KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASI

Sürüm: …/…/……

Yürürlük Tarihi: …/…/……

1. AMAÇ

NDC LAB SAĞLIK ÜRÜNLERİ SANAYİ VE TİCARET ANONİM ŞİRKETİ (bundan sonra “Restoderm” olarak anılacaktır.) olarak; çalışan, çalışan adayı, bayi yetkilisi, yönetim kurulu üyesi, hissedar/ortak, müşteri, müşteri yetkilisi, potansiyel tedarikçi yetkilisi, tedarikçi yetkilisi ve çalışanı ve kişisel verileri işlenen diğer kişi gruplarına ait kişisel verilerin Türkiye Cumhuriyeti Anayasası ve insan haklarına ilişkin ülkemizin tarafı olduğu uluslararası sözleşmeler ile 6698 sayılı Kişisel Verilerin Korunması Kanunu^[1] (“KVKK” ya da “Kanun”) başta olmak üzere ilgili mevzuata uygun olarak işlenmesi ve verisi işlenen ilgili kişilerin haklarının etkin şekilde kullanılmasının sağlanması önceliğimizdir.

Kişisel verilerin korunması ve kişisel verileri toplanan gerçek kişilerin temel hak ve hürriyetlerinin gözetilmesi kişisel verilerin işlenmesine ilişkin politikamızın temel prensibidir. Bu nedenle kişisel verilerin işlendiği tüm faaliyetlerimizi, özel hayatın gizliliğinin korunması, haberleşmenin gizliliği, düşünce ve inanç özgürlüğü ve etkili kanun yollarını kullanma haklarını gözeterek sürdürmekteyiz.

Kişisel verilerin korunması için mevzuat ve güncel teknolojiye uygun şekilde, ilgili verinin niteliğinin gerektirdiği tüm idari ve teknik koruma tedbirlerini almakta ve aldığımız tedbirleri güncel tutmaktayız.

İşbu Restoderm Kişisel Verilerin Korunması ve İşlenmesi Politikası (“Politika”), faaliyetlerimiz sırasında toplanan kişisel verilerin KVKK’da anılan ilkeler çerçevesinde işlenmesine (örneğin saklanması, aktarılması ve silinmesi ya da anonim hale getirilmesine) dair izlediğimiz yöntemleri açıklamaktadır.

2. KAPSAM

Restoderm tarafından veri işleme faaliyetine tabi tutulan; çalışan, çalışan adayı, bayi yetkilisi, internet sitesi üyesi, yönetim kurulu üyesi, hissedar/ortak, müşteri, müşteri yetkilisi, potansiyel tedarikçi yetkilisi, tedarikçi yetkilisi ve çalışanı ve kişisel verileri işlenen diğer kişi gruplarına ait tüm kişisel verilere ilişkin olarak işbu Politika uygulanmaktadır.

Politikamız, Restoderm bünyesindeki kişisel verilerle alakalı bütün işleme faaliyetleri için uygulanmakta olup, KVKK ve kişisel verilere ilişkin diğer mevzuat ve bu alandaki uluslararası standartlar gözetilerek ele alınmış ve hazırlanmıştır.

3. TANIM VE KISALTMALAR

a. Restoderm: NDC LAB SAĞLIK ÜRÜNLERİ SANAYİ VE TİCARET ANONİM ŞİRKETİ

b. Açık rıza: Belirli bir konuya ilişkin, bilgilendirilmeye ve özgür iradeye dayanan, tereddüte yer bırakmayacak açıklıkta, sadece o işlemle sınırlı olarak verilen onayı,

c. Anonim hale getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiye ilişkilendirilemeyecek hale getirilmesini,

d. Çalışan: Restoderm personelini,

e. Çalışan adayı: Restoderm’ya iş başvurusunda bulunmuş olan kişileri,

f. İlgili Kişi: Kişisel verisi işlenen gerçek kişileri,

g. Kişisel veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi,

h. Özel nitelikli kişisel veri: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri,

i. Kişisel verilerin işlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, saklanması, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi,

j. Veri işleyen: Veri sorumlusunun verdiği yetkiye dayanarak veri sorumlusu adına kişisel verileri işleyen gerçek veya tüzel kişiyi,

k. Veri sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasında ve yönetilmesinden sorumlu gerçek veya tüzel kişiyi,

l. KVK Kurulu: Kişisel Verileri Koruma Kurulu’nu,

m. KVK Kurumu: Kişisel Verileri Koruma Kurumu’nu,

n. KVKK / Kanun: 7 Nisan 2016 tarihli ve 29677 sayılı Resmî Gazete’de yayımlanan Kişisel Verilerin Korunması Kanunu’nu,

o. Politika: Restoderm Kişisel Verilerin Korunması ve İşlenmesi Politikası’nı ifade eder.

4. ROL VE SORUMLULUKLAR^[1]

a. Genel Müdür

Genel Müdür, işbu Politika’ya, kural ve düzenlemelere uyulmaması durumunda bildirim, inceleme ve yaptırım mekanizmalarının belirlenmesi ve işletilmesinin üst gözetiminden sorumludur. Politika Genel Müdür tarafından onaylanmış olup, oluşturulması, uygulanması ve gerektiğinde güncellenmesinden sorumlu onay mercii Genel Müdür’dür.

b. Pazarlama Birimi

Politika’nın hazırlanması, geliştirilmesi, yürütülmesi ve güncellenmesinden Pazarlama Birimi yöneticisi sorumludur. Dokümanın kurum içi paylaşımı ve dağıtımının yapılması da Pazarlama Birimi yöneticisinin sorumluluğundadır.

5. HUKUKİ YÜKÜMLÜLÜKLER

5.1. Aydınlatma yükümlülüğümüz

Veri sorumlusu olarak kişisel verileri toplarken aşağıdaki hususlarda İlgili Kişi’yi aydınlatırız:

Kişisel verilerin hangi amaçla işleneceği,
Ticari unvanımıza ilişkin bilgiler,
İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
Verileri toplama yöntemimiz ve hukuki sebebi,
KVKK’dan doğan hakları.

Restoderm olarak Politika’nın anlaşılır ve kolay erişilebilir olmasına özen gösteririz. Aydınlatma yükümlülüğümüzü ilgili kişi gruplarına ait basılı veya elektronik bilgilendirme metinleri aracılığıyla yerine getiririz.

5.2. Veri güvenliğini sağlama yükümlülüğümüz

İşlediğimiz kişisel verilerin güvenliğini sağlamak için mevzuatta öngörülen idari ve teknik tedbirleri almaktayız. Veri güvenliğine ilişkin tedbirler Politika’nın 11. bölümünde detaylandırılmıştır.

6. KİŞİSEL VERİLERİN SINIFLANDIRILMASI

6.1. Kişisel Veriler

Kişisel verilerin korunması yalnızca gerçek kişilerle ilgili olup tüzel kişilere ait, içerisinde gerçek kişiye ilişkin bilgi içermeyen veriler kapsam dışıdır. Politika doğrudan bir kişiyi ifade eden (ad, soyad, T.C. kimlik no vb.) veya dolaylı şekilde ilgili kişinin tespit edilebildiği (boy, kilo, eğitim durumu vb.) bilgilere uygulanır.

6.2. Özel Nitelikli Kişisel Veriler

Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar; kılık ve kıyafet; dernek, vakıf ya da sendika üyelikleri; sağlık ve cinsel hayat; ceza mahkûmiyeti ve güvenlik tedbirleri; biyometrik ve genetik veriler özel nitelikli kişisel verilerdir. Bu veriler Restoderm tarafından yürürlüğe konulan “Özel Nitelikli Kişisel Verilerin Korunması ve İşlenmesi Politikası” hükümlerine tabidir.

6.3. Kişisel Verilere İlişkin Kategoriler

Çalışan: Restoderm’un istihdam ettiği çalışanlar.

Çalışan Adayı: Restoderm’a çeşitli yollarla iş başvurusunda bulunmuş gerçek kişiler. Ayrıntılar Çalışan Adayı Aydınlatma Metni’nde yer alır.

Hissedar/Ortak ve Yönetim Kurulu Üyesi: Ayrıntılar yalnızca ilgili kişilerin erişimine açık şekilde iletilir.

Tedarikçi Çalışanı ve Tedarikçi Yetkilisi: Ayrıntılar Tedarikçi Aydınlatma Metinleri’nde yer alır.

Bayi Yetkilisi ve Potansiyel Bayi Yetkilisi: Ayrıntılar Bayi Aydınlatma Metni’nde yer alır.

Müşteri: Ayrıntılar Müşteri Aydınlatma Metni’nde yer alır.

Üçüncü Kişiler: Ayrıntılar Genel Aydınlatma Metni’nde yer alır.

7. KİŞİSEL VERİLERİN İŞLENMESİ

7.1. Kişisel Verileri İşleme İlkelerimiz

Hukuka ve dürüstlük kurallarına uygun işleme: Şeffaf yöntemlerle ve aydınlatma yükümlülüğünü yerine getirerek.
Doğruluk ve güncellik: Gerekli idari ve teknik tedbirleri alarak; güncelleme ve düzeltme başvurularını mümkün kılarak.
Belirli, açık ve meşru amaçlar: Faaliyetlerimizi mevzuata uygun meşru amaçlarımız dâhilinde.
İlgili, sınırlı ve ölçülü işleme: Gerekli olmayan verileri işlememekten imtina ederek.
Saklama süresi: Mevzuatta öngörülen veya işleme amacı için gerekli süre kadar saklama; sonrasında silme/yok etme/anonimleştirme.

7.2. Kişisel veri işleme amaçlarımız

İşleme amaçlarımız, veri ve kişi kategorilerine özel hazırlanan Aydınlatma Metinleri’nde ayrıntılı olarak yer almaktadır ve KVKK’nın 5. ve 6. maddelerindeki hukuka uygunluk sebeplerine dayanmaktadır.

7.3. Kişisel veri toplama yöntemlerimiz

Basılı/elektronik formlar, e-postalar, bilgi sistemleri ve elektronik cihazlar, CCTV, internet tabanlı uygulamalar, resmi yazışmalar, raporlar, tutanaklar, sözleşmeler, görsel-işitsel kayıt cihazları, beyan edilen belgeler, şirket içi yazılım ve programlar.

7.4. Kişisel verilerin toplanmasına ilişkin hukuki sebeplerimiz

İlgili kişinin açık rızası,
Kanunlarda açıkça öngörülme,
Sözleşmenin kurulması/ifası için zorunluluk,
Hukuki yükümlülüğün yerine getirilmesi,
Hakların tesisi/kullanımı/korunması,
Meşru menfaat (temel hak ve özgürlüklere zarar vermemek kaydıyla).

7.5. Özel nitelikli kişisel verilerin toplanmasına ilişkin hukuki sebeplerimiz

Kanun’un 6. maddesinde düzenlenen şartlar dâhilinde işlenir.

7.6. Kişisel verilerin işlenmesi

7.6.1. Açık rıza ile işleme

KVKK’daki tanım kapsamında bilgilendirmeye dayalı ve özgür iradeyle açıklanan rıza.

7.6.2. Açık rıza aranmayan haller

Kanunlarda açıkça öngörülmesi,
Fiilî imkânsızlık hâlinde hayat/beden bütünlüğünün korunması,
Sözleşmenin kurulması/ifasıyla doğrudan ilgili olması,
Hukuki yükümlülüğün yerine getirilmesi,
İlgili Kişi tarafından alenileştirme,
Hakların tesisi/kullanımı/korunması,
Meşru menfaat.

7.7. Özel nitelikli kişisel verilerin işlenmesi

KVK Kurulu’nun öngördüğü idari ve teknik tedbirler alınarak işlenir.

7.8. Çerezler

Restoderm tarafından yönetilen internet sitesi üzerinden çerezler aracılığıyla kişisel veriler toplanabilir/işlenebilir. Tercihlerinizi yönetmek için Çerez Aydınlatma Metni’ni inceleyebilirsiniz. Çerezleri reddetmeniz hâlinde sitenin bazı işlevleri etkilenebilir.

7.9. Kablosuz ağa erişim

Şirket içinde sağlanan kablosuz internet hizmeti kapsamında, mevzuat gereği IP, kullanım başlangıç/bitiş zamanı, MAC, hedef IP, port ve cep telefonu numarası işlenebilir.

7.10. İnsan kaynakları süreçleri

Çalışan adaylarının kişisel verileri; seçim/yerleştirme, başvuru süreç yönetimi ve İK planlaması amaçlarıyla e-posta, formlar, CCTV ve beyan edilen belgeler üzerinden toplanır ve Politika’daki ilkelere göre işlenir.

7.11. CCTV

Tesis güvenliği için CCTV ile görüntü kaydı alınır, mevzuattaki süreler boyunca saklanır; imha süreçleri politika ve prosedürlere uygundur.

8. KİŞİSEL VERİLERİN AKTARILMASI

8.1. Yurt içine aktarım

KVKK ve Kurul kararlarına uygun hareket edilir; hukuka uygunluk sebepleri saklı kalmak kaydıyla açık rıza olmaksızın üçüncü kişilere aktarım yapılmaz.

8.2. Yurt dışına aktarım

Hukuka uygunluk sebeplerinden biri mevcut olmak ve yeterlilik kararı/uygun güvencelerden biri sağlanmak kaydıyla açık rızaya bağlı olmaksızın aktarım yapılabilir. Aksi durumda, kanunda belirtilen istisnai hâllerde (açık rıza, sözleşme ifası, üstün kamu yararı, hakların tesisi vb.) aktarım mümkündür. Restoderm olarak kişisel verileriniz yurt dışında bulunan Tedarikçilere aktarılabilmektedir.

8.3. Aktarım yapılan alıcı/alıcı grupları

Alıcı Grubu	Açıklama	Aktarım Amacı
Yetkili Kişi veya Kamu Kurum ve Kuruluşları	Mevzuat uyarınca bilgi ve belge talep etmeye yetkili merciler.	Faaliyetlerin mevzuata uygun yürütülmesi, bilgi verilmesi, iş akdi ve mevzuattan doğan yükümlülükler.
Gerçek Kişiler veya Özel Hukuk Tüzel Kişileri	İş süreçlerinin yürütülmesinde destek alınan taraflar.	İş faaliyetlerinin yürütülmesi/denetimi, organizasyon, yönetim ve sözleşme süreçleri.
Tedarikçiler	Mal/hizmet desteği alınan taraflar.	Müşteri ilişkileri, sözleşme, iletişim, satın alma, pazarlama, satış, lojistik, üretim/operasyon, finans/muhasebe, İK ve arşiv süreçleri.
İş Ortakları	Yürütülen iş/projelerde ortaklık yapan taraflar.	İş faaliyetleri, iletişim, çalışan memnuniyeti, eğitim, performans, İK planlama, kariyer ve sözleşme süreçleri.
Herkese Açık	Web sitesi ve sosyal medya gibi alanlar.	Reklam/kampanya/promosyon, iletişim, iş faaliyetleri ve arşiv süreçleri.

9. KİŞİSEL VERİLERİN SAKLANMASI

Veriler, mevzuatta öngörülen saklama süreleri saklı kalmak kaydıyla işleme amacının gerektirdiği süre boyunca ve “Kişisel Veri Saklama ve İmha Politikası” kapsamında saklanır. Amaçların ortadan kalkması veya talep hâlinde (mevzuata aykırılık yoksa) veriler silinir, yok edilir veya anonimleştirilir.

10. SİLME, YOK ETME VEYA ANONİMLEŞTİRME

İşleme amaçlarının tamamen sona ermesi veya İlgili Kişi talebi hâlinde veriler, mevzuat ve Kurul kararlarına uygun biçimde silinir/yok edilir/anonimleştirilir. Bu işlemlere dair kayıtlar en az 3 yıl saklanır.

11. KİŞİSEL VERİLERİN GÜVENLİĞİ

11.1. Yükümlülüklerimiz

Hukuka aykırı işlenmeyi önlemek,
Hukuka aykırı erişimi önlemek,
Hukuka uygun saklamayı sağlamak.

11.2. Aldığımız teknik ve idari tedbirler

Ağ ve uygulama güvenliği, kapalı sistem ağ kullanımı, anahtar yönetimi,
BT tedarik-geliştirme-bakım güvenliği, bulut güvenliği,
Disiplin düzenlemeleri, eğitimler, yetki matrisi, erişim logları,
Erişim/bilgi güvenliği/saklama/imha politikaları ve gizlilik taahhütleri,
Yetki kaldırma süreçleri, anti-virüs, güvenlik duvarları,
Sözleşmelerde veri güvenliği hükümleri, kâğıt aktarımda ek güvenlik,
İhlal raporlama, takip ve denetimler, kullanıcı müdahalesine kapalı loglar,
Özel nitelikli veriler için protokol ve şifreleme/kriptografik anahtar yönetimi,
Saldırı tespit/önleme, siber güvenlik uygulamaları,
Taşınabilir medya şifreleme, hizmet sağlayıcı denetimleri ve farkındalığı,
Kişisel veri envanteri ve yedekleme süreçleri.

11.3. Hukuka aykırı ifşa durumunda

İhlallerde İlgili Kişi ve KVK Kurulu’na bildirim için gerekli sistem ve altyapı sağlanır; Kurul gerekli görürse kamuoyu duyurusu yapılabilir.

12. İLGİLİ KİŞİ’NİN HAKLARI

İlgili Kişi aşağıdaki haklara sahiptir:

İşlenip işlenmediğini öğrenme ve buna ilişkin bilgi talebi,
Amaç ve uygunluğunu öğrenme, aktarım yapılan üçüncü kişileri bilme,
Eksik/yanlış işlenmişse düzeltilmesini isteme, silme/yok etme talebi,
Bu işlemlerin üçüncü kişilere bildirilmesini isteme,
Münhasıran otomatik sistemlerle analiz sonucu aleyhe durumlara itiraz,
Kanuna aykırı işlem sebebiyle zararların giderilmesini talep etme.

12.1. Hakların kullanılması

Başvurularınızı (tercihen İlgili Kişi Başvuru Formu ile) aşağıdaki yollarla iletebilirsiniz:

Islak imzalı + kimlik fotokopisi ile: KOŞUYOLU MAH. İSMAİLPAŞA SK. RISK ACTIVE No:5 İç Kapı No:1 adresi,
Geçerli kimlik belgesi ile bizzat başvuru,
Kayıtlı e-posta adresinizden: [email protected].

Tebliğ uyarınca başvuruda ad, soyad, T.C. kimlik no (yabancılar için pasaport/kimlik no), yerleşim/iş adresi, e-posta/telefon/faks ve talep konusu bulunmalıdır. Vekâleten başvurularda yetki belgesi (vekaletname) ibrazı gerekir. Özel nitelikli verilerde ayrıca özel yetkilendirme aranabilir.

12.2. Başvurunun değerlendirilmesi

12.2.1. Süre

Başvurular, talebin niteliğine göre en kısa sürede ve en geç 30 gün içinde sonuçlandırılır. Ek maliyet doğarsa Tebliğ’e göre ücret talep edilebilir.

12.2.2. Reddetme hâlleri

Resmî istatistik/anonim hâle getirilmiş verilerle işleme,
Özel hayatı/persona haklarını ihlal etmemek kaydıyla sanat/tarih/edebiyat/bilimsel amaçlar veya ifade özgürlüğü,
İlgili Kişi tarafından alenileştirme,
Haklı nedene dayanmayan veya mevzuata aykırı talepler,
Başvuru usulüne uyulmaması.

12.3. Usul

12.1’deki usule uygun başvurular işleme alınır; sonuç yazılı veya elektronik ortamda bildirilir.

12.4. Kurul’a şikâyet

Reddetme, yetersiz cevap veya süresinde cevap verilmemesi hâlinde; 30 gün içinde ve her hâlde başvurudan itibaren 60 gün içinde KVK Kurulu’na şikâyet hakkı vardır.

13. POLİTİKA’NIN YAYINLANMASI VE SAKLANMASI

Politika, basılı ve elektronik ortamda saklanır. Islak imzalı nüshalar ve kontrollü kopyalar Mali İşler’de saklanır; gerektiğinde Genel Müdür’ün yazılı onayıyla Mali İşler tarafından imha edilir.

14. GÜNCELLEME SIKLIĞI

Politika, herhangi bir bildirim yapılmaksızın yılda en az bir kez gözden geçirilir ve ihtiyaç halinde güncellenir.

^[1] KVKK ve ikincil düzenlemeler kapsamında atıf yapılmıştır.