ENDA ENERJİ, her zaman ISO 9001 – ISO 14001- ISO 45001- ISO 50001 – ISO 10002- ISO 27001 – ISO 31000 ve ISO 22301 hizmette farklılık oluşturarak, sektörde yönlendirici bir kuruluş olarak çalışacaktır. Başta Yöneticilerimiz olmak üzere, tüm çalışanlarımız Entegre Yönetim Sistem Politikamızın ilkelerini uygulamak ve geliştirmekten sorumludur. İş sürekliliği kapasitemizi, ISO 22301 uluslararası standardına uygun olarak sürekli iyileştiriyoruz. İş sürekliliğini sağlamak için İş Sürekliliği Yönetim Sistemi’ni (ISYS) geliştirmeyi, gerekli operasyonel süreçleri tasarlamayı ve güncel tutmayı, Bir olayda veya önemli bir iş kesintisinde önceden belirlenmiş kabul edilebilir seviyelerdeki faaliyetlerin sürekliliğini sağlamayı, Kriz ve acil durum yönetimi faaliyetlerini merkezi olarak koordine etmeyi İş sürekliliği planlarını düzenli eğitim, farkındalık çalışmaları ve test/tatbikatlar ile iyileştirmeyi
Taahhüt etmektedir. Genel Müdür
ENDA ENERJİ Holding A.Ş, Enerji piyasasında %100 yenilenebilir Enerji Üretimine sahip özel sektör tedarikçisi olarak,
1.AMAÇ Bu politika, yasal mevzuat ve sözleşmeyle belirlenmiş yükümlülükler, kurumsal strateji ile uyumun sağlanması, hedeflerimiz doğrultusunda kurduğumuz bilgi güvenliği yönetim sistemine olan desteğimizi ve bağlılığımızı Enda Enerji Holding A.Ş. Yönetim Kurulu olarak beyan etmek, tüm çalışanlara ve ilgili taraflara ( ortakları, alt yüklenicileri ve ilgili üçüncü taraflar (müşteri, tedarikçi vb.) arasında kararlaştırılan sözleşme hükümlerine uyulmasını bildirmek amacıyla oluşturulmuştur.
2.KAPSAM Elektrik enerjisi üretim, alım, satım ve dağıtım işlemleri ve bu işlemlere ilişkin elektrik üretimi, finans ve muhasebe, insan kaynakları, satınalma ve bilgi işlem gibi faaliyetlerin bilgi güvenliğinin sağlanması kapsam olarak belirlenmiştir.
3.SORUMLULUK Bilgi güvenliği sisteminin yönetiminden Bilgi Güvenliği Yönetim Takımı sorumludur. Yönetim Kurulu, Bilgi Güvenliği Yönetim Takımının desteklenmesi ve denetlenmesinden sorumludur. Kişisel veri sorumlusu ve kişisel veri işleyen personel , kişisel veri işleyen tüm kuruluşlar, bilgi güvenliği politikalarının geliştirilmesi ve sürdürülmesi sırasında, yürürlükte olan kişisel veri koruma mevzuatını ve/veya düzenlemelerini takip etmekden sorumludur.
4.POLİTİKA
4.1.Bilgi Güvenliği Hedefimiz Bilgi varlıklarının gizlilik, bütünlük ve erişebilirliğini etkileyecek risklerin önlenmesi ve yönetimi için gerekli kontrol ve uygulamaları belirleyen sistemin ISO 27001 ve ISO 27701 standardına ve 6698 KVKK ‘na uygun kurulması, denetimi ve iyileştirilmesi sağlanır.
4.2.Yönetim Desteği ve Kaynaklar Bilgi güvenliği yönetim sisteminin kurulması ve sürdürülmesi için her türlü destek ve kaynak sağlanır. Yönetim Kurulu, denetleme ve strateji konusunda görevini yerine getirir.
4.3.Uygulanabilirlik Planlamalarda ve alınan kararlarda uygulanabilirlik yönü göz önünde bulundurulur. Kurumsal iş süreçlerine uyuma ve sürdürülebilirliğe dikkat edilir.
4.4.Personel Bilgi güvenliğinin sağlanması ve sistemin sürdürülebilirliği çalışanların katkı ve desteği ile mümkündür. Bu amaçla tüm çalışanlarımız bilgi güvenliği tehditleri hakkında bilgilendirilir ve gerekli farkındalık eğitimleri verilir. Tüm çalışanlar belirlenen kurallara uymalıdır.
4.5.Yasal Mevzuat Yasal mevzuat, bilgi güvenliği konusunda yükümlülükler getirmektedir. Uyum sağlanması için gerekli takip ve düzenlemeler yapılacaktır.
4.6.Sözleşmeler Müşterilerimizin bilgi güvenliği beklentileri yerine getirilir. Bilgilerinin gizliliği sağlanır. Tedarikçilerimizin bilgi güvenliği kurallarımıza uymaları beklenir. 6698 KVKK gereği tüm sözleşmelerde Kişsel veri güvenliği ve gizlilik koşullarını sağlaması beklenir.
4.7.Kişisel Veriler Kişisel verilerin korunması bizim için etik değerler açısından önemli bir konudur. ISO 27701 Standardı ve Kişisel verilerin korunması kanunu ve yönetmelikleri, kurul kararlarına uyum sağlanır.
4.8. Riskler Bilgi varlıklarının gizlilik, bütünlük ve erişebilirliğini tehdit eden riskler düzenli olarak analiz edilerek düzeltici faaliyetler gerçekleştirilir.
4.9.İş Sürekliliği İş süreçlerimizin yürütülmesini sağlayan bilgi işleme olanaklarının kesintisizliği ve yedekli olarak sürdürülebilirliği bizim için çok önemlidir. Bu amaçla gerekli yatırımlar için kaynak sağlanır.
4.10.Kontrol ve Denetleme Bilgi güvenliği politikalarına ve kurallarına uyulması, Yönetim Kurulu tarafından düzenli olarak kontrol edilir ve değerlendirilir.
4.11.Bilgilerin Sahipliği Yaratılan, güncellenen ve kullanılan bilgi varlıklarının mülkiyeti şirketimize aittir. Bu varlıklara erişen herkes bunun bilincini taşımalıdır.
4.12.Kural Dışılıklar ve Uygunsuzluklar Bilgi kaynaklarını kullanarak şirket ve etik kurallarına veya yasalara aykırı faaliyetlerde bulunmak kabul edilemez. Bu ve benzeri faaliyetler ve teşebbüsler disiplin suçu olarak ele alınır ve gerekli disiplin ve yasal süreçler uygulanır.
1.AMAÇ 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVK Kanunu”) 07.04.2016 tarihli Resmî Gazetede yayımlanarak yürürlüğe girmesi ile birlikte bireylerin kişisel verilerinin bütüncül bir düzenleme içerisinde korunması yasal düzenleme altına alınmıştır. Bu kapsamda, Kişisel Verileri Koruması ve İşlenmesi Politikası (“Politika”), Enda Enerji Holding A.Ş. (“Şirket/Şirketimiz)’in KVK Kanunu ve ilgili mevzuat tarafından ortaya konulan kuralları somut olarak nasıl uygulayacaklarına ilişkin yol gösterici bir nitelik taşımaktadır. Şirketimiz bu doğrultuda kendi bünyesinde Politika’ya uyum için gerekli düzenlemeleri yaparak ve periyodik olarak Politika’ya uyum konusunda iç denetim mekanizmalarını işleterek Politika’ya uygunluğun devamlılığını sağlayacaktır.
2.KAPSAM İşbu (“Politika“); Şirket olarak, madde 1.3.’de tanımlanan Çalışanların, Eski Çalışanların, Çalışan Adaylarının, Stajyerlerin, Topluluk Çalışanlarının, Çalışan Yakınlarının, Şirket Hissedarlarının/Ortaklarının, Şirket Yetkililerinin, Ürün veya Hizmet Alan Kişilerin (Müşterilerin), Potansiyel Ürün veya Hizmet Alıcılarının, Ziyaretçilerin, , Tedarikçi Yetkililerinin, Tedarikçi Çalışanlarının, otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlediğimiz tüm kişisel verilere ilişkindir.
3.TANIMLAR KVK Kanunu ve ikincil düzenlemelerde yer alan tanımlar ayrıca bu kısımda belirtilmemekte olup, bu Politika içerisinde ayrıca tanımlanmadığı sürece düzenlemelerde yer aldığı şekilde kullanılmaktadır.
Çalışan:Şirketimizle imzaladığı iş sözleşmesi ile işçi işveren ilişkisi bulunan gerçek kişiler.
Topluluk Çalışanı:Şirketimiz tarafından yürütülen veri kayıt sistemi, insan kaynakları, denetim, bilgi teknolojileri güvenliği ve altyapısının sağlanması, hukuki uyum vb. faaliyetler çerçevesinde kişisel verileri işlenen Topluluk Şirketleri çalışanları.
Çalışan Adayı:Şirketimize ve/veya Topluluk Şirketlerine herhangi bir yolla iş başvurusunda bulunmuş ya da özgeçmiş ve ilgili bilgilerini Şirketimizin incelemesine açmış olan gerçek kişiler.
Stajyer:Şirketimiz ve/veya Topluluk Şirketlerinde deneyim kazanmak, yapılan işleri öğrenmek, mesleki bilgilerini geliştirmek için çalışan kişiler. Eski Çalışan:Şirketimiz ve/veya Topluluk Şirketleri ile arasındaki iş sözleşmesi herhangi bir nedenle sona ermiş gerçek kişiler.
Topluluk Şirketleri:Şirketin doğrudan, dolaylı grup şirketleri ve bağlı ortaklıkları.
Şirket Hissedarı/Ortağı:Şirketin ve Topluluk Şirketlerinin hissedarı/ortağı gerçek kişileri.
Şirket Yetkilileri:Şirketimiz ve/veya Topluluk Şirketlerinin yönetim kurulu üyesi ve diğer yetkili gerçek kişiler.
Tedarikçi Çalışanı:Şirketimizin ve/veya Topluluk Şirketlerinin ticari faaliyetlerini yürütürken Şirketimizin emir ve talimatlarına uygun olarak sözleşme temelli veya herhangi bir sözleşmesel ilişkisi bulunmadan Şirketimize hizmet sunan tedarikçilerin, iş ortaklarının, üçüncü kişilerin çalışanları.
Tedarikçi yetkilisi:Şirketimizle ve/veya Topluluk Şirketlerimizle ticari faaliyet yürüten iş ortağı, tedarikçi vb üçüncü kişi yönetim kurulu üyesi, genel müdür vb diğer yetkili gerçek kişiler.
Ürün veya Hizmet Alan Kişi (Müşteri): Şirketimiz ve/veya Topluluk Şirketleri ile herhangi bir sözleşmesel ilişkisi olup olmadığına bakılmaksızın Şirketimiz iş birimlerinin yürüttüğü operasyonlar kapsamında Topluluk Şirketleri’nin iş ilişkileri üzerinden kişisel verileri elde edilen gerçek kişiler.
Potansiyel Ürün veya Hizmet Alıcısı: Şirketimiz ve/veya Topluluk Şirketlerimizin ürün ve hizmetlerinin tanıtım ve pazarlamasının yapıldığı kişiler,
Ziyaretçi: Şirketimizin ve/veya Topluluk Şirketlerinin sahip olduğu fiziksel yerleşkelere çeşitli amaçlarla girmiş olan veya internet sitelerimizi ziyaret eden gerçek kişiler.
4 Uygulama
4.2.KİŞİSEL VERİLERİN İŞLENME ŞARTLARI Şirketimiz tarafından kişisel veriler, ilgili kişinin açık rıza vermesi halleri saklı kalmak kaydıyla, KVK Kanunu’nun 5. maddesinde belirtilen şartlardan bir veya bir kaçına uygun olarak işlenmektedir. İşlenen verilerin özel nitelikli kişisel veri olması halinde, işbu Politika’nın 4.3 başlığı (“Özel Nitelikli Kişisel Verilerin İşlenmesi ve Aktarılması”) içerisinde yer alan şartlar uygulanacaktır.
4.3.KİŞİSEL VERİLERİN AKTARILMASI Şirketimiz meşru ve hukuka uygun olan kişisel veri işleme amaçları doğrultusunda işbu Politika kapsamında yer verilen gerekli güvenlik önlemlerini alarak ve gizlilik koşullarını oluşturarak, ilgili kişinin kişisel verilerini ve özel nitelikli kişisel verilerini yurtiçinde;
4.4.ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİ VE AKTARILMASI Özel nitelikli kişisel veriler Şirketimiz tarafından, işbu Politika’da belirtilen ilkelere uygun olarak ve Kişisel Verileri Koruma Kurul (“Kurul”)’un belirleyeceği yöntemler de dahil olmak üzere gerekli her türlü idari ve teknik tedbirler alınarak ve aşağıdaki şartların varlığı halinde işlenmekte ve aktarılmaktadır:
4.5.ŞİRKETİMİZ TARAFINDAN İŞLENEN KİŞİSEL VERİLERİN KATEGORİZASYONU VE İŞLENME AMAÇLARI Şirketimiz, KVK Kanunu’nun 10. maddesine uygun olarak, kişisel verilerin elde edilmesi sırasında ilgili kişileri aydınlatmaktadır. Bu kapsamda Şirketimiz, varsa temsilcisinin kimliği, kişisel verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi ile ilgili kişinin sahip olduğu hakları konusunda aydınlatma yapmaktadır.
İşbu Politika ’da belirtilen amaçlar ve şartlar çerçevesinde, işlenen kişisel veri kategorilerine ve kategoriler hakkında detaylı bilgilere Politika’nın EK -1 (“Kişisel Veri Kategorileri”) dokümanından ulaşılabilecektir. Söz konusu kişisel verilerin işleme amaçlarına ilişkin detaylı bilgiler Politika’nın EK- 2’sinde (“Kişisel Veri İşleme Amaçları”) yer almaktadır.
ENDA Enerji, Türkiye enerji sektörünün şirketlerinden biri olarak, ulusal çevre mevzuatı, ilgili çevre standartları ve bu alandaki en iyi teknolojileri temel alan sürdürülebilir bir çevre yönetimi politikası izlemektedir. Bu politikanın temel yapı taşlarını aşağıdaki ilkeler oluşturmaktadır.
Genel Müdür
“Yasal Mevzuat ve Şartlara Uyarak, Ekip Ruhu İçerisinde İnsan Sağlının Korunması, kapsamımızda belirtilen Üretim ve hizmetler Konusunda Riskleri Belirlenip Kontrol Altına Alınması, Alınacak Eğitimler İle İSG Şartlarında Sürekli İyileştirmeler Yapılarak Minimum Risklerle Çalışılmasıdır.”
İSG Politikamız aşağıdaki metodoloji ile belirlenmiş, gözden geçirilmekte ve gerektiğinde güncellenmektedir.
Bu doğrultuda kurulmuş ve yürütülmekte olan İSG Yönetim Sistemimizin sürekliliğini sağlamayı İSG politikamız olarak taahhüt ederiz.