ÖZEL NİTELİKLİ KİŞİSEL VERİ GÜVENLİĞİ POLİTİKASI

ÖZEL NİTELİKLİ KİŞİSEL VERİ GÜVENLİĞİ POLİTİKASI

1. AMAÇ

Bu politikanın amacı; BANDO KAYIŞ SANAYİ VE TİCARET (TÜRKİYE) A.Ş.bünyesinde işlenen ve veri sahibi açısından daha büyük riskler taşıyan "Özel Nitelikli Kişisel Verilerin" güvenliğini sağlamak ve Kişisel Verileri Koruma Kurulu'nun 31.01.2018 tarihli "Özel Nitelikli Kişisel Verilerin İşlenmesinde Yeterli Önlemler" kararına uyum sağlamaktır.

2. ÖZEL NİTELİKLİ VERİ KATEGORİLERİMİZ

Şirketimizde işlenen özel nitelikli veriler şunlardır:

1. Sağlık Verileri: Çalışanların işe giriş sağlık raporları, periyodik muayene formları, engellilik raporları, istirahat raporları.
2. Ceza Mahkumiyeti: Çalışan adaylarından istenen adli sicil kayıtları.
3. Biyometrik Veriler: (Varsa) Fabrika/Ofis girişlerinde kullanılan parmak izi veya yüz tanıma kayıtları.
4. Sendika Bilgisi: Çalışanın sendika üyeliği ve aidat kesintisi bilgileri.
5. Din Bilgisi: (Eskiden kalan) Nüfus cüzdanı fotokopilerindeki din hanesi (Artık talep edilmemektedir).

3. İDARİ TEDBİRLER

Bando, özel nitelikli verilerin güvenliği için aşağıdaki idari tedbirleri alır:

• Ayrı Politika: Bu veriler için genel politikadan ayrı, işbu sistematik politika oluşturulmuştur.
• Eğitim: Özel nitelikli verilere erişimi olan personel (İK, İşyeri Hekimi, IT yöneticisi) bu verilerin hassasiyeti konusunda özel eğitim almıştır.
• Gizlilik Taahhütnamesi: Verilere erişimi olan personelden kapsamlı bir gizlilik taahhütnamesi alınmıştır.
• Yetki Yönetimi: Kimin hangi sağlık verisine erişebileceği belirlenmiştir. İşten ayrılan veya görevi değişen personelin bu verilere erişim yetkisi derhal (aynı gün) iptal edilir.

4. TEKNİK TEDBİRLER (KRİTİK BÖLÜM)

Bu verilerin saklandığı ortamlarda Kurul kararı gereği şu önlemler alınır:

4.1. Dijital Ortamlar

• Kriptolama (Şifreleme): Sağlık verileri ve diğer hassas veriler sunucularda "açık metin" olarak değil, kriptografik yöntemlerle şifreli olarak saklanır.
• Loglama: Bu verilere kimin ne zaman eriştiği, işlem yaptığına dair log kayıtları tutulur ve bu kayıtlar değiştirilemeyecek şekilde saklanır.
• İki Kademeli Kimlik Doğrulama (2FA): Özel nitelikli verilerin bulunduğu sistemlere erişimde sadece şifre yetmez; SMS veya mobil onay gibi ikinci bir doğrulama zorunludur.
• Güvenli Aktarım: Bu veriler e-posta ile gönderilecekse mutlaka şifreli olarak (WinRAR şifresi vb.) veya KEP (Kayıtlı Elektronik Posta) üzerinden gönderilir. Asla kurumsal olmayan (Gmail, Hotmail vb.) hesaplardan gönderilmez.

4.2. Fiziksel Ortamlar (Kağıt Dosyalar)

• Kilitli Dolaplar: Sağlık raporları ve özlük dosyaları, sadece yetkili personelin (İK Müdürü ve İşyeri Hekimi) anahtarına sahip olduğu kilitli dolaplarda saklanır.
• Yangın ve Hırsızlık Önlemleri: Dosyaların bulunduğu odalarda yangın söndürme sistemi ve güvenlik önlemleri alınmıştır.

5. SAĞLIK VERİLERİ VE İŞYERİ HEKİMİ

• Çalışanların sağlık dosyaları, tıbbi gizlilik gereği İşyeri Hekimi sorumluluğundadır.
• İnsan Kaynakları departmanı, sağlık verisinin "tıbbi içeriğine" (hastalığın adı, tahlil sonucu vb.) erişmez; sadece "çalışabilir/çalışamaz" rapor sonucunu işler.

6. BİYOMETRİK VERİLER (Varsa Uygulanacak Madde)

• Parmak izi veya yüz tanıma sistemleri sadece tesis güvenliği için zorunlu hallerde kullanılır.
• Bu veriler "hash" algoritması ile geri dönüştürülemez (sadece makinenin okuyacağı) matematiksel şablonlar halinde saklanır. Asla parmak izinin "resmi" saklanmaz.

7. VERİLERİN SİLİNMESİ VE İMHASI

Özel nitelikli verilerin saklama süresi dolduğunda (örn: işten ayrılmayı takip eden yasal süre sonunda), bu veriler geri getirilemeyecek şekilde (dijital veriler için "secure delete" yazılımları, kağıtlar için "kağıt kırpma makineleri" kullanılarak) imha edilir.