Özel Nitelikli Kişisel Verilerin İşlenmesi ve Korunması Politikası
1. Amaç
Bu politikanın amacı, Mazhar Zorlu Holding A.Ş.’ e ait ürün ve hizmetlerden faydalanan kişiler dahil, Mazhar Zorlu Holding A.Ş. ile ilişkili tüm şahıslara ait her türlü Özel Nitelikli Kişisel Verilerin 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVK Kanunu”)’na uygun olarak işlenerek, muhafaza edilen Özel nitelikli kişisel verilerin güvenliğinin sağlanması ve imha edilmesi hakkında yapılması gerekenleri belirlemektir.
2. Kapsam
Mazhar Zorlu Holding A.Ş.’deki tüm çalışanlar, danışmanlar, çözüm ortakları, tedarikçileri, müşterileri ve diğer üçüncü kişiler de dahil olmak üzere Mazhar Zorlu Holding A.Ş. tarafından işlenen tüm Özel nitelikli kişisel veriler bu Politika'nın kapsamındadır.
Bu politika, tüm kişisel verilerin işlenmesine yönelik faaliyetlerde, KVKK ve kişisel verilere ilişkin ilgili diğer mevzuat ve bu alandaki uluslararası standartlar gözetilerek uygulanmaktadır.
3. Sorumluluklar
Mazhar Zorlu Holding A.Ş. bünyesinde bulunan aşağıdaki kurul ve departmanlar, Kişisel Verilerin Korunması Kanunu yükümlülüklerinin yerine getirilmesinden sorumludurlar.
- Kişisel Verilerin Korunması Kurulu
- İnsan Kaynakları Departmanı
- Kurumsal İletişim Departmanı
- Bilgi ve İletişim Teknolojileri Departmanı
4. Tanımlar
KVKK : Kişisel Verilerin Korunması Kanunu
Açık Rıza : Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.
Anonim Hale Getirme : Kişisel verinin, kişisel veri niteliğini kaybedecek ve bu durumun geri alınamayacağı şekilde değiştirilmesidir.
Kişisel Veri Sahibi : Kişisel verisi işlenen gerçek kişi.
Kişisel Veri : Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.
Özel Nitelikli Kişisel Veri : Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık kıyafet, dernek vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik veriler özel nitelikli kişisel verilerdir.
Kişisel Verilerin İşlenmesi : Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.
Veri İşleyen : Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel veri işleyen gerçek ve tüzel kişidir.
Veri Sorumlusu : Kişisel verilerin işlenme amaçlarını ve vasıtalarını belirleyen, verilerin sistematik bir şekilde tutulduğu yeri (veri kayıt sistemi) yöneten kişi veri sorumlusudur.
5. Politika
5.1 Özel Nitelikli Kişisel Veriler:
Kişilerin, ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları ile kılık ve kıyafeti, dernek, vakıf yada sendika üyelikleri, sağlığı, cinsel hayatı, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel verilerdir.
5.2 Özel Nitelikli Kişisel Verilerin İşlenmesi ve Korunması:
KVKK uyarınca hukuka uygun olarak işlenen Özel Nitelikli Kişisel Veriler, Mazhar Zorlu Holding A.Ş. tarafından aşağıda belirtilen teknik ve idari tedbirler alınarak, korunmakta ve denetlenmektedir.
- Verilerin işlenmesi aşamasında bulunan çalışanlara, özel nitelikli kişisel verilerin güvenliği konusunda düzenli eğitimler verilmektedir. BGYS kapsamında olan departmanlara farkındalık eğitimleri içerisinde Kişisel veriler ve Özel nitelikli kişisel veriler konusunda detaylı bilgi verilmektedir. Kapsam dışında kalan diğer departmanlara ise KVKK eğitimleri içerisinde verilmektedir.
- Verilerin işlenmesi aşamasında bulunan çalışanlar ile Mazhar Zorlu Holding A.Ş. arasında “Veri İşleyen Çalışan İcin Gizlilik Sözlesmesi” yapılmaktadır.
- Verilere erişim yetkisi bulunan kullanıcıların yetki kapsamları ve süreleri, veri sorumlusu tarafından “KVK Erişim Yetkileri Listesi”nde belirtilmiştir .
- Özel Nitelikli kişisel verilere erişim yetkisi, Veri Sorumlusu tarafından 3 ayda bir kontrol edilerek raporlanmaktadır.
- Erişim Kontrol Politikası’nda da belirtildiği gibi, görev değişikliği yada işten ayrılan sorumlu çalışan olması durumunda, sorumlu kişilerin yetkileri derhal kaldırılıp, Özel nitelikli kişisel verilere erişimi de hemen kaldırılmaktadır.
- Özel nitelikli kişisel verilerin bulunduğu, işlendiği ve korunduğu elektronik ortamlar ve yazılımlara;
- Kullanıcı bazlı şifreli hesap yetkilendirmeleri ile erişim kontrolü sağlanmaktadır.
- Özel nitelikli kişisel verilere uzaktan erişim gerekmesi durumunda, VPN ve digipass kullanımı ile kriptolu kimlik doğrulama adımları ile uzaktan erişim sağlanmaktadır.
- Özel nitelikli kişisel verilerin bulunduğu ortamlar güvenlik güncellemeleri takip edilmekte ve düzenli aralıklarla güvenlik testleri yapılmakta/yaptırılmaktadır.
- Özel nitelikli kişisel verilerin bulunduğu, işlendiği ve korunduğu fiziki ortamlar,
- Özel kilitli dolaplarda muhafaza edilmekte, dolap ve içinde bulunduğu odalar kontrollü ve yetkilendirilmiş giriş izinleri ve merkezi güvenlik kamera izleme sistemi ile takip edilmektedir.
- Elektrik kaçağı, su baskını, hırsızlık vb. durumlara karşı gerekli önlemler alınmıştır.
- Özel nitelikli kişisel verilerin aktarımı,
- Veriler e-posta yoluyla aktarılması gerekiyorsa sadece Kayıtlı Elektronik Posta (KEP) adresi hesabı kullanılarak yapılmaktadır.
- Taşınabilir bellek, CD/DVD gibi ortamlar ile aktarılacak ise Taşınabilir Medya Politikası ve Bilgi Transfer Politikası gereğince aktarılmaktadır.
- Farklı fiziksel ortamlarda bulunan sunucular arasında yapılması gerektiğinde, aktarımlar sFTP aracılığıyla yapılmaktadır.
- Kağıt ortamı yoluyla aktarımı gerekiyorsa, evrakın çalınması, yetkisiz kişiler tarafından görülmesi gibi risklere karşı kapalı zarf içinde kişiye özel gönderimle aktarılmaktadır.
5.3 Özel Nitelikli Kişisel Verilerin Silinmesi, Yok Edilmesi ve Anonimleştirilmesi
Açık rıza ile işlenen Özel Nitelikli Kişisel Veriler, “Kişisel Verilerin Güvenli Saklanması, Silinmesi ve İmhası Politikası”nda belirtilen durumlar veya veri sahibinin talebi üzerine “Kişisel Verilerin Güvenli Saklanması, Silinmesi ve İmhası Politikası” ve “Güvenli Imha Politikasi” nda belirtilen yöntemler ile silinir ve imha edilir.
Özel Nitelikli Kişisel Verilerin anonim hale getirilme işlemi, “Kişisel Veriler Anonimleştirme Politikası” nda belirtilen yöntemler ile yapılmaktadır.
5.4 Özel Nitelikli Kişisel Veri Sahibinin Haklarını Kullanması
Özel Nitelikli Kişisel veri sahipleri, KVKK kapsamında belirlenen haklarına ilişkin taleplerini www……………...com.tr adresinde bulunan ve yayınlanan “Aydınlatma Metni” nde erişim linki bulunan “Veri Sahibi başvuru formu nu doldurarak ıslak imzalı olarak Mazhar Zorlu Holding A.Ş. İzmir İşletmeleri adresine göndererek iletebileceklerdir.
Özel Nitelikli Kişisel Veri sahibinin kendisi dışında bir kişinin talepte bulunması için konuya ilişkin olarak kişisel veri sahibi tarafından başvuruda bulunacak kişi adına düzenlenmiş özel vekâletname bulunmalıdır. Ayrıca, Özel Nitelikli Kişisel Veri sahipleri adına üçüncü kişiler tarafından talepte bulunulması mümkün değildir.