RENWORLD
Kataloğumuza Erişin

1.Giriş

Renworld Enerji Teknolojileri Sanayi ve Ticaret A.Ş. ("Kuruluşumuz") olarak, kişisel verilerinizin güvenliği konusuna önem vermekteyiz. Bu bilinçle, sizlere ait her türlü kişisel verinin mümkün olabilen en iyi şekilde ve özenle işlenerek muhafaza edilmesine büyük hassasiyet göstermekteyiz. Bu sorumluluğumuzun bilinci ile 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) ve ilgili mevzuat kapsamında Veri Sorumlusu sıfatıyla, kişisel verilerinizi aşağıda belirtilen çerçevede işlemekteyiz.

Sizlere yüksek standartlarda hizmet sunabilmek amacı ile kişisel verilerinizi, verilen hizmetin niteliğine bağlı olarak Çağrı Merkezi, internet, mobil uygulamalar, fiziksel mekânlar ve benzeri kanallardan sözlü, yazılı, görsel, ya da elektronik olarak elde etmekteyiz.

Bu kapsamda tüm teklif, muayene, test ve hata analizi hizmetlerinin yürütülmesi için gerekli olan ve bu amaçla elde edilen kişisel ve teknik veri başta olmak üzere, başlıca genel ve özel nitelikli kişisel veriler aşağıda sıralanmıştır;

• Adınız, soyadınız, T.C. kimlik numaranız, Türk vatandaşı olmamanız halinde pasaport numaranız veya geçici T.C. kimlik numaranız, doğum yeri ve tarihiniz, medeni haliniz, cinsiyet bilginiz gibi kimlik verileriniz ve ibraz ettiğiniz T.C. Kimlik Kartı ya da Ehliyet fotokopiniz,
• Adresiniz, Telefon numaranız, Elektronik posta adresiniz gibi iletişim verileriniz,
• Banka hesap numaranız, IBAN numaranız gibi finansal verileriniz,
• Dosyanızda takip edilmesi amacıyla sunduğunuz sertifikasyon laboratuvar test sonuçlarınız, santral performans verileriniz, ürün reçete bilgileriniz gibi hizmetlerimizin yürütülmesi sırasında elde edilen ilişkin verileriniz,
• Hizmetlerimizi değerlendirmek amacı ile paylaştığınız yanıt ve yorumlarınız,
• İdari binalarımız, çalışma alanlarımızda ziyaretiniz sırasında alınan kapalı devre kamera sistemi görüntü ve ses kaydınız,
• Çağrı Merkezimiz ile iletişime geçtiğiniz takdirde tutulan sesli görüşme kayıtlarınız,
• Sizlere sunacağımız hizmetlerinin finansmanı ve planlaması amacıyla sunulan banka, sigorta ve Sosyal Güvenlik Kurumu verileriniz,
• Web sitemiz ve mobil uygulamamızın kullanımı sırasında elde edilen gezinme bilgileri, IP adresi, tarayıcı bilgileri ve kendi rızanız ile ilettiğiniz tıbbi belgeler, anketler, form bilgileriniz ve konum verileriniz.

Yukarıda belirtilen “Kişisel ve Özel Nitelikli Verileriniz” Renworld bünyesinde fiziki ve elektronik arşivlerde büyük bir titizlik ve mevzuat hükümlerine riayet edilerek muhafaza edilebilecektir.

1.1. Politikanın Amacı

Renworld olarak; kişisel verilerin 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), ikincil düzenlemeler, KVK Kurul Kararları ve sair mevzuat hükümleri çerçevesinde hukuka uygun olarak işlenmesi ve korunması hususuna azami önem veriyor ve tüm planlama ve faaliyetlerimizde aynı hassasiyetle hareket ediyoruz.

Vizyonumuz;

Gelecek nesillerin kaliteli bir yaşam sürme haklarını güvence altına almak için enerji kaynaklarını kullanırken korumak gibi önemli sorumluluklarımız var.

