POLİTİKALARIMIZ

SUNART müşterilerinin, tedarikçilerinin, hizmet tedarikçilerinin ve/veya bunların temsilcilerinin ve çalışanlarının kişisel verisini kendileri ile sözleşme imzalanması veya mal/hizmet alım/satım yapılması ile birlikte işler.

Çalışanların kişisel verilerinin işlenmesi iş başvurusunda bulunmaları ile başlar, iş akitlerinin sonlanana kadar gereken durumlarda kendilerinden talep edilerek devam eder. Görüntü ve ses kayıtları iş yerinde bulundukları zamanlarda işlenir. Çalışan adaylarının kişisel verileri iş başvurusu sırasında işlenir.

SUNART kendi sistemlerini kullandırarak internet erişimi sağladığı kişilerin 5651 sayılı kanun kapsamında tutulması gerekli olan internet erişim bilgilerini ve internet sitesi olan www.sunart.com internet sitesine bağlanan IP adreslerine ait log kayıtlarını tutmaktadır. Şirket binalarının ortak alanlarında güvenlik amacıyla 7/24 kamera kaydı yapılmaktadır. Ziyaretçilerin kişisel verisi şirketimize ait tesislere girişi ile birlikte işlenir.

VERİ TOPLAMANIN HUKUKİ SEBEPLERİ

6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 5. Maddesinin (2) fıkrasında sayılan durumlara uygun olarak yukarıda Kişisel Verilerin İşlenme Şartları ve Kişisel Verilerin İşlenme Amaçları başlıkları altında sayılan durumlar veri toplamanın hukuki sebeplerini oluşturur.

VERİ SAHİBİ KATEGORİLERİ

VERİ ENVANTERİ VE VERİ KATEGORİLERİ

İlgili kişi gruplarına göre sınıflandırılan kişisel veriler işlenme amaçları, nitelikleri, aktarılma yerleri, saklanma süreleri dikkate alınarak bir veri envanterine aktarılır. Bu envanterde bulunan veri kategorileri; kimlik, iletişim, özlük, hukuki işlem, müşteri işlem, fiziksel mekân güvenliği, işlem güvenliği, risk yönetimi, finans, mesleki deneyim, görsel ve işitsel kayıtlar, ceza mahkûmiyeti ve güvenlik tedbirleri olarak belirlenmiştir. Envanterin güncelliği belirli aralıklarla kontrol edilir.

SUNART'ın bu politikada açıklanan kişisel veri işleme amaçlarına uygun olarak veri saklama süreleri aşağıdaki tabloda gösterilmektedir.

HUKUKA AYKIRI VERİ İŞLENMESİNİN ÖNLENMESİ

SUNART bu politikada belirtilen amaçlarını gerçekleştirmek için ilgili kişi gruplarına göre kişisel verileri işler. Kişisel veriler işlenirken işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ilkesine her zaman sadık kalınır. Kişisel veriler mümkün olduğunca azaltılır.

SUNART amacı dışında kişisel verilerin işlenmemesi için gerekli idari ve teknik önlemleri alır. Veri işleyen personele bu konuda eğitim verilir. Veri işleme süreçleri şirket yönetiminin denetimi altındadır.

HUKUKA AYKIRI ERİŞİMİN ÖNLENMESİ

SUNART kişisel veri içeren fiziksel ortamlara giriş-çıkışlarla ilgili gerekli güvenlik önlemlerini alır. Bu ortamların dış risklere karşı güvenliği sağlanır. Kâğıt yoluyla aktarılan kişisel veriler gizlilik dereceli belge formatında gönderilir.

Bilgi sistemleri üzerinde tutulan kişisel verilere erişimle ilgili bir erişim matrisi oluşturulmuştur. Kişisel verilere erişim kayıtları düzenli olarak ve kullanıcı müdahalesi olmayacak şekilde tutulur. Bilgi sistemlerinin dış risklere karşı güvenliği sağlanır.

