ANKARA BEŞER ECZA DEPOSU VE İLAÇ PAZARLAMA ANONİM ŞİRKETİ
KİŞİSEL VERİLERİN KORUNMASI AYDINLATMA METNİ

Amaç

İşbu Aydınlatma Metni, veri sorumlusu sıfatıyla Ankara Beşer Ecza Deposu ve İlaç Pazarlama Anonim Şirketi (Bundan böyle “Şirket” olarak anılacaktır.) tarafından gerçekleştirilen veri işleme faaliyetlerine ilişkin olarak; tedarikçi, mal ve/veya hizmet alıcısı, çalışan adayı, çalışan, yönetici, ziyaretçi ve/veya diğer ilgili sıfatıyla tarafınızın bilgilendirilmesi amacıyla, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 10. maddesi ve Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ doğrultusunda hazırlanmıştır.

Tanımlar

Açık Rıza: Belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rıza

İlgili Kişi: Kişisel verisi işlenen gerçek kişi

Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi

Kişisel Verilerin İşlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem

KVKK: 6698 sayılı Kişisel Verilerin Korunması Kanunu

Özel Nitelikli Kişisel Veriler: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri

Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi

Veri Sorumlusu

Ankara Beşer Ecza Deposu ve İlaç Pazarlama Anonim Şirketi olarak; tedarikçi, mal ve/veya hizmet alıcısı, çalışan adayı, çalışan, yönetici, ziyaretçi ve/veya diğer ilgili sıfatlarıyla Şirketimize bildirdiğiniz/bildireceğiniz kişisel verilerinizi, KVKK ve ilgili sair mevzuat kapsamında, veri sorumlusu sıfatı ile işlediğimizi tarafınıza bildirmekteyiz.

Kişisel Verilerin İşlenme Amaçları ve İşlenen Kişisel Veri Kategorileri

Kişisel Verilerin İşlenme Amaçları

Kişisel verileriniz, KVKK ve ilgili sair mevzuatta öngörülen sınırlara riayet edilerek, Şirket faaliyetlerinin gerçekleştirilmesi amacıyla işlenmektedir. Bu kapsamda kişisel verileriniz;

İş faaliyetlerinin yürütülmesi ve denetimi
Şirket bünyesinde kullanılan yazılım sistemleri aracılığıyla iş faaliyetlerinin yürütülmesi
Tarafınızca veya temsilcisi olduğunuz tüzel kişilikçe Şirketimize mal veya hizmet tedarikinin gerçekleştirilebilmesi ve tarafınıza veya temsilcisi olduğunuz tüzel kişiliğe/idareye mal veya hizmet satışının gerçekleştirilebilmesi için gerekli iletişim bilgilerinin elde edilmesi
Mal veya hizmet satın alımı ile mal veya hizmet satışı kapsamında tarafınızla iletişime geçilmesi
Mal veya hizmet satın alımı ile mal veya hizmet satışı kapsamında sözleşme süreçlerinin yürütülmesi
Karşılıklı sözleşmesel ve yasal yükümlülüklerin yerine getirilmesi ve takibi
4857 sayılı İş Kanunu, 6331 sayılı İş Sağlığı ve Güvenliği Kanunu ve 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu başta olmak üzere iş hayatını düzenleyen mevzuat doğrultusunda, iş akdi ve mevzuattan kaynaklı yükümlülüklerin yerine getirilmesi, çalışanlar için yan haklar ve menfaatleri süreçlerinin yürütülmesi
Eğitim faaliyetlerinin yürütülmesi
İş Sağlığı ve Güvenliği Faaliyetlerinin Yürütülmesi
Yasal mevzuattan kaynaklanan yükümlülüklerin yerine getirilmesi ve takibi,
Hukuk işlerinin takibi ve yürütülmesi
Finans ve muhasebe işlerinin yürütülmesi
İnsan Kaynakları süreçlerinin yürütülmesi
Yetkili kamu kurum ve kuruluşları ile adli makamlara kanunlarda gösterilen hallerde bilgi ve belge temini
Saklama ve arşiv faaliyetlerinin yürütülmesi
Ziyaretçi kayıtlarının oluşturulması ve takibi
Şirket binası, personeli ve ziyaretçi güvenliğinin temini

amaçlarıyla işlenmektedir.

İşlenen Kişisel Veri Kategorileri

Şirketimiz tarafından işlenecek ve/veya işlenmekte olan kişisel veri kategorileri veri konusu kişi grubuna göre farklılık gösterebilmekle birlikte, KVKK ve ilgili sair mevzuata uygun olarak işbu Aydınlatma Metni’nde belirtilen amaçlar ve hukuki sebepler kapsamında aşağıda yer alan kişisel verileriniz işlenecektir:

Kimlik Verileri: Ad-Soyad, T.C. Kimlik numarası, anne adı, baba adı, doğum yeri ve tarihi, imza vb.

İletişim Verileri: İkamet adresi, işyeri adresi, sabit hat numarası, cep telefonu numarası, e-posta adresi, KEP adresi, faks numarası vb.

Müşteri İşlem Bilgileri: Sipariş ve talep bilgileri

Hukuki İşlem Verileri: Adli makamlarla yazışmalardaki bilgiler, dava dosyalarındaki bilgiler vb.

Fiziksel Mekan Güvenliği Verileri: Şirketimiz binası içerisinde kurulu güvenlik kameralarının görüntü kayıtları ile Şirkete giriş-çıkış kayıt bilgileri

Finansal Bilgiler: Şirket tarafından alınan veya verilen hizmetlere dair finansal kayıtlar ve ödeme bilgileri

Talep ve Şikayet bilgileri: Şirket tarafından gerçekleştirilen anket çalışmaları kapsamında iletilen talep ve şikayet bilgileri ile Şirketimiz hizmetlerinden memnuniyete ilişkin bilgiler

Özel Nitelikli Kişisel Veriler: Gerekmesi halinde müşterilere ilişkin sağlık verileri

Çalışanlara ilişkin veriler: Çalışan adayı ve çalışanlarımıza ilişkin olarak yukarıda belirtilen veri kategorilerinin yanında, özlük verileri, mesleki deneyim bilgileri, işlem güvenliği verileri, araç verisi, aile ve yakını verisi, referans bilgisi, görsel kayıtlar, sağlık verisi, ceza mahkumiyeti ve güvenlik tedbirlerine ilişkin bilgiler de işlenebilmektedir.

Kişisel Verileri Toplama Yöntemi ve Hukuki Sebebi

Kişisel verileriniz, bu metnin (d) fıkrasında belirtilen amaçların yerine getirilebilmesi için; aşağıda belirtilen otomatik veya otomatik olmayan yöntemlerle sözlü, yazılı veya elektronik ortamda ortamlarda elde edilecektir:

Kişisel verinin ilgili kişi veya temsilcisi tarafından sözlü olarak Şirketimize iletimi,
Yazılı belgelerin Şirketimize fiziken teslimi,
Şirketimiz kurumsal elektronik posta adreslerine ve/veya KEP adresimize posta gönderimi,
Yazılı veya elektronik ortamda form doldurularak Şirketimize iletilmesi,
Faks adresimize belge gönderimi,
Kişisel verinin güvenlik kamera kayıtları suretiyle elde edilmesi.

Kişisel verileriniz, bu metnin (d) fıkrasında belirtilen amaçların yerine getirilebilmesi için KVKK’nın 5 (2) maddesinde belirtilen “a) Kanunlarda açıkça öngörülmesi”, “c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması”, “ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması”, “e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması”, “f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” hukuki sebepleri dahilinde işlenecektir.

Şirketimiz faaliyetleri kapsamında özel nitelikli kişisel veri işlenen süreçlerde ve gerekmesi halinde; özel nitelikli kişisel verileriniz KVKK’nın 6 (2) maddesinde belirtilen “açık rızanız alınması” hukuki sebebi dahilinde işlenebilecektir.

İşlenen Kişisel Verilerin Kimlere ve Hangi Amaçla Aktarılacağı

Kişisel verileriniz, aşağıda belirtilen amaçlar ile KVKK’nın 8 (2) (a) maddesi uyarınca ilgili kişinin açık rızası aranmaksızın aktarılacaktır:< /p>

Tarafınıza veya temsilcisi olduğunuz tüzel kişiye/idareye mal veya hizmet satışının gerçekleştirilebilmesi kapsamında mal veya hizmet satış süreçlerinin yürütülmesi amacıyla, tedarikçilerimiz ile paylaşılabilecektir.
İş faaliyetlerinin yürütülmesi ve sözleşmesel süreçlerin planlanması amacıyla Şirketimiz bünyesinde kullanılmakta olan yazılım programlarının bakım/onarım ve kurulum faaliyetlerinin yürütülebilmesi adına lisans sahibi firma yetkilileri ile gizlilik ve sır saklama yükümlülükleri çerçevesinde gerektiği kadar paylaşılabilecektir.
Sözleşme süreçlerinin yürütülmesi ile karşılıklı sözleşmesel ve yasal yükümlülüklerin yerine getirilmesi amacıyla, gerekmesi halinde kargo şirketleri, noter, icra daireleri, mahkemeler ve/veya yetkili kamu kurum ve kuruluşları ile paylaşılabilecektir.
Finans ve muhasebe işlerinin yürütülmesi amacıyla, gerekmesi halinde çalışmakta olduğumuz bankalar ve mali müşavirlerimiz ile paylaşılabilecektir.
İlgili mevzuat kapsamındaki yükümlülüklerimizin yerine getirilmesi amacıyla, bağımsız denetim hizmeti alınan firma ile paylaşılabilecektir.
Yasal mevzuattan kaynaklanan yükümlülüklerimizin yerine getirilmesi ve yetkili kişi, kurum ve kuruluşlara bilgi verilmesi amaçlarıyla yetkili kamu kurum ve kuruluşları ile paylaşılabilecektir.
Şirketimiz internet sitesi aracılığıyla iletmiş olduğunuz kişisel verileriniz, iş faaliyetlerinin yürütülmesi amacıyla Şirketimiz internet sitesinin bakım ve onarım faaliyetlerinin yürütülebilmesi adına anlaşmalı olduğumuz bilgi işlem firması yetkilileri ile gizlilik ve sır saklama yükümlülükleri çerçevesinde gerektiği kadar paylaşılabilecektir.

Şirketimiz faaliyetleri kapsamında özel nitelikli kişisel veri aktarımı gerçekleştirilen süreçlerde ve gerekmesi halinde; özel nitelikli kişisel verileriniz KVKK’nın 6 (2) maddesinde belirtilen “açık rızanız alınması” hukuki sebebi dahilinde aktarılabilecektir.

İlgili Kişi Olarak Haklarınız

KVKK’nın 11. maddesi gereği Şirketimize şahsen, kimliğinizi ispat etmeniz kaydıyla,

Hakkınızda kişisel veri işlenip işlenmediğini öğrenebilir, eğer işleniyorsa veya işlenmişse, buna ilişkin bilgi talep edebilirsiniz.
Kişisel verilerinizin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenebilirsiniz.
Kişisel verilerinizin yurt içi veya yurt dışına aktarılıp aktarılmadığını ve kimlere aktarıldığını öğrenebilirsiniz.
Eksik veya yanlış işlenen kişisel verilerinizin düzeltilmesini isteyebilir ve bu kapsamda yapılacak işlemlerin kişisel verilerinizin aktarıldığı üçüncü kişilere bildirilmesini talep edebilirsiniz.
Kişisel verilerinizin KVKK’nın 7. maddesinde öngörülen şartlar çerçevesinde imha edilmesini (silinmesini veya yok edilmesini) isteyebilir ve bu kapsamda yapılacak işlemlerin kişisel verilerinizin aktarıldığı üçüncü kişilere bildirilmesini talep edebilirsiniz. Ancak imha talebinizi değerlendirerek imha yöntemlerinden (silme, yok etme ve anonim hale getirme) hangisinin uygun olduğu somut olayın koşullarına göre Şirketimiz tarafından değerlendirilecektir. Bu bağlamda Şirketimiz tarafından seçilen imha yönteminin neden seçildiği ile ilgili olarak bilgi talep edebilirsiniz.
İşlenen kişisel verilerinizin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle şahsınız aleyhine bir sonucun ortaya çıkmasına itiraz edebilirsiniz.
Kişisel verilerinizin kanuna aykırı olarak işlenmesi sebebiyle zarara uğramanız halinde zararın giderilmesini talep edebilirsiniz.

Başvurunuzda yer alan talepleriniz, talebin niteliğine göre en geç otuz (30) gün içerisinde ücretsiz olarak sonuçlandırılacaktır. Ancak, işlemin Şirket için ayrıca bir maliyeti gerektirmesi halinde, Kişisel Verileri Koruma Kurulu tarafından Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’de belirlenen tarifedeki ücret alınabilir.

