KİŞİSEL VERİLERİN İŞLENMESİ
VE GÜVENLİĞİ POLİTİKASI
Doküman No
KV-PL.01
Yayın Tarihi
02.09.2024
Revizyon No
00
Revizyon Tarihi
--
Sayfa No
1/10
İÇİNDEKİLER
1. GİRİŞ 1
1.1. AMAÇ 1
1.2. KAPSAM 2
2. KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN HUSUSLAR 2
3. KİŞİSEL VERİLERİN AKTARILMASINA İLİŞKİN HUSUSLAR 4
4. KİŞİSEL VERİLERİN ELDE EDİLMESİ ESNASINDA İLGİLİ KİŞİLERİN
AYDINLATILMASI 5
5. KİŞİSEL VERİLERİN SAKLANMASI VE İMHASI 6
6. KİŞİSEL VERİLERİN GÜVENLİĞİNİN VE GİZLİLİĞİNİN SAĞLANMASI 6
6.1. KİŞİSEL VERİLERİN HUKUKA UYGUN İŞLENMESİNİ SAĞLAMAK VE
KİŞİSEL VERİLERE HUKUKA AYKURU ERİŞİLMESİNİ ÖNLEMEK İÇİN
ŞİRKETİMİZ TARAFINDAN ALINAN İDARİ TEDBİRLER 7
6.2. KİŞİSEL VERİLERİN HUKUKA UYGUN İŞLENMESİNİ SAĞLAMAK VE
KİŞİSEL VERİLERE HUKUKA AYKURU ERİŞİLMESİNİ ÖNLEMEK İÇİN
ŞİRKETİMİZ TARAFINDAN ALINAN TEKNİK TEDBİRLER 8
6.3. KİŞİSEL VERİLERİN HUKUKA UYGUN AKTARIMINI SAĞLAMAK İÇİN
ŞİRKETİMİZ TARAFINDAN ALINAN TEDBİRLER 9
6.4. KİŞİSEL VERİLERİN KANUNİ OLMAYAN YOLLARLA İFŞASI DURUMUNDA
ALINACAK TEDBİRLER 10
KİŞİSEL VERİLERİN İŞLENMESİ
VE GÜVENLİĞİ POLİTİKASI
Doküman No
KV-PL.01
Yayın Tarihi
02.09.2024
Revizyon No
00
Revizyon Tarihi
--
Sayfa No
2/10
1. GİRİŞ
1.1. AMAÇ
Kişisel verilerin korunması, SİBER TEKNOLOJİ ANONİM ŞİRKETİ’nin (“Şirket”) en
önemli öncelikleri arasında olup, bu hususta yürürlükte bulunan tüm mevzuata uygun
davranmak için azami gayret göstermektedir. 6698 sayılı Kişisel Verilerin Korunması Kanunu
(“Kanun”); Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi “Kişisel
Veri” olarak sınıflandırarak bu verilere ilişkin işleme standartları ve bu verilerin korunması
konusunda veri sorumlularını yükümlü kılmaktadır.
İşbu SİBER TEKNOLOJİ ANONİM ŞİRKETİ Kişisel Verilerin İşlenmesi ve Güvenliği
Politikası (“Politika”) çerçevesinde şirketimiz tarafından gerçekleştirilen Kişisel Veri işleme
faaliyetlerinin yürütülmesinde benimsenen ilkeler ve Kişisel Veri işleme faaliyetleri esnasında
Şirket tarafından alınacak asgari veri güvenliği önlemleri belirlenmektedir.
HAZIRLAYAN
ONAYLAYAN
EYS Yönetim Temsilcisi
Genel Müdür
Elektronik Ortamda Günceldir & Kontrolsüz Kopya
KİŞİSEL VERİLERİN İŞLENMESİ
VE GÜVENLİĞİ POLİTİKASI
Doküman No
KV-PL.01
Yayın Tarihi
02.09.2024
Revizyon No
00
Revizyon Tarihi
--
Sayfa No
3/10
1.2. KAPSAM
İşbu Politika, Kanun kapsamında tanımlanan kimliği belirli veya belirlenebilir gerçek kişilere
ait, otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik
olmayan yollarla şirket bünyesinde işlenen Kişisel Verilere ilişkindir.
2. KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN HUSUSLAR
2.1. Kişisel Verileri İşlenmesi Esnasında Uyulacak Genel İlkeler
Şirketimiz Kişisel Verileri, Kanun’da ve ilgili diğer mevzuatlarda öngörülen usul ve esaslara
uygun olarak işlenmektedir. Bu doğrultuda şirketimiz Kişisel Verileri işlediği süreçlerde
aşağıda listelenen ilkelere (“Genel İlkeler”) uygun hareket etmektedir.
Şirketimiz Kişisel Verileri;
i. Hukuka ve dürüstlük kurallarına uygun,
ii. Doğru ve gerektiğinde güncel biçimde,
iii. Belirli, açık ve meşru amaçlar için,
iv. İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olarak,
v. İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar
işlemektedir.
HAZIRLAYAN
ONAYLAYAN
EYS Yönetim Temsilcisi
Genel Müdür
Elektronik Ortamda Günceldir & Kontrolsüz Kopya
KİŞİSEL VERİLERİN İŞLENMESİ
VE GÜVENLİĞİ POLİTİKASI
Doküman No
KV-PL.01
Yayın Tarihi
02.09.2024
Revizyon No
00
Revizyon Tarihi
--
Sayfa No
4/10
2.2. Kişisel Verilerin İşlenmesi Şartları
Kanunda Kişisel Verilerin hukuka aykırı olarak işlendiğinde kişilerin mağduriyetine sebep olma
nedeniyle, bu verilere işleme şartları atfedilmiştir.
Kişisel Veriler, şirketimiz tarafından, işbu Politika’da belirtilen ilkelere uygun olarak ve Kişisel
Verileri Koruma Kurulu’nun (“Kurul”) belirlediği ya da belirleyeceği asgari güvenlik
önlemleri dahil olmak üzere gerekli her türlü idari ve teknik tedbirler alınarak ve aşağıdaki
şartlardan en az birinin varlığı halinde işlenmektedir.
i. İlgili Kişinin açık rızasının bulunması halinde,
Aşağıdaki hallerde Kişisel Veriler İlgili Kişi Açık Rızası alınmadan işlenebilecektir.
i. Kanunlarda açıkça öngörülmesi
ii. Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına
hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden
bütünlüğünün korunması için zorunlu olması.
iii. Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla,
sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
iv. Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
v. İlgili kişinin kendisi tarafından alenileştirilmiş olması.
vi. Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
vii. İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun
meşru menfaatleri için veri işlenmesinin zorunlu olması.
HAZIRLAYAN
ONAYLAYAN
EYS Yönetim Temsilcisi
Genel Müdür
Elektronik Ortamda Günceldir & Kontrolsüz Kopya
KİŞİSEL VERİLERİN İŞLENMESİ
VE GÜVENLİĞİ POLİTİKASI
Doküman No
KV-PL.01
Yayın Tarihi
02.09.2024
Revizyon No
00
Revizyon Tarihi
--
Sayfa No
5/10
3. KİŞİSEL VERİLERİN AKTARILMASINA İLİŞKİN HUSUSLAR
Şirketimiz hukuka uygun olan Kişisel Veri işleme amaçları doğrultusunda gerekli güvenlik
önlemlerini alarak Kişisel Verileri üçüncü kişilere (“Üçüncü Kişiler”) aktarabilmektedir.
Şirketimiz, bu doğrultuda Kanun’un 8’inci ve 9’uncu maddesinde öngörülen düzenlemelere
uygun hareket etmektedir.
İlgili Kişinin açık rızasının bulunması durumunda şirketimiz, Kişisel Verileri, veri işleme
amaçları doğrultusunda ve Genel İlkeler’e uygun olarak ve Kurul tarafından öngörülen
yöntemler de dahil gerekli güvenlik önlemlerini alarak aktarabilmektedir.