TANIMLAR

6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 3. Maddesindeki tanımlar bu politika için de geçerlidir

KİŞİSEL VERİLERİN KORUNMASINA İLİŞKİN ÖNLEMLER

Kişisel verilerin korunması için idari önlem olarak;

1- Kişisel veri güvenliği politika ve prosedürleri belirlenmiştir.
2- Kişisel veri güvenliği sorunları hızlı bir şekilde raporlanmaktadır.
3- Kişisel veri güvenliğinin takibi yapılmaktadır.
4- Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmaktadır.
5- Kişisel veri içeren fiziksel ortamların dış risklere (yangın, sel vb.) karşı güvenliği sağlanmaktadır.
6- Çalışanlar için veri güvenliği konusunda belli aralıklarla eğitim ve farkındalık çalışmaları yapılmaktadır.
7- Taraf olunan sözleşmelere veri güvenliğine ilişkin hükümler konulmaktadır. Tedarikçilerden ve çalışan personelden veri güvenliği ve gizliliğe ilişkin taahhütler alınmaktadır.
8- Çalışanlar için veri güvenliği konusunda belli aralıklarla eğitim ve farkındalık çalışmaları yapılmaktadır.
9- Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır.
10- Kâğıt yoluyla aktarılan kişisel veriler için ekstra güvenlik tedbirleri alınmakta ve ilgili evrak gizlilik dereceli belge formatında gönderilmektedir.
11- Veri işleyen hizmet sağlayıcılarının, veri güvenliği konusunda farkındalığı sağlanmaktadır.

Kişisel verilerin korunması için teknik önlem olarak;

1- Bir bilgi güvenliği yönetim sistemi ilke olarak benimsenmiştir.
2- Ağ güvenliği ve uygulama güvenliği sağlanmaktadır.
3- Güncel anti-virüs programları kullanılmaktadır.
4- Güvenlik duvarları kullanılmaktadır.
5- Kişisel veriler düzenli olarak yedeklenmekte, yedeklenen verilerle ilgili her türlü fiziksel ve sanal güvenlik önlemleri alınmaktadır.
6- Log kayıtları kullanıcı müdahalesi olmayacak şekilde tutulmaktadır.

ANONİMLEŞTİRME

Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir. Kişisel verilerin anonim hale getirilmiş olması için; kişisel verilerin, veri sorumlusu veya alıcı grupları tarafından geri döndürülmesi ve/veya verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekir.

SUNART, kişisel verilerin anonim hale getirilmesi sürecinde gerekli her türlü teknik ve idari tedbirleri alır. Kişisel verilerin anonim hale getirilmesi, Kişisel Verilerin Silinmesi Yok edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelikte belirtilen esaslara ve KVK Kurumunun konuya ilişkin yayınladığı rehberdeki yöntemlere uygun olarak yapılır.

KİŞİSEL VERİLERİN SİLİNMESİ

Kişisel verilerin silinmesi, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.

SUNART, silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması için gerekli her türlü teknik ve idari tedbirleri alır. Verilerin silinmesi ile ilgili aşağıdaki yöntemler kullanılır.

Hizmet Olarak Uygulama Türü Bulut Çözümleri: Bulut sisteminde veriler silme komutu verilerek silinir. Anılan işlem gerçekleştirilirken ilgili kullanıcının bulut sistemi üzerinde silinmiş verileri geri getirme yetkisinin olmadığına dikkat edilir.

‍Kâğıt Ortamında Bulunan Kişisel Veriler: Kâğıt ortamında bulunan kişisel veriler karartma yöntemi kullanılarak silinir. Karartma işlemi, ilgili evrak üzerindeki kişisel verilerin, mümkün olan durumlarda kesilmesi, mümkün olmayan durumlarda ise geri döndürülemeyecek ve teknolojik çözümlerle okunamayacak şekilde sabit mürekkep kullanılarak ilgili kullanıcılara görünemez hale getirilmesi şeklinde yapılır.

‍Sunucuda Yer Alan Ofis Dosyaları: Dosyanın işletim sistemindeki silme komutu ile silinmesi veya dosya ya da dosyanın bulunduğu dizin üzerinde ilgili kullanıcının erişim haklarının kaldırılması sağlanır. Anılan işlem gerçekleştirilirken ilgili kullanıcının aynı zamanda sistem yöneticisi olmadığına dikkat edilir.

‍Taşınabilir Medyada Bulunan Kişisel Veriler: Taşınabilir medyalarda gizli seviyede hiçbir veri taşınmamaktadır. Taşınabilir ortamda olan kişisel veriler, söz konusu donanıma uygun yazılımlar ile silinir.

