜRÜRLÜK TARİHİ

          İşbu Politika 23.11.2020  tarihinde yürürlüğe girmiştir.

 

 

G-D1F03YELV7