Aşağıda yer alan şartların varlığı halinde kişisel veriler ilgili kişinin açık rızası aranmaksızın
Üçüncü Kişiler’e aktarılabilecektir:
i. İlgili Kişinin sağlığı ve cinsel hayatı dışındaki Özel Nitelikli Kişisel Veriler, kanunlarda
öngörülen hallerde,
ii. İlgili Kişinin sağlık durumuna ve cinsel hayatına ilişkin Özel Nitelikli Kişisel Veriler,
ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım
hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi
amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili şirket ve
kuruluşlar tarafından aktarılabilmektedir.
iii. İş bu politikanın 2.2.maddesinde belirtilen hallerde
HAZIRLAYAN
ONAYLAYAN
EYS Yönetim Temsilcisi
Genel Müdür
Elektronik Ortamda Günceldir & Kontrolsüz Kopya
KİŞİSEL VERİLERİN İŞLENMESİ
VE GÜVENLİĞİ POLİTİKASI
Doküman No
KV-PL.01
Yayın Tarihi
02.09.2024
Revizyon No
00
Revizyon Tarihi
--
Sayfa No
6/10
4. KİŞİSEL VERİLERİN ELDE EDİLMESİ ESNASINDA İLGİLİ KİŞİLERİN
AYDINLATILMASI
Kanun’un 10 uncu maddesine göre; kişisel verilerin elde edilmesi sırasında veri sorumluları
veya yetkilendirdiği kişilerce ilgili kişilerin bilgilendirilmesi gerekmektedir. Şirketimizin ilgili
kişilere yönelik aydınlatma yükümlülüğünü yerine getirirken asgari olarak aşağıdaki konular
hakkında ilgili kişileri bilgilendirmektedir:
i. Veri sorumlusunun ve varsa temsilcisinin kimliği,
ii. Kişisel verilerin hangi amaçla işleneceği,
iii. Kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
iv. Kişisel veri toplamanın yöntemi ve hukuki sebebi,
v. Kanun’un 11 inci maddede sayılan ve ilgili kişilere tanınmış olan haklar ve bu hakların
ne şekilde kullanılabileceği.
Alternatif yöntem ve metotların benimsendiği haller hariç, şirket tarafından aydınlatma
yükümlülüğünün yerine getirilmesi için ilgili kişilere fiziksel ya da elektronik ortamda,
sonradan kanıtlanabilir şekilde sunulan aydınlatma metinleri kullanılmaktadır. Kişisel Verilerin
işlendiği süreçlerde görev alan şirket çalışanları, kişisel verilerin elde edilmesi öncesinde ilgili
kişilere gerekli aydınlatma metinlerinin sunulduğu ve ilgili kişilerin bilgilendirildiğinden emin
olmalıdır.
5. KİŞİSEL VERİLERİN SAKLANMASI VE İMHASI
HAZIRLAYAN
ONAYLAYAN
EYS Yönetim Temsilcisi
Genel Müdür
Elektronik Ortamda Günceldir & Kontrolsüz Kopya
KİŞİSEL VERİLERİN İŞLENMESİ
VE GÜVENLİĞİ POLİTİKASI
Doküman No
KV-PL.01
Yayın Tarihi
02.09.2024
Revizyon No
00
Revizyon Tarihi
--
Sayfa No
7/10
Kanun’un 7 nci maddesinde düzenlenen kişisel verilerin silinmesi, yok edilmesi veya anonim
hale getirilmesi yükümlülüğü gereği, şirketimizin tarafından Kanun ve diğer mevzuat
hükümlerine uygun olarak işlenmiş olmasına rağmen işlenmesini gerektiren sebeplerin ortadan
kalkması halinde tüm kişisel veriler, şirketimizin re’sen vermiş olduğu karara veya İlgili
Kişinin talebine istinaden silinir, yok edilir veya anonim hale getirilir.
