KİŞİSEL VERİ GÜVENLİĞİ POLİTİKASI
- AMAÇ
Bu politikanın amacı; SONÇAĞ TARIM (“Şirket”) bünyesinde işlenen kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, verilere hukuka aykırı olarak erişilmesini engellemek ve verilerin muhafazasını sağlamak amacıyla alınan Teknik ve İdari Tedbirleri belirlemektir.
- İDARİ TEDBİRLER (YÖNETİMSEL ÖNLEMLER)
Şirketimiz, kişisel veri güvenliğini sağlamak adına idari olarak şu önlemleri almıştır:
- Risk Analizi: Kişisel veri işleme faaliyetleri analiz edilmiş, riskli alanlar belirlenmiş ve bu riskleri azaltacak önlemler alınmıştır.
- Çalışan Eğitimi: Tüm çalışanlara KVKK, veri güvenliği ve siber güvenlik konularında farkındalık eğitimleri verilmektedir.
- Gizlilik Taahhütleri: Çalışanlarla yapılan iş sözleşmelerine ve hizmet alınan tedarikçilerle yapılan sözleşmelere “Veri Gizliliği ve Güvenliği” maddeleri eklenmiştir.
- Disiplin Süreçleri: Veri güvenliği kurallarına uymayan çalışanlar hakkında uygulanacak disiplin prosedürleri belirlenmiştir.
- Veri Minimizasyonu: Şirket faaliyetleri için gerekli olmayan hiçbir kişisel veri toplanmamakta, “ihtiyaç kadar veri” ilkesi uygulanmaktadır.
- TEKNİK TEDBİRLER (SİBER GÜVENLİK VE ALTYAPI)
Şirketimiz, verilerin dijital ortamda güvenliğini sağlamak için şu teknik önlemleri uygulamaktadır:
- Siber Güvenlik: Şirket bilgisayarlarında ve sunucularında güncel Anti-Virüs ve Güvenlik Duvarı (Firewall) yazılımları kullanılmaktadır.
- Erişim Yetkileri: Kişisel verilere erişim, sadece ilgili departman çalışanları ile sınırlandırılmıştır (Örn: Sağlık raporlarını sadece İK ve İşveren görebilir, pazarlama ekibi göremez). İşten ayrılan çalışanın erişim yetkileri (E-posta, sistem girişi) derhal kapatılır.
- Şifre Yönetimi: Kullanıcı hesapları için güçlü şifreler (büyük/küçük harf, rakam içeren) kullanılmakta ve periyodik olarak değiştirilmesi sağlanmaktadır.
- Yedekleme (Back-up): Olası siber saldırı veya veri kaybı durumlarına karşı veriler düzenli olarak (günlük/haftalık) yedeklenmektedir.
- Log Kayıtları: Sistemlere yapılan erişimler ve hareketler, 5651 sayılı kanuna uygun olarak loglanmakta (kayıt altına alınmakta) ve bu kayıtlara dışarıdan müdahale edilememektedir.
- FİZİKSEL GÜVENLİK TEDBİRLERİ
Şirketimiz, kişisel verilerin bulunduğu fiziksel ortamları korumak için şu önlemleri almıştır:
- Kilitli Dolaplar: Kişisel veri içeren kağıt ortamındaki evraklar (özlük dosyaları, faturalar vb.) kilitli dolaplarda saklanmaktadır.
- Yetkisiz Giriş: Arşiv odası veya sunucu odası gibi kritik alanlara sadece yetkili personel giriş yapabilmektedir.
- Kamera İzleme: Şirket binası ve girişleri 7/24 güvenlik kameraları ile izlenmektedir.
- Temiz Masa İlkesi: Çalışanlar, mesai bitiminde masalarının üzerinde kişisel veri içeren evrak bırakmamaktadır.
- KİŞİSEL VERİ İHLALİ VE MÜDAHALE PLANI
Alınan tüm önlemlere rağmen bir veri ihlali (siber saldırı, hırsızlık, veri sızıntısı vb.) gerçekleşmesi durumunda Şirketimiz;
- İhlali tespit ettiği andan itibaren en geç 72 saat içinde Kişisel Verileri Koruma Kurumu’na (Kurul) bildirimde bulunur.
- Verisi ihlal edilen ilgili kişileri (çalışan, müşteri vb.) en kısa sürede bilgilendirir.
- İhlalin kaynağını tespit edip kapatmak için bilişim uzmanlarıyla çalışır.
- YÜRÜRLÜK
İşbu Politika, Şirket Müdürü tarafından onaylandığı tarihte yürürlüğe girer ve tüm çalışanlar tarafından uygulanması zorunludur.