ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİ VE GÜVENLİĞİ POLİTİKASI
GENJECT SAĞLIK ÜRÜNLERİ VE KİMYA SANAYİ VE TİCARET ANONİM ŞİRKETİ
İÇİNDEKİLER
- POLİTİKANIN AMACI. 3
- POLİTİKANIN KAPSAMI. 3
- POLİTİKADAKİ DEĞİŞİKLİKLER VE GÜNCELLEMELER.. 3
- TANIMLAR.. 4
B- ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİ. 5
- ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN GENEL İLKELER.. 5
- ÖZEL NİTELİKLİ KİŞİSEL VERİLERİ İŞLEME ŞARTLARI. 5
- ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN AKTARILMASI. 5
- ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN MUHAFAZASI. 6
C- ÇALIŞANLARIN ÖZEL NİTELİKLİ KİŞİSEL VERİLERİ İŞLEMESİ. 6
D- KİŞİSEL VERİ GÜVENLİĞİ POLİTİKASI. 6
EK-2 GÜNCELLEMEYE İLİŞKİN TABLO.. 9
A- GİRİŞ
1. POLİTİKANIN AMACI
Genject Sağlık Ürünleri ve Kimya Sanayi ve Ticaret Anonim Şirketi (bundan sonra “GENJECT” veya “Şirket” olarak anılacaktır.) olarak, 6698 sayılı Kişisel Verilerin Korunma Kanunu ve ilgili mevzuata uygun olarak özel nitelikli kişisel verileri işlemekte ve bu verilerin güvenliğini sağlamaktayız.
İşbu Özel Nitelikli Kişisel Verilerin İşlenmesi ve Güvenliği Politikası (“Politika”), “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler” ile ilgili Kişisel Verileri Koruma Kurulu’nun 31/01/2018 tarihli ve 2018/10 sayılı kararı (“Kurul Kararı”) uyarınca, veri sorumlusu olarak özel nitelikli kişisel verilerin işlenmesine yönelik aldığımız önlemlerin belirlenmesi amacıyla hazırlanmıştır.
İşbu Politika ile GENJECT’in Kişisel Veri Güvenliği Politikası (“Güvenlik Politikası”) birbirlerini tamamlayıcı nitelikte olup, işbu Politika’da bahsedilmeyen hususlar için Güvenlik Politikası’nın incelenmesi gerekmektedir.
GENJECT, veri sorumlusu olarak, uhdesinde bulunan özel nitelikli kişisel verileri işlerken, üçüncü kişiler ile paylaşırken ve veri kayıt ortamlarında saklarken işbu Politika’ya uygun olarak hareket edecektir.
2. POLİTİKANIN KAPSAMI
İşbu Politika, aşağıdaki kişilere ait edindiğimiz ve edinebileceğimiz özel nitelikli kişisel verilerin uygun güvenlik düzeyini sağlamaya yönelik faaliyetlerimizi kapsamaktadır:
- Şirketimizin çalışanları, çalışan adayları, eski çalışanları ve stajyerleri,
- Şirketimizin ve topluluk şirketlerimizin temsilcileri, vekilleri ve hissedarları,
- İş ortaklarımızın çalışanı, temsilcisi ve vekili,
- İş birliği içinde olduğumuz sağlık mesleği mensupları,
- Tedarikçilerimizin çalışanı, temsilcisi ve vekili,
- Müşterilerimiz ve potansiyel müşterilerimiz,
- Kamu/özel kurum ve kuruluşu çalışanları,
- İş birliği içinde olduğumuz derneklerin üyeleri ve yöneticileri,
- Diğer gerçek kişiler.
Bu kişi grubu tanımlarına ilişkin açıklamalar, EK-1’de yer verilmektedir.
3. POLİTİKADAKİ DEĞİŞİKLİKLER VE GÜNCELLEMELER
GENJECT, işbu Politika çerçevesinde Bölüm 2’de bahsi geçen kişilerin özel nitelikli kişisel verilerini kişisel verilerin korunması mevzuatına uygun olarak işlemek ve bu verilerin güvenliğini sağlamak amacıyla gerekli idari ve teknik önlemleri alacaktır. Kanun veya ilgili mevzuatta veyahut GENJECT’in faaliyetlerinde meydana gelen değişiklikler doğrultusunda, işbu Politika ilgili birimler tarafından her zaman değiştirilebilir ve güncellenebilir.
İşbu Politika en son 08.11.2021 tarihinde güncellenmiştir. Yapılan güncellemelerin tarihini ve değişikliklerin içeriği EK-2’deki tabloda ayrıca belirtilmiştir.
4. TANIMLAR
Kişisel Veri | Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi. |
Özel Nitelikli Kişisel Veri | Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık kıyafet, dernek vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik veriler. |
İlgili Kişi | Kişisel verisi işlenen gerçek kişi. |
Kişisel Verilerin İşlenmesi | Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem. |
Açık Rıza | Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza. |
KVK Kanunu | 7 Nisan 2016 tarihli ve 29677 sayılı Resmi Gazete’de yayımlanan, 24 Mart 2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanunu. |
Kurul | Kişisel Verileri Koruma Kurulu. |
Kurum | Kişisel Verileri Koruma Kurumu. |
Kurul Kararı | “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler” ile ilgili Kişisel Verileri Koruma Kurulu’nun 31/01/2018 tarihli, 2018/10 sayılı kararıdır. |
Politika | Özel Nitelikli Kişisel Verilerin İşlenmesi ve Güvenliği Politikası. |
Güvenlik Politikaları | Kişisel Veri Güvenliği Politika ve Prosedürleri |
Veri Sorumlusu | Kişisel verilerin işlenme amaçlarını ve vasıtalarını belirleyen, verilerin sistematik bir şekilde tutulduğu yeri yöneten kişidir. |
Veri İşleyen | Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel veri işleyen gerçek ve tüzel kişidir. |
Kişisel Veri İşleme Envanteri
|
Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçlarını, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve detaylandırdıkları envanteridir. |
B- ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİ
1. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN GENEL İLKELER
GENJECT, kişisel verilerin işlenmesine ilişkin KVK Kanunu’nda belirtilen genel ilkelere uymakla yükümlüdür. Bu kapsamda GENJECT, özel nitelikli kişisel veriler işlerken aşağıdaki ilkelere uygun olarak hareket edecektir:
- Hukuka ve dürüstlük kuralına uygun olarak kişisel verileri işleme,
- Kişisel verilerin doğru ve gerektiğinde güncel olmasını sağlama,
- Kişisel verileri belirli, açık ve meşru amaçlarla işleme,
- Kişisel verileri işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olarak işleme,
- İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza etme.
2. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİ İŞLEME ŞARTLARI
GENJECT, yukarıda bahsedilen genel ilkeler ile beraber KVK Kanunu’nun 6. maddesinde belirtilen şartlara uygun olarak özel nitelikli kişisel verileri işlemekle yükümlüdür. Bu kapsamda GENJECT, aşağıdaki şartlardan birine dayalı olarak özel nitelikli kişisel verileri işleme faaliyeti yürütebilecektir:
- Özel nitelikli kişisel verilerin işlenmesine yönelik ilgili kişinin açık rızasının alınması veya,
- Sağlık ve cinsel hayata ilişkin kişisel veriler hariç, özel nitelikli kişisel verinin işlenmesinin kanunda öngörülmesi
- Sağlık ve cinsel hayata ilişkin kişisel veriler ise, açık rıza aranmaksızın, ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenebilmektedir.
3. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN AKTARILMASI
GENJECT, özel nitelikli kişisel verileri KVK Kanunu’nun 8. ve 9. maddelerinde belirtilen veri işleme şartlarına uygun olarak üçüncü kişiler ile paylaşabilecektir. Özel nitelikli kişisel verileri üçüncü kişilere aktarması esnasında GENJECT, Kurul Kararı’nda belirtilen güvenlik önlemlerini alacaktır. Bu kapsamda GENJECT, özel nitelikli kişisel verileri
- e-posta ile aktardığı durumlarda, şifreli olarak kurumsal e-posta adresi veya Kayıtlı Elektronik Posta (KEP) hesabı kullanmaktadır,
- farklı fiziksel ortamlardaki sunucular arasında aktardığı durumlarda, sunucular arasında VPN kurarak ya da sFTP yöntemiyle verileri aktarmaktadır,
- kağıt üzerinden aktardığı durumlarda, belgenin çalınması, kaybolması ya da yetkisi kişisel tarafından erişilmesi gibi risklere karşı gerekli önlemleri almakta ve belgeyi “gizlilik dereceli belgeler” formatında göndermektedir.
4. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN MUHAFAZASI
GENJECT, yukarıda detaylıca bahsi geçen genel ilke ve işleme şartlarına uygun bir şekilde özel nitelikli kişisel verileri muhafaza etmektedir. Özel nitelikli kişisel verilerin muhafaza edildiği ve/veya erişildiği ortamlara ilişkin GENJECT, Kurul Kararı’nda belirtilen güvenlik önlemlerini alacaktır. Bu kapsamda GENJECT,
- özel nitelikli kişisel verileri kriptografik yöntemler kullanılarak muhafaza etmekte ve kriptografik anahtarları güvenli ve farklı ortamlarda tutmaktadır,
- özel nitelikli kişisel veriler üzerinde gerçekleştirilen tüm hareketlerin işlem kayıtlarının güvenli olarak loglanmaktadır,
- özel nitelikli kişisel verilerin bulunduğu ortamlara ait güvenlik güncellemelerinin sürekli takip etmekte, gerekli güvenlik testlerinin düzenli olarak yaptırmakta ve test sonuçlarını kayıt altına almaktadır,
- özel nitelikli kişisel verilere bir yazılım aracılığı ile erişildiği hallerde bu yazılıma ait kullanıcı yetkilendirmeleri yapılmaktadır,
- özel nitelikli kişisel verilere uzaktan erişim gerekiyorsa en az iki kademeli kimlik doğrulama sistemi sağlanmaktadır.
- özel nitelikli kişisel verilerinin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, fiziksel ortam ise, elektrik kaçağı, yangın, su baskını, hırsızlık vb. durumlara karşı önlemleri almaktadır. Bu ortamların fiziksel güvenliği sağlanarak yetkisiz giriş çıkışları engellenmektedir.
C- ÇALIŞANLARIN ÖZEL NİTELİKLİ KİŞİSEL VERİLERİ İŞLEMESİ
GENJECT, özel nitelikli kişisel verileri işleyen çalışanları için Kurul Kararı’nda belirtilen aşağıdaki tedbirleri almaktadır:
- Personellere, kişisel verilerin güvenliğinin sağlanması, hukuka aykırı olarak açıklanmaması ve paylaşılmamasına ilişkin gerekli eğitim ve farkındalık çalışmaları yapılmaktadır.
- Çalışanlar ile gizlilik sözleşmesi akdedilmektedir.
- Personeller, çalıştığı departmana ve iş rolüne göre kişisel verilerin bulunduğu sunuculara erişim için yetkilendirilmektedir. Bu yetkilerin kapsamı ve süreleri net olarak belirlenmektedir.
- Dönemsel olarak yetki kontrolleri yapılmaktadır.
- Çalışanların görev değiştirmesi veya işten ayrılması halinde verilere erişim yetkileri kaldırılmakta ve kendisine verilen envanter geri alınmaktadır.
D- KİŞİSEL VERİ GÜVENLİĞİ POLİTİKASI
GENJECT, özel nitelikli kişisel veriler dahil olmak üzere işlediği tüm kişisel verilerin güvenliğini sağlamak amacıyla Kurum’un internet sitesinde yayınladığı Kişisel Veri Güvenliği Rehber’inde belirtilen teknik ve idari tedbirlere uygun olarak Kişisel Veri Güvenliği Politikası’nı oluşturmuştur. İşbu Özel Nitelikli Kişisel Veri Güvenliği Politikası, işlenen kişisel verilerin hukuka uygunluğunu sağlamak, hukuka aykırı olarak erişilmesini önlemek ve muhafazasını sağlamak adına uygun güvenlik düzeyini sağlamaya yönelik Şirket’in aldığı teknik ve idari tedbirlere yer vermektedir.
Bu kapsamda Kişisel Veri Güvenliği Politikası’nda yer alan tüm teknik ve idari tedbirler, işbu Politika’da belirlenen tedbirlere ek olarak özel nitelikli kişisel verileri işleme faaliyetlerinde uygulanmaktadır.
EK-1 KİŞİ GRUPLARI
KİŞİ GRUPLARI | AÇIKLAMALAR |
Müşteri | Şirket’ten halihazırda ürün/hizmet alan kişiler |
Potansiyel Müşteri | Şirket’ten halihazırda hizmet almayan ve sözleşme ilişkisi başlamayan; ancak hizmeti alması muhtemel kişiler |
Şirket Temsilcisi veya Vekili | Şirket’i temsil veya vekil eden kişiler (Şirket’in danışmanlık aldığı avukatlar, Şirket’in temsil ve ilzama yetkili yönetim kurulu üyesi) |
Hissedar | Şirket çalışanı olmayan ancak şirketin genel kurulunda pay sahibi olan kişiler |
Tedarikçi | Şirket’in hizmet aldığı firmaların çalışanı, çalışan adayı, temsilcisi veya vekili |
İş Ortağı | Şirket’in faaliyetlerinde beraber çalıştığı firmaların çalışanı, çalışan adayı, temsilcisi veya vekili |
Çalışan | Şirket’in işveren olarak çalıştırdığı ve aralarında iş sözleşmesi bulunan kişiler |
Çalışan Adayı | Şirket’in işveren olarak henüz çalıştırmadığı ancak çalıştırması muhtemel kişiler |
Eski Çalışan / Emekli | Şirket’in eskiden işveren olarak çalıştırdığı ve aralarında iş sözleşmesi bulunmuş kişiler |
Aile Üyeleri | Kişisel veri sahibinin aile bireylerine ilişkin veriler (örnek özel sigorta yaptırılacak aile üyeleri) |
Ziyaretçi | Şirket yerleşkesini ziyaret eden kişiler |
Hukuken Yetkili Kişi | Hukuken yetkili kamu kurum ve kuruluşları veya özel kişi ve kuruluşlarında çalışan kişiler. |
Stajyer | Meslek bilgisini artırmak için Şirket’in bir veya birçok bölümünde çalışarak geçiren kişiler |
Diğer | Bu kişi gruplarının kapsamına girmeyen kişiler tam ismiyle/unvanıyla belirtilir. |
EK-2 GÜNCELLEMEYE İLİŞKİN TABLO
GÜNCELLEME TARİHİ | YAPILAN DEĞİŞİKLİKLER |
|
|
|
|
|