KVKK Politikası

1. GİRİŞ

EXPANSCIENCE LABORATUVARLARI (Bundan sonra “EXPANSCIENCE” veya Şirketolarak anılacaktır.) için kişisel verilerin korunması büyük bir öneme haizdir.  Şirket ortaklarımızın, çalışanlarımızın, çalışan adaylarımızın, müşterilerimizin, müşteri adaylarımızın, şirket yetkililerinin, birlikte çalıştığımız tedarikçiler ve sağlık profesyonelleri de dahil olmak üzere çeşitli iş ortaklarımızın, hizmet sağlayıcılarının çalışanlarının, yetkililerinin, ziyaretçilerin ve üçüncü kişilerin kişisel verilerinin korunmasında büyük hassasiyet gösterilmektedir.

T.C. Anayasası’nın 20. maddesinde hüküm altına alındığı üzere; herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. 

EXPANSCIENCE faaliyetleri ya da gereklilikleri doğrultusunda kişisel verilerini işlediğimiz,   EXPANSCIENCE ortaklarının, çalışanlarımızın, çalışan adaylarımızın, müşterilerimizin, müşteri adaylarımızın, şirket yetkililerinin, birlikte çalıştığımız tedarikçiler ve sağlık profesyonelleri de dahil olmak üzere çeşitli iş ortaklarımızın, hizmet sağlayıcılarının çalışanlarının, yetkililerinin, ziyaretçilerin ve üçüncü kişilerin, Anayasal bir hak olan “Kişisel Verilerin Korunması” hakkının korunması ve geliştirilmesi bir kurum politikası olarak benimsenmiştir.

İşbu Politika ile kişisel verilerin işlenmesi ve korunması konusunda Şirket tarafından benimsenen ilkeler ve felsefe ortaya konulmaktadır.

2. POLİTİKA’NIN AMACI

Bu Politika, kişisel verilerin işlenmesi ve korunması konusunda 6698 sayılı Kişisel Verilerin Korunması Kanunu’na (Bundan sonra KVKK olarak anılacaktır.), Kişisel Verileri Koruma Kurulu kararlarına (Bundan sonra “Kurul” olarak anılacaktır.) ve ikincil mevzuata uyum sağlanması için tüm Şirket kapsamında faaliyetlerin uyumlu şekilde yürütülmesini temin etmek amacıyla hazırlanmıştır.

Ayrıca Şirket tarafından kişisel verilerin işlenmesi ve kişisel veri güvenliğinin sağlanması amacıyla yürütülen faaliyetler, alınan önlemler ve Şirket ilkeleri konusunda, kişisel verileri işlenen ilgili kişilerin en şeffaf ve doğru şekilde bilgilendirilmesi amaçlanmaktadır.

3.  POLİTİKA’NIN KAPSAMI

Bu politika, ilgili kişilere ait kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işleme ve kişisel verilerin güvenliği için alınan idari ve teknik önlemlere ilişkindir.

4. TANIMLAR

Bu politikada geçen,

  • Açık Rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı,
  • Alıcı Grubu: Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisini,
  • Anonim Hâle Getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini,
  • İlgili Kişi: Kişisel verisi işlenen gerçek kişiyi,
  • Çalışan: EXPANSCIENCE Laboratuvarları İlaç Sanayi Pazarlama ve Dış Ticaret A.Ş.  personelini,
  • Çalışan Adayı: EXPANSCIENCE bünyesinde  çalışan olmak amacıyla, elektronik veya fiziki ortamda,  EXPANSCIENCE’a herhangi bir yolla iş başvurusunda bulunmuş ya da özgeçmiş ve ilgili bilgilerini EXPANSCIENCE’ın incelemesine bizzat veya bir sistem aracılığıyla açmış/iletmiş olan gerçek kişileri,
  • İlgili Kullanıcı: Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişileri,
  • Ziyaretçi: EXPANSCIENCE’ın sahip olduğu fiziksel yerleşkelere çeşitli amaçlarla girmiş olan veya internet sitelerimizi ziyaret eden gerçek kişileri,
  • İş Ortağı: EXPANSCIENCE'ın ticari faaliyetlerini yürütürken birlikte muhtelif projeler yapmak, hizmet almak gibi amaçlarla iş ortaklığı kurduğu tarafları,
  • Şirket Yetkilisi: EXPANSCIENCE yönetim kurulu üyelerini ve diğer yetkili kişileri,
  • Şirket Ortakları: EXPANSCIENCE  ortağı gerçek kişileri,
  • Müşteri: EXPANSCIENCE’ın sunduğu ürün ve hizmetlerden faydalanan gerçek kişileri,
  • Müşteri Adayları: Şirketimizin sunduğu ürün ve hizmetlerden faydalanma veya ilgili ürün ve hizmetleri satın alma talebinde bulunmuş  veya bulunacağı ticari teamül ve dürüstlük kurallarına uygun olarak değerlendirilebilecek gerçek kişileri,
  • Sağlık Profesyoneli: EXPANSCIENCE’ın eğitim, sektörel araştırma, anket, bilgilendirme, tanıtım, görüş ve öneri alma, bilimsel faaliyetlerde bulunma, sosyal sorumluluk faaliyetleri yürütmek amacı ile bilgi ve mesleki tecrübesine başvurduğu kimseleri,
  • İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesini,
  • Kanun: 24/3/2016 tarihli ve 6698 Sayılı Kişisel Verilerin Korunması Kanununu,
  • Kayıt Ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortamı,
  • Elektronik Ortamlar: Kişisel verilerin ilgili teknolojik altyapıya sahip  cihazlar ile oluşturulabildiği, işlenebildiği, saklanabildiği ve iletilebildiği ortamı,
  • Elektronik Olmayan Diğer Ortamlar: Elektronik ortamların dışında kalan her türlü yazılı, görsel ve sair ortamları,
  • Hizmet Sağlayıcı: EXPANSCIENCE ile yapmış olduğu ilgili sözleşme çerçevesinde, herhangi bir  hizmet sağlayan gerçek veya tüzel kişiyi,
  • Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi,
  • Özel Nitelikli (Hassas) Kişisel Veri: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri,
  • Kişisel Verilerin İşlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi,
  • Kişisel Veri İşleme Envanteri: Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel veri işleme faaliyetlerini; kişisel veri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanteri,
  • Kişisel Veri Saklama ve İmha Politikası: Veri sorumlularının, kişisel verilerin işlendikleri amaç için gerekli olan azami süreyi belirleme işlemi ile silme, yok etme ve anonim hale getirme işlemi için dayanak yaptıkları politikayı,
  • Kurul: Kişisel Verileri Koruma Kurulunu
  • Kurum: Kişisel Verileri Koruma Kurumunu,
  • Periyodik İmha: Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemini,
  • Sicil (VERBİS): Kişisel Verileri Koruma Kurumu tarafından tutulan veri sorumluları sicil bilgi sistemini,
  • Veri İşleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi
  • Veri Kayıt Sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini,
  • Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi,

