Dosya Kodu: POL-DATA-PROTECTION
Başlık: Veri Koruma Politikası
 Versiyon: v1.0
Tarih: 2025-11-30
Sahibi: Hukuk ve Mevzuata Uyum  IT Güvenliği
Onaylayan: CEO
Sınıflandırma: Dahili

1. Amaç

Bu politikanın amacı, GDPR ve KVKK dahil olmak üzere yürürlükteki veri koruma mevzuatına uygun olarak kişisel verilerin toplanması, işlenmesi, saklanması, aktarılması ve silinmesine ilişkin ilkeleri belirlemektir.


Kişisel verilerin işlenmesi sırasında kuruluşun yükümlülüklerini ve tüm personelin sorumluluklarını tanımlar.

2. Kapsam

Bu politika aşağıdakiler için geçerlidir:

  • Tüm çalışanlar, stajyerler, yükleniciler ve üçüncü taraflar
  • Şirket sistemleri içinde işlenen tüm kişisel veriler
  • Çalışanlara, müşterilere, iş ortaklarına ve son kullanıcılara ait veriler
  • Hem otomatik hem de otomatik olmayan veri işleme faaliyetleri
  • Google Workspace, Drive, veritabanları ve bulut platformları dahil olmak üzere depolama sistemleri

3. Veri Koruma İlkeleri

Kuruluş aşağıdaki ilkelere uyar:

  1. Hukuka Uygunluk, Dürüstlük, Şeffaflık – Veriler hukuka uygun ve şeffaf şekilde işlenmelidir.
  2. Amaçla Sınırlılık – Toplanan veriler yalnızca açık ve meşru amaçlar için kullanılmalıdır.
  3. Veri Minimizasyonu – İşleme için kesinlikle gerekli olan veriler toplanmalıdır.
  4. Doğruluk – Kişisel veriler doğru olmalı ve güncel tutulmalıdır.
  5. Saklama Süresiyle Sınırlılık – Veriler gerekli olandan daha uzun süre saklanmamalıdır.
  6. Bütünlük ve Gizlilik – Veriler yetkisiz erişime, değiştirilmeye veya kayba karşı korunmalıdır.
  7. Hesap Verebilirlik – Kuruluş, mevzuata uyumu göstermekten sorumludur.

4. Kişisel Veri Kategorileri

  1. Çalışan Verileri – İK kayıtları, sözleşmeler, iletişim bilgileri.
  2. Müşteri veya Üye İş Yeri Verileri – İletişim bilgileri, faturalama bilgileri.
  3. Sistem Erişim Verileri – E-posta, kullanıcı adları, loglar.
  4. Özel Nitelikli Veriler – Yalnızca hukuken gerekli olduğunda ve açık güvenlik önlemleriyle işlenir.

5.İşlemenin Hukuki Dayanağı

İşleme faaliyetleri aşağıdaki hukuki dayanaklardan birine veya birkaçına dayanmalıdır:

  • Açık rıza
  • Sözleşmenin kurulması veya ifası
  • Hukuki yükümlülüklere uyum
  • Meşru menfaat
  • Hayati menfaatlerin korunması (nadiren)

Belirlenmiş bir hukuki dayanak olmaksızın hiçbir işleme faaliyeti gerçekleştirilemez.

6. Veri Sahibi Hakları

Veri sahipleri aşağıdaki haklara sahiptir:

  1. Erişim hakkı
  2. Düzeltme hakkı
  3. Silme hakkı (“unutulma hakkı”)
  4. İşlemenin kısıtlanması hakkı
  5. Veri taşınabilirliği hakkı
  6. İtiraz hakkı
  7. Otomatik karar verme süreçlerine tabi olmama hakkı

Kuruluş, taleplere yasal süreler içinde yanıt vermelidir.

Kişisel veriler yalnızca operasyonel veya hukuki gereklilikler için gerekli olduğu süre boyunca saklanmalıdır.

İK, Finans ve Hukuk birimleri kategori bazında saklama kurallarını belirler.

Süresi dolan veriler güvenli şekilde silinmeli veya anonimleştirilmelidir.

Kişisel veri içeren yedekler de aynı yaşam döngüsüne tabi olmalıdır.

7. Veri Saklama Gereklilikleri

  1. Tüm kişisel veriler onaylı sistemlerde (Google Workspace, şifrelenmiş veritabanları, güvenli bulut hizmetleri) saklanmalıdır.

  2. Kişisel cihazlarda, yerel disklerde, USB belleklerde veya onaysız bulut depolama alanlarında saklama yasaktır.

  3. Kişisel verilere erişim PROC-ACCESS-CONTROL prosedürüne uygun olmalıdır.

  4. Uygulanabilir durumlarda, verilerin hem dinlenme halinde hem de aktarım sırasında şifreleme kullanılmalıdır.

8. Veri Paylaşımı ve Aktarımlar

  1. Kişisel veriler yalnızca yetkili dahili ekipler veya onaylı üçüncü taraflarla paylaşılabilir.

  2. Üçüncü taraflar veri işleme sözleşmeleri imzalamalıdır.

  3. Uluslararası veri aktarımları GDPR yeterlilik kurallarına veya sözleşmesel güvence mekanizmalarına uygun olmalıdır.

  4. Kişisel veriler asla yetkisiz kanallar (özel e-posta, mesajlaşma uygulamaları) üzerinden paylaşılmamalıdır.

9. BYOD Cihazlarında Kişisel Veriler

BYOD cihazları kullanan çalışanlar şunları yapmalıdır:

  1. Şifreleme, parola koruması ve antivirüsün etkin olmasını sağlamak.
  2. Kişisel verileri onaylı uygulamalar dışında saklamamak.
  3. Cihaz kaybı veya ihlalini derhal bildirmek.
  4. İşten ayrılma sürecinde BT’nin şirket verilerini kaldırmasına izin vermek.

10. Veri İhlali Prosedürü

Şüpheli veya doğrulanmış veri ihlali durumunda:

  1. Derhal BT Güvenliği’ne bildirin.
  2. PROC-INCIDENT-RESPONSE prosedürünü takip edin.
  3. Kişisel verilerin etkilenip etkilenmediğini değerlendirin.
  4. Hukuken gerekli olduğunda yetkili mercileri ve etkilenen kişileri bilgilendirin.
  5. İhlali ve düzeltici aksiyonları dokümante edin.

11. Sorumluluklar

Çalışanlar:

  1. Rollerinin gerektirdiği ölçüde veri işlemek.
  2. Veri ihlallerini derhal bildirmek.
  3. Tüm güvenlik politikalarına uymak.

BT Güvenliği:

  1. Teknik ve idari güvenlik önlemlerini uygulamak.
  2. Güvenli depolama sistemlerini sürdürmek.
  3. Veri sahibi taleplerinin yönetimine destek olmak.

İK / Hukuk:

  1. Saklama sürelerini belirlemek.
  2. Rızaları ve sözleşmesel yükümlülükleri yönetmek.
  3. Uyum dokümantasyonunu muhafaza etmek.

12. İlgili Dokümanlar

  • POL-INFORMATION-SECURITY
  • REF-DATA-CLASSIFICATION
  • PROC-ACCESS-CONTROL
  • PROC-PASSWORD-MANAGEMENT
  • PROC-INCIDENT-RESPONSE
  • PROC-ASSET-MANAGEMENT
  • PROC-OFFBOARDING
  • CH-OFFBOARD-IT

13. Revizyon Geçmişi

v1.0 – 2025-11-30 – İlk sürüm oluşturuldu