Kişisel verilerinizin işlenmesi ile ilgili hususlarda başvurunuzu internet sitemizde yer alan İlgili Kişi Başvuru Formu’nda belirtilen bütün bilgileri doldurmak suretiyle veya KVKK’nın 11. maddesi ile 13. maddesinin 1. fıkrası ve Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ gereğince,

Altınevler Mah. Aslanağzı Sk. No: 3A İç Kapı No: - Mamak/Ankara adresindeki Şirketimize bizzat gelerek,
ankarabeserecza@hs01.kep.tr şeklindeki kayıtlı elektronik posta (KEP) adresimiz üzerinden,
Kimliğinizi tespit edebilmek ve yanlış kişilere bilgi vermemek adına yazılı olarak noter aracılığı ile veya iadeli taahhütlü mektup ile,
Güvenli elektronik imza, mobil imza ya da (varsa) tarafınızca daha önceden Şirketimize bildirilen ve sistemlerimizde kayıtlı bulunan elektronik posta adresini kullanmak suretiyle kvkk@beserecza.com elektronik posta göndererek

veya gelecekte Kurul’un belirleyeceği diğer yöntemlerle iletebilirsiniz.

Dok. Kodu: F63 – Yür. T: 11.01.23 – Rev: 0

KİŞİSEL VERİ SAKLAMA VE İMHA POLİTİKASI

1. AMAÇ VE KAPSAM

1.1. Amaç

İşbu Kişisel Veri Saklama ve İmha Politikası (“Politika”), 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) ve Kanun’un ikincil düzenlemesini teşkil eden Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik (“Yönetmelik”) uyarınca yükümlülüklerimizi yerine getirmek ve ANKARA BEŞER ECZA DEPOSU VE İLAÇ PAZARLAMA ANONİM ŞİRKETİ (“Şirket”) olarak tarafımızca gerçekleştirilmekte olan saklama ve imha faaliyetlerine ilişkin iş ve işlemler konusunda usul ve esasları belirlemek amacıyla hazırlanmıştır.

Şirketimiz, kişisel verilerin işlendiği herhangi bir iş sürecine dahil olan çalışan adayı, çalışan, Şirket ortağı, tedarikçiler, mal ve hizmet alıcıları, ziyaretçiler ve diğer üçüncü kişilere ait kişisel verilerin, T.C Anayasası, uluslararası sözleşmeler ve ilgili sair mevzuata uygun olarak işlenmesini ve ilgili kişilerin haklarını etkin bir şekilde kullanmasının sağlanmasını öncelik olarak belirlemiştir.

Kişisel verilerin saklanması ve imhasına ilişkin iş ve işlemler, Şirketimiz tarafından bu doğrultuda hazırlanmış olan Politika’ya uygun olarak gerçekleştirilir.

Kapsam

Şirketin kişisel veri işlediği iş süreçlerine dahil olan gerçek kişilere ait kişisel veriler ve özel nitelikli kişisel veriler, işbu Politika kapsamındadır.

Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla kişisel verilerin işlendiği sistemlerde yer alan tüm kayıt ortamları ve kişisel veri işlenmesine yönelik faaliyetlerde bu Politika uygulanır.

Kişisel Veri İşleme Envanteri, işbu Politika’nın ayrılmaz bir parçası olup, Şirketin veri işleme faaliyetlerine, işlenen veri kategorilerine, verileri işlenen ilgili kişi gruplarına ve imha sürelerine ilişkin bu Politika’da yer verilen açıklamalar Kişisel Veri İşleme Envanterinin özeti niteliğindedir.

2. TANIMLAR VE KISALTMALAR

Açık Rıza	:	Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza
Anonim Hale Getirme	:	Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesi
Çalışan adayı	:	Şirket personel adayı
Çalışan	:	Şirket personeli
Elektronik Ortam	:	Kişisel verilerin elektronik aygıtlar ile oluşturulabildiği, okunabildiği, değiştirilebildiği ve yazılabildiği ortamlar
Elektronik Olmayan Ortam	:	Elektronik ortamların dışında kalan tüm yazılı, basılı, görsel vb. diğer ortamlar
Tedarikçi	:	Belirli bir sözleşme çerçevesinde Şirkete mal ve/veya hizmet sağlayan gerçek veya tüzel kişi
İlgili Kişi	:	Kişisel verisi işlenen gerçek kişi
İmha	:	Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi
Kanun	:	6698 sayılı Kişisel Verilerin Korunması Kanunu
Kayıt Ortamı	:	Tamamen ya da kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam
Kişisel Veri	:	Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi
Kişisel Veri İşleme Envanteri	:	Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için saklanması gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter
Kişisel Verilerin İşlenmesi	:	Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem
Kurul	:	Kişisel Verileri Koruma Kurulu
Kurum	:	Kişisel Verileri Koruma Kurumu
Özel Nitelikli Kişisel Veri	:	Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri
Periyodik İmha	:	Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi
Politika	:	Kişisel Verileri Saklama ve İmha Politikası
Veri İşleyen	:	Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi,
Veri Sorumlusu	:	Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi
Veri Kayıt Sistemi	:	Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini
Veri Sorumluları Sicil Bilgi Sistemi	:	Veri sorumlularının sicile başvuruda ve sicile ilişkin ilgili diğer işlemlerde kullanacakları, internet üzerinden erişilebilen, Başkanlık tarafından oluşturulan ve yönetilen bilişim sistemi
VERBİS	:	Veri Sorumluları Sicil Bilgi Sistemi
İrtibat Kişisi	:	Veri Sorumlusu tarafından Kanun ve Kanuna dayalı olarak çıkarılmış ve çıkarılacak ikincil düzenlemeler kapsamındaki yükümlülükleriyle ilgili olarak Kurum ile iletişimi sağlamak amacıyla Veri Sorumluları Siciline kayıt esnasında bildirilen gerçek kişi
Yönetmelik	:	28 Ekim 2017 tarihli ve 30224 sayılı Resmi Gazetede yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik

3. SORUMLULUK VE GÖREV DAĞILIMLARI

Şirketin tüm birimleri ve çalışanları, sorumlu birimlerce Politika kapsamında alınmakta olan teknik ve idari tedbirlerin gereği gibi uygulanması, birim çalışanlarının eğitimi ve farkındalığının artırılması, izlenmesi ve sürekli denetimi ile kişisel verilerin hukuka aykırı olarak işlenmesinin önlenmesi, kişisel verilere hukuka aykırı olarak erişilmesinin önlenmesi ve kişisel verilerin hukuka uygun olarak saklanmasının sağlanması amacıyla kişisel veri işlenen tüm ortamlarda veri güvenliğini sağlamaya yönelik teknik ve idari tedbirlerin alınması konularında sorumlu birimlere aktif olarak destek verir.

Kişisel verilerin saklama ve imha süreçlerinde görev alanların unvanları, birimleri ve görev tanımlarına ait dağılım Tablo 1’de verilmiştir:

Tablo 1: Saklama ve imha süreçleri görev dağılımı

UNVAN	DEPARTMAN / BİRİM	GÖREV VE SORUMLULUK
İnsan Kaynakları Müdürü	İnsan Kaynakları	Politika ve prosedürlerin uygulanması için gerekli görev dağılımını yapmak, uygun gördüğü kişileri yetkilendirmek ve Şirket genelinde iş süreçlerinin Politika’da belirtildiği şekilde saklama ve imha sürelerine uygunluğunun sağlanmasından sorumludur.
İnsan Kaynakları Müdürü	İnsan Kaynakları	Politika’nın hazırlanması, güncellenmesi, geliştirilmesi, yürütülmesi, ilgili ortamlarda yayınlanması ve güncellenmesinden sorumludur. Periyodik imha döneminde kişisel veri imha sürecinin yönetiminin gerçekleştirilmesi, Politika’nın asgari olarak yıllık bazda gözden geçirilmesi, ilgili kişi tarafından kişisel verilerin silinmesi veya yok edilmesine ilişkin yapılan talep ve başvuruların takip edilmesinden sorumludur.
Sistem Network Sorumlusu	İdari İşler	Politika’nın uygulanmasında ihtiyaç duyulan teknik çözümlerin sunulmasından sorumludur.
İşyeri Hekimi	İşyeri Hekimi	Görevi dahilinde olan özellikle çalışanların sağlık verileri ile ilgili süreçlerin saklama süresine uygunluğunun sağlanması ile periyodik imha süresi uyarınca kişisel veri imha sürecinin yürütülmesinden sorumludur.

4. UYGULAMA

4.1. KAYIT ORTAMLARI

Kişisel veriler, Şirket tarafından Tablo 2’de listelenen ortamlarda hukuka uygun olarak güvenli bir şekilde saklanır.

Tablo 2: Kişisel veri saklama ortamları

ELEKTRONİK ORTAMLAR

ELEKTRONİK OLMAYAN ORTAMLAR

· Sunucular (Yedekleme, e-posta, veri tabanı, web, dosya paylaşımı)

· Yazılımlar (Şirketlerin kullandığı yazılımlar/sistemler)

· File Server

· Bilgi güvenliği cihazları (güvenlik duvarı, saldırı tespit ve engelleme, günlük kayıt dosyası, anti virüs ….. )

· Kişisel bilgisayarlar (Masaüstü, dizüstü)

· Çıkartılabilir bellekler (USB, Hafıza Kart)

· Yazıcı, tarayıcı, fotokopi makinesi

· Birim dolapları

· Manuel veri kayıt sistemleri (İnsan Kaynakları Formları)

· Şirketler Arşivi

4.2. SAKLAMA VE İMHAYA İLİŞKİN AÇIKLAMALAR

Çalışan adayları, çalışanlar, Şirket ortakları, tedarikçiler, mal ve hizmet alıcıları ve ziyaretçiler başta olmak üzere ilişkide bulunulan üçüncü kişilere ve üçüncü kişilerin, kurumların veya kuruluşların çalışanlarına/yetkililerine ait kişisel veriler Kanuna uygun olarak saklanır ve imha edilir.

Bu kapsamda, saklama ve imhaya ilişkin detaylı açıklamalara aşağıda sırasıyla yer verilmiştir:

4.2.1. Saklamaya İlişkin Açıklamalar

Kanun’un 3. maddesinde kişisel verilerin işlenmesi kavramı tanımlanmış, 4. maddesinde işlenen kişisel verilerin işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli süre kadar muhafaza edilmesi gerektiği belirtilmiş, 5 ve 6. maddelerde ise kişisel verilerin işlenme şartları sayılmıştır.

Buna göre, Şirket faaliyetleri çerçevesinde kişisel veriler, ilgili mevzuatta öngörülen veya işleme amaçlarımıza uygun süre kadar saklanır.

4.2.2. Saklamayı Gerektiren Hukuki Sebepler

Şirketler faaliyetleri çerçevesinde işlenen kişisel veriler, ilgili mevzuatta öngörülen süre kadar muhafaza edilir. Bu kapsamda kişisel veriler,

6698 sayılı Kişisel Verilerin Korunması Kanunu,
6098 sayılı Türk Borçlar Kanunu,
6102 sayılı Türk Ticaret Kanunu,
5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu,
6331 sayılı İş Sağlığı ve Güvenliği Kanunu,
213 sayılı Vergi Usul Kanunu,
5411 sayılı Bankacılık Kanunu,
7201 sayılı Tebligat Kanunu,
4982 Sayılı Bilgi Edinme Kanunu,
3071 sayılı Dilekçe Hakkının Kullanılmasına Dair Kanun,
5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun,
3308 sayılı Mesleki Eğitim Kanunu,
4857 sayılı İş Kanunu,
193 sayılı Gelir Vergisi Kanunu,
5746 sayılı Araştırma, Geliştirme ve Tasarım Faaliyetlerinin Desteklenmesi Hakkında Kanun,
3359 sayılı Sağlık Hizmetleri Temel Kanunu,
984 sayılı Ecza Ticarethaneleriyle Sanat ve Ziraat İşlerinde Kullanılan Zehirli ve Müessir Kimyevi Maddelerin Satıldığı Dükkanlara Mahsus Kanun,
Bu kanunlar uyarınca yürürlükte olan diğer ikincil düzenlemeler

çerçevesinde öngörülen saklama süreleri kadar saklanmaktadır.

4.2.3. Saklamayı Gerektiren İşleme Amaçları

Şirket, faaliyetleri çerçevesinde işlemekte olduğu kişisel verileri aşağıdaki amaçlar doğrultusunda saklar:

İnsan kaynakları süreçlerini yürütmek,
Kurumsal iletişimi sağlamak,
Kurum güvenliğini sağlamak,
İmzalanan sözleşmeler ve protokoller kapsamında iş ve işlemleri ifa edebilmek,
Yasal düzenlemelerin gerektirdiği veya zorunlu kıldığı şekilde, hukuki yükümlülüklerin yerine getirilmesini sağlamak,
İş ilişkisinde içerisinde bulunulan gerçek/tüzel kişiler ve kurum ve kuruluşlar ile irtibat sağlamak
Yasal raporlamalar yapmak,
İleride doğabilecek hukuki uyuşmazlıklarda delil olarak ispat yükümlülüğünü sağlamak.

4.3. İMHAYI GEREKTİREN SEBEPLER

Kişisel veriler,

İşlenmesine esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası,
İşlenmesini veya saklanmasını gerektiren amacın ortadan kalması,
Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin açık rızasını geri alması,
Kanun’un 11. maddesi gereği ilgili kişinin kişisel verilerinin silinmesi veya yok edilmesine ilişkin yaptığı başvurunun Şirket tarafından kabul edilmesi,
Şirketin ilgili kişi tarafından kişisel verilerinin silinmesi veya yok edilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, Kanunda öngörülen süre içinde cevap vermemesi veya ilgili kişinin Şirketin verdiği cevabı yetersiz bulması hallerinde, ilgili kişinin Kurul’a şikayette bulunması ve bu şikayetin Kurul tarafından uygun bulunması,
Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olması ve kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması

durumlarında, Şirket tarafından ilgili kişinin talebi üzerine ya da resen silinir, yok edilir veya anonim hale getirilir.