ifade eder.

5. KİŞİSEL VERİLERİN İŞLENME AMAÇLARI

EXPANSCIENCE; kişisel verileri, KVKK m.10 kapsamında ilgili bilgilendirme yükümlülüğünü yerine getirerek, EXPANSCIENCE veri işleme amaçları uyarınca, KVKK m.4’te ve KVKK’da öngörülen ilkelere ve KVKK m.5 ve m.6’da hüküm altına alınan şartlardan en az birine uygun şekilde ve ilgili amaçlarla sınırlı olarak işlemektedir.

EXPANSCIENCE’ın kişisel veri işleme amaçları özellikle şunlardır:

  • EXPANSCIENCE insan kaynakları operasyonlarının planlanması ve yürütülebilmesi,
  • Bilgi güvenliği faaliyetlerinin planlanması, yürütülebilmesi, denetimi,
  • Kurumsal iletişimin sağlanabilmesi,
  • Eğitim, konferans, kongre, çalıştay, bilimsel toplantı, sosyal sorumluluk ve sosyal farkındalık çalışmaları, çeşitli çekiliş organizasyonları faaliyetlerinin gerçekleştirilmesi,
  • Yasal ve sözleşmesel yükümlülüklerin yerine getirilebilmesi,
  • EXPANSCIENCE’ın, her türlü operasyonel faaliyetinin güvenliğinin sağlanabilmesi,
  • İlerde doğabilecek hukuki ihtilaflarda ispat yükümlülüğünün yerine getirilebilmesi,
  • Başvuru ve şikayet süreçlerinin yönetilebilmesi,
  • Web sayfası üzerinden sunulan faaliyetlerin daha iyi hale getirilebilmesi ve geliştirilebilmesi,
  • Kişisel verilerin doğruluğunun ve güncelliğinin sağlanabilmesi,
  • Ziyaretçilerimizin ürün tercihlerinin ve ilgilendikleri ürün kategorilerinin daha iyi tespit edilebilmesi ve bu anlamda ihtiyaçlarına yönelik olarak çalışmaların yapılabilmesi ve tekliflerin sunulabilmesi,
  • EXPANSCIENCE’ın iş süreçlerine ilişkin stratejilerin belirlenmesi ve tatbik edilmesi,
  • Ücret yönetimi, yan hak ve menfaatlere ilişkin süreçlerin yönetilebilmesi,
  • Hukuk işlerinin denetimi ve takibi,
  • Yetkili kurum ve kuruluşlara ilgili yasal düzenleme dolayısıyla bilgi verilmesi,
  • Tedarikçiler, iş ortakları, sağlık profesyonelleri, hizmet sağlayıcılar ile olan iş süreçlerinin yürütülebilmesi ve bu kişilerle iletişimin sağlanabilmesi.

