BİLGİ GÜVENLİĞİ POLİTİKASI |
1. AMAÇ:
Bu politikanın amacı; temel bilgi güvenliği prensiplerini tanımlamak ve bu prensiplere üst yönetimin verdiği desteği ifade etmektir.
2. KAPSAM:
Bu politikanın kapsamı tüm organizasyon ve bilgi varlıklarıdır.
3. SORUMLULUKLAR:
3.1. Genel Müdür
Politikanın şirketin bilgi güvenliği ihtiyaçlarını karşılar nitelikte bulunmasından ve politikanın uygulanması için gerekli kaynak ve gözetimin sağlanmasından, politikanın en az yılda bir kez veya politikada değişiklik gerektirebilecek durumlarda gözden geçirilmesinden sorumludur.
3.2. BGYS Temsilcisi
Genel Müdür tarafından görevlendirilen BGYS Temsilcisi, Bilgi Güvenliği Politikasının şirket ihtiyaçlarını karşılar nitelikte bulunmasından, uygulanması için gerekli destek ve gözetimin sağlanmasından sorumludur.
3.3. Tüm Personel
Bilgi Güvenliği Politikasının gereklerinin görev alanlarının gerektirdiği biçimde yerine getirilmekten sorumludur.
4. TANIMLAR
BGYS : Bilgi Güvenliği Yönetim Sistemi
Gizlilik : Bilginin içeriğinin görüntülenmesinin, sadece bilgiyi/veriyi görüntülemeye izin verilen kişilerin erişimi ile kısıtlanmasıdır.
Bütünlük : Bilginin yetkisiz veya yanlışlıkla değiştirilmesinin, silinmesinin veya eklemeler çıkarmalar yapılmasının tespit edilebilmesi ve tespit edilebilirliğin garanti altına alınmasıdır.
Erişilebilirlik: Bilginin ihtiyaç duyulduğu her an kullanıma hazır olmasıdır.
5. UYGULAMA
Misyon :
Müşterilerimize yenilikçi, güvenilir ve yüksek kaliteli yazılım çözümleri sunarak, işletmelerinin dijital dönüşümünü hızlandırmak.
Vizyon :
Dünya genelinde birçok sektörde lider bir yazılım şirketi olmak ve müşterilerimizin işlerini dijitalleştirmelerine yardımcı olmak için sürekli olarak teknolojik yenilikler sunmak.
BGYS Politikası
· Bilgi varlıklarını yönetmek, varlıkların güvenlik değerlerini, ihtiyaçlarını ve risklerini belirlemek, güvenlik risklerine yönelik kontrolleri geliştirmek ve uygulamak
· Bilgi varlıkları, değerleri, güvenlik ihtiyaçları, zafiyetleri, varlıklara yönelik tehditlerin, tehditlerin sıklıklarının saptanması için yöntemlerin belirleyeceği çerçeveyi tanımlamak.
· Tehditlerin varlıklar üzerindeki gizlilik, bütünlük, erişilebilirlik etkilerini değerlendirmeye yönelik bir çerçeveyi tanımlamak.
· Risklerin işlenmesi için çalışma esaslarını ortaya koymak.
· Hizmet verilen kapsam bağlamında teknolojik beklentileri gözden geçirerek riskleri sürekli takip etmek
· Tabi olduğu ulusal veya uluslararası düzenlemelerden, yasal ve ilgili mevzuat gereklerini yerine getirmekten, anlaşmalardan doğan yükümlülüklerini karşılamaktan, iç ve dış paydaşlara yönelik şirket sorumluluklarından kaynaklanan bilgi güvenliği gereksinimlerini sağlamak.
· Hizmet sürekliliğine yönelik bilgi güvenliği tehditlerinin etkisini azaltmak ve sürekliliğe katkıda bulunmak
· Gerçekleşebilecek bilgi güvenliği olaylarına hızla müdahale edebilecek ve olayın etkisini en aza indirecek yetkinliğe sahip olmak
· Maliyet etkin bir kontrol altyapısı ile bilgi güvenliği seviyesini zaman içinde korumak ve iyileştirmek.
