KVKK
Kişisel Verilerin Korunması Ve İşlenmesi Politikası
SS İSTANBUL ECZACILAR ÜRETİM DAĞITIM KOOPERATİFİ
TANIMLAR
KAVRAM | TANIMLAR |
Açık Rıza | Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza |
İlgili Kişi/Veri Sahibi | Kişisel verisi işlenen gerçek kişi |
İlgili Düzenlemeler | Kişisel Verilerin Korunması Hakkında Kanun, yönetmelik, tebliğ, mevzuat ile Kurul tarafından alınan kararlar |
Kanun/KVKK | 6698 sayılı Kişisel Verilerin Korunması Hakkında Kanun |
Kişisel Veri | Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi |
Kişisel Verilerin İşlenmesi | Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem |
Kurul | Kişisel Verileri Koruma Kurulu |
Kurum | Kişisel Verileri Koruma Kurumu |
Ortak | Kooperatif tarafından her türlü ilaç, medikal, ıtriyat v.b. satımı yapılan Eczacıyı |
Çalışan | Belirli / belirsiz süreli iş sözleşmesi uyarınca Kooperatif ile iş ilişkisi bulunan gerçek kişiyi |
İş Ortakları | Hizmet, mal alımı gibi hususlarda ticari ilişki içinde olunan, bayi, distribütör, tedarikçilerin işlenecek kişisel verileri de dahil olmak üzere gerçek ve tüzel kişiler; yetkilileri, bayi yetkili ve çalışanları, distribütör yetkili ve çalışanları |
Özel Nitelikli Kişisel Veri | Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biometrik ve genetik verileri |
Politika | Kişisel Verilerin ve Özel Nitelikli Kişisel Verilerin İşlenmesi Politikası |
Kooperatif | SS İSTANBUL ECZACILAR ÜRETİM DAĞITIM KOOPERATİFİ |
Veri İşleyen | Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi |
Veri Kayıt Sistemi | Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi |
Veri Sorumlusu | Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi |
1. GİRİŞ
1.1. AMAÇ
Kişisel Verileri ve Özel Nitelikli Kişisel Verileri İşleme Politikası; Kişisel Verilerin Korunması Kanunu (“KVKK”) ve kişisel verilerin korunmasına ilişkin diğer mevzuata uygun bir şekilde sürdürülen kişisel veri işleme faaliyetinden kaynaklı yükümlülüklerin eksiksiz bir şekilde yerine getirilmesini sağlamak amacıyla Kooperatif tarafından uygulamaya konulmuştur.
2.1. TEMEL PRENSİPLER
Kişisel Verilerin ve Özel Nitelikli Kişisel Verilerin işlenmesinde:
a) KVKK m.4’te sayılan temel prensipler başta olmak üzere İlgili Düzenlemeler,
b) Kooperatif tarafından uygulamaya konulan işbu Kişisel Verilerin ve Özel Nitelikli Kişisel Verilerin İşlenmesi Politikası düzenlemeleri dikkate alınır.
2. KİŞİSEL VERİLERİN İŞLENME AMACI VE ŞARTLARI
2.2. KİŞİSEL VERİLERİN İŞLENME AMACI
a) Ticari faaliyetin sürdürülmesi,
b) Ortaklarla olan ilişkilerin geliştirilmesi ve sürdürülmesi,
c) Ortaklara sunulan hizmetler için iş ortaklarından tedarik ve diğer hizmetlerinin alınması,
d) Hizmet kalitesinin arttırılması,
e) İşçi – işveren ilişkisi bağlamındaki hak ve yükümlülüklerin yerine getirilmesi,
f) İş sağlığı ve iş güvenliği tedbirlerinin alınması,
g) Kanuni ve sözleşmesel yükümlülüklerin ifası amacıyla işlenmektedir
2.2. KİŞİSEL VERİLERİN İŞLENME ŞARTLARI
Kişisel Veriler:
a) Kişisel Veri Sahibinin Açık Rızasının Bulunması halinde işlenebilirler
b) Veri Sahibi’nin açık rızası yok ise;
i) Fiili İmkânsızlık Sebebiyle İlgilinin Açık Rızasının Alınamaması
ii) Sözleşmenin Kurulması veya İfasıyla Doğrudan İlgi Olması
iii) Kooperatif’in Hukuki Yükümlülüklerini Yerine Getirmesi
iv) Kişisel Veri Sahibinin Kişisel Verisini Alenileştirmesi
v) Bir Hakkın Tesisi veya Korunması için Veri İşlemenin Zorunlu Olması
vi) Kooperatif’in Meşru Menfaati için Veri İşlemenin Zorunlu Olması şartlarıyla işlenebilmektedir.
4. KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN HUSUSLAR
4.1. KİŞİSEL VERİLERİN SINIFLANDIRILMASI
Kişisel veriler, iş ilişkisi, işçi işveren ilişkisi, tüketici işlemi, Kooperatif iş birimleri tarafından yürütülen operasyonlar ve sözleşmeler çerçevesinde işlenmektedir. İlgili Kişiler’in verileri aşağıdaki kategorilerde işlenmektedir;
a) Kimlik ve Pasaport Bilgileri
b) İletişim Bilgisi (e-posta hesabı, telefon numarası vs.)
c) Lokasyon
d) Özlük
e) Hukuki İşlem
f) Müşteri İşlem
g) Fiziksel Mekan Güvenliği
h) İşlem Güvenliği
i) Risk Yönetimi
j) Finans
k) Mesleki Deneyim
l) Pazarlama
m) Görsel İşitsel Kayıt
n) Irk ve Etnik Köken
o) Din ve İnanç
p) Kılık Kıyafet
q) Dernek Üyeliği
r) Vakıf Üyeliği
s) Sendika Üyeliği
t) Sağlık
u) Cinsel Hayat
v) Ceza- Güvenlik Tedbirleri
w) Biyometrik Veri
x) Genetik Veri
y) Diğer Veriler
3.2. KİŞİSEL VERİLERİN İLGİLİ DÜZENLEMELERE UYGUN OLARAK İŞLENMESİ
Kooperatif, Kişisel Verileri:
a) Hukuka ve dürüstlük kuralına uygun
b) Kişisel Verilerin doğru ve gerektiğinde güncel olmasını sağlayarak
c) Belirli, açık ve meşru amaçlarla
d) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü
e) İlgili Düzenlemelerle öngörülen veya işlendikleri amaç için gerekli olan ve ayrıca Kooperatif’in Saklama ve İmha Politikasında belirlenen süre kadar muhafaza ederek işlemektedir.
3.3. KİŞİSEL VERİLERİN AKTARILMASI
Kooperatif aktarma faaliyetlerini gerekli güvenlik önlemlerini alarak, Kişisel Veri işleme şartlarından bir veya birkaçına dayalı ve sınırlı olarak, İlgili Düzenlemelerle öngörülen aktarılma koşullarına uygun bir şekilde gerçekleştirmektedir.
Kişisel Veriler, Kooperatif tarafından yalnızca Türkiye’deki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt ettiği gerçek ve tüzel kişilere aktarılabilmektedir.
3.4. KİŞİSEL VERİLERİN AKTARILACAĞI YERLER-KİŞİLER
a) Kooperatif Sistemleri
b) Kooperatif Çalışanları
c) İş Ortakları
d) Kooperatif Yetkilileri
e) Hukuken Yetkili Kamu Kurum ve Kuruluşları
f) Hukuken Yetkili Özel Hukuk Kişileri
4. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİ
4.1. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENME ŞARTLARI
Özel Nitelikli Kişisel Veriler, Kooperatif tarafından, Kanun’a uygun bir şekilde, Kurul’ca belirlenecek yeterli önlemlerin alınması kaydıyla, aşağıdaki şartların varlığı halinde işlenmektedir:
a) Veri Sahibi’nin açık rızası var ise
b) Veri Sahibi’nin açık rızası yok ise;
i) Veri Sahibi’nin sağlığı ve cinsel hayatı dışındaki özel nitelikli kişisel veriler, kanunlarda öngörülen hallerde,
ii) Veri Sahibi’nin sağlığına ve cinsel hayatına ilişkin özel nitelikli kişisel verileri ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenmektedir.
4.2. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN ÖNLEMLER
Kooperatif, Özel Nitelikli Kişisel Veriler’in işlenmesinde, Veri Sorumlusu sıfatıyla, aşağıda belirtilen önlemleri almaktadır;
a) Özel nitelikli kişisel verilerin işlenmesi süreçlerinde yer alan çalışanlara yönelik, İlgili Düzenlemeler ile Özel Nitelikli Kişisel Veri güvenliği konularında gizlilik sözleşmelerinin yapılmakta,
b) Verilere erişim yetkisine sahip kullanıcıların, yetki kapsamları ve süreleri net olarak tanımlanmakta,
c) Periyodik olarak yetki kontrolleri gerçekleştirilmekte,
d) Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri derhal kaldırılmaktadır.
Özel Nitelikli Kişisel Verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, elektronik ortam ise;
a) Kişisel Veriler, kriptografik yöntemler kullanılarak muhafaza edilmekte,
b) Kriptografik anahtarlar güvenli ve farklı ortamlarda tutulmakta,
c) Kişisel Veriler üzerinde gerçekleştirilen tüm hareketlerin işlem kayıtları güvenli olarak loglanmakta,
d) Kişisel Veriler’in bulunduğu ortamlara ait güvenlik güncellemelerinin sürekli takip edilmekte, gerekli güvenlik testleri düzenli olarak yapılmakta/yaptırılmakta, test sonuçları kayıt altına alınmakta,
e) Kişisel Veriler’e bir yazılım aracılığı ile erişiliyorsa bu yazılıma ait kullanıcı yetkilendirmeleri yapılmakta, bu yazılımların güvenlik testleri düzenli olarak yapılmakta/yaptırılmakta, test sonuçları kayıt altına alınmakta,
f) Kişisel Veriler’e uzaktan erişim gerekiyorsa en az iki kademeli kimlik doğrulama sisteminin sağlanmaktadır.
Özel Nitelikli Kişisel Verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, fiziksel ortam ise;
a) Özel Nitelikli Kişisel Veriler’in bulunduğu ortamın niteliğine göre yeterli güvenlik önlemleri (elektrik kaçağı, yangın, su baskını, hırsızlık vb. durumlara karşı) alınmakta,
b) Bu ortamların fiziksel güvenliğinin sağlanarak yetkisiz giriş çıkışlar engellenmektedir.
Özel Nitelikli Kişisel Veriler aktarılacaksa;
a) Kişisel Verilerin e-posta yoluyla aktarılması gerekiyorsa şifreli olarak kurumsal e-posta adresiyle veya Kayıtlı Elektronik Posta (KEP) hesabı kullanılarak aktarılmaktadır.
b) Taşınabilir Bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerekiyorsa kriptografik yöntemlerle şifrelenmekte ve kriptografik anahtar farklı ortamda tutulmaktadır.
c) Farklı fiziksel ortamlardaki sunucular arasında aktarma gerçekleştiriliyorsa, sunucular arasında VPN kurularak veya sFTP yöntemiyle veri aktarımı gerçekleştirilmektedir.
Kişisel Veriler’in kağıt ortamında aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemler alınmakta ve evrak gizli formatta gönderilmektedir.
4.3. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN AKTARILMASI
a) Veri Sahibi’nin açık rızası var ise,
b) Kanunlarda Özel Nitelikli Kişisel Veri’nin aktarılacağına ilişkin açık bir düzenleme var ise,
c) Veri Sahibi’nin veya başkasının hayatı veya beden bütünlüğünün korunması için zorunlu ise ve Veri Sahibi fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda ise veya rızasına hukuki geçerlilik tanınmıyorsa,
d) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olmak kaydıyla sözleşmenin taraflarına ait kişisel verinin aktarılması gerekli ise,
e) Kooperatif’in hukuki yükümlülüğünü yerine getirmesi için kişisel veri aktarımı zorunlu ise,
f) Özel Nitelikli Kişisel Veriler, Veri Sahibi tarafından alenileştirilmiş ise,
g) Özel Nitelikli Kişisel Veri aktarımı bir hakkın tesisi, kullanılması veya korunması için zorunlu ise,
h) Veri Sahibi’nin temel hak ve özgürlüklerine zarar vermemek kaydıyla, Kooperatif’in meşru menfaatleri için kişisel veri aktarımı zorunlu ise,
Kooperatif, Özel Nitelikli Kişisel Verileri, üçüncü kişilere aktarabilecektir.
5. YAPTIRIMLAR
İşbu politikada yer alan yükümlülüklerini yerine getirmeyenler hakkında uyarı, kınama, ücret kesintisi iş sözleşmesinin haklı nedenle derhal ya da geçerli nedenle feshi yaptırımlarından biri uygulanabilir.
6. GÜNCELLEMELER
İşbu politika Kooperatif’in ihtiyaçları ve İlgili Düzenlemeler’de meydana gelebilecek değişiklikler nazara alınarak güncellenebilir. Güncelleme aşağıdaki tabloya işlenir ve tüm Kooperatif personeline uygun bir şekilde duyurulur.
GÜNCELLEME TARİHİ | GÜNCELLENEN HÜKÜMLER | AÇIKLAMALAR |
7. POLİTİKANIN UYGULANMASI VE YÜRÜRLÜĞÜ
7.1. POLİTİKANIN UYGULANMASI
Kişisel Veriler’in işlenmesi ve korunması konusunda yürürlükte bulunan İlgili Düzenlemeler öncelikle uygulama alanı bulacaktır. Yürürlükte bulunan İlgili Düzenlemeler ve Politika arasında aykırılık bulunması durumunda, aykırılığın giderilmesi için gerekli çalışmalar yapılır.
7.2. POLİTİKANIN YÜRÜRLÜĞÜ
İşbu Politika; Kooperatif tarafından hazırlanıp Kooperatif Yönetim Kurulu Kararı ile onaylanarak 01/06/2019 tarihinde yürürlüğe girmiştir.