6. KİŞİSEL VERİLERİN İŞLENMESİ

6.1. Kişisel Verilerin İşlenmesinde Uygulanacak İlkeler

EXPANSCIENCE, ilgili kişilerin kişisel verilerinin işlenmesinde, Anayasa’ya, KVKK’ya ve ilgili diğer yasal mevzuata uygun hareket etmektedir. Kişisel verilerin işlenmesine ilişkin KVKK’nın 4. maddesinde yer alan ilkeler, tüm kişisel veri işleme faaliyetlerinin özünde bulunması ve tüm kişisel veri işleme faaliyetlerinin bu ilkelere uygun olarak gerçekleştirilmesi EXPANSCIENCE’ın önceliği olup, veri işleme süreçlerinde dikkate alınan bu ilkeler aşağıda yer verildiği gibidir.

6.1.1 Kişisel Verilerin Hukuka ve Dürüstlük Kurallarına Uygun Şekilde İşlenmesi

EXPANSCIENCE tarafından tüm veri işleme süreçlerinde önkoşul olarak kabul edilmiş olan hukuka ve dürüstlük kuralına uygun olma ilkesi, kişisel verilerin işlenmesinde kanunlarla ve diğer hukuksal düzenlemelerle getirilen ilkelere uygun hareket edilmesi zorunluluğunu ifade etmektedir. Bu ilke uyarınca, Şirketimiz, veri işlemedeki hedeflerine ulaşmaya çalışırken, ilgili kişilerin çıkarlarını ve makul beklentilerini dikkate almakta, ilgili kişinin beklemediği ve beklemesinin de gerekmediği sonuçların ortaya çıkmasını önleyici şekilde hareket etmektedir.

Bu ilke kapsamında Şirketimiz, kişisel verilerin ne şekilde ve ne amaçla işleneceği konusunda ilgili kişiyi gerekli şekilde aydınlatarak, veri işleme faaliyetinin ilgili kişi için şeffaf olmasını sağlamayı hedeflemektedir.

6.1.2 Kişisel Verilerin Doğru ve Gerektiğinde Güncel Olmasını Sağlama

EXPANSCIENCE ilgili kişinin kişisel verilerine dayalı olarak ilgili kişiyle ilgili bir sonuç ortaya koyuyor ise kişisel verilerin doğru ve gerektiğinde güncel olmasının sağlanması noktasında aktif özen yükümlülüğünü yerine getirmektedir. Bunun dışında ilgili kişilerin bilgilerinin doğru ve güncel olmasını temin etmek amacı ile EXPANSCIENCE’a başvurması için iletişim kanalları açık tutulmakta ve gerekli imkân tanınmaktadır.

6.1.3. Kişisel Verileri Belirli, Açık ve Meşru Amaçlar İçin İşleme

EXPANSCIENCE tarafından,  kişisel veri işleme amaçlarının açıklandığı hukuki işlem ve metinlerde (açık rıza, aydınlatma, ilgili kişinin başvurularını cevaplama) belirlilik ve açıklık ilkesine uyum konusunda hassasiyet gösterilmekte, veri işleme faaliyetinin ilgili kişi tarafından açık bir şekilde anlaşılabilir olmasını sağlamaya özen gösterilmektedir. Kişisel veriler belirlenen, ilan edilen, bildirilen veya sözleşmede kararlaştırılan amaçlar çerçevesinde işlenmektedir.

6.1.4. Kişisel Verileri İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olarak İşleme 

EXPANSCIENCE tarafından gerçekleştirilen veri işleme süreçlerinde, işlenen verilerin belirlenen amaçların gerçekleştirilebilmesine elverişli olmasına dikkat edilmekte; amacın gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınılmaktadır. İleride ortaya çıkması muhtemel ihtiyaçların karşılanmasına yönelik olarak veri işlenmesi yoluna gidilmemektedir.

6.1.5. Kişisel Verileri Mevzuatta Öngörülen veya İşlendikleri Amaç İçin Gerekli Süre Kadar Muhafaza Etme

Şirket kişisel verileri mevzuatta, EXPANSCIENCE Saklama ve İmha Politikası’nda öngörülen veya işlendikleri amaç için gerekli süre kadar saklamaktadır. Mevzuatta ve/veya Saklama ve İmha Politikası’nda belirtilen sürenin bitmesi ya da amacın gerçekleşmesi halinde kişisel veriler re’sen ya da ilgilinin talebi üzerine silinmekte, yok edilmekte ya da anonim hale getirilmektedir. Kişisel verilerin imhasına ilişkin olarak “Kişisel Veri Saklama ve İmha Politikası” hazırlanmış ve Şirket internet sitesinde ilan edilmiştir.

6.2. Genel Nitelikte Kişisel Verilerin İşlenmesi

Anayasa’nın 20. maddesi ve KVKK’nın 5. maddesi gereğince, kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez. Şirketimiz işbu yasal düzenlemeler doğrultusunda, kişisel verilerin işlenmesinde ilgili kişilerin açık rızasını almaya her zaman özen göstermektedir.

Ancak bazı durumlarda açık rıza aranmaksızın kişisel verilerin işlenmesine KVKK izin vermiştir. İşbu durumların bir veya birkaçının bulunması halinde, kişisel veriler açık rıza olmasa dahi işlenebilmektedir.  Veri süjesinin açık rızası olmaksızın kişisel verilerin işlenmesi halinde de 5.1 başlığında açıklanan ilkelere uygun şekilde hareket edilmektedir.

