İşbu Aydınlatma Metni, veri sorumlusu sıfatıyla Ankara Beşer Ecza Deposu ve İlaç Pazarlama Anonim Şirketi (Bundan böyle “Şirket” olarak anılacaktır.) tarafından gerçekleştirilen veri işleme faaliyetlerine ilişkin olarak; tedarikçi, mal ve/veya hizmet alıcısı, çalışan adayı, çalışan, yönetici, ziyaretçi ve/veya diğer ilgili sıfatıyla tarafınızın bilgilendirilmesi amacıyla, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 10. maddesi ve Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ doğrultusunda hazırlanmıştır.
Açık Rıza: Belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rıza
İlgili Kişi: Kişisel verisi işlenen gerçek kişi
Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi
Kişisel Verilerin İşlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem
KVKK: 6698 sayılı Kişisel Verilerin Korunması Kanunu
Özel Nitelikli Kişisel Veriler: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri
Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi
Ankara Beşer Ecza Deposu ve İlaç Pazarlama Anonim Şirketi olarak; tedarikçi, mal ve/veya hizmet alıcısı, çalışan adayı, çalışan, yönetici, ziyaretçi ve/veya diğer ilgili sıfatlarıyla Şirketimize bildirdiğiniz/bildireceğiniz kişisel verilerinizi, KVKK ve ilgili sair mevzuat kapsamında, veri sorumlusu sıfatı ile işlediğimizi tarafınıza bildirmekteyiz.
Kişisel verileriniz, KVKK ve ilgili sair mevzuatta öngörülen sınırlara riayet edilerek, Şirket faaliyetlerinin gerçekleştirilmesi amacıyla işlenmektedir. Bu kapsamda kişisel verileriniz;
amaçlarıyla işlenmektedir.
Şirketimiz tarafından işlenecek ve/veya işlenmekte olan kişisel veri kategorileri veri konusu kişi grubuna göre farklılık gösterebilmekle birlikte, KVKK ve ilgili sair mevzuata uygun olarak işbu Aydınlatma Metni’nde belirtilen amaçlar ve hukuki sebepler kapsamında aşağıda yer alan kişisel verileriniz işlenecektir:
Kimlik Verileri: Ad-Soyad, T.C. Kimlik numarası, anne adı, baba adı, doğum yeri ve tarihi, imza vb.
İletişim Verileri: İkamet adresi, işyeri adresi, sabit hat numarası, cep telefonu numarası, e-posta adresi, KEP adresi, faks numarası vb.
Müşteri İşlem Bilgileri: Sipariş ve talep bilgileri
Hukuki İşlem Verileri: Adli makamlarla yazışmalardaki bilgiler, dava dosyalarındaki bilgiler vb.
Fiziksel Mekan Güvenliği Verileri: Şirketimiz binası içerisinde kurulu güvenlik kameralarının görüntü kayıtları ile Şirkete giriş-çıkış kayıt bilgileri
Finansal Bilgiler: Şirket tarafından alınan veya verilen hizmetlere dair finansal kayıtlar ve ödeme bilgileri
Talep ve Şikayet bilgileri: Şirket tarafından gerçekleştirilen anket çalışmaları kapsamında iletilen talep ve şikayet bilgileri ile Şirketimiz hizmetlerinden memnuniyete ilişkin bilgiler
Özel Nitelikli Kişisel Veriler: Gerekmesi halinde müşterilere ilişkin sağlık verileri
Çalışanlara ilişkin veriler: Çalışan adayı ve çalışanlarımıza ilişkin olarak yukarıda belirtilen veri kategorilerinin yanında, özlük verileri, mesleki deneyim bilgileri, işlem güvenliği verileri, araç verisi, aile ve yakını verisi, referans bilgisi, görsel kayıtlar, sağlık verisi, ceza mahkumiyeti ve güvenlik tedbirlerine ilişkin bilgiler de işlenebilmektedir.
Kişisel verileriniz, bu metnin (d) fıkrasında belirtilen amaçların yerine getirilebilmesi için; aşağıda belirtilen otomatik veya otomatik olmayan yöntemlerle sözlü, yazılı veya elektronik ortamda ortamlarda elde edilecektir:
Kişisel verileriniz, bu metnin (d) fıkrasında belirtilen amaçların yerine getirilebilmesi için KVKK’nın 5 (2) maddesinde belirtilen “a) Kanunlarda açıkça öngörülmesi”, “c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması”, “ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması”, “e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması”, “f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” hukuki sebepleri dahilinde işlenecektir.
Şirketimiz faaliyetleri kapsamında özel nitelikli kişisel veri işlenen süreçlerde ve gerekmesi halinde; özel nitelikli kişisel verileriniz KVKK’nın 6 (2) maddesinde belirtilen “açık rızanız alınması” hukuki sebebi dahilinde işlenebilecektir.
Kişisel verileriniz, aşağıda belirtilen amaçlar ile KVKK’nın 8 (2) (a) maddesi uyarınca ilgili kişinin açık rızası aranmaksızın aktarılacaktır:< /p>
Şirketimiz faaliyetleri kapsamında özel nitelikli kişisel veri aktarımı gerçekleştirilen süreçlerde ve gerekmesi halinde; özel nitelikli kişisel verileriniz KVKK’nın 6 (2) maddesinde belirtilen “açık rızanız alınması” hukuki sebebi dahilinde aktarılabilecektir.
KVKK’nın 11. maddesi gereği Şirketimize şahsen, kimliğinizi ispat etmeniz kaydıyla,
Başvurunuzda yer alan talepleriniz, talebin niteliğine göre en geç otuz (30) gün içerisinde ücretsiz olarak sonuçlandırılacaktır. Ancak, işlemin Şirket için ayrıca bir maliyeti gerektirmesi halinde, Kişisel Verileri Koruma Kurulu tarafından Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’de belirlenen tarifedeki ücret alınabilir.
Kişisel verilerinizin işlenmesi ile ilgili hususlarda başvurunuzu internet sitemizde yer alan İlgili Kişi Başvuru Formu’nda belirtilen bütün bilgileri doldurmak suretiyle veya KVKK’nın 11. maddesi ile 13. maddesinin 1. fıkrası ve Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ gereğince,
veya gelecekte Kurul’un belirleyeceği diğer yöntemlerle iletebilirsiniz.
Dok. Kodu: F63 – Yür. T: 11.01.23 – Rev: 0
İşbu Kişisel Veri Saklama ve İmha Politikası (“Politika”), 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) ve Kanun’un ikincil düzenlemesini teşkil eden Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik (“Yönetmelik”) uyarınca yükümlülüklerimizi yerine getirmek ve ANKARA BEŞER ECZA DEPOSU VE İLAÇ PAZARLAMA ANONİM ŞİRKETİ (“Şirket”) olarak tarafımızca gerçekleştirilmekte olan saklama ve imha faaliyetlerine ilişkin iş ve işlemler konusunda usul ve esasları belirlemek amacıyla hazırlanmıştır.
Şirketimiz, kişisel verilerin işlendiği herhangi bir iş sürecine dahil olan çalışan adayı, çalışan, Şirket ortağı, tedarikçiler, mal ve hizmet alıcıları, ziyaretçiler ve diğer üçüncü kişilere ait kişisel verilerin, T.C Anayasası, uluslararası sözleşmeler ve ilgili sair mevzuata uygun olarak işlenmesini ve ilgili kişilerin haklarını etkin bir şekilde kullanmasının sağlanmasını öncelik olarak belirlemiştir.
Kişisel verilerin saklanması ve imhasına ilişkin iş ve işlemler, Şirketimiz tarafından bu doğrultuda hazırlanmış olan Politika’ya uygun olarak gerçekleştirilir.
Şirketin kişisel veri işlediği iş süreçlerine dahil olan gerçek kişilere ait kişisel veriler ve özel nitelikli kişisel veriler, işbu Politika kapsamındadır.
Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla kişisel verilerin işlendiği sistemlerde yer alan tüm kayıt ortamları ve kişisel veri işlenmesine yönelik faaliyetlerde bu Politika uygulanır.
Kişisel Veri İşleme Envanteri, işbu Politika’nın ayrılmaz bir parçası olup, Şirketin veri işleme faaliyetlerine, işlenen veri kategorilerine, verileri işlenen ilgili kişi gruplarına ve imha sürelerine ilişkin bu Politika’da yer verilen açıklamalar Kişisel Veri İşleme Envanterinin özeti niteliğindedir.
Açık Rıza |
: |
Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza |
Anonim Hale Getirme |
: |
Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesi |
Çalışan adayı |
: |
Şirket personel adayı |
Çalışan |
: |
Şirket personeli |
Elektronik Ortam |
: |
Kişisel verilerin elektronik aygıtlar ile oluşturulabildiği, okunabildiği, değiştirilebildiği ve yazılabildiği ortamlar |
Elektronik Olmayan Ortam |
: |
Elektronik ortamların dışında kalan tüm yazılı, basılı, görsel vb. diğer ortamlar |
Tedarikçi |
: |
Belirli bir sözleşme çerçevesinde Şirkete mal ve/veya hizmet sağlayan gerçek veya tüzel kişi |
İlgili Kişi |
: |
Kişisel verisi işlenen gerçek kişi |
İmha |
: |
Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi |
Kanun |
: |
6698 sayılı Kişisel Verilerin Korunması Kanunu |
Kayıt Ortamı |
: |
Tamamen ya da kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam |
Kişisel Veri |
: |
Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi |
Kişisel Veri İşleme Envanteri |
: |
Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için saklanması gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter |
Kişisel Verilerin İşlenmesi |
: |
Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem |
Kurul |
: |
Kişisel Verileri Koruma Kurulu |
Kurum |
: |
Kişisel Verileri Koruma Kurumu |
Özel Nitelikli Kişisel Veri |
: |
Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri |
Periyodik İmha |
: |
Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi |
Politika |
: |
Kişisel Verileri Saklama ve İmha Politikası |
Veri İşleyen |
: |
Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi, |
Veri Sorumlusu |
: |
Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi |
Veri Kayıt Sistemi |
: |
Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini |
Veri Sorumluları Sicil Bilgi Sistemi |
: |
Veri sorumlularının sicile başvuruda ve sicile ilişkin ilgili diğer işlemlerde kullanacakları, internet üzerinden erişilebilen, Başkanlık tarafından oluşturulan ve yönetilen bilişim sistemi |
VERBİS |
: |
Veri Sorumluları Sicil Bilgi Sistemi |
İrtibat Kişisi |
: |
Veri Sorumlusu tarafından Kanun ve Kanuna dayalı olarak çıkarılmış ve çıkarılacak ikincil düzenlemeler kapsamındaki yükümlülükleriyle ilgili olarak Kurum ile iletişimi sağlamak amacıyla Veri Sorumluları Siciline kayıt esnasında bildirilen gerçek kişi |
Yönetmelik |
: |
28 Ekim 2017 tarihli ve 30224 sayılı Resmi Gazetede yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik |
Şirketin tüm birimleri ve çalışanları, sorumlu birimlerce Politika kapsamında alınmakta olan teknik ve idari tedbirlerin gereği gibi uygulanması, birim çalışanlarının eğitimi ve farkındalığının artırılması, izlenmesi ve sürekli denetimi ile kişisel verilerin hukuka aykırı olarak işlenmesinin önlenmesi, kişisel verilere hukuka aykırı olarak erişilmesinin önlenmesi ve kişisel verilerin hukuka uygun olarak saklanmasının sağlanması amacıyla kişisel veri işlenen tüm ortamlarda veri güvenliğini sağlamaya yönelik teknik ve idari tedbirlerin alınması konularında sorumlu birimlere aktif olarak destek verir.
Kişisel verilerin saklama ve imha süreçlerinde görev alanların unvanları, birimleri ve görev tanımlarına ait dağılım Tablo 1’de verilmiştir:
Tablo 1: Saklama ve imha süreçleri görev dağılımı
UNVAN |
DEPARTMAN / BİRİM |
GÖREV VE SORUMLULUK |
İnsan Kaynakları Müdürü |
İnsan Kaynakları |
Politika ve prosedürlerin uygulanması için gerekli görev dağılımını yapmak, uygun gördüğü kişileri yetkilendirmek ve Şirket genelinde iş süreçlerinin Politika’da belirtildiği şekilde saklama ve imha sürelerine uygunluğunun sağlanmasından sorumludur. |
İnsan Kaynakları Müdürü |
İnsan Kaynakları |
Politika’nın hazırlanması, güncellenmesi, geliştirilmesi, yürütülmesi, ilgili ortamlarda yayınlanması ve güncellenmesinden sorumludur. Periyodik imha döneminde kişisel veri imha sürecinin yönetiminin gerçekleştirilmesi, Politika’nın asgari olarak yıllık bazda gözden geçirilmesi, ilgili kişi tarafından kişisel verilerin silinmesi veya yok edilmesine ilişkin yapılan talep ve başvuruların takip edilmesinden sorumludur. |
Sistem Network Sorumlusu |
İdari İşler |
Politika’nın uygulanmasında ihtiyaç duyulan teknik çözümlerin sunulmasından sorumludur. |
İşyeri Hekimi |
İşyeri Hekimi |
Görevi dahilinde olan özellikle çalışanların sağlık verileri ile ilgili süreçlerin saklama süresine uygunluğunun sağlanması ile periyodik imha süresi uyarınca kişisel veri imha sürecinin yürütülmesinden sorumludur. |
Kişisel veriler, Şirket tarafından Tablo 2’de listelenen ortamlarda hukuka uygun olarak güvenli bir şekilde saklanır.
Tablo 2: Kişisel veri saklama ortamları
ELEKTRONİK ORTAMLAR |
ELEKTRONİK OLMAYAN ORTAMLAR |
· Sunucular (Yedekleme, e-posta, veri tabanı, web, dosya paylaşımı) · Yazılımlar (Şirketlerin kullandığı yazılımlar/sistemler) · File Server · Bilgi güvenliği cihazları (güvenlik duvarı, saldırı tespit ve engelleme, günlük kayıt dosyası, anti virüs ….. ) · Kişisel bilgisayarlar (Masaüstü, dizüstü) · Çıkartılabilir bellekler (USB, Hafıza Kart) · Yazıcı, tarayıcı, fotokopi makinesi |
· Birim dolapları · Manuel veri kayıt sistemleri (İnsan Kaynakları Formları) · Şirketler Arşivi
|
Çalışan adayları, çalışanlar, Şirket ortakları, tedarikçiler, mal ve hizmet alıcıları ve ziyaretçiler başta olmak üzere ilişkide bulunulan üçüncü kişilere ve üçüncü kişilerin, kurumların veya kuruluşların çalışanlarına/yetkililerine ait kişisel veriler Kanuna uygun olarak saklanır ve imha edilir.
Bu kapsamda, saklama ve imhaya ilişkin detaylı açıklamalara aşağıda sırasıyla yer verilmiştir:
Kanun’un 3. maddesinde kişisel verilerin işlenmesi kavramı tanımlanmış, 4. maddesinde işlenen kişisel verilerin işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli süre kadar muhafaza edilmesi gerektiği belirtilmiş, 5 ve 6. maddelerde ise kişisel verilerin işlenme şartları sayılmıştır.
Buna göre, Şirket faaliyetleri çerçevesinde kişisel veriler, ilgili mevzuatta öngörülen veya işleme amaçlarımıza uygun süre kadar saklanır.
Şirketler faaliyetleri çerçevesinde işlenen kişisel veriler, ilgili mevzuatta öngörülen süre kadar muhafaza edilir. Bu kapsamda kişisel veriler,
çerçevesinde öngörülen saklama süreleri kadar saklanmaktadır.
Şirket, faaliyetleri çerçevesinde işlemekte olduğu kişisel verileri aşağıdaki amaçlar doğrultusunda saklar:
Kişisel veriler,
durumlarında, Şirket tarafından ilgili kişinin talebi üzerine ya da resen silinir, yok edilir veya anonim hale getirilir.
Kişisel verilerin güvenli bir şekilde saklanması, hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi ile kişisel verilerin hukuka uygun olarak imha edilmesi için Kanun’un 12. maddesiyle Kanun’un 6. maddesinin dördüncü fıkrası gereği özel nitelikli kişisel veriler için Kurum tarafından belirlenerek ilan edilen yeterli önlemler çerçevesinde Şirket tarafından teknik ve idari tedbirler alınır.
Şirket tarafından, işlediği kişisel verilerle ilgili olarak alınan teknik tedbirler aşağıda sayılmıştır:
Şirket tarafından, işlediği kişisel verilerle ilgili olarak alınan idari tedbirler aşağıda sayılmıştır:
İlgili mevzuatta öngörülen süre ya da işlendikleri amaç için gerekli olan saklama süresinin sonunda kişisel veriler, Şirket tarafından resen veya ilgili kişinin başvurusu üzerine yine ilgili mevzuat hükümlerine uygun olarak aşağıda belirtilen tekniklerle imha edilir:
Silme: Kişisel verilerin silinmesi, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.
Yok Etme: Kişisel verilerin yok edilmesi, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.
Anonimleştirme: Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.
Şirket, Kurul tarafından aksine bir karar alınmadıkça, kişisel verileri resen silme, yok etme veya anonim hale getirme yöntemlerinden uygun olanını seçer. İlgili kişinin talebi halinde, uygun yöntemi gerekçesini açıklayarak seçer.
Kişisel veriler, Tablo-3’te belirtilen yöntemlerle silinir.
Tablo-3: Kişisel Verilerin Silinmesi
VERİ KAYIT ORTAMI |
AÇIKLAMA |
Sunucularda Yer Alan Kişisel Veriler |
Sunucularda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler için sistem yöneticisi tarafından ilgili kullanıcıların erişim yetkisi kaldırılarak silme işlemi yapılır.
|
Elektronik Ortamda Yer Alan Kişisel Veriler |
Elektronik ortamda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, veri tabanı yöneticisi hariç diğer çalışanlar (ilgili kullanıcılar) için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir.
|
Fiziksel Ortamda Yer Alan Kişisel Veriler |
Fiziksel ortamda tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler için evrak arşivinden sorumlu birim yöneticisi hariç diğer çalışanlar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. Ayrıca, üzeri okunamayacak şekilde çizilerek/boyanarak/silinerek karartma işlemi de uygulanır.
|
Taşınabilir Medyada Bulunan Kişisel Veriler |
Flash tabanlı saklama ortamlarında tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler, sistem yöneticisi tarafından şifrelenerek ve erişim yetkisi sadece sistem yöneticisine verilerek şifreleme anahtarlarıyla güvenli ortamlarda saklanır. |
Kişisel veriler, Şirketler tarafından Tablo-4’te belirtilen yöntemlerle yok edilir.
Tablo-4: Kişisel Verilerin Yok Edilmesi
VERİ KAYIT ORTAMI |
AÇIKLAMA |
Fiziksel Ortamda Yer Alan Kişisel Veriler |
Kâğıt ortamında yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, kâğıt kırpma makinelerinde geri döndürülemeyecek şekilde yok edilir.
|
Optik / Manyetik Medyada Yer Alan Kişisel Veriler (USB) |
Optik medya ve manyetik medyada yer alan kişisel verilerden saklanmasını gerektiren süre sona erenlerin eritilmesi, yakılması veya toz haline getirilmesi gibi fiziksel olarak yok edilmesi işlemi uygulanır. |
Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.
Kişisel verilerin, veri sorumlusu veya üçüncü kişiler tarafından geri döndürülmesi ve/veya verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekir.
Şirket, aşağıda örneklendirilen kişisel verilerin anonim hale getirilmesi yöntemlerinden biri veya birkaçını verilerin saklandığı ortam veya işleme yöntemine bağlı olarak kullanabilmektedir.
Değer düzensizliği sağlamayan anonim hale getirme yöntemleri |
· Değişkenleri çıkartma · Kayıtları çıkartma · Alt ve üst sınır kodlama · Bölgesel gizleme · Örnekleme |
Değer düzensizliği sağlayan anonim hale getirme yöntemleri |
· Mikro-Birleştirme · Veri Değiş-Tokuşu · Gürültü Ekleme · Tekrar Örnekleme |
Anonim hale getirmeyi kuvvetlendirici istatistik yöntemler |
· K-Anonimlik · L-Çeşitlilik · T-Yakınlık |
Şirket tarafından, faaliyetleri kapsamında işlenmekte olan kişisel verilerle ilgili olarak,
Söz konusu saklama süreleri üzerinde, gerekmesi halinde İrtibat Kişisi tarafından güncellemeler yapılır. Saklama süreleri sona eren kişisel veriler için resen silme, yok etme veya anonim hale getirme işlemi İrtibat Kişisi tarafından yerine getirilir.
Tablo 5: Süreç bazında saklama ve imha süreleri tablosu
SÜREÇ |
SAKLAMA SÜRESİ |
İMHA SÜRESİ |
İş başvuru süreçlerinin yürütülmesi |
Faaliyetin sona ermesini takiben 10 yıl |
Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
İnsan kaynakları süreçlerinin yürütülmesi |
Faaliyetin sona ermesini takiben 10 yıl |
Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
İş sağlığı ve güvenliği süreçlerinin yürütülmesi (İş Sağlığı ve Güvenliği Uzmanı ve İşyeri Hekimi tarafından tutulan kayıtlar) |
İş ilişkisinin sona ermesinden itibaren 15 yıl |
Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
İletişim faaliyetlerinin yürütülmesi |
Faaliyetin sona ermesini takiben 10 yıl |
Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Sözleşme süreçlerinin yürütülmesi |
Sözleşmenin sona ermesini takiben 10 yıl |
Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Finans ve muhasebe işlerinin yürütülmesi |
Faaliyetin sona ermesinden itibaren 10 yıl |
Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Güvenlik kamera kayıtları |
Kaydın tutulmasından itibaren 3 ay |
Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Ziyaretçi kayıtlarının oluşturulması |
Kaydın tutulmasından itibaren 2 yıl |
Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
*İlgili kişi tarafından kişisel verinin silinmesi veya yok edilmesi adına Şirkete başvuruda bulunulması ve talebin Şirket tarafından kabulü halinde, imha işlemi talebin Şirkete ulaştığı tarihten itibaren 30 gün içerisinde gerçekleştirilir.
Yönetmelik’in 11. maddesi gereğince Şirket, periyodik imha süresini 6 ay olarak belirlemiştir. Buna göre, Şirket bünyesinde her yıl Haziran ve Aralık aylarında periyodik imha işlemi gerçekleştirilir.
Politika, ıslak imzalı (basılı kâğıt) ve internet sitesinde olmak üzere iki farklı ortamda yayımlanır. Basılı kağıt nüsha İnsan Kaynakları Birimi tarafından saklanır.
S.N |
Eski Rev No - Tarih |
Revizyon Detayı |
|
|
|
HAZIRLAYAN
Firdevs KOCAMAN Yön. Sek. ve Dök. Personeli |
KONTROL EDEN
Burak DOĞANAY Kurumsal Gelişim Müdürü |
ONAYLAYAN
Hülya GÜZEY İstiklal HASIRİPİ Finans ve İd. İşl. Md. Muhasebe ve İ.K Müd. |
KYS gereği güncel dokümanlar, elektronik ortamda bulunmaktadır. Sistemden basılan dokümanlar Kontrolsüz Kopya hükmündedir. Güncel dokümanları basılı olarak bulundurmak isteyenler, Kurumsal Gelişim Müdürü’ nden Kontrollü Kopyalarını temin edebilirler. |
İşbu Özel Nitelikli Kişisel Veri Güvenliği Politikası (“Politika”), ANKARA BEŞER ECZA DEPOSU VE İLAÇ PAZARLAMA ANONİM ŞİRKETİ (“Şirket”)’in veri kayıt ortamlarında yer alan özel nitelikli kişisel verilerin kullanımına ve korunmasına ilişkin iş ve işlemler konusunda usul ve esasları belirlemek amacıyla hazırlanmıştır.
Şirketimiz; çalışanlarına, çalışan adaylarına, ortaklarına, tedarikçilerine ve mal ve hizmet alıcılarına ait özel nitelikli kişisel verilerin, T.C. Anayasası, uluslararası sözleşmeler, 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) ve diğer ilgili mevzuata uygun olarak işlenmesini ve ilgili kişilerin haklarını etkin bir şekilde kullanmasının sağlanmasını öncelik olarak belirlemiştir.
“Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler” ile ilgili Kişisel Verileri Koruma Kurulu’nun 31/01/2018 tarihli ve 2018/10 sayılı Kararı doğrultusunda özel nitelikli kişisel verilerin kullanımına ve korunmasına ilişkin iş ve işlemler, Şirketimiz tarafından bu doğrultuda hazırlanmış olan işbu Politikaya uygun olarak gerçekleştirilmektedir.
Şirketimiz, 6698 sayılı Kanun ve ilgili alt mevzuata uygun olarak, aydınlatma yükümlülüğünü yerine getirerek ve gerekmesi halinde açık rıza teminiyle çalışanlarına, çalışan adaylarına, ortaklarına, tedarikçilerine ve mal ve hizmet alıcılarına ait özel nitelikli kişisel verileri işlemektedir. Şirketimiz bünyesinde özel nitelikli kişisel verilerin işlendiği tüm veri kayıt ortamları ve özel nitelikli kişisel veri işlenmesine yönelik faaliyetlerde bu Politika uygulanmaktadır.
Özel Nitelikli Kişisel Veri |
Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri |
Veri Kayıt Ortamı |
Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi
|
Ceza Mahkûmiyeti ve Güvenlik Tedbirleri |
Kişiler hakkında yerli ve yabancı yargı makamları tarafından verilen adli para ve hapis cezası kararı, erteleme kararı ve güvenlik tedbiri kararına ilişkin bilgi |
Sağlık Bilgileri |
Kişilerin hastalık ve engel durumlarını gösterir her tür bilgi
|
Özel nitelikli kişisel verilerin güvenliği, sorumlu birim ya da veri işleyen(ler) tarafından sağlanmaktadır:
Veri Kategorisi |
İlgili Kişi |
Sorumlu Birim/Kişi |
Kayıt Ortamı |
Süreç ve Açıklama |
Sağlık Bilgileri |
Çalışan |
İşyeri Hekimi |
İşyeri Hekimi Dolapları (Sağlık durumu bilgileri, işe giriş ve periyodik muayene formları, sağlık raporları) İşyeri hekiminin erişimine açık bulunan elektronik ortamdaki dosyalar |
Çalışanın sağlık bilgileri iş sağlığı ve güvenliğinin sağlanması ile mevzuattan kaynaklanan yükümlülüklerin yerine getirilmesi amacıyla işlenir ve aktarılır. Şuur kaybı gibi fiili imkânsızlık hallerinde bu bilgiler özel hayata saygı ilkesi gözetilerek çalışan yakınına ve yetkili resmi makamlara aktarılır. |
Sağlık Bilgileri |
Çalışan |
İSG Uzmanı |
İşyeri Hekimi ve İSG Uzmanı Dolapları (İş Kazası Tespit Tutanakları) İşyeri hekimi ve İSG uzmanının erişimine açık bulunan elektronik ortamdaki dosyalar |
Çalışanın sağlık bilgileri iş sağlığı ve güvenliğinin sağlanması ile mevzuattan kaynaklanan yükümlülüklerin yerine getirilmesi (iş kazası kapsamında yapılacak bildirimler başta olmak üzere) amacıyla işlenir ve aktarılır. Şuur kaybı gibi fiili imkansızlık hallerinde bu bilgiler özel hayata saygı ilkesi gözetilerek çalışan yakınına ve yetkili resmi makamlara aktarılır. |
Ceza Mahkûmiyeti ve Güvenlik Tedbiri |
Çalışan |
İnsan Kaynakları |
İnsan Kaynakları Birim Dolaplarında Personel Özlük Dosyası İçerisinde (Adli Sicil Kaydı)
|
Çalışana ait adli sicil kaydı; iş başvurusu kabul edilen çalışan adayının mevcut bir suçtan dolayı fiilen aranmadığını teyit, iş sözleşmesinin kurulması ve ifası kapsamında yeterliliğe sahip olup olmadığının tespit ve yasal mevzuattan kaynaklı yükümlülüklerin yerine getirilmesi amaçlarıyla işe giriş esnasında temin edilir ve İnsan Kaynakları birim dolapları içerisinde saklanır. |
Veri güvenliğine ilişkin tedbirler işbu Politikayla ve haricen İnsan Kaynakları tarafından belirlenmektedir. Özel nitelikli kişisel verilere sorumlu birim dışında üçüncü kişiler tarafından erişim sağlanamamaktadır.
Özel durumlarda talepte bulunan birim ve/veya kişilere, gerekli görülmesi halinde, sorumlu birim tarafından özel nitelikli kişisel verilere ilişkin “uygundur/uygun değildir” şeklinde genel bir açıklama yapılabilmektedir.
Özel nitelikli kişisel verilerin bulunduğu veri kayıt ortamları, yine özel durumlarda sorumlu birimin refakatinde incelenebilmekte olup; bu verileri ihtiva eden belge ve kayıtların çoğaltılması mümkün değildir. Söz konusu incelemelerde temin edilen özel nitelikli kişisel veriler başkaca kayıt ortamlarına aktarılamamaktadır.
Resmi kurum ve kuruluşlara kanuni zorunluluk nedeniyle yapılacak aktarımlar ve Kanun ile izin verilen haller dışında, özel nitelikli kişisel veriler üçüncü kişi/kurumlara doğrudan ilgili kişinin talebi ya da onayı olmaksızın aktarılmamaktadır.
Kişisel veri aktarımları:
Politika, ıslak imzalı (basılı kağıt) ve internet sitesinde olmak üzere iki farklı ortamda yayımlanır. Basılı kağıt nüsha İnsan Kaynakları tarafından saklanır.
S.N |
Eski Rev No - Tarih |
Revizyon Detayı |
|
|
|
HAZIRLAYAN
Firdevs KOCAMAN Yön. Sek. ve Dök. Personeli |
KONTROL EDEN
Burak DOĞANAY Kurumsal Gelişim Müdürü |
ONAYLAYAN
Hülya GÜZEY İstiklal HASIRİPİ Finans ve İd. İşl. Md. Muhasebe ve İ.K Müd. |
KYS gereği güncel dokümanlar, elektronik ortamda bulunmaktadır. Sistemden basılan dokümanlar Kontrolsüz Kopya hükmündedir. Güncel dokümanları basılı olarak bulundurmak isteyenler, Kurumsal Gelişim Müdürü’ nden Kontrollü Kopyalarını temin edebilirler. |
İşbu Kişisel Veri İhlali Müdahale Planı (“Plan”), Kişisel Verileri Koruma Kurulu’nun (“Kurul”) 24.01.2019 tarih ve 2019/10 sayılı kararı doğrultusunda; ANKARA BEŞER ECZA DEPOSU VE İLAÇ PAZARLAMA ANONİM ŞİRKETİ (“Şirket”) olarak tarafımızca işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde Şirket bünyesinde yapılması gerekli iş ve işlemler konusunda usul ve esasları belirlemek amacıyla hazırlanmıştır.
Şirket bünyesinde ortaya çıkabilecek her tür kişisel veri ihlali, işbu Plan kapsamındadır.
Kişisel veri ihlali; iletilen, saklanan veya sair şekilde işlenen kişisel verilerin kazara veya hukuka aykırı yollarla imha edilmesi, kaybı, değiştirilmesi, yetkisiz şekilde açıklanması veya bunlara erişime yol açan bir güvenlik açığı şekillerinde ortaya çıkabilen ihlallerdir. Aşağıda yer alan durumlar genel olarak kişisel veri ihlali olarak nitelendirilir:
Yukarıda örnek olarak yer verilen durumlar ve sair şekillerde ortaya çıkabilecek kişisel veri ihlallerinde işbu Plan’da belirtilen şekilde aksiyon alınması gereklidir.
Bu sürecin yürütülmesi ve yönetilmesinden aşağıda detayları açıklandığı şekilde İrtibat Kişisi, Birim Yöneticileri ve İnsan Kaynakları Müdürü sorumludur.
Veri ihlaline ilişkin Şirket bünyesinde yürütülen süreçlerde tüm çalışanlar İrtibat Kişisine ve İnsan Kaynakları Birimine gerekli tüm yardım ve desteği sağlamakla yükümlüdür.
Şirket’in, kişisel veri ihlalini öğrendiği tarihten itibaren gecikmeksizin ve en geç 72 saat içinde ihlali Kurul’a bildirmesi ve veri ihlalinden etkilenen kişilerin belirlenmesini müteakip ilgili kişilere de makul olan en kısa süre içerisinde ilgili kişinin iletişim adresine ulaşılabiliyorsa doğrudan, ulaşılamıyorsa Şirket’in kendi internet sitesi üzerinden yayımlanması gibi uygun yöntemlerle bildirim yapılması gerekmektedir.
Söz konusu yükümlülüklerin yerine getirilebilmesi ve kişisel veri ihlalinin etkilerinin en aza indirgenmesi amacıyla, olası bir veri ihlali durumunda aşağıda yer verilen sürecin takip edilmesi gerekmektedir:
Kişisel verilerin korunmasına dair aldığı eğitimler doğrultusunda Şirket bünyesinde gerçek veya potansiyel bir kişisel veri ihlali tespit eden çalışan, söz konusu ihlali derhal (aynı iş günü içinde) birim sorumlusuna ve İrtibat Kişisine bildirmekle yükümlüdür. İhlalin birim sorumlusuna bildirilmesi üzerine, ilgili çalışan ve birim sorumlusu, İrtibat Kişisine sunulmak üzere bir Kişisel Veri İhlali Tespit Raporu hazırlar. Anılan raporda asgari olarak;
hususlarına yer verilir.
Bu kapsamda hazırlanan Kişisel Veri İhlali Tespit Raporu gecikmeksizin ve en geç ihlalin tespit edildiği andan itibaren 24 saat içinde İrtibat Kişisine sunulur.
Kişisel veri ihlali tespit eden veya Kişisel Veri İhlali Tespit Raporunu teslim alan İrtibat Kişisi, rapor kapsamında belirtilen hususları dikkate alarak bir ön değerlendirme yapar. Bu değerlendirmeyi yaparken, gerçekten bir veri ihlalinin söz konusu olup olmadığını, ihlalin kapsamını ve oluşabilecek etkilerini de göz önünde bulundurarak, İnsan Kaynakları Birimi ile birlikte veri ihlalinin araştırılması için kapsamlı bir soruşturma başlatır.
İrtibat Kişisi tarafından eş zamanlı olarak, İnsan Kaynakları Birimi ve ihlalin gerçekleştiği birim sorumlusu veri ihlaline ilişkin gerçekleştirilecek toplantıya çağrılır. Gerekli görülmesi halinde Bilgi İşlem Sorumlusu Personel ve Hukuk Danışmanı da toplantıya katılır. Aşağıda yer verilen tüm süreçler, toplantıya katılım gerçekleştiren çalışanlar tarafından birlikte yürütülür.
Veri ihlalinin Şirket ve ilgili kişiler üzerindeki etkilerinin azaltılabilmesi için önleme ve kurtarma çalışmaları İrtibat Kişisinin gözetiminde yürütülür. Bu kapsamda öncelikle, veri ihlalinden haberdar edilmesi gereken birimler tespit edilir ve bu kişilere ihlalin kontrol edilebilmesi, mümkünse engellenebilmesi ve zararların azaltılabilmesi için atılması gereken adımlara ilişkin rehberlik edilir.
Eş zamanlı olarak, veri ihlalinden etkilenebilecek kişilerin ve veri türlerinin neler olduğu tespit edilmeye çalışılır, veri ihlalinden etkilenebilecek kişilerin iletişim bilgileri belirlenir, veri ihlali nedeniyle haberdar edilmesi gereken başka kurum ya da kuruluşlar olup olmadığı değerlendirilir.
İrtibat Kişisi ve İnsan Kaynakları Birimi tarafından kişisel veri ihlalinin mevcut ve muhtemel sonuçları ve ilgili kişiler üzerinde oluşturabileceği etkilere ilişkin olarak risk değerlendirmesi yapılır. Risklerin değerlendirilmesinde, ihlalden etkilenen kişisel verilerin niteliği, hassasiyeti ve miktarı ile etkilenen bireylerin sayısı ve kişi gruplarının kimler olduğu, veri ihlalinin Şirket faaliyetleri ile itibarına olan etkisi, veri ihlalinin etkisinin azaltılmasında alınan önlemler ve ihlalin olası sonuçları dikkate alınır. Bu doğrultuda yapılan değerlendirme neticesinde, kişisel veri ihlalinin kaçıncı kademe ihlal niteliği taşıdığı belirlenir;
Veri ihlalinin gerek hukuki yükümlülük kapsamında gerekse veri ihlaline ilişkin tedbir alınması, ihlalin olası etkilerinin azaltılması gibi amaçlarla Şirket dışında üçüncü kişilere bildirilmesi gerekmektedir.
Kişisel veri ihlali, Şirket’in bu durumu öğrendiği tarihten itibaren gecikmeksizin ve en geç 72 saat içerisinde Kurul’a bildirilir. Anılan bildirim İrtibat Kişisi tarafından gerçekleştirilir.
Kurul’a yapılacak bildirimde Kişisel Verileri Koruma Kurumu’nun (“Kurum”) internet sitesinde yayımlanmış olan Kişisel Veri İhlali Başvuru Formu kullanılır. Formda yer alan bilgilerin aynı anda sağlanmasının mümkün olmadığı hallerde, bu bilgiler gecikmeye mahal verilmeksizin aşamalı olarak da sağlanabilir.
Haklı bir gerekçe ile 72 saat içerisinde Kurul’a bildirim yapılamaması durumunda, yapılacak bildirimle birlikte gecikmenin nedenleri de Kurul’a açıklanır.
Şirket, kişisel veri ihlalinden etkilenen kişilerin belirlenmesini müteakip ilgili kişilere de makul olan en kısa süre içerisinde, ilgili kişinin iletişim adresine ulaşılabiliyorsa doğrudan, ulaşılamıyorsa internet sitesi üzerinden duyuru yayımlanması gibi uygun yöntemlerle bildirim yapar. Söz konusu bildirimler, İrtibat Kişisi tarafından gerçekleştirilir.
Veri sorumlusu tarafından ilgili kişiye yapılan veri ihlali bildiriminde yer alması gereken asgari unsurlara ilişkin Kurul’un 18.09.2019 tarih ve 2019/271 sayılı Kararı uyarınca; Şirket tarafından ilgili kişiye yapılacak olan ihlal bildiriminin açık ve sade bir dille yapılması ve asgari olarak;
unsurlarını içermesi gerekmektedir.
Yukarıda yer verilen bildirimlerin yanı sıra, veri ihlalinin niteliği, büyüklüğü, ihlalin suç teşkil edip etmediği gibi hususlar göz önünde bulundurularak Şirket tarafından diğer veri sorumluları ya da veri işleyenler, tedarikçiler, mal ve hizmet alıcıları, adli makamlar, noterler, bankalar vb. gibi üçüncü kişilere de bildirim yapılması gerekebilir. İrtibat Kişisi ve İnsan Kaynakları Birimi, böyle bir gereklilik olup olmadığını ayrıca değerlendirir ve gerekli ise bildirimleri yapar.
Şirket tarafından kişisel veri ihlallerine ilişkin tüm bilgiler, etkiler ve alınan önlemler kayıt altına alınır ve Kurul’un incelemesine hazır halde bulundurulur. İrtibat Kişisi ve İnsan Kaynakları Birimi, veri ihlaline ilişkin atılan adımların uygun olup olmadığını ve olası bir veri ihlalinde geliştirilebilecek/iyileştirilebilecek hususların neler olabileceğini belirlemek adına bir değerlendirme yapar. Bu kapsamda İnsan Kaynakları Birimi desteği ile İrtibat Kişisi, aşağıdaki unsurları içerir bir değerlendirme ve iyileştirme raporu hazırlar:
Kişisel veri ihlaline ilişkin olarak yürütülen süreçlerde gerçekleştirilmesi gerekli iş ve işlemlerin takibi adına, işbu Plan ekinde yer alan Kişisel Veri İhlali Kontrol Listesinden yararlanılır.
İşbu Plan’da belirtilen yükümlülüklerini yerine getirmeyen çalışan hakkında İşyeri Disiplin Prosedürü hükümleri uygulanır.
İşbu Plan, ıslak imzalı (basılı kağıt) ve internet sitesinde olmak üzere iki farklı ortamda yayımlanır. Basılı kağıt nüsha İnsan Kaynakları tarafından saklanır.
S.N |
Eski Rev No - Tarih |
Revizyon Detayı |
|
|
|
HAZIRLAYAN
Firdevs KOCAMAN Yön. Sek. ve Dök. Personeli |
KONTROL EDEN
Burak DOĞANAY Kurumsal Gelişim Müdürü |
ONAYLAYAN
Hülya GÜZEY İstiklal HASIRİPİ Finans ve İd. İşl. Md. Muhasebe ve İ.K Müd. |
KYS gereği güncel dokümanlar, elektronik ortamda bulunmaktadır. Sistemden basılan dokümanlar Kontrolsüz Kopya hükmündedir. Güncel dokümanları basılı olarak bulundurmak isteyenler, Kurumsal Gelişim Müdürü’ nden Kontrollü Kopyalarını temin edebilirler. |
EK: KİŞİSEL VERİ İHLALİ KONTROL LİSTESİ
NO |
KONTROL LİSTESİ |
Tamamlandığında işaretleyiniz |
1 |
Kişisel verilere ilişkin herhangi bir ihlal yaşandı mı veya ihlal yaşandığından şüpheleniliyor mu? |
|
2 |
İhlal halen devam etmekte mi? |
|
3 |
İhlalin nasıl tespit edildiği kayıt altına alındı mı? |
|
4 |
İhlali tespit eden kişi veya sistem kayıt altına alındı mı? |
|
5 |
İhlale ait ilk tespitin tarih ve saati kayıt altına alındı mı? |
|
6 |
İhlal hakkında temel bilgiler kayıt altına alındı mı? |
|
7 |
İhlalle ilgili aksiyonları alacak kişiler bilgilendirildi mi? |
|
8 |
Kişisel veri ihlaline ilişkin toplantı yapıldı mı? |
|
9 |
İhlal tespit eden ve ihlalden etkilenen çalışanlarla mülakatlar yapılıp onlardan ihlalle ilgili mümkün olduğunca detaylı bilgi alındı mı? |
|
11 |
İhlale dahil olan kişilerin veya sistemlerin konumu kayıt altına alındı mı? |
|
12 |
Hangi kişilerin, kişisel verilerin ve sistemlerin etkilendiği kayıt altına alındı mı? |
|
14 |
Etkilenen sistemler kurum ağından izole edildi mi? |
|
15 |
Hedef olan sistemlerin; adı, iletişim sistemi, IP adresi, ağ üzerindeki konumu, fiziksel konumu ve kullanım amacı kayıt altına alındı mı? |
|
16 |
Halen tehlike altında olan sistemler veya veriler var ise bunlar kayıt altına alındı mı? |
|
19 |
İhlalin nedenlerinin ve kaynaklarının soruşturulması sırasında Bilgi İşlem incelemesi yapıldı mı? Bilgi işlem notları: ................................................................................................................. ................................................................................................................................................................................................................................................................................................................................................... .................................................................................................................
|
|
20 |
Elde edilen verilerin sadece erişim yetkisi olan kişilerin ulaşabildiği, giriş-çıkışları kontrol altında olan bir alanda tutulması sağlandı mı? |
|
21 |
İhlalin Şirkette yol açtığı genel ve finansal etkiler tespit edildi mi? |
|
22 |
İhlalden kişisel veriler etkilendiyse, etkilenen veriler ve verileri etkilenen kişiler tespit edildi mi? |
|
23 |
İhlalin tekrarlanmaması için alınacak önlemler belirlendi mi? |
|
24 |
Etkilenen sistemler ihlal öncesindeki sağlıklı yapıya döndürüldü mü? |
|
25 |
Veri ihlalinin engellenmesi adına Şirket politikaları/prosedürlerinde güncelleme yapılması gerekliliği bulunmakta mı? Cevap “evet” ise yapılması gerekli güncellemelere ilişkin notlar: .................................................................................................................................................................................................................................................................................................................................................................................................................................................................... |
|
26 |
Veri ihlalinin engellenmesi adına Şirket sistemlerinde iyileştirme yapılması gerekliliği bulunmakta mı (sistem, yazılım, anti-virüs yazılımı güncellemeleri, şifrelere ilişkin iyileştirmeler vb. gibi)? Cevap “evet” ise yapılması gerekli iyileştirmelere ilişkin notlar: .................................................................................................................................................................................................................................................................................................................................................................................................................................................................... |
|
27 |
Veri ihlalinin engellenmesi adına, kişisel veri işlenen sistemlerin korunması için fazladan tedbir alınması gerekmekte mi? Cevap “evet” ise alınması gerekli ek tedbirler: .................................................................................................................................................................................................................................................................................................................................................................................................................................................................... |
|
28 |
İhlal nedeniyle kişisel veriler kanuni olmayan yollarla başkaları tarafından elde edildi mi? Cevap “evet” ise; |
|
28.1 |
Durumun Şirket tarafından öğrenildiği tarihten itibaren en geç 72 saat içinde Kurul’a bildirim yapıldı mı? |
|
28.2 |
Veri ihlalinden etkilenen kişilerin belirlenmesini müteakip ilgili kişilere makul olan en kısa süre içerisinde bildirim yapıldı mı? |
|
29 |
Veri ihlaline ilişkin üçüncü kişilere bildirim yapılması gerekmekte mi? Cevap “evet” ise gerekli bildirimler yapıldı mı? .................................................................................................................................................................................................................................. .................................................................................................................................................................................................................................. |
|
İşbu İlgili Kişi Başvuru Süreçleri Prosedürü (“Prosedür”), 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) ve Kanun’un ikincil düzenlemesini teşkil eden Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ (“Tebliğ”) uyarınca yükümlülüklerimizi yerine getirmek ve ilgili kişinin Kanun kapsamında haklarını kullanması suretiyle ANKARA BEŞER ECZA DEPOSU VE İLAÇ PAZARLAMA ANONİM ŞİRKETİ (“Şirket”)’e gerçekleştireceği başvuruların yanıtlanmasına ilişkin usul ve esasları belirlemek amacıyla hazırlanmıştır.
Şirketimizin kişisel veri işlediği iş süreçlerine dahil olan gerçek kişilerin, Kanun’un 11. maddesi kapsamında sayılan aşağıda belirtilen haklarına ilişkin alınan başvurularının yönetimi ve yanıtlanması işbu Prosedür kapsamındadır:
Kanun |
: |
6698 sayılı Kişisel Verilerin Korunması Kanunu |
İlgili Kişi |
: |
Kişisel verisi işlenen gerçek kişi |
İmha |
: |
Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi |
İrtibat Kişisi |
: |
Türkiye’de yerleşik olan tüzel kişiler ile Türkiye’de yerleşik olmayan tüzel kişi veri sorumlusu temsilcisinin Kanun ve bu Kanuna dayalı olarak çıkarılacak ikincil düzenlemeler kapsamındaki yükümlülükleriyle ilgili olarak, Kurum ile kurulacak iletişim için veri sorumlusu tarafından Sicile kayıt esnasında bildirilen gerçek kişi |
Kişisel Veri |
: |
Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi |
Kişisel Veri İşleme Envanteri |
: |
Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanteri |
Kişisel Verilerin İşlenmesi |
: |
Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi |
Kurul |
: |
Kişisel Verileri Koruma Kurulunu |
Kurum |
: |
Kişisel Verileri Koruma Kurumunu |
Özel Nitelikli Kişisel Veri |
: |
Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri |
Prosedür |
: |
İlgili Kişi Başvuru Süreçleri Prosedürü |
Tebliğ |
: |
Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ |
Veri İşleyen |
: |
Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi, |
Veri Sorumlusu |
: |
Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi |
Bu sürecin yürütülmesi ve yönetilmesinden aşağıda detayları açıklandığı şekilde İnsan Kaynakları Müdürü sorumludur.
Bu prosedüre ilişkin Şirket bünyesinde yürütülen süreçlerde tüm çalışanlar İnsan Kaynakları Birimine gerekli tüm yardım ve desteği sağlamakla yükümlüdür.
Başvuruların alınması, değerlendirilmesi ve yanıtlanması süreçlerinden oluşan ilgili kişi Başvuru Sürecinin Yönetiminde aşağıdaki adımlar takip edilir:
Adım 1: Tablo-1’de belirtilen şekillerde iletilen ilgili kişi başvurularının, İlgili Kişi Başvuru Formu (EK-2) ile alınabilmesi için başvuruyu teslim alan birim çalışanı tarafından, ilgili kişiye gerekli yönlendirmeler yapılır. (Özellikle telefon araması ile alınan talepler bakımından bu adım geçerlidir.)
Adım 2: Başvuruyu teslim alan ilgili çalışan, teslim aldığı başvuruyu en kısa sürede (aynı iş günü içerisinde ve eğer mümkün değilse, en geç iki iş günü içinde) İrtibat Kişisine iletir. İrtibat Kişisi ve ilgili kişi başvuru süreçlerinde görevli birim/birimler, en kısa sürede (aynı iş günü içerisinde ve eğer mümkün değilse, en geç iki iş günü içinde) Yapılacaklar Listesi (EK-1) kontrol ederek ilgili kişi başvurusunun içeriğini değerlendirir. Bu kapsamda, ilgili kişinin kimlik doğrulamasını yapar ve talep konusunu belirleyerek talebin muhatabı ilgili birime süreç yönlendirilir.
Adım 3: İrtibat Kişisi ve talebin muhatabı ilgili birim tarafından başvurunun yanıtlanması için gerekli bilgi ve belge toplanır ve İlgili Kişi Başvuruları Cevap Yazısı Örneği (EK-3)’nde belirtilen hususlara dikkat edilerek başvuru yanıtlanır. İrtibat Kişisi tarafından yapılan değerlendirmeye istinaden gerekli görülmesi halinde süreç Hukuk Danışmanına yönlendirilir ve başvurunun alınmasından itibaren 30 gün içerisinde ilgili kişinin talebi yanıtlanır.
Şirketin tüm birimleri ve çalışanları, Prosedür kapsamında ilgili kişi başvurularının alınması ve süreçlerin yürütülmesinde İrtibat Kişisine aktif olarak destek verir ve gerekli işbirliğini sağlar.
İlgili kişi başvuruları, yazılı, sözlü ve/veya elektronik ortamda iletilebilecek olup başvurunun şekline göre ilgili kişi başvuru sürecinde görev alanların unvanları, birimleri ve görev tanımlarına ilişkin dağılım ve açıklama Tablo 1’de açıklanmaktadır:
Tablo 1: İlgili kişi başvuru süreçleri görev dağılımı
BAŞVURU ŞEKLİ |
UNVAN / BİRİM |
GÖREV VE SORUMLULUK |
Başvurunun yazılı olarak fiziken iletimi |
Dokümantasyon ve Yönetici Asistanı |
Başvurunun teslim alınması ve Başvuru Sürecinin Yönetiminde belirtilen adımların takip edilmesinde kendisine tanımlanacak görevlendirme kapsamında gerekli işbirliğinin sağlanmasından sorumludur.
|
Başvurunun noter kanalıyla veya iadeli taahhütlü mektupla iletimi |
Dokümantasyon ve Yönetici Asistanı |
|
Başvurunun Şirket’in kayıtlı elektronik posta (KEP) adresine iletimi |
Dokümantasyon ve Yönetici Asistanı |
|
Başvurunun telefon araması ile iletimi |
Dokümantasyon ve Yönetici Asistanı |
|
Güvenli elektronik imza, mobil imza ya da (varsa) ilgili kişinin Şirket sistemlerinde kayıtlı bulunan elektronik posta adresi kullanılarak başvurunun Şirket e-posta adresine iletimi (kvkk@beserecza.com adresi üzerinden) |
İrtibat Kişisi ve Dokümantasyon ve Yönetici Asistanı |
Başvuruyu teslim alan ilgili çalışan, teslim aldığı başvuruyu en kısa sürede (aynı iş günü içerisinde ve eğer mümkün değilse, en geç iki iş günü içinde) İrtibat Kişisine iletir. İlgili kişi başvurularının içeriği incelenirken İrtibat Kişisi tarafından aşağıdaki adımlar izlenir:
İlgili kişi taleplerinin değerlendirilebilmesi için öncelikle başvuruyu yapan kişinin Şirket nezdinde işlenen kişisel verilerin sahibi (ilgili kişi) olup olmadığı tespit edilir.
İlgili kişi başvurusunun işleme alınabilmesi ve doğru kişinin talebinin yerine getirilebilmesi için Tebliğ madde 5 (2) uyarınca, Tablo-1’de belirtilen şekillerde iletilen ilgili kişi başvurularında asgari olarak,
bulunması zorunludur. Bu unsurları taşımayan başvurular, Tebliğ’e ve kimliğin doğrulanamadığı gerekçesine dayalı olarak reddedilir.
İlgili kişi başvurusunun İlgili Kişi Başvuru Formu (EK-2) aracılığıyla iletilmesi halinde, bilgilerin tam, eksiksiz ve doğru olduğu Şirketin elektronik ve elektronik olmayan ortamlarında kontrol edilir.
İlgili kişi başvurusunun İlgili Kişi Başvuru Formu doldurulmadan iletilmesi halinde, başvuru yapan kişinin kimlik tespitinin yapılamadığı durumlarda kişiden yazılı olarak ek bilgi ya da belge talep edilir ve bu bilginin sağlanması akabinde başvuru değerlendirilmeye alınır.
Kimlik tespitinin yapılamadığı durumlarda, İlgili Kişi Başvuru Formu doldurulması ve/veya ek bilgi ve belge talep edilir. Formun doldurulmaması ve/veya talep edilen bilgi ve belgelerin iletilmemesi halinde, başvuru usule uyulmadığı gerekçesiyle reddedilir.
İlgili kişinin Kanun’un 11. maddesi kapsamında talebi, İrtibat Kişisi tarafından tespit edilir ve başvuru en kısa süre içerisinde (mümkünse aynı gün, değilse en geç iki iş günü içerisinde) talep konusunun muhatabı ilgili birime yönlendirilir.
İlgili kişi başvuruları, doğrudan ilgili kişinin kendisi tarafından iletilebileceği gibi üçüncü kişiler tarafından da iletilebilir.
İlgili kişinin veli ve/veya vasisi olan yasal temsilci tarafından yapılan başvurular bakımından işbu Prosedür’de belirtilen hususlar geçerli olup temsilcinin yetkisini belirleyen belgelerin suretleri talep edilir.
İlgili kişinin vekil aracılığıyla yaptığı başvurular bakımından işbu Prosedür’de belirtilen hususlar geçerli olup avukatın yetkisini gösterir vekâletnamenin sureti talep edilir.
İlgili kişinin, Şirketin ticari ilişki içerisinde bulunduğu üçüncü kişilere (tedarikçi/mal veya hizmet alıcısı/iş ortağı vb.) ilettiği üçüncü kişiyi ilgilendiren talepler bakımından Şirket ile üçüncü kişiler arasındaki sözleşme ve protokoller esas alınır. Bu şekilde alınan başvurular bakımından öncelikle Şirket ile üçüncü kişi arasındaki sözleşme ve/veya protokol hükümleri kontrol edilir. Şirket, ilgili sözleşme ve/veya protokolde kararlaştırılan süre ve en geç 30 gün içerisinde Kanun ve ilgili sair mevzuata uygun şekilde ilgili kişi taleplerinin yanıtlanabilmesi için üçüncü kişiler ile gerekli işbirliğini yapar.
Şirketin ticari ilişki içerisinde bulunduğu üçüncü kişilere (tedarikçi/mal veya hizmet alıcısı/iş ortağı vb.) ilettiği başvurular bakımından ise, üçüncü kişinin ilgili sözleşme ve/veya protokolde kararlaştırılan süre veya Şirketin başvuruyu yanıtlayacağı 30 günlük süre içerisinde gerekli bilgi, belge ve işbirliğini sağlaması kontrol edilir.
İlgili kişi başvurularının yanıtlanması, Başvuru Sürecinin Yönetimi kapsamında başvurunun ilgili kişinin talebine uygun olarak değerlendirilerek yanıtlandırılmasını içermektedir.
İrtibat Kişisi tarafından incelenecek başvurular bakımından öncelikle kimlik doğrulaması yapılarak ilgili kişinin başvuru yapmaya yetkili olup olmadığı ve başvurunun muhatabı ilgili birim tespit edilir. (Başvuru Sürecinin Yönetimi Adım-3)
Akabinde, ilgili kişi başvurusu, ilgili kişi hakları bakımından İrtibat Kişisi ve ilgili birim tarafından aşağıdaki gibi değerlendirilerek yanıtlanır:
İlgili kişi talebine konu hususlar, Kişisel Veri İşleme Envanterinde (ilgili iş süreci, işlenen kişisel veriler, veri kategorisi, kişisel veri işleme amaçları, kişisel verilerin aktarıldığı alıcı grupları) ilgili birim tarafından tespit edilir ve talep ile eşleştirilir.
Eğer ilgili süreçte ilgili kişinin talebinde belirttiği hususları içerir bilgiye rastlanmıyorsa, talep bu değerlendirme sonucu İlgili Kişi Başvuruları Cevap Yazısı Örneği (EK-3) formatında ilgili kısımlar doldurularak aşağıdaki gibi yanıtlanır:
“Şirketimizin Kişisel Veri İşleme Envanteri incelenmiş olup ilgili kişi hakkında talep konusu süreç kapsamında kişisel veri işlenmemektedir.”
Eğer ilgili süreçte ilgili kişinin talebinde belirttiği hususları içerir bilgiye rastlanıyorsa, talep bu değerlendirme sonucu İlgili Kişi Başvuruları Cevap Yazısı Örneği (EK-3) formatında ilgili kısımlar doldurularak yanıtlanır.
İlgili kişi talebinde düzeltilmesi talep edilen hususlar, Kişisel Veri İşleme Envanterinde kontrol edilir; ilgili kişi tarafından sağlanan bilgi ve belgeler ile karşılaştırılır ve hatalı ya da eksik olan hususlar incelenir.
Eğer ilgili kişinin kişisel verilerin düzeltilmesine ilişkin talebi, aktarılan alıcı gruplarını da içeriyorsa, bu talep mümkün olan en kısa süre içerisinde aktarım yapılan üçüncü kişilere bildirilir.
Eğer talep konusu bilgi ve belgeler aracılığıyla sistemde hatalı ya da eksik hususlar bulunduğu tespit ediliyorsa, ilgili kayıtların düzeltilmesi not alınır ve gerekli düzeltme Bilgi Teknolojileri biriminin de desteği ile sağlanır. İlgili kişi talebi, bu değerlendirme sonucu İlgili Kişi Başvuruları Cevap Yazısı Örneği (EK-3) formatında ilgili kısımlar doldurularak aşağıdaki gibi yanıtlanır:
“İlgili kişi başvurunuz incelenmiş olup başvurunuzda ilettiğiniz bilgi ve belgelere istinaden sistemlerimizden kontrolünü gerçekleştirdiğimiz kişisel verileriniz güncellenmiş (ve anılan güncellemeye ilişkin olarak kişisel verilerinizin aktarıldığı üçüncü kişilere gerekli bildirimler yapılmıştır.)”
Eğer talep konusu bilgi ve belgeler aracılığıyla sistemde hatalı ya da eksik hususlar bulunmadığı tespit ediliyorsa, ilgili kişiden ek bilgi talep edilebilir veya talep, gerekçesi ile birlikte İlgili Kişi Başvuruları Cevap Yazısı Örneği (EK-3) formatında ilgili kısımlar doldurularak ve sistemdeki kayıtların bir örneği sunularak yanıtlanır.
Silme/yok etme talebine konu kişisel verilere ilişkin, Kişisel Veri İşleme Envanteri’nde “ilgili iş süreci, saklama süresi ve aktarılan alıcı grupları” kısımları ilgili birim tarafından kontrol edilir; akabinde, “Kişisel Veri Saklama ve İmha Politikası”nda “imhayı gerektiren sebepler” kısmı ile talep konusu kişisel veriler değerlendirilir. İmhayı gerektirir hususların değerlendirilmesinde gerekli görülmesi halinde Hukuk Danışmanının görüşü alınır.
Eğer ilgili kişinin silme/yok etme talebi, aktarılan alıcı gruplarını da içeriyorsa, bu talep mümkün olan en kısa süre içerisinde aktarım yapılan üçüncü kişilere bildirilir.
Eğer “imhayı gerektiren sebepler” bakımından saklamayı gerektiren herhangi bir sebep bulunmuyorsa, ilgili kişinin talebi, İlgili Kişi Başvuruları Cevap Yazısı Örneği (EK-3) formatında ilgili kısımlar doldurularak aşağıdaki şekilde yanıtlanır:
“İlgili kişi başvurunuz incelenmiş olup talebiniz üzerine Şirketimiz nezdinde işlenen kişisel verileriniz sistemlerimizden silinmiş/yok edilmiş/anonim hale getirilmiş (ve anılan işleme ilişkin olarak kişisel verilerinizin aktarıldığı üçüncü kişilere gerekli bildirimler yapılmıştır).”
İlgili kişi başvurusunda iletilen bilgi ve belgeler sonucunda, Kişisel Veri İşleme Envanterinde ilgili “iş süreci” tespit edilerek sürecin münhasıran otomatik sistemler vasıtasıyla gerçekleştirilen ve ilgili kişinin aleyhine sonuç doğurduğunu iddia ettiği kısımları incelenir.
İlgili birim tarafından gerçekleştirilen incelemelerde, otomatik süreçte ve bu süreç içerisinde işlenen kişisel verilerde herhangi bir eksiklik ve hata olmadığı tespit ediliyorsa, ilgili kişinin talebi, İlgili Kişi Başvuruları Cevap Yazısı Örneği (EK-3) formatında ilgili kısımlar doldurularak aşağıdaki şekilde yanıtlanır:
“Şirketimiz nezdindeki kişisel verileriniz işlenerek analiz sonucu oluşturulan raporlamada bir eksiklik ve yanlışlık tespit edilmemiş olduğundan itirazınız reddedilmiştir.”
Eğer ilgili kişinin sağladığı bilgi ve belgeler ile karşılaştırıldığında, otomatik sistemler aracılığıyla oluşturulan sonuçta bir değişiklik meydana geleceği tespit ediliyor ve bu değişiklik ile kişi lehine bir sonuç söz konusu oluyorsa; ilgili kişinin talebi, İlgili Kişi Başvuruları Cevap Yazısı Örneği (EK-3) formatında ilgili kısımlar doldurularak ve ilgili sonucun bir örneği sunularak aşağıdaki şekilde yanıtlanır:
“İlgili başvurunuzda ilettiğiniz bilgi ve belgelere istinaden bilgileriniz, itirazınıza istinaden değişen sonuca göre kayıt altına alınmış olup sistemlerimiz de bu sonuca uygun olarak güncellenmiştir.”
İlgili kişi başvurusunda iletilen bilgi ve belgeler neticesinde, ilgili kişinin zarar talebi, İrtibat Kişisi/İrtibat Kişisi ve ilgili birim tarafından yapılacak ön inceleme akabinde Hukuk Danışmanına iletilerek değerlendirilir. Yapılan incelemenin sonucunda ilgili kişinin talebi, İlgili Kişi Başvuruları Cevap Yazısı Örneği (EK-3) formatında ilgili kısımlar doldurularak yanıtlanır.
Tebliğ’in 6 (4) maddesi uyarınca, ilgili kişi talebinin yanıtlandığı cevap yazısında,
İlgili kişi başvurusu, İrtibat Kişisinin de yönlendirmesi ile Başvuru Sürecinin Yönetimi kapsamında belirtilen adımlar takip edilerek başvurunun alınmasından itibaren en geç 30 gün içerisinde yanıtlanır.
İlgili kişi başvurusu yanıtlanırken, talep konusuna göre uyarlanacak şekilde İlgili Kişi Başvuruları Cevap Yazısı Örneği (EK-3) format olarak kullanılır.
Kanun’un 13 (2) maddesi uyarınca Şirket, ilgili kişi taleplerini ücretsiz olarak sonuçlandırmakla yükümlüdür. Ancak, işlemin ayrıca bir maliyet gerektirmesi halinde, Kurulca belirlenen tarifedeki ücret alınabilir. İşbu Prosedür’ ün onaylandığı tarih itibariyle 30356 sayılı Resmi Gazete’ de yayımlanarak yürürlüğe giren Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’in 7’ nci maddesi uyarınca ücretlendirme yapılabilecektir.
Prosedür, ıslak imzalı (basılı kağıt) ve internet sitesinde olmak üzere iki farklı ortamda yayımlanır. Basılı kağıt nüsha İnsan Kaynakları Birimi tarafından saklanır.
S.N |
Eski Rev No - Tarih |
Revizyon Detayı |
|
|
|
HAZIRLAYAN
Firdevs KOCAMAN Yön. Sek. ve Dök. Personeli |
KONTROL EDEN
Burak DOĞANAY Kurumsal Gelişim Müdürü |
ONAYLAYAN
Hülya GÜZEY İstiklal HASIRİPİ Finans ve İd. İşl. Md. Muhasebe ve İ.K Müd. |
KYS gereği güncel dokümanlar, elektronik ortamda bulunmaktadır. Sistemden basılan dokümanlar Kontrolsüz Kopya hükmündedir. Güncel dokümanları basılı olarak bulundurmak isteyenler, Kurumsal Gelişim Müdürü’ nden Kontrollü Kopyalarını temin edebilirler. |
NO |
YAPILACAKLAR LİSTESİ |
Tamamlandığında işaretleyiniz. |
1 |
İlgili kişinin talebi yazılı veya elektronik ortamda alınmıştır. (Mümkün olduğunca İlgili Kişi Başvuru Formu’nu kullanınız.) |
|
2 |
Talepte bulunan kişinin kimliği doğrulanmıştır. |
|
3 |
Talep konusu kişisel veriye ilişkin açıklamalar ve kişisel verinin konumuna ilişkin bilgiler kontrol edilmiştir. |
|
4 |
Temsilci tarafından yapılan talepler için temsilcinin ilgili kişi adına hareket etmeye yetkili olduğuna dair kanıt sunulmuştur. |
|
5 |
Geçmişte ilgili kişiden benzer bir talep alınmamıştır. (1,3 ya da 6 ay gibi belirli bir zaman aralığı belirtiniz.) Eğer benzer talepler alınmışsa, hukuk danışmanları ile iletişime geçiniz. |
|
6 |
30 günlük sürenin başladığı tarih kaydedilmiştir. |
|
7 |
İlgili kişinin ismi ya da ilgili kişiyi başka türlü belirleyebilecek veriler kullanılarak ilgili sistemler tespit edilmiş ve arama yapılmıştır. Sonuçların çıktısı alınmıştır. |
|
8 |
Arama sonuçları incelenmiş ve ilgili kişiye ilişkin kişisel veri niteliğinde olmayan bilgiler çıkarılmıştır. |
|
9 |
Diğer kişilere ilişkin kişisel verilerin bulunması halinde, sadece ilgili kişinin sunulması gereken kişisel verileri bulunacak şekilde kişisel veriler karartılarak sunulmuştur. |
|
10 |
Veri işlemenin amaçları, kişisel verinin gönderildiği kişiler ve verinin alındığı kaynaklara ilişkin açıklamalar yazıya geçirilmiştir. |
|
11 |
İlgili kişiye sunulacak bilgilerin bir kopyası anlaşılır ve kalıcı bir şekilde hazırlanmış ve bir kopyası da İrtibat Kişisi tarafından arşivlenmiştir. |
|
ANKARA BEŞER ECZA DEPOSU VE İLAÇ PAZARLAMA ANONİM ŞİRKETİ
6698 SAYILI KİŞİSEL VERİLERİN KORUNMASI KANUNU KAPSAMINDA
İLGİLİ KİŞİ BAŞVURU FORMU
6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”)’da “ilgili kişi” olarak tanımlanan kişisel veri sahiplerine (“Başvuru Sahibi”), KVKK’nın 11. maddesi kapsamında aşağıdaki haklar tanınmıştır:
KVKK’nın 13. maddesinin 1. fıkrası ile Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ uyarınca, Şirketimize bu haklara ilişkin olarak yapılacak başvuruların yazılı olarak veya Kişisel Verileri Koruma Kurulu (“Kurul”) tarafından belirlenecek diğer yöntemlerle iletilmesi gerekmektedir.
Bu çerçevede “yazılı” olarak Şirketimize yapılacak başvurular, işbu formun çıktısı alınarak;
iletilebilecektir.
Başvuru Yöntemi |
Başvurunun Yapılacağı Adres |
Başvuru Gönderiminde Belirtilecek Bilgi |
Şahsen başvuru (Başvuru Sahibinin başvuru adresine bizzat gelerek kimliğini tevsik edici belge ile başvurması)
|
Altınevler Mah. Aslanağzı Sk. No: 3A İç Kapı No: - Mamak/Ankara |
Zarfın üzerine “Kişisel Verilerin Korunması Kanunu Kapsamında Bilgi Talebi” yazılacaktır. |
Noter aracılığı ile tebligat veya iadeli taahhütlü mektup ile başvuru |
Altınevler Mah. Aslanağzı Sk. No: 3A İç Kapı No: - Mamak/Ankara |
Tebligat zarfına “Kişisel Verilerin Korunması Kanunu Kapsamında Bilgi Talebi” yazılacaktır.
|
Kayıtlı elektronik posta (KEP) adresine posta gönderimi |
Posta iletisinin konu kısmına “Kişisel Verilerin Korunması Kanunu Kapsamında Bilgi Talebi” yazılacaktır. |
|
Güvenli elektronik imza, mobil imza ya da (varsa) Şirketimizde kayıtlı bulunan e-posta adresinin kullanımı suretiyle e-posta gönderimi |
E-posta iletisinin konu kısmına “Kişisel Verilerin Korunması Kanunu Kapsamında Bilgi Talebi” yazılacaktır. |
Aşağıda, yazılı başvuruların ne şekilde tarafımıza ulaştırılacağına ilişkin yazılı başvuru kanalları özelinde bilgiler verilmektedir:
Tarafımıza iletilmiş olan başvurularınız KVKK’nın 13. maddesinin 2. fıkrası gereğince, talebin niteliğine göre talebinizin bizlere ulaştığı tarihten itibaren 30 (otuz) gün içinde yanıtlanacaktır. Yanıtlarımız KVKK’nın 13. maddesi hükmü gereğince yazılı olarak veya elektronik ortamdan tarafınıza ulaştırılacaktır.
[1] (a) Kişisel verilerinin işlenip işlenmediğini öğrenme hakkı, (b) İşlenen kişisel verilerine ilişkin bilgi talep etme hakkı, (c) Kişisel verilerin işlenme amacını ve bu amaca uygun kullanılıp kullanılmadığını öğrenme hakkı, (ç) Kişisel verilerinin yurt içi ve/veya yurt dışına aktarımı ile ilgili bilgi talep etme hakkı.
[2] Eksik veya yanlış işlenen kişisel verilerin düzeltilmesini isteme ve bu kapsamda yapılan işlemlerin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme hakkı
[3] Kişisel verilerin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemlerin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme hakkı
[4] İşlenen kişisel verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine ortaya çıkan sonuca itiraz etme hakkı
[5] Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle uğranılan zararın giderilmesini isteme hakkı