TASIMACIM YAZILIM TEKNOLOJİLERI ANONİM ŞİRKETİ
ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİ VE GÜVENLİĞİ POLİTİKASI

GİRİŞ

Politikanın Amacı

Taşımacım Yazılım Teknolojileri Anonim Şirketi (bundan sonra “Taşımacım” veya “Şirket” olarak anılacaktır.) olarak, 6698 sayılı Kişisel Verilerin Korunma Kanunu ve ilgili mevzuata uygun olarak özel nitelikli kişisel verileri işlemekte ve bu verilerin güvenliğini sağlamaktayız.

İşbu Özel Nitelikli Kişisel Verilerin İşlenmesi ve Güvenliği Politikası (“Politika”), “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler” ile ilgili Kişisel Verileri Koruma Kurulu’nun 31/01/2018 tarihli ve 2018/10 sayılı kararı (“Kurul Kararı”) uyarınca, veri sorumlusu olarak özel nitelikli kişisel verilerin işlenmesine yönelik aldığımız önlemlerin belirlenmesi amacıyla hazırlanmıştır.

İşbu Politika ile Taşımacım’ın Kişisel Veri Güvenliği Politikası (“Güvenlik Politikası”) birbirlerini tamamlayıcı nitelikte olup, işbu Politika’ da bahsedilmeyen hususlar için Güvenlik Politikası’nın incelenmesi gerekmektedir.

Taşımacım, veri sorumlusu olarak, uhdesinde bulunan özel nitelikli kişisel verileri işlerken, üçüncü kişiler ile paylaşırken ve veri kayıt ortamlarında saklarken işbu Politika’ ya uygun olarak hareket edecektir.

Politikanın Kapsamı

İşbu Politika, aşağıdaki kişilere ait edindiğimiz ve edinebileceğimiz özel nitelikli kişisel verilerin uygun güvenlik düzeyini sağlamaya yönelik faaliyetlerimizi kapsamaktadır:

• Şirketimizin çalışanları, çalışan adayları, eski çalışanları ve stajyerleri,
• Şirketimizin ve topluluk şirketlerimizin temsilcileri, vekilleri ve hissedarları,
• İş ortaklarımızın çalışanı, temsilcisi ve vekili,
• İş birliği içinde olduğumuz sağlık mesleği mensupları,
• Tedarikçilerimizin çalışanı, temsilcisi ve vekili,
• Müşterilerimiz ve potansiyel müşterilerimiz,
• Kamu/özel kurum ve kuruluşu çalışanları,
• İş birliği içinde olduğumuz derneklerin üyeleri ve yöneticileri,
• Diğer gerçek kişiler.

Politikadaki Değişiklikler ve Güncellemeler

Taşımacım, işbu Politika çerçevesinde md. 2’de bahsi geçen kişilerin özel nitelikli kişisel verilerini kişisel verilerin korunması mevzuatına uygun olarak işlemek ve bu verilerin güvenliğini sağlamak amacıyla gerekli idari ve teknik önlemleri alacaktır. Kanun veya ilgili mevzuatta veyahut Taşımacım’ın faaliyetlerinde meydana gelen değişiklikler doğrultusunda, işbu Politika ilgili birimler tarafından her zaman değiştirilebilir ve güncellenebilir.

ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİ

Özel Nitelikli Kişisel Verilerin İşlenmesine İlişkin Genel İlkeler

Taşımacım, kişisel verilerin işlenmesine ilişkin KVK Kanunu’nda belirtilen genel ilkelere uymakla yükümlüdür. Bu kapsamda Taşımacım, özel nitelikli kişisel veriler işlerken aşağıdaki ilkelere uygun olarak hareket edecektir:

• Hukuka ve dürüstlük kuralına uygun olarak kişisel verileri işleme,
• Kişisel verilerin doğru ve gerektiğinde güncel olmasını sağlama,
• Kişisel verileri belirli, açık ve meşru amaçlarla işleme,
• Kişisel verileri işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olarak işleme,
• İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza etme.

Özel Nitelikli Kişisel Verileri İşleme Şartları

Taşımacım, yukarıda bahsedilen genel ilkeler ile beraber KVK Kanunu’nun 6. maddesinde belirtilen şartlara uygun olarak özel nitelikli kişisel verileri işlemekle yükümlüdür. Bu kapsamda Taşımacım, aşağıdaki şartlardan birine dayalı olarak özel nitelikli kişisel verileri işleme faaliyeti yürütebilecektir:

• Özel nitelikli kişisel verilerin işlenmesine yönelik ilgili kişinin açık rızasının alınması veya,
• Sağlık ve cinsel hayata ilişkin kişisel veriler hariç, özel nitelikli kişisel verinin işlenmesinin kanunda öngörülmesi

Özel Nitelikli Kişisel Verilerin Aktarılması

Taşımacım, özel nitelikli kişisel verileri KVK Kanunu’nun 8. ve 9. maddelerinde belirtilen veri işleme şartlarına uygun olarak üçüncü kişiler ile paylaşabilecektir. Özel nitelikli kişisel verileri üçüncü kişilere aktarması esnasında Taşımacım, Kurul Kararı’nda belirtilen güvenlik önlemlerini alacaktır. Bu kapsamda Taşımacım, özel nitelikli kişisel verileri;

• e-posta ile aktardığı durumlarda, şifreli olarak kurumsal e-posta adresi veya Kayıtlı Elektronik Posta (KEP) hesabı kullanmaktadır,
• farklı fiziksel ortamlardaki sunucular arasında aktardığı durumlarda, sunucular arasında VPN kurarak ya da sFTP yöntemiyle verileri aktarmaktadır,
• kağıt üzerinden aktardığı durumlarda, belgenin çalınması, kaybolması ya da yetkisi kişisel tarafından erişilmesi gibi risklere karşı gerekli önlemleri almakta ve belgeyi “gizlilik dereceli belgeler” formatında göndermektedir.

Özel Nitelikli Kişisel Verilerin Muhafazası

Taşımacım, yukarıda detaylıca bahsi geçen genel ilke ve işleme şartlarına uygun bir şekilde özel nitelikli kişisel verileri muhafaza etmektedir. Özel nitelikli kişisel verilerin muhafaza edildiği ve/veya erişildiği ortamlara ilişkin Taşımacım, Kurul Kararı’nda belirtilen güvenlik önlemlerini alacaktır. Bu kapsamda Taşımacım,

• özel nitelikli kişisel verileri kriptografik yöntemler kullanılarak muhafaza etmekte ve kriptografik anahtarları güvenli ve farklı ortamlarda tutmaktadır,
• özel nitelikli kişisel veriler üzerinde gerçekleştirilen tüm hareketlerin işlem kayıtlarının güvenli olarak loglanmaktadır,
• özel nitelikli kişisel verilerin bulunduğu ortamlara ait güvenlik güncellemelerinin sürekli takip etmekte, gerekli güvenlik testlerinin düzenli olarak yaptırmakta ve test sonuçlarını kayıt altına almaktadır,
• özel nitelikli kişisel verilere bir yazılım aracılığı ile erişildiği hallerde bu yazılıma ait kullanıcı yetkilendirmeleri yapılmaktadır,
• özel nitelikli kişisel verilere uzaktan erişim gerekiyorsa en az iki kademeli kimlik doğrulama sistemi sağlanmaktadır.
• özel nitelikli kişisel verilerinin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, fiziksel ortam ise, elektrik kaçağı, yangın, su baskını, hırsızlık vb. durumlara karşı önlemleri almaktadır. Bu ortamların fiziksel güvenliği sağlanarak yetkisiz giriş çıkışları engellenmektedir.

ÇALIŞANLARIN ÖZEL NİTELİKLİ KİŞİSEL VERİLERİ İŞLEMESİ

Taşımacım, özel nitelikli kişisel verileri işleyen çalışanları için Kurul Kararı’nda belirtilen aşağıdaki tedbirleri almaktadır:

• Personellere, kişisel verilerin güvenliğinin sağlanması, hukuka aykırı olarak açıklanmaması ve paylaşılmamasına ilişkin gerekli eğitim ve farkındalık çalışmaları yapılmaktadır.
• Çalışanlar ile gizlilik sözleşmesi akdedilmektedir.
• Personeller, çalıştığı departmana ve iş rolüne göre kişisel verilerin bulunduğu sunuculara erişim için yetkilendirilmektedir. Bu yetkilerin kapsamı ve süreleri net olarak belirlenmektedir.
• Dönemsel olarak yetki kontrolleri yapılmaktadır.
• Çalışanların görev değiştirmesi veya işten ayrılması halinde verilere erişim yetkileri kaldırılmakta ve kendisine verilen envanter geri alınmaktadır.

KİŞİSEL VERİ GÜVENLİĞİ POLİTİKASI

Taşımacım, özel nitelikli kişisel veriler dahil olmak üzere işlediği tüm kişisel verilerin güvenliğini sağlamak amacıyla Kurum’un internet sitesinde yayınladığı Kişisel Veri Güvenliği Rehber’inde belirtilen teknik ve idari tedbirlere uygun olarak Kişisel Veri Güvenliği Politikası’nı oluşturmuştur. İşbu Özel Nitelikli Kişisel Veri Güvenliği Politikası, işlenen kişisel verilerin hukuka uygunluğunu sağlamak, hukuka aykırı olarak erişilmesini önlemek ve muhafazasını sağlamak adına uygun güvenlik düzeyini sağlamaya yönelik Şirket’in aldığı teknik ve idari tedbirlere yer vermektedir.