KURUMSAL YÖNETİME İLİŞKİN DOKÜMANLAR VE KURALLAR

1. AMAÇ VE KAPSAM

1.1. Amaç

Kreafin Danışmanlık A.Ş. (ticari marka adıyla ve metnin geri kalanında kullanılacak biçimiyle “Kreafin”) iş süreçlerinde kullandığı ve işlediği kişisel verileri işbu çatı politika dökümanı kapsamında yönetmektedir.

1.2. Kapsam

Doküman, aşağıdaki politikalardan oluşmaktadır:

• Kişisel Verilerin Korunması ve İşlenmesi Politikası (KVKİP)

• Kişisel Veri Saklama ve İmha Politikası (KVSİP)

• Özel Nitelikli Kişisel Verilere İlişkin Politika (ÖNKVİP)

2. TANIMLAR

Açık Rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızadır.

Anonim Hale Getirme: Kişisel verilerin, başka verilerle eşleştirilerek hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.

Krea-fin.com: Kreafin Danışmanlık A.Ş.’dir.

İlgili Kullanıcı: Kişisel verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan Kreafin Danışmanlık A.Ş. ‘nin çalışanı ya da birimi hariç olmak üzere Veri Sorumlusu organizasyonu içerisinde veya Veri Sorumlusu’ndan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişilerdir.

İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesidir.

Kanun: 6698 sayılı Kişisel Verilerin Korunması Kanunu’dur.

Kayıt Ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortamdır.

Kayıtlı Elektronik Posta (KEP): Elektronik iletilerin, gönderimi ve teslimatı da dâhil olmak üzere kullanımına ilişkin olarak hukukî delil sağlayan, elektronik postanın nitelikli bir şeklidir.

Kişisel Veri İşleme Envanteri: Kişisel verileri işleme faaliyetlerinin; kişisel verilerin işlenme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturulan ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami sürenin, aktarımı öngörülen kişisel verilerin ve veri güvenliğine ilişkin alınan tedbirlerin açıklanarak detaylandırıldığı envanterdir.

Kişisel Veri Saklama ve İmha Politikası (KVSİP): Kişisel verilerin işlendikleri amaç için gerekli olan azami süreyi belirleme işlemi ile silme, yok etme ve anonim hale getirme işlemi için atılması gereken adımları içeren politikadır.

Kişisel Veri Saklama ve İmha Prosedürü: Kişisel Veri Saklama ve İmha Politikası’nda belirtilen şekilde işlem kurallarını detaylı olarak düzenlemek amacı ile hazırlanan prosedürdür.

Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgidir.

Kişisel Verilerin İşlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemdir.

Kişisel Verilerin Korunması ve İşlenmesi İlkeleri: Kreafin Danışmanlık A.Ş. tarafından hazırlanan ve kişisel verilerin korunması ve işlenmesine ilişkin genel esasları belirten ilkelerdir.

Kişisel Verilerin Korunması ve İşlenmesi Politikası (KVKİP): Kreafin Danışmanlık A.Ş. ‘nin işlediği kişisel verilerin içeriği, kategorileri, kullanılış ve işleniş biçimleri, muhafaza edilme koşulları, kişisel veri sahiplerinin hakları ve kişisel verilerin korunmasıyla ilgili alınan önlemler hakkında açıklamaları içeren politikadır.

Kriptografik Yöntemler: Kriptografik yöntemler ya da “şifreleme”, okunabilir durumdaki bir verinin içerdiği bilginin istenmeyen taraflarca anlaşılamayacak bir hale dönüştürülmesinde kullanılan yöntemlerin tümüdür. Kriptografi bir matematiksel yöntemler bütünüdür ve önemli bilgilerin güvenliği için gerekli gizlilik, aslıyla aynılık, kimlik denetimi ve asılsız reddi önleme gibi şartları sağlamak amaçlıdır. Bu yöntemler, bir bilginin iletimi esnasında ve saklanma süresinde karşılaşılabilecek aktif saldırı ya da pasif algılamalardan bilgiyi (dolayısıyla bilginin göndericisi, alıcısı, taşıyıcısı, konu edindiği kişiler ve başka her türlü taraf olabilecek kişilerin çıkarlarını da) koruma amacı güderler.

Kurul: Kişisel Verileri Koruma Kurulu’dur.

Özel Nitelikli Kişisel Verilere İlişkin Politika (ÖNKVİP): Özel nitelikli kişisel verilerin güvenliğine yönelik kuralları tanımlayan ve bu alandaki yönetimi sağlayacak tüm faaliyetleri kapsayan politikadır.

Periyodik İmha: Kanun’da yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda Kişisel Verileri Saklama ve İmha Politikası’nda belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemidir.

Politika: Kişisel Veri Yönetimi Politikası’dır.

Secure Socket Layer (SSL): SSL kişisel gizlilik ve güvenilirlik sağlayan, network üzerindeki bilgi transferi sırasında bilginin bütünlüğü ve gizliliği için sunucu ile istemci arasındaki iletişimin şifrelenmiş şekilde yapılabilmesine imkan veren, bu sayede gizliliğinin ve bütünlüğün korunmasını sağlayan bir güvenlik protokolüdür.

sFTP: Güvenli dosya transfer protokolü anlamına gelmektedir. Makineler arasında çevrimiçi dosya transferi yapmanın güvenli bir yoludur.

Veri Kayıt Sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemidir.

Veri Sahibi: Kişisel verilerin işlendiği ve Kreafin Danışmanlık A.Ş. sistemlerinin veri tabanı ve uygulama seviyelerindeki verilerden sorumlu olan, ilgili verilere erişimi kısıtlayarak yetkisiz erişimi engellemekle yükümlü olan ve diğer çalışanların prosedürlere uyumuna yardımcı olan birimdir.

Veri Sorumlusu: Kreafin Danışmanlık A.Ş.dir.

VPN: VPN, “sanal özel ağ” anlamına gelmektedir. Uzaktan erişim yoluyla farklı ağlara bağlanmayı sağlayan internet teknolojisidir.

Yönetim Kurulu: Kreafin Danışmanlık A.Ş. Yönetim Kurulu’dur.

3. KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASI (KVKİP)

3.1. Amaç ve Kapsam

3.1.1. Amaç

Kreafin Danışmanlık A.Ş.  için kişisel verilerin gizliliği ve mahremiyeti konusu büyük önem teşkil etmektedir. Kişisel verilerin korunması amacıyla gerekli güvenlik önlemlerinin alınması ve kontrollerin uygulanması Kreafin Danışmanlık A.Ş. ‘nin birincil hedefidir. Kişisel Verilerin Korunması ve İşlenmesi Politikası’nın amacı Kreafin Danışmanlık A.Ş. ‘nin proje süreçlerinde yönettiği kişisel verilerin uygun şekilde korunduğu ve işlendiğinden emin olunmasıdır.

3.1.2. Kapsam

Kişisel verilerin korunması çalışmalarının başında kişisel veri olarak çeşitli amaç ve kanallardan Kreafin Danışmanlık A.Ş. ‘ye iletilen yazılı, basılı ya da elektronik ortamdaki kişisel verilerin tespiti ve uygun kontrollerin tesis edilmesi, bu verilerin saklanmasına ilişkin gereken güvenli ortamların hazırlanması ve bu verilere erişimin kısıtlı sayıda ve yetkili kişiler tarafından gerçekleştirildiğinden emin olunması gelmektedir.

Kreafin Danışmanlık A.Ş. ‘nin birincil hedefi, günümüz teknolojisiyle beraber hızla gelişen hizmet ağının ve iş süreçlerinin, oluşturulan bu yönetişim sistemi sayesinde güvenilir, hukuka uygun ve şeffaf bir yapıda olmasını sağlamaktır.

Kişisel verilerin korunması ve işlenmesi sürecinde uygun güvenlik tedbirlerinin alınması ve uygulanmasından Kreafin Danışmanlık A.Ş. yönetimi başta olmak üzere kurumun tüm çalışanları sorumludur.

KVKİP ile kişisel verilerin karşı karşıya kalabileceği riskleri yönetmek için gerekli olan teknik iyileştirmelerin yanı sıra, iş süreçlerinin ve prosedürlerin de geliştirildiği bir yönetişim sistemi kapsanmaktadır. Bu sistemin sürekli olarak geliştirilmesi ve güncel tutulması Kreafin Danışmanlık A.Ş. yönetiminin ve çalışanların sorumluluğundadır.

Kişisel verilerin korunması için oluşturulan yönetişim sisteminin temel taşlarından olan KVKİP’in iş süreçleriyle olan dinamizmini artırmak için “Kişisel Verilerin Korunması ve Yönetimine İlişkin Yönetmelik” de hazırlanacaktır.

Bu çalışmalar kapsamında, Kreafin Danışmanlık A.Ş. ‘nin çalışanları, kişisel verilerin gizliliğini ve güvenliğini sağlamak için oluşturulan politika ve prosedürler ile iş süreçlerine uygun hareket ederek tam uyum göstermek noktasında azami gayreti göstermekle yükümlüdür.

4. KİŞİSEL VERİ SAKLAMA İMHA POLİTİKASI (KVSİP)

4.1. Amaç ve Kapsam

4.1.1. Amaç

Kişisel Veri Saklama İmha Politikası’nın amacı; Kreafin Danışmanlık A.Ş. işlenen kişisel verilerin, işlendikleri amaç için gerekli olan azami süreler ile silinme, yok edilme ya da anonim hale getirilme süreçlerinin belirlenmesi ve bu süreçlerde görev alacak kişilerin rol ve sorumluluklarının tanımlanmasıdır.

4.1.2. Kapsam

KVSİP kapsamını; kişisel verilerin azami saklama süreleri ile kişisel verilerin hukuka uygun olarak saklanması ve imha edilmesi için alınmış teknik ve idari tedbirler, Kreafin Danışmanlık A.Ş. bünyesinde ilgili süreçlerin yürütülmesinde görev alan çalışanlar ile aşağıda sıralanan kayıt ortamları oluşturmaktadır:

• Elektronik Kayıt Ortamları: Kreafin Danışmanlık A.Ş. tarafından kullanılan Logo muhasebe yazılımı sunucusu, Microsoft One Drive gibi her türlü bulut ve fiziksel sunucudur.

• Fiziki Kayıt Ortamları: Arşiv odası, dosyalar, klasörler ve dolaplar gibi kişisel verilerin fiziki olarak saklandığı ortamlardır.

4.2. Sorumluluk

KVSİP kapsamında Kreafin Danışmanlık A.Ş. aşağıda yer alan görev ve sorumlulukları yerine getirmekle yükümlüdür:

• Kişisel Veri Envanterinde yer alan ve hukuki açıdan uygulanması zorunlu olan saklama sürelerine uygunluk sağlamak,

• Periyodik imha döneminde kişisel veri imha sürecinin yönetimini gerçekleştirmek,

• KVSİP’i asgari olarak yılda bir kere gözden geçirmek,

• KVSİP’i esas alarak işlem kurallarını detaylı biçimde düzenleyecek Kişisel Veri Saklama ve İmha Prosedürü’nü ve gerekli gördüğü diğer prosedürleri düzenlemek ve yayımlamak,

• KVSİP için gerekli görev dağılımını yapmak, uygun kişileri yetkilendirmek ve Kanun’a uyum konusunda gerekli eğitimleri organize etmek,

• Kanunun veri güvenliğine ilişkin yükümlülükleri uyarınca alınan her türlü teknik ve idari tedbirlerin uygulanmasını takip etmek ve denetimini planlamak,

• Kanun ve ilgili mevzuata uyumun sağlanması için yapılması gereken hususları tespit etmek, uygulanmasını gözetmek ve gerekli koordinasyonu sağlamak,

• Kişisel verileri işlenen gerçek kişiler tarafından yapılan başvuru ve taleplerle ilgili süreçlerin takibini yapmak ve Kanun ve/veya ilgili politika ve prosedürün uygulanması ile ilgili ortaya çıkabilecek sorunların çözümü için gerekli aksiyonların alınmasını sağlamak,

• Kurul ile olan ilişkileri yürütmek.

4.3. Verilerin Saklanmasına ve Hukuka Aykırı Olarak İşlenmesi ve Erişilmesinin Önlenmesine İlişkin Güvenlik Esasları

Kreafin Danışmanlık A.Ş.  tarafından Kişisel Verilerin Korunması ve İşlenmesi Politikası kapsamında temin edilen veriler, Kişisel Veri İşleme Envanteri’nde listelenen ve Kanunda belirtilen kurallar çerçevesinde sınıflandırılır.

Bu çerçevede KVSİP’e temel teşkil eden sınıflandırma metodolojisi olarak Kanun’da yer alan aşağıdaki kişisel veri tanımlamaları kullanılmıştır:

• Grup 1/Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü veridir.

• Grup 2/Özel Nitelikli Kişisel Veri: Kişilerin ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep ve diğer inançları, kılık ve kıyafet, dernek, vakıf ya da sendika üyelikleri, sağlık, cinsel hayat, ceza mahkûmiyeti ve biyometrik ve genetik verileridir.

• Grup 3/Diğer Veri: Kişisel veri tanımı kapsamına girmeyen verileri ifade etmektedir.

Kreafin Danışmanlık A.Ş. tarafından 1. ve 2. gruba ait olan verilerin güvenli bir şekilde saklanması ve hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi için burada sayılanlarla sınırlı olmamak üzere teknolojik imkanlar çerçevesinde, kişisel verilere ilişkin erişim yetkisinin sınırlanması, şifreleme/maskeleme yapılması, gizlilik ve bilgi güvenliği tedbirlerinin alınması, “Kişisel Veri İşleme Envanteri” hazırlanması, çalışanlara konu hakkında eğitim verilmesi, teknik politikaların ve prosedürlerin hazırlanması ve güncel tutulması gibi teknik ve idari tüm tedbirler alınır.

4.4. Verilerin Saklanmasını ve İmhasını Gerektiren Sebepler

Kişisel veriler,

• Kreafin Danışmanlık A.Ş. ‘nin  ilgili kişilerle iletişime geçebilmesi,

• İlgili mevzuat kapsamında öngörülen hizmetlerin sunulabilmesi,

• Kreafin Danışmanlık A.Ş. ‘nin  taraf olduğu sözleşmelerin akdedilebilmesi ve gereğinin yerine getirilmesi,

• Kreafin Danışmanlık A.Ş. ‘nin  ürün ve hizmetlerinin sunulabilmesi, ürün ve hizmetlerle ilgili bilgi verilebilmesi veya şikayet yönetimi kapsamında çözümler sunulabilmesi,

• İş birliği ya da anlaşma yapılan kişi ve kurumlara Kreafin Danışmanlık A.Ş. ‘nin hizmet ve projeleriyle ilgili referans verilebilmesi,

• Kreafin Danışmanlık A.Ş. ‘nin yükümlülüklerini yerine getirebilmesi için gerekli görülen veri tabanının oluşturulması, işlem sahibinin bilgilerini tespit için kimlik, adres ve diğer gerekli bilgilerin elde edilmesi, öngörülen işlemlere dayanak olacak tüm kayıt ve belgelerin düzenlenmesi,

• Kurum içi iletişimin usulüne uygun olarak sağlanması,

• İlgili mevzuatta yer alan düzenlemelere uyum sağlanması,

• Resmi kurumlar tarafından öngörülen bilgi saklama, raporlama, bilgilendirme ve diğer yükümlülüklerine uyulması,

• Basılı veya görsel haberler veya bültenler kanalıyla kamuoyunun bilgilendirilmesi,

amaçları ile anılan hukuki sebeplere dayanılarak Veri Sorumlusu sıfatı ile Kreafin Danışmanlık A.Ş. tarafından işlenir. İşlenme amacının sona ermesi ya da ilgili mevzuat ve/veya Kreafin Danışmanlık A.Ş. ‘nin belirlediği saklama sürelerinin sonuna gelinmesi halinde ise kişisel veriler, KVSİP’de belirtilen esaslar çerçevesinde imha edilir.

4.5. Verilerin İlgili Mevzuat Kapsamındaki Saklama Süreleri

Kreafin Danışmanlık A.Ş. bünyesinde saklanan tüm kişisel veriler için saklama süreleri belirlenir. Saklama süreleri belirlenirken öncelikle ilgili mevzuat, ilgili mevzuat ile öngörülen bir süre yoksa kişisel veri işleme amacı için gereken süre göz önünde bulundurulur ve ilgili sürelere Kişisel Veri Envanteri’nde yer verilir.

Sair İlgili Mevzuat Gereği

İlgili mevzuatta öngörülen süre kadar

Genel dava zamanaşımı süresini düzenleyen Borçlar Kanunu’nun 146. maddesi gereği

10 yıl

İlgili kişisel verinin Türk Ceza Kanunu veya sair ceza hükmü getiren mevzuat kapsamında bir suça konu olması veya bir suç ile ilişkili olması durumunda Türk Ceza Kanunu’nun 66. ve 68. maddeleri gereği

Dava zamanaşımı ve ceza zamanaşımı müddetince

Kişisel Veri İşleme Envanteri’nde bahsi geçen kişisel veriler, zamanaşımı süresini kesen ya da durduran herhangi bir hukuki durum olmadığı takdirde, yukarıdaki tabloda yer alan yasal düzenlemeler gereği saklanır ve saklama süresini takip eden ilk periyodik imha tarihinde imha edilir.

4.6. Verilerin İmhasına İlişkin Güvenlik Esasları

Kreafin Danışmanlık A.Ş. tarafından Kişisel Verilerin Korunması ve İşlenmesi Politikası kapsamında temin edilen ve Kişisel Veri Envanteri’nde belirtildiği şekilde saklanan kişisel veriler, işlenme amacı sona ermiş ya da ilgili mevzuatta ve/veya politikada belirtilen saklama sürelerinin sonuna gelinmişse, kişisel verisi işlenen gerçek kişinin kendi talebi, Veri Sahibi birimin talebi üzerine ya da re’sen, kayıt ortamlarına uygun şekilde; kişisel verinin niteliğine uygun olarak belirlenecek silme, yok etme ya da anonimleştirme süreçlerine tabi tutularak detayları Kişisel Veri Saklama ve İmha Prosedürü’nde gösterilen şekilde imha edilir.

Kreafin Danışmanlık A.Ş. tarafından aşağıdaki imha yöntemleri kullanılmaktadır:

4.6.1. Verilerin Silinmesi

Kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilme işlemidir.

4.6.2. Verilerin Yok Edilmesi

Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.

4.6.3. Verilerin Anonimleştirilmesi

Kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi işlemidir.

4.6.4. İmha Sürecinin İşletilmesi

Kreafin Danışmanlık A.Ş.  bünyesinde saklanan kişisel veriler, saklama süreleri sona erdiğinde, verilerin gizliliğini korumak suretiyle imha sürecine tabi tutulurlar.

• 2. gruba ait verilerin, işlenmesini gerektiren sebepler ortadan kalktığında imha sürecini işletmek Kreafin Danışmanlık A.Ş. ‘nin sorumluluğundadır. Bu veriler için belirlenecek imha yöntemi Kreafin Danışmanlık A.Ş. tarafından belirlenir.

• 2. gruba ait verilerin imha süreci Kreafin Danışmanlık A.Ş. ‘nin tarafından başlatılır. Kreafin Danışmanlık A.Ş., ilgili verinin sahibine imha sürecini işletmesi konusunda bilgilendirme yapar.

• Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesiyle ilgili yapılan bütün işlemler iki imza yetkilisi tarafından imzalanan bir tutanakla kayıt altına alınır ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az 3 (üç) yıl süreyle saklanır.

• Kreafin Danışmanlık A.Ş. tarafından kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğü kapsamında aşağıdaki süreler dikkate alınır. Veri envanterinde belirtilen saklama süresi kapsamında imha yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde kişisel veriler silinir, yok edilir veya anonim hale getirilir.

• Periyodik imha sürecinin zaman aralığı azami 6 (altı) aydır.

• Kreafin Danışmanlık A.Ş.  bünyesinde kişisel verisi bulunan kişiler, krea-fin.com web sitesi üzerinde yayınlanan “Kişisel Veriler İletişim Formu” aracılığı ile söz konusu verilerin imha edilmesi için talepte bulunma hakkına sahiptir. Bu hakkın kullanılması durumunda:
   

  • Kişisel verileri işleme şartlarının tamamı ortadan kalkmışsa; talebe konu kişisel veriler Kreafin Danışmanlık A.Ş. tarafından silinir, yok edilir veya anonim hale getirilir. İlgili kişilerin silme veya yok etme talepleri Veri Sorumlusu tarafından en geç 30 (otuz) gün içerisinde sonuçlandırılır ve kişisel verilerinin silinmesini talep eden kişiye işlem hakkında yazılı veya elektronik ortam üzerinden bilgi verilir.

  • Kişisel verilerin işleme şartlarının tamamı ortadan kalkmış ve silinmesi talep edilen veri daha önce üçüncü kişilere aktarılmış ise Kreafin Danışmanlık A.Ş. ,silme işleminin üçüncü taraf nezdinde de talep tarihini takip eden 30 (otuz)gün içerisinde yapılması için gerekli bilgilendirmeyi yapar ve imha işlemlerinin yapıldığına ilişkin üçüncü kişilerden geri bildirim talep eder ve sonrasında bu bildirimi takip eder.

  • Kişisel verileri işleme şartlarının tamamı ortadan kalkmamışsa, bu talep gerekçesi açıklanarak reddedilebilir ve ret cevabı ilgili kişiye en geç 30 (otuz) gün içinde yazılı olarak ya da elektronik ortamda bildirilir.

5. ÖZEL NİTELİKLİ KİŞİSEL VERİLERE İLİŞKİN POLİTİKA (ÖNKVİP)

5.1. Amaç ve Kapsam

5.1.1. Amaç

Özel Nitelikli Kişisel Verilere İlişkin Politika’nın amacı; Kreafin Danışmanlık A.Ş. ‘de özel nitelikli kişisel verilerin korunması ve işlenmesine ilişkin prensiplerin belirlenmesidir.

5.1.2. Kapsam

ÖNKVİP’in kapsamı; Kreafin Danışmanlık A.Ş. tarafından sunulan ya da elde edilen, kişilerin ırkı, etnik kökeni, siyasi düşüncesi, inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verilerin (“özel nitelikli kişisel veri”) işlenmesi ve korunması sürecidir.

5.2. Özel Nitelikli Kişisel Verilerin Korunması ve İşlenmesine İlişkin Uygulamalar ve Alınan Tedbirler

5.2.1. Özel nitelikli kişisel verilerin işlenmesi süreçleri kapsamında Kreafin Danışmanlık A.Ş. çalışanlarına yönelik uygulanacak tedbirler:

• Kanun ve buna bağlı yönetmelikler ile özel nitelikli kişisel veri güvenliği konusunda düzenli olarak çalışanlara eğitimler verilir,

• Kreafin Danışmanlık A.Ş. ile çalışanları arasında bu konuyu kapsayan gerekli gizlilik sözleşmeleri imzalanır,

• Verilere erişim yetkisine sahip kullanıcıların, yetki kapsamları ve süreleri net olarak tanımlanır,

• Periyodik olarak yetki kontrolleri gerçekleştirilir,

• Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri derhal kaldırılır ve veri sorumlusu tarafından kendisine tahsis edilen veri envanteri iade edilir.

5.2.2. Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği elektronik ortamlara yönelik tedbirler:

• Veriler kriptografik yöntemler (Gizli Anahtarlı Kriptografi, Açık Anahtarlı Kriptografi, Sayısal İmza, Şifreleme Algoritmaları, Secure Socket Layer-SSL) kullanılarak muhafaza edilir,

• Kriptografik anahtarlar güvenli ortamlarda tutulur,

• Veriler üzerinde gerçekleştirilen tüm hareketlerin işlem kayıtları güvenli olarak kayıt altına alınır,

• Verilerin bulunduğu ortamlara ait güvenlik güncellemelerinin sürekli takip edilmesi, gerekli güvenlik testlerinin düzenli olarak yapılması / yaptırılması ve test sonuçlarının kayıt altına alınması süreçleri işletilir,

• Verilere bir yazılım aracılığı ile erişiliyorsa bu yazılıma ait kullanıcı yetkilendirmelerinin yapılması, bu yazılımların güvenlik testlerinin düzenli olarak yapılması / yaptırılması ve test sonuçlarının kayıt altına alınması süreçleri işletilir,

• Verilere uzaktan erişim gerekiyorsa en az iki kademeli kimlik doğrulama sistemi sağlanır.

5.2.3. Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği fiziksel ortamlara yönelik tedbirler:

• Özel nitelikli kişisel verilerin bulunduğu ortamın niteliğine göre yeterli güvenlik önlemleri (elektrik kaçağı, yangın, su baskını, hırsızlık vb. durumlara karşı) alınır,

• Bu ortamların fiziksel güvenliği sağlanarak Kreafin Danışmanlık A.Ş.  tarafından yetkisiz giriş ve çıkışlar engellenir.

5.3. Özel Nitelikli Kişisel Verilerin İşlenmesine Yönelik Temel İlke

Kreafin Danışmanlık A.Ş.  tarafından özel nitelikli kişisel verilerin işlenmesinde gözetilen temel ilke ilgilinin açık rızasının alınıp alınmadığının ve verinin işlenmesinde Kişisel Verileri Koruma Kurulu tarafından belirlenen önlemlerin alınıp alınmadığının kontrolüdür.

5.4. Özel Nitelikli Kişisel Verilerin Aktarılmasına İlişkin Temel İlkeler

Özel nitelikli kişisel verilerin aktarılmasında Kreafin Danışmanlık A.Ş. tarafından gözetilen temel ilkeler aşağıdaki şekildedir:

• Verilerin e-posta yoluyla aktarılması gerekiyorsa şifreli olarak kurumsal e-posta adresiyle veya Kayıtlı Elektronik Posta (KEP) hesabı kullanılarak aktarılır,

• Verilerin taşınabilir bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerekiyorsa bu veriler kriptografik yöntemlerle şifrelenir ve kriptografik anahtar farklı ortamlarda tutulur,

• Farklı fiziksel ortamlardaki sunucular arasında veri aktarımı gerçekleştiriliyorsa, bu aktarım teknik olarak güvenli bir şekilde gerçekleştirilir,

• Verilerin kağıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemler alınır ve evrak “gizlilik dereceli belgeler” (üzerinde çok gizli, gizli, özel ve hizmete özel ibaresi taşıyan evrak) formatında gönderilir.

6. YÜRÜRLÜK

İşbu Kişisel Veri Yönetim Politikası, 01.04.2023 tarihli ile yürürlüğe girmiştir.