· Tüm personele Bilgi Güvenliği Yönetim Sistemi Politikası, Süreçler vb. konularda farkındalık, bilgilendirme ve bilinçlendirme eğitimleri vermek. Bu eğitim belirli periyotlarda tekrarlamak.
· Bilgi Güvenliği Yönetim Sistemi kapsamındaki uygulama, denetim, düzeltici faaliyet sonuçlarını göz önünde bulundurarak, sistemi sürekli iyileştirmek.
· Bilgi Güvenliği Yönetim Sistemini firma bünyesindeki diğer yönetim sistemleriyle birlikte bütünleşik olarak yürütmek.
· Kişisel Verilerin Korunması Kanunu (KVKK) gereksinimlerini anlamak ve karşılamak için çalışmalar yapmak.
· Firma itibarını geliştirmek, bilgi güvenliği temelli olumsuz etkilerden korumak.
6. YAPTIRIM
Bu politikaya uygun olarak çalışmayan tüm personel hakkında Disiplin Prosedürü hükümleri uygulanır.
KİŞİSEL VERİLERİN İŞLENMESİ VE KORUNMASI POLİTİKASI
1. AMAÇ VE KAPSAM
Kişisel verilerin korunması, EANSHIP A.Ş. veya “Şirket”) ve bağlı ortaklıkları için büyük hassasiyet arz etmekte olup Şirketimizin öncelikleri arasındadır. Bu Kişisel Verilerin İşlenmesi ve Korunması Politikası (“Politika”) ile müşterilerimizin, potansiyel müşterilerimizin, web sitesi kullanıcılarının, çalışanlarımızın, çalışan adaylarımızın, EANSHIP A.Ş. eski çalışanlarının, şirket hissedarlarının, şirket yetkililerinin, ziyaretçilerimizin kişisel verilerinin 6698 sayılı Kişisel Verilerin Korunması Kanunu’nda (“Kanun”) öngörülen düzenlemelere göre toplanması, işlenmesi ve korunması ilkeleri belirlenmektedir.
2. KİŞİSEL VERİLERİN İŞLEMESİ POLİTİKASI
2.1. Kişisel Verilerin İşlenmesine İlişkin Uygulanacak İlkeler
EANSHIP A.Ş. tarafından işlenen tüm kişisel KVKK ve ilgili mevzuat uyarınca işlenmektedir. KVKK kapsamında belirtilen ilkeler uyarınca da kişisel veriler:
· Hukuka ve dürüstlük kuralına uygun işlenecektir.
· Kişisel verilerin doğru ve gerektiğinde güncel olması sağlanacaktır.
· Belirli, açık ve meşru amaçlarla işlenecektir.
· İşlendikleri yasal amaçla bağlantılı, sınırlı ve ölçülü olarak kullanılacak ve açıklanacaktır.
· İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilecektir.
2.2. EANSHIP A.Ş.’nun Kişisel Verileri İşleme Amaçları
EANSHIP A.Ş. KVKK’nın 10. maddesine uygun olarak, kişisel verilerin elde edilmesi sırasında ilgili kişileri aydınlatmaktadır. Bu kapsamda, EANSHIP A.Ş. ve varsa temsilcisinin kimliği, kişisel verilerin hangi amaçla işleneceğini, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplama yöntemi ve hukuki sebebi ile ilgili kişileri KVKK madde 11 kapsamında sahip olduğu hakları konusunda aydınlatma yapmaktadır.
EANSHIP A.Ş. KVKK 5. ve 6. Maddelerinde belirtilen kişisel veri işleme şartları içerisindeki aşağıdaki koşullarla sınırlı olarak ve aşağıdaki amaçlar doğrultusunda kişisel verileri işlemektedir.
2.2.1 Koşullar
· Kişisel verilerin işlenmesine ilişkin EANSHIP A.Ş.’nin ilgili faaliyette bulunmasının kanunlarda açıkça öngörülmesi,
· Kişisel verilerin EANSHIP A.Ş. tarafından işlenmesinin sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili ve gerekli olması; [Kişisel bilgiler sözleşme öncesinde teklif hazırlanması veya ilgili kişinin sözleşme sonucuyla bağlantılı taleplerini karşılamak amacıyla işlenebilir.]
· Kişisel verilerin alenileştirilmiş olması şartıyla; alenileştirme amacıyla sınırlı bir şekilde EANSHIP A.Ş. tarafından işlenmesi,
· Kişisel verilerin EANSHIP A.Ş. tarafından işlenmesinin EANSHIP A.Ş.’nin veya veri sahiplerinin veya üçüncü kişilerin haklarının tesisi, kullanılması veya korunması için zorunlu olması,
· Kişisel veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla EANSHIP A.Ş.’nin meşru menfaatleri için kişisel veri işleme faaliyetinde bulunulması, [Meşru menfaatler, hukuka, ahlaka ve adaba uygun olan ticari ve maddi menfaatleri de içerir]
· EANSHIP A.Ş. tarafından kişisel veri işleme faaliyetinde bulunulmasının kişisel veri sahibinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması ve bu durumda da kişisel veri sahibinin fiili veya hukuki geçersizlik nedeniyle rızasını açıklayamayacak durumda bulunması,
· Kişisel veri sahibinin sağlığı ve cinsel hayatı dışındaki özel nitelikli kişisel veriler açısından kanunlarda öngörülmüş olması.
Yukarıda belirtilen şartların bulunmaması halinde, EANSHIP A.Ş. kişisel veri işleme faaliyetinde bulunmak için kişisel veri sahiplerinin açık rızalarına başvurmaktadır.
2.2.2 Amaçlar
Kişisel verileriniz aşağıda belirtilen amaçlar doğrultusunda işlenmektedir:
· Şirket içerisinde gerekli operasyonel faaliyetlerin yürütülmesi,
· Sizin tüketim ve alım kriterlerinize uygun ürün ve hizmetlerin önerilebilmesi için gerekli çalışmaların ilgili iş birimi ve iş ortakları ile yapılması,
· Sunulan ürün ve hizmetlerin sizin beğeni, kullanım alışkanlıkları ve ihtiyaçlarınıza göre özelleştirilmesi
· Pazar araştırması anketlerinin yürütülmesi;
· Müşteri portföyümüzü ve web sitesi ziyaretçilerimizi analiz edilebilmesi ve arşivlenmesi;
· Şirket çalışanları için iş akdi ve/veya mevzuattan kaynaklı yükümlülüklerin yerine getirilmesi,
· İnsan kaynağı yönetiminin Şirketimiz tarafından sağlanarak gerçek kişilerin haklarının temini, personelimizin özlük işlemlerinin yapılması ve ücretlerinin ödenebilmesi, iş başvurularını değerlendirebilmesi;
· Şirket çalışanları için iş akdi ve/veya mevzuattan kaynaklı yükümlülüklerin yerine getirilmesi,
· İş ilişkisi kurduğumuz gerçek kişilerin ve Şirketimizin bu ilişkilerden kaynaklı hukuki emniyetinin sağlanması;
· Yetkili kişi ve/veya kuruluşlara mevzuattan kaynaklı bilgi verilmesi,
· Verileri doğru ve güncel olmasının sağlanması.