Kişisel verilerin saklanması ve imhasına ilişkin detaylı bilgilere ilişkin detaylı bilgiler
Confluence üzerinden erişilebilen SİBER TEKNOLOJİ ANONİM ŞİRKETİ KİŞİSEL VERİ
SAKLAMA VE İMHA PROSEDÜRÜ’nde yer almaktadır.
6. KİŞİSEL VERİLERİN GÜVENLİĞİNİN VE GİZLİLİĞİNİN SAĞLANMASI
Şirketimiz tarafından Kişisel Verilerin hukuka aykırı olarak açıklanmasını, erişimini,
aktarılmasını veya başka şekillerde meydana gelebilecek güvenlik eksikliklerini önlemek için,
imkanlar dahilinde, korunacak verinin niteliğine göre gerekli her türlü tedbir alınmaktadır.
Bu kapsamda şirketimiz tarafından gerekli her türlü idari ve teknik tedbirler alınmakta; ilgili
tedbirler güncel Kurul kararlarına uygun şekilde gözden geçirilip güncellenmekte ve kişisel
verilerin kanuni olmayan yollarla ifşası durumunda Kanun’da öngörülen tedbirlere uygun
olarak hareket edilmektedir.
Bu bölümde ifade edilen veri güvenliği önlemleri, Kişisel Verilerin işlenmesi esnasında şirket
tarafından alınacak asgari önlemlerdir
HAZIRLAYAN
ONAYLAYAN
EYS Yönetim Temsilcisi
Genel Müdür
Elektronik Ortamda Günceldir & Kontrolsüz Kopya
KİŞİSEL VERİLERİN İŞLENMESİ
VE GÜVENLİĞİ POLİTİKASI
Doküman No
KV-PL.01
Yayın Tarihi
02.09.2024
Revizyon No
00
Revizyon Tarihi
--
Sayfa No
8/10
6.1. KİŞİSEL VERİLERİN HUKUKA UYGUN İŞLENMESİNİ SAĞLAMAK VE
KİŞİSEL VERİLERE HUKUKA AYKURU ERİŞİLMESİNİ ÖNLEMEK İÇİN
ŞİRKETİMİZ TARAFINDAN ALINAN İDARİ TEDBİRLER
i. Şirketimiz nezdinde Kişisel Verilere yönelik olarak meydana gelebilecek riskler
belirlenmiş ve bunlara karşı alınması gereken önlemler tespit edilmiştir,
ii. Şirketimiz Kişisel Verilerin işlenmesi ve korunmasına ilişkin olarak çalışanlarını
eğitmekte, bilinçlendirilmelerini sağlamakta ve onlara yönelik farkındalık
çalışmaları yapmaktadır.
iii. Kişisel Verilerin güvenliğini sağlamak amacıyla bu verilere erişen çalışanlarla
Çalışan Gizlilik Taahhütnamesi imzalanmaktadır.
iv. Çalışanların Kişisel Verilere erişimlerinin kapsamı ve süresi
sınırlandırılmaktadır.
v. Periyodik olarak yetki kontrolleri gerçekleştirilmektedir.
vi. Görev değişikliği olan veya işten ayrılan çalışanların erişim yetkileri derhal
kaldırılmaktadır. Bu kapsamda kendilerine tahsis edilen envanter iade
alınmaktadır.
6.2. KİŞİSEL VERİLERİN HUKUKA UYGUN İŞLENMESİNİ SAĞLAMAK VE
KİŞİSEL VERİLERE HUKUKA AYKURU ERİŞİLMESİNİ ÖNLEMEK İÇİN
ŞİRKETİMİZ TARAFINDAN ALINAN TEKNİK TEDBİRLER
Kişiler Verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, elektronik ortam ise;
i. Şirketimiz Kişiler Verilere erişim halinde yetki matrisi uygulamaktadır.
ii. Kişisel Verilere erişen çalışanların yetki kontrolleri yapılmaktadır.
