Bilgi Güvenliği Farkındalık Bildirgesi

Bilgi Güvenliği Farkındalık Bildirgesi, «Unvanİsim1» («Şirket») bünyesinde bulunan; kişisel veriler, özel nitelikli kişisel veriler ve gizli bilgilerin korunması için 6698 sayılı Kişisel Verilerin Korunması Kanunu, Kişisel Verileri Koruma Kurulunun 31/01/2018 tarihli, 2018/10 sayılı ve 26/12/2019 tarihli, 2019/393 sayılı Kararlarına, «Şirket» Kişisel Verilerin Korunması ve İşlenmesi Politikasına dayanarak, çalışanlar, stajyerler ve diğer tedarikçi, müşteri ve iş ortağı çalışanları için hazırlanmıştır.

Gizli Kalması Gereken Bilgiler:

a.       Usulüne uygun olarak etiketlenmiş olan gizlilik derecesindeki her türlü veri, bilgi ve belgeler.

b.      «Şirket» tarafından işlenen 6698 sayılı Kanun ile tanımlanan kişisel veriler.

c.       Açıklanması halinde kişi ve kurumlara maddi veya manevi zarar verme ya da herhangi bir kişi veya kuruma haksız yarar sağlama ihtimali bulunan her türlü bilgi ve belgeler.

d.      «Şirket»’a ait özel sırlar, mali bilgiler, çalışan bilgileri, sistem bilgileri ve çalışılan süre içinde derlenen tüm bilgiler, materyaller, programlar ve dokümanlar; bilgisayar sistemleri içerisinde saklanan veriler, donanım/yazılım ve tüm diğer düzenleme ve uygulamalar ile personelin çalışma süresi içerisinde yapmış olduğu işler.

Çalışanın Yükümlülükleri:

a.       «Şirket» gizli kalması gereken bilgiler, yasal işleme amaçları ve «Şirket» tarafından yazılı izin verilmesi halleri dışında, doğrudan veya dolaylı olarak kullanılamaz, başka kişi veya kurumlara aktarılamaz, yayımlanamaz, açıklanamaz veya kişisel kopyaları alınamaz. Bu bilgiler ilgili mevzuatta belirtilen idari ve teknik önlemler alınmak suretiyle korunur.

b.      «Şirket»’a ait gizli kalması gereken her türlü bilgi, sır olarak saklanır. Çalışanlar bunları sır olarak saklamak, üçüncü kişilere inceletmemek, söylememek, iletmemek ve açıklamamakla yükümlüdür. Bu yükümlülük, çalışanların «Şirket»’tan ayrıldıktan sonra da devam eder.

c.       Çalışanlar sosyal medya hesapları kullanılırken, görevin gerektirdiği dikkat ve özeni gösterilir. «Şirket»’a ait gizli kalması gereken bilgiler, hiçbir şekilde sosyal medya ortamlarında paylaşılmaz.

d.      «Şirket»’a ait gizli kalması gereken bilgiler, veri aktarımı vb. maksatlarla geçici süre için olsa dâhi «Şirket» kontrolünde olmayan depolama alanlarında (Google Drive, iCloud, Yandex Disk, We Transfer, Rapid Share vb.) bulundurulamaz. Bu bilgiler mobil uygulamalar (WhatsApp, Massenger, Line, Viber, Telegram, WeChat, Skype, SnapChat vb.) ve sosyal medya platformları (Facebook, Youtube, Instagram, Twitter, Linkedin vb.) üzerinde işlenemez. Personelin şahsi e-posta hesapları (*@gmail.com, *@yandex.com vb.) üzerinden aktarılamaz.

e.       «Şirket» tarafından uygun görülen sistemler, uygulamalar, kullanıcı işlemleri ve bilgi sistem ağındaki verilerin ve veri akışının iz kayıtları; hukuki ve idari süreçlere kaynak teşkil etmesi ve sistemlerin güvenli bir şekilde işletilmesi amacıyla toplanır.

f.       Çalışanlar, «Şirket» tarafından kendisine verilen bilgisayar, tablet, telefon, taşınabilir medya gibi cihazları sadece göreviyle ilgili kullanır. Yürütülecek adli ve idari soruşturmalar kapsamında olmak şartıyla, söz konusu cihazlar ve çalışanların «Şirket» bilişim sistemleri üzerinde yapmış olduğu işlemler, ilgili çalışan ayrıca herhangi bir bilgilendirme yapılmaksızın kontrol edilebilir.

