AMAÇ
Bu Politikanın amacı, Bayrak Group İlaç ve Eczacılık (Kuruluş) un temasta bulunduğu Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilginin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kuruluşumuzun yükümlülükleri ile uyacakları usul ve esasları yönetim sistemi anlayışı içerisinde düzenlemek amacıyla hazırlanmıştır.
1. KAPSAM
Bu politika, kuruluşumuz tarafından kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişileri ve bu verilerin yönetilmesini sağlayan yönetim sistemini kapsar.
2. SORUMLULUK
İrtibat Kişisi, Veri İşleyenler ve Tüm çalışanlar
3. TANIMLAR VE KISALTMALAR
Bu politikanın ve Kuruluşumuzda uygulanan Kişisel Veri Yönetim Sisteminin uygulanmasında;
a) Açık rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı,
b) Anonim hâle getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini,
ç) İlgili kişi: Kişisel verisi işlenen gerçek kişiyi,
d) Kişisel veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi,
e) Kişisel verilerin işlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi,
f) Kurul: Kişisel Verileri Koruma Kurulunu,
g) Kurum: Kişisel Verileri Koruma Kurumunu,
ğ) Veri işleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi,
h) Veri kayıt sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini,
ı) Veri sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi, ifade eder.
4. UYGULAMA
4.1. Kişisel Verilerin İşlenmesi
4.1.1. Genel ilkeler
Kuruluşumuzda kişisel veriler, 6698 sayılı Kişisel Verilerin Korunması Kanunu, bu kanuna bağlı olarak yayınlanan yönetmelik, tebliğ, Kurul Kararları ve rehberler ile birimlerimizde yapılan işlerle ilgili diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenmektedir.
4.1.2. Kuruluşumuz kişisel verilerin işlenmesi sırasında;
• Hukuka uygun olma ilkesi kapsamında; Kişisel verilerin işlenmesinde kanunlarla ve diğer hukuksal düzenlemelerle getirilen ilkelere uygun hareket edilmesi zorunluluğunu uygulamaktadır.
• Dürüstlük kurallarına uygun olma ilkesi kapsamında; İlgili kişi aydınlatılmadan hiçbir şekilde kişisel verileri işlenmemektedir. Kişisel veriler ilgili kişiye karşı haksızlığa yol açacak şekilde kullanmamaktadır, toplanma amacını aşmamaktadır.
• Doğru ve gerektiğinde güncel olma ilkesi kapsamında; Kişisel verilere dayalı olarak ilgili kişiye dair bir sonuç ortaya çıktığı için kişisel veriler doğru ve güncel olarak tutulmaktadır. Bununla beraber kuruluşumuz her zaman ilgili kişinin bilgilerinin doğru ve güncel olmasını temin edecek kanalları açık tutmaktadır.
• Belirli, açık ve meşru amaçlar için işlenme ilkesi kapsamında; Kişisel veri işleme faaliyetleri ilgili kişi tarafından açık bir şekilde anlaşılabilir tutulmaktadır. Kişisel veri işleme faaliyetlerinin hangi hukuki işleme şartına dayalı olarak gerçekleştirildiği açıkça tanımlanmıştır. Kişisel veri işleme faaliyetinin ve bu faaliyetin gerçekleştirilme amacının belirliliğini sağlayacak detayda ortaya konulmaktadır.
• Amacın meşru olması ilkesi kapsamında; işlenen veriler yapılan iş ile bağlantılı tutulmakta ve yapılan iş için gereklidir.
• İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ilkesi kapsamında; Mevcutta olmayan ve sonradan gerçekleşmesi düşünülen amaçlarla kişisel veri toplanmamaktadır. Kişisel veri işleme faaliyetinin gerçekleşmesi için gerekli olmayan ölçüde kişisel veri işlenmemektedir. Kişisel veriler yalnızca belirli amaçlar için ve gerektiği kadar toplanmaktadır ve amacın gerektirdiği yerlerde kullanılmaktadır.
• İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme ilkesi kapsamında; İlgili mevzuatta verilerin saklanması için öngörülen süreye uyulmakta, kişisel verileri ancak işlendikleri amaç için gerekli olan süre kadar muhafaza edilmektedir. Bir verinin daha fazla saklanması gerekmediğinde o veri silinmekte, yok edilmekte ya da anonim hale getirilmektedir. İleride tekrar kullanılabileceği düşünülerek ya da herhangi bir başka gerekçe ile kişisel veriler muhafaza edilmemektedir.
4.2. Kişisel verilerin işlenme şartları
Kuruluşumuzda kişisel veriler ilgili kişinin açık rızası olmaksızın işlenmemektedir. Ancak, kanunlarda açıkça öngörülmesi, fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, hukuki yükümlülüğü yerine getirebilmesi için zorunlu olması ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması, ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması. Şartlardan birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesi mümkündür.
4.3. Özel nitelikli kişisel verilerin işlenme şartları
Kişilerin dernek, vakıf ya da sendika üyeliği, sağlığı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik verileri özel nitelikli kişisel veridir. Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır. Kuruluşumuzda ilgili yasalar gereği alınan özel nitelikli veriler için ilgili kişiden açık rıza alınmaktadır. Sağlık dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmadan işlenmektedir. Bununla beraber özel nitelikli kişisel verilerin işlenmesinde, Kurul tarafından belirlenen yeterli önlemler de ayrıca alınmaktadır.
4.4. Kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesi
Kuruluşumuzda bu kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde, diğer kanunlarda yer alan hükümler saklı kalmak üzere kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından “Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik”e göre silinir, yok edilir veya anonim hâle getirilir. “Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Politikası” ile uygulanmaktadır.
4.5. Kişisel verilerin aktarılması
Kuruluşumuzda kişisel veriler ilgili kişinin açık rızası olmaksızın aktarılamaz, veri aktarma hususları Veri Sorumluları ile Veri İşleyenler arasında konuya uygun olarak hazırlanmış taahhütnameler ile düzenlenmektedir. Kişisel verilerin aktarılmasına ilişkin diğer kanunlarda yer alan hükümler ayrıca değerlendirilmektedir.
Kişisel veriler, Ancak, kanunlarda açıkça öngörülmesi, fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, hukuki yükümlülüğü yerine getirebilmesi için zorunlu olması ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması, ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması, şartlardan birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın aktarılabilir.
Yukarıda belirtilen şartlardan birinin varlığı hâlinde, Kişisel verilerin yurt dışına aktarılmak istenmesi durumunda kişisel verinin aktarılacağı yabancı ülkede; yeterli korumanın bulunması, yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması ve ilgili kişinin açık rızası aranmaksızın yurt dışına aktarılabilir.
4.6. Veri sorumlusunun aydınlatma yükümlülüğü
Kuruluşumuzda, ilgili kişilere aydınlatma metinleri içerisinde; Veri sorumlusunun kimliği, Kişisel verilerin hangi amaçla işleneceği, İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, Kişisel veri toplamanın yöntemi ve hukuki sebebi, hakları, konusunda bilgi verilmektedir.
İlgili kişinin hakları kapsamında herkes, kuruluşumuza başvurarak kendisiyle ilgili; Kişisel veri işlenip işlenmediğini öğrenme, Kişisel verileri işlenmişse buna ilişkin bilgi talep etme, Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme, Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme (kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme) kişisel verilerin silinmesini veya yok edilmesini isteme (kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme), İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme, Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme haklarına sahiptir.
4.7. Veri güvenliğine ilişkin yükümlülükler
Kuruluşumuzun Veri sorumlusu olarak yapacağı iş ve sorumlulukları başta kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, Kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak ile belirlenmiş güvenlik düzeyini temin etmeye yönelik gerekli her türlü görev yetki ve sorumluluklar “İrtibat Kişisinin Yapacağı İşler Talimatı” içerisinde tanımlanmıştır.
Bununla birlikte Kuruluşumuzda Kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbir “Kişisel Verilere Erişim Kişisel Veri Güvenliği Ve Gizlilik Politikası” uygulanarak alınmıştır.
İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, uygulanacak prosedür tanımlanmıştır.
4.8. Veri sorumlusuna başvuru
İlgili kişi, işlenen verileri ile ilgili taleplerini yazılı olarak veya Kurulun belirleyeceği diğer yöntemlerle kuruluşumuza iletebilir. Alınan talepler, talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandırır. Ancak, işlemin ayrıca bir maliyeti gerektirmesi hâlinde, Kurulca belirlenen tarifedeki ücret alınabilir. Kuruluşumuz talebi kabul eder veya gerekçesini açıklayarak reddeder ve cevabını ilgili kişiye yazılı olarak veya elektronik ortamda bildirir. Başvuruda yer alan talebin kabul edilmesi hâlinde gereği yerine getirilir.
4.9. Veri Sorumluları Sicili
Kuruluşumuz veri işlemeye başlamadan önce Veri Sorumluları Siciline kaydolmuştur.