You are here:

Özel Nitelikli Verilerin İşlenmesi Politikası

Amaç:

Kurum içinde kullanıcıların haklarını ve ayrıcalıklı olma kurallarını tanımlamak.

Kapsam:

Bilgi işlem olanaklarından yararlanan tüm kullanıcı ve birimleri kapsar.

Sorumlular:

Tüm çalışanların bu politikaya uygun hareket etmesinden tüm üst yönetim sorumludur.

Uygulama:

Ayrıcalık Yönetimi

Ayrıcalıklar yalnızca klasör erişimi, yazılım kurulumu, bağlantı süreleri, ağ ayarları, genel internet kullanımı, misafir internet erişimi, uzaktan çalışma / erişim ile sınırlandırılmıştır. En az 12 ayda bir kez gözden geçirilmekte, ayrıca işe giriş veya işten ayrılış ve görev değişikliği sebepleri ile yeniden yetkilendirmeler yapılmaktadır.

Ayrıcalık Yönetimi: Üst yöneticiler için;

  • Talep yöneticiye gönderilir. Yönetici talebin yerine getirilmesi için sistem yöneticisine onay yazısı gönderir.

Ayrıcalık Yönetimi: Kurum personeline aitse;

  • Personel ayrıcalık talebini amirine yapar.
  • Amirin kabul etmesi halinde, talep yöneticiye gönderilir.
  • Yönetici talebi değerlendirdikten sonra, uygun bulursa ayrıcalık için Bilgi İşlem Hizmet Sağlayıcısına onay yazısını gönderir.
  • Ayrıcalık erişim hakkı yöneticinin uygun gördüğü süre boyunca erişim yetkisi verilir.  Sürenin bitiminde verilen hak Bilgi İşlem Hizmet Sağlayıcısı tarafından kaldırılır.

Ayrıcalık Yönetimi: Hizmet sağlayıcılar için;

  • Hizmet sağlayıcının ilgili amiri ayrıcalık talebini yapar.
  • Talep Yönetici’ ye gönderilir.
  • Ayrıcalık erişim hakkı yöneticinin uygun gördüğü süre boyunca erişim yetkisi verilir.  Sürenin bitiminde verilen hak Bilgi İşlem Hizmet Sağlayıcısı tarafından kaldırılır.

Kullanıcı Hakları

Yazılım Kurulumu

  • İş ile ilgili olmayan yazılımların (kurulum dosyaları dahil)  saklanması veya kurulması her koşulda yasaktır.
  • Kullanıcılar, teknik olarak mümkün olsa bile, telif hakları kanunlarının çiğnenmesine ve teknik sorunlara neden olabileceğinden yöneticinin onayı olmadan bilgisayarlarına yazılım yükleyemezler.
  •  İş amaçlı yazılım yükleme ihtiyacı olması durumunda Bilgi İşlem Hizmet Sağlayıcısının görüşü ve onayı alınmalıdır.
  • Güvenlik analiz yazılımları ve sistem yönetim yazılımları gibi yazılımlar, sadece Bilgi İşlem Hizmet Sağlayıcısı tarafından bilgisayarlara, iş istasyonlarına kurulur. Kurulum yöneticinin onayı ile yapılır.
  • Yardımcı sistem programlarının kurulması ve kullanılması yalnızca bilgi teknolojileri bölümüne serbesttir.
  • Yardımcı sistem programları yalnızca kullanıcı sorunlarını çözmek için kurulur ve kullanılır. Sistem yönetiminde yardımcı sistem programları kullanılmaz.
  • Çok özel durumlarda kısıtlı erişim yetkisi ile uzaktan çalışma gerektiğinde yardımcı sistem programları kullanılabilir. Bu durumda talep açmak ve yöneticinin onayını almak zorunludur.
  • İşlem bittikten sonra derhal yardımcı sistem programı sonlandırılır.
  • Yazılımların kullanımlarına yönelik bağlantı süreleri üzerinde ilgili yazılım sorumluları ile anlaşılır. Etki alanı içinde tanımlanmış gruplara uygulanır.

Konfigürasyon ve Güvenlik Ayarları

  • Kullanıcılar, teknik olarak mümkün olsa bile bilgisayarlarındaki güvenlik ayarlarının düzeyini düşüremezler.
  • Güvenlik ayarlarına örnek olarak;MS Internet Explorer ve MS Outlook’u etkileyen güvenlik alanları ayarları (Internet Explorer securityzone settings),
    • Virüs koruma program ayarları,
    • İşletim sistemi güncelleme ayarları,
    • Kişisel koruma duvarı (firewall) ayarları,
    • BIOS ayarları ve diğer donanımsal ve yazılım güvenlik ayarları sayılabilir.
  • Kullanıcılar teknik olarak mümkün olsa bile kişisel bilgisayarları üzerinden yeni ağ servislerini (web sunucusu, veritabanı sunucusu gibi)  çalıştıramazlar.
  • Bilgisayarları üzerinde yeni kullanıcı ve kullanıcı grubu tanımlayamaz, var olan kullanıcıların haklarını ve kullanıcı gruplarını değiştiremezler.
  • Eğer ihtiyaçları gereği konfigürasyon ve güvenlik ayarlarının değiştirilmesi gerekiyor ise Bilgi İşlem Hizmet Sağlayıcısı’nın yorum ve onayına başvurulması zaruridir.
  • Konfigürasyon ve güvenlik ayar değişiklikleri sadece Bilgi İşlem Hizmet Sağlayıcısı tarafından ve gerekli olan süre için yapılabilir.

 Ağlara ve Ağ Hizmetlerine Erişim Hakkı

  • Firmamızdaki kullanıcıların erişim yetkileri kendi birimlerinin alanı ile sınırlandırılmıştır.
  • Erişim kısıtlamaları, Active Directory ile yönetilmektedir
  • Erişim kısıtlamalarına ilişkin yetkilendirme çizelgeleri oluşturulmuştur, sürekliliği sağlanmaktadır ve istihdama ilişkin değişiklikler sonrasında gözden geçirilmektedir
  • Ağ üzerinden yazıcı ve benzeri olanaklara erişim Bilgi İşlem Hizmet Sağlayıcısı tarafından yapılandırılır.
  • Ağ üzerinden başka alt ağlardaki uygulamalara erişim gerektiğinde, bu erişim Bilgi İşlem Hizmet Sağlayıcısı tarafından yapılandırılır.
  • Yerel yönetici yetkileri “güçlü kullanıcı/local admin” grubu haricinde kaldırılmıştır.
  • Güçlü kullanıcı grubuna dahil olmak yöneticinin tanımladığı süre kadardır.
  • Güçlü kullanıcı grubu hakkı için kullanıcı, önce idari amirine talepte bulunur. İdari amiri talebi uygun bulursa Yönetici ile görüşür.
  • Yönetici talebi uygun bulması durumunda yardım masası üzerinden Bilgi İşlem Hizmet Sağlayıcısı’na kayıt açar.

Doküman Erişim Hakkı

İnsan Kaynakları departmanından yapılan görev değişikliği bildirimine istinaden mevcut departman klasöründeki erişim ayarları kaldırılarak yeni departman klasörüne erişim ayarlarının yapılması gerekmektedir.

Yeni personel ise insan kaynakları biriminden hangi klasöre ve klasör yetki izinleri konusunda yazılı (e–posta) talep alınması gerekmektedir. Yazılı talep olmaması durumunda hiçbir erişim yetki değişiklik işlemi gerçekleştirilmez.

Bilgi İşlem Hizmet Sağlayıcısı tüm bilgisayar kullanıcılarının, doküman erişim izinlerini 12 ayda en az bir kez ve görev değişikliklerinde kontrol etmekte ve yetkilendirmekle yükümlüdür.

Klasör Erişim İzinleri

  • Millennium Yeni Ortak klasörüne sadece domain alt yapısına dahil olan kullanıcıların giriş yapacağı şekilde ayarlama yapılmıştır.
  • Her departman için açılan klasörlere departman kullanıcıları tam yetkili olarak, diğer departman klasörlerine erişim izinleri yönetici onayına bağlı olarak yapılmaktadır.

Cihaz Kullanımı

  • Kullanıcı hakları kapsamında tüm kullanıcıların USB portları (harici diskler) cihazları pasiftir. İhtiyaç olması durumunda ilgili yöneticinin onayı ile Bilgi İşlem Hizmet Sağlayıcısı tarafından süreli ve sınırlı sayıda yetkilendirme yapılmaktadır.
  • Kullanılması zorunlu ise Ayrıcalık yönetimine göre kullanım hakkı verilir. Sorumluluk kullanıcıya aittir.
  • Danışmanlar, müşteriler, ziyaretçiler kurum ağı içine alınmazlar.
  • Hizmet sağlayıcıların cihazlarını kullanmaları izne tabi olup, ayrıcalık yönetimi uygulanır.
  • Etki alanı üzerinden “cihaz tanılama poliçesi” etkindir. Bağlanan her cihazın günlüğü tutulur.

1. Amaç

Bu Politika, 6698 Sayılı Kişisel Verilerin Korunması Kanunu’nda(Kanun)  belirtilen Özel Nitelikli Kişisel verilerin işlenmesine ve güvenliğine ilişkin süreçleri belirlemek üzere oluşturulmuştur.

2. Kapsam

Kanunun 6 ncı maddesinin 4 üncü fıkrası ile veri sorumlularına   “Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması yükümlülüğü getirilmiştir.

Bu Politika,  07.03.2018 tarihli ve 30353 sayılı Resmi Gazete de yayınlanan “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemlere ilişkin Kişisel Verileri Koruma Kurulu kararı gereği özel nitelikli kişisel verilerin işlenmesi ve güvenliğine yönelik süreçleri kapsamaktadır.

3. Özel Nitelikli Verilerin İşlenmesi Uygulama Esasları

Kanun’un 6. maddesinde, hukuka aykırı olarak işlendiğinde kişilerin mağduriyetine veya ayrımcılığa sebep olma riski taşıyan bir takım kişisel veriler “özel nitelikli kişisel veri” olarak belirlenmiştir.

Kanun’da  “özel nitelikli kişisel veriler” kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri olarak belirlenmiştir.

3.1. Özel Nitelikli Kişisel Verilerin İşlenmesi

Kanun  ile “özel nitelikli” olarak belirlenen kişisel verilerin işlenmesinde, Şirketimiz tarafından,  Kanunda öngörülen düzenlemelere hassasiyetle uygun davranılmaktadır.

Özel nitelikli kişisel veriler, KVK Kurulu tarafından belirlenen yeterli önlemlerin alınması kaydıyla aşağıdaki durumlarda işlenmektedir:

  • Sağlık ve cinsel hayata ilişkin özel nitelikli kişisel veriler ancak veri sahibinin açık rızası var ise
  • Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler, kanunlarda öngörülen hallerde veya Kişisel veri sahibinin açık rızası var  ise;

Özel Nitelikli Kişisel Verilere ilişkin İşlenme Şartları Aşağıda yer almaktadır:

Verinin Niteliği İşlenme Şartı Örnek
 

Sağlık ve Cinsel hayata ilişkin özel nitelikli kişisel veriler

 

 

 

 

 

Veri Sahibinin açık rızasının alınmış olması

 

İş Kanununda belirtilen doğum izni,  çalışabilir/çalışamaz raporları, doğum raporu, emzirme izni dilekçelerinin değerlendirilmesi için ilgili kişinin açık rızasının alınması.

Sağlık ve Cinsel hayat dışındaki özel nitelikli Kişisel Veri Veri Sahibinin açık rızasının alınmış olması veya Kanunlarda öngörülmüş olması(Vergi Kanunları,4857 Sayılı İş Kanunu,Türk Ticaret Kanunu) 4857 Sayılı İş Kanunu gereği çalışana ait adli sicil belgesinin özlük dosyasında bulunması gerekmektedir.

 

Şirketimizde, çalışanlarımızın Özel Nitelikli Kişisel verileri İnsan Kaynakları hizmetini yürüten  birim tarafından ;

Şirketimizin sözleşmesel veya ticari ilişki kurduğu kişilere veya bunların çalışanlarına/temsilcilerine  ait kimlik belgelerinde yer alan özel nitelikli kişisel veriler, işlenmektedir. Bu veriler ;

  • Sağlık raporunun elde edilmesine bağlı süreçlerin yürütülmesi,
  • Tespit edilen sağlık durumuna göre pozisyon değişikliklerinin yapılması ve bu yolla çalışanların sağlığına uygun olan iş pozisyonlarının sağlanması,
  • Diğer çalışanların sağlığını etkileyebilecek durumların varlığı halinde gecikmeksizin müdahale edilebilmesi.
  • Mevzuat, ilgili düzenleyici kurumlar ve diğer otoritelerce öngörülen diğer bilgi saklama, raporlama, bilgilendirme yükümlülüklerine uymak,
  • Personel özlük dosyasının oluşturulması,

Amaçlarına uygun olarak işlenmekte ve saklanmaktadır.

Bu veriler:

  • Kimlik belgelerinde yer alan özel nitelikli kişisel veriler,
  • Laboratuvar Tahlil Raporları,
  • Doğum raporu,
  • İstirahat ve iş göremezlik raporları,
  • Psikoteknik rapor,
  • Özürlülük raporu
  • SGK Raporu
  • SGK İzin Belgeleri
  • Kan Grubu Belgesi
  • İşe Giriş için Sağlık Raporu
  • Sivil Toplum Kuruluşu Üye Belgesi
  • Ek Sağlık Tarama Test Raporları (Laboratuvar Bulguları, Fiziki Muayene Sonuçları, Tıbbi Anamnez vs.)
  • Kişisel Sağlık Bilgisi
  • Ceza Mahkumiyeti Verisi (Sabıka Kaydı)

Olarak kaydedilmekte İnsan Kaynakları faaliyetini yürüten tarafından saklanmaktadır.

3.2. Özel Nitelikli Kişisel Verilerin Güvenliğinin Sağlanması

Şirketimizin özel nitelikli kişisel verilere ilişkin olarak veri sorumlusu sıfatıyla aşağıda belirtilen önlemleri alması esastır ;

A. Özel nitelikli kişisel verilerin güvenliğine işbu Politika belirlenmiştir.

B. Özel nitelikli kişisel verilerin işlenmesi süreçlerinde yer alan çalışanlara yönelik,

  • Kanun ve buna bağlı yönetmelikler ile Özel Nitelikli Kişisel Veri güvenliği konularında düzenli olarak eğitimler verilir,
  • Gizlilik sözleşmeleri yapılır,
  • Verilere erişim yetkisine sahip kullanıcıların, yetki kapsamları ve süreleri tanımlanır,
  • Periyodik olarak yetki kontrolleri gerçekleştirilir,
  • Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri derhal kaldırılır.

 

C. Özel Nitelikli Kişisel Verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, elektronik ortam ise,

  • Kişisel Veriler, kriptografik yöntemler kullanılarak muhafaza edilir,
  • Kriptografik anahtarlar güvenli ve farklı ortamlarda tutulur,
  • Kişisel Veriler üzerinde gerçekleştirilen tüm hareketlerin işlem kayıtları güvenli olarak loglanır,
  • Kişisel Veriler’in bulunduğu ortamlara ait güvenlik güncellemeleri sürekli takip edilir, gerekli güvenlik testleri düzenli olarak yapılır, test sonuçları kayıt altına alınır,
  • Kişisel Veriler’e bir yazılım aracılığı ile erişiliyorsa bu yazılıma ait kullanıcı yetkilendirmeleri yapılır, bu yazılımların güvenlik testleri düzenli olarak yapılır, test sonuçları kayıt altına alınır,
  • Kişisel Veriler’e uzaktan erişim gerekiyorsa en az iki kademeli kimlik doğrulama sistemi sağlanır.

 

DÖzel Nitelikli Kişisel Verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, fiziksel ortam ise;

  • Özel Nitelikli Kişisel Veriler’in bulunduğu ortamın niteliğine göre yeterli güvenlik önlemleri (Elektrik kaçağı, yangın, su baskını, hırsızlık vb. durumlara karşı) alınır,
  • Bu ortamların fiziksel güvenliğinin sağlanarak yetkisiz giriş çıkışlar engellenir.

 

E. Özel Nitelikli Kişisel Veriler aktarılacaksa

  • Kişisel Verilerin e–posta yoluyla aktarılması gerekiyorsa şifreli olarak kurumsal e–posta adresiyle aktarılır,
  • Taşınabilir Bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerekiyorsa kriptografik yöntemlerle şifrelenir ve kriptografik anahtar farklı ortamda tutulur,
  • Farklı fiziksel ortamlardaki sunucular arasında aktarma gerçekleştiriliyorsa, sunucular arasında VPN kurularak veya FTP yöntemiyle veri aktarımı gerçekleştirilir,
  • Kişisel Veriler’in kağıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemler alınır ve evrak “Gizli ” formatta gönderilir.

 

F. Yukarıda belirtilen önlemlerin yanı sıra Kişisel Verilerin Korunmasına Yönelik genel politikamızda belirtilen  teknik ve idari tedbirler de uygulanmaktadır.