2.3. Çalışan Adaylarının Kişisel Verilerinin İşlenmesi
EANSHIP A.Ş. çalışan adaylarının işe alım sürecinde kişisel verilerini İş Kanunu ve sair ilgili mevzuatta işverene yüklenen yasal yükümlülükleri yerine getirmek, EANSHIP A.Ş. İnsan Kaynaklarının belirlediği faaliyetlerin icrası, işe alımın gerçekleştirilmesi amacıyla aydınlatma yükümlülüğünü de yerine getirerek ve esas olarak kişinin açık rızasını alarak işlemektedir. Çalışan adaylarının kişisel verileri iş görüşmesi veya gerek yazılı gerekse elektronik herhangi bir araçla toplanıp, işlenmektedir. EANSHIP A.Ş. uluslararası bir şirket olduğundan ve farklı ülkelerde bilişim sistemlerini tuttuğundan ve yeni adayların değişik pozisyonlarda, yerlerde değerlendirilmesi mümkün olduğundan yine KVKK hükümlerindeki düzenlemelere uygun olarak kişisel verilerin korunmasına ilişkin yeterli korumanın bulunduğu diğer ülkelerde ki EANSHIP A.Ş. bağlı şirketlerine aktarılabilmektedir. EANSHIP A.Ş. bu verileri yasal bir şekilde talep edilmesi halinde ilgili resmi kurum ve kuruluşlarla paylaşabilir. Çalışan adaylarının kişisel verilerinin işlenmesindeki temel gaye işe alım olmakla birlikte aşağıdaki amaçların gerçekleştirilmesi için de kişisel veriler işlenebilmektedir:
· Adayın niteliğini, tecrübesini ve ilgisini açık pozisyona uygunluğunu değerlendirmek,
· Gerektiği takdirde, adayın ilettiği bilgilerin doğruluğunun kontrolünü yapmak veya üçüncü kişilerle (referanslar gibi) iletişime geçip aday hakkında araştırma yapmak,
· Başvuru ve işe alım süreci hakkında aday ile iletişime geçmek veya uygun olduğu takdirde, sonradan yurtiçinde veya yurtdışında açılan herhangi bir pozisyon için aday ile iletişime geçmek,
· İlgili mevzuatın gereklerini ya da yetkili kurum veya kuruluşun taleplerini karşılamak
Çalışan adaylarının kişisel verileri de işbu KVK Politikasının “Kişisel Verilerin Saklanma Süreleri” başlığında değinilen sürelere uygun tutulmaktadır. Bu sürenin ikmaliyle birlikte kişisel veriler imha edilmekte veya anonim hale getirilmektedir.
3. KİŞİSEL VERİLERİN GÜVENLİĞİ
EANSHIP A.Ş. KVKK madde 12’ye uygun olarak, kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, bu verilere hukuka aykırı erişimleri engellemek, bunların muhafazasını sağlamak amacıyla uygun gerekli tedbirleri almakta ve kişisel verilerin üçüncü kişilerce hukuka aykırı olarak işlenmesine engel olmaktadır.
4. KİŞİSEL VERİLERİN AKTARILMASI
4.1. Kişisel Verilerin Yurtiçinde Aktarılması
EANSHIP A.Ş. KVKK’nin kişisel verilerin yurtiçinde aktarılmasına ilişkin olan 8. maddesindeki hükmüne uygun olarak, işleme amaçları doğrultusunda gerekli güvenlik önlemlerini alarak kişisel verileri ve özel nitelikli kişisel verileri üçüncü kişilere (İş ortaklarına, hissedarlarına, iştiraklerine, kanuni yükümlülükleri bulunduğu kamu kurum ve/veya kuruluşlara ve sair üçüncü kişilere) aktarabilmektedir. EANSHIP A.Ş. bu doğrultuda KVKK’nin 8. maddesinde öngörülen düzenlemelere uygun hareket etmektedir.
