1. AMAÇ ve KAPSAM
Bu politikanın amacı, Sepaş Enerji tarafından kullanılan ve oluşturulan kişisel verilerin ilgili yasa ve yönetmeliklere uygun şekilde işlenmesinin tanımlanmasıdır. Bu politika, Sepaş Enerji'nin sistem ve veri kaynaklarını kullanan, yöneten, tasarlayan veya uygulayan tüm Sepaş Enerji çalışanlarını kapsamaktadır. Politika, Sepaş Enerji kontrolü dahilindeki tüm basılı ve elektronik bilgilere ve belgelere uygulanır; bunlar arasında, bunlarla sınırlı olmamak üzere ilişkide bulunulan Sepaş Enerji Hissedarlarının, Tedarikçilerinin ve Grup Şirketlerinin verilerini de kapsar.
2. SORUMLULUKLAR
Bu politika, Bilgi Teknolojileri Müdürlüğü tarafından hazırlanır, yönetim sistemlerine uygunluğu Kalite Yönetimi Birimi tarafından kontrol edilip, BGYS/KVKK Komitesi Başkanı onayı ile yayınlanır. Bu politikanın uygulanmasından tüm Sepaş Enerji çalışanları sorumludur.
Aşağıda veri korumaya ilişkin Sepaş Enerji içerisindeki ve dışarısındaki paydaşların rol ve sorumlulukları vurgulanmıştır:
2.1. çalışanlar ve Taraflar
- Bu Politikanın şartlarına uygun davranır.
- Bilinen veya şüphe edilen gizlilikle ilgili tüm sorunları Bilgi Güvenliği Yönetim Sistemi ve Kişisel Veri Yöneticilerine iletir.
2.2.Bilgi Güvenliği Yönetimi
- Şirkette mahremiyetle ilgili kurallara uygun olarak hareket eder.
- Şirketteki değişiklikleri bir gizlilik programı olarak değerlendirir ve bu değişikliklerle ilişkili riskleri belirler.
2.3. üst Yönetim
- Kişisel Verilerin İşlenmesi ve Sepaş Enerji Bilgi Güvenliği fonksiyonlarını da içeren diğer işlerle alakalı Bilgi Güvenliği Yönetimi için gözetimi sağlar.
3. REFERANSLAR
-
4. TANIMLAR
Şirket: Sakarya Elektrik Perakende Satış A.Ş. (Sepaş Enerji)
BGYS: Bilgi Güvenliği Yönetim sistemi
KVKK: Kişisel Verilerin korunması Kanunu
5. UYGULAMA
5.1. Kişisel Veri işleme Kuralları
Kişisel Bilgiler, adil ve yasal olarak işlenir.
Sepaş Enerji;
- Sadece meşru iş amaçlarına hizmet eden verileri işler ve kullanır.
- Müşteriler, potansiyel müşteriler, çalışanlar ve iş başvurusunda bulunanlar ile olan ilişkilerinde, hangi bilgileri toplayıp bunlarla ilgili işlemler yaptığı konusunda şeffaftır. Kişisel Bilgiler yalnızca ilk toplandığı ve kişisel verisi işlenen tarafın bilgilendirildiği amaçla kullanılır.Sepaş Enerji, yalnızca, yeterli, ilgili ve sadece gerekli Kişisel "Bilgileri" işler. Sepaş Enerji,
- Amacı dışındaki kişisel veriyi toplamaz ve talep etmez.
- Gerekli olmayan bilgileri kaydetmez. Sepaş Enerji, Kişisel Verilerin doğru ve güncel olmasını sağlar. Sepaş Enerji;
- Bir kişi, Sepaş Enerji'ye bilgilerinin değiştiğini bildirdiğinde kayıtlarını kendi sistemlerinde günceller.
- Sepaş Enerji kişisel verileri yalnızca ihtiyacı olduğu kadar ve gerektiği amaçlarla saklar. Sepaş Enerji, Kişisel verilerin korunmasına ilişkin geçerli olan yasa ve yönetmelikler uyarınca bireylere tanınan hakları gözetir. Buna bağlı olarak aşağıdaki maddeleri içerir:
- Pazarlama iletişimi almayı reddetme hakkı,
- Yanlış bilgiyi düzeltme hakkı. Sepaş Enerji, Bilgi Güvenliği Yönetimi prosedürleri aracılığıyla kişisel verilerin kazara / yetkisiz ifşa, hırsızlık, hasar, kayıp, değiştirme vb. sebeplerden korumak için gerekli önlemleri alır. Sepaş Enerji:
- çalışanların ve tarafların bilgi güvenliği ve gizlilik ilkeleri ve sorumlulukları konusunda eğitilmesi,
- Bilgi / varlık güvenliğini sağlamak için uygun fiziki ve teknolojik güvenlik önlemlerinin uygunlanmasını,
- Verinin bir konumdan diğerine aktarıldığında güvenli hale getirilmesi,
- Dış kaynaklı hizmet tedarikçisinin ve / veya süreçlerinin uygun güvenlik tedbirlerine sahip olmasını ve söz konusu tedarikçilerin Sözleşmeyle Sepaş Enerji'nin Gizlilik İlkelerine uymalarını sağlar.
5.2. Eğitim
Başlangıç güvenlik eğitimi, yeni başlayanlar ve yeni ortak taraflar için yapılır.
5.3. Yaptırım
Bu politika, Sepaş Enerji'deki yerel kontrolle ilgili üst Yönetim tarafından onaylanan zorunlu kuralları ve hedefleri temsil eder. Bu kontrollerin fiili uygulanması, Şirketin çalışanları için Disiplin Prosedüründe belirtilen disiplin işlemlerine uygun olarak gerçekleştirilir.
6. İLGİLİ DOKÜMANLAR
Bilgi Güvenliği Roller Sorumluluklar ve İletişim Prosedürü
Erişim Kontrol Prosedürü
Olay Kaydetme ve İzleme Prosedürü
Veri Sızıntısı önleme ve Yönetimi Prosedürü
Veri Saklama, Maskeleme, Anonimleştirme ve Silme Prosedürü
Bilgi Güvenliği İhlal Olayı Yönetimi Prosedürü