VERİ GÜVENLİĞİ DİSİPLİN DÜZENLEMESİ

1. AMAÇ VE KAPSAM

Bu düzenleme, Şirket bünyesinde çalışan herkesin (tam zamanlı personel, stajyer, taşeron, danışman, yönetici ortak) kişisel veri güvenliği kurallarına uymamaları halinde uygulanacak disiplin yaptırımlarını belirler. KVKK m.12/4 ve Kurul Rehberi uyarınca, veri güvenliği ihlali halinde çalışanların sorumluluklarının önceden yazılı olarak belirlenmesi gerekmektedir. Bu düzenleme, imzalanan Personel Gizlilik ve KVKK Uyum Taahhütnamesi (/legal/personnel-nda) ile birlikte uygulanır.

2. İHLAL KATEGORİLERİ VE YAPTIRIMLAR

2.1. HAFİF İHLAL

Örnekler:

• Oturum açılı bilgisayardan ayrılıp ekran kilitlemeyi unutmak
• Personel Taahhütnamesi'ne aykırı şekilde Şirket verisinin 1 sefere mahsus kopyalanması (amacı veri sızdırmak değil ama dikkatsizlik eseri)
• Rol yetki sınırları dışına çıkmayan ufak usul ihlalleri (log alma, yedekleme zamanlaması vb.)
• Eğitim takvimine 1 kez uyulmaması

Yaptırım: Sözlü uyarı + olayın iç yazışma dosyasına kaydı. İlk tekrarında yazılı uyarı.

2.2. ORTA DERECE İHLAL

Örnekler:

• Rol yetki sınırlarının kasten aşılması (başka kullanıcı hesabı kullanma, yetkisiz veri görüntüleme)
• Şirket cihazında üçüncü taraf uygulama yükleme / 3. parti bulut hesaplarına sistem verisi yüklemek
• Şirket verilerinin kişisel cihaz / kişisel e-posta hesabına aktarımı
• Şifre paylaşımı, token paylaşımı
• Hafif ihlalin tekrarı
• Veri ihlali şüphesini gecikmeli bildirme (1 saatin üzerinde)

Yaptırım: Yazılı kınama + 1-3 gün aylıklı uzaklaştırma + olayın personel özlük dosyasına işlenmesi + ilgili rollerin geçici olarak düşürülmesi (minimum 30 gün). Şirket, maddi zarar varsa İş Kanunu m.25/II-ı kapsamında ücretinden kesinti yapabilir.

2.3. AĞIR İHLAL

Örnekler:

• Kasıtlı veri sızdırma (rakiplere, 3. taraflara, medyaya)
• Özel nitelikli verilerin (biyometrik / psikometrik) yetkisiz paylaşımı
• Özel nitelikli verilerin ticari amaçla kullanılması
• Sistem güvenliğinin kasten zayıflatılması (log silme, audit bypass)
• Şirketin ceza alabilecek durumlara sokulması (KVK Kurulu ihbarına sebep olma)
• Veri ihlalinin kasıtlı olarak Şirket'e bildirilmemesi
• Müşteri verilerine dolandırıcılık amaçlı erişim

3. DİSİPLİN PROSEDÜRÜ

1. Tespit: İhlal herhangi bir çalışan, otomatik uyarı veya denetim yoluyla tespit edilebilir.
2. İlk Değerlendirme: Veri Koruma İrtibat Kişisi (NAZMİ AHMET EKER) olayı gözden geçirir, kategori (Hafif / Orta / Ağır) kararı verir.
3. Savunma Hakkı: İlgili kişiden, en az 3 iş günü süre verilerek yazılı savunma alınır (4857 sayılı Kanun m.19 usulüne uygun).
4. Karar: Şirket yönetimi disiplin kararını savunma sonrası verir.
5. Tebligat: Karar ilgili kişiye yazılı olarak (KEP veya imza karşılığı) tebliğ edilir.
6. Dosyalama: Olay tutanağı, savunma, karar + tebligat kanıtları personel özlük dosyasında en az 10 yıl saklanır (İş Kanunu + KVKK).

4. İTİRAZ HAKKI

Uygulanan disiplin kararına karşı çalışan, kararın tebliğinden itibaren 7 iş günü içinde Şirket yönetimine yazılı itiraz edebilir. İtiraz sonucunda karar kaldırılabilir veya hafifletilebilir. İtiraz sonucuna karşı 4857 sayılı Kanun m.20 kapsamında İş Mahkemesi'ne başvuru hakkı saklıdır.

5. VERİ İHLALİ MÜDAHALESİNE ENTEGRASYON

Veri ihlalinin çalışan kaynaklı olduğu belirlendiğinde, bu düzenleme ile Veri İhlali Müdahale Playbook'u (/legal/breach-playbook) birlikte uygulanır. İhlal bildirimleri (KVK Kurulu + ilgili kişiler) ile disiplin süreci birbirinden bağımsız yürür; disiplin süreci tamamlanmasa dahi Kurum'a bildirim 72 saat içinde yapılır.

6. GEÇERLİLİK

Bu düzenleme, her çalışanın iş sözleşmesinin ayrılmaz bir ekidir. İşe başlama aşamasında çalışana Personel Taahhütnamesi ile birlikte imzalatılır. Her çalışanın imzalı nüshası Personel özlük dosyasında saklanır. Güncellendiğinde tüm çalışanlara yeni versiyon tebliğ edilir ve yeniden imzalatılabilir.