ETKİN TIBBİ CİHAZLAR
KİŞİSEL VERİLERİN KORUNMASI POLİTİKASI
   

1.GİRİŞ

Bu politika ile kişisel verilerin işlenmesi ve korunması konusunda şirket tarafından benimsenecek ve uygulama noktasında dikkate alınacak ilkeler ortaya konulmaktadır.

2.AMAÇ

Kişisel verilerin işlenmesi ve korunması konusunda 6698 Sayılı Kanuna, Kişisel Verileri Koruma Kurulu kararlarına ve ikincil mevzuata uyum sağlanması için şirket kapsamında faaliyetlerin uyumlu şekilde yürütülmesi, kişisel verileri işlenen kişilerin en şeffaf ve doğru şekilde bilgilendirilmesi amaçlanmaktadır.

3.KAPSAM

İşbu politika, şirketin işlemekte olduğu kişisel verilere yönelik tüm faaliyetleri kapsar ve söz konusu faaliyetlere uygulanır. Çalışan adayı, müşteri ve sair ile ilgili kişilere ait kişisel verilerin otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen tüm kişisel verilere ilişkindir.

4.TANIMLAR

Açık rıza                    : Belirli bir konu hakkında yapılan bilgilendirmeden sonra özgür irade ile açıklanan olumlu onay beyanı. 

Kişisel veri                 : Bulunduğu ortam gözetilmeden, gerçek kişilerle ilgili, onları belirleyen ya da belirlenebilir kılan her türlü veri ve bilgidir.

Birincil kişisel veriler: Normal şartlarda değişken olmayan (kan grubu, dna, parmak izi, göz rengi, doğum tarihi) kişisel verilerdir.

İkincil kişisel veriler  : değişken kişisel veriler (yaş, boy, kilo, kredi kartı, spor klubü üyeliği gibi) dir.

Özel Nitelikli Kişisel Veri: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.

Kişisel verilerin işlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi.

İlgili kişi                     : Kişisel verisi işlenen gerçek kişi.

Kurul                         : Kişisel Verileri Koruma Kurulu.

Kurum                       : Kişisel Verileri Koruma Kurumu.

Veri işleyen                : Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi.

Veri kayıt sistemi      : Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi.

Veri sorumlusu         : Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi.

Anonim hâle getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesi.

5.KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN HUSUSLAR

Genel İlkeler.

  • Kişisel veriler, şirket tarafından hukuka ve dürüstlük kurallarına uygun ve ölçülülük esasına uygun olarak işlenir.
  • Şirket, kişisel verilerin eksiksiz, doğru ve güncel olması için her türlü gerekli önlemi alır.
  • Kişisel veriler, işlenmesinden önce şirket tarafından kişisel verilerin hangi amaçlarla işleneceği belirlenir.
  • Gerekli aydınlatma yapılır ve gerekli hallerde açık rızaları alınır.
  • Şirket, kişisel verileri yalnızca Kişisel Verilerin Korunması Kanunu kapsamında (m. 5.2. ve 6.3) veya ilgili kişiden alınan açık rıza kapsamındaki amaç doğrultusunda (KVKK m. 5,1 ve 2) ölçülülük esasına uygun işler.
  • Şirket, kişisel verileri amaca uygun olarak gerektiği kadar muhafaza eder. Daha uzun süre muhafaza etmek istemesi halinde ise, yine Kişisel Verilerin Korunması Kanununda belirtilen yükümlülüklere uygun davranır.
6.KİŞİSEL VERİLERİN İŞLENME ŞARTLARI

Kişisel veriler, şirket tarafından ancak aşağıda belirtilen usul ve esaslar kapsamında işlenebilir.

6.1. Kişisel veriler, ilgili kişiye aydınlatma yükümlülüğü yerine getirildikten sonra ilgili kişinin açık rızası alınarak işlenebilir. Açık rıza, Kişisel Verilerin Korunması Kanununda belirtilen hususlara uygun olarak alınır.

6.2. Aşağıdaki şartların varlığı halinde, ilgili kişinin açık rızası aranmaksızın, kişisel verilerin işlenmesinin öngörüldüğü durumlarda, (md. 5,2 ve 6,3) ilgili kişinin açık rızası olmaksızın kişisel veriyi işleyebilir.

6.2.1. Kanunlarda açıkça öngörülmesi.

6.2.2. Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.

6.2.3. Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.

6.2.4. Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.

6.2.5. İlgili kişinin kendisi tarafından alenileştirilmiş olması.

6.2.6. Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.

6.2.7. İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

7.ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENME ŞARTLARI

Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.

Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır.

Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması amacıyla açık rıza olmaksızın işlenebilir. Dolayısıyla Kişisel Verilerin Korunması Kanununda aksi öngörülünceye kadar bu veriler, açık rıza kapsamında veya sır saklama yükümlülüğü altında olan şirket hekimi tarafından işlenebilir.

Özel nitelikli kişisel veriler işlenirken kurul tarafından belirlenen önlemler alınır.

Özel nitelikli kişisel verilerin işlenmesini gerektiren her durumda ilgili çalışan tarafından veri sorumlusu bilgilendirilir.

8.ŞİRKETİN AYDINLATMA YÜKÜMLÜLÜĞÜ

Şirket, Kişisel Verilerin Korunması Kanunu’nun 10. Maddesine uygun olarak kişisel verilerin işlenmesinden önce ilgili kişiyi aydınlatır. Aydınlatma yükümlülüğü kapsamında ilgili kişiye yapılacak olan bildirimler şu unsurları içerir:

8.1. Veri sorumlusunun ve varsa temsilcisinin kimliği.

8.2. Kişisel verilerin hangi amaçla işleneceği.

8.3. İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılacağı.

8.4. Kişisel veri toplamanın yöntemi ve hukuki sebebi.

8.5. İlgili kişinin hakları.

8.6. Şirket, T.C. Anayasanın 20. ve Kişisel Verilerin Korunması Kanununun 11. Maddesi gereği bilgi talep etmesi halinde gerekli bilgilendirmeyi yapar.    

9.VERİ SAHİBİNİN HAKLARININ GÖZETİLMESİ VE TALEPLERİNİN DEĞERLENDİRİLMESİ (KVKK m. 11 ve 13)

Şirket, kişisel verilerini elinde bulundurduğu ilgili kişinin aşağıda belirtilen kendisiyle ilgili taleplerine Kişisel Verilerin Korunması Kanununda belirtili hükümlerine uygun şekilde cevap verir.  

9.1. Şirket tarafından kişisel verilerin işlenip işlenmediğini öğrenme.

9.2. İşlenmişse buna ilişkin bilgi talep etme.

9.3. İşlenme amacını ve bunların amaca uygun kullanılıp kullanılmadığını öğrenme.

9.4. Yurt içinde ya da yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme.

9.5. Kişisel verinin eksik ya da yanlış işlenmiş olması halinde bunların düzeltilmesini talep etme.

9.6. Kişisel verilerin işlenme sebepleri ortadan kalktığında şirket tarafından kişisel verilerin silinmesini, yok edilmesini veya anonim hale getirilmesini isteme.

9.7. kişisel verilerin kanuna aykırı olarak işlenmesi nedeni ile ilgili kişinin zarara uğraması halinde zararın giderilmesini talep etme

10.KİŞİSEL VERİ SAHİBİNİN HAKLARINI KULLANMASI

10.1. İlgili kişi, bu Kanunun uygulanmasıyla ilgili taleplerini yazılı olarak veya Kurulun belirleyeceği diğer yöntemlerle veri sorumlusuna iletir.

10.2. Veri sorumlusu başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandırır. Ancak, işlemin ayrıca bir maliyeti gerektirmesi hâlinde, Kurulca belirlenen tarifedeki ücret alınabilir.

10.3. Veri sorumlusu talebi kabul eder veya gerekçesini açıklayarak reddeder ve cevabını ilgili kişiye yazılı olarak veya elektronik ortamda bildirir. Başvuruda yer alan talebin kabul edilmesi hâlinde veri sorumlusunca gereği yerine getirilir. Başvurunun veri sorumlusunun hatasından kaynaklanması hâlinde alman ücret ilgiliye iade edilir.

10.4. Başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hâllerinde; ilgili kişi, veri sorumlusunun cevabını öğrendiği tarihten itibaren otuz ve her hâlde başvuru tarihinden itibaren altmış gün içinde Kurula şikâyette bulunabilir.

10.5. Başvuru yolu tüketilmeden şikâyet yoluna başvurulamaz.

10.6. Kişilik hakları ihlal edilenlerin, genel hükümlere göre tazminat hakkı saklıdır.

11.KİŞİSEL VERİ SAHİBİNİN HAKLARINI İLERİ SÜREMEYECEĞİ HALLER

Kişisel Verilerin Korunması Kanununun hükümleri aşağıdaki hâllerde uygulanmaz:

(1)a) Kişisel verilerin, üçüncü kişilere verilmemek ve veri güvenliğine ilişkin yükümlülüklere uyulmak kaydıyla gerçek kişiler tarafından tamamen kendisiyle veya aynı konutta yaşayan aile fertleriyle ilgili faaliyetler kapsamında işlenmesi.
b) Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi
c) Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi,
ç) Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi.
d) Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi.

(2) Kişisel Verilerin Korunması Kanununun amacına ve temel ilkelerine uygun ve orantılı olmak kaydıyla veri sorumlusunun aydınlatma yükümlülüğünü düzenleyen 10 uncu, zararın giderilmesini talep etme hakkı hariç, ilgili kişinin haklarını düzenleyen 11 inci ve Veri Sorumluları Siciline kayıt yükümlülüğünü düzenleyen 16 ncı maddeleri aşağıdaki hâllerde uygulanmaz:

   a) Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması.
   b) İlgili kişinin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi.
   c) Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması.
   ç) Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması.

 12.KİŞİSEL VERİLERİN AKTARILMASI VE 3. KİŞİLER TARAFINDAN İŞLENMESİ

Şirket, 3. Bir gerçek ya da tüzelkişiye Kişisel Verilerin Korunması Kanunundaki düzenlemelere uygun şekilde kişisel veri aktarabilir.

Bu durumda şirket, kişisel veri aktardığı 3. Kişilerin de bu politikaya uymasını sağlar.

  1. kişilerle akdedilen sözleşmelere gerekli koruyucu düzenlemeler eklenir.
 13.TÜRKİYE’DE BULUNAN 3. KİŞİLERE VERİ AKTARIMI

Şirket, kişisel verileri, Kişisel Verilerin Korunması Kanununun 5,2 ve 6,3 maddelerinde belirlenen istisnai hallerde açık rıza olmaksızın; bu haller dışında ise açık rıza alınmak şartıyla aktarım yapılabilir.

Bu aktarımın Kişisel Verilerin Korunması Kanununa uygun olmasını sağlamaktan şirket çalışanları ve veri sorumlusu temsilcisi müteselsilen sorumludur.

14.YURTDIŞINDA BULUNAN 3. KİŞİLERE KİŞİSEL VERİ AKTARIMI

14.1 Kişisel veriler, ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamaz.
14.2 Kişisel veriler, Kişisel Verilerin Korunması Kanunu’nun 5 inci maddenin ikinci fıkrası ile 6 ncı maddenin üçüncü fıkrasında belirtilen şartlardan birinin varlığı ve kişisel verinin aktarılacağı yabancı ülkede;
   a) Yeterli korumanın bulunması,
   b) Yeterli korumanın bulunmaması durumunda Türkiye'deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması,kaydıyla ilgili kişinin açık rızası aranmaksızın yurt dışına aktarılabilir.

14.3 Yeterli korumanın bulunduğu ülkeler Kurulca belirlenerek ilan edilir.
14.4 Kurul yabancı ülkede yeterli koruma bulunup bulunmadığına ve 14.2- (b) bendi uyarınca izin verilip verilmeyeceğine;

    a) Türkiye'nin taraf olduğu uluslararası sözleşmeleri,
    b) Kişisel veri talep eden ülke ile Türkiye arasında veri aktarımına ilişkin karşılıklılık durumunu,
    c) Her somut kişisel veri aktarımına ilişkin olarak, kişisel verinin niteliği ile işlenme amaç ve süresini,
    ç) Kişisel verinin aktarılacağı ülkenin konuyla ilgili mevzuatı ve uygulamasını,
    d) Kişisel verinin aktarılacağı ülkede bulunan veri sorumlusu tarafından taahhüt edilen önlemleri,değerlendirmek ve ihtiyaç duyması hâlinde, ilgili kurum ve kuruluşların görüşünü de almak suretiyle karar verir.

14.5 Kişisel veriler, uluslararası sözleşme hükümleri saklı kalmak üzere, Türkiye'nin veya ilgili kişinin menfaatinin ciddi bir şekilde zarar göreceği durumlarda, ancak ilgili kamu kurum veya kuruluşunun görüşü alınarak Kurulun izniyle yurt dışına aktarılabilir.
14.6 Kişisel verilerin yurt dışına aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklıdır.
14.7 Açık rıza alınmaksızın aktarıldığı durumlarda, ayrıca aktarılacağı yabancı ülke bakımından aşağıdaki koşulların varlığı gerekir;

Kurul tarafından yeterli korumanın bulunduğu ülkeler statüsünde olması,

Kurulun güvenli ülkeler listesinde yer almaması halinde şirketin ilgili ülkedeki veri sorumlularının yeterli korumanın sağlanacağına ilişkin yazılı taahhütte bulunarak kuruldan izin alması.

15. ŞİRKET İÇERİSİNDE YAPILAN KİŞİSEL VERİ İŞLEME FAALİYETLERİ İLE İNTERNET SİTESİ ÜZERİNDE YAPILAN VERİ İŞLEME FAALİYETLERİ

15.1 Kamera İle İzleme Gerçekleştirilmesi :

Şirketimiz merkez ve şubelerinde; bina girişi ve içlerinde kamera ile izleme gerçekleştirilmekte, KVKK’da yer alan düzenlemeler doğrultusunda, Şirketimiz tarafından kullanılan kamera ile izleme faaliyetine ilişkin olarak kamera ile izlemenin yapıldığı alanların girişlerine söz konusu faaliyetlere ilişkin bildirim yazısı asılmaktadır. “Kişisel Verilerin Korunması ve İşlenmesi Politikası” doğrultusunda kişinin mahremiyetine müdahale sonucunu doğurabilecek alanlarda izleme söz konusu olmamaktadır. Güvenlik kamerası kayıtlarına yalnızca sınırlı sayıda Şirket çalışanı ve ihtiyaç duyulması halinde tedarikçi konumunda bulunan güvenlik şirketi çalışanları erişebilmektedir. Kayıtlara erişimi olan söz konusu kişiler imzaladıkları gizlilik taahhütnamesi ile eriştiği verilerin gizliliğini koruyacağını beyan etmektedir.

15.2 İnternet Sitesi Ziyaretçileri

Şirketimize ait internet sitesini ziyaret eden kişilerin site içerisindeki internet hareketleri, kendilerine özelleştirilmiş içerikler gösterilebilmesi ve çevrimiçi reklamcılık faaliyetlerinde bulunulabilmesi için (teknik vasıtalar ile örneğin cookie) kaydedilmektedir. Şirketimizin bu faaliyetleri ile ilgili detaylı açıklamalar internet sitemizde yer almaktadır.

16. KİŞİSEL VERİLERİN SAKLANMA SÜRELERİ

Kişisel Verileri Koruma Kanunu ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler re’sen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hâle getirilir.

Kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesine ilişkin diğer kanunlarda yer alan hükümler saklıdır.

Kişisel verilerin silinmesine, yok edilmesine veya anonim hâle getirilmesine ilişkin usul ve esaslar yönetmelikle düzenlenir. 

SİLME                      : Kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilmez ve tekrar kullanılamaz hale getirme işlemidir.

YOK ETME             : Kişisel veriler hiçkimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirme işlemidir.

ANONİM HALE GETİRME                : Kişisel veriler, başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.

Kişisel verileri imha tutanağı düzenlenir. İmha tutanağı şema şeklinde de olabilir.

17.VERİ SORUMLUSUNA BAŞVURU FORMU

Şirket, kişisel verilerin korunması ve işlenmesi yönetim esasları; KVKK düzenlemelerine uygun ve kişisel verilerin korunması ile işlenmesi politikasının yürürlüğünü sağlamak için yönetim yapısı kurulmuştur.

Politikaları yönetmek üzere, kişisel veri ve kriz komitesi kurulmuştur. Komitenin görevleri veri sorumlusu tarafından belirlenir, komite işleyiş talimatında anlatılır.

18. POLİTİKADA YAPILACAK DEĞİŞİKLİKLER

Veri sorumlusu tarafından işbu politika gerekli görüldüğü hallerde yönetim kurulunun onayı ile değiştirilebilir.

19. POLİTİKANIN YÜRÜRLÜK TARİHİ

İşbu politikanın işbu versiyonu 07 04 2020 tarihinde veri sorumlusu şirket yönetim kurulu tarafından onaylanarak yürürlüğe girmiştir.

ETKİN TIBBİ CİHAZLAR

KİŞİSEL VERİLERİN KORUNMASI KANUNU

KAPSAMINDA AYDINLATMA METNİ

 

Etkin Tıbbi Cihazlar Servis Ticaret ve Sanayi Limited Şirketi olarak kişisel bilgilerinizin korunmasını sağlayacağımızı taahhüt ediyoruz. 6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamındaki yükümlülüklerimiz ile şeffaflık ve hesap verebilirlik ilkelerinin gereği olarak size bu bilgilendirmeyi yapmaktayız. Bu metin aracılığıyla kişisel bilgilerinizin nasıl kullanıldığına ve bu konudaki haklarınıza ilişkin bilgilere ulaşabilirsiniz.

Kişisel verilerin korunmasına ilişkin farkındalığın ve şeffaflığın sağlanması adına “Etkin Tıbbi Cihazlar Servis Ticaret ve Sanayi Limited Şirketi Kişisel Verilerin Korunması ve İşlenmesi Politikası”nı da sizlerin paylaşımına sunmaktayız. Yine, kurumsal anlayışımızın ve taahhütlerimizin gereği olarak, kişisel bilgilerinizi aşağıda detaylı olarak açıkladığımız çerçevede kullanmak için gerekli özeni göstereceğiz.

Yasal düzenlemeler veya şirket politikalarındaki değişikliklerin sonucu olarak belli aralıklarla Aydınlatma Metninde güncelleme yapılması söz konusu olabilir. Metnin en güncel haline ulaşmak için düzenli aralıklarla sayfamızı ziyaret etmenizde fayda bulunmaktadır.

1.Kişisel Veri Nedir?

Kişisel veri “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi”yi ifade etmektedir. Faaliyetlerimiz kapsamında işlenen kişisel verilere ayrıntılı olarak yer veren kişisel veri işleme envanterimiz bulunmaktadır.

2.Özel Nitelikli Kişisel Veri Nedir?

2.1. Öğrenilmesi halinde kişilerin mağdur olmasına veya ayrımcılığa maruz kalmasına neden olabilecek nitelikteki veriler özel nitelikli veri kabul edilmektedir.

2.2. Hassas veriler olarak da tanımlanan özel nitelikli kişisel verilerin işlenmesi koşulları Kişisel Verilerin Korunması Kanunu’nun 6. Maddesinde düzenlenmektedir. Bu Kanun maddesinin 1. Fıkrasında özel nitelikli kişisel verilerin neler oldukları sınırlı olarak belirtilmektedir:

Irk, etnik köken,

Siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar,

Kılık ve kıyafet bilgisi,

Dernek, vakıf ya da sendika üyeliği bilgisi,

Sağlık verisi,

Cinsel hayata ilişkin veriler,

Ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler,

Biyometrik ve genetik veriler,

2.3. Kişisel sağlık verisi, kimliği belirli veya belirlenebilir gerçek kişinin fiziksel ve ruhsal sağlığına ilişkin her türlü bilgi ile kişiye sunulan sağlık hizmeti ile ilgili bilgiler olarak tanımlanmaktadır. Kişilerin geçirdiği hastalıklar, kullandığı ilaçlar, tıbbi raporlar, tahlil sonuçları gibi bilgiler kişisel sağlık verisi kabul edilmektedir.

2.4. Genel nitelikli kişisel verilerde olduğu gibi özel nitelikli kişisel verilerin işlenmesinde de ilgilinin açık rızası aranmaktadır.

2.5. Yukarıda sayılan sağlık ve cinsel hayat dışındaki (özel nitelikli) kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbı teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.

2.6. Özel nitelikli kişisel verilerin diğer kişisel verilere göre çok daha sıkı şekilde korunmaları gerekmektedir. Bu doğrultuda Şirketimiz bünyesinde özel nitelikli kişisel verilerin işlendiği süreçlerde, bu verilere özgü ek tedbirler alınmaktadır.

3.Veri Sorumlusu Kimdir?

Veri sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade eder. Etkin Tıbbi Cihazlar Servis Ticaret ve Sanayi Limited Şirketi, gerçekleştirdiği faaliyetler kapsamında kişisel verilerinizin işlenmesi konusunda “veri sorumlusu” sıfatına sahiptir. Bu doğrultuda kişisel bilgilerinizin yasal yükümlülüklere uygun olarak kullanılması ve korunması konusunda sorumluluğumuz bulunmaktadır.

4.Kişisel Veri İşleme İlkelerimiz Nelerdir?

4.1. Kişisel Verilerin Korunması Kanunu’nda kişisel verilerin işlenmesi, “Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi” ifade ettiği belirtilmekle işleme faaliyetlerinin bunlarla sınırlı olmadığı da düzenlenmektedir.

4.2. Kişisel veriler, sadece Kişisel Verilerin Korunması Kanunu ile diğer kanunların öngördüğü ilkeler çerçevesinde işlenmektedir. Bu ilkeler;

4.2.1. Hukuka ve dürüstlük kurallarına uygun olma.

4.2.2. Doğru ve gerektiğinde güncel olma.

4.2.3. Belirli, açık ve hukuksal amaçlara yönelik işlenme.

4.2.4. İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma.

4.2.5. İlgili mevzuatta öngörülen veya işlendiği amaca yönelik gerek görülen süre genişliğinde saklanma.

  • Kişisel verilerin Kanuna uygun şekilde yalnızca yetkili kişiler tarafından işlenmesi için gerekli idari ve teknik tedbirler alınmaktadır.
  • Kişisel veriler gerekli hukuki ve teknik gereklilikler sağlanarak aktarılmaktadır.
5. Kişisel Verilerinizi İşlerken Hangi Hukuki Sebepleri Esas Alıyoruz?

5.1. Kişisel verilerinizi işlemin niteliğine göre Kanunda öngörülen çeşitli hukuki sebepler çerçevesinde kullanıyoruz. Bir önceki kısımda belirtilen işleme amaçları ile bağlantılı olarak kişisel verileriniz işlenmektedir

5.2. Kural olarak; kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez.

5.3. Ancak, aşağıdaki şartlardan birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür:

5.3.1. Kanunlarda açıkça öngörülmesi.

5.3.2. Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.

5.3.3. Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.

5.3.4. Şirketimizin (satım sözleşmesi, iş akdi vb.) hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.

5.3.5. İlgili kişinin kendisi tarafından alenileştirilmiş olması.

5.3.6. Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.

5.3.7. İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

5.4. İşleme ile ilgili olarak açık rıza dışında yukarıda belirtilen koşullardan birine dayanması durumunda ilgililerden açık rıza almamaktayız.

6. Kişisel Verilerin İşlenme Amaçları

6.1. Kişisel verileriniz; Kanun’un 5. maddesinin 2. fıkrasında yer alan şartlardan birinin bulunması halinde kanunlarda açıkça öngörülen yükümlülükler ile mesleki ve hukuki gerekliliklerin yerine getirilmesi; ticari ilişkilerimizin, ortaklıklarımızın ve stratejilerimizin doğru olarak planlanması ve yürütülmesi; Şirketimizin ve iş ortaklarımızın hukuki, ticari ve fiziki güvenliğinin temin edilmesi; Şirketimizin kurumsal işleyişinin sağlanması; insan kaynakları politikalarımızın en iyi şekilde planlanması ve uygulanması; Şirketimizin bilişim sistemlerinin çalışırlığı ve bilgi güvenliğinin sağlanması ile bunun için gerekli veri tabanlarının oluşturulması; Şirketimiz internet sitesinde sunulan hizmetlerin geliştirilmesi ve oluşan hataların giderilmesi; ziyaretçi kayıtlarının takibinin yapılması ile talep ve şikayet yönetiminin sağlanması amacıyla işlenir.

6.2. Yetkili kurum ve kuruluşlara gerekli bilgilerin sunulması, çeşitli yasal düzenlemelerden kaynaklı yükümlülüklerin yerine getirilmesi, hukuki iş ve işlemlerin yürütülmesi ve takibi, ilgili kişilerin taleplerinin karşılanması amacıyla işlenir.

6.3. Ürün ve hizmetlerin geliştirilmesi ve müşterilere en uygun şekilde sunulması için araştırma ve analizlerin yapılması, faaliyetlerin Şirketimiz prosedürleri ve ilgili mevzuata uygun olarak yürütülmesinin sağlanması için gerekli denetim faaliyetlerinin planlanması ve icrası, hizmet binalarımızda güvenliğinin sağlanması amacıyla işlenir.

6.4. Açık rızanızı beyan etmeniz halinde ise kişisel verileriniz Şirketimiz tarafından sunulan ürün ve hizmetlerden en iyi şekilde yararlandırılmanız (istatistik, analiz, profilleme ve beğeni raporlamaları yapılması) ve haberdar edilmeniz (tanıtım, reklam, promosyon, duyuru ve bilgilendirmeler yapılması); kurumsal iletişim faaliyetlerinin planlanması, geliştirilmesi ve icrası ile finansal profilinizin analiz edilmesi amacıyla işlenebilir.

7. İşlenen Kişisel Verilerin Kimlere ve Hangi Amaçla Aktarılabileceği

7.1. Kişisel verileriniz, Kanun’un 5. maddesinin 2. fıkrasında yer alan şartlardan birinin bulunması halinde işbu metnin (6) maddesinin 1. paragrafında belirtilen amaçlarla sınırlı olarak iştiraklerimize, iş ortaklarımıza, akdi veya kanuni yükümlülüklerimizi yerine getirmek amacıyla dışarıdan hizmet aldığımız şirketlere (güvenlik, sağlık, iş güvenliği, hukuk v.b. konularda), yetkili kurum ve kuruluşlara Kanun’un 8. ve 9. maddelerinde belirtilen şartlar çerçevesinde gerekli güvenlik önlemleri alınmak kaydıyla aktarılabilir.

7.2. Ayrıca, satım sözleşmesi, tedarikçi sözleşmesi- kalite yönetim sistemleri, iş akdinden kaynaklanan ifanın yerine,

Satım sözleşmesinden kaynaklanan hakların kullanılması ve yükümlülüklerin yerine getirilmesi,

Satış sonrası hizmetlerin gerçekleştirilmesi,

Hukuki iş ve işlemlerin yürütülmesi ve takibi,

Mevzuat kapsamındaki yükümlülüklerin yerine getirilmesi için denetim faaliyetlerinin gerçekleştirilmesi amacıyla aktarılabilir.

7.3. Açık rızanızı beyan etmeniz halinde ise kişisel verileriniz işbu metnin (6.4) maddesinde belirtilen amaçlarla sınırlı olarak iştiraklerimize ve iş ortaklarımıza aktarılabilir.

 8. Kişisel Verilerinizi Amacı Dışında Kullanıyor Muyuz?

Kişisel verilerinizin yalnızca sunulan hizmetin gerektirdiği kapsamda çok sınırlı amaçlar çerçevesinde işlenmesi gerektiğinin bilincindeyiz. Bu sebeple kişisel bilgilerinizi yasal yükümlülüklere aykırı şekilde menfaat temin etmek amacıyla kullanmıyoruz. Şirketimiz bünyesinde verilerinize yetkisiz kişiler tarafından erişilmesini engelleyecek gerekli teknik ve idari önlemleri almaktayız.

9. Ziyaretçilerimizin Kişisel Verilerini İşliyor Muyuz?

Etkin Tıbbi Cihazlar Servis Ticaret ve Sanayi Limited Şirketi hizmet binasında, bina güvenliğinin sağlanması amacıyla hizmet alanlarında yer alan kameralar aracılığıyla görüntü kaydı alınmaktadır. Güvenlik kamerası kayıtlarına yalnızca sınırlı sayıda Şirket çalışanı ve ihtiyaç duyulması halinde tedarikçi konumunda bulunan güvenlik şirketi çalışanları erişebilmektedir. Kayıtlara erişimi olan söz konusu kişiler imzaladıkları gizlilik taahhütnamesi ile eriştiği verilerin gizliliğini koruyacağını beyan etmektedir.

 Bu kişiler, imzaladıkları taahhüt uyarınca, ziyaretçilerimizin zarara uğramaları halinde verecekleri zarardan bizzat sorumludurlar. Söz konusu kişisel verileriniz işleme amacına uygun olarak belirlenmiş saklama süresi sonunda imha edilmektedir.

10. Kişisel Verilerinizle İlgili Kanuni Haklarınız Nelerdir?

10.1. Kişisel verilerinizin işlenmesiyle ilgili olarak bilgi edinebilir veya bizden çeşitli taleplerde bulunabilirsiniz. Örneğin; kişisel verilerinizin işlenme süreçleriyle daha detaylı sorular sorabilir, kişisel bilgilerinizin güncellenmesini sağlayabilir veya bilgilerinizin silinmesini talep edebilirsiniz.

10.2. Kişisel Verilerin Korunması Kanunu’nun 11. maddesi uyarınca, kişisel verileri işlenen herkes Şirketimiz’e başvurarak aşağıda yer alan konularla ilgili taleplerde bulunabilir:

  • Kişisel verilerinin işlenip işlenmediğini öğrenme,
  • Kişisel verileri işlenmişse, buna ilişkin bilgi talep etme,
  • Kişisel verilerinin işlenme amacını ve kişisel verilerinin amacına uygun olup olmadığı ve amacıyla bağlantılı, sınırlı ve ölçülü kullanılıp kullanılmadığını öğrenme,
  • Kişisel verilerinin yurt içinde veya yurt dışında aktarıldığı üçüncü kişileri öğrenme,
  • Kişisel verilerinin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
  • Kişisel verilerinin işlenmesini gerektiren sebeplerin ortadan kalkması halinde bunların silinmesini veya yok edilmesini ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
  • İşlenen verilerinin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle ilgili kişinin aleyhine bir sonucun ortaya çıkmasına itiraz etme,
  • Kişisel verilerinin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması halinde zararın giderilmesini talep etme.

10.3. KVKK’nın 13’üncü maddesinin birinci fıkrası uyarınca; veri sorumlusu olan Şirketimize yukarıda yazılı haklara ilişkin olarak yapılacak başvuruların yazılı olarak Kişisel Veri Sahibi Başvuru Formu veya Kişisel Verilerin Korunması Kurulu (“Kurul”) tarafından belirlenen diğer yöntemlerle iletilmesi gerekmektedir.

10.4. Bu çerçevede “yazılı” olarak Şirketimize yapılacak başvurular, işbu formun çıktısı alınarak;

  • Başvuru sahibinin şahsen ya da posta yoluyla başvurusu ile,
  • Noter vasıtasıyla,
  • Başvuru sahibince 5070 sayılı Elektronik İmza Kanunu’nda tanımlı olan “güvenli elektronik imza” ile imzalanarak Şirketimiz kayıtlı elektronik posta adresine gönderilmek suretiyle,
  • İlgili kişi tarafından Şirketimize daha önce bildirilen ve Şirketimizin sisteminde kayıtlı bulunan elektronik posta adresini kullanmak suretiyle

tarafımıza iletilebilecektir.

10.5. Başvurunun Türkçe yapılması gerekmektedir.

11.  Kişisel Verilerinizi Nasıl Topluyoruz?

Kişisel verilerinize temel olarak iki şekilde ulaşıyoruz.

İlk olarak aşağıda belirtilen kanallar aracılığıyla doğrudan sizden bilgi topluyoruz:

  • Kayıt, şikayet, öneri ve talep formları,
  • Şirketimiz bünyesindeki kamera kayıtları,

İkinci olarak yalnızca belirli amaçlar çerçevesinde, aşağıda belirtilen kanallar aracılığıyla da bilgi topluyoruz.

  • Kanuni temsilci, işveren veya sizin adınıza sözleşme akdetme yetkisine sahip kişi/kişiler,

Kişisel verilerinizi işlemin niteliğine göre yukarıda belirttiğimiz kanallar aracılığıyla, elektronik ortamda otomatik veya sözlü/yazılı şekilde otomatik olmayan yollar ile toplamaktayız.

12. Kişisel Verilerinizi Kimlere Aktarıyoruz?

Kişisel verileriniz; bir önceki kısımda belirtilen amaçlar doğrultusunda faaliyetin niteliğiyle bağlantılı olarak tahsil alacak şirketleri, vekalet ilişkisi içerisinde olduğumuz gerçek ve tüzel kişiler, yetkili kamu kurum ve kuruluşlarına aktarılabilmektedir.

13.Kişisel Verilerinize İlişkin Taleplerinizi Bize Nasıl İletebilirsiniz?

Kişisel verilerinizle ilgili kanuni haklarınız çerçevesindeki taleplerinizi “Başvuru Formu” aracılığıyla bize her zaman iletebilirsiniz. Kişisel veri başvuru formunda, başvuruya ilişkin daha detaylı bilgiler bulunmaktadır.

Kişisel Veri Sahibi Başvuru Formu

14. Kişisel Verilerinizi Korumak İçin Neler Yapıyoruz?

Kişisel verilerinizin yasal gerekliliklere uygun şekilde korunmasına ve gizliliğin sağlanmasına önem vermekteyiz. Bu doğrultuda, aşağıdakilerle sınırlı olmamak üzere gerekli idari ve teknik tedbirleri almaktayız.

TEKNİK TEDBİRLER:

ETKİN’in işlediği kişisel verilerle ilgili olarak alınan teknik tedbirler aşağıda sayılmıştır:

  • Bilişim sistemlerine erişim ve kullanıcıların yetkilendirilmesi, erişim ve yetki matrisi ile yapılmaktadır.
  • Bilişim sistemleri teçhizatı, yazılım ve verilerin fiziksel güvenliği için gerekli tedbirler alınmaktadır
  • Çevresel tehditlere karşı bilişim sistemleri güvenliğinin sağlanması için, donanımsal (sistem odasına sadece yetkili personelin girişini sağlayan erişim kontrol sistemi, 7/24 çalışan izleme sistemi, yerel alan ağını oluşturan kenar anahtarların fiziksel güvenliğinin sağlanması, yangın söndürme sistemi, iklimlendirme sistemi vb.) ve yazılımsal (güvenlik duvarları, atak önleme sistemleri, ağ erişim kontrolü, zararlı yazılımları engelleyen sistemler vb.) önlemler alınmaktadır.
  • Kişisel verilerin bulunduğu saklama alanlarına erişimler kayıt altına alınarak uygunsuz erişimler veya erişim denemeleri kontrol altında tutulmaktadır.
  • Kurum, silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması için gerekli tedbirleri almaktadır.
  • Kişisel verilerin hukuka aykırı olarak başkaları tarafından elde edilmesi halinde bu durumu ilgili kişiye ve Kurula bildirmek için Kurum tarafından buna uygun bir sistem ve altyapı oluşturulmuştur.
  • Güvenlik açıkları takip edilerek uygun güvenlik yamaları yüklenmekte ve bilgi sistemleri güncel halde tutulmaktadır.
  • Kişisel verilerin işlendiği elektronik ortamlarda güçlü parolalar kullanılmaktadır.
  • Kişisel verilerin işlendiği elektronik ortamlarda güvenli kayıt tutma (loglama) sistemleri kullanılmaktadır.
  • Kişisel verilerin güvenli olarak saklanmasını sağlayan veri yedekleme programları kullanılmaktadır.
  • Elektronik olan veya olmayan ortamlarda saklanan kişisel verilere erişim, erişim prensiplerine göre sınırlandırılmaktadır.
  • Kurum internet sayfasına erişimde güvenli protokol (HTTPS) kullanılarak korunmaktadır.
  • Özel nitelikli kişisel verilerin güvenliğine yönelik ayrı politika belirlenmiştir.
  • Özel nitelikli kişisel veri işleme süreçlerinde yer alan çalışanlara yönelik özel nitelikli kişisel veri güvenliği konusunda eğitimler verilmiş, gizlilik sözleşmeleri yapılmış, verilere erişim yetkisine sahip kullanıcıların yetkileri tanımlanmıştır.
  • Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği elektronik ortamlar kriptografik yöntemler veya erişim engellemeleri kullanılarak muhafaza edilmekte, kayıtlar loglanmakta, ortamların güvenlik güncellemeleri sürekli takip edilmekte, gerekli güvenlik testlerinin düzenli olarak yapılması/yaptırılması, test sonuçlarının kayıt altına alınması,
  • Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği fiziksel ortamlar kilitli olup yeterli güvenlik önlemleri alınmakta, fiziksel güvenliği sağlanarak yetkisiz giriş çıkışlar engellenmektedir.
  • Kağıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemler alınmakta ve evrak “gizli” formatta gönderilmektedir.
İDARİ TEDBİRLER:

Etkin’in işlediği kişisel verilerle ilgili olarak alınan idari tedbirler aşağıdaki gibidir.

  • Kişisel verilere erişimi olan tüm ETKİN çalışanlarına 6698 sayılı kanun, bilgi güvenliği, kişisel veri konularında farkındalık oluşturma ve bilinçlendirile için çalışmalar yapılmaktadır.
  • Veri sorumlusu- şirket, bünyesinde çalışan kişilerle iş sözleşmesi (KVKK’ya aykırı olmayan hükümler eklenmiştir) yapmaktadır.
  • Yürütülen faaliyetlere ilişkin çalışanlara gizlilik sözleşmeleri imzalatılmaktadır, sözleşmeye uygun davranılmaması halinde uygulanacak disiplin işlemleri belirlenmiştir.
  • Kişisel veri işlemeye başlamadan, ilgili kişileri aydınlatma yükümlülüğü yerine getirilmektedir.
  • Kişisel veri ve kriz komitesi oluşturulmuş, bu komite çatısı altında kişisel veri kayıt sorumluları belirlenmiştir.
  • Kişisel veri işleme envanteri hazırlanmıştır.
  • Çalışanlara yönelik bilgi güvenliği eğitimleri verilmektedir.
  • Kişisel veri ve kriz komitesi; şirket içi denetimler yapar. Şirket içi denetimler sonucunda bu hükümlerin uygulanmasına ilişkin eksiklik ya da kusurların tespit edilmesi halinde bu eksiklik ya da kusurlar derhal giderilir. Denetim sırasında ya da sair bir şekilde ETKİN sorumluluğunda bulunan kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edildiğinin anlaşılması hâlinde bu durumu derhal Veri Sorumlusuna, veri sorumlusu ise 72 saat içinde Kurula bildirir; ayrıca disiplin yönetmeliği hükümleri uygulanır.

 

ETKİN TIBBİ CİHAZLAR
KİŞİSEL VERİ SAKLAMA VE İMHA POLİTİKASI

1.BÖLÜM: POLİTİKANIN NİTELİĞİ VE AMACI:

İşbu Kişisel Veri Saklama ve İmha Politikası (“Politika”), 6698 Sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) ve Kanun’un ikincil düzenlemesini teşkil eden Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik (“Yönetmelik”) uyarınca yükümlülüklerimizi yerine getirmek ve veri sahiplerini kişisel verilerinizin işlendikleri amaç için gerekli olan azami saklama süresinin belirlenmesi esasları ile silme, yok etme ve anonim hale getirme süreçleri hakkında bilgilendirmek amacıyla veri sorumlusu sıfatıyla Etkin Tıbbi Cihazlar Sanayi Tic. Ltd. Şti. tarafından hazırlanmıştır.

1.1AMAÇ:

Veri sorumlusu sıfatıyla elimizde bulundurduğumuz kişisel verilerin, 6698 sayılı Kişisel Verilerin Korunması Kanunu ve sair mevzuatı uyarınca gerçekleştirilmekte olan saklama ve imha faaliyetlerine ilişkin uygulanacak usul ve esasların belirlenmesi amacıyla hazırlanmıştır.

Bu kapsamda, çalışanlarımızın, çalışan adaylarımızın, müşterilerimizin ve herhangi bir nedenle ETKİN nezdinde kişisel verisi bulunan tüm gerçek kişilerin kişisel verileri Kişisel Verilerin İşlenmesi ve Korunması Politikası ve Kişisel Veri Saklama ve İmha Politikası çerçevesinde kanunlara uygun olarak yönetilmektedir.

1.2 KAPSAM:

Şirket çalışanları, şirket ortakları, yönetim kurulu üyeleri, çalışan adayları, mal ve hizmet sağlayıcıları, paydaşlar ve ziyaretçiler, müşteriler ve diğer üçüncü kişilere ait kişisel veriler bu Politika kapsamındadır.

1.3 TANIMLAR:

Çalışan

:

Etkin Tıbbi Cihazlar personelini

Açık rıza

:

Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı,

Anonim hâle getirme

:

Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini,

Alıcı Grubu

:

Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişiyi

Elektronik Ortam

:

Kişisel verilerin elektronik aygıtlar ile oluşturulabildiği, okunabildiği, değiştirilebildiği ve yazılabildiği ortamlar.

Elektronik Olmayan Ortam

:

Elektronik ortamların dışında kalan tüm yazılı, basılı, görsel vb. diğer ortamlar.

İmha

 

 

Periyodik İmha:

:

 Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi.

 

Kanun’da yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi.

Kişisel veri

:

 Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi,

Kişisel verilerin işlenmesi

:

Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi,

Veri İşleyen

:

 Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi,

İlgili kişi

:

Kişisel verisi işlenen gerçek kişiyi

Veri kayıt sistemi

:

Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini

 Veri sorumlusu

:

 Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan Etkin Tıbbi Cihazlar Servis Tic. ve San. Ltd. Şti.’yi ifade eder

Özel Nitelikli Kişisel Veri

:

 Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.

 

ifade eder.

2. BÖLÜM: KİŞİSEL VERİ VE KRİZ KOMİTESİ

ETKİN bünyesinde bir Kişisel Veri ve Kriz Komitesi kurar. Kişisel Veri ve Kriz Komitesi, ilgili kişilerin verilerinin hukuka, Kişisel Verilerin İşlenmesi ve Korunması Politikasına ve Kişisel Veri Saklama ve İmha Politikasına uygun olarak saklanması ve işlenmesi için gerekli işlemleri yapmak/yaptırmak ve süreçleri denetlemekle yetkili ve görevlidir. Kriz komitesi, riskli durumları tespit eder,  kişisel verilerin ihlalinde ve acil hallerde toplanır, kurula gerekli bildirimleri yapar.

Kişisel Veri ve Kriz Komitesi İş ve Proje Yöneticisi, İnsan Kaynakları Yöneticisi, Kalite-Üretim-Teknik Servis- İdari İşler ve Finanstan Sorumlu Genel Müdür Yardımcısı, Bilgi İşlem Donanım Uzmanı, Satın Alma- Dış Ticaret ve Depodan Sorumlu Genel Müdür Yardımcısı, Mali İşler ve Bütçe Yöneticisinden oluşur.  Kişisel Veri ve Kriz Komitesinde görevli ETKİN çalışanlarının unvanları ve görev tanımları aşağıda belirtilmiştir:

Unvan

 

Görev Tanımı

Kişisel Veri ve Kriz Komitesi Yöneticisi

:

Kanuna uyumluluk sürecinde yürütülen projelerde her türlü planlama, analiz, araştırma, risk belirleme çalışmalarını yönlendirmek; Kanun, Kişisel Verilerin İşlenmesi ve Korunması Politikası ve Kişisel Veri Saklama ve İmha Politikası uyarınca yürütülmesi gereken süreçleri yönetmek ve ilgili kişilerce gelen talepleri karara bağlamakla yükümlüdür.

KVKK Uzmanı

(Teknik ve İdari)

:

İlgili kişilerin taleplerinin incelenmesi ve değerlendirilmek üzere Kişisel Veri ve Kriz Komitesi Yöneticisine raporlanmasından; Kişisel Veri ve Kriz Komitesi tarafından değerlendirilen ve karara bağlanan ilgili kişi taleplerine ilişkin işlemlerin Kişisel Veri ve Kriz Komitesinin kararı uyarınca yerine getirilmesinden; saklama ve imha süreçlerinin denetiminin yapılmasından ve bu denetimlerin Kişisel Veri ve Kriz Komitesi Yöneticisine raporlanmasından; saklama ve imha süreçlerinin yürütülmesinden sorumludur. Kayıt veri yönetiminde bulunan bölüm yöneticilerinin, işlerini tam olarak ifa edip etmediğinin sorumluluğu KVKK komitesine uzmanlarına aittir.

 

Etkin Tıbbi Cihazlar tüm birimleri ve çalışanları, hazırlanan bu politika kapsamında alınmakta olan teknik ve idari tedbirlerin gereği gibi uygulanması, birim çalışanlarının eğitimi ve farkındalığının arttırılması, izlenmesi ve sürekli denetimi ile kişisel verilerin hukuka aykırı olarak işlenmesinin önlenmesi, kişisel verilere hukuka aykırı olarak erişilmesinin önlenmesi ve kişisel verilerin hukuka uygun saklanmasının sağlanması amacıyla kişisel veri işlenen tüm ortamlarda veri güvenliğini sağlamaya yönelik teknik ve idari tedbirlerin alınması konularında sorumlu birimlere aktif olarak destek verir.

3. BÖLÜM: ORTAMLAR VE GÜVENLİK TEDBİRLERİ
3.1 KİŞİSEL VERİLERİN SAKLANDIĞI ORTAMLAR

ETKİN bünyesinde saklanan kişisel veriler, ilgili verinin niteliğine ve hukuki yükümlülüklerimize uygun bir kayıt ortamında tutulur.

Kişisel verilerin saklanması için kullanılan kayıt ortamları aşağıda sayılmıştır. Listelenen ortamlarda hukuka uygun olarak güvenli bir şekilde saklanır.

 Elektronik Olmayan Ortamlar

:

 

Kağıt,

Manuel veri kayıt sistemleri (anket formları vb.), 

Yazılı, basılı, görsel ortamlar

Elektronik Ortamlar

:

Sunucular,

Yazılımlar: PDKS, Elcobil, ….

Bilgi Güvenliği Cihazları: Güvenlik duvarı, antivirüs vb

Kişisel Bilgisayarlar: Masaüstü, dizüstü

Mobil Cihazlar: Telefon, tablet vb

Optik Diskler: CD, DVD vb

Çıkartılabilir Bellekler: USB, Hafıza kartı vb.

Yazıcı, Tarayıcı, Fotokopi Makineleri


3.2 GÜVENLİK TEDBİRLERİ:

Kişisel verilerin güvenli bir şekilde saklanması, hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi ile kişisel verilerin hukuka uygun olarak imha edilmesi için kanuna uygun olarak ilgili kişisel veri ile tutulduğu ortamın niteliklerine göre gerekli tüm teknik ve idari tedbirler alınmaktadır.

3.3 TEKNİK TEDBİRLER:

ETKİN’in işlediği kişisel verilerle ilgili olarak alınan teknik tedbirler aşağıda sayılmıştır:

  • Bilişim sistemlerine erişim ve kullanıcıların yetkilendirilmesi, erişim ve yetki matrisi ile yapılmaktadır.
  • Bilişim sistemleri teçhizatı, yazılım ve verilerin fiziksel güvenliği için gerekli tedbirler alınmaktadır
  • Çevresel tehditlere karşı bilişim sistemleri güvenliğinin sağlanması için, donanımsal (sistem odasına sadece yetkili personelin girişini sağlayan erişim kontrol sistemi, 7/24 çalışan izleme sistemi, yerel alan ağını oluşturan kenar anahtarların fiziksel güvenliğinin sağlanması, yangın söndürme sistemi, iklimlendirme sistemi vb.) ve yazılımsal (güvenlik duvarları, atak önleme sistemleri, ağ erişim kontrolü, zararlı yazılımları engelleyen sistemler vb.) önlemler alınmaktadır.
  • Kişisel verilerin bulunduğu saklama alanlarına erişimler kayıt altına alınarak uygunsuz erişimler veya erişim denemeleri kontrol altında tutulmaktadır.
  • Kurum, silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması için gerekli tedbirleri almaktadır.
  • Kişisel verilerin hukuka aykırı olarak başkaları tarafından elde edilmesi halinde bu durumu ilgili kişiye ve Kurula bildirmek için Kurum tarafından buna uygun bir sistem ve altyapı oluşturulmuştur.
  • Güvenlik açıkları takip edilerek uygun güvenlik yamaları yüklenmekte ve bilgi sistemleri güncel halde tutulmaktadır.
  • Kişisel verilerin işlendiği elektronik ortamlarda güçlü parolalar kullanılmaktadır.
  • Kişisel verilerin işlendiği elektronik ortamlarda güvenli kayıt tutma (loglama) sistemleri kullanılmaktadır.
  • Kişisel verilerin güvenli olarak saklanmasını sağlayan veri yedekleme programları kullanılmaktadır.
  • Elektronik olan veya olmayan ortamlarda saklanan kişisel verilere erişim, erişim prensiplerine göre sınırlandırılmaktadır.
  • Kurum internet sayfasına erişimde güvenli protokol (HTTPS) kullanılarak korunmaktadır.
  • Özel nitelikli kişisel verilerin güvenliğine yönelik ayrı politika belirlenmiştir.
  • Özel nitelikli kişisel veri işleme süreçlerinde yer alan çalışanlara yönelik özel nitelikli kişisel veri güvenliği konusunda eğitimler verilmiş, gizlilik sözleşmeleri yapılmış, verilere erişim yetkisine sahip kullanıcıların yetkileri tanımlanmıştır.
  • Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği elektronik ortamlar kriptografik yöntemler veya erişim engellemeleri kullanılarak muhafaza edilmekte, kayıtlar loglanmakta, ortamların güvenlik güncellemeleri sürekli takip edilmekte, gerekli güvenlik testlerinin düzenli olarak yapılması/yaptırılması, test sonuçlarının kayıt altına alınması,
  • Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği fiziksel ortamlar kilitli olup yeterli güvenlik önlemleri alınmakta, fiziksel güvenliği sağlanarak yetkisiz giriş çıkışlar engellenmektedir.
  • Kağıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemler alınmakta ve evrak “gizli” formatta gönderilmektedir.
3.4 İDARİ TEDBİRLER:

Etkin’in işlediği kişisel verilerle ilgili olarak alınan idari tedbirler aşağıdaki gibidir.

  • Kişisel verilere erişimi olan tüm ETKİN çalışanlarına 6698 sayılı kanun, bilgi güvenliği, kişisel veri konularında farkındalık oluşturma ve bilinçlendirile için çalışmalar yapılmaktadır.
  • Veri sorumlusu- şirket, bünyesinde çalışan kişilerle iş sözleşmesi (KVKK’ya aykırı olmayan hükümler eklenmiştir) yapmaktadır.
  • Yürütülen faaliyetlere ilişkin çalışanlara gizlilik sözleşmeleri imzalatılmaktadır, sözleşmeye uygun davranılmaması halinde uygulanacak disiplin işlemleri belirlenmiştir.
  • Kişisel veri işlemeye başlamadan, ilgili kişileri aydınlatma yükümlülüğü yerine getirilmektedir.
  • Kişisel veri ve kriz komitesi oluşturulmuş, bu komite çatısı altında kişisel veri kayıt sorumluları belirlenmiştir.
  • Kişisel veri işleme envanteri hazırlanmıştır.
  • Çalışanlara yönelik bilgi güvenliği eğitimleri verilmektedir
  • Kişisel veri ve kriz komitesi; şirket içi denetimler yapar. Şirket içi denetimler sonucunda bu hükümlerin uygulanmasına ilişkin eksiklik ya da kusurların tespit edilmesi halinde bu eksiklik ya da kusurlar derhal giderilir. Denetim sırasında ya da sair bir şekilde ETKİN sorumluluğunda bulunan kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edildiğinin anlaşılması hâlinde bu durumu derhal Veri Sorumlusuna, veri sorumlusu ise 72 saat içinde Kurula bildirir; ayrıca disiplin yönetmeliği hükümleri uygulanır.
 4. KİŞİSEL VERİLERİN İMHASI

4.1 SAKLAMA VE İMHA NEDENLERİ
4.1.1 Saklama Nedenleri:

  • 6698 sayılı Kişisel Verilerin Korunması Kanunu,
  • 4857 sayılı İş Kanunu,
  • 6098 sayılı Türk Borçlar Kanunu,
  • 4734 sayılı Kamu İhale Kanunu,
  • 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu,
  • 6331 sayılı İş Sağlığı ve Güvenliği Kanunu,
  • 4982 Sayılı Bilgi Edinme Kanunu,
  • 5746 Sayılı Kanun
  • Şirketimizin işleyişi esnasında uygulama alanı bulan tüm kanunlar ve bu kanunlar uyarınca yürürlükte olan diğer ikincil düzenlemeler

çerçevesinde öngörülen saklama süreleri kadar saklanmaktadır.

4.1.2 Saklama Gerektiren İşleme Amaçları:

Etkin, faaliyetleri çerçevesinde işlemekte olduğu kişisel verileri aşağıdaki amaçlar doğrultusunda saklar.

  • İnsan kaynakları süreçlerini yürütmek.
  • Kurumsal iletişimi sağlamak.
  • Şirket güvenliğini sağlamak,
  • Üretim süreçlerini yürütmek,
  • Bilgi işlem süreçlerini yürütmek
  • Muhasebe süreçlerini yürütmek
  • Satış (özel hukuk kişileri ve kamu hukuk tüzel kişilerine yapılan) ve pazarlama süreçlerini yürütmek,
  • Kalite yönetim sistemi süreçlerini yürütmek,
  • Lojistik faaliyetlerin yürütmek,
  • Denetim ve belgelendirme süreçlerinin yürütülmesi
  • İstatistiksel çalışmalar yapabilmek.
  • Kalibrasyon süreçlerinin yürütülmesi
  • Proje destek teşvik süreçlerini yürütmek
  • İmzalanan sözleşmeler ve protokoller neticesinde iş ve işlemleri ifa edebilmek.
  • Mevzuat kaynaklı yükümlülüklerin yerine getirilmesini sağlamak,
  • Şirket ile iş ilişkisinde bulunan gerçek / tüzel kişilerle irtibat sağlamak.
  • Yasal bildirimler yapmak.
  • İleride doğabilecek hukuki uyuşmazlıklarda delil olarak ispat yükümlülüğü.
  • Kişisel verilerin sözleşmelerin kurulması ve ifası ile doğrudan doğruya ilgili olması nedeniyle saklanması,
  • Kişisel verilerin bir hakkın tesisi, kullanılması veya korunması amacıyla saklanması,
  • Kişisel verilerin kişilerin temel hak ve özgürlüklerine zarar vermemek kaydıyla Şirket’in meşru menfaatleri için saklanmasının zorunlu olması,
  • Kişisel verilerin Şirket’in herhangi bir hukuki yükümlülüğünü yerine getirmesi amacıyla saklanması,
  • Mevzuatta kişisel verilerin saklanmasının açıkça öngörülmesi,
  • Veri sahiplerinin açık rızasının alınmasını gerektiren saklama faaliyetleri açısından veri sahiplerinin açık rızasının bulunması.

4.1.3 İmha Nedenleri:

Kişisel veriler;

  • İşlenmesine esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi
  • İşlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,
  • Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin açık rızasını geri alması,
  • Kanunun 11 inci maddesi gereği ilgili kişinin hakları çerçevesinde kişisel verilerinin silinmesi ve yok edilmesine ilişkin yaptığı başvurunun Kurum tarafından kabul edilmesi,
  • Kurumun, ilgili kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabı yetersiz bulması veya Kanunda öngörülen süre içinde cevap vermemesi hallerinde; Kurula şikâyette bulunması ve bu talebin Kurul tarafından uygun bulunması,
  • Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olması ve kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması,

durumlarında, Şirket tarafından ilgili kişinin talebi üzerine silinir, yok edilir ya da re’sen silinir, yok edilir veya anonim hale getirilir.

4.2 SAKLAMA VE İMHA SÜRELERİ

4.2.1. İlgili kişi, Kanunun (Değişik ibare:RG-28/4/2019-30758) 11 inci ve 13 üncü maddelerine istinaden veri sorumlusuna başvurarak kendisine ait kişisel verilerin silinmesini veya yok edilmesini talep ettiğinde;

a) Kişisel verileri işleme şartlarının tamamı ortadan kalkmışsa; Etkin talebe konu kişisel verileri siler, yok eder veya anonim hale getirir. Etkin, ilgili kişinin talebini en geç otuz gün içinde sonuçlandırır ve ilgili kişiye bilgi verir.

b) Kişisel veri işleme şartlarının tamamı ortadan kalkmamışsa, bu talep veri sorumlusunca Kanunun 13 üncü maddesinin üçüncü fıkrası uyarınca gerekçesi açıklanarak reddedilebilir ve ret cevabı ilgili kişiye en geç otuz gün içinde yazılı olarak ya da elektronik ortamda bildirilir.

4.2.2. Etkin tarafından tespit edilen saklama ve periyodik imha sürelerine, 4.3.1 de belirtilen saklama ve periyodik imha süreleri çizelgesinden ulaşabilirsiniz. Saklama süresi dolan kişisel veriler,  Politika’da yer verilen usullere uygun olarak anonim hale getirilir veya imha (silme ve yok etme) edilir. Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesiyle ilgili yapılan bütün işlemler kayıt altına alınır ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az 5 (beş) yıl süreyle saklanır.

4.3 POLİTİKANIN YÜRÜRLÜĞE SOKULMASI, İHLAL DURUMLARI VE YAPTIRIMLAR
  • İşbu Politika tüm çalışanlara duyurularak yürürlüğe girecek ve yürürlüğü itibariyle tüm iş birimleri, danışmanlar, dış hizmet sağlayıcıları ve kişisel veri işleyen herkes için bağlayıcı olacaktır.
  • Çalışanların politikanın gereklerini yerine getirip getirmediğinin takibi ilgili çalışanların amirlerinin sorumluluğunda olacaktır. Politikaya aykırı davranış tespit edildiğinde konu derhal ilgili çalışanın yöneticisi tarafından bağlı bulunan bir üst yöneticisine bildirilecektir.
  • Aykırılığın önemli boyutta olması halinde ise üst yönetici tarafından vakit kaybetmeksizin Kişisel Veri ve Kriz Komitesi’ne bilgi verilecektir.
  • Politikaya aykırı davranan çalışan hakkında, Kişisel Veri ve Kriz Komitesi tarafından yapılacak değerlendirme sonrasında gerekli idari işlem yapılacaktır.
  • Şirket içerisinde Kanun, Yönetmelik ve Politika ile belirtilen verinin imhasına dair gereklerin yerine getirilmesinde şirket nezdinde kişisel veri saklayan ve işleyen tüm personel sorumludur. Her iş birimi kendi iş süreçlerinde ürettiği veriyi saklamak ve korumakla yükümlüdür.
  • Verilerin imha edilmesine ilişkin süreç, hangi veri, kim tarafından, ne zaman imha edildiği kayıt altına alınır. Kayıt altına alma işlemi, bölüm yöneticisi tutanağa bağlanarak imzalanır. Bu durum, genel müdüre bildirilir.

 4.3.1 Saklama Ve Periyodik İmha Süreleri

Kişisel veriler politikasında belirtilen hususlar dikkate alınarak aşağıdaki tabloda belirtilen süreler boyunca saklanarak, süre sonunda ise anonim hale getirilecek veya yok edilecektir :

 

         SAKLAMA VE PERİYODİK İMHA SÜRELERİ ÇİZELGESİ         

 

Saklama Süresi

Periyodik İmha Süresi

İş Kanunu kapsamında saklanılan

veriler

(İşçinin en az 1 yıl kıdemi olması

halinde kıdem tazminatı için gerekli

olan veriler, ücret, fazla mesai,

performans kayıtları vs.)

İş ilişkisinin

sona ermesine müteakip 

10

 yıl

Saklama süresinin

bitimini takiben 180 gün

içerisinde

İş sağlığı ve güvenliği mevzuatı

kapsamında toplanan veriler

(sağlık raporları vs.)

İş ilişkisinin sona

ermesine müteakip 15 yıl

Saklama süresinin bitimini

takiben 180 gün içerisinde

SGK mevzuatı kapsamında tutulan

veriler

İş ilişkisinin sona

ermesine müteakip 10 yıl

Saklama süresinin bitimini

takiben 180 gün içerisinde

İş kazası/meslek hastalığına ilişkin bir talepte/ davada

kullanılabilecek dökümanlar

İş ilişkisinin sona

ermesine müteakip 10 yıl

Saklama süresinin bitimini

takiben 180 gün içerisinde

Sair ilgili mevzuat gereği toplanan

veriler

İlgili mevzuatta öngörülen

süre kadar

Saklama süresinin bitimini

takiben 180 gün içerisinde

İlgili kişisel verinin Türk Ceza

Kanunu veya sair ceza hükmü

getiren mevzuat kapsamında bir suça konu

olması

Dava zamanaşımı

müddetince

Saklama süresinin bitimini

takiben 180 gün içerisinde

Müşteri verileri

Kayıt altına

alınmasına müteakip 10 yıl

Saklama süresinin bitimini

takiben 180 gün içerisinde

Muhasebe ve finansal işlemlere ilişkin

Tüm kayıtlar

Kayıt altına alınmasına

müteakip 10 yıl

Saklama süresinin bitimini

Takiben 180 gün içerisinde

 

                                                                                             

Şirket’in ilgili kişisel veriyi kullanma amacı sona ermedi ise, ilgili mevzuat gereği ilgili kişisel veri için öngörülen saklama süresi tabloda yer alan sürelerden fazla ise veya ilgili konuya ilişkin dava zamanaşımı süresi kişisel verinin tabloda yer alan sürelerden fazla saklanmasını gerektiriyorsa, yukarıdaki tabloda yer alan süreler uygulanmayabilecektir. Bu halde kullanım amacı, özel mevzuat veya dava zamanaşımı süresinden hangisi daha sonra sona eriyor ise, o süre uygulama alanı bulacaktır.

 4.4 Kişisel verilerin imha yöntemleri:

Kağıt ortamında bulunan kişisel veriler, karartma yöntemi kullanılarak silinmekte ya da kağıt imha makinaları kullanılarak yok edilmektedirler. Orijinal kağıt formattan tarama yoluyla elektronik ortama aktarılan kişisel veriler ise, bulundukları ortama göre uygun yöntemlerle yok edilir.

    • Kişisel verilerin anonim hale getirilmesi aşamasında, Kişisel Verileri Koruma Kurumu’nun yayınladığı kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi rehberinde gösterilen kişisel verilerin anonim hale getirilmesi yöntemlerinden uygun olanı kullanılır.
    • Merkezi sunucuda yer alan ofis dosyaları, işletim sistemindeki silme komutu ile silinir.
    • Taşınabilir medyada bulunan kişisel veriler, uygun yazılımlar ile silinir.
    • Veri tabanlarında bulunan kişisel veriler, kişisel verilerin bulunduğu ilgili satırlar veri tabanı komutları ile silinir.
    • Yerel sistemlerde ve diğer veri kayıt ortamlarında bulunan kişisel veriler, de-manyetize etme, fiziksel yok etme, üzerine yazma yöntemlerinden uygun olanı ile yok edilir.
    • Ağ cihazlarında bulunan bulunan kişisel veriler, de-manyetize etme, fiziksel yok etme, üzerine yazma yöntemlerinden uygun olanı ile yok edilir.
    • Flash tabanlı ortamlar, ilgili üreticinin önerdiği yöntemler ya da de-manyetize etme, fiziksel yok etme, üzerine yazma yöntemlerinden uygun olanı ile yok edilir.
    • Sim kart ve hafıza kartları, bulunan kişisel veriler, de-manyetize etme, fiziksel yok etme, üzerine yazma, kırma, parçalama yöntemlerinden uygun olanı ile yok edilir.

 

  1. Yürürlük: İşbu politika 07.04.2020 tarihinde yürürlüğe girmiştir.