ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİ VE GÜVENLİĞİ POLİTİKASI

 

GEN İLAÇ VE SAĞLIK ÜRÜNLERİ SANAYİ VE TİCARET ANONİM ŞİRKETİ

 

A-GİRİŞ

1.POLİTİKANIN AMACI

Gen İlaç ve Sağlık Ürünleri Sanayi ve Ticaret Anonim Şirketi (bundan sonra “GEN” veya “Şirket” olarak anılacaktır.) olarak, 6698 sayılı Kişisel Verilerin Korunma Kanunu ve ilgili mevzuata uygun olarak özel nitelikli kişisel verileri işlemekte ve bu verilerin güvenliğini sağlamaktayız.

İşbu Özel Nitelikli Kişisel Verilerin İşlenmesi ve Güvenliği Politikası (“Politika”), “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler” ile ilgili Kişisel Verileri Koruma Kurulu’nun 31/01/2018 tarihli ve 2018/10 sayılı kararı (“Kurul Kararı”) uyarınca, veri sorumlusu olarak özel nitelikli kişisel verilerin işlenmesine yönelik aldığımız önlemlerin belirlenmesi amacıyla hazırlanmıştır.

İşbu Politika ile GEN’in Kişisel Veri Güvenliği Politikası (“Güvenlik Politikası”) birbirlerini tamamlayıcı nitelikte olup, işbu Politika’da bahsedilmeyen hususlar için Güvenlik Politikası’nın incelenmesi gerekmektedir.

GEN, veri sorumlusu olarak, uhdesinde bulunan özel nitelikli kişisel verileri işlerken, üçüncü kişiler ile paylaşırken ve veri kayıt ortamlarında saklarken işbu Politika’ya uygun olarak hareket edecektir.

2.POLİTİKANIN KAPSAMI

İşbu Politika, aşağıdaki kişilere ait edindiğimiz ve edinebileceğimiz özel nitelikli kişisel verilerin uygun güvenlik düzeyini sağlamaya yönelik faaliyetlerimizi kapsamaktadır:

  • Şirketimizin çalışanları, çalışan adayları, eski çalışanları ve stajyerleri,

  • Şirketimizin ve topluluk şirketlerimizin temsilcileri, vekilleri ve hissedarları,

  • İş ortaklarımızın çalışanı, temsilcisi ve vekili,

  • İş birliği içinde olduğumuz sağlık mesleği mensupları,

  • Tedarikçilerimizin çalışanı, temsilcisi ve vekili,

  • Müşterilerimiz ve potansiyel müşterilerimiz,

  • Kamu/özel kurum ve kuruluşu çalışanları,

  • İş birliği içinde olduğumuz derneklerin üyeleri ve yöneticileri,

  • Diğer gerçek kişiler.

Bu kişi grubu tanımlarına ilişkin açıklamalar, EK-1’de yer verilmektedir.

3.POLİTİKADAKİ DEĞİŞİKLİKLER VE GÜNCELLEMELER

GEN, işbu Politika çerçevesinde Bölüm 2’de bahsi geçen kişilerin özel nitelikli kişisel verilerini kişisel verilerin korunması mevzuatına uygun olarak işlemek ve bu verilerin güvenliğini sağlamak amacıyla gerekli idari ve teknik önlemleri alacaktır. Kanun veya ilgili mevzuatta veyahut GEN’in faaliyetlerinde meydana gelen değişiklikler doğrultusunda, işbu Politika ilgili birimler tarafından her zaman değiştirilebilir ve güncellenebilir.

İşbu Politika en son 11.06.2021 tarihinde güncellenmiştir. Yapılan güncellemelerin tarihini ve değişikliklerin içeriği EK-2’deki tabloda ayrıca belirtilmiştir.

4.TANIMLAR

Kişisel Veri

Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.

Özel Nitelikli Kişisel Veri

Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık kıyafet, dernek vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik veriler.

İlgili Kişi

Kişisel verisi işlenen gerçek kişi.

Kişisel Verilerin İşlenmesi

Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.

Açık Rıza

Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.

KVK Kanunu

7 Nisan 2016 tarihli ve 29677 sayılı Resmi Gazete’de yayımlanan, 24 Mart 2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanunu.

Kurul

Kişisel Verileri Koruma Kurulu.

Kurum

Kişisel Verileri Koruma Kurumu.

Kurul Kararı

“Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler” ile ilgili Kişisel Verileri Koruma Kurulu’nun 31/01/2018 tarihli, 2018/10 sayılı kararıdır.

Politika

Özel Nitelikli Kişisel Verilerin İşlenmesi ve Güvenliği Politikası.

Güvenlik Politikaları

Kişisel Veri Güvenliği Politika ve Prosedürleri

Veri Sorumlusu

Kişisel verilerin işlenme amaçlarını ve vasıtalarını belirleyen, verilerin sistematik bir şekilde tutulduğu yeri yöneten kişidir.

Veri İşleyen

Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel veri işleyen gerçek ve tüzel kişidir.

Kişisel Veri İşleme Envanteri

 

 

 

Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçlarını, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve detaylandırdıkları envanteridir.

B-ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİ

1.ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN GENEL İLKELER

GEN, kişisel verilerin işlenmesine ilişkin KVK Kanunu’nda belirtilen genel ilkelere uymakla yükümlüdür. Bu kapsamda GEN, özel nitelikli kişisel veriler işlerken aşağıdaki ilkelere uygun olarak hareket edecektir:

  • Hukuka ve dürüstlük kuralına uygun olarak kişisel verileri işleme,

  • Kişisel verilerin doğru ve gerektiğinde güncel olmasını sağlama,

  • Kişisel verileri belirli, açık ve meşru amaçlarla işleme,

  • Kişisel verileri işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olarak işleme,

  • İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza etme.

2.ÖZEL NİTELİKLİ KİŞİSEL VERİLERİ İŞLEME ŞARTLARI

GEN, yukarıda bahsedilen genel ilkeler ile beraber KVK Kanunu’nun 6. maddesinde belirtilen şartlara uygun olarak özel nitelikli kişisel verileri işlemekle yükümlüdür. Bu kapsamda GEN, aşağıdaki şartlardan birine dayalı olarak özel nitelikli kişisel verileri işleme faaliyeti yürütebilecektir:

  • Özel nitelikli kişisel verilerin işlenmesine yönelik ilgili kişinin açık rızasının alınması veya,

  • Sağlık ve cinsel hayata ilişkin kişisel veriler hariç, özel nitelikli kişisel verinin işlenmesinin kanunda öngörülmesi

  • Sağlık ve cinsel hayata ilişkin kişisel veriler ise, açık rıza aranmaksızın, ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenebilmektedir.

3.ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN AKTARILMASI

GEN, özel nitelikli kişisel verileri KVK Kanunu’nun 8. ve 9. maddelerinde belirtilen veri işleme şartlarına uygun olarak üçüncü kişiler ile paylaşabilecektir. Özel nitelikli kişisel verileri üçüncü kişilere aktarması esnasında GEN, Kurul Kararı’nda belirtilen güvenlik önlemlerini alacaktır. Bu kapsamda GEN, özel nitelikli kişisel verileri

  • e-posta ile aktardığı durumlarda, şifreli olarak kurumsal e-posta adresi veya Kayıtlı Elektronik Posta (KEP) hesabı kullanmaktadır,

  • farklı fiziksel ortamlardaki sunucular arasında aktardığı durumlarda, sunucular arasında VPN kurarak ya da sFTP yöntemiyle verileri aktarmaktadır,

  • kağıt üzerinden aktardığı durumlarda, belgenin çalınması, kaybolması ya da yetkisi kişisel tarafından erişilmesi gibi risklere karşı gerekli önlemleri almakta ve belgeyi “gizlilik dereceli belgeler” formatında göndermektedir.

4.ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN MUHAFAZASI

GEN, yukarıda detaylıca bahsi geçen genel ilke ve işleme şartlarına uygun bir şekilde özel nitelikli kişisel verileri muhafaza etmektedir. Özel nitelikli kişisel verilerin muhafaza edildiği ve/veya erişildiği ortamlara ilişkin GEN, Kurul Kararı’nda belirtilen güvenlik önlemlerini alacaktır. Bu kapsamda GEN,

  • özel nitelikli kişisel verileri kriptografik yöntemler kullanılarak muhafaza etmekte ve kriptografik anahtarları güvenli ve farklı ortamlarda tutmaktadır,

  • özel nitelikli kişisel veriler üzerinde gerçekleştirilen tüm hareketlerin işlem kayıtlarının güvenli olarak loglanmaktadır,

  • özel nitelikli kişisel verilerin bulunduğu ortamlara ait güvenlik güncellemelerinin sürekli takip etmekte, gerekli güvenlik testlerinin düzenli olarak yaptırmakta ve test sonuçlarını kayıt altına almaktadır,

  • özel nitelikli kişisel verilere bir yazılım aracılığı ile erişildiği hallerde bu yazılıma ait kullanıcı yetkilendirmeleri yapılmaktadır,

  • özel nitelikli kişisel verilere uzaktan erişim gerekiyorsa en az iki kademeli kimlik doğrulama sistemi sağlanmaktadır.

  • özel nitelikli kişisel verilerinin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, fiziksel ortam ise, elektrik kaçağı, yangın, su baskını, hırsızlık vb. durumlara karşı önlemleri almaktadır. Bu ortamların fiziksel güvenliği sağlanarak yetkisiz giriş çıkışları engellenmektedir.

C-ÇALIŞANLARIN ÖZEL NİTELİKLİ KİŞİSEL VERİLERİ İŞLEMESİ

GEN, özel nitelikli kişisel verileri işleyen çalışanları için Kurul Kararı’nda belirtilen aşağıdaki tedbirleri almaktadır:

  • Personellere, kişisel verilerin güvenliğinin sağlanması, hukuka aykırı olarak açıklanmaması ve paylaşılmamasına ilişkin gerekli eğitim ve farkındalık çalışmaları yapılmaktadır.

  • Çalışanlar ile gizlilik sözleşmesi akdedilmektedir.

  • Personeller, çalıştığı departmana ve iş rolüne göre kişisel verilerin bulunduğu sunuculara erişim için yetkilendirilmektedir.  Bu yetkilerin kapsamı ve süreleri net olarak belirlenmektedir.

  • Dönemsel olarak yetki kontrolleri yapılmaktadır.

  • Çalışanların görev değiştirmesi veya işten ayrılması halinde verilere erişim yetkileri kaldırılmakta ve kendisine verilen envanter geri alınmaktadır.

D-KİŞİSEL VERİ GÜVENLİĞİ POLİTİKASI

GEN, özel nitelikli kişisel veriler dahil olmak üzere işlediği tüm kişisel verilerin güvenliğini sağlamak amacıyla Kurum’un internet sitesinde yayınladığı Kişisel Veri Güvenliği Rehber’inde belirtilen teknik ve idari tedbirlere uygun olarak Kişisel Veri Güvenliği Politikası’nı oluşturmuştur. İşbu Özel Nitelikli Kişisel Veri Güvenliği Politikası, işlenen kişisel verilerin hukuka uygunluğunu sağlamak, hukuka aykırı olarak erişilmesini önlemek ve muhafazasını sağlamak adına uygun güvenlik düzeyini sağlamaya yönelik Şirket’in aldığı teknik ve idari tedbirlere yer vermektedir.

Bu kapsamda Kişisel Veri Güvenliği Politikası’nda yer alan tüm teknik ve idari tedbirler, işbu Politika’da belirlenen tedbirlere ek olarak özel nitelikli kişisel verileri işleme faaliyetlerinde uygulanmaktadır.

EK-1 KİŞİ GRUPLARI

KİŞİ GRUPLARI

AÇIKLAMALAR

Müşteri

Şirket’ten halihazırda ürün/hizmet alan kişiler

Potansiyel Müşteri

Şirket’ten halihazırda hizmet almayan ve sözleşme ilişkisi başlamayan; ancak hizmeti alması muhtemel kişiler

Şirket Temsilcisi veya Vekili

Şirket'i temsil veya vekil eden kişiler (Şirket'in danışmanlık aldığı avukatlar, Şirket'in temsil ve ilzama yetkili yönetim kurulu üyesi)

Hissedar

Şirket çalışanı olmayan ancak şirketin genel kurulunda pay sahibi olan kişiler

Tedarikçi 

Şirket'in hizmet aldığı firmaların çalışanı, çalışan adayı, temsilcisi veya vekili

İş Ortağı

Şirket'in faaliyetlerinde beraber çalıştığı firmaların çalışanı, çalışan adayı, temsilcisi veya vekili

Çalışan

Şirket’in işveren olarak çalıştırdığı ve aralarında iş sözleşmesi bulunan kişiler

Çalışan Adayı

Şirket'in işveren olarak henüz çalıştırmadığı ancak çalıştırması muhtemel kişiler

Eski Çalışan / Emekli

Şirket’in eskiden işveren olarak çalıştırdığı ve aralarında iş sözleşmesi bulunmuş kişiler

Aile Üyeleri

Kişisel veri sahibinin aile bireylerine ilişkin veriler (örnek özel sigorta yaptırılacak aile üyeleri)

Ziyaretçi

Şirket yerleşkesini ziyaret eden kişiler

Hukuken Yetkili Kişi

Hukuken yetkili kamu kurum ve kuruluşları veya özel kişi ve kuruluşlarında çalışan kişiler.

Stajyer

Meslek bilgisini artırmak için Şirket’in bir veya birçok bölümünde çalışarak geçiren kişiler

Diğer

Bu kişi gruplarının kapsamına girmeyen kişiler tam ismiyle/unvanıyla belirtilir.

 

 

 

EK-2 GÜNCELLEMEYE İLİŞKİN TABLO

GÜNCELLEME TARİHİ

YAPILAN DEĞİŞİKLİKLER