4.2. Kişisel Verilerin Yurtdışına Aktarılması
EANSHIP A.Ş. kişisel verileri Türkiye’de üçüncü kişilere aktarabileceği gibi, Türkiye’de işlenerek veya Türkiye dışında işlenip muhafaza edilmek üzere, dış kaynak kullanımı dâhil yukarıda da yer verildiği gibi Kanun ve ilgili diğer mevzuatta ön görülen şartlara uygun olarak ve mevzuatta belirtilen tüm güvenlik önlemlerini alarak; şayet veri sahibi kişi ile imzalı mevcut bir sözleşme var ise, söz konusu sözleşmede ve KVKK veya ilgili diğer mevzuatta aksi öngörülmediği sürece yurt dışına aktarılabilir. KVKK’da belirtilen kişisel verilerin aktarımına ilişkin açık rızanın aranmadığı istisnai durumlarda, rızasız işlenme ve aktarma şartlarına ek olarak, verinin aktarılacağı ülkede yeterli korumanın bulunması şartı aranmaktadır. Yeterli korumanın sağlanıp, sağlanmadığını Kişisel Verileri Koruma Kurulu belirleyecek olup; yeterli korumanın bulunmaması durumunda ise hem Türkiye’deki hem de ilgili yabancı ülkede ki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmesi ve KVK Kurulunun izninin bulunması gerekmektedir.
4.3. Aktarım Yapılan Kurum Kuruluşlar
EANSHIP A.Ş. kamu tüzel kişileri ile ilgili mevzuatları kapsamında talep ettikleri bilgiler KVKK’nın 8. maddesi uyarınca paylaşılır. Yukarıda belirtilen amaçlarla, kişisel verilerin aktarılabileceği diğer kişi veya kuruluşlar ise şunlardır; her türlü kişisel verilerin muhafazası, yetkisiz erişimlerin önlenmesi ve hukuka aykırı olarak işlenmelerini önlemek gibi veri güvenliği tedbirlerinin alınmasına EANSHIP A.Ş. ile birlikte sorumlu olmak üzere bağlı ortaklıklar ve/veya doğrudan/dolaylı yurtiçi/yurtdışı EANSHIP A.Ş. olarak faaliyetleri yürütmek üzere ilgili sözleşmeler kapsamında hizmet alınan, işbirliği içinde olunan yurt içi/yurtdışı kuruluşlar ve diğer 3. kişiler.
5. KİŞİSEL VERİLERİN SAKLANMA SÜRELERİ
EANSHIP A.Ş. , temel ilke olarak ilgili kanunlarda ve mevzuatlarda öngörülmesi durumunda kişisel verileri bu mevzuatlarda belirtilen süre boyunca saklanmasını esas almaktadır. Kişisel verilerin ne kadar süre boyunca saklanması gerektiğine ilişkin mevzuatta bir süre düzenlenmemişse, kişisel veriler EANSHIP A.Ş. o veriyi işlerken yürütülen faaliyet ile bağlı olarak EANSHIP A.Ş. ’nun uygulamaları ve ticari yaşamının teamülleri veya ilgili kanunlarda öngörülen zamanaşımı süreleri uyarınca işlenmesini gerektiren süre kadar işlenmekte daha sonra silinmekte, yok edilmekte veya anonim hale getirmektedir. Buna göre kişisel veriler:
EANSHIP A.Ş. Kişisel Verileri Saklama ve Silme Süreleri |
Verinin Niteliği | Saklama Süresi (İlişkinin Sona Ermesinden İtibaren) | Periyodik İmha Süreleri |
Sözleşmeden kaynaklı ilişkilerde (TBK genel zamanaşımı süresi) | 10 (on) Yıl | Her veri için ayrı olarak 10 yılın tamamlandığı ay içinde periyodik olarak |
Kira ilişkisinden kaynaklı işlenen kişisel veriler | 5 (beş) Yıl | Her veri için ayrı olarak 5 yılın tamamlandığı ay içinde periyodik olarak |
İşçilerin ücrete ilişkin haklarına dair kişisel veriler | 5 (beş) Yıl | Her veri için ayrı olarak 5 yılın tamamlandığı ay içinde periyodik olarak |
İşçilerin Sağlık Muayenelerine İlişkin Verileri | 15 (beş) Yıl | Her veri için ayrı olarak 15 yılın tamamlandığı ay içinde periyodik olarak |
Vergisel kayıtlar | 5 (beş) Yıl | Her veri için ayrı olarak 5 yılın tamamlandığı ay içinde periyodik olarak |
Tüketicilerin işlenen kişisel verileri | 2 (iki) Yıl | Her veri için ayrı olarak 2 yılın tamamlandığı ay içinde periyodik olarak |
Çalışan adaylarının kişisel verileri | 6 (altı) Ay | Her veri için ayrı olarak 6 ayın tamamlandığı ay içinde periyodik olarak |
Ziyaretçilerin kişisel verileri | 6 (altı) Ay | Her veri için ayrı olarak 6 ayın tamamlandığı ay içinde periyodik olarak |
6. KİŞİSEL BİLGİLERİ EANSHIP A.Ş. TARAFINDAN İŞLENEN KİŞİNİN HAKLARI VE BU HAKLARIN KULLANILMASI
KVKK’nın 11. Maddesi uyarınca; tüm kişisel verileri EANSHIP A.Ş. tarafından işlenen gerçek kişiler kendisiyle ilgili aşağıda sayılan haklara sahiptir:
a) Kişisel veri işlenip işlenmediğini öğrenme,
b) Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
c) Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanıp kullanılmadığını öğrenme,
d) Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
e) Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
f) KVKK’nun 7’inci maddesinde belirtildiği üzere, KVKK’na ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
g) (d) ve (e) bentleri uyarınca yapılan işlemlerin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
h) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
i) Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme.
Kişisel veri sahipleri yukarıda sayılan haklarına ilişkin taleplerini kimliklerini tespit edecek bilgi ve belgelerle interner sitemizde (http://www.netin.com.tr/) Kişisel Verilerin Korunması bölümü altındaki Başvuru Formu’nu doldurup imzalayarak ücetsiz olarak iletebileceklerdir.
7. EANSHIP A.Ş. TARAFINDAN KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VE ANONİMLEŞTİRİLMESİ
Türk Ceza Kanunu’nun 138’inci maddesi ve KVKK’nın 7/f.1’e maddesi düzenlemesi doğrultusunda kişisel veriler ilgili kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması halinde EANSHIP A.Ş. ’nin kendi kararına istinaden veya kişisel veri sahibinin bu yönde bir talebinin olması halinde silinir, imha edilir veya anonimleştirilerek kullanmaya devam edilir.
EANSHIP A.Ş. ’nin ilgili mevzuat hükümleri gereğince kişisel verileri muhafaza etme hak ve/veya yükümlülüğü olan durumlarda veri sahibinin talebini yerine getirmeme hakkı saklıdır.
EANSHIP A.Ş. ilgili mevzuatta öngörülen veya işleme amacının gerekli kıldığı saklama süreleri sona erdiğimde, periyodik imha için ön görülen 6 aylık süre zarfında; işlediği kişisel verileri KVK Kurulu tarafından yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale getirilmesine ilişkin rehberde belirtilen silme ve anonim hale getirme yöntemlerinden, iş süreçleri ve faaliyetlerine en uygun olan bir veya birkaç tekniği kullanarak siler veya anonimleştirerek kullanmaya devam eder.
8. DİĞER HUSUSLAR
KVKK ve ilgili diğer mevzuat hükümleri ile işbu Politika arasında uyumsuzluk olması halinde, öncelikle KVKK ve ilgili diğer mevzuat hükümleri uygulanacaktır. EANSHIP A.Ş. bu Politikada yasal düzenlemeler ve Şirket Politikası doğrultusunda değişiklik veya güncellemeler yapabilir. Tüm bu değişiklik ve güncellemeleri yansıtan yeni Politika metni hakkında ilgili kişilere web sitesi üzerinden gerekli bilgilendirmeler yapılır.