‍Veri Tabanları: Kişisel verilerin bulunduğu ilgili satırlar veri tabanı komutları ile (DELETE vb.) silinir. Anılan işlem gerçekleştirilirken ilgili kullanıcının aynı zamanda veri tabanı yöneticisi olmadığına dikkat edilir.

KİŞİSEL VERİLERİN YOK EDİLMESİ

Kişisel verilerin yok edilmesi, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. SUNART, kişisel verilerin yok edilmesiyle ilgili gerekli her türlü teknik ve idari tedbirleri alır.

TEMEL İLKELER

Yerel Sistemler

‍Söz konusu sistemler üzerindeki verilerin yok edilmesi için aşağıdaki yöntemlerden bir ya da birkaçı kullanılır.

‍De-manyetize Etme: Manyetik medyanın özel bir cihazdan geçirilerek gayet yüksek değerde bir manyetik alana maruz bırakılması ile üzerindeki verilerin okunamaz biçimde bozulması işlemidir.

‍Fiziksel Yok Etme: Optik medya ve manyetik medyanın eritilmesi, yakılması veya toz haline getirilmesi gibi fiziksel olarak yok edilmesi işlemidir. Optik veya manyetik medyayı eritmek, yakmak, toz haline getirmek ya da bir metal öğütücüden geçirmek gibi işlemlerle verilerin erişilmez kılınması sağlanır. Katı hal diskler bakımından üzerine yazma veya de-manyetize etme işlemi başarılı olmazsa, bu medyanın da fiziksel olarak yok edilmesi sağlanır.

‍Üzerine Yazma: Manyetik medya ve yeniden yazılabilir optik medya üzerine en az yedi kez 0 ve 1’lerden oluşan rastgele veriler yazarak eski verinin kurtarılmasının önüne geçilmesi işlemidir. Bu işlem özel yazılımlar kullanılarak yapılmaktadır.

Çevresel Sistemler

‍Ortam türüne bağlı olarak kullanılabilecek yok etme yöntemleri aşağıda yer almaktadır:

‍Ağ cihazları (switch, router vb.): Söz konusu cihazların içindeki saklama ortamları sabittir. Ürünler, çoğu zaman silme komutuna sahiptir ama yok etme özelliği bulunmamaktadır. Yukarıda ‘Yerel Sistemler’ için belirtilen uygun yöntemlerin bir ya da birkaçı kullanılmak suretiyle yok edilmesi sağlanır.

‍Flash tabanlı ortamlar: Flash tabanlı sabit disklerin ATA (SATA, PATA vb.), SCSI (SCSI Express vb.) ara yüzüne sahip olanları, destekleniyorsa komutunu kullanmak, desteklenmiyorsa üreticinin önerdiği yok etme yöntemini kullanmak ya da Yukarıda ‘Yerel Sistemler’ için belirtilen uygun yöntemlerin bir ya da birkaçı kullanılmak suretiyle yok edilmesi sağlanır.

‍Manyetik bant: Verileri esnek bant üzerindeki mikro mıknatıs parçaları yardımı ile saklayan ortamlardır. Çok güçlü manyetik ortamlara maruz bırakıp de-manyetize ederek ya da yakma, eritme gibi fiziksel yok etme yöntemleriyle yok edilmesi sağlanır.

‍Manyetik disk gibi üniteler: Verileri esnek (plaka) ya da sabit ortamlar üzerindeki mikro mıknatıs parçaları yardımı ile saklayan ortamlardır. Çok güçlü manyetik ortamlara maruz bırakıp de-manyetize ederek ya da yakma, eritme gibi fiziksel yok etme yöntemleriyle yok edilmesi sağlanır.

‍Mobil telefonlar (Sim kart ve sabit hafıza alanları): Taşınabilir akıllı telefonlardaki sabit hafıza alanlarında silme komutu bulunmakta, ancak çoğunda yok etme komutu bulunmamaktadır. Yukarıda ‘Yerel Sistemler’ için belirtilen uygun yöntemlerin bir ya da birkaçı kullanılmak suretiyle yok edilmesi sağlanır.

‍Optik diskler: CD, DVD gibi veri saklama ortamlarıdır. Yakma, küçük parçalara ayırma, eritme gibi fiziksel yok etme yöntemleriyle yok edilmesi sağlanır.

‍Veri kayıt ortamı çıkartılabilir olan yazıcı, parmak izli kapı geçiş sistemi gibi çevre birimleri: Tüm veri kayıt ortamlarının söküldüğü doğrulanarak özelliğine göre Yukarıda ‘Yerel Sistemler’ için belirtilen uygun yöntemlerin bir ya da birkaçı kullanılmak suretiyle yok edilir.

‍Veri kayıt ortamı sabit olan yazıcı, parmak izli kapı geçiş sistemi gibi çevre birimleri: Söz konusu sistemlerin çoğunda silme komutu bulunmakta, ancak yok etme komutu bulunmamaktadır. Yukarıda ‘Yerel Sistemler’ için belirtilen uygun yöntemlerin bir ya da birkaçı kullanılmak suretiyle yok edilmesi sağlanır.

‍Kâğıt Ve Mikrofiş Ortamlar

‍Söz konusu ortamlardaki kişisel veriler, kalıcı ve fiziksel olarak ortam üzerine yazılı olduğundan ana ortamın yok edilmesi sağlanır. Bu işlem gerçekleştirilirken ortam kağıt imha veya kırpma makinaları ile anlaşılmaz boyutta, mümkünse yatay ve dikey olarak, geri birleştirilemeyecek şekilde küçük parçalara bölünür. Orijinal kâğıt formattan, tarama yoluyla elektronik ortama aktarılan kişisel verilerin ise bulundukları elektronik ortama göre yukarıda belirtilen uygun yöntemlerin bir ya da birkaçı kullanılmak suretiyle yok edilmesi sağlanır.

Bulut Sistemler

‍Söz konusu sistemlerde yer alan kişisel verilerin depolanması ve kullanımı sırasında, kriptografik yöntemlerle şifrelenmesi ve kişisel veriler için mümkün olan yerlerde, özellikle hizmet alınan her bir bulut çözümü için ayrı ayrı şifreleme anahtarları kullanılması gerekmektedir. Bulut bilişim hizmet ilişkisi sona erdiğinde; kişisel verileri kullanılır hale getirmek için gerekli şifreleme anahtarlarının tüm kopyalarının yok edilmesi sağlanır.

AMAÇ

Herkes, SUNART'a başvurarak kendisiyle ilgili;

1- Kişisel verisinin işlenip işlenmediğini öğrenme, kişisel verisi işlenmişse buna ilişkin bilgi talep etme,
2- Kişisel verisinin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
3- Yurt içinde veya yurt dışında kişisel verisinin aktarıldığı üçüncü kişileri bilme,
4- Kişisel verisi eksik veya yanlış işlenmişse bunların düzeltilmesini isteme,  Kanun’da öngörülen şartlar çerçevesinde bunların silinmesini veya yok edilmesini isteme ve bu işlemlerin kişisel verisinin aktarıldığı üçüncü kişilere bildirilmesini isteme,
5- İşlenen verisinin özellikle otomatik sistemler aracılığıyla analiz edilmesi suretiyle aleyhine bir sonucun ortaya çıkmasına itiraz etme,
6- Kişisel verisinin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması halinde zararının giderilmesini talep etme haklarına sahiptir.

SUNART kişilerin haklarını kullanmalarını kolaylaştıracak her türlü yöntemi sağlar. Ancak kişisel verilerin korunmasının bir gereği olarak kişilerin kimliklerini kuşkuya yer bırakmayacak şekilde kanıtlamaları gerekir. Kişisel Verileri Koruma Kurulunca yayımlanan tebliğ gereği başvuruda aşağıdaki bilgilerin bulunması zorunludur.

1- Ad, soyad ve başvuru yazılı ise imza,
2- Türkiye Cumhuriyeti vatandaşları için T.C. kimlik numarası,
3- Yabancılar için uyruğu, pasaport numarası veya varsa kimlik numarası,
4- Tebligata esas yerleşim yeri veya iş yeri adresi,
5- Varsa bildirime esas elektronik posta adresi, telefon ve faks numarası,
6- Talep konusu.

İlgili kişiler yukarıdaki bilgileri içeren bir dilekçeyi kendileri hazırlayabilecekleri gibi www.sunart.com kurumsal internet adresinden edinecekleri başvuru formunu kullanarak da haklarını kullanabilirler. SUNART eksik bilgi içermeyen başvuruları 30 günü geçmemek üzere en kısa sürede cevaplar. Başvuruda eksik bilgi bulunması durumunda ek bilgiler ilgilisinden talep edilerek başvuru cevaplandırılır.