HAZIRLAYAN
ONAYLAYAN
EYS Yönetim Temsilcisi
Genel Müdür
Elektronik Ortamda Günceldir & Kontrolsüz Kopya
KİŞİSEL VERİLERİN İŞLENMESİ
VE GÜVENLİĞİ POLİTİKASI
Doküman No
KV-PL.01
Yayın Tarihi
02.09.2024
Revizyon No
00
Revizyon Tarihi
--
Sayfa No
9/10
iii. Kişisel Veriler üzerinde gerçekleştirilen tüm hareketlerin işlem kayıtları güvenli olarak
loglanmaktadır.
iv. Kişisel Verilerin bulunduğu ortamlara ait güvenlik güncellemeleri sürekli takip
edilmektedir, gerekli güvenlik testleri düzenli olarak yapılmakta/yaptırılmaktadır, test
sonuçları kayıt altına alınmaktadır.
v. Kişisel Verilere bir yazılım aracılığı ile erişiliyorsa bu yazılıma ait kullanıcı
yetkilendirmeleri yapılmaktadır, gerekli güvenlik testleri düzenli olarak
yapılmakta/yaptırılmaktadır, test sonuçları kayıt altına alınmaktadır.
vi. Kişisel Verilere uzaktan erişim gerekiyorsa en az iki kademeli kimlik doğrulama sistemi
sağlanmaktadır.
Kişiler Verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, fiziksel ortam ise;
i. Kişisel Verilerin bulunduğu ortamın niteliğine göre yeterli güvenlik önlemlerinin
(elektrik kaçağı, yangın, su baskını, hırsızlık vb. durumlara karşı) alındığından emin
olunmaktadır.
ii. Bu ortamların fiziksel güvenliği sağlanarak yetkisiz giriş çıkışlar engellenmektedir.
6.3. KİŞİSEL VERİLERİN HUKUKA UYGUN AKTARIMINI SAĞLAMAK İÇİN
ŞİRKETİMİZ TARAFINDAN ALINAN TEDBİRLER
i. Şirketimiz, Kişisel Verilerin e-posta yoluyla aktarılması gerekiyorsa kurumsal e-posta
adresiyle veya Kayıtlı Elektronik Posta (KEP) hesabı kullanarak aktarmaktadır.
ii. Taşınabilir Bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerekiyorsa
şifrelenmektedir
HAZIRLAYAN
ONAYLAYAN
EYS Yönetim Temsilcisi
Genel Müdür
Elektronik Ortamda Günceldir & Kontrolsüz Kopya
KİŞİSEL VERİLERİN İŞLENMESİ
VE GÜVENLİĞİ POLİTİKASI
Doküman No
KV-PL.01
Yayın Tarihi
02.09.2024
Revizyon No
00
Revizyon Tarihi
--
Sayfa No
10/10
iii. Farklı fiziksel ortamlardaki sunucular arasında aktarma gerçekleştiriliyorsa, sunucular
arasında sFTP yöntemiyle veri aktarımı gerçekleştirilmektedir.
iv. Kişisel Verilerin kağıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması,
kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli
önlemler alınmaktadır.
6.4. KİŞİSEL VERİLERİN KANUNİ OLMAYAN YOLLARLA İFŞASI
DURUMUNDA ALINACAK TEDBİRLER
Şirketimiz tarafından yürütülen Kişisel Veri işleme faaliyeti kapsamında, Kişisel Verilerin
hukuka aykırı olarak yetkisiz kişiler tarafından elde edilmesi durumunda, durum Kurul’un
24.01.2019 tarih ve 2019/10 sayılı kararına
1
uygun biçimde Kurul’a en geç 72 (yetmiş iki) saat
içerisinde bildirilecek ve ihlalden etkilenen ilgili kişilere mümkün olan en kısa süre içerisinde
bilgilendirme yapılacaktır.
1
İlgili karara şu web adresinden ulaşılabilir: https://kvkk.gov.tr/Icerik/5362/Veri-Ihlali-Bildirimi
HAZIRLAYAN
ONAYLAYAN
EYS Yönetim Temsilcisi
Genel Müdür
Elektronik Ortamda Günceldir & Kontrolsüz Kopya