Sürdürülebilirlik açısından, yenilenebilir enerji santralleri tüm değer zinciri boyunca, proje denetimi ve sertifikasyonu hizmetlerinde güvenin sembolü olan, ülkemizin gelişimine katkı sağlayan, tüm paydaşlarımıza değer katan, küresel ölçekte öncü ve saygın bir çözüm ortağı kuruluş olmak için kararlıyız.

Müşterilerimizin ve paydaşlarımızın ihtiyaçlarını karşılarken bu sorumlulukları korumak için rakipsiz ve yenilikçi çözümler sunuyoruz.

Misyonumuz;

Güvenlik, güvenilirlik, verimlilik, döngüsellik, kullanım kolaylığı ve sürdürülebilirlik açısından ilham veren ve standardı yükselten yenilikçi çözümler sunmak.

Akredite gözetim ve muayene alanında hizmetlerini ulusal ve uluslararası ölçekte tanınır ve güvenilir şekilde sunmak, müşterilerimizin ve paydaşlarımızın dünya çapında güneş enerjisi ve depolama çözümlerini kullanmalarına yardımcı olarak daha iyi bir gelecekte uluslararası standartların ve yenilenebilir enerji dünyasının kuralların belirlemesinde etkin rol almaktır.

Bu doğrultuda, gerek KVKK’ nın 10. maddesi kapsamında aydınlatma yükümlülüğünü yerine getirerek şeffaflığı sağlamak gerekse kişisel verilerin işlenmesi ve korunması kapsamında Kuruluşumuzun benimsediği temel prensipler ile aldığımız tüm idari ve teknik tedbirleri Kişisel Veri Sahiplerine bildirmek adına işbu Kişisel Verilerin İşlenmesi ve Korunması Politikası (“Politika”) hazırlanmıştır.

1.2. Politikanın Kapsamı ve İlgili Kişiler

Bu Politika; otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla; çalışanlar, çalışan adayları, denetçiler, denetlenen kurum çalışan ve müşterileri, ziyaretçiler başta olmak üzere kişisel verileri Kuruluşumuz tarafından işlenen diğer üçüncü kişiler için hazırlanmıştır ve bu belirtilen kişiler kapsamında uygulanacaktır.

Bu Politika, hiçbir şekilde tüzel kişilere ve tüzel kişi verilerine uygulanmayacaktır.

1.3. Politika’nın ve İlgili Mevzuatın Uygulanması 

Kişisel verilerin işlenmesi ve korunması konusunda yürürlükte bulunan ilgili kanuni düzenlemeler öncelikle uygulama alanı bulacaktır. Yürürlükte bulunan mevzuat ve Politika arasında uyumsuzluk bulunması durumunda, Kuruluşumuz yürürlükteki mevzuatın uygulama alanı bulacağını kabul ve taahhüt etmektedir. Politika, ilgili mevzuat tarafından ortaya konulan kuralları Kuruluşumuz uygulamaları kapsamında somutlaştırılarak düzenlemektedir.

2. Kişisel Verilerin İşlenmesi ve Aktarılması

2.1   Kişisel Verilerin İşlenmesinde Genel İlkeler

Kuruluşumuz tarafından kişisel veriler, Kanunda ve bu Politikada öngörülen usul ve esaslara uygun olarak işlenir. Kuruluşumuz, kişisel verileri işlerken aşağıdaki ilkelere uygun hareket eder:

2.1.1. Hukuka ve Dürüstlük Kuralına Uygun İşleme 

Kişisel veriler, ilgili hukuk kurallarına ve dürüstlük kuralının gereklerine uygun olarak işlenir.

2.1.2. Kişisel Verilerin Doğru ve Gerektiğinde Güncel Olmasını Sağlama

Kuruluşumuz, kişisel verileri işleme faaliyetini yürütürken, işlediği kişisel verilerin doğruluğunu ve güncelliğini sağlamaya yönelik sistem ve sürece sahiptir. Bu kapsamda kişisel verilerin elde edildiği kaynakların belirli olması, doğruluğunun teyit edilmesi, güncellenmesi gerekip gerekmediğinin değerlendirilmesi gibi hususlar özenle dikkate alınır. Bu doğrultuda kişisel veri sahipleri, Kuruluşumuza başvuruda bulunarak kişisel verilerinin sürekli olarak doğru ve güncel olarak tutulmasını mümkün kılabilir.

2.1.3. Belirli, Açık ve Meşru Amaçlarla İşleme 

Kuruluşumuz tarafından, kişisel veriler; belirli, açık ve meşru amaçlarla işlenir. Amacın meşru olması, Kuruluşumuz işlediği kişisel verilerin, yapmış olduğu iş veya sunmuş olduğu hizmetle bağlantılı ve bunlar için gerekli olması anlamına gelir. Kuruluşumuz belirli, açık ve meşru amacını işbu politika ve diğer metinler vasıtasıyla kişisel veri işleme faaliyeti henüz başlamadan veri sahiplerinin bilgisine sunar.

2.1.4. İşlendikleri Amaçlarla Bağlantılı, Sınırlı ve Ölçülü Olma 

Kuruluşumuz, kişisel verileri, faaliyet konusu ile ilgili ve işinin yürütülmesi için gerekli amaçlar dâhilinde işlemektedir. İşlenen veriyi, sadece amacın gerçekleştirilmesi için gerekli olanla sınırlı tutar. İşleme amacına için gerekli olmayan fazla kişisel veriler işlenmez. Bu kapsamda işlenen kişisel veriler, işlendikleri amaçla bağlantılı, sınırlı ve ölçülüdür.

2.1.5. İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç İçin Gerekli Olan Süre Kadar Muhafaza Etme 

Kuruluşumuz, ilgili mevzuatta verilerin saklanması için öngörülen bir süre bulunması halinde bu sürelere uyum gösterir; aksi durumda kişisel verileri, ancak işlendikleri amaç için gerekli olan süre kadar muhafaza eder. Kişisel verinin daha fazla muhafaza edilmesi için geçerli bir sebep kalmaması durumunda, söz konusu veri silinir, yok edilir veya anonim hale getirilir.

3. Kişisel Verilerin Aktarılma Şartları

Kişisel verileriniz, işbu Politika’ da belirtilen amaçların yerine getirilmesine yönelik olarak, kanunen yetkili kamu kurumları ve kuruluşlarına, tedarikçi ve iş ortaklarımıza, gerektiğinde işleme amacıyla sınırlı, bağlantılı ve ölçülü olarak hizmet alınan/hizmet verilen kişilere, KVK Kanunu Madde 8 ve Madde 9’da belirtilen kişisel veri işleme şartları ve amaçları çerçevesinde aktarılabilecektir.

Kişisel Verileri üçüncü kişilere:

• İlgili Kişinin açık rızası var ise;
• Kanunlarda Kişisel Verinin aktarılacağına ilişkin açık bir düzenleme var ise,
• İlgili Kişinin veya başkasının hayatı veya beden bütünlüğünün korunması için zorunlu ise,

.   İlgili Kişi fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda ise veya rızasına hukuki geçerlilik tanınmıyorsa,

• Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olmak kaydıyla sözleşmenin taraflarına ait Kişisel Verinin aktarılması gerekli ise,
• Kuruluşumuzun hukuki yükümlülüğünü yerine getirmesi için Kişisel Veri aktarımı   zorunlu ise,
• Kişisel Veriler, İlgili Kişi tarafından alenileştirilmiş ise,
• Kişisel Veri aktarımı bir hakkın tesisi, kullanılması veya korunması için zorunlu ise,
• İlgili Kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla,

Kuruluşumuzun meşru menfaatleri için Kişisel Veri aktarımı zorunlu ise aktarabilir.

3.1 Özel Nitelikli Kişisel Verilerin Aktarılma Şartları 

Tarafımızdan istenmemesine rağmen Kuruluşumuza özel nitelikli kişisel veri iletildiği takdirde, söz konusu kişisel veriler derhal imha edilmekte, hiçbir üçüncü kişi veya kurumlara aktarım yapılmamaktadır.

Kuruluşumuz, gerekli özeni göstererek, gerekli güvenlik tedbirlerini alarak ve Kurul tarafından öngörülen yeterli önlemleri alarak; meşru ve hukuka uygun kişisel veri işleme amaçları doğrultusunda İlgili Kişi’ nin Özel Nitelikli kişisel verilerini aşağıdaki durumlarda üçüncü kişilere aktarabilmektedir.

a- İlgili Kişi’ nin açık rızası olması halinde veya

b- Aşağıdaki şartların varlığı halinde İlgili Kişi’ nin açık rızası aranmaksızın;

• İlgili Kişi’ nin sağlığı ve cinsel hayatı dışındaki Özel Nitelikli Kişisel Verileri (felsefi inanç, din, mezhep veya diğer inançlar, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler), kanunlarda öngörülen hallerde,
• İlgili Kişi’ nin sağlığına ve cinsel hayatına ilişkin Özel Nitelikli Kişisel Veriler’ i ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından. Örneğin, işyeri hekimimiz tarafından hastanelere aktarım yapılmaktadır.

3.2. Kişisel Verilerin ve Özel Nitelikli Kişisel Verilerin Yurt Dışına Aktarılması

Kuruluşumuz, kişisel verileri yurtdışına aktarmamaktadır.

4. Kişisel Verilerin İşlenme ve Aktarılma Amaçları, Aktarılacağı Kişiler

4.1 Kişisel Verilerin İşlenme ve Aktarılma Amaçları

Kişisel Veriler; hukuka ve Kanun’un amacına uygun olarak Kuruluşumuzun;

• Faaliyetlerin Mevzuata Uygun Yürütülmesi
• İş Sürekliliğinin Sağlanması Faaliyetlerinin Yürütülmesi
• İletişim Faaliyetlerinin Yürütülmesi
• İş Faaliyetlerinin Yürütülmesi/Denetimi
• Kurumsal Faaliyetlerin Tanıtılması, Duyurulması, İlgili Taraflarla Paylaşılması
• Performans Değerlendirme Süreçlerinin Yürütülmesi
• Çalışan Memnuniyeti ve Bağlılığı Süreçlerinin Yürütülmesi
• Görevlendirme Süreçlerinin Yürütülmesi
• İnsan Kaynakları Süreçlerinin Yürütülmesi
• Çalışanlar İçin İş Akdi ve Mevzuattan Kaynaklı Yükümlülüklerin Yerine Getirilmesi
• Eğitim Faaliyetlerinin Yürütülmesi
• İç Denetim/Sorgulama/İstihbarat Faaliyetinin Yürütülmesi
• Fiziksel Mekân Güvenliğinin Tanımı
• Bilgi Güvenliği Süreçlerinin Yürütülmesi
• Risk Yönetimi Süreçlerinin Yürütülmesi
• Ziyaretçi Kayıtlarının Oluşturulması ve Takibi
• İş Süreçlerinin İyileştirilmesine Yönelik Önerilerin Alınması ve Değerlendirilmesi
• Yetenek / Kariyer Gelişimi Faaliyetlerinin Yürütülmesi
• Akreditasyon Faaliyetlerinin Yürütülmesi
• Ödemenin Yapılması
• Sertifikanın Gönderilmesi
• DTU Alım Sürecinin Yürütülmesi
• Katılımların takibi
• Denetim/Etik Faaliyetlerin Yürütülmesi
• Talep / Şikâyet / İtiraz / Bilgi Edinme Takibi
• Mal / Hizmet Satın Alım Süreçlerinin Yürütülmesi
• Hukuk İşleminin Takibi ve Yürütülmesi
• Çalışan Adaylarının Başvuru Sürecinin Yürütülmesi
• Çalışanlar için Yan Haklar Menfaatler Süreçlerinin Yürütülmesi
• Ücret Politikasının Yürütülmesi
• Acil Durum Yönetimi Süreçlerinin Yönetimi

Amaçlarıyla sınırlı olarak Kanun’un 5. ve 6. maddelerinde belirtilen;

• Fiili imkânsızlık nedeniyle açık rızanın alınamaması.
• Sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
• Veri sorumlusunun (Kurum) hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması
• Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
• İlgili kişinin temel hak ve özgürlüklerine zarar vermemek koşuluyla veri sorumlusunun meşru menfaatleri için veri işlemenin zorunlu olması durumunda,

Kişisel veri işleme şartları kapsamında işlenir. Bahsi geçen amaçlarla gerçekleştirilen işleme faaliyetinin, Kanun kapsamında öngörülen şartlardan herhangi birini karşılamıyor olması halinde, ilgili işleme sürecine ilişkin olarak Kuruluşumuz tarafından açık rızanız temin edilmektedir.

4.2 Kişisel Verilerin Aktarılacağı Kişiler    

Kişisel veriler, tarafınıza sunulan hizmetlerin tam ve kusursuz olmasını temin edebilmek amacıyla ve yalnızca hizmetin niteliğiyle uygun düştüğü ölçüde ve açık rızanız dâhilinde herkese açık olarak veya tedarikçi, akredite veya akreditasyon süreci devam eden kuruluşlar, denetim ekibi üyeleri, UDK’lar ve yetkili kamu kurum ve kuruluşları ile paylaşılabilmektedir.

Açık rızanız haricinde verilerinizin paylaşıldığı üçüncü kişiler ilgili hizmetlerin tam ve kusursuz temin edilebilmesi için ilgili bilgilere ulaşması zorunlu olan kişilerden ibarettir.

Bunların haricinde hizmetin tam ve kusursuz olarak verilebilmesi için başkaca üçüncü kişilerle verilerin paylaşılmak zorunda kalınması, Kuruluşumuzun hukuki yükümlülüklerini yerine getirebilmesi için zorunlu olması, kanunlarda açıkça öngörülmüş olması yahut yasalara uygun olarak verilmiş olan bir adli/idari emir bulunması gibi hallerde de Kişisel Verileriniz yalnızca ilgili kişi ya da kurumla sınırlı olmak üzere aktarılabilecektir.

5. Kişisel Verilerin Toplama Yöntemi, Silinmesi Yok Edilmesi ve Anonim Hale Getirilmesi ve Saklanma Süresi

5.1. Kişisel Veri Toplamanın Yöntemi 

Kanun’un amacını düzenleyen 1. Madde ile Kanun’un kapsamını düzenleyen 2. Madde’ ye uygunluğunun denetimi amacıyla, Kişisel Veriler otomatik yolla veya bir kayıt sisteminin bir parçası olmak kaydı ile otomatik olmayan yolla; Kuruluşumuz içinde internete erişiminiz vasıtasıyla, kimlik belgeniz üzerinden, plaka bilgileriniz üzerinden, binalarımız içinde yer alan kapalı devre kameralar aracılığı ile, referans kişisi göstermeniz halinde Kurum’un meşru menfaati gereği bu kişilerden bilgi almak suretiyle, Kuruluşumuz kurumsal e-posta adresi yahut Kuruluşumuz çalışanlarının e-postalarına gönderdiğiniz e-postalar ile ve diğer teknik ve sair yöntemlerle Kuruluşumuz internet sitesi gibi muhtelif yollardan, elektronik, yazılı veya sözlü olarak, Politika’ da yer verilen amaçların gerçekleştirilmesi amacıyla mevzuat, sözleşme, talep ve isteğe dayalı hukuki sebepler çerçevesinde yasadan doğan sorumlulukların eksiksiz ve doğru bir şekilde yerine getirilebilmesi için toplanır ve Kuruluşumuz veya Kuruluşumuz tarafından görevlendirilen veri işleyenler tarafından işlenir.

5.2. Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hâle Getirilmesi

Kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesine ilişkin diğer kanunlarda yer alan hükümler saklı kalmak kaydı ile Kuruluşumuz, bu Kanun ve diğer kanun hükümlerine uygun olarak işlemiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde Kişisel verileri resen veya İlgili Kişinin talebi üzerine siler, yok eder veya anonim hale getirir. Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesi ile ilgili Kuruluşumuz tekniklerine dair detaylı düzenlemeler Kuruluşumuzun Kişisel Veri Saklama ve İmha Politikası’ nda yer almaktadır.

Kişisel verilerin silinmesi ile bu veriler tekrar hiçbir şekilde kullanılamayacak ve geri getirilemeyecek şekilde imha edilir. Buna göre kişisel veriler, kayıtlı oldukları evrak, dosya, CD, disket, hard disk gibi araçlardan geri dönüştürülemeyecek şekilde silinir. Kişisel Verilerin yok edilmesi ise, bilgilerin tekrar geri getirilemeyecek ve kullanılamayacak şekilde, verilerin kaydedildiği evrak, dosya, CD, disket, hard disk gibi veri saklamaya elverişli materyallerin yok edilmesini ifade etmektedir. Verilerin anonim hale getirilmesiyle, kişisel verilerin başka verilerle eşleştirilse dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi kastedilmektedir.

5.3. Kişisel Verilerin Saklanma Süresi

Kuruluşumuz, kişisel verileri mevzuatta öngörülmesi durumunda, bu mevzuatta belirtilen süre boyunca saklamaktadır. Kişisel verilerin ne kadar süre boyunca saklanması gerektiğine ilişkin mevzuatta bir süre düzenlenmemişse kişisel veriler, Kurum’un o veriyi işlerken yürütülen faaliyet ile bağlı olarak Kuruluşumuz uygulamaları uyarınca işlenmesini gerektiren süre kadar işlenmekte daha sonra silinmekte, yok edilmekte veya anonim hale getirilmektedir.

Kişisel verilerin işlenme amacı sona ermiş; ilgili mevzuat ve Kuruluşumuz belirlediği saklama sürelerinin de sonuna gelinmişse; kişisel veriler yalnızca olası hukuki uyuşmazlıklarda delil teşkil etmesi veya kişisel veriye bağlı ilgili hakkın ileri sürülebilmesi veya savunmanın tesis edilmesi amacıyla saklanabilmektedir. Buradaki sürelerin tesisinde bahsi geçen hakkın ileri sürülebilmesine yönelik zaman aşımı süreleri ile sınırlı olarak saklama süreleri belirlenmekte ve zaman aşımı sürelerinin geçmesinden sonra ise daha önce aynı konularda Kuruluşumuz yöneltilen taleplerdeki örnekler esas alınarak anonimleştirilerek saklanmaktadır. Bu durumda saklanan kişisel verilere herhangi bir başka amaçla erişilmemekte ve ancak ilgili hukuki uyuşmazlıkta kullanılması gerektiği zaman erişim sağlanmaktadır. Zaman aşımı süresince tutulan verilerde ise süre sona erdikten sonra kişisel veriler silinmekte, yok edilmekte veya anonim hale getirilmektedir.

Kişisel Verilerin saklanması, silinmesi, yok edilmesi ve anonim hale getirilmesi ile ilgili Kuruluşumuz tekniklerine dair detaylı düzenlemeler Kuruluşumuz Kişisel Veri Saklama ve İmha Politikası’nda yer almaktadır.

6. Kişisel Verilerin Korunmasına Dair Hususlar

Kuruluşumuz, Kanun’un 12. maddesine uygun olarak, işlemekte olduğu kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, verilere hukuka aykırı olarak erişilmesini önlemek ve verilerin muhafazasını sağlamak için uygun güvenlik düzeyini sağlamaya yönelik gerekli teknik ve idari tedbirleri almakta, bu kapsamda gerekli denetimleri yapmakta veya yaptırmaktadır.

6.1 Kişisel Verilerin Güvenliğinin Sağlanması 

Kuruluşumuz, kişisel verilerin hukuka uygun işlenmesini sağlamak için, teknolojik imkânlar ve uygulama maliyetine göre teknik ve idari tedbirler almaktadır.

6.1.1.     Kişisel Verilerin Hukuka Uygun İşlenmesini ve Erişilmemesini Sağlamak için Alınan Teknik Tedbirler  

• Ağ güvenliği ve uygulama güvenliği sağlanmaktadır.
• Ağ yoluyla kişisel veri aktarımlarında kapalı sistem ağ kullanılmaktadır.
• Anahtar yönetimi uygulanmaktadır.
• Bilgi teknolojileri sistemleri tedarik, geliştirme ve bakımı kapsamındaki güvenlik önlemleri alınmaktadır.
• Bulut sistemi kullanılmamaktadır.
• Çalışanlar için yetki matrisi oluşturulmuştur.
• Erişim logları düzenli olarak tutulmaktadır.
• Gerektiğinde veri maskeleme uygulanmaktadır.
• Görev değişikliği halinde veya işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır.
• Güncel antivirüs sistemleri kullanılmaktadır.
• Güvenlik duvarları kullanılmaktadır.
• Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmaktadır.
• Veri kaybı önleme yazılımları kullanılmaktadır.
• Sızma testi uygulanmaktadır.
• Şifreleme yapılmaktadır.
• Saldırı tespit ve önleme sistemleri kullanılmaktadır.
• Taşınabilir bellek, CD, DVD ortamında aktarılan özel nitelikli kişisel veriler ihtiyaç duyulması halinde şifrelenerek aktarılmaktadır.
• Kişisel veriler yedeklenmekte ve yedeklenen kişisel verilerin güvenliği de sağlanmaktadır.
• Kullanıcı hesap yönetimi ve yetki kontrol sistemi uygulanmakta olup bunların takibi de yapılmaktadır.
• Log kayıtları kullanıcı müdahalesi olmayacak şekilde tutulmaktadır.
• Mevcut risk ve tehditler belirlenmiştir.
• Saldırı tespit ve önleme sistemleri kullanılmaktadır.
• Siber güvenlik önlemleri alınmış olup uygulanması sürekli takip edilmektedir.
• Veri kaybı önleme yazılımları kullanılmaktadır.