Kişisel verileriniz aşağıda yer alan şartlardan biri veya birkaçının bulunması halinde EXPANSCIENCE tarafından işlenebilmektedir.

6.2.1. Kişisel Veri Sahibinin Açık Rızasının Bulunması

Kişisel verilerin işlenmesine açık rızanın alınması EXPANSCIENCE’ın önceliğidir. Bu nedenle kişisel verilerini işlediğimiz ilgili kişilerin açık rızalarını fiziki ve elektronik ortamda almak için gerekli yöntemler ve sistemler geliştirilmiştir.

İlgili kişilerin, kişisel verilerinin işlenmesine ilişkin rızalarını alınmadan önce KVKK’nın 10. maddesi doğrultusunda aydınlatma yükümlülüğü yerine getirilmekte,  belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür irade ile açık rızalarının alınması sağlanmaktadır.

6.2.2 Kanunlarda Açıkça Öngörülmesi

Kanunlarda açıkça öngörülmesi halinde kişisel verilerin işlenmesi hukuka uygun olup, bu durumda veri süjesinin açık rızasının olup olmadığı ayrıca değerlendirilmemektedir. 4857 Sayılı İş Kanunu'nun İşçi Özlük Dosyası İle İlgili 75. Maddesi gereğince çalışanların verilerinin toplanması bu kapsamda değerlendirilmektedir. Yine 6698 sayılı Kişisel Verilerin Korunması Kanunu, 6098 sayılı Türk Borçlar Kanunu, 6102 sayılı Türk Ticaret Kanunu, 5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun, 6361 sayılı İş Sağlığı ve Güvenliği Kanunu, 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu, 4982 Sayılı Bilgi Edinme Hakkı Kanunu, 3071 sayılı Dilekçe Hakkının Kullanılmasına Dair Kanun ve bu kanunlara ilişkin ikincil mevzuat uyarınca da veriler EXPANSCIENCE tarafından işlenebilmektedir.

6.2.3. Fiili İmkânsızlık Nedeniyle Açık Rızanın Alınamaması

Rızanın açıklanamadığı ya da geçerli olmadığı hallerde, kişilerin hayat veya beden bütünlüğünün korunması için verilerin işlenmesi öngörülmektedir. Örneğin kişinin şuurunun yerinde olmadığı veya akıl hastası olması sebebiyle rızasının geçerli olmadığı bir durumda, hayat veya beden bütünlüğünün korunması amacıyla, tıbbi müdahale yapılması sırasında, kişisel verileri işlenebilecektir.

6.2.4. Sözleşmenin Kurulması veya İfası ile Doğrudan İlgili Olması

Bir sözleşmenin kurulması veya ifasıyla doğrudan ilgili olması halinde, sözleşmenin taraflarına ait kişisel verilerin açık rıza olmaksızın işlenmesi mümkündür. Örneğin yapılan bir sözleşme gereği ücretin ödenmesi için alacaklı tarafın hesap numarası bilgisi elde edilebilecektir.

6.2.5. Şirketin Hukuki Sorumluluğunun Yerine Getirilmesi İçin Zorunlu Olması

Şirketin, hukuki yükümlülüklerini yerine getirebilmesi için zorunlu olması halinde, kişisel verilerin açık rıza olmaksızın da işlenmesi mümkündür. Örneğin açık rıza olmasa dahi mahkeme kararıyla talep edilen bilgiler mahkemeye sunulabilecektir.

6.2.6. İlgili Kişinin Kendisi Tarafından Alenileştirilmiş Veriler

İlgili kişinin kendisi tarafından kamuoyuna açıklanmış olan kişisel verileri açık onay olmaksızın işlenebilecektir. Örneğin istihdam sağlama amacıyla kurulmuş web sitelerindeki hesabında özgeçmişini paylaşan kişinin, söz konusu bilgileri alenileştirilmiş veri olarak kabul edilir.

6.2.7. Bir Hakkın Tesisi, Kullanılması veya Korunması İçin Zorunlu Olması

Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması halinde açık rıza olmaksızın da kişisel veriler işlenebilecektir. Şirketin, çalışan tarafından açılan bir davada ispat için bazı verileri kullanması bu kapsamdadır.

6.2.8. Şirketin Meşru Menfaatleri İçin Zorunlu Olması

İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlemenin zorunlu olması halinde açık rıza olmaksızın kişisel veriler işlenebilecektir. Çalışanlarının temel hak ve özgürlüklerine zarar vermemek kaydıyla, onların terfileri, maaş zamları yahut sosyal haklarının düzenlenmesinde kişisel verilerinin işlenmesi bu kapsamdadır.

