KİŞİSEL VERİLERE ERİŞİM POLİTİKASI

KİŞİSEL VERİLERE ERİŞİM POLİTİKASI

 

Kişisel Verilere Erişim Politikası Amacı

Veri sorumlusu olarak MUSA YURTSEVEN - YURTSEVEN HUKUK BÜROSU . (“Firma olarak anılacaktır.”) için ürün veya hizmet , çalışanları ve ilişki içinde olduğu diğer gerçek kişilere ait kişisel verilerin korunması, büyük önem arz etmektedir. Kişisel verilerin işlenmesi ve korunması süreçleri için işbu Politika ve diğer yazılı politikalar ile hedeflenen; Firma ile ilişki kuran çalışanlarımızın, çalışan adaylarımızın, ziyaretçilerimizin, iş birliği içinde olduğumuz kurum çalışanlarının, iş ortaklığı kurduğumuz gerçek veya tüzel kişi çalışanlarının ve üçüncü kişilerin kişisel verilerinin hukuka uygun biçimde işlenmesi ve korunmasıdır.

Kişisel Verilere Erişimin Kapsamı

Bu Politika; müşterilerimizin, çalışanlarımızın, çalışan adaylarımızın, ziyaretçilerimizin, iş birliği içinde olduğumuz kurumların çalışanlarının ve üçüncü kişilerin otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen tüm kişisel verilerine, Firma bünyesinde çalışan veya görev alan kişilerin kişisel veriye erişimine ilişkindir.

Firma bünyesinde Kişisel Verilerin Korunması Kanuna uygun toplanan ve saklana kişisel verilere belli iş ve işlemlerin tamamlanabilmesi için sınırlı sayıda kişi tarafından, faaliyetle sınırlı olmak üzere erişim söz konusudur.

Veri sorumlusu Firma kişisel verilere hukuka aykırı olarak erişilmesini önlemek, amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almaktadır.

Firma içerisinde erişim yetkileri sınırlandırılmakta, yetkiler düzenli olarak gözden geçirilmektedir.

Bu kapsamda politika kapsamında Firma bünyesinde işlenen ve saklanan kişisel veriler ile ilgili süreçlerde ilerlenmesi gereken prosedür yer alacaktır.

 

Firma bünyesinde kişisel verilere erişebilecek departmanlar ve kişisel veriye erişim durumları aşağıda belirtilmektedir:

 

Kişisel veriye erişim

Firma , çalışanların işe alınma süreçlerinde imzalanan İş Sözleşmelerinde gizliliğe ve kişisel veri güvenliğine ilişkin olarak hükümler belirlemiştir ve çalışanlardan bu hükümlere uymasını istemektedir. İş Sözleşmelerinin ayrılmaz parçaları olan politikalar ve taahhütnamelerde de kişisel verilerin korunması gözetilmektedir. Çalışanlar, aldığı eğitimler ve bilgilendirmeler sonucunda rol ve sorumlulukları, görev tanımları göz önünde bulundurulduğunda çalışanlar;

 

Sadece kendi görev tanımları ile ilişkili kişisel verilere erişebilmektedir. Bu kişisel verilere KVKK 12. madde uyarınca işleme amaçlarına uygun erişim söz konusudur. Firma personeli görev tanımı dışında kişisel verilere erişmesi mümkün değildir.

 

Hassas nitelikli kişisel verilere erişim KVKK madde 6 uyarınca şartların sağlanması durumunda söz konusudur. Firma bünyesinde görev alan personel, müşterilerin kişisel verilerine, Firma ile müşteriler arasında bulunan sözleşmenin kurulması veya ifası kapsamında sır saklama yükümlülüğü altında erişim sağlamaktadır. Personelin kanunlarda açıkça öngörülme durumları hariç hassas nitelikli kişisel verilere erişimi açık rıza şartının sağlanması ile mümkündür.

 

Personel görev tanımı dışında ki iş ve faaliyetlerle ilgili kişisel verilere erişemez. Görev tanımı içerisinde öğrendiği kişisel verileri korumakla ve izinsiz paylaşmamakla yükümlüdür. Tesadüfi yollarla erişim sağladığı kişisel verileri izinsiz paylaşamaz.

 

Ürün veya Hizmet Alıcısı Gerçek Kişi’nin Kişisel Veriye Erişimi

 

Firma ile ilişkisi bulunan müşteriler sadece kendileri ile ilgili ve sınırlı olmak üzere iletişim kurduğu personelle ilgili kişisel verilere erişim hakkına mevcuttur. Bununla beraber müşteri ilgili kişi olması durumunda KVKK madde 11 uyarınca haklarını kullanabilir.

 

Üçüncü Kişilerin, Hissedarların ve İş Ortaklarının Kişisel Verilere Erişimi

 

Üçüncü kişiler, hissedarlar ve iş ortaklarının kişisel verilere erişimi ancak KVVK madde 5 uyarınca “bir sözleşmenin kurulması veya ifasıyla ilgili doğrudan doğruya ilgili olması kaydıyla”, “veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması” ve “kanunlarda açıkça öngörülmesi” durumlarında söz konusudur.

Firma , üçüncü kişilerle imzalanan sözleşmelerde gizliliğe ve kişisel veri güvenliğine ilişkin olarak hükümler belirlemiştir ve bu şartlara uygun hareket edilmesi beklenmektedir.

Özel Nitelikli Kişisel Verilere Erişim 

Firma bünyesinde sağlık bilgileri haricindeki özel nitelikli kişisel veriler KVVK madde 6 uyarınca  “kanunlarda öngörülen hâllerde” veya ilgili kişinin açık rızasının alınması durumlarında işlenmektedir. Bu kapsamda sağlık verileri dışında ki kişisel verilere erişim çalışanların yetki matrisi kapsamında sadece ilgli departmanlarca sınırlı tutulmuştur. Personel’e ait özel nitelikli kişisel veriler sadece İnsan Kaynakları departmanınca sorumlu kişiler tarafından işlenmekte ve muhafaza edilmektedir.

Firmamızda çalışan tüm personeller kişisel bilgisayarları aracılığı ile mevcut network alt yapısı üzerinden kendilerine erişim yetkisi tanımlanmış yedekleme sistemleri ağ üzerinden sınırlı erişim yetkisi ile gerekli verelere erişmektedirler.

Dava, hukuk dosyaları gibi Özel nitelikli verilerimiz sunucularımız tarafından yedeklenmekte ve veri girişleri kullanıcılar tarafından sağlanmaktadır. Bu kapsamda tüm personel için Veri erişim politikaları ve yetki matrix tanımlanmaktadır. Sistemlerimiz üzerinde işleten ve kayıt altına alınan verilerimiz Cloud sistemlere düzenli bir şekilde yedeklenmektedir. Sunucular üzerinde DLP (Veri sızıntısı önleme) yazılımları bulunmaktadır. Yetkisiz kişiler tarafından verilerin sızdırılması önlenmektedir. Tüm network ve internet alt yapımız güvenlik duvarı, Kapalı ağ sistemi, saldırı tespit önleme sistemi, Web koruma kalkanı, zararlı yazılım önleme sistemleri ile koruma altındadır. Ayrıca 5651 sayılı kanun kapsamında tüm sistem log kayıtları kayıt altına alınmaktadır. Alınan log kayıtları 5651 sayılı kanun gereği TÜBİTAK zaman damgası ile imzalanmaktadır. Hukuk büromuza dışardan erişimler VPN (Virtural Pricty Network) protokolü ile kullanıcı bazı erişilmekte ve log kayıtları kayıt altına alınmaktadır. Wifi yayınlarımız HOTSPOT sistemi aracılığı ile özel istek üzerine misafirlerimiz için log kayıtları 5651 sayılı kanun kapsamında kayıt altına alınarak izole bir ağ üzerinden verilmektedir.

Firmamız bilgisayarlarında USB belle gibi tüm aygıtlar dışarıdan gelen yetkisiz erişime kapatılmış sadece hukuk büromuzun sistem üzerinden ID kayıtları alınarak yetkilendirdiği USB bellekler ve E-İmza modülleri tanımlanmıştır.

 Sağlık bilgileri içeren kişisel veriler Firma bünyesinde ilgili kişinin açık rıza vermesi haricinde sadece kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan iş sağlığı güvenliği birimlerince iş yeri hekimi tarafından toplanmaktadır. Sağlık verileri sadece belirtilen yetkili kişilerce erişimin sınırlı olduğu ortamlarda tutulmaktadır.

 Firma , özel nitelikli kişisel verilere ilişkin politika belirlemiştir ve bu şartlara uygun hareket edilmesi beklenmektedir.