6.1.2. Kişisel Verilerin Hukuka Uygun İşlenmesini ve Erişilmemesini Sağlamak için Alınan İdari Tedbirler  

• Kişisel veri güvenliği sorunları hızlı bir şekilde raporlanmaktadır.
• Çalışanlar için veri güvenliği hükümleri içeren disiplin düzenlemeleri mevcuttur.
• Çalışanlar için veri güvenliği konusunda belli aralıklarla eğitim ve farkındalık çalışmaları yapılmaktadır.
• Gizlilik taahhütnameleri yapılmaktadır.
• İmzalanan sözleşmeler veri güvenliği hükümleri içermektedir.
• Kağıt yoluyla aktarılan kişisel veriler için ekstra güvenlik tedbirleri alınmakta ve ilgili evrak gizlilik dereceli belge formatında gönderilmektedir.
• Kişisel veri güvenliği politika ve prosedürleri belirlenmiştir.
• Kişisel veri güvenliğinin takibi yapılmaktadır.
• Kişisel veri içeren fiziksel ortamların dış risklere (yangın, sel vb.) karşı güvenliği sağlanmaktadır.
• Kişisel veri içeren ortamların güvenliği sağlanmaktadır.
• Kişisel veriler mümkün olduğunca azaltılmaktadır.
• Kurum içi periyodik ve/veya rastgele denetimler yapılmakta ve yaptırılmaktadır.
• Özel nitelikli kişisel veri güvenliğine yönelik protokol ve prosedürler belirlenmiş ve uygulanmaktadır.
• Özel nitelikli kişisel veriler elektronik posta yoluyla gönderilecekse mutlaka şifreli olarak ve KEP veya kurumsal posta hesabı kullanılarak gönderilmektedir.

6.1.3.  Kişisel Verilerin Güvenli Ortamlarda Saklanması 

Kuruluşumuz, veri güvenliğini sağlamak üzere, kişisel verileri niteliğine uygun elektronik olan veya olmayan ortamlarda saklar.

Kuruluşumuz, kişisel verilerin güvenli ortamlarda saklanması ve hukuka aykırı amaçlarla yok edilmesini, kaybolmasını veya değiştirilmesini önlemek için teknolojik imkânlar ve uygulama maliyetine göre gerekli teknik ve idari tedbirleri almaktadır.

Kurum, yetkisiz erişimin önüne geçilebilmesi için kişisel veri işleme amaçlarına uygun olmasına rağmen, veri sorumlularının sıklıkla erişimi gerekmeyen ve arşiv amaçlı tutulan kişisel verilerin, daha güvenli ortamlarda muhafaza edilmesini sağlamaktadır.

6.1.4. Kişisel Verilerin Yetkisiz Bir Şekilde İfşası Durumunda Alınacak   Tedbirler

Kuruluşumuz, KVKK’ nın 12. maddesine uygun olarak işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde bu durumu en kısa sürede İlgili Kişiye ve Kişisel Verileri Koruma Kurulu’na bildirecektir. Kişisel Verileri Koruma Kurulu tarafından gerek görülmesi halinde, bu durum, Kişisel Verileri Koruma Kurumu’nun internet sitesinde veya başka bir yöntemle ilan edilebilecektir.

6.2. Kişisel Verilerin Korunması Konusunda Alınan Tedbirlerin Denetimi 

Kuruluşumuz, KVKK’ nın 12. maddesine uygun olarak, kendi bünyesinde gerekli denetimleri yapmakta veya yaptırmaktadır. Kuruluşumuz içerisinde kişisel verilerin hukuka uygun olarak işlenmesi ve bu hususta gerekenlerin yapılması amacıyla Kuruluşumuz bünyesinde bir Kurul oluşturulmuş olup bu kurul tarafından denetim sonuçları Kuruluşumuzun iç işleyişi kapsamında konu ile ilgili bölümlere raporlanmakta ve alınan tedbirlerin iyileştirilmesi için gerekli faaliyetler yürütülmektedir.

6.3. Özel Nitelikli Kişisel Verilerin Korunması

Kanun birtakım kişisel verilere, hukuka aykırı olarak işlendiğinde kişilerin mağduriyetine ve/veya ayrımcılığa sebep olma riski nedeniyle özel önem atfetmiştir. Bu veriler; ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir. Kanun ile “özel nitelikli” olarak belirlenen ve hukuka uygun olarak işlenen özel nitelikli kişisel verilerin korunmasına Kuruluşumuz tarafından azami hassasiyet gösterilmektedir. Bu kapsamda, Kuruluşumuz tarafından, kişisel verilerin korunması için alınan teknik ve idari tedbirler, özel nitelikli kişisel veriler bakımından da azami özenle uygulanmakta ve bu konuda Kurum bünyesinde gerekli denetimler sağlanmaktadır.