KİŞİSEL VERİ GÜVENLİĞİ POLİTİKASI

  1. AMAÇ

Bu politikanın amacı; SONÇAĞ TARIM (“Şirket”) bünyesinde işlenen kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, verilere hukuka aykırı olarak erişilmesini engellemek ve verilerin muhafazasını sağlamak amacıyla alınan Teknik ve İdari Tedbirleri belirlemektir.

  1. İDARİ TEDBİRLER (YÖNETİMSEL ÖNLEMLER)

Şirketimiz, kişisel veri güvenliğini sağlamak adına idari olarak şu önlemleri almıştır:

  • Risk Analizi: Kişisel veri işleme faaliyetleri analiz edilmiş, riskli alanlar belirlenmiş ve bu riskleri azaltacak önlemler alınmıştır.
  • Çalışan Eğitimi: Tüm çalışanlara KVKK, veri güvenliği ve siber güvenlik konularında farkındalık eğitimleri verilmektedir.
  • Gizlilik Taahhütleri: Çalışanlarla yapılan iş sözleşmelerine ve hizmet alınan tedarikçilerle yapılan sözleşmelere “Veri Gizliliği ve Güvenliği” maddeleri eklenmiştir.
  • Disiplin Süreçleri: Veri güvenliği kurallarına uymayan çalışanlar hakkında uygulanacak disiplin prosedürleri belirlenmiştir.
  • Veri Minimizasyonu: Şirket faaliyetleri için gerekli olmayan hiçbir kişisel veri toplanmamakta, “ihtiyaç kadar veri” ilkesi uygulanmaktadır.
  1. TEKNİK TEDBİRLER (SİBER GÜVENLİK VE ALTYAPI)

Şirketimiz, verilerin dijital ortamda güvenliğini sağlamak için şu teknik önlemleri uygulamaktadır:

  • Siber Güvenlik: Şirket bilgisayarlarında ve sunucularında güncel Anti-Virüs ve Güvenlik Duvarı (Firewall) yazılımları kullanılmaktadır.
  • Erişim Yetkileri: Kişisel verilere erişim, sadece ilgili departman çalışanları ile sınırlandırılmıştır (Örn: Sağlık raporlarını sadece İK ve İşveren görebilir, pazarlama ekibi göremez). İşten ayrılan çalışanın erişim yetkileri (E-posta, sistem girişi) derhal kapatılır.
  • Şifre Yönetimi: Kullanıcı hesapları için güçlü şifreler (büyük/küçük harf, rakam içeren) kullanılmakta ve periyodik olarak değiştirilmesi sağlanmaktadır.
  • Yedekleme (Back-up): Olası siber saldırı veya veri kaybı durumlarına karşı veriler düzenli olarak (günlük/haftalık) yedeklenmektedir.
  • Log Kayıtları: Sistemlere yapılan erişimler ve hareketler, 5651 sayılı kanuna uygun olarak loglanmakta (kayıt altına alınmakta) ve bu kayıtlara dışarıdan müdahale edilememektedir.
  1. FİZİKSEL GÜVENLİK TEDBİRLERİ

Şirketimiz, kişisel verilerin bulunduğu fiziksel ortamları korumak için şu önlemleri almıştır:

  • Kilitli Dolaplar: Kişisel veri içeren kağıt ortamındaki evraklar (özlük dosyaları, faturalar vb.) kilitli dolaplarda saklanmaktadır.
  • Yetkisiz Giriş: Arşiv odası veya sunucu odası gibi kritik alanlara sadece yetkili personel giriş yapabilmektedir.
  • Kamera İzleme: Şirket binası ve girişleri 7/24 güvenlik kameraları ile izlenmektedir.
  • Temiz Masa İlkesi: Çalışanlar, mesai bitiminde masalarının üzerinde kişisel veri içeren evrak bırakmamaktadır.
  1. KİŞİSEL VERİ İHLALİ VE MÜDAHALE PLANI

Alınan tüm önlemlere rağmen bir veri ihlali (siber saldırı, hırsızlık, veri sızıntısı vb.) gerçekleşmesi durumunda Şirketimiz;

  • İhlali tespit ettiği andan itibaren en geç 72 saat içinde Kişisel Verileri Koruma Kurumu’na (Kurul) bildirimde bulunur.
  • Verisi ihlal edilen ilgili kişileri (çalışan, müşteri vb.) en kısa sürede bilgilendirir.
  • İhlalin kaynağını tespit edip kapatmak için bilişim uzmanlarıyla çalışır.
  1. YÜRÜRLÜK

İşbu Politika, Şirket Müdürü tarafından onaylandığı tarihte yürürlüğe girer ve tüm çalışanlar tarafından uygulanması zorunludur.