1. AMAÇ ve
KAPSAM
Bu politikanın
amacı, Sepaş Enerji tarafından kullanılan ve oluşturulan
kişisel verilerin ilgili yasa ve yönetmeliklere uygun şekilde
işlenmesinin tanımlanmasıdır. Bu politika, Sepaş Enerji'nin
sistem ve veri kaynaklarını kullanan, yöneten, tasarlayan veya
uygulayan tüm Sepaş Enerji çalışanlarını kapsamaktadır.
Politika, Sepaş Enerji kontrolü dahilindeki tüm basılı ve
elektronik bilgilere ve belgelere uygulanır; bunlar arasında,
bunlarla sınırlı olmamak üzere ilişkide bulunulan Sepaş Enerji
Hissedarlarının, Tedarikçilerinin ve Grup Şirketlerinin
verilerini de kapsar.
2. SORUMLULUKLAR
Bu
politika, Bilgi Teknolojileri Müdürlüğü tarafından hazırlanır,
yönetim sistemlerine uygunluğu Kalite Yönetimi Birimi
tarafından kontrol edilip, BGYS/KVKK Komitesi Başkanı onayı ile
yayınlanır. Bu politikanın uygulanmasından tüm Sepaş Enerji
çalışanları sorumludur.
Aşağıda veri
korumaya ilişkin Sepaş Enerji içerisindeki ve dışarısındaki
paydaşların rol ve sorumlulukları
vurgulanmıştır:
2.1. çalışanlar
ve Taraflar
- Bu Politikanın
şartlarına uygun davranır.
- Bilinen veya
şüphe edilen gizlilikle ilgili tüm sorunları Bilgi Güvenliği
Yönetim Sistemi ve Kişisel Veri Yöneticilerine iletir.
2.2.
Bilgi Güvenliği
Yönetimi
- Şirkette
mahremiyetle ilgili kurallara uygun olarak hareket eder.
- Şirketteki
değişiklikleri bir gizlilik programı olarak değerlendirir ve
bu değişikliklerle ilişkili riskleri belirler.
2.3. üst Yönetim
- Kişisel
Verilerin İşlenmesi ve Sepaş Enerji Bilgi Güvenliği
fonksiyonlarını da içeren diğer işlerle
alakalı Bilgi Güvenliği Yönetimi için gözetimi sağlar.
3. REFERANSLAR
-
4. TANIMLAR
Şirket:
Sakarya Elektrik Perakende Satış A.Ş. (Sepaş Enerji)
BGYS:
Bilgi Güvenliği Yönetim sistemi
KVKK:
Kişisel Verilerin korunması Kanunu
5. UYGULAMA
5.1. Kişisel
Veri işleme Kuralları
Kişisel Bilgiler,
adil ve yasal olarak işlenir.
Sepaş Enerji;
- Sadece meşru iş
amaçlarına hizmet eden verileri işler ve kullanır.
- Müşteriler,
potansiyel müşteriler, çalışanlar ve iş başvurusunda
bulunanlar ile olan ilişkilerinde,
hangi bilgileri toplayıp bunlarla ilgili işlemler yaptığı
konusunda şeffaftır. Kişisel Bilgiler
yalnızca ilk toplandığı ve kişisel verisi işlenen tarafın
bilgilendirildiği amaçla kullanılır.
Sepaş Enerji,
yalnızca, yeterli, ilgili ve sadece gerekli Kişisel
"Bilgileri" işler. Sepaş Enerji,
- Amacı dışındaki
kişisel veriyi toplamaz ve talep etmez.
- Gerekli olmayan
bilgileri kaydetmez. Sepaş Enerji,
Kişisel Verilerin doğru ve güncel olmasını sağlar. Sepaş
Enerji;
- Bir kişi, Sepaş
Enerji'ye bilgilerinin değiştiğini bildirdiğinde kayıtlarını
kendi sistemlerinde günceller.
- Sepaş Enerji
kişisel verileri yalnızca ihtiyacı olduğu kadar ve gerektiği
amaçlarla saklar. Sepaş Enerji, Kişisel verilerin korunmasına
ilişkin geçerli olan yasa ve yönetmelikler uyarınca bireylere
tanınan hakları gözetir. Buna bağlı
olarak aşağıdaki maddeleri içerir:
- Pazarlama
iletişimi almayı reddetme hakkı,
- Yanlış bilgiyi
düzeltme hakkı. Sepaş Enerji,
Bilgi Güvenliği Yönetimi prosedürleri aracılığıyla kişisel
verilerin kazara / yetkisiz ifşa, hırsızlık, hasar, kayıp,
değiştirme vb. sebeplerden korumak için gerekli önlemleri
alır. Sepaş Enerji:
- çalışanların ve
tarafların bilgi güvenliği ve gizlilik ilkeleri ve
sorumlulukları konusunda eğitilmesi,
- Bilgi / varlık
güvenliğini sağlamak için uygun fiziki ve teknolojik güvenlik
önlemlerinin uygunlanmasını,
- Verinin bir konumdan diğerine aktarıldığında güvenli
hale getirilmesi,
- Dış kaynaklı
hizmet tedarikçisinin ve / veya süreçlerinin uygun güvenlik
tedbirlerine sahip olmasını ve söz konusu tedarikçilerin
Sözleşmeyle Sepaş Enerji'nin Gizlilik İlkelerine uymalarını
sağlar.
5.2. Eğitim
Başlangıç
güvenlik eğitimi, yeni başlayanlar ve yeni ortak taraflar için
yapılır.
5.3. Yaptırım
Bu politika,
Sepaş Enerji'deki yerel kontrolle ilgili üst Yönetim
tarafından onaylanan zorunlu kuralları ve hedefleri temsil
eder. Bu kontrollerin fiili uygulanması, Şirketin çalışanları
için Disiplin Prosedüründe belirtilen disiplin işlemlerine
uygun olarak gerçekleştirilir.
6. İLGİLİ DOKüMANLAR
Bilgi
Güvenliği Roller Sorumluluklar ve İletişim Prosedürü
Erişim Kontrol
Prosedürü
Olay Kaydetme ve
İzleme Prosedürü
Veri Sızıntısı
önleme ve Yönetimi Prosedürü
Veri Saklama, Maskeleme,
Anonimleştirme ve Silme Prosedürü
Bilgi Güvenliği İhlal
Olayı Yönetimi Prosedürü