g.       Çalışanlara verilen kullanıcı adı ve parola bilgileri hiçbir şekilde üçüncü kişiler ile paylaşılmaz. Çalışanlar, «Şirket»’tan ayrılmaları halinde kendilerine verilen kullanıcı adı ve parolaları kullanmamakla veya kullandırmamakla; kullandıkları bilgisayar ve/veya diğer elektronik veri depolama cihazları ile üzerindeki verileri, bilgi ve belgeler dâhil tüm dosyaları, diğer cihazları ve ofis malzemelerini eksiksiz yetkiliye teslim etmekle ve bunların kopyalarını almamakla yükümlüdür.

h.      Çalışanlar, bilgisayarları kendilerine verilen kullanıcı adı/parola ile açarak kullanır. Çalışma sona erince ilgili oturum veya bilgisayar kapatılarak, üçüncü kişilerin bilgisayardaki bilgilere erişimi engellenir. Güvensiz ortamlarda, «Şirket» bilgisayarlarının fiziki güvenliği için azami çaba gösterir.

i.        Çalışanlar, kendilerine tahsis edilen kullanıcı adı/parola ikilisi ve/veya IP/MAC adresini kullanılarak gerçekleştirilen her türlü etkinlikten kişisel olarak sorumludur. Aynı şekilde «Şirket» bilişim kaynakları kullanılarak oluşturulan ve/veya tahsis edilen bilişim kaynağı üzerinde bulundurulan her türlü bilgi, belge, doküman, yazılım vb. içeriğinden ilgili kişi şahsen sorumludur.

j.        Çalışanlar, kendilerine teslim edilen kullanıcı adı ve parolanın gizli kalmasını sağlamakla yükümlüdür. Çalışanların şahsi kusurları nedeniyle kullanıcı adı ve parolalarının üçüncü kişiler tarafından öğrenilmesi halinde, bu bilgiler kullanılarak yapılan iş ve işlemlerden, şahsen sorumlu tutulabilir.

k.      5651 sayılı Kanun gereğince «Şirket» tarafından sağlanan İnternet üzerinden yapılan erişim kayıtları yasada öngörülen süreler boyunca tutulur. Çalışanlara verilen kullanıcı adı ve parola ile kayıt altına alınan işlemlerden, kullanıcı yasal olarak sorumlu tutulur.

l.        Çalışanlara tahsis edilen şirket e-posta hesapları, sadece görevle ilgili kullanılır. «Şirket» içinde veya dışındaki kişilere iş ile ilgili olmayan toplu ve/veya kişisel e-posta gönderilmez. Çalışanlar, «Şirket» içine veya dışına göndermiş oldukları tüm e-postalardan kişisel olarak sorumludur.

m.    Çalışanlar, kendilerine teslim edilmiş yazılım, donanım, araç ve gereç üzerinde; «Şirket» bilgisi dışında mekanik (donanım ekleme, kaldırma vb.) ya da yazılımsal değişiklik (yeni yazılım yükleme, koyulan bir kısıtlamayı aşmak üzere bilgisayar ayarlarını değiştirme vb.) yapamaz.

n.      Çalışanlar, «Şirket» tarafından yüklenen işletim sistemi ve uygulama yazılımları haricinde, ilgili birimlerin bilgisi dışında başka yazılımları yükleyemez. «Şirket» tarafından yüklenmemiş yazılımlardan doğacak sorumluluk, ilgili bilgisayarın sahibi olan kişiye aittir.

o.      Bilgi güvenliği ihlal olayları vakit geçirilmeksizin «Şirket» ihlal bildirim sistemine («E_Posta») bildirilir.

p.      Çalışanlar, kişisel veri ihlâline ilişkin herhangi bir bilgi alırsa, 24 saatten geç olmamak üzere en kısa sürede Kişisel Verileri Koruma Komitesine bildirir. Bildirim için bir üst maddede belirtilen ihlal bildirim sistemi de kullanılabilir. Bildirimin geç yapılmasıyla, mevzuatta öngörülen 72 saatlik süreye uyulmamasına neden olan çalışan sorumlu olur.

«Unvanİsim1»