4.4. TEKNİK VE İDARİ TEDBİRLER

Kişisel verilerin güvenli bir şekilde saklanması, hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi ile kişisel verilerin hukuka uygun olarak imha edilmesi için Kanun’un 12. maddesiyle Kanun’un 6. maddesinin dördüncü fıkrası gereği özel nitelikli kişisel veriler için Kurum tarafından belirlenerek ilan edilen yeterli önlemler çerçevesinde Şirket tarafından teknik ve idari tedbirler alınır.

4.4.1. Teknik Tedbirler

Şirket tarafından, işlediği kişisel verilerle ilgili olarak alınan teknik tedbirler aşağıda sayılmıştır:

Kişisel verilerin arşivlendiği fiziksel ortamların güvenliğinin sağlanması için bahse konu veriler, kilitli dolaplarda muhafaza edilmekte; erişim yetki ve rol dağılımları için politikalar oluşturulmakta ve uygulanmakta; arşivlerde ıslak ve gazlı söndürme sistemleri bulunmaktadır.
Şirket bünyesindeki bilgisayarlarda zararlı yazılım tespit eden, önleyen, tespit edilen zararlı yazılımları silen yazılımlar kullanılmakta ve zararlı yazılım tespit eden veri tabanları güncel tutulmaktadır.
Veri kaybının önüne geçmek için yedekleme cihazları ile düzenli aralıklarla sistemlerin yedeği alınmaktadır.
Kişisel verilerin işlendiği elektronik ortamlarda güçlü parolalar kullanılmaktadır.
Kişisel veri içeren sunucularda gerçekleştirilen etkinliklerinin kayıtlarının tutulması için erişim logları tutulur.
Yetki kontrol listesi ile Şirkete ait bilgisayarlarda yer alan dosyalar üzerinde yetkililer belirlenmiştir.
Sızma (Penetrasyon) testleri ile Şirketin bilişim sistemlerine yönelik risk, tehdit, zafiyet ve varsa açıklıklar ortaya çıkarılarak gerekli önlemler alınmaktadır.
Bilgi güvenliği olay yönetimi ile gerçek zamanlı yapılan analizler sonucunda bilişim sistemlerinin sürekliliğini etkileyecek riskler ve tehditler sürekli olarak izlenmektedir.
Bilişim sistemlerine erişim ve kullanıcıların yetkilendirilmesi, erişim ve yetki matrisi ile kurumsal aktif dizin üzerinden güvenlik politikaları aracılığı ile yapılmaktadır.
Çevresel tehditlere karşı bilişim sistemleri güvenliğinin sağlanması için, donanımsal (sistem odasına sadece yetkili personelin girişini sağlayan erişim kontrol sistemi yerel alan ağını oluşturan kenar anahtarların fiziksel güvenliğinin sağlanması, yangın söndürme sistemi, iklimlendirme sistemi vb.) ve yazılımsal (güvenlik duvarları, atak önleme sistemleri, ağ erişim kontrolü, zararlı yazılımları engelleyen sistemler vb.) önlemler alınmaktadır.
Kişisel verilerin hukuka aykırı işlenmesini önlemeye yönelik riskler belirlenmekte, bu risklere uygun teknik tedbirlerin alınması sağlanmakta ve alınan tedbirlere yönelik teknik kontroller yapılmaktadır.
Şirket, silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması için gerekli tedbirleri almaktadır.
Özel nitelikli kişisel veri işleme süreçlerinde yer alan çalışanlara yönelik özel nitelikli kişisel veri güvenliği konusunda eğitimler verilmiş, verilere erişim yetkisine sahip kullanıcıların yetkileri tanımlanmıştır.
Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği fiziksel ortamlar için yeterli güvenlik önlemleri alınmakta, fiziksel güvenlik sağlanarak yetkisiz giriş çıkışlar engellenmektedir.
Özel nitelikli kişisel veriler e-posta yoluyla aktarılması gerekiyorsa şifreli olarak kurumsal e-posta adresiyle veya KEP hesabı kullanılarak aktarılmaktadır. Özel nitelikli kişisel verilerin kağıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemler alınmakta ve evrak “gizli” formatta gönderilmektedir.

4.4.2. İdari Tedbirler

Şirket tarafından, işlediği kişisel verilerle ilgili olarak alınan idari tedbirler aşağıda sayılmıştır:

Çalışanlar, kişisel verilerin hukuka aykırı olarak işlenmesinin önlenmesi, kişisel verilere hukuka aykırı olarak erişilmesinin önlenmesi ve kişisel verilerin muhafazasının sağlanması için alınacak idari tedbirler ve Kanuna uyum süreci hakkında eğitim almaktadır.
Kişisel veri işlemeye başlamadan önce Şirket tarafından ilgili kişileri aydınlatma yükümlülüğü yerine getirilmektedir.
Şirket bünyesinde Kişisel Veri İşleme Envanteri hazırlanmıştır.
Şirketimiz iş faaliyetleri kapsamında imzalanan sözleşmeler veri güvenliği hükümleri içermekte veya veri güvenliğine ilişkin protokoller imzalanmaktadır.
Kişisel verilerin korunmasına ilişkin olarak çalışanlar ile “Kişisel Verilerin Korunmasına İlişkin Personel Sözleşmesi” akdedilmektedir.
İşyeri Disiplin Prosedüründe kişisel verilerin korunmasına ilişkin hükümler mevcuttur.
Kişisel veri güvenliğine ilişkin politika ve prosedürler hazırlanmış ve yürürlüğe koyulmuştur.
Veri İhlali Müdahale Planı hazırlanmış ve yürürlüğe koyulmuştur.
Şirket içi periyodik ve rastgele denetimler yapılmaktadır.
KVKK uyum sürecinde yapılan analizlerle tespit edilen hususlarda iyileştirme için aksiyonlar alınmıştır.
Özel nitelikli kişisel verilerin güvenliğine yönelik politika bulunmaktadır.

4.5. KİŞİSEL VERİLERİ İMHA TEKNİKLERİ

İlgili mevzuatta öngörülen süre ya da işlendikleri amaç için gerekli olan saklama süresinin sonunda kişisel veriler, Şirket tarafından resen veya ilgili kişinin başvurusu üzerine yine ilgili mevzuat hükümlerine uygun olarak aşağıda belirtilen tekniklerle imha edilir:

Silme: Kişisel verilerin silinmesi, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.

Yok Etme: Kişisel verilerin yok edilmesi, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.

Anonimleştirme: Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.

Şirket, Kurul tarafından aksine bir karar alınmadıkça, kişisel verileri resen silme, yok etme veya anonim hale getirme yöntemlerinden uygun olanını seçer. İlgili kişinin talebi halinde, uygun yöntemi gerekçesini açıklayarak seçer.

4.5.1. Kişisel Verilerin Silinmesi

Kişisel veriler, Tablo-3’te belirtilen yöntemlerle silinir.

Tablo-3: Kişisel Verilerin Silinmesi

VERİ KAYIT ORTAMI	AÇIKLAMA
Sunucularda Yer Alan Kişisel Veriler	Sunucularda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler için sistem yöneticisi tarafından ilgili kullanıcıların erişim yetkisi kaldırılarak silme işlemi yapılır.
Elektronik Ortamda Yer Alan Kişisel Veriler	Elektronik ortamda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, veri tabanı yöneticisi hariç diğer çalışanlar (ilgili kullanıcılar) için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir.
Fiziksel Ortamda Yer Alan Kişisel Veriler	Fiziksel ortamda tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler için evrak arşivinden sorumlu birim yöneticisi hariç diğer çalışanlar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. Ayrıca, üzeri okunamayacak şekilde çizilerek/boyanarak/silinerek karartma işlemi de uygulanır.
Taşınabilir Medyada Bulunan Kişisel Veriler	Flash tabanlı saklama ortamlarında tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler, sistem yöneticisi tarafından şifrelenerek ve erişim yetkisi sadece sistem yöneticisine verilerek şifreleme anahtarlarıyla güvenli ortamlarda saklanır.

4.5.2. Kişisel Verilerin Yok Edilmesi

Kişisel veriler, Şirketler tarafından Tablo-4’te belirtilen yöntemlerle yok edilir.

Tablo-4: Kişisel Verilerin Yok Edilmesi

VERİ KAYIT ORTAMI

AÇIKLAMA

Fiziksel Ortamda Yer Alan Kişisel Veriler

Kâğıt ortamında yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, kâğıt kırpma makinelerinde geri döndürülemeyecek şekilde yok edilir.

Optik / Manyetik Medyada Yer Alan Kişisel Veriler (USB)

Optik medya ve manyetik medyada yer alan kişisel verilerden saklanmasını gerektiren süre sona erenlerin eritilmesi, yakılması veya toz haline getirilmesi gibi fiziksel olarak yok edilmesi işlemi uygulanır.

4.5.3. Kişisel Verilerin Anonim Hale Getirilmesi

Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.

Kişisel verilerin, veri sorumlusu veya üçüncü kişiler tarafından geri döndürülmesi ve/veya verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekir.

Şirket, aşağıda örneklendirilen kişisel verilerin anonim hale getirilmesi yöntemlerinden biri veya birkaçını verilerin saklandığı ortam veya işleme yöntemine bağlı olarak kullanabilmektedir.

Değer düzensizliği sağlamayan anonim hale getirme yöntemleri

· Değişkenleri çıkartma

· Kayıtları çıkartma

· Alt ve üst sınır kodlama

· Bölgesel gizleme

· Örnekleme

Değer düzensizliği sağlayan anonim hale getirme yöntemleri

· Mikro-Birleştirme

· Veri Değiş-Tokuşu

· Gürültü Ekleme

· Tekrar Örnekleme

Anonim hale getirmeyi kuvvetlendirici istatistik yöntemler

· K-Anonimlik

· L-Çeşitlilik

· T-Yakınlık

4.6. SAKLAMA VE İMHA SÜRELERİ

Şirket tarafından, faaliyetleri kapsamında işlenmekte olan kişisel verilerle ilgili olarak,

Süreçlere bağlı olarak gerçekleştirilen faaliyetler kapsamındaki tüm kişisel verilerle ilgili kişisel veri bazında saklama süreleri Kişisel Veri İşleme Envanterinde;
Veri kategorileri bazında saklama süreleri Kişisel Veri İşleme Envanterinde;
Süreç bazında saklama süreleri ise işbu Kişisel Veri Saklama ve İmha Politikasında yer alır.

Söz konusu saklama süreleri üzerinde, gerekmesi halinde İrtibat Kişisi tarafından güncellemeler yapılır. Saklama süreleri sona eren kişisel veriler için resen silme, yok etme veya anonim hale getirme işlemi İrtibat Kişisi tarafından yerine getirilir.

Tablo 5: Süreç bazında saklama ve imha süreleri tablosu

SÜREÇ	SAKLAMA SÜRESİ	İMHA SÜRESİ
İş başvuru süreçlerinin yürütülmesi	Faaliyetin sona ermesini takiben 10 yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
İnsan kaynakları süreçlerinin yürütülmesi	Faaliyetin sona ermesini takiben 10 yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
İş sağlığı ve güvenliği süreçlerinin yürütülmesi (İş Sağlığı ve Güvenliği Uzmanı ve İşyeri Hekimi tarafından tutulan kayıtlar)	İş ilişkisinin sona ermesinden itibaren 15 yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
İletişim faaliyetlerinin yürütülmesi	Faaliyetin sona ermesini takiben 10 yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Sözleşme süreçlerinin yürütülmesi	Sözleşmenin sona ermesini takiben 10 yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Finans ve muhasebe işlerinin yürütülmesi	Faaliyetin sona ermesinden itibaren 10 yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Güvenlik kamera kayıtları	Kaydın tutulmasından itibaren 3 ay	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Ziyaretçi kayıtlarının oluşturulması	Kaydın tutulmasından itibaren 2 yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde

*İlgili kişi tarafından kişisel verinin silinmesi veya yok edilmesi adına Şirkete başvuruda bulunulması ve talebin Şirket tarafından kabulü halinde, imha işlemi talebin Şirkete ulaştığı tarihten itibaren 30 gün içerisinde gerçekleştirilir.

4.7. PERİYODİK İMHA SÜRESİ

Yönetmelik’in 11. maddesi gereğince Şirket, periyodik imha süresini 6 ay olarak belirlemiştir. Buna göre, Şirket bünyesinde her yıl Haziran ve Aralık aylarında periyodik imha işlemi gerçekleştirilir.

4.8. POLİTİKA’ NIN YAYINLANMASI VE SAKLANMASI

Politika, ıslak imzalı (basılı kâğıt) ve internet sitesinde olmak üzere iki farklı ortamda yayımlanır. Basılı kağıt nüsha İnsan Kaynakları Birimi tarafından saklanır.

5. İLGİLİ DOKÜMANLAR

TS EN ISO 9001 Madde 7.5. Dökümante Edilmiş Bilgi ve 7.1.6 Kurumsal Bilgi
6698 Sayılı Kişisel Verilerin Korunması Kanunu
Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik
Kişisel Veri Güvenliği Rehberi (Teknik ve İdari Tedbirler)

6. REVİZYON

S.N	Eski Rev No - Tarih	Revizyon Detayı

HAZIRLAYAN

Firdevs KOCAMAN

Yön. Sek. ve Dök. Personeli

KONTROL EDEN

Burak DOĞANAY

Kurumsal Gelişim Müdürü

ONAYLAYAN

Hülya GÜZEY İstiklal HASIRİPİ

Finans ve İd. İşl. Md. Muhasebe ve İ.K Müd.

KYS gereği güncel dokümanlar, elektronik ortamda bulunmaktadır. Sistemden basılan dokümanlar Kontrolsüz Kopya hükmündedir. Güncel dokümanları basılı olarak bulundurmak isteyenler, Kurumsal Gelişim Müdürü’ nden Kontrollü Kopyalarını temin edebilirler.

ÖZEL NİTELİKLİ KİŞİSEL VERİ GÜVENLİĞİ POLİTİKASI

AMAÇ VE KAPSAM

Amaç

İşbu Özel Nitelikli Kişisel Veri Güvenliği Politikası (“Politika”), ANKARA BEŞER ECZA DEPOSU VE İLAÇ PAZARLAMA ANONİM ŞİRKETİ (“Şirket”)’in veri kayıt ortamlarında yer alan özel nitelikli kişisel verilerin kullanımına ve korunmasına ilişkin iş ve işlemler konusunda usul ve esasları belirlemek amacıyla hazırlanmıştır.

Şirketimiz; çalışanlarına, çalışan adaylarına, ortaklarına, tedarikçilerine ve mal ve hizmet alıcılarına ait özel nitelikli kişisel verilerin, T.C. Anayasası, uluslararası sözleşmeler, 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) ve diğer ilgili mevzuata uygun olarak işlenmesini ve ilgili kişilerin haklarını etkin bir şekilde kullanmasının sağlanmasını öncelik olarak belirlemiştir.

“Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler” ile ilgili Kişisel Verileri Koruma Kurulu’nun 31/01/2018 tarihli ve 2018/10 sayılı Kararı doğrultusunda özel nitelikli kişisel verilerin kullanımına ve korunmasına ilişkin iş ve işlemler, Şirketimiz tarafından bu doğrultuda hazırlanmış olan işbu Politikaya uygun olarak gerçekleştirilmektedir.

Kapsam

Şirketimiz, 6698 sayılı Kanun ve ilgili alt mevzuata uygun olarak, aydınlatma yükümlülüğünü yerine getirerek ve gerekmesi halinde açık rıza teminiyle çalışanlarına, çalışan adaylarına, ortaklarına, tedarikçilerine ve mal ve hizmet alıcılarına ait özel nitelikli kişisel verileri işlemektedir. Şirketimiz bünyesinde özel nitelikli kişisel verilerin işlendiği tüm veri kayıt ortamları ve özel nitelikli kişisel veri işlenmesine yönelik faaliyetlerde bu Politika uygulanmaktadır.

TANIMLAR

Özel Nitelikli Kişisel Veri	Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri
Veri Kayıt Ortamı	Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi
Ceza Mahkûmiyeti ve Güvenlik Tedbirleri	Kişiler hakkında yerli ve yabancı yargı makamları tarafından verilen adli para ve hapis cezası kararı, erteleme kararı ve güvenlik tedbiri kararına ilişkin bilgi
Sağlık Bilgileri	Kişilerin hastalık ve engel durumlarını gösterir her tür bilgi

SORUMLULUK, KAYIT ORTAMI VE KULLANIM KURALLARI

Özel nitelikli kişisel verilerin güvenliği, sorumlu birim ya da veri işleyen(ler) tarafından sağlanmaktadır:

Veri Kategorisi	İlgili Kişi	Sorumlu Birim/Kişi	Kayıt Ortamı	Süreç ve Açıklama
Sağlık Bilgileri	Çalışan	İşyeri Hekimi	İşyeri Hekimi Dolapları (Sağlık durumu bilgileri, işe giriş ve periyodik muayene formları, sağlık raporları) İşyeri hekiminin erişimine açık bulunan elektronik ortamdaki dosyalar	Çalışanın sağlık bilgileri iş sağlığı ve güvenliğinin sağlanması ile mevzuattan kaynaklanan yükümlülüklerin yerine getirilmesi amacıyla işlenir ve aktarılır. Şuur kaybı gibi fiili imkânsızlık hallerinde bu bilgiler özel hayata saygı ilkesi gözetilerek çalışan yakınına ve yetkili resmi makamlara aktarılır.
Sağlık Bilgileri	Çalışan	İSG Uzmanı	İşyeri Hekimi ve İSG Uzmanı Dolapları (İş Kazası Tespit Tutanakları) İşyeri hekimi ve İSG uzmanının erişimine açık bulunan elektronik ortamdaki dosyalar	Çalışanın sağlık bilgileri iş sağlığı ve güvenliğinin sağlanması ile mevzuattan kaynaklanan yükümlülüklerin yerine getirilmesi (iş kazası kapsamında yapılacak bildirimler başta olmak üzere) amacıyla işlenir ve aktarılır. Şuur kaybı gibi fiili imkansızlık hallerinde bu bilgiler özel hayata saygı ilkesi gözetilerek çalışan yakınına ve yetkili resmi makamlara aktarılır.
Ceza Mahkûmiyeti ve Güvenlik Tedbiri	Çalışan	İnsan Kaynakları	İnsan Kaynakları Birim Dolaplarında Personel Özlük Dosyası İçerisinde (Adli Sicil Kaydı)	Çalışana ait adli sicil kaydı; iş başvurusu kabul edilen çalışan adayının mevcut bir suçtan dolayı fiilen aranmadığını teyit, iş sözleşmesinin kurulması ve ifası kapsamında yeterliliğe sahip olup olmadığının tespit ve yasal mevzuattan kaynaklı yükümlülüklerin yerine getirilmesi amaçlarıyla işe giriş esnasında temin edilir ve İnsan Kaynakları birim dolapları içerisinde saklanır.

UYGULAMA
- Verilerin Korunması ve Aktarım Kuralları

Veri güvenliğine ilişkin tedbirler işbu Politikayla ve haricen İnsan Kaynakları tarafından belirlenmektedir. Özel nitelikli kişisel verilere sorumlu birim dışında üçüncü kişiler tarafından erişim sağlanamamaktadır.

Özel durumlarda talepte bulunan birim ve/veya kişilere, gerekli görülmesi halinde, sorumlu birim tarafından özel nitelikli kişisel verilere ilişkin “uygundur/uygun değildir” şeklinde genel bir açıklama yapılabilmektedir.

Özel nitelikli kişisel verilerin bulunduğu veri kayıt ortamları, yine özel durumlarda sorumlu birimin refakatinde incelenebilmekte olup; bu verileri ihtiva eden belge ve kayıtların çoğaltılması mümkün değildir. Söz konusu incelemelerde temin edilen özel nitelikli kişisel veriler başkaca kayıt ortamlarına aktarılamamaktadır.

Resmi kurum ve kuruluşlara kanuni zorunluluk nedeniyle yapılacak aktarımlar ve Kanun ile izin verilen haller dışında, özel nitelikli kişisel veriler üçüncü kişi/kurumlara doğrudan ilgili kişinin talebi ya da onayı olmaksızın aktarılmamaktadır.

Kişisel veri aktarımları:

Resmi/özel kurum veya kuruluşun elektronik sistemi üzerinden,
Elektronik ortamda gönderilen e-postaların ekinde özel nitelikli kişisel veri olması durumunda ekli belge şifreleme yöntemiyle,
Kağıt ortamında gerçekleşen aktarımlarda posta/kargo zarfına konulmadan önce üzerinde “gizlidir” ibaresiyle ayrı bir kağıt zarf içerisinde ilgili evrakın sigortalanması suretiyle iadeli taahhütlü olarak yapılacaktır.

POLİTİKA’ NIN YAYIMLANMASI VE SAKLANMASI

Politika, ıslak imzalı (basılı kağıt) ve internet sitesinde olmak üzere iki farklı ortamda yayımlanır. Basılı kağıt nüsha İnsan Kaynakları tarafından saklanır.

5. İLGİLİ DOKÜMANLAR

TS EN ISO 9001 Madde 7.5. Dökümante Edilmiş Bilgi ve 7.1.6 Kurumsal Bilgi
6698 Sayılı Kişisel Verilerin Korunması Kanunu
Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik
Kişisel Veri Güvenliği Rehberi (Teknik ve İdari Tedbirler)

6. REVİZYON

S.N	Eski Rev No - Tarih	Revizyon Detayı

HAZIRLAYAN

Firdevs KOCAMAN

Yön. Sek. ve Dök. Personeli

KONTROL EDEN

Burak DOĞANAY

Kurumsal Gelişim Müdürü

ONAYLAYAN

Hülya GÜZEY İstiklal HASIRİPİ

Finans ve İd. İşl. Md. Muhasebe ve İ.K Müd.

KİŞİSEL VERİ İHLALİ MÜDAHALE PLANI

AMAÇ VE KAPSAM

Amaç

İşbu Kişisel Veri İhlali Müdahale Planı (“Plan”), Kişisel Verileri Koruma Kurulu’nun (“Kurul”) 24.01.2019 tarih ve 2019/10 sayılı kararı doğrultusunda; ANKARA BEŞER ECZA DEPOSU VE İLAÇ PAZARLAMA ANONİM ŞİRKETİ (“Şirket”) olarak tarafımızca işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde Şirket bünyesinde yapılması gerekli iş ve işlemler konusunda usul ve esasları belirlemek amacıyla hazırlanmıştır.

Kapsam

Şirket bünyesinde ortaya çıkabilecek her tür kişisel veri ihlali, işbu Plan kapsamındadır.

Kişisel veri ihlali; iletilen, saklanan veya sair şekilde işlenen kişisel verilerin kazara veya hukuka aykırı yollarla imha edilmesi, kaybı, değiştirilmesi, yetkisiz şekilde açıklanması veya bunlara erişime yol açan bir güvenlik açığı şekillerinde ortaya çıkabilen ihlallerdir. Aşağıda yer alan durumlar genel olarak kişisel veri ihlali olarak nitelendirilir:

Gizli bilgilerin hukuka aykırı şekilde ifşası,
Kişisel veri içeren e-postaların yanlışlıkla Şirket dışında ilgisiz kişilere iletilmesi, gönderimi,
Bilgi işlem donanımlarına, sistemlerine ve ağlarına virüs veya diğer saldırıların (siber saldırı vb.) gerçekleşmesi suretiyle kişisel verilere hukuka aykırı erişim sağlanması,
Kişisel veri içeren fiziki dokümanların veya elektronik cihazların çalınması veya kaybolması,
Kişiye özel kullanıcı adı ve parolaların yetkisiz kişilerce ele geçirilmesi.

Yukarıda örnek olarak yer verilen durumlar ve sair şekillerde ortaya çıkabilecek kişisel veri ihlallerinde işbu Plan’da belirtilen şekilde aksiyon alınması gereklidir.

TANIMLAR
- Açıklanması gerekli tanım bulunmamaktadır.

SORUMLULAR

Bu sürecin yürütülmesi ve yönetilmesinden aşağıda detayları açıklandığı şekilde İrtibat Kişisi, Birim Yöneticileri ve İnsan Kaynakları Müdürü sorumludur.

Veri ihlaline ilişkin Şirket bünyesinde yürütülen süreçlerde tüm çalışanlar İrtibat Kişisine ve İnsan Kaynakları Birimine gerekli tüm yardım ve desteği sağlamakla yükümlüdür.

UYGULAMA
- İHLAL MÜDAHALE SÜRECİ

Şirket’in, kişisel veri ihlalini öğrendiği tarihten itibaren gecikmeksizin ve en geç 72 saat içinde ihlali Kurul’a bildirmesi ve veri ihlalinden etkilenen kişilerin belirlenmesini müteakip ilgili kişilere de makul olan en kısa süre içerisinde ilgili kişinin iletişim adresine ulaşılabiliyorsa doğrudan, ulaşılamıyorsa Şirket’in kendi internet sitesi üzerinden yayımlanması gibi uygun yöntemlerle bildirim yapılması gerekmektedir.

Söz konusu yükümlülüklerin yerine getirilebilmesi ve kişisel veri ihlalinin etkilerinin en aza indirgenmesi amacıyla, olası bir veri ihlali durumunda aşağıda yer verilen sürecin takip edilmesi gerekmektedir:

İhlalin İlk Tespiti ile İrtibat Kişisinin Bilgilendirilmesi

Kişisel verilerin korunmasına dair aldığı eğitimler doğrultusunda Şirket bünyesinde gerçek veya potansiyel bir kişisel veri ihlali tespit eden çalışan, söz konusu ihlali derhal (aynı iş günü içinde) birim sorumlusuna ve İrtibat Kişisine bildirmekle yükümlüdür. İhlalin birim sorumlusuna bildirilmesi üzerine, ilgili çalışan ve birim sorumlusu, İrtibat Kişisine sunulmak üzere bir Kişisel Veri İhlali Tespit Raporu hazırlar. Anılan raporda asgari olarak;

Kişisel veri ihlalinin gerçekleşme tarihi ve saati,
Kişisel veri ihlalinin tespit edildiği tarih ve saat,
Somut kişisel veri ihlaline ilişkin açıklamalar,
Eğer biliniyorsa kişisel veri ihlalinden etkilenen kişi ve veri sayısı,
Kişisel veri ihlalinin tespit edildiği tarihte varsa atılan adımlara ve alınan önlemlere ilişkin açıklamalar,
Raporu hazırlayan çalışanların adı, soyadı ve rapor tarihi

hususlarına yer verilir.

Bu kapsamda hazırlanan Kişisel Veri İhlali Tespit Raporu gecikmeksizin ve en geç ihlalin tespit edildiği andan itibaren 24 saat içinde İrtibat Kişisine sunulur.

İhlale İlişkin Ön Değerlendirme ve Toplantıya Çağrı

Kişisel veri ihlali tespit eden veya Kişisel Veri İhlali Tespit Raporunu teslim alan İrtibat Kişisi, rapor kapsamında belirtilen hususları dikkate alarak bir ön değerlendirme yapar. Bu değerlendirmeyi yaparken, gerçekten bir veri ihlalinin söz konusu olup olmadığını, ihlalin kapsamını ve oluşabilecek etkilerini de göz önünde bulundurarak, İnsan Kaynakları Birimi ile birlikte veri ihlalinin araştırılması için kapsamlı bir soruşturma başlatır.

İrtibat Kişisi tarafından eş zamanlı olarak, İnsan Kaynakları Birimi ve ihlalin gerçekleştiği birim sorumlusu veri ihlaline ilişkin gerçekleştirilecek toplantıya çağrılır. Gerekli görülmesi halinde Bilgi İşlem Sorumlusu Personel ve Hukuk Danışmanı da toplantıya katılır. Aşağıda yer verilen tüm süreçler, toplantıya katılım gerçekleştiren çalışanlar tarafından birlikte yürütülür.

Önleme ve Kurtarma Çalışmalarının Yürütülmesi

Veri ihlalinin Şirket ve ilgili kişiler üzerindeki etkilerinin azaltılabilmesi için önleme ve kurtarma çalışmaları İrtibat Kişisinin gözetiminde yürütülür. Bu kapsamda öncelikle, veri ihlalinden haberdar edilmesi gereken birimler tespit edilir ve bu kişilere ihlalin kontrol edilebilmesi, mümkünse engellenebilmesi ve zararların azaltılabilmesi için atılması gereken adımlara ilişkin rehberlik edilir.

Eş zamanlı olarak, veri ihlalinden etkilenebilecek kişilerin ve veri türlerinin neler olduğu tespit edilmeye çalışılır, veri ihlalinden etkilenebilecek kişilerin iletişim bilgileri belirlenir, veri ihlali nedeniyle haberdar edilmesi gereken başka kurum ya da kuruluşlar olup olmadığı değerlendirilir.

Risklerin Değerlendirilmesi

İrtibat Kişisi ve İnsan Kaynakları Birimi tarafından kişisel veri ihlalinin mevcut ve muhtemel sonuçları ve ilgili kişiler üzerinde oluşturabileceği etkilere ilişkin olarak risk değerlendirmesi yapılır. Risklerin değerlendirilmesinde, ihlalden etkilenen kişisel verilerin niteliği, hassasiyeti ve miktarı ile etkilenen bireylerin sayısı ve kişi gruplarının kimler olduğu, veri ihlalinin Şirket faaliyetleri ile itibarına olan etkisi, veri ihlalinin etkisinin azaltılmasında alınan önlemler ve ihlalin olası sonuçları dikkate alınır. Bu doğrultuda yapılan değerlendirme neticesinde, kişisel veri ihlalinin kaçıncı kademe ihlal niteliği taşıdığı belirlenir;

Kademede İhlal: İhlalin yarattığı etkiler, ilgili kişiler üzerinde kişisel verilerinin hukuka aykırı olarak elde edilmesi dışında somut bir zarara neden olmamaktadır.
Kademede İhlal: İhlal ilgili kişiler üzerinde olumsuz etkilere neden olabilecek niteliktedir. Ancak ihlalden etkilenen veri sayısı, çeşidi ve boyutu düşünüldüğünde bu etki büyük değildir.
Kademede İhlal: İhlal boyutu, niteliği, etkili olduğu kişisel verilerin türü, sayısı gibi etmenler değerlendirildiğinde ihlalden etkilenen kişiler üzerinde ciddi düzeyde olumsuz etkilere ve somut zararlara neden olabilecek seviyededir.
ve 3. kademedeki ihlallere ilişkin olarak İrtibat Kişisi tarafından gecikmeksizin Şirket üst yönetimine bilgi verilir.

Bildirim

Veri ihlalinin gerek hukuki yükümlülük kapsamında gerekse veri ihlaline ilişkin tedbir alınması, ihlalin olası etkilerinin azaltılması gibi amaçlarla Şirket dışında üçüncü kişilere bildirilmesi gerekmektedir.

Kurul’a Bildirim

Kişisel veri ihlali, Şirket’in bu durumu öğrendiği tarihten itibaren gecikmeksizin ve en geç 72 saat içerisinde Kurul’a bildirilir. Anılan bildirim İrtibat Kişisi tarafından gerçekleştirilir.

Kurul’a yapılacak bildirimde Kişisel Verileri Koruma Kurumu’nun (“Kurum”) internet sitesinde yayımlanmış olan Kişisel Veri İhlali Başvuru Formu kullanılır. Formda yer alan bilgilerin aynı anda sağlanmasının mümkün olmadığı hallerde, bu bilgiler gecikmeye mahal verilmeksizin aşamalı olarak da sağlanabilir.

Haklı bir gerekçe ile 72 saat içerisinde Kurul’a bildirim yapılamaması durumunda, yapılacak bildirimle birlikte gecikmenin nedenleri de Kurul’a açıklanır.

İhlalden Etkilenen Kişilere Bildirim

Şirket, kişisel veri ihlalinden etkilenen kişilerin belirlenmesini müteakip ilgili kişilere de makul olan en kısa süre içerisinde, ilgili kişinin iletişim adresine ulaşılabiliyorsa doğrudan, ulaşılamıyorsa internet sitesi üzerinden duyuru yayımlanması gibi uygun yöntemlerle bildirim yapar. Söz konusu bildirimler, İrtibat Kişisi tarafından gerçekleştirilir.

Veri sorumlusu tarafından ilgili kişiye yapılan veri ihlali bildiriminde yer alması gereken asgari unsurlara ilişkin Kurul’un 18.09.2019 tarih ve 2019/271 sayılı Kararı uyarınca; Şirket tarafından ilgili kişiye yapılacak olan ihlal bildiriminin açık ve sade bir dille yapılması ve asgari olarak;

İhlalin ne zaman gerçekleştiği,
Kişisel veri kategorileri bazında (kişisel veri/özel nitelikli kişisel veri ayrımı yapılarak) hangi kişisel verilerin ihlalden etkilendiği,
Kişisel veri ihlalinin olası sonuçları,
Veri ihlalinin olumsuz etkilerinin azaltılması için alınan veya alınması önerilen tedbirler,
İlgili kişilerin veri ihlali ile ilgili bilgi almalarını sağlayacak irtibat kişilerinin isim ve iletişim detayları ya da veri sorumlusunun internet sayfasının tam adresi, çağrı merkezi vb. iletişim yolları

unsurlarını içermesi gerekmektedir.

Diğer Bildirimler

Yukarıda yer verilen bildirimlerin yanı sıra, veri ihlalinin niteliği, büyüklüğü, ihlalin suç teşkil edip etmediği gibi hususlar göz önünde bulundurularak Şirket tarafından diğer veri sorumluları ya da veri işleyenler, tedarikçiler, mal ve hizmet alıcıları, adli makamlar, noterler, bankalar vb. gibi üçüncü kişilere de bildirim yapılması gerekebilir. İrtibat Kişisi ve İnsan Kaynakları Birimi, böyle bir gereklilik olup olmadığını ayrıca değerlendirir ve gerekli ise bildirimleri yapar.

İhlal Sonrası Durum Tespiti

Şirket tarafından kişisel veri ihlallerine ilişkin tüm bilgiler, etkiler ve alınan önlemler kayıt altına alınır ve Kurul’un incelemesine hazır halde bulundurulur. İrtibat Kişisi ve İnsan Kaynakları Birimi, veri ihlaline ilişkin atılan adımların uygun olup olmadığını ve olası bir veri ihlalinde geliştirilebilecek/iyileştirilebilecek hususların neler olabileceğini belirlemek adına bir değerlendirme yapar. Bu kapsamda İnsan Kaynakları Birimi desteği ile İrtibat Kişisi, aşağıdaki unsurları içerir bir değerlendirme ve iyileştirme raporu hazırlar:

Somut olay kapsamında yapılan işlemler,
Veri ihlalinin çıkış noktası, zaafın giderilmesi adına yapılan faaliyetler ve zaaf noktasında ilave tedbir gerekip gerekmediği,
Olası kişisel veri ihlallerinin etkilerini azaltmak için hangi adımların atılması gerektiği,
Kişisel veri ihlali nedeniyle herhangi bir prosedür, politika, plan ya da raporlamada iyileştirme gerekip gerekmediği,
Kişisel veri ihlalinin tekrarlanmasını önleyebilmek için ek idari ve/veya teknik tedbirlerin alınmasının gerekli olup olmadığı,
İhlallere maruz kalmayı ve maliyet etkilerini azaltmak için kaynaklara/altyapıya ek yatırım yapılmasının gerekli olup olmadığı,
İhlalin tekrarlanmasını önleyecek bir personel farkındalık eğitimi gerekliliği bulunup bulunmadığı.

KİŞİSEL VERİ İHLALİ KONTROL LİSTESİ

Kişisel veri ihlaline ilişkin olarak yürütülen süreçlerde gerçekleştirilmesi gerekli iş ve işlemlerin takibi adına, işbu Plan ekinde yer alan Kişisel Veri İhlali Kontrol Listesinden yararlanılır.

PLANIN İHLALİ

İşbu Plan’da belirtilen yükümlülüklerini yerine getirmeyen çalışan hakkında İşyeri Disiplin Prosedürü hükümleri uygulanır.

PLAN’IN YAYIMLANMASI VE SAKLANMASI

İşbu Plan, ıslak imzalı (basılı kağıt) ve internet sitesinde olmak üzere iki farklı ortamda yayımlanır. Basılı kağıt nüsha İnsan Kaynakları tarafından saklanır.

5. İLGİLİ DOKÜMANLAR

TS EN ISO 9001 Madde 7.5. Dökümante Edilmiş Bilgi ve 7.1.6 Kurumsal Bilgi
6698 Sayılı Kişisel Verilerin Korunması Kanunu
Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik
Kişisel Veri Güvenliği Rehberi (Teknik ve İdari Tedbirler)
Kişisel Veri İhlali Kontrol Listesi (EK)

6. REVİZYON

S.N	Eski Rev No - Tarih	Revizyon Detayı

HAZIRLAYAN

Firdevs KOCAMAN

Yön. Sek. ve Dök. Personeli

KONTROL EDEN

Burak DOĞANAY

Kurumsal Gelişim Müdürü

ONAYLAYAN

Hülya GÜZEY İstiklal HASIRİPİ

Finans ve İd. İşl. Md. Muhasebe ve İ.K Müd.

EK: KİŞİSEL VERİ İHLALİ KONTROL LİSTESİ

NO	KONTROL LİSTESİ	Tamamlandığında işaretleyiniz
1	Kişisel verilere ilişkin herhangi bir ihlal yaşandı mı veya ihlal yaşandığından şüpheleniliyor mu?
2	İhlal halen devam etmekte mi?
3	İhlalin nasıl tespit edildiği kayıt altına alındı mı?
4	İhlali tespit eden kişi veya sistem kayıt altına alındı mı?
5	İhlale ait ilk tespitin tarih ve saati kayıt altına alındı mı?
6	İhlal hakkında temel bilgiler kayıt altına alındı mı?
7	İhlalle ilgili aksiyonları alacak kişiler bilgilendirildi mi?
8	Kişisel veri ihlaline ilişkin toplantı yapıldı mı?
9	İhlal tespit eden ve ihlalden etkilenen çalışanlarla mülakatlar yapılıp onlardan ihlalle ilgili mümkün olduğunca detaylı bilgi alındı mı?
11	İhlale dahil olan kişilerin veya sistemlerin konumu kayıt altına alındı mı?
12	Hangi kişilerin, kişisel verilerin ve sistemlerin etkilendiği kayıt altına alındı mı?
14	Etkilenen sistemler kurum ağından izole edildi mi?
15	Hedef olan sistemlerin; adı, iletişim sistemi, IP adresi, ağ üzerindeki konumu, fiziksel konumu ve kullanım amacı kayıt altına alındı mı?
16	Halen tehlike altında olan sistemler veya veriler var ise bunlar kayıt altına alındı mı?
19	İhlalin nedenlerinin ve kaynaklarının soruşturulması sırasında Bilgi İşlem incelemesi yapıldı mı? Bilgi işlem notları: ................................................................................................................. ................................................................................................................................................................................................................................................................................................................................................... .................................................................................................................
20	Elde edilen verilerin sadece erişim yetkisi olan kişilerin ulaşabildiği, giriş-çıkışları kontrol altında olan bir alanda tutulması sağlandı mı?
21	İhlalin Şirkette yol açtığı genel ve finansal etkiler tespit edildi mi?
22	İhlalden kişisel veriler etkilendiyse, etkilenen veriler ve verileri etkilenen kişiler tespit edildi mi?
23	İhlalin tekrarlanmaması için alınacak önlemler belirlendi mi?
24	Etkilenen sistemler ihlal öncesindeki sağlıklı yapıya döndürüldü mü?
25	Veri ihlalinin engellenmesi adına Şirket politikaları/prosedürlerinde güncelleme yapılması gerekliliği bulunmakta mı? Cevap “evet” ise yapılması gerekli güncellemelere ilişkin notlar: ....................................................................................................................................................................................................................................................................................................................................................................................................................................................................
26	Veri ihlalinin engellenmesi adına Şirket sistemlerinde iyileştirme yapılması gerekliliği bulunmakta mı (sistem, yazılım, anti-virüs yazılımı güncellemeleri, şifrelere ilişkin iyileştirmeler vb. gibi)? Cevap “evet” ise yapılması gerekli iyileştirmelere ilişkin notlar: ....................................................................................................................................................................................................................................................................................................................................................................................................................................................................
27	Veri ihlalinin engellenmesi adına, kişisel veri işlenen sistemlerin korunması için fazladan tedbir alınması gerekmekte mi? Cevap “evet” ise alınması gerekli ek tedbirler: ....................................................................................................................................................................................................................................................................................................................................................................................................................................................................
28	İhlal nedeniyle kişisel veriler kanuni olmayan yollarla başkaları tarafından elde edildi mi? Cevap “evet” ise;
28.1	Durumun Şirket tarafından öğrenildiği tarihten itibaren en geç 72 saat içinde Kurul’a bildirim yapıldı mı?
28.2	Veri ihlalinden etkilenen kişilerin belirlenmesini müteakip ilgili kişilere makul olan en kısa süre içerisinde bildirim yapıldı mı?
29	Veri ihlaline ilişkin üçüncü kişilere bildirim yapılması gerekmekte mi? Cevap “evet” ise gerekli bildirimler yapıldı mı? .................................................................................................................................................................................................................................. ..................................................................................................................................................................................................................................

İLGİLİ KİŞİ BAŞVURU SÜREÇLERİ PROSEDÜRÜ

(başvuru formu indir)

1. AMAÇ VE KAPSAM

1.1. Amaç

İşbu İlgili Kişi Başvuru Süreçleri Prosedürü (“Prosedür”), 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) ve Kanun’un ikincil düzenlemesini teşkil eden Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ (“Tebliğ”) uyarınca yükümlülüklerimizi yerine getirmek ve ilgili kişinin Kanun kapsamında haklarını kullanması suretiyle ANKARA BEŞER ECZA DEPOSU VE İLAÇ PAZARLAMA ANONİM ŞİRKETİ (“Şirket”)’e gerçekleştireceği başvuruların yanıtlanmasına ilişkin usul ve esasları belirlemek amacıyla hazırlanmıştır.

1.2 Kapsam

Şirketimizin kişisel veri işlediği iş süreçlerine dahil olan gerçek kişilerin, Kanun’un 11. maddesi kapsamında sayılan aşağıda belirtilen haklarına ilişkin alınan başvurularının yönetimi ve yanıtlanması işbu Prosedür kapsamındadır:

Kişisel verilerinin işlenip işlenmediğini öğrenme hakkı,
İşlenen kişisel verilerine ilişkin bilgi talep etme hakkı,
Kişisel verilerinin işlenme amacını ve bu amaca uygun kullanılıp kullanılmadığını öğrenme hakkı,
Kişisel verilerinin yurt içi ve/veya yurt dışına aktarımı ile ilgili bilgi talep etme hakkı,
İşlenen kişisel verilerinin düzeltilmesini isteme ve bu doğrultuda yapılacak işlemlerin kişisel verilerinin aktarıldığı üçüncü kişilere bildirilmesini isteme hakkı,
Kişisel verilerinin silinmesini veya yok edilmesini isteme ve bu doğrultuda yapılacak işlemlerin kişisel verilerinin aktarıldığı üçüncü kişilere bildirilmesini isteme hakkı,
İşlenen kişisel verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle aleyhine ortaya çıkan sonuca itiraz etme hakkı,
Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle uğradığı zararın giderilmesini isteme hakkı.

2. TANIMLAR VE KISALTMALAR

Kanun	:	6698 sayılı Kişisel Verilerin Korunması Kanunu
İlgili Kişi	:	Kişisel verisi işlenen gerçek kişi
İmha	:	Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi
İrtibat Kişisi	:	Türkiye’de yerleşik olan tüzel kişiler ile Türkiye’de yerleşik olmayan tüzel kişi veri sorumlusu temsilcisinin Kanun ve bu Kanuna dayalı olarak çıkarılacak ikincil düzenlemeler kapsamındaki yükümlülükleriyle ilgili olarak, Kurum ile kurulacak iletişim için veri sorumlusu tarafından Sicile kayıt esnasında bildirilen gerçek kişi
Kişisel Veri	:	Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi
Kişisel Veri İşleme Envanteri	:	Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanteri
Kişisel Verilerin İşlenmesi	:	Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi
Kurul	:	Kişisel Verileri Koruma Kurulunu
Kurum	:	Kişisel Verileri Koruma Kurumunu
Özel Nitelikli Kişisel Veri	:	Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri
Prosedür	:	İlgili Kişi Başvuru Süreçleri Prosedürü
Tebliğ	:	Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ
Veri İşleyen	:	Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi,
Veri Sorumlusu	:	Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi

3. SORUMLULAR

Bu sürecin yürütülmesi ve yönetilmesinden aşağıda detayları açıklandığı şekilde İnsan Kaynakları Müdürü sorumludur.

Bu prosedüre ilişkin Şirket bünyesinde yürütülen süreçlerde tüm çalışanlar İnsan Kaynakları Birimine gerekli tüm yardım ve desteği sağlamakla yükümlüdür.

4. UYGULAMA

4.1. Başvuru Sürecinin Yönetimi

Başvuruların alınması, değerlendirilmesi ve yanıtlanması süreçlerinden oluşan ilgili kişi Başvuru Sürecinin Yönetiminde aşağıdaki adımlar takip edilir:

Adım 1: Tablo-1’de belirtilen şekillerde iletilen ilgili kişi başvurularının, İlgili Kişi Başvuru Formu (EK-2) ile alınabilmesi için başvuruyu teslim alan birim çalışanı tarafından, ilgili kişiye gerekli yönlendirmeler yapılır. (Özellikle telefon araması ile alınan talepler bakımından bu adım geçerlidir.)

Adım 2: Başvuruyu teslim alan ilgili çalışan, teslim aldığı başvuruyu en kısa sürede (aynı iş günü içerisinde ve eğer mümkün değilse, en geç iki iş günü içinde) İrtibat Kişisine iletir. İrtibat Kişisi ve ilgili kişi başvuru süreçlerinde görevli birim/birimler, en kısa sürede (aynı iş günü içerisinde ve eğer mümkün değilse, en geç iki iş günü içinde) Yapılacaklar Listesi (EK-1) kontrol ederek ilgili kişi başvurusunun içeriğini değerlendirir. Bu kapsamda, ilgili kişinin kimlik doğrulamasını yapar ve talep konusunu belirleyerek talebin muhatabı ilgili birime süreç yönlendirilir.

Adım 3: İrtibat Kişisi ve talebin muhatabı ilgili birim tarafından başvurunun yanıtlanması için gerekli bilgi ve belge toplanır ve İlgili Kişi Başvuruları Cevap Yazısı Örneği (EK-3)’nde belirtilen hususlara dikkat edilerek başvuru yanıtlanır. İrtibat Kişisi tarafından yapılan değerlendirmeye istinaden gerekli görülmesi halinde süreç Hukuk Danışmanına yönlendirilir ve başvurunun alınmasından itibaren 30 gün içerisinde ilgili kişinin talebi yanıtlanır.

4.2. ADIM 1: Başvurunun Alınması

Şirketin tüm birimleri ve çalışanları, Prosedür kapsamında ilgili kişi başvurularının alınması ve süreçlerin yürütülmesinde İrtibat Kişisine aktif olarak destek verir ve gerekli işbirliğini sağlar.

İlgili kişi başvuruları, yazılı, sözlü ve/veya elektronik ortamda iletilebilecek olup başvurunun şekline göre ilgili kişi başvuru sürecinde görev alanların unvanları, birimleri ve görev tanımlarına ilişkin dağılım ve açıklama Tablo 1’de açıklanmaktadır:

Tablo 1: İlgili kişi başvuru süreçleri görev dağılımı

BAŞVURU ŞEKLİ	UNVAN / BİRİM	GÖREV VE SORUMLULUK
Başvurunun yazılı olarak fiziken iletimi	*Dokümantasyon ve Yönetici Asistanı*	Başvurunun teslim alınması ve Başvuru Sürecinin Yönetiminde belirtilen adımların takip edilmesinde kendisine tanımlanacak görevlendirme kapsamında gerekli işbirliğinin sağlanmasından sorumludur.
Başvurunun noter kanalıyla veya iadeli taahhütlü mektupla iletimi	*Dokümantasyon ve Yönetici Asistanı*
Başvurunun Şirket’in kayıtlı elektronik posta (KEP) adresine iletimi	*Dokümantasyon ve Yönetici Asistanı*
Başvurunun telefon araması ile iletimi	*Dokümantasyon ve Yönetici Asistanı*
Güvenli elektronik imza, mobil imza ya da (varsa) ilgili kişinin Şirket sistemlerinde kayıtlı bulunan elektronik posta adresi kullanılarak başvurunun Şirket e-posta adresine iletimi (kvkk@beserecza.com adresi üzerinden)	*İrtibat Kişisi ve Dokümantasyon ve Yönetici Asistanı*

4.3. ADIM 2: Başvurunun İrtibat Kişisine İletilmesi ve İlk İnceleme

Başvuruyu teslim alan ilgili çalışan, teslim aldığı başvuruyu en kısa sürede (aynı iş günü içerisinde ve eğer mümkün değilse, en geç iki iş günü içinde) İrtibat Kişisine iletir. İlgili kişi başvurularının içeriği incelenirken İrtibat Kişisi tarafından aşağıdaki adımlar izlenir:

4.3.1. Kimlik Doğrulama

İlgili kişi taleplerinin değerlendirilebilmesi için öncelikle başvuruyu yapan kişinin Şirket nezdinde işlenen kişisel verilerin sahibi (ilgili kişi) olup olmadığı tespit edilir.

İlgili kişi başvurusunun işleme alınabilmesi ve doğru kişinin talebinin yerine getirilebilmesi için Tebliğ madde 5 (2) uyarınca, Tablo-1’de belirtilen şekillerde iletilen ilgili kişi başvurularında asgari olarak,

Başvuranın adı soyadı (ve yazılı başvurularda imzası),
Kimlik numarası, (yabancılar için uyruğu, pasaport numarası veya varsa kimlik numarası)

Yazışma adresi,

Yazışma adresi yerine iletişim önceliği başka ise bu önceliğe ilişkin e-posta adresi veya telefon numarası ve
Talep konusu

bulunması zorunludur. Bu unsurları taşımayan başvurular, Tebliğ’e ve kimliğin doğrulanamadığı gerekçesine dayalı olarak reddedilir.

İlgili kişi başvurusunun İlgili Kişi Başvuru Formu (EK-2) aracılığıyla iletilmesi halinde, bilgilerin tam, eksiksiz ve doğru olduğu Şirketin elektronik ve elektronik olmayan ortamlarında kontrol edilir.

İlgili kişi başvurusunun İlgili Kişi Başvuru Formu doldurulmadan iletilmesi halinde, başvuru yapan kişinin kimlik tespitinin yapılamadığı durumlarda kişiden yazılı olarak ek bilgi ya da belge talep edilir ve bu bilginin sağlanması akabinde başvuru değerlendirilmeye alınır.

Kimlik tespitinin yapılamadığı durumlarda, İlgili Kişi Başvuru Formu doldurulması ve/veya ek bilgi ve belge talep edilir. Formun doldurulmaması ve/veya talep edilen bilgi ve belgelerin iletilmemesi halinde, başvuru usule uyulmadığı gerekçesiyle reddedilir.

4.3.2. Talep Konusunun Belirlenmesi

İlgili kişinin Kanun’un 11. maddesi kapsamında talebi, İrtibat Kişisi tarafından tespit edilir ve başvuru en kısa süre içerisinde (mümkünse aynı gün, değilse en geç iki iş günü içerisinde) talep konusunun muhatabı ilgili birime yönlendirilir.

4.3.3. Başvurunun Üçüncü Kişiler Tarafından İletilmesi

İlgili kişi başvuruları, doğrudan ilgili kişinin kendisi tarafından iletilebileceği gibi üçüncü kişiler tarafından da iletilebilir.

4.3.4. Yasal Temsilci veya Vekil Aracılığıyla Yapılan Başvurular

İlgili kişinin veli ve/veya vasisi olan yasal temsilci tarafından yapılan başvurular bakımından işbu Prosedür’de belirtilen hususlar geçerli olup temsilcinin yetkisini belirleyen belgelerin suretleri talep edilir.

İlgili kişinin vekil aracılığıyla yaptığı başvurular bakımından işbu Prosedür’de belirtilen hususlar geçerli olup avukatın yetkisini gösterir vekâletnamenin sureti talep edilir.

4.3.5. Diğer Üçüncü Kişiler Tarafından Yapılan Başvurular

İlgili kişinin, Şirketin ticari ilişki içerisinde bulunduğu üçüncü kişilere (tedarikçi/mal veya hizmet alıcısı/iş ortağı vb.) ilettiği üçüncü kişiyi ilgilendiren talepler bakımından Şirket ile üçüncü kişiler arasındaki sözleşme ve protokoller esas alınır. Bu şekilde alınan başvurular bakımından öncelikle Şirket ile üçüncü kişi arasındaki sözleşme ve/veya protokol hükümleri kontrol edilir. Şirket, ilgili sözleşme ve/veya protokolde kararlaştırılan süre ve en geç 30 gün içerisinde Kanun ve ilgili sair mevzuata uygun şekilde ilgili kişi taleplerinin yanıtlanabilmesi için üçüncü kişiler ile gerekli işbirliğini yapar.

Şirketin ticari ilişki içerisinde bulunduğu üçüncü kişilere (tedarikçi/mal veya hizmet alıcısı/iş ortağı vb.) ilettiği başvurular bakımından ise, üçüncü kişinin ilgili sözleşme ve/veya protokolde kararlaştırılan süre veya Şirketin başvuruyu yanıtlayacağı 30 günlük süre içerisinde gerekli bilgi, belge ve işbirliğini sağlaması kontrol edilir.

4.4. ADIM 3: Başvurunun Değerlendirilmesi ve Yanıtlanması

İlgili kişi başvurularının yanıtlanması, Başvuru Sürecinin Yönetimi kapsamında başvurunun ilgili kişinin talebine uygun olarak değerlendirilerek yanıtlandırılmasını içermektedir.

4.4.1. İlgili Kişi Hakları Kapsamında Örnek Süreçlerin Değerlendirilmesi

İrtibat Kişisi tarafından incelenecek başvurular bakımından öncelikle kimlik doğrulaması yapılarak ilgili kişinin başvuru yapmaya yetkili olup olmadığı ve başvurunun muhatabı ilgili birim tespit edilir. (Başvuru Sürecinin Yönetimi Adım-3)

Akabinde, ilgili kişi başvurusu, ilgili kişi hakları bakımından İrtibat Kişisi ve ilgili birim tarafından aşağıdaki gibi değerlendirilerek yanıtlanır:

4.4.2. Kanun madde 11 (1) (a), (b), (c), (ç)^{^[1]} kapsamında alınan ilgili kişi başvuruları:

İlgili kişi talebine konu hususlar, Kişisel Veri İşleme Envanterinde (ilgili iş süreci, işlenen kişisel veriler, veri kategorisi, kişisel veri işleme amaçları, kişisel verilerin aktarıldığı alıcı grupları) ilgili birim tarafından tespit edilir ve talep ile eşleştirilir.

Eğer ilgili süreçte ilgili kişinin talebinde belirttiği hususları içerir bilgiye rastlanmıyorsa, talep bu değerlendirme sonucu İlgili Kişi Başvuruları Cevap Yazısı Örneği (EK-3) formatında ilgili kısımlar doldurularak aşağıdaki gibi yanıtlanır:

“Şirketimizin Kişisel Veri İşleme Envanteri incelenmiş olup ilgili kişi hakkında talep konusu süreç kapsamında kişisel veri işlenmemektedir.”

Eğer ilgili süreçte ilgili kişinin talebinde belirttiği hususları içerir bilgiye rastlanıyorsa, talep bu değerlendirme sonucu İlgili Kişi Başvuruları Cevap Yazısı Örneği (EK-3) formatında ilgili kısımlar doldurularak yanıtlanır.

4.4.3. Kanun madde 11 (d) ve (f)[2] kapsamında alınan ilgili kişi başvuruları:

İlgili kişi talebinde düzeltilmesi talep edilen hususlar, Kişisel Veri İşleme Envanterinde kontrol edilir; ilgili kişi tarafından sağlanan bilgi ve belgeler ile karşılaştırılır ve hatalı ya da eksik olan hususlar incelenir.

Eğer ilgili kişinin kişisel verilerin düzeltilmesine ilişkin talebi, aktarılan alıcı gruplarını da içeriyorsa, bu talep mümkün olan en kısa süre içerisinde aktarım yapılan üçüncü kişilere bildirilir.

Eğer talep konusu bilgi ve belgeler aracılığıyla sistemde hatalı ya da eksik hususlar bulunduğu tespit ediliyorsa, ilgili kayıtların düzeltilmesi not alınır ve gerekli düzeltme Bilgi Teknolojileri biriminin de desteği ile sağlanır. İlgili kişi talebi, bu değerlendirme sonucu İlgili Kişi Başvuruları Cevap Yazısı Örneği (EK-3) formatında ilgili kısımlar doldurularak aşağıdaki gibi yanıtlanır:

“İlgili kişi başvurunuz incelenmiş olup başvurunuzda ilettiğiniz bilgi ve belgelere istinaden sistemlerimizden kontrolünü gerçekleştirdiğimiz kişisel verileriniz güncellenmiş (ve anılan güncellemeye ilişkin olarak kişisel verilerinizin aktarıldığı üçüncü kişilere gerekli bildirimler yapılmıştır.)”

Eğer talep konusu bilgi ve belgeler aracılığıyla sistemde hatalı ya da eksik hususlar bulunmadığı tespit ediliyorsa, ilgili kişiden ek bilgi talep edilebilir veya talep, gerekçesi ile birlikte İlgili Kişi Başvuruları Cevap Yazısı Örneği (EK-3) formatında ilgili kısımlar doldurularak ve sistemdeki kayıtların bir örneği sunularak yanıtlanır.

4.4.4. Kanun madde 11 (e) ve (f)^{^[3]} kapsamında alınan ilgili kişi başvuruları:

Silme/yok etme talebine konu kişisel verilere ilişkin, Kişisel Veri İşleme Envanteri’nde “ilgili iş süreci, saklama süresi ve aktarılan alıcı grupları” kısımları ilgili birim tarafından kontrol edilir; akabinde, “Kişisel Veri Saklama ve İmha Politikası”nda “imhayı gerektiren sebepler” kısmı ile talep konusu kişisel veriler değerlendirilir. İmhayı gerektirir hususların değerlendirilmesinde gerekli görülmesi halinde Hukuk Danışmanının görüşü alınır.

Eğer ilgili kişinin silme/yok etme talebi, aktarılan alıcı gruplarını da içeriyorsa, bu talep mümkün olan en kısa süre içerisinde aktarım yapılan üçüncü kişilere bildirilir.

Eğer “imhayı gerektiren sebepler” bakımından saklamayı gerektiren herhangi bir sebep bulunmuyorsa, ilgili kişinin talebi, İlgili Kişi Başvuruları Cevap Yazısı Örneği (EK-3) formatında ilgili kısımlar doldurularak aşağıdaki şekilde yanıtlanır:

“İlgili kişi başvurunuz incelenmiş olup talebiniz üzerine Şirketimiz nezdinde işlenen kişisel verileriniz sistemlerimizden silinmiş/yok edilmiş/anonim hale getirilmiş (ve anılan işleme ilişkin olarak kişisel verilerinizin aktarıldığı üçüncü kişilere gerekli bildirimler yapılmıştır).”

4.4.5. Kanun madde 11 (g)^{^[4]} kapsamında alınan ilgili kişi başvuruları:

İlgili kişi başvurusunda iletilen bilgi ve belgeler sonucunda, Kişisel Veri İşleme Envanterinde ilgili “iş süreci” tespit edilerek sürecin münhasıran otomatik sistemler vasıtasıyla gerçekleştirilen ve ilgili kişinin aleyhine sonuç doğurduğunu iddia ettiği kısımları incelenir.

İlgili birim tarafından gerçekleştirilen incelemelerde, otomatik süreçte ve bu süreç içerisinde işlenen kişisel verilerde herhangi bir eksiklik ve hata olmadığı tespit ediliyorsa, ilgili kişinin talebi, İlgili Kişi Başvuruları Cevap Yazısı Örneği (EK-3) formatında ilgili kısımlar doldurularak aşağıdaki şekilde yanıtlanır:

“Şirketimiz nezdindeki kişisel verileriniz işlenerek analiz sonucu oluşturulan raporlamada bir eksiklik ve yanlışlık tespit edilmemiş olduğundan itirazınız reddedilmiştir.”

Eğer ilgili kişinin sağladığı bilgi ve belgeler ile karşılaştırıldığında, otomatik sistemler aracılığıyla oluşturulan sonuçta bir değişiklik meydana geleceği tespit ediliyor ve bu değişiklik ile kişi lehine bir sonuç söz konusu oluyorsa; ilgili kişinin talebi, İlgili Kişi Başvuruları Cevap Yazısı Örneği (EK-3) formatında ilgili kısımlar doldurularak ve ilgili sonucun bir örneği sunularak aşağıdaki şekilde yanıtlanır:

“İlgili başvurunuzda ilettiğiniz bilgi ve belgelere istinaden bilgileriniz, itirazınıza istinaden değişen sonuca göre kayıt altına alınmış olup sistemlerimiz de bu sonuca uygun olarak güncellenmiştir.”

4.4.6. Kanun madde 11 (ğ)^{^[5]} kapsamında alınan ilgili kişi başvuruları:

İlgili kişi başvurusunda iletilen bilgi ve belgeler neticesinde, ilgili kişinin zarar talebi, İrtibat Kişisi/İrtibat Kişisi ve ilgili birim tarafından yapılacak ön inceleme akabinde Hukuk Danışmanına iletilerek değerlendirilir. Yapılan incelemenin sonucunda ilgili kişinin talebi, İlgili Kişi Başvuruları Cevap Yazısı Örneği (EK-3) formatında ilgili kısımlar doldurularak yanıtlanır.

4.4.7. Başvuruya Cevap Yazısının İçeriğinde Bulunması Gereken Bilgiler

Tebliğ’in 6 (4) maddesi uyarınca, ilgili kişi talebinin yanıtlandığı cevap yazısında,

Veri sorumlusu veya temsilcisine ait bilgiler,
Başvuru sahibinin; adı ve soyadı, Türkiye Cumhuriyeti vatandaşları için T.C. kimlik numarası, yabancılar için uyruğu, pasaport numarası veya varsa kimlik numarası, tebligata esas yerleşim yeri veya iş yeri adresi, varsa bildirime esas elektronik posta adresi, telefon ve faks numarası,

Talep konusu,

Veri sorumlusunun başvuruya ilişkin açıklamaları bulunması zorunludur.

4.4.8. Başvurunun Yanıtlanma Süresi

İlgili kişi başvurusu, İrtibat Kişisinin de yönlendirmesi ile Başvuru Sürecinin Yönetimi kapsamında belirtilen adımlar takip edilerek başvurunun alınmasından itibaren en geç 30 gün içerisinde yanıtlanır.

İlgili kişi başvurusu yanıtlanırken, talep konusuna göre uyarlanacak şekilde İlgili Kişi Başvuruları Cevap Yazısı Örneği (EK-3) format olarak kullanılır.

4.5. BAŞVURU ÜCRETİ

Kanun’un 13 (2) maddesi uyarınca Şirket, ilgili kişi taleplerini ücretsiz olarak sonuçlandırmakla yükümlüdür. Ancak, işlemin ayrıca bir maliyet gerektirmesi halinde, Kurulca belirlenen tarifedeki ücret alınabilir. İşbu Prosedür’ ün onaylandığı tarih itibariyle 30356 sayılı Resmi Gazete’ de yayımlanarak yürürlüğe giren Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’in 7’ nci maddesi uyarınca ücretlendirme yapılabilecektir.

4.6. PROSEDÜR’ ÜN YAYIMLANMASI VE SAKLANMASI

Prosedür, ıslak imzalı (basılı kağıt) ve internet sitesinde olmak üzere iki farklı ortamda yayımlanır. Basılı kağıt nüsha İnsan Kaynakları Birimi tarafından saklanır.

5. İLGİLİ DOKÜMANLAR

TS EN ISO 9001 Madde 7.5. Dökümante Edilmiş Bilgi ve 7.1.6 Kurumsal Bilgi
6698 Sayılı Kişisel Verilerin Korunması Kanunu
Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik
Kişisel Veri Güvenliği Rehberi (Teknik ve İdari Tedbirler)
Yapılacaklar Listesi (Ek 1), İlgili Kişi Başvuru Formu (Ek 2), İlgili Kişi Başvuruları Cevap Yazısı Örneği (Ek 3)

6. REVİZYON

S.N	Eski Rev No - Tarih	Revizyon Detayı

HAZIRLAYAN

Firdevs KOCAMAN

Yön. Sek. ve Dök. Personeli

KONTROL EDEN

Burak DOĞANAY

Kurumsal Gelişim Müdürü

ONAYLAYAN

Hülya GÜZEY İstiklal HASIRİPİ

Finans ve İd. İşl. Md. Muhasebe ve İ.K Müd.

EK-1: YAPILACAKLAR LİSTESİ

NO	YAPILACAKLAR LİSTESİ	Tamamlandığında işaretleyiniz.
1	İlgili kişinin talebi yazılı veya elektronik ortamda alınmıştır. (Mümkün olduğunca İlgili Kişi Başvuru Formu’nu kullanınız.)
2	Talepte bulunan kişinin kimliği doğrulanmıştır.
3	Talep konusu kişisel veriye ilişkin açıklamalar ve kişisel verinin konumuna ilişkin bilgiler kontrol edilmiştir.
4	Temsilci tarafından yapılan talepler için temsilcinin ilgili kişi adına hareket etmeye yetkili olduğuna dair kanıt sunulmuştur.
5	Geçmişte ilgili kişiden benzer bir talep alınmamıştır. (1,3 ya da 6 ay gibi belirli bir zaman aralığı belirtiniz.) Eğer benzer talepler alınmışsa, hukuk danışmanları ile iletişime geçiniz.
6	30 günlük sürenin başladığı tarih kaydedilmiştir.
7	İlgili kişinin ismi ya da ilgili kişiyi başka türlü belirleyebilecek veriler kullanılarak ilgili sistemler tespit edilmiş ve arama yapılmıştır. Sonuçların çıktısı alınmıştır.
8	Arama sonuçları incelenmiş ve ilgili kişiye ilişkin kişisel veri niteliğinde olmayan bilgiler çıkarılmıştır.
9	Diğer kişilere ilişkin kişisel verilerin bulunması halinde, sadece ilgili kişinin sunulması gereken kişisel verileri bulunacak şekilde kişisel veriler karartılarak sunulmuştur.
10	Veri işlemenin amaçları, kişisel verinin gönderildiği kişiler ve verinin alındığı kaynaklara ilişkin açıklamalar yazıya geçirilmiştir.
11	İlgili kişiye sunulacak bilgilerin bir kopyası anlaşılır ve kalıcı bir şekilde hazırlanmış ve bir kopyası da İrtibat Kişisi tarafından arşivlenmiştir.

EK-2: İLGİLİ KİŞİ BAŞVURU FORMU

ANKARA BEŞER ECZA DEPOSU VE İLAÇ PAZARLAMA ANONİM ŞİRKETİ

6698 SAYILI KİŞİSEL VERİLERİN KORUNMASI KANUNU KAPSAMINDA

İLGİLİ KİŞİ BAŞVURU FORMU

6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”)’da “ilgili kişi” olarak tanımlanan kişisel veri sahiplerine (“Başvuru Sahibi”), KVKK’nın 11. maddesi kapsamında aşağıdaki haklar tanınmıştır:

Kişisel verilerinizin işlenip işlenmediğini öğrenme,
Kişisel verileriniz işlenmişse buna ilişkin bilgi talep etme,
Kişisel verilerinizin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
Yurt içinde veya yurt dışında kişisel verilerinizin aktarıldığı üçüncü kişileri bilme,
Kişisel verilerinizin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemlerin kişisel verilerinizin aktarıldığı üçüncü kişilere bildirilmesini isteme,
KVKK ile ilgili diğer kanun ve sair mevzuat hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde, kişisel verilerinizin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemlerin kişisel verilerinizin aktarıldığı üçüncü kişilere bildirilmesini isteme,
İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle şahsınız aleyhine bir sonucun ortaya çıkmasına itiraz etme,
Kişisel verilerinizin kanuna aykırı olarak işlenmesi sebebiyle zarara uğramanız hâlinde zararın giderilmesini talep etme.

KVKK’nın 13. maddesinin 1. fıkrası ile Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ uyarınca, Şirketimize bu haklara ilişkin olarak yapılacak başvuruların yazılı olarak veya Kişisel Verileri Koruma Kurulu (“Kurul”) tarafından belirlenecek diğer yöntemlerle iletilmesi gerekmektedir.

Bu çerçevede “yazılı” olarak Şirketimize yapılacak başvurular, işbu formun çıktısı alınarak;

Başvuru Sahibi tarafından Altınevler Mah. Aslanağzı Sk. No: 3A İç Kapı No: - Mamak/Ankara adresindeki Şirketimize bizzat başvurulması ile,
ankarabeserecza@hs01.kep.tr şeklindeki kayıtlı elektronik posta (KEP) adresimiz üzerinden
Noter aracılığı ile veya iadeli taahhütlü mektup ile,
Güvenli elektronik imza, mobil imza ya da (varsa) tarafınızca daha önceden Şirketimize bildirilen ve sistemlerimizde kayıtlı bulunan elektronik posta adresini kullanmak suretiyle kvkk@beserecza.com adresine elektronik posta göndermek suretiyle

iletilebilecektir.

Başvuru Yöntemi	Başvurunun Yapılacağı Adres	Başvuru Gönderiminde Belirtilecek Bilgi
Şahsen başvuru (Başvuru Sahibinin başvuru adresine bizzat gelerek kimliğini tevsik edici belge ile başvurması)	Altınevler Mah. Aslanağzı Sk. No: 3A İç Kapı No: - Mamak/Ankara	Zarfın üzerine “Kişisel Verilerin Korunması Kanunu Kapsamında Bilgi Talebi” yazılacaktır.
Noter aracılığı ile tebligat veya iadeli taahhütlü mektup ile başvuru	Altınevler Mah. Aslanağzı Sk. No: 3A İç Kapı No: - Mamak/Ankara	Tebligat zarfına “Kişisel Verilerin Korunması Kanunu Kapsamında Bilgi Talebi” yazılacaktır.
Kayıtlı elektronik posta (KEP) adresine posta gönderimi	ankarabeserecza@hs01.kep.tr	Posta iletisinin konu kısmına “Kişisel Verilerin Korunması Kanunu Kapsamında Bilgi Talebi” yazılacaktır.
Güvenli elektronik imza, mobil imza ya da (varsa) Şirketimizde kayıtlı bulunan e-posta adresinin kullanımı suretiyle e-posta gönderimi	kvkk@beserecza.com	E-posta iletisinin konu kısmına “Kişisel Verilerin Korunması Kanunu Kapsamında Bilgi Talebi” yazılacaktır.

Aşağıda, yazılı başvuruların ne şekilde tarafımıza ulaştırılacağına ilişkin yazılı başvuru kanalları özelinde bilgiler verilmektedir:

Tarafımıza iletilmiş olan başvurularınız KVKK’nın 13. maddesinin 2. fıkrası gereğince, talebin niteliğine göre talebinizin bizlere ulaştığı tarihten itibaren 30 (otuz) gün içinde yanıtlanacaktır. Yanıtlarımız KVKK’nın 13. maddesi hükmü gereğince yazılı olarak veya elektronik ortamdan tarafınıza ulaştırılacaktır.

^{^[1]} (a) Kişisel verilerinin işlenip işlenmediğini öğrenme hakkı, (b) İşlenen kişisel verilerine ilişkin bilgi talep etme hakkı, (c) Kişisel verilerin işlenme amacını ve bu amaca uygun kullanılıp kullanılmadığını öğrenme hakkı, (ç) Kişisel verilerinin yurt içi ve/veya yurt dışına aktarımı ile ilgili bilgi talep etme hakkı.

[2] Eksik veya yanlış işlenen kişisel verilerin düzeltilmesini isteme ve bu kapsamda yapılan işlemlerin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme hakkı

^{^[3]} Kişisel verilerin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemlerin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme hakkı

^{^[4]} İşlenen kişisel verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine ortaya çıkan sonuca itiraz etme hakkı

^{^[5]} Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle uğranılan zararın giderilmesini isteme hakkı

ANKARA BEŞER ECZA DEPOSU VE İLAÇ PAZARLAMA ANONİM ŞİRKETİ KİŞİSEL VERİLERİN KORUNMASI AYDINLATMA METNİ

KİŞİSEL VERİ SAKLAMA VE İMHA POLİTİKASI

1. AMAÇ VE KAPSAM

1.1. Amaç

2. TANIMLAR VE KISALTMALAR

3. SORUMLULUK VE GÖREV DAĞILIMLARI

4. UYGULAMA

4.1. KAYIT ORTAMLARI

4.2. SAKLAMA VE İMHAYA İLİŞKİN AÇIKLAMALAR

4.2.1. Saklamaya İlişkin Açıklamalar

4.2.2. Saklamayı Gerektiren Hukuki Sebepler

4.2.3. Saklamayı Gerektiren İşleme Amaçları

4.3. İMHAYI GEREKTİREN SEBEPLER

4.4. TEKNİK VE İDARİ TEDBİRLER

4.4.1. Teknik Tedbirler

4.4.2. İdari Tedbirler

4.5. KİŞİSEL VERİLERİ İMHA TEKNİKLERİ

4.5.1. Kişisel Verilerin Silinmesi

4.5.2. Kişisel Verilerin Yok Edilmesi

4.5.3. Kişisel Verilerin Anonim Hale Getirilmesi

4.6. SAKLAMA VE İMHA SÜRELERİ

4.7. PERİYODİK İMHA SÜRESİ

4.8. POLİTİKA’ NIN YAYINLANMASI VE SAKLANMASI

5. İLGİLİ DOKÜMANLAR

6. REVİZYON

ÖZEL NİTELİKLİ KİŞİSEL VERİ GÜVENLİĞİ POLİTİKASI

5. İLGİLİ DOKÜMANLAR

6. REVİZYON

KİŞİSEL VERİ İHLALİ MÜDAHALE PLANI

5. İLGİLİ DOKÜMANLAR

6. REVİZYON

İLGİLİ KİŞİ BAŞVURU SÜREÇLERİ PROSEDÜRÜ (başvuru formu indir)

1. AMAÇ VE KAPSAM

1.1. Amaç

1.2 Kapsam

2. TANIMLAR VE KISALTMALAR

3. SORUMLULAR

4. UYGULAMA

4.1. Başvuru Sürecinin Yönetimi

4.2. ADIM 1: Başvurunun Alınması

4.3. ADIM 2: Başvurunun İrtibat Kişisine İletilmesi ve İlk İnceleme

4.3.1. Kimlik Doğrulama

4.3.2. Talep Konusunun Belirlenmesi

4.3.3. Başvurunun Üçüncü Kişiler Tarafından İletilmesi

4.3.4. Yasal Temsilci veya Vekil Aracılığıyla Yapılan Başvurular

4.3.5. Diğer Üçüncü Kişiler Tarafından Yapılan Başvurular

4.4. ADIM 3: Başvurunun Değerlendirilmesi ve Yanıtlanması

4.4.1. İlgili Kişi Hakları Kapsamında Örnek Süreçlerin Değerlendirilmesi

4.4.2. Kanun madde 11 (1) (a), (b), (c), (ç)[1] kapsamında alınan ilgili kişi başvuruları:

4.4.3. Kanun madde 11 (d) ve (f)[2] kapsamında alınan ilgili kişi başvuruları:

4.4.4. Kanun madde 11 (e) ve (f)[3] kapsamında alınan ilgili kişi başvuruları:

4.4.5. Kanun madde 11 (g)[4] kapsamında alınan ilgili kişi başvuruları:

4.4.6. Kanun madde 11 (ğ)[5] kapsamında alınan ilgili kişi başvuruları:

4.4.7. Başvuruya Cevap Yazısının İçeriğinde Bulunması Gereken Bilgiler

4.4.8. Başvurunun Yanıtlanma Süresi

4.5. BAŞVURU ÜCRETİ

4.6. PROSEDÜR’ ÜN YAYIMLANMASI VE SAKLANMASI

5. İLGİLİ DOKÜMANLAR

6. REVİZYON

EK-1: YAPILACAKLAR LİSTESİ

EK-2: İLGİLİ KİŞİ BAŞVURU FORMU

ANKARA BEŞER ECZA DEPOSU VE İLAÇ PAZARLAMA ANONİM ŞİRKETİ
KİŞİSEL VERİLERİN KORUNMASI AYDINLATMA METNİ

İLGİLİ KİŞİ BAŞVURU SÜREÇLERİ PROSEDÜRÜ

(başvuru formu indir)

4.4.2. Kanun madde 11 (1) (a), (b), (c), (ç)^{^[1]} kapsamında alınan ilgili kişi başvuruları:

4.4.4. Kanun madde 11 (e) ve (f)^{^[3]} kapsamında alınan ilgili kişi başvuruları:

4.4.5. Kanun madde 11 (g)^{^[4]} kapsamında alınan ilgili kişi başvuruları:

4.4.6. Kanun madde 11 (ğ)^{^[5]} kapsamında alınan ilgili kişi başvuruları: