BİZİ ARAYIN
BİZE YAZIN

Özel Nitelikli Kişisel Verilerin İşlenmesi Politikası

Son Güncellenme: 02 Haziran 2025 Pazartesi
Son Güncellenme:
02 Haziran 2025 Pazartesi

TRAKYA ELEKTRİK PERAKENDE SATIŞ A.Ş.
ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİ POLİTİKASI

AMAÇ

Özel Nitelikli Kişisel Verilerin İşlenmesi Politikası’nın amacı, 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) ve “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler" ile ilgili Kişisel Verileri Koruma Kurulu’nun 31/01/2018 Tarihli ve 2018/10 Sayılı Kararı’na uyum amacıyla mevcut ve potansiyel müşterilere, iş ortaklarına, tedarikçilere, ziyaretçilere, çalışanlara, çalışan adaylarına ve üçüncü şahıslara ait özel nitelikli kişisel verilerin nasıl işleneceğini ve korunacağını belirtmektir. Trakya Elektrik Perakende Satış A.Ş. bundan sonra “TREPAŞ” veya “Şirket” olarak anılacaktır. Bu Politika, TREPAŞ bünyesinde işlenen, aktarılan ve saklanan tüm özel nitelikli kişisel verileri kapsamaktadır.

TAAHHÜT

TREPAŞ, özel nitelikli kişisel verilerin güvenliğinin sağlanmasına ve gizliliğinin korunmasına yüksek düzeyde önem vermektedir. Bu sebeple;

  • Basılı veya elektronik formda olması fark etmeksizin, mevcut ve potansiyel müşterilere, iş ortaklarına, tedarikçilere, ziyaretçilere, çalışanlara, çalışan adaylarına ve üçüncü şahıslara ait özel nitelikli kişisel verilerin gizliliğini korumayı ve güvenliğini sağlamayı,
  • Gizli ve güvenli işlenmesini sağlamak için uygun idari ve teknik önlemleri almayı,
  • Özel nitelikli kişisel verileri güvenli bir şekilde, yasal ve meşru amaçlara uygun olarak ve gerekli özeni göstererek elde etmeyi ve işlemeyi taahhüt eder.
KAPSAM

Bu politikada yer alan hükümler ve ilkeler, kimliği belirli veya belirlenebilir gerçek kişilerle ilgili, fiziksel veya dijital olarak erişilebilen her türlü hassas bilgi ve belge için geçerlidir. Bu Politika, mevcut ve potansiyel müşterilere, iş ortaklarına, tedarikçilere, ziyaretçilere, çalışanlara, çalışan adaylarına ve üçüncü şahıslara, iş ortaklarına, pay sahiplerine, şirket yöneticilerine, işbirliği içinde bulunulan kurum çalışanları ve yetkililerine ait özel nitelikli kişisel verilerinin işlenmesine yöneliktir.

SORUMLULUKLAR
Çalışanlar
      • Özel Nitelikli Kişisel Verilerin İşlenmesi Politikası’ na uyumlu davranmak,
      • Görev ve sorumluluklarını Özel Nitelikli Kişisel Verilerin İşlenmesi Politikası’ nda yer alan prensiplere uygun olarak yerine getirmek,
      • Özel nitelikli kişisel verilerin işlenmesi ile ilgili soruları olması durumunda Birim Yöneticisi’ ne ve Hukuk Müşavirliği’ne danışmak ile sorumludurlar.
Birim Yöneticisi
      • Özel Nitelikli Kişisel Verilerin İşlenmesi Politikası’ nın periyodik olarak güncellenmesi amacıyla ilgili birim yöneticileriyle işbirliği yapmak, gerekiyorsa politikanın güncellenmesini koordine etmek,
      • Özel nitelikli kişisel verilerin işlenmesinin KVK Kanunu ile uyumlu olup olmadığı konusunda çalışanlarına destek olmak ile sorumludur.
Bilgi Güvenliği Birimi
      • Özel nitelikli kişisel verilerin işlendiği ve yönetildiği sistemlerin gizliliğini, güvenliğini, bütünlüğünü korumak ve erişilebilirliğini denetlemek için bilgi teknolojileri kapsamında uygun idari, teknik ve fiziksel güvenlik kontrollerinin geliştirmesinden ve uygulanmasından sorumludur. Bilgi Teknolojileri Müdürlüğü tarafından yürütülür.
KVK Komitesi
      • Özel nitelikli kişisel verilerin işlenmesinin KVK Kanunu ile uyumlu olup olmadığı konusunda denetim ve uyum faaliyetlerini yürütür.
Üst Yönetim
      • Özel nitelikli kişisel verilerin işlenmesi ve güvenliğine ilişkin gerekli şartların sağlanması amacıyla teknik ve idari tedbirlerin alınmasını ve gözetimini sağlar.
TANIMLAR

Anonim Hale Getirme

Kişisel verinin, kişisel veri niteliğini kaybedecek ve bu durumun geri alınamayacağı şekilde değiştirilmesidir. Örneğin; Maskeleme, toplulaştırma, veri bozma vb. tekniklerle kişisel

verinin bir gerçek kişi ile ilişkilendirilemeyecek hale getirilmesi.

Açık Rıza

Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.

BGYS

Bilgi Güvenliği Yönetim Sistemi BT Bilgi Teknolojileri İmha Kişisel verilerin silinmesi,

yok edilmesi veya anonim hale getirilmesi.

Kayıt Ortamı

Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak

kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü̈ ortamı

Fiziksel Ortam

Fiziki (hardcopy) arşiv ya da / arşivlik malzeme olan evrakların muhafaza edildiği ofis evrak

dolabı, arşiv vb. ortamların genel adı

Kişisel Veri Yöneticisi

TREPAŞ bünyesinde Kişisel Veri Yönetimi sistemini hukuka uygun olarak oluşturmak,

yürütülmesi ve sürekliliğini sağlamak, gözden geçirmek ve iyileştirmek için gerekli çalışmalardan ve üst yönetime raporlama yapmaktan sorumlu kişidir.

Kişisel Verilerin

Silinmesi

Kişisel verilerin silinmesi; kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez

ve tekrar kullanılamaz hale getirilmesi.

Kişisel Verilerin Yok

Edilmesi

Kişisel verilerin hiç̧ kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemi.

Kişisel Veri Sahibi

Kişisel verisi işlenen gerçek kişi. Örneğin; müşteriler ve çalışanlar.

Kişisel Verilerin İşlenmesi

Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da

kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.

KVK

Kişisel Verilerin Korunması

KVKK

Kişisel Verilerin Korunması Kanunu

Özel Nitelikli Kişisel Veri

Irk, etnik köken, siyasi düşünce, felsefi inanç̧, din, mezhep veya diğer inançlar, kılık kıyafet,

dernek vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik veriler özel nitelikli verilerdir.

Veri İşleyen

Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel veri işleyen gerçek ve tüzel kişidir. Veri Sorumlusu Kişisel verilerin işlenme amaçlarını ve vasıtalarını belirleyen, verilerin sistematik bir şekilde tutulduğu yeri (veri kayıt sistemi) yöneten kişi veri

sorumlusudur.

Verbis

Veri Sorumluları Sicil Bilgi sistemi


ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİ ve AKTARILMASIYLA İLGİLİ KURALLAR

Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.

TREPAŞ, özel nitelikli kişisel verileri, Kanun ve Politika’da belirlenen ilkelere uygun, Kurul’un belirlediği yöntemlerle gerekli her türlü idari ve teknik önlemleri alarak, aşağıdaki hallerde işler ve yine aşağıdaki hallerin bulunması halinde yeterli önlemleri de almak kaydıyla aktarabilir:

  1. İlgili kişinin açık rızasının olması,
  2. Kanunlarda açıkça öngörülmesi,
  3. Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin, kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
  4. İlgili kişinin alenileştirdiği kişisel verilere ilişkin ve alenileştirme iradesine uygun olması,
  5. Bir hakkın tesisi, kullanılması veya korunması için zorunlu olması,
  6. Sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlarca, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması, yönetimi ve finansmanı amacıyla gerekli olması,
  7. İstihdam, iş sağlığı ve güvenliği, sosyal güvenlik, sosyal hizmetler ve sosyal yardım alanlarındaki hukuki yükümlülüklerin yerine getirilmesi için zorunlu olması,
  8. Siyasi, felsefi, dini veya sendikal amaçlarla kurulan vakıf, dernek ve diğer kâr amacı gütmeyen kuruluş ya da oluşumların, tâbi oldukları mevzuata ve amaçlarına uygun olmak, faaliyet alanlarıyla sınırlı olmak ve üçüncü kişilere açıklanmamak kaydıyla; mevcut veya eski üyelerine ve mensuplarına veyahut bu kuruluş ve oluşumlarla düzenli olarak temasta olan kişilere yönelik olması.

Bu politikada yer almayan hususlarda Kişisel Verilerin İşlenmesi Politikası hükümleri uygulanır.

ÖZEL NİTELİKLİ KİŞİSEL VERİLERLE İLGİLİ GÜVENLİK ÖNLEMLERİ

TREPAŞ, özel nitelikli kişisel verilerin gizliliğini, bütünlüğünü ve güvenliğini sağlamak, erişilebilirliğini denetlemek ve kontrol etmek ve bu verileri yetkisiz erişim, imha, kullanma, değiştirme, ifşa etme veya kaybolma vb. risklerine karşı korumak amacıyla operasyonel, fonksiyonel ve stratejik düzeyde uygun kontroller gerçekleştirir. Elektronik veya fiziksel medya aracılığıyla özel nitelikli kişisel verileri işleme, saklama, aktarma ve kullanma işlemleri yapılırken yazılım ve donanım güvenliği ile ilgili tedbirlerin sürekliliğini sağlar. TREPAŞ’ da, KVK Kanunu ile “özel nitelikli” olarak belirlenen ve hukuka uygun olarak işlenen özel nitelikli kişisel verilerin korunmasında hassasiyetle davranılmaktadır. Bu kapsamda, Şirketimiz tarafından, kişisel verilerin korunması için alınan teknik ve idari tedbirler, özel nitelikli kişisel veriler bakımından özenle uygulanmakta ve TREPAŞ bünyesinde gerekli denetimler sağlanmaktadır. Bu kapsamda;

    • Özel nitelikli kişisel verilerin güvenliğine yönelik olarak mevcut prosedürler çerçevesinde çalışma yöntemleri hazırlanmış ve uygulanmaktadır.
    • Özel nitelikli kişisel veriler dahil tüm verilerin gizlilik düzeyleri tanımlanmış olup gizlilik düzeyine uygun belirlenen veriler, bu önlemlerle işlenmekte, muhafaza edilmekte ve aktarılmaktadır.
    • Özel nitelikli kişisel verilerin işlenmesi süreçlerinde yer alan çalışanlara yönelik, Kanun ve buna bağlı yönetmelikler ile özel nitelikli kişisel veri güvenliği konularında düzenli olarak eğitimler verilir.
    • Çalışanlarla Kişisel Verileri Koruma Taahhütnamesi yapılır.
    • Verilere erişim yetkisine sahip kullanıcıların, yetki kapsamları ve süreleri net olarak tanımlanır, periyodik olarak yetki kontrolleri gerçekleştirilir, görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri derhal kaldırılır ve bu kapsamda, veri sorumlusu tarafından kendisine tahsis edilen envanter iade alınır. Yukarıda belirtilen önlemlerin yanı sıra Kişisel Verileri Koruma Kurumu’ nun internet sitesinde yayımlanan Kişisel Veri Güvenliği Rehberinde belirtilen uygun güvenlik düzeyini temin etmeye yönelik teknik ve idari

tedbirler de dikkate alınır. Teknolojik gelişmeler takip edilerek süreçler sürekli olarak iyileştirilir. TREPAŞ’ın özel nitelikli kişisel verileri işlediği, sakladığı, erişilen elektronik ortamlarda uyguladığı önlemler aşağıda belirtilmektedir:

  • Saklanma alanlarına yönelik teknik güvenlik sistemleri kurulmakta, alınan teknik önlemler periyodik olarak Şirketimizce belirlenen denetim mekanizması tarafından denetlenmekte, risk teşkil eden hususlar yeniden değerlendirilerek gerekli teknolojik çözüm üretilmektedir.
  • Kişisel verilerin güvenli bir biçimde saklanmasını sağlamak için hukuka uygun bir biçimde tüm gerekli altyapılar kullanılmaktadır.
  • Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, elektronik ortam ise veriler kriptografik yöntemler kullanılarak muhafaza edilir,
  • Kullanılan kriptografik anahtarların güvenli ve farklı ortamlarda tutulması sağlanmaktadır.
  • Özel nitelikli kişisel veriler üzerinde gerçekleştirilen tüm hareketlerin işlem kayıtlarının güvenli olarak loglanması sağlanmaktadır.
  • Özel nitelikli kişisel verilerin bulunduğu ortamlara ait güvenlik güncellemeleri sürekli takip edilmektedir.
  • Özel nitelikli kişisel verilerin bulunduğu ortamlarda gerekli güvenlik testleri düzenli olarak yaptırılmaktadır, test sonuçları kayıt altına alınmaktadır.
  • Özel nitelikli kişisel verilere erişilmesine yardımcı olan yazılımlarda kullanıcı yetkilendirmeleri yapılmaktadır.
  • Bu yazılımların güvenlik testleri düzenli olarak yaptırılmakta, test sonuçları kayıt altına alınmaktadır.
  • Özel nitelikli kişisel verilere uzaktan erişilmesi durumunda en az iki kademeli kimlik doğrulama sistemi kullanılmaktadır.

TREPAŞ’ın özel nitelikli kişisel verileri işlediği, sakladığı, erişilen fiziksel ortamlarda uyguladığı önlemler aşağıda belirtilmektedir:

    • Özel nitelikli kişisel verilerin bulunduğu ortamın niteliğine göre yeterli güvenlik önlemlerinin (elektrik kaçağı, yangın, su baskını, hırsızlık vb. durumlara karşı) alındığından emin olunur,
    • Özel nitelikli kişisel verilerin bulunduğu tesislerde, ortamlarda fiziksel ve çevresel güvenlik önlemleri alınmaktadır.
    • Bu ortamlarda fiziksel güvenlik tedbirleri alınarak yetkisiz giriş çıkışların gerçekleşmesi engellenmektedir.
    • Şirketimiz tarafından özel nitelikteki kişisel verilerin saklanması konusunda teknik gereklilikler sebebiyle dışarıdan bir hizmet alınması durumunda, kişisel verilerin hukuka uygun olarak aktarıldığı ilgili firmalar ile akdedilen sözleşmelere; kişisel verilerin aktarıldığı kişilerin, kişisel verilerin korunması amacıyla gerekli güvenlik tedbirlerini alacağına ve kendi kuruluşlarında bu tedbirlere uyulmasını sağlayacağına ilişkin hükümlere yer verilmektedir. TREPAŞ’ın özel nitelikli kişisel verileri aktarırken aldığı önlemler aşağıda belirtilmektedir:

- Özel nitelikli kişisel verilerin e-posta yoluyla aktarıldığı durumlarda şifreli olarak kurumsal eposta adresiyle veya Kayıtlı Elektronik Posta (KEP) hesabı kullanılarak aktarılması sağlanmaktadır.

    • Özel nitelikli kişisel veriler taşınabilir ortamlara (taşınabilir bellek, CD, DVD gibi) aktarılacak ise, taşınabilir medyanın kriptografik yöntemlerle şifrelenmiş ve kriptografik anahtarın farklı ortamda saklanıyor olması gerekmektedir.
    • Özel nitelikli kişisel verilerin farklı fiziksel ortamlardaki sunucular arasında aktarılması durumunda, sunucular arasında VPN kurulması veya sFTP yöntemiyle veri aktarılması gerçekleştirilmektedir.

- Özel nitelikli kişisel verilerin kâğıt ortamı yoluyla aktarımı gizlilik derecelendirmeleri yapılarak “gizlilik dereceli belgeler” formatında ve fiziksel riskler göz önünde bulundurularak gerçekleştirilmektedir.

YAPTIRIM

Bu politikanın ihlali durumunda ilgili Birim Yöneticisi ve Hukuk Müşavirliği derhal haberdar edilir. TREPAŞ, kendi takdirine bağlı olarak, politikayı ihlal eden kişiler için disiplin cezası uygulama, iş akitlerini feshetme, askıya alma veya yargı yoluna başvurma ve politikayı ihlal eden ve kişisel verilerin korunması ile alakalı diğer gereklilikleri yerine getirmeyen kişiler ile ilgili iddiada bulunma hakkını saklı tutar.

Saygılarımızla,

TRAKYA ELEKTRİK PERAKENDE SATIŞ A.Ş.