6.3. Özel Nitelikli Kişisel Verilerin İşlenmesi

KVKK ile bazı kişisel verilere, ayrımcılık potansiyeline sahip olmaları ve hukuka aykırı olarak işlendiğinde kişilerin mağduriyetine yol açabilecekleri gözetilerek özel önem verilmiş ve bu veriler “özel nitelikli kişisel veri” olarak adlandırılmıştır. (Tanım için bkz: 4.TANIMLAR)

Şirket, KVKK’nın özel önem atfettiği söz konusu “özel nitelikli kişisel verilerin” işlenmesinde ayrıca hassasiyet göstermektedir. Özel nitelikli kişisel verilerin işlenmesi süreçlerinde yer alan çalışanlara, Kanun ve buna bağlı yönetmelikler ile özel nitelikli kişisel veri güvenliği konularında eğitim verilmekte, gizlilik sözleşmeleri imzalatılmakta, verilere erişim yetkisi kısıtlanmakta, görev değişikliği olan ya da işten ayrılan çalışanların bu alanlardaki yetkileri derhal kaldırılmaktadır.

Özel nitelikli kişisel veriler e-mail ortamında aktarılacaksa şifreli kurumsal e-mail hesabından veya KEP hesabı üzerinden aktarılmaktadır.  Gerekli görüldüğü durumlarda  güvenlik testleri yapılabilir. Özel nitelikli kişisel verilerin muhafaza edildiği fiziksel ortamlarda yeterli güvenlik önlemleri alınmakta, söz konusu ortamlara yetkisiz giriş çıkışlar engellenmektedir. Söz konusu fiziksel ortamlarda oluşabilecek yangın, sel vs. risklerine karşı tedbirler alınmıştır.

Farklı fiziksel ortamlardaki sunucular arasında aktarımın gerçekleştiği durumlarda VPN kullanılmaktadır. Verilerin kağıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemler alınmakta ve evrak “gizlilik dereceli belgeler” formatında gönderilmektedir.

Söz konusu verilerin işlenmesi için ilgili kişilerin açık onayı EXPANSCIENCE’ın önceliğidir. EXPANSCIENCE tarafından, özel nitelikli kişisel veriler, veri süjesinin açık rızası olmaması halinde ancak KVKK’da belirlenmiş olan aşağıdaki istisnai durumlarda işleyebilecektir;

  • Sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir.
  • Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.

6.4. Kişisel Verilerin Aktarılması

6.4.1. Kişisel Verilerin Yurtiçinde Aktarılması

Kişisel verilerin paylaşılmasında açık rızanın alınması EXPANSCIENCE’ın önceliğidir. Bu nedenle kişisel verilerini üçüncü kişilerle paylaştığımız ilgili kişilerin açık rızalarını fiziki ve elektronik ortamda almak için gerekli yöntemler geliştirilmiştir.

EXPANSCIENCE, kişisel verinin işlenmesi amaçları doğrultusunda, hukuka ve dürüstlük kurallarına uygun olarak, ilgili kişinin kişisel verilerini üçüncü kişiler ile paylaşabilmektedir.

6.4.1.1. Genel Nitelikli Kişisel Verilerin Yurtiçinde Aktarılması

EXPANSCIENCE, ilgili kişilerin kişisel verilerini, kişisel verilerin işlenmesinde benimsenin ilkelere uygun bir şekilde üçüncü kişilere aktarabilmektedir. Kişisel verilerin üçüncü kişilere aktarılmasında ilgili kişinin onayının alınmasına hassasiyet gösterilmekte olup, aşağıda belirtilen hallerin bir veya bir kaçının bulunması halinde açık onay alınmaksızın kişisel verilerin aktarılması söz konusu olabilmektedir;

  • Kanunlarda açıkça öngörülmesi.
  • Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
  • Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
  • Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
  • İlgili kişinin kendisi tarafından alenileştirilmiş olması.
  • Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
  • İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

6.4.1.2. Özel Nitelikli Kişisel Verilerin Yurtiçinde Aktarılması

Şirketimiz, ilgili kişilerin özel nitelikli kişisel verilerini, kişisel verilerin işlenmesinde benimsenin ilkelere uygun bir şekilde üçüncü kişilere aktarabilmektedir.

Özel nitelikli kişisel verilerin üçüncü kişilere aktarılmasında ilgili kişinin onayının alınmasına hassasiyet gösterilmekte ve yeterli teknik ve idari önlemler alınarak özel nitelikli kişisel veriler yurtiçinde aktarılmaktadır. Ancak aşağıda belirtilen hallerin mevcut olması durumunda yeterli teknik ve idari önlemler alınarak, ilgili kişinin açık rızası bulunmadan da özel nitelikli kişisel verilerin aktarılması söz konusu olabilmektedir;

  1. Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri, kanunlarda öngörülen hâllerde,
  2. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından.

6.4.2. Kişisel Verilerin Yurtdışına Aktarılması

Kişisel verilerin yurtdışına aktarılmasında, ilgili kişinin açık rızanın alınmasına özen gösterilmektedir. Bu nedenle ilgili kişilerin açık rızalarını fiziki ve elektronik ortamda almak için gerekli yöntemler geliştirilmiştir.

Şirketimiz, hukuka ve dürüstlük kurallarına uygun bir şekilde ve veri işleme amaçlarına bağlı kalarak ilgili kişilerin kişisel verilerini yurtdışına aktarabilmektedir.

Kişisel verilerin yurtdışına aktarılmasında KVKK’nın 9. Maddesine ve Kurul’un 2019/125 numaralı kararında belirtilen ilke ve ölçütlere uygun hareket edilmektedir.

6.4.2.1. Genel Nitelikli Kişisel Verilerin Yurtdışına Aktarılması

EXPANSCIENCE, ilgili kişilerin kişisel verilerini, kişisel verilerin işlenmesinde benimsenin ilkelere uygun bir şekilde üçüncü kişilere aktarabilmektedir. Kişisel verilerin yurtdışında bulunan üçüncü kişilere aktarılmasında ilgili kişinin onayının alınmasına hassasiyet gösterilmektedir.

Veri süjesinin açık rızası olmaması halinde ise, verinin aktarılacağı ülkede yeterli korumanın bulunması veya kişisel verinin aktarılacağı veri sorumlusunun yeterli bir korumayı yazılı olarak taahhüt etmesi ve Kurul’un izninin bulunması şartıyla, Kurul’un 2019/125 numaralı kararında benimsediği ilke ve esaslar da uygulanarak, aşağıdaki şartlardan birinin varlığı hâlinde kişisel verilerinin yurtdışına aktarılması mümkündür:

  • Kanunlarda açıkça öngörülmesi.
  • Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
  • Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
  • Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
  • İlgili kişinin kendisi tarafından alenileştirilmiş olması.
  • Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
  • İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

6.4.2.2 Özel Nitelikli Kişisel Verilerin Yurtdışına Aktarılması

EXPANSCIENCE, ilgili kişilerin kişisel verilerini, kişisel verilerin işlenmesinde benimsenin ilkelere uygun bir şekilde yurtdışına aktarabilmektedir.

Verinin aktarılacağı ülkede yeterli korumanın bulunması veya kişisel verinin aktarılacağı veri sorumlusunun yeterli bir korumayı yazılı olarak taahhüt etmesi ve Kurul’un izninin bulunması şartıyla, Kurul’un 2019/125 numaralı kararında benimsediği ilke ve esaslara da uygun olacak şekilde aşağıdaki şartlardan birinin varlığı hâlinde ilgili kişinin açık rızasına ihtiyaç duyulmadan, kişisel verilerinin yurtdışına aktarılması mümkündür:

  • Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri, kanunlarda öngörülen hâllerde,
  • Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından.

7. SAĞLANAN İNTERNET ERİŞİMİNE İLİŞKİN VERİLER

EXPANSCIENCE personele ve misafirlere internete erişim imkanı sağlanmaktadır. İnternet erişimini kullanmak isteyen personel ve misafirin, ad soyadı, telefon numarası ile giriş yaptığı internet siteleri ve saat bilgileri, 5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yolu İle İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun ve bu Kanun’a dayanılarak çıkarılan İnternet Toplu Kullanım Sağlayıcıları Hakkında Yönetmelik gereğince yasal bir zorunluluk olarak saklanmaktadır.

Saklanan kayıtlar, yetkili kurum ve kuruluşların talep etmesi halinde yasal yükümlülüklerin yerine getirilmesi için hukuken yetkili kurum ve kuruluşlar ile paylaşılabilecektir.

8. İNTERNET SİTESİ ZİYARETÇİLERİNE AİT KİŞİSEL VERİLER

Şirkete ait internet sitelerinde, kişisel verilerin ne şekilde ve hangi amaç ile elde edildiğine dair KVKK’nın 10. Maddesi kapsamında “Kişisel Verilerin Korunması ve İşlenmesi Aydınlatma Metni, Gizlilik Politikası” yayınlanmış ve ziyaretçiler bu konuda bilgilendirilmiştir.

9. KİŞİSEL VERİLERİN GÜVENLİĞİ

EXPANSCIENCE, kişisel verilerin hukuka aykırı olarak işlenmesini ve kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini sağlamaya yönelik gerekli her türlü teknik ve idari tedbirleri almaktadır.

Bu kapsamda öncelikle EXPANSCIENCE tarafından işlenen kişisel verilerin neler olduğunun tespitine dair çalışmalar gerçekleştirilmiş, çalıştaylar yapılmış ve işlenen kişisel verilerin özel nitelikli kişisel veri olup olmadığı da gözetilerek, bu verilerin korunmasına ilişkin ortaya çıkabilecek riskler belirlenerek, risklerin azaltılması veya ortadan kaldırılmasına yönelik gerekli teknik ve idari tedbirler uygulamaya konmuştur.          

Kişisel verilerin hukuka, mevzuata ve ilgili güvenlik önlemlerine uygun şekilde işlenmesi, muhafaza edilmesi, saklanması, imha edilmesi ve sair süreçleri düzenleyen şirket içi politikalar ve prosedürler benimsenmiştir.

Kişisel veri güvenliğinin sağlanması için, kişisel verilerin hukuka aykırı şekilde açıklanması ve paylaşılmasının önüne geçebilmek ve KVKK’ya yönelik farkındalık yaratabilmek amacıyla, çalışanlara ve yöneticilere düzenli olarak eğitimler verilmektedir.

Ayrıca kişisel veri işleme süreçlerine dahil olan çalışanlardan, iş süreçlerinin bir parçası olarak gizlilik anlaşmaları, taahhütleri imzalamaları istenmekte, çalışanların güvenlik politika ve prosedürlerine aykırı hareket ettiklerinin tespiti halinde gerekli disiplin sürecine başvurulacağı önemle hatırlatılmaktadır.

EXPANSCIENCE ile  çalışan, tedarikçi, iş ortağı vs. arasında yapılan sözleşmeler ile veri işleyenler ile EXPANSCIENCE arasında yapılan sözleşmeler incelenmiş ve bu kapsamda başta KVKK ve sair mevzuat kapsamında revize çalışmaları yapılmış ve ek protokoller hazırlanmıştır.

Şirket tarafından veri işleme süreçlerine dahil olan kişisel verilere personel bazında erişim, yetki sınırlandırması yapılmış, sınırlı sayıda personele yürüttükleri iş süreçleri ile ilgili olan kişisel verilere erişim yetkisi tanınmıştır. Personel tarafından gerçekleştirilen veri işleme faaliyetleri kayıt altına alınmaktadır. Personel tarafından gerçekleştirilen veri işleme faaliyetleri kayıt altına alınmaktadır.

Kişisel verilerin hukuka aykırı şekilde işlenmesinin ve kişisel verilere hukuka aykırı şekilde erişilmesinin önüne geçmek için, kişisel verilerin işlenmesine ilişkin süreçlerin takibi ve denetimi için teknik sistemler kurulmuştur. Ağ güvenliği, veri akışı güvenliği çalışmaları yapılmış, veri kaybının önlenmesi için hali hazırdaki yazılımlar güncellenmiştir. Kişisel verilerin hukuka aykırı şekilde işlenmesini ve kişisel verilere hukuka aykırı olarak erişilmesini önlemek için iç denetimler gerçekleştirilmiştir.

Sızma testleri bilgi teknolojilerinden sorumlu yönetim kurulu üyesinin talimatları doğrultusunda ve belirtilen aralıklar ile yapılmaktadır.

Sistem güvenlik boşlukları takip edilerek uygun güvenlik düzeyinin sağlanabilmesi için yamalar yüklenmekte ve bilgi sistemleri güncel halde tutulmaktadır.

Web sitemiz https güvenlik protokolü ile korunmaktadır.

EXPANSCIENCE nezdinde bulunan kişisel verilere ilişkin çalışmaların akabinde tespit edilen kişisel veriler analiz edilmiş, mevzuat kapsamında incelenmiştir. Bu çerçevede gereksiz olan veriler silinmiş, verilerin mümkün olduğunca azaltılması ilkesi benimsenmiştir.

Kişisel verilere hukuka aykırı şekilde erişilmesini engellemek ve kişisel verilerin güvenli ortamlarda saklanmasını sağlamak için uygun güvenlik düzeyine sahip teknik yöntemler kullanılmakta ve söz konusu yöntemler gelişen teknolojiye uygun şekilde güncellenmektedir.

Şirketin veri kayıt sistemine içeriden ya da dışarıdan bir saldırı olması halinde, bu durumun erken fark edilmesi ve erken müdahale edilebilmesi için bir sistem kurulmuş, bilişim ağlarında hangi yazılım ve servislerin çalıştığı ve bilişim ağlarında sızma veya olmaması gereken bir hareket olup olmadığı düzenli şekilde kontrol edilmekte olup tüm kullanıcıların işlem hareketleri düzenli olarak tutulmaktadır.

Kişisel verilerin hukuka aykırı olarak başkaları tarafından ele geçirilmesi durumunda bu hususun ilgili kişiye ve Kurula bildirilebilmesi için EXPANSCIENCE tarafından buna uygun bir sistem ve altyapı kurulmuş, EXPANSCIENCE nezdinde bir prosedür benimsenmiştir.

Özel nitelikli kişisel veriler e-mail ortamında aktarılacaksa şifreli kurumsal e-mail hesabından veya KEP hesabı üzerinden aktarılmaktadır. Farklı fiziksel ortamlardaki sunucular arasında aktarma gerçekleştiriliyorsa, sunucular arasında VPN yöntemiyle veri aktarımı gerçekleştirilmektedir. Veri aktarımı fiziki olarak gerçekleşecekse evrakın çalınması, hasar görmesi , kaybolması ya da yetkisiz kişiler tarafından ele geçirilmesi gibi risklere karşı gerekli tedbirler alınmakta ve evrak dışarıdan okunamayacak şekilde, kapalı dosyalarda ve “gizli” formatta gönderilmektedir.

Çevresel risklere karşı bilgi ve bilişim sistemleri güvenliğinin sağlanması amacıyla sistem odasına sadece yetkili personelin girişinin sağlanması, kilit altındaki veri saklama birimlerinin anahtarlarının belirli kişilerde olması,  yerel alan ağını oluşturan kenar anahtarların fiziksel güvenliğinin sağlanması, yangın söndürme sistemi, sunucunun doğru çalışabilmesi için soğutma sistemi, güvenlik duvarları, atak önleme sistemleri, ağ erişim kontrolü, antivirüs sistemleri vb. gibi birçok önlem alınmaktadır.

10.  KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VE ANONİM HALE GETİRİLMESİ

EXPANSCIENCE, KVKK’nın 7. Maddesi gereğince, yasal mevzuata uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması veya mevzuatta öngörülen sürenin sona ermesi halinde kişisel verileri resen veya veri süjesinin talebiyle siler, yok eder veya anonim hale getirir.

Fiziksel ortamlarda muhafaza edilen kişisel veriler,  veri işleme amacının gerçekleşmesi ya da mevzuatta öngörülen süresinin bitmesi halinde, re’sen ya da ilgilinin talebi üzerine, silinmekte, yok edilmekte ya da anonim hale getirilmektedir.

Dijital veri kayıt sistemlerinde kaydedilen kişisel veriler, veri işleme amacının gerçekleşmesi ya da mevzuatta öngörülen süresinin bitmesi halinde, re’sen ya da ilgilinin talebi üzerine, silinmekte, yok edilmekte ya da anonim hale getirilmektedir.

Kişisel verinin işlenmesini gerektiren sebeplerin ortadan kalkması veya mevzuatta öngörülen sürenin sona ermesi halinde kişisel verileri resen veya veri süjesinin talebi akabinde, anonimleştirilebilir. Anonimleştirilmiş kişisel veriler, araştırma, istatistik ve planlama gibi amaçlarla kullanılabilir, süresiz şekilde saklanabilir ve yurtiçi ve yurtdışına aktarılabilir.  

Kişisel verilerin imhasına ilişkin olarak “Kişisel Veri Saklama Ve İmha Politikası” hazırlanmış ve www.mustela.com.tr internet sitesinde ilan edilmiştir. Detaylı bilgilendirme için lütfen inceleyiniz.

11. KİŞİSEL VERİ SAHİBİNİN HAKLARI VE ŞİRKETE BAŞVURUSU

Şirketimiz, kişisel verilerini işlediğimiz ilgili kişileri KVKK’nın 10. Maddesi kapsamında hakları ve haklarını ne şekilde kullanabilecekleri hakkında bilgilendirmektedir.

11.1. Kişisel Veri Sahibinin Hakları

Kişisel veri sahibi olan ilgili kişi, Kişisel Verilerin Korunması Kanunu’nun 11. maddesi kapsamında aşağıdaki haklara sahiptir; 

  • Kişisel verilerinin işlenip işlenmediğini öğrenme,
  • Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
  • Kişisel verilerinin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
  • Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
  • Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini, düzeltme işleminin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
  • Yasal sınırlar hariç olmak üzere Kanunun 7. maddesinde öngörülen şartlar çerçevesinde kişisel verilerinizin silinmesini veya yok edilmesini isteme, silme ve yok etme işleminin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
  • İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle aleyhine bir sonucun ortaya çıkmasına itiraz etme,
  • Kişisel verilerinin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme.

11.2. Kişisel Veri Sahibinin Haklarını Kullanması

İlgili kişi, Kanunun 11. maddesinde belirtilen hakları kapsamında taleplerini, yazılı olarak ıslak imzalı şekilde veya kayıtlı elektronik posta (KEP) adresi, güvenli elektronik imza, mobil imza ya da ilgili kişi tarafından Şirketimize daha önce bildirilen ve Şirketimiz sisteminde kayıtlı bulunan elektronik posta adresini kullanmak suretiyle Şirkete iletmelidir. Yazılı olarak yapılacak başvurular için adres Palladium Tower Barbaros Mah. Kardelen Sok. No:2-1 Kat:18 Ataşehir/İSTANBUL adresidir.

İlgili kişinin başvurusunda asgari olarak bulunması zorunlu olan bilgiler aşağıda belirtildiği gibidir;

  • Ad, soyad ve başvuru yazılı ise imza,
  • Türkiye Cumhuriyeti vatandaşları için T.C. kimlik numarası, yabancılar için uyruğu, pasaport numarası veya varsa kimlik numarası,
  • Tebligata esas yerleşim yeri veya iş yeri adresi,
  • Varsa bildirime esas elektronik posta adresi, telefon ve faks numarası,
  • Talep konusu

Ayrıca konuya ilişkin bilgi ve belgeler de başvuruya eklenmelidir. Başvuru sahiplerinin başvuruları esnasında kullanması için internet sitesinde Başvuru Formu hazırlanarak internet sitesinde ilan edilmiştir.

Kişisel veri sahibinin kendisi dışında bir kişinin talepte bulunması için konuya ilişkin olarak kişisel veri sahibi tarafından başvuruