ENDA ENERJİ, her zaman ISO 9001 – ISO 14001- ISO 45001- ISO 50001 – ISO 10002- ISO 27001 – ISO 27701 – ISO 31000, ISO 22301- ISO 14064-1 hizmette farklılık oluşturarak, sektörde yönlendirici bir kuruluş olarak çalışacaktır. Başta Yöneticilerimiz olmak üzere, tüm çalışanlarımız Entegre Yönetim Sistem Politikamızın ilkelerini uygulamak ve geliştirmekten sorumludur.
İş sürekliliği kapasitemizi, ISO 22301 uluslararası standardına uygun olarak sürekli iyileştiriyoruz.
İş sürekliliğini sağlamak için İş Sürekliliği Yönetim Sistemi’ni (ISYS) geliştirmeyi, gerekli operasyonel süreçleri tasarlamayı ve güncel tutmayı,
Bir olayda veya önemli bir iş kesintisinde önceden belirlenmiş kabul edilebilir seviyelerdeki faaliyetlerin sürekliliğini sağlamayı,
Kriz ve acil durum yönetimi faaliyetlerini merkezi olarak koordine etmeyi
İş sürekliliği planlarını düzenli eğitim, farkındalık çalışmaları ve test/tatbikatlar ile iyileştirmeyi
Taahhüt etmektedir.
Genel Müdür
ENDA ENERJİ Holding A.Ş, Enerji piyasasında %100 yenilenebilir Enerji Üretimine sahip özel sektör tedarikçisi olarak,
Taahhüt Ederiz.
1. AMAÇ
Bu politika, yasal mevzuat ve sözleşmeyle belirlenmiş yükümlülükler, kurumsal strateji ile uyumun sağlanması, hedeflerimiz doğrultusunda kurduğumuz bilgi güvenliği yönetim sistemine olan desteğimizi ve bağlılığımızı Enda Enerji Holding A.Ş. Yönetim Kurulu olarak beyan etmek, tüm çalışanlara ve ilgili taraflara ( ortakları, alt yüklenicileri ve ilgili üçüncü taraflar (müşteri, tedarikçi vb.) arasında kararlaştırılan sözleşme hükümlerine uyulmasını bildirmek amacıyla oluşturulmuştur.
2. KAPSAM
Elektrik enerjisi üretim, alım, satım ve dağıtım işlemleri ve bu işlemlere ilişkin elektrik üretimi, finans ve muhasebe, insan kaynakları, satınalma ve bilgi işlem gibi faaliyetlerin bilgi güvenliğinin sağlanması kapsam olarak belirlenmiştir.
3. SORUMLULUK
Bilgi güvenliği sisteminin yönetiminden Bilgi Güvenliği Yönetim Takımı sorumludur.
Yönetim Kurulu, Bilgi Güvenliği Yönetim Takımının desteklenmesi ve denetlenmesinden sorumludur.
Kişisel veri sorumlusu ve kişisel veri işleyen personel, kişisel veri işleyen tüm kuruluşlar, bilgi güvenliği politikalarının geliştirilmesi ve sürdürülmesi sırasında, yürürlükte olan kişisel veri koruma mevzuatını ve/veya düzenlemelerini takip etmekden sorumludur.
4. POLİTİKA
4.1. Bilgi Güvenliği Hedefimiz Bilgi varlıklarının gizlilik, bütünlük ve erişebilirliğini etkileyecek risklerin önlenmesi ve yönetimi için gerekli kontrol ve uygulamaları belirleyen sistemin ISO 27001 ve ISO 27701 standardına ve 6698 KVKK ‘na uygun kurulması, denetimi ve iyileştirilmesi sağlanır.
4.2. Yönetim Desteği ve Kaynaklar Bilgi güvenliği yönetim sisteminin kurulması ve sürdürülmesi için her türlü destek ve kaynak sağlanır. Yönetim Kurulu, denetleme ve strateji konusunda görevini yerine getirir.
4.3. Uygulanabilirlik Planlamalarda ve alınan kararlarda uygulanabilirlik yönü göz önünde bulundurulur. Kurumsal iş süreçlerine uyuma ve sürdürülebilirliğe dikkat edilir.
4.4. Personel Bilgi güvenliğinin sagˆlanması ve sistemin sürdürülebilirligği çalışanların katkı ve desteği ile mümkündür. Bu amaçla tüm çalışanlarımız bilgi güvenliği tehditleri hakkında bilgilendirilir ve gerekli farkındalık eğitimleri verilir. Tüm çalışanlar belirlenen kurallara uymalıdır.
4.5. Yasal Mevzuat Yasal mevzuat, bilgi güvenliği konusunda yükümlülükler getirmektedir. Uyum sağlanması için gerekli takip ve düzenlemeler yapılacaktır.
4.6. Sözleşmeler Müşterilerimizin bilgi güvenliği beklentileri yerine getirilir. Bilgilerinin gizliliği sağlanır. Tedarikçilerimizin bilgi güvenliği kurallarımıza uymaları beklenir. 6698 KVKK gereği tüm sözleşmelerde Kişisel veri güvenliği ve gizlilik koşullarını sağlaması beklenir.
4.7. Kişisel Veriler Kişisel verilerin korunması bizim için etik değerler açısından önemli bir konudur. ISO 27701 Standardı ve Kişisel verilerin korunması kanunu ve yönetmelikleri, kurul kararlarına uyum sağlanır.
4.8. Riskler Bilgi varlıklarının gizlilik, bütünlük ve erişebilirliğini tehdit eden riskler düzenli olarak analiz edilerek düzeltici faaliyetler gerçekles¸tirilir.
4.9. İş Sürekliliği İş süreçlerimizin yürütülmesini sağlayan bilgi işleme olanaklarının kesintisizliği ve yedekli olarak sürdürülebilirliği bizim için çok önemlidir. Bu amaçla gerekli yatırımlar için kaynak sağlanır.
4.10. Kontrol ve Denetleme Bilgi güvenliği politikalarına ve kurallarına uyulması, Yönetim Kurulu tarafından düzenli olarak kontrol edilir ve değerlendirilir.
4.11. Bilgilerin Sahipliği Yaratılan, güncellenen ve kullanılan bilgi varlıklarının mülkiyeti şirketimize aittir. Bu varlıklara erişen herkes bunun bilincini taşımalıdır.
4.12. Kural Dışılıklar ve Uygunsuzluklar Bilgi kaynaklarını kullanarak şirket ve etik kurallarına veya yasalara aykırı faaliyetlerde bulunmak kabul edilemez. Bu ve benzeri faaliyetler ve teşebbüsler disiplin suçu olarak ele alınır ve gerekli disiplin ve yasal süreçler uygulanır. Genel Müdür
6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVK Kanunu”) 07.04.2016 tarihli Resmî Gazetede yayımlanarak yürürlüğe girmesi ile birlikte bireylerin kişisel verilerinin bütüncül bir düzenleme içerisinde korunması yasal düzenleme altına alınmıştır. Bu kapsamda, Kişisel Verileri Koruması ve İşlenmesi Politikası (“Politika”), Enda Enerji Holding A.Ş. (“Şirket/Şirketimiz)’in KVK Kanunu ve ilgili mevzuat tarafından ortaya konulan kuralları somut olarak nasıl uygulayacaklarına ilişkin yol gösterici bir nitelik taşımaktadır. Şirketimiz bu doğrultuda kendi bünyesinde Politika’ya uyum için gerekli düzenlemeleri yaparak ve periyodik olarak Politika’ya uyum konusunda iç denetim mekanizmalarını işleterek Politika’ya uygunluğun devamlılığını sağlayacaktır.
İşbu (“Politika“); Şirket olarak, madde 1.3.’de tanımlanan Çalışanların, Eski Çalışanların, Çalışan Adaylarının, Stajyerlerin, Topluluk Çalışanlarının, Çalışan Yakınlarının, Şirket Hissedarlarının/Ortaklarının, Şirket Yetkililerinin, Ürün veya Hizmet Alan Kişilerin (Müşterilerin), Potansiyel Ürün veya Hizmet Alıcılarının, Ziyaretçilerin, , Tedarikçi Yetkililerinin, Tedarikçi Çalışanlarının, otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlediğimiz tüm kişisel verilere ilişkindir.
3. TANIMLAR
KVK Kanunu ve ikincil düzenlemelerde yer alan tanımlar ayrıca bu kısımda belirtilmemekte olup, bu Politika içerisinde ayrıca tanımlanmadığı sürece düzenlemelerde yer aldığı şekilde kullanılmaktadır.
Çalışan: Şirketimizle imzaladığı iş sözleşmesi ile işçi işveren ilişkisi bulunan gerçek kişiler.
Topluluk Çalışanı: Şirketimiz tarafından yürütülen veri kayıt sistemi, insan kaynakları, denetim, bilgi teknolojileri güvenliği ve altyapısının sağlanması, hukuki uyum vb. faaliyetler çerçevesinde kişisel verileri işlenen Topluluk Şirketleri çalışanları.
Çalışan Adayı: Şirketimize ve/veya Topluluk Şirketlerine herhangi bir yolla iş başvurusunda bulunmuş ya da özgeçmiş ve ilgili bilgilerini Şirketimizin incelemesine açmış olan gerçek kişiler.
Stajyer: Şirketimiz ve/veya Topluluk Şirketlerinde deneyim kazanmak, yapılan işleri öğrenmek, mesleki bilgilerini geliştirmek için çalışan kişiler.
Eski Çalışan: Şirketimiz ve/veya Topluluk Şirketleri ile arasındaki iş sözleşmesi herhangi bir nedenle sona ermiş gerçek kişiler.
Topluluk Şirketleri: Şirketin doğrudan, dolaylı grup şirketleri ve bağlı ortaklıkları.
Şirket Hissedarı/Ortağı: Şirketin ve Topluluk Şirketlerinin hissedarı/ortağı gerçek kişileri.
Şirket Yetkilileri: Şirketimiz ve/veya Topluluk Şirketlerinin yönetim kurulu üyesi ve diğer yetkili gerçek kişiler.
Tedarikçi Çalışanı: Şirketimizin ve/veya Topluluk Şirketlerinin ticari faaliyetlerini yürütürken Şirketimizin emir ve talimatlarına uygun olarak sözleşme temelli veya herhangi bir sözleşmesel ilişkisi bulunmadan Şirketimize hizmet sunan tedarikçilerin, iş ortaklarının, üçüncü kişilerin çalışanları.
Tedarikçi yetkilisi: Şirketimizle ve/veya Topluluk Şirketlerimizle ticari faaliyet yürüten iş ortağı, tedarikçi vb üçüncü kişi yönetim kurulu üyesi, genel müdür vb diğer yetkili gerçek kişiler.
Ürün veya Hizmet Alan Kişi (Müşteri): Şirketimiz ve/veya Topluluk Şirketleri ile herhangi bir sözleşmesel ilişkisi olup olmadığına bakılmaksızın Şirketimiz iş birimlerinin yürüttüğü operasyonlar kapsamında Topluluk Şirketleri’nin iş ilişkileri üzerinden kişisel verileri elde edilen gerçek kişiler.
Potansiyel Ürün veya Hizmet Alıcısı: Şirketimiz ve/veya Topluluk Şirketlerimizin ürün ve hizmetlerinin tanıtım ve pazarlamasının yapıldığı kişiler,
Ziyaretçi: Şirketimizin ve/veya Topluluk Şirketlerinin sahip olduğu fiziksel yerleşkelere çeşitli amaçlarla girmiş olan veya internet sitelerimizi ziyaret eden gerçek kişiler.
4. UYGULAMA
4.1. KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN UYGULANACAK İLKELER
Şirketimiz tarafından KVK Kanun’u ve diğer ikincil düzenlemelere uyum sağlanması ve uyumun sürdürülmesi için aşağıda sıralanan temel ilkeler benimsenmelidir:
4.1.1. Hukuka ve Dürüstlük Kuralına Uygun İşleme: Şirketimiz; Türkiye Cumhuriyeti Anayasası başta olmak üzere kişisel verilerin korunması mevzuatına uygun olarak, kişisel veri işleme faaliyetlerini hukuka ve dürüstlük kurallarına uygun biçimde yürütmektedir.
4.1.2. Kişisel Verilerin Doğru ve Gerektiğinde Güncel Olmasını Sağlama: Şirketimiz; ilgili kişilerin temel haklarını ve kendi meşru menfaatlerini dikkate alarak işlediği kişisel verilerin doğru ve güncel olmasını sağlamaktadır. Bu doğrultuda gerekli tedbirleri almaktadır.
4.1.3. Belirli, Açık ve Meşru Amaçlarla İşleme: Şirketimiz, meşru ve hukuka uygun olan kişisel veri işleme amacını açık ve kesin olarak belirlemektedir. Şirketimiz, kişisel verileri yürütmekte olduğu ticari faaliyet ile bağlantılı ve bunlar için gerekli olan kadar işlemektedir.
4.1.4. İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma: Şirketimiz, kişisel verileri belirlenen amaçların gerçekleştirilebilmesine elverişli bir biçimde işlemekte ve amacın gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınmaktadır.
4.1.5. İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç için Gerekli Olan Süre Kadar Muhafaza Etme: Şirketimiz, kişisel verileri ancak ilgili mevzuatta belirtildiği veya işlendikleri amaç için gerekli olan süre kadar muhafaza etmektedir. Bu kapsamda, Şirketimiz öncelikle ilgili mevzuatta kişisel verilerin saklanması için bir süre öngörülüp öngörülmediğini tespit etmekte, bir süre belirlenmişse bu süreye uygun davranmakta, bir süre belirlenmemişse kişisel verileri işlendikleri amaç için gerekli olan süre kadar saklamaktadır. Sürenin bitimi veya işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel veriler Şirketimiz tarafından silinmekte, yok edilmekte veya anonim hale getirilmektedir.
4.2. KİŞİSEL VERİLERİN İŞLENME ŞARTLARI
Şirketimiz tarafından kişisel veriler, ilgili kişinin açık rıza vermesi halleri saklı kalmak kaydıyla, KVK Kanunu’nun 5. maddesinde belirtilen şartlardan bir veya bir kaçına uygun olarak işlenmektedir. İşlenen verilerin özel nitelikli kişisel veri olması halinde, işbu Politika’nın 4.3 başlığı (“Özel Nitelikli Kişisel Verilerin İşlenmesi ve Aktarılması”) içerisinde yer alan şartlar uygulanacaktır.
4.2.1. İlgili Kişinin Açık Rızasının Bulunması: İlgili kişinin açık rızası belirli bir konuya ilişkin, bilgilendirilmeye dayalı olarak ve özgür iradeyle açıklanmalıdır. Aşağıda yer alan kişisel veri işleme şartlarının varlığı durumunda ilgili kişinin açık rızasına gerek kalmaksızın kişisel veriler işlenebilecektir.
4.2.2. Kanunlarda Açıkça Öngörülmesi: İlgili kişinin, kanunlarda kişisel verilerinin işlenmesine ilişkin açıkça bir hüküm olması halinde bu veri işleme şartının varlığından söz edilebilecektir.
4.2.3. Fiili İmkansızlık Sebebiyle İlgilinin Açık Rızasının Alınamaması: Fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda olan veya rızasına geçerlilik tanınamayacak olan kişinin kendisinin ya da başka bir kişinin hayatı veya beden bütünlüğünü korumak için kişisel verisinin işlenmesinin zorunlu olması halinde ilgili kişinin kişisel verileri işlenebilecektir.
4.2.4. Sözleşmenin Kurulması veya İfasıyla Doğrudan İlgi Olması: İlgili kişinin taraf olduğu bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, kişisel verilerin işlenmesinin gerekli olması halinde işbu şart yerine getirilmiş sayılabilecektir.
4.2.5. Şirketin Hukuki Yükümlülüğünü Yerine Getirmesi: Şirketimizin hukuki yükümlülüklerini yerine getirmesi için işlemenin zorunlu olması halinde ilgili kişinin kişisel verileri işlenebilecektir.
4.2.6. İlgili Kişinin Kişisel Verisini Alenileştirmesi: İlgili kişinin, kişisel verisini alenileştirmiş olması halinde ilgili kişisel veriler alenileştirme amacıyla sınırlı olarak işlenebilecektir.
4.2.7. Bir Hakkın Tesisi veya Korunması için Veri İşlemenin Zorunlu Olması: Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması halinde ilgili kişinin kişisel verileri işlenebilecektir.
4.2.8. Şirketimizin Meşru Menfaati için Veri İşlemenin Zorunlu Olması: İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla Şirketimizin meşru menfaatleri için veri işlemesinin zorunlu olması halinde ilgili kişinin kişisel verileri işlenebilecektir.
4.3. KİŞİSEL VERİLERİN AKTARILMASI
Şirketimiz meşru ve hukuka uygun olan kişisel veri işleme amaçları doğrultusunda işbu Politika kapsamında yer verilen gerekli güvenlik önlemlerini alarak ve gizlilik koşullarını oluşturarak, ilgili kişinin kişisel verilerini ve özel nitelikli kişisel verilerini yurtiçinde;
4.3.1. Enerji Piyasası Düzenleme Kurumu başta olmak üzere kanunen yetkili kurum ve kuruluşlara; İlgili kamu kurum ve kuruluşlarının hukuki yetkisi dahilinde talep ettiği amaçla sınırlı olarak,
4.3.2. Topluluk Şirketleri ; ile Topluluk Şirketleri’nin katılımını gerektiren Şirket faaliyetlerinin topluluk ilke ve stratejilerine uygun olarak temin etmekle sınırlı olarak,
4.3.3. Şirket Hissedarlarına/Ortaklarına; ilgili mevzuat hükümlerine göre Şirketimizin ticari faaliyetlerinin yerine getirilebilmesi ve denetim amaçlarıyla sınırlı olarak,
4.3.4. Tedarikçilere; Şirketimizin tedarikçiden temin ettiği ve ticari faaliyetlerini yerine getirmek için gerekli hizmetlerin Şirketimize sunulmasını sağlamak amacıyla sınırlı olarak,
4.3.5. Kanunen yetkili özel hukuk kişilerine; başta ödemeler dahilinde Türkiye Bankalar Birliği bünyesindeki bankalar ile Şirket ve Topluluk Şirketleri bağımsız denetçileri olmak üzere ilgili özel kurum ve kuruluşların yürütmekte olduğu faaliyetler kapsamında giren konular ile ilgili sınırlı olarak ve çalışanlarımıza sağlanan yan hak ve menfaatlerin sağlanması amacıyla,
aktarmaktadır.
4.4. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİ VE AKTARILMASI
Özel nitelikli kişisel veriler Şirketimiz tarafından, işbu Politika’da belirtilen ilkelere uygun olarak ve Kişisel Verileri Koruma Kurul (“Kurul”)’un belirleyeceği yöntemler de dahil olmak üzere gerekli her türlü idari ve teknik tedbirler alınarak ve aşağıdaki şartların varlığı halinde işlenmekte ve aktarılmaktadır:
4.4.1. Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler, kanunlarda açıkça öngörülmesi diğer bir ifade ile ilgili faaliyetin tabi olduğu kanunda kişisel verilerin işlenmesine ilişkin açıkça bir hüküm olması halinde ilgili kişinin açık rızası aranmaksızın işlenebilecektir. Aksi durumda söz konusu özel nitelikli kişisel verilerin işlenebilmesi için ilgili kişinin açık rızası alınacaktır.
4.4.2. Sağlık ve cinsel hayata ilişkin özel nitelikli kişisel veriler, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından açık rıza aranmaksızın işlenebilecektir. Aksi durumda söz konusu özel nitelikli kişisel verilerin işlenebilmesi için ilgili kişinin açık rızası alınacaktır.
4.5. ŞİRKETİMİZ TARAFINDAN İŞLENEN KİŞİSEL VERİLERİN KATEGORİZASYONU VE İŞLENME AMAÇLARI
Şirketimiz, KVK Kanunu’nun 10. maddesine uygun olarak, kişisel verilerin elde edilmesi sırasında ilgili kişileri aydınlatmaktadır. Bu kapsamda Şirketimiz, varsa temsilcisinin kimliği, kişisel verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi ile ilgili kişinin sahip olduğu hakları konusunda aydınlatma yapmaktadır.
İşbu Politika ’da belirtilen amaçlar ve şartlar çerçevesinde, işlenen kişisel veri kategorilerine ve kategoriler hakkında detaylı bilgilere Politika’nın EK -1 (“Kişisel Veri Kategorileri”) dokümanından ulaşılabilecektir. Söz konusu kişisel verilerin işleme amaçlarına ilişkin detaylı bilgiler Politika’nın EK- 2’sinde (“Kişisel Veri İşleme Amaçları”) yer almaktadır.
ENDA Enerji, Türkiye enerji sektörünün şirketlerinden biri olarak, ulusal çevre mevzuatı, ilgili çevre standartları ve bu alandaki en iyi teknolojileri temel alan sürdürülebilir bir çevre yönetimi politikası izlemektedir.
Bu politikanın temel yapı taşlarını aşağıdaki ilkeler oluşturmaktadır.
“Yasal Mevzuat ve Şartlara Uyarak, Ekip Ruhu İçerisinde İnsan Sağlının Korunması, kapsamımızda belirtilen Üretim ve hizmetler Konusunda Riskleri Belirlenip Kontrol Altına Alınması, Alınacak Eğitimler İle İSG Şartlarında Sürekli İyileştirmeler Yapılarak Minimum Risklerle Çalışılmasıdır.”
İSG Politikamız aşağıdaki metodoloji ile belirlenmiş, gözden geçirilmekte ve gerektiğinde güncellenmektedir.
Bu doğrultuda kurulmuş ve yürütülmekte olan İSG Yönetim Sistemimizin sürekliliğini sağlamayı İSG politikamız olarak taahhüt ederiz.
Bu doküman, 7 Nisan 2016 tarihinde 29677 sayılı Resmî Gazete’de yayımlanarak yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu’nda yer alan (bundan böyle “KVKK” ve/veya “Kanun” olarak anılacaktır.) Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hâle Getirilmesi kenar başlıklı 7. maddesi ve Suçlar kenar başlıklı 17. maddesi ile Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik Hükümlerine göre; mevcut durumunu tespit ederek bu tespitler çerçevesinde hukuken yapılması gerekenleri (bundan böyle “Saklama ve İmha Süreçleri” olarak anılacaktır.) belirlemek amacıyla hazırlanmıştır.
Tüm Şirket çalışanları ve çalışanların bağlı bulundukları departmanlar, kişisel verileri işleme faaliyetlerine ilişkin olarak işbu Politika kapsamında olup Politika doğrultusunda alınması öngörülen teknik, hukuki ve idari tedbirlerin gereği gibi uygulanması, veri koruma süreçlerine ilişkin eğitim ve farkındalık düzeylerinin arttırılması, periyodik olarak veya rastgele şekilde denetlenmesi ile kişisel verilerin hukuka aykırı işlenmesinin ve kişisel verilere hukuka aykırı erişilmesinin önlenmesinden ve kişisel verilerin hukuka uygun saklanmasının sağlanmasından sorumludur.
4. TANIMLAR
END.İK.POL.008 Kişisel Verilerin İşlenmesi ve Korunması Politikası’nda yer alan tanımlar aynen burada da geçerli olacaktır, bu dokümanda ayrıca belirtilmeyen tanımlar olması halinde Kişisel Verilerin İşlenmesi ve Korunması Politikasında yer aldığı şekilde anlam ifade edecektir.
Alıcı Grubu
:
Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisini ifade eder.
Açık Rıza
Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza anlamına gelir.
Anonim Hale Getirme
Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.
Çalışan
Şirket çalışanlarıdır. (Kişisel Verilerin İşlenmesi ve Korunması Politikası’nda yer alan “Topluluk Çalışanları” da bu tanım kapsamında yer alacaktır)
Elektronik Ortam
Kişisel verilerin elektronik aygıtlar ile oluşturulabildiği, okunabildiği, değiştirilebildiği ve yazılabildiği ortamlardır.
Elektronik Olmayan
Ortam
Elektronik ortamların dışında kalan tüm yazılı, basılı, görsel ve benzeri ortamlardır.
Hizmet Sağlayıcı
Şirket ile belirli bir sözleşme ilişkisi çerçevesinde bulunarak Şirkete hizmet sağlayan gerçek veya tüzel kişiyi ifade eder.
İlgili Kişi / Kişisel Veri Sahibi
Kişisel verisi işlenen gerçek kişilerdir.
Kişisel veri tanımından anlaşılabileceği üzere Kanun’un koruması ancak gerçek kişiye ilişkindir ve bu kişi “ilgili kişi” olarak tanımlanmaktadır.
İlgili Kullanıcı
Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri Şirket adına işleyen kişileri ifade eder.
İmha
Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesini ifade eder.
Kanun
6698 sayılı Kişisel Verilerin Korunması Kanunu
Kayıt Ortamı
Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam anlamına gelir.
Kişisel Veri
Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgidir. Kişisel veri, bireyin şahsi, mesleki ve ailevi özelliklerini gösteren, o bireyi diğer bireylerden ayırmaya ve niteliklerini ortaya koymaya elverişli her türlü bilgidir. Bu bilgiler, belli bir kimsenin kimliği, etnik kökeni, fiziksel özellikleri, sağlık, eğitim, istihdam durumu, cinsel yaşamı, aile hayatı, başkaları ile yaptığı haberleşmeler, ikamet adresi, kredi kartı, kişisel düşünce ve inançları, dernek ve sendika üyelikleri, alışveriş alışkanlıkları gibi hususları da kapsamaktadır.
Kişisel Veri İşleme
Envanteri
Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçlarını, veri işlemenin hukuki sebebini, veri kategorisini, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter anlamına gelir.
Kişisel Verilerin
İşlenmesi
Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemdir.
Kişisel Verilerin Silinmesi
Kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.
Kişisel Verilerin Yok Edilmesi
Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.
Kurul
Kişisel Verileri Koruma Kurulu.
Kurum
Kişisel Verileri Koruma Kurumu.
Özel Nitelikli Kişisel
Veri
Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri ifade eder.
Periyodik İmha
Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla re’sen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemidir.
Veri İşleyen
Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişilerdir.
Veri Kayıt Sistemi
Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini ifade eder.
Veri Sorumlusu
Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişilerdir.
Veri Sorumluları Sicil
Bilgi Sistemi / VERBİS
Kişisel Verileri Koruma Kurumu Başkanlığı tarafından tutulan veri sorumluları sicilini ifade eder.
Yönetmelik
28.10.2017 tarihli Resmî Gazete’de yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmeliktir.
5. UYGULAMA
Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesiyle ilgili yapılan bütün işlemler kayıt altına alınır ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az 3 (üç) yıl süreyle saklanır. Bu kapsamda kişisel verilerin saklanması ve imha edilmesi süreçlerinde görev alanların unvanları, departmanları ve görev tanımları aşağıdaki gibidir:
Unvan
Departman
Görev Tanımı
İnsan Kaynakları Müdürüyle birlikte Kişisel Verilerin Korunması Komite Üyeleri (Merkez Ofis Yöneticileri)
Tüm Departmanlar
Politikanın yürütülmesi, ilgili ortamlarda yayınlanması, güncellenmesi, idari tedbirlerin sağlanması ve uygulanmasından sorumludur.
Bilgi işlem Yöneticisi
Bilgi işlem
Politikanın uygulanmasında ihtiyaç duyulan teknik çözümlerin ve tedbirlerin sağlanmasından ve uygulanmasından sorumludur.
İnsan Kaynakları Müdürü
İşletme müdürleri
Ayrıca diğer Kişisel Verilerin Korunması Komite Üyeleri (Merkez Ofis Yöneticileri)
Çalışanların Politikaya uygun hareket etmesinden, denetiminden ve genel koordinasyonundan sorumludur.
5.1. KAYIT ORTAMLARI
Şirketin tabi olduğu ticari ve hukuki düzenlemeler ve ikincil mevzuatı kapsamında gerçekleştirdiği faaliyetlerin yürütülmesi sırasında elde ettiği kişisel verileri aşağıda listelenen elektronik ve/veya elektronik olmayan ortamlarda tutmaktadır:
5.2. KİŞİSEL VERİLERİ SAKLAMA VE İMHAYA İLİŞKİN AÇIKLAMALAR
Şirket tarafından çalışanları, topluluk çalışanları, çalışan adayları, stajyerleri, müşterileri, potansiyel müşteri, şirket yetkilileri, şirket hissedarı tedarikçileri, tedarikçi yetkilisi, çalışanları, ziyaretçileri ve diğer üçüncü kişilere ait kişisel veriler, Kanun ile Yönetmelik hükümlerine uygun olarak saklanmakta ve imha edilmektedir. Saklama ve imha süreçlerinin tamamında Şirket tarafından tabi olunan hukuki düzenlemeler, ikincil mevzuat ve Kurum’un bağlayıcı görüş ve bildirimleri dikkate alınır.
Şirket, işlediği dönem için en güncel kişisel verileri mümkün olan en kısa süre için saklamayı, saklanan veriler bakımından olabildiğince minimalizasyonu amaçlamakta ise de veri sorumlusu olarak Şirket veri işleme amaçları ve hukuki sebepleri çerçevesinde yasal yükümlülüklerini de göz önünde bulundurarak işlemiş olduğu kişisel verileri belirli sürelerde saklar.
Bu kapsamda saklama ve imhaya ilişkin detaylı açıklamalar aşağıda belirtilmiştir.
5.3. Saklamayı Gerektiren Hukuki Sebepler ve İşleme Amaçları
5.3.1. Saklamayı Gerektiren Hukuki Sebepler
Şirket faaliyetleri çerçevesinde işlenen kişisel veriler, ilgili mevzuatta öngörülen süre kadar muhafaza edilmektedir ve bu kapsamda kişisel veriler aşağıdaki hukuki sebeplere dayalı olarak saklanmaktadır:
5.3.2. Saklamayı Gerektiren İşleme Amaçları
Yukarıda detayı açıklanan Şirket faaliyetleri çerçevesinde işlenen kişisel veriler aşağıda belirtilen amaçlarla sınırlı olarak işlenmektedir:
Amaçları ile kişisel veriler işlenmekte ve işleme sırasında Kanun ile ikincil mevzuatı dikkate alınmaktadır.
5.4. İmhayı Gerektiren Sebepler
Kişisel veriler:
İlgili mevzuatta öngörülen süre ya da işlendikleri amaç için gerekli olan saklama süresinin sonunda kişisel veriler, Şirket tarafından resen ve/veya ilgili kişinin Şirket bünyesine yaptığı başvuru üzerine aşağıda belirtilen tekniklerle imha edilir.
5.5. Kişisel Verilerin İmha Yöntemleri
5.5.1. Kişisel Verilerin Silinmesi
Şirket tarafından işlenen kişisel veriler aşağıda belirtilen şekilde silinmektedir:
Veri Kayıt Ortamı
Açıklama
a. Elektronik Kayıt Ortamları
- Çevresel ve Yerel Sistemler
b. Elektronik Olmayan Kayıt Ortamları
Fiziksel ortamda tutulan ve saklama süresi sona eren kişisel veriler çalışanlar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. Ayrıca, kâğıt kırpma makinesi ile geri döndürülemeyecek şekilde yok edilir.
Şirket yukarıda belirtilen silme yöntemlerinden bir ya da birkaçını kullanabilir, farklı saklama ortamlarının kullanılması halinde, yeni silme yöntemleri geliştirebilir, var olan yöntemlere ek olarak veya bu yöntemler ile birlikte yeni geliştirdiği silme yöntemlerini kullanabilir.
5.5.2. Kişisel Verilerin Yok Edilmesi
Şirket tarafından işlenen kişisel veriler aşağıda belirtilen şekilde yok edilmektedir:
- Fiziksel Yok Etme Yöntemi
Kişisel veri barındıran optik ve manyetik medyanın eritilmesi, yakılması veya toz haline getirilmesi gibi fiziksel olarak yok edilmesi işlemidir. Optik veya manyetik medyayı eritmek, yakmak, toz haline getirmek ya da bir metal öğütücüden geçirmek gibi işlemlerle verilerin erişilmez kılınması sağlanır.
- De – Manyetize Etme (Degauss)
Manyetik medyanın yüksek manyetik alana maruz bırakılması ile üzerindeki verilerin okunamaz ve yeniden okunabilir hale gelmesi engellenecek biçimde bozulması sağlanır.
- Üzerine Yazma
Manyetik medya ve yeniden yazılabilir optik medya üzerine en az yedi kez 0 ve 1’lerden oluşan rastgele veriler yazılarak eski verinin okunmasının ve kurtarılmasının önüne geçilir.
b. Elektronik Olmayan Kâğıt Ortamları
Kâğıt ortamında yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, kâğıt kırpma makinesi ile geri döndürülemeyecek şekilde yok edilir.
Şirket yukarıda belirtilen imha yöntemlerinden bir ya da birkaçını kullanabilir, farklı saklama ortamlarının kullanılması halinde, yeni imha yöntemleri geliştirebilir, var olan yöntemlere ek olarak veya bu yöntemler ile birlikte yeni geliştirdiği imha yöntemlerini kullanabilir.
5.5.3. Kişisel Verilerin Anonim Hale Getirilmesi
Kişisel verilerin anonim hale getirilmesi kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir. Kişisel verilerin anonim hale getirilmiş olması için; kişisel verilerin, veri sorumlusu veya üçüncü kişiler tarafından geri döndürülmesi ve/veya verilerin başka verilerle eşleştirilmesi gibi kâğıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekir. Şirket aşağıda belirtilen anonimleştirme yöntemlerinden bir ya da birkaçını kullanabilir.
Anonim Hale Getirme Örneklendirme- açıklamalar ile birlikte belirtilmeli
Alt ve Üst Sınır Kodlama/ Global Kodlama
Bölgesel Gizleme
Değişkenleri Çıkarma
Genelleştirme
Mikro Birleştirme
Veri Karma ve Bozma
5.6. SAKLAMA ve İMHA SÜRELERİ ve YÖNTEMİ
Kanun ve/veya ilgili mevzuat ile ikincil düzenlemelerinde daha uzun bir süre düzenlenmiş olması ya da Saklamayı Gerektiren Hukuki Sebepler uyarınca zamanaşımı, hak düşürücü süre, saklama süreleri ve benzeri için daha uzun bir süre öngörülmüş olması hali saklı kalmak kaydıyla Şirket tarafından işlenen kişisel veriler bu Politikanın ekinde yer alan Saklama ve İmha Tablosunda belirtilen yöntemlerle ve sürelerle saklanmakta ve saklama sürelerinin sonunda belirtilen yöntemlerle (Sayılan imha yöntemleri ile sınırlı kalmamak kaydıyla Şirket farklı imha yöntemleri kullanma hakkı saklıdır.) imha edilmektedir. (Bkz. EK- Saklama ve İmha Tablosu ( Veri Envanter Tablosu))
5.7. PERİYODİK İMHA SÜRESİ
Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik hükümleri kapsamında Şirket, Kanun’da yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda işleme şartları ortadan kalkmış olan kişisel verileri işbu Kişisel Veri Saklama ve İmha Politikasında belirtilen ve tekrar eden aralıklarla re’sen gerçekleştirilecek bir işlemle siler, yok eder veya anonim hale getirir. Periyodik imha süreçleri her 6 (altı) ayda 1 (bir) tekrar eder.
5.8. TEKNİK ve İDARİ TEDBİRLER
Kanun uyarınca kişisel verilerin güvenli bir şekilde saklanması ile hukuka aykırı işlenmesinin ve/veya bu kişisel verilere hukuka aykırı erişilmesinin önlenmesi ayrıca Saklama ve İmha Süreçlerinin gerekliliği ilan edilen teknik ve idari tedbirlerin yapılandırılmış, güncellenmiş, efektif ve hesap verebilir bir şekilde Şirket tarafından alınması esastır.
5.8.1. Teknik Tedbirler
Şirket tarafından işlenen kişisel verilerle ilgili olarak alınan teknik tedbirler aşağıda sayılmıştır:
5.8.2. İdari Tedbirler
Şirket tarafında işlenen kişisel verilerle ilgili olarak alınan idari tedbirler aşağıda sayılmıştır:
5.9. YAYIN ve SAKLAMA
Politika, ıslak imzalı (basılı kâğıt) ve elektronik ortamda olmak üzere iki farklı ortamda yayımlanır. Basılı kâğıt nüshası da Bilgi İşlem ve İnsan Kaynakları Departmanı dosyasında saklanır.
5.10. GÜNCELLEME PERİYODU
Politika ihtiyaç duyuldukça ve yılda 1 (bir) olmak üzere her yıl gözden geçirilerek gerekli olan bölümler güncellenir.
5.11. YÜRÜRLÜK
Politika, 01.12.2019 tarihinde yürürlüğe girmiş kabul edilir ve yürürlükten kaldırılmasına veya değiştirilmesine karar verilmesi halinde Yönetim Kurulu Kararı ile iptal edilerek (kırmızı renkli iptal kaşesi vurularak veya iptal yazılarak) yeni hali imzalanır ve Şirket inisiyatifine bağlı olarak bağlı olarak internet sitesinde yayınlanabilir. Yeni hali Yönetim Kurulu kararı üzerine yürürlüğe girer.
Bu politika, bilgisayar, cep telefonu, yazıcı ve diğer cihazların kullanımında, toplantı, yazı tahtası ve masa düzenlerinde bilgi güvenliği sistemine uyum sağlamak amacıyla oluşturulmuştur.
Tüm birimleri, ofisleri, toplantı odalarını, masaları ve buralarda bulunan tüm elektronik ve fiziksel bilgi varlıklarını kapsar.
Politikanın uygulanmasından tüm çalışanlar sorumludur.
Politikanın güncellenmesinden Bilgi Güvenliği Yönetim Takımı sorumludur.
Politikanın uygulama denetiminden İç Denetim ve Operasyonel Risk Yönetimi Müdürü sorumludur.
4.1. Mesai saatleri dışında bilgisayarlar kapalı durumda bulundurulmalıdır.
4.2. Mesai saatleri içerisinde masa başından ayrılma durumunda mutlaka bilgisayar ekranı kilitlenmelidir. (CTRL+ALT+DEL/ENTER)
4.3. Bilgisayar veya cep telefonlarının ekranları 10 dakika sonra kilitlenecek şekilde ayarlanmalıdır.
4.4. Bilgisayar ve cep telefonlarının ekranlarında şifre koruması bulunmalıdır.
4.5. Şifreler herhangi bir yere yazılmamalıdır.
4.6. Bilgisayarların masaüstünde gizli veya hassas bilgi içeren dokümanlar bulundurulmamalı, bir linkle girilen ortak klasörlere konmalıdır.
4.7. Mesai sonunda veya masa başından uzun süre ayrılma durumunda gizli veya hassas bilgi içeren dokümanlar, değerli evraklar veya elektronik cihazlar kaldırılmalıdır.
4.8. Gizli veya hassas bilgiler içeren dokümanlar, değerli evraklar veya elektronik cihazlar kilitli dolap, çekmece veya kasa gibi ortamlarda tutulmalıdır.
4.9. Gizli veya hassas bilgi içeren dokümanlar ve değerli evraklar işlevini tamamladıktan sonra kâğıt öğütücü ile imha edilmelidir.
4.10. Odadan en son çıkan kişi kapıyı kilitlemeli veya kilitlenmesini sağlamalıdır.
4.11. Sahipsiz bulunan veya kullanılmayan her türlü elektronik cihaz bilgi işleme teslim edilmelidir.
4.12. Gelen ve giden evrak noktaları, yazıcılar ve faks cihazları kontrolsüz bırakılmamalıdır.
4.13. Gizli ve hassas bilgi basılması durumunda yazıcıdan doküman hemen alınmalı, yazıcı özelliğinde var ise hafızasından temizlenmelidir.
4.14. Gizli bilgiler faks yolu ile gönderilmemelidir.
4.15. Toplantılar sonrasında yazı tahtasında ve toplantı masası üzerinde bilgi içeren not, belge ve cihaz bırakılmamalıdır.
5. UYGUNSUZLUKLAR
Politikaya uymama durumunda END.İK.YÖN.001 Etik Davranış Kuralları Yönetmeliği gerekleri uygulanır.
6. REFERANSLAR
Referanslar ve Ekler 1: END.İK.YÖN.001 Etik Davranış Kuralları Yönetmeliği
Bu politikalar, Bilgi Güvenliği Sisteminin temel standartlarını ve uyulması gereken kuralları belirlemek, tüm çalışanlara ve ilgili taraflara bildirmek amacıyla oluşturulmuştur.
ISO 27001 Standardının Ek. A bölümünde belirtilen ve ISO 27002 standardında detayları çizilmiş olan politikaları kapsamaktadır.
Tüm çalışanlar ve ilgili dış taraflar bu politikaların uygulanmasından sorumludur.
Bilgi Güvenliği Yönetim Takımı politikaların geliştirilmesi ve güncellenmesinden sorumludur.
Yönetim Kurulu, politikaların desteklenmesi, geliştirilmesi ve uygulanmasının talebinden sorumludur.
İç Denetim ve Teknik Opresayon Müdürü politikalardaki uygulamaların denetlenmesinden ve uygunsuzlukların raporlamasından sorumludur.
Entegre Yönetim Sistemi Bölümü uygunsuzlukların takibinden sorumludur.
Yönetim Kurulu ve İnsan Kaynakları Departmanı uygunsuzlukların tekrarlanmaması için ve gerektiğinde disiplin süreçlerinin işletilmesinden sorumludur.
Cihaz : Tüm masaüstü ve dizüstü bilgisayarlar, sunucular, ağ cihazları, yazıcılar, el terminalleri, tarayıcılar.
Yazılım : İşletim sistemleri, uygulamalar (SAP, Netsis, Word, Excel, Outlook vb), veritabanları.
Ortak Paylaşım : Tüm departman ve kullanıcıların bilgilere eriştiği File Server sunucusu.
Kullanıcı : Cihaz ve Yazılımları kullanan Şirket ve tedarikçi çalışanları.
Bilgi varlığı sahibi : İlgili bilgi varlığının sorumlusu.
Şirket : Enda Enerji Holding A.Ş.
5.1. Kabul Edilebilir Kullanım Politikası
5.2. Şifre Politikası
o Küçük harf, büyük harf, rakam, noktalama ve özel karakterler kullanılır. Ör: A-Z , a-z, 0-9, !, @, &, =, (,- ,_, }, ?,\, /, %, +, ,)
5.3. SAP ve Cep Telefonu Şifre politikası
SAP
Cep Telefonu
o Örnek: internet sitesi, bankacılık, sosyal medya, e-devlet, SAP, KEP vb.
5.4. Mobil ve taşınabilir cihaz politikası
5.5. Genel erişim politikası
o İnsan Kaynakları ve Endüstriyel ilişkiler Yöneticisi öncelikle SAP başta olmak üzere geçerli erişimleri bir excel dosyasına alır.
o Bu bilgi ilgili kişinin yöneticisine iletir.
o Uygunluk onayı alınır.
o Gerektiğinde geri bildirime istinaden yetki revizyonu yapılır.
5.6. Kullanıcı erişim politikası
5.7. Uzaktan erişim politikası
5.8. Ağ güvenliği ve erişimi politikası
o SERVER VLAN
o NETWORK VLAN
o USER(n) VLAN (Gereken birimler için n adete kadar çoğaltılabilir)
o TESIS/URETIM VLAN
o WAN
o E-posta gibi ağ uygulamaları
o Kurumsal Yazılımlar (SAP, Netsis, vb.)
o Güvenlik Yazılımları
o Portallar
o Dosya erişim ve aktarım araçları
o İnteraktif erişim
5.9. İnternet erişim politikası
5.10. Fiziksel güvenlik politikası
5.11. Bilgi paylaşımı ve aktarımı politikası
3. Taraflar, uzak tesisler, sistem/networkler arası bilgi transferleri sırasında gizli bilgilerin Kriptografi politikasına göre korunması sağlanmalıdır.
5.12. Kriptografi politikası
5.13. Tedarikçi bilgi güvenliği politikası
5.14. Yedekleme politikası
5.15. Antivirüs politikası
5.16. E-posta politikası
5.17. Güvenli geliştirme politikası
6. DENETİM VE İZLEME
Bu politika ilgili süreç sahibi tarafından gözden geçirilir. Süreç sahibi uygulama ile prosedür arasındaki uyumun sağlanmasından sorumludur. Bu sorumluluk, ilgili diğer süreçlerle koordinasyonun sağlanması, gerekli dokümantasyon işlemlerinin prosedürlere uygun olarak gerçekleştirilmesi ve ilgili dokümanların Entegre Yönetim Sistem Sorumlusuna bildirilmesini kapsar.
Bu politika kapsamındaki faaliyetlerin Holding genelinde uygunluğu ve etkinliği, İç Denetim Departmanı tarafından denetlenir ve raporlanır.
7. REFERANSLAR VE EKLER
Kuruluş ve Tesis adı
Tuzla Jeotermal Enerji A.Ş.
BÜYÜK ENDÜSTRİYEL KAZALARIN ÖNLENMESİ VE ETKİLERİNİN AZALTILMASI HAKKINDA YÖNETMELİK MADDE 16 UYARINCA KAMUYA VERİLECEK BİLGİ
BÖLÜM 1
1. İşletmecinin ismi ve kuruluşun tam adresi:
Adı: Tuzla Jeotermal Enerji A.Ş.
Adresi: Tuzla Köyü No.55 Ayvacık / ÇANAKKALE
Telefon No: 0 (286) 743 88 30-87 76
Faks No: 0 (286) 743 89 07
E-Posta Adresi: [email protected]
2. Çevre ve Şehircilik Bakanlığı Bildirim Sistemi
Kuruluşumuz Büyük Endüstriyel Kazaların Önlenmesi Ve Etkilerinin Azaltılması Hakkında yönetmelik hükümlerine tabi olup, yine yönetmelik EK-1 Bölüm 1 ve Bölüm 2’ye konu olan tehlikeli maddeleri “Çevre ve Şehircilik Bakanlığı Bildirim Sistemi (BEKRA Bildirimi)“ kullanarak beyanı gerçekleştirmiştir. Kuruluşumuz BEKRA Bildirimine göre alt seviyeli bir tesistir ve Madde 10 gereği “Büyük Kaza Önleme Politika Belgesi (BKÖP Belgesi)” hazırlamıştır.
3. Kuruluşta gerçekleştirilen faaliyetler
Grup şirketlerinden Egenda Ege Enerji Üretim A.Ş., Tuzla Jeotermal Enerji Üretim A.Ş.’nin %100 hisse oranına sahiptir. Çanakkale ili, Ayvacık ilçesi sınırları içinde, Tuzla mevkiinde yer alan Tuzla Jeotermal Santralı, 7,5 MWe kurulu gücünde ve yıllık ortalama 56.070 MWh enerji üretim kapasitesine sahiptir. Mayıs 2004’te 40 yıllık üretim lisansı alınmış olup, Santral, rezervuar sıcaklığı 174 0C, kuyu başı sıcaklığı ise 148 0C olan 2 üretim (540 m ve 565 m) ve bu 2 üretimden alınan tüm akışkanın enjekte edilebileceği 2 re-enjeksiyon (927 m ve 871 m) kuyusu ile binary cycle olarak Ocak 2010 tarihinde devreye alınmıştır. Mevcut 7,5 MWe tasarım; 48 ton/h buhar ve 693 ton/h kızgın su esasına göre yapılmıştır. 18.08.2018 tarihinde 500m derinliğinde 148 0C kuyubaşı sıcaklığına sahip yeni üretim kuyusu devreye alınarak santral 3 üretim kuyusu tarafından beslenmeye başlamıştır. Üretilen enerji YEKDEM kapsamında EPİAŞ’a satılmaktadır.
4. Büyük bir kazaya sebep olabilecek Ek-1 Bölüm 1 ve 2’de belirtilen maddelerin bilinen isimleri ile bu maddelerin temel zararlılık özelliklerine ait açıklamalar
Tehlikeli maddenin adı
n-Pentan
Tehlikeli maddenin hangi amaçla bulundurulduğu (*)
Jeotermal sahada açılan kuyulardan üretilen akışkan sayesinde elde edilen buhar ve/veya sıcak su eşanjörlere gönderilir, ikinci akışkan olan n-pentanı ısıtır ve sıvı halden gaz haline geçen n-pentan türbinlere gönderilerek, türbini çevirir ve jeneratör aracılığı ile elektrik üretilir.
Azami miktarı (ton)
40
CAS numarası (**)
109-66-0
IUPAC adı
Pentan
Diğer isimler
Quintane; [1] Soğutucu-4-13-0
Yönetmelik Kapsamındaki Zararlılık Başlığı
Fiziksel (P)
Sağlık (H)
Çevresel (E)
Sınıflandırma
SEA Yönetmeliğine (***) göre zararlılık sınıf kodu ve kategori kodu
Alev. Sıvı 2
BHOT Tek Mrz. 3
Asp. Tok.
Sucul Kronik 2
Zararlılık ifadesi kodu
H225
H336
H304
H411
Yönetmelik kapsamındaki adlandırılmış maddenin zararlılık kategorisi / adlandırılmış ise maddenin sıra numarası
P5a
E2
5. Büyük kaza olması durumunda yapılması gerekenlere dair bilgi
Büyük endüstriyel kaza olması durumunda acil durum müdahalesi için organizasyon, iç / dış kaynaklar, kişisel koruyucu ekipman, tedbirler ve müdahale yöntemleri belirlenmiştir. Acil hizmet birimleri ile iş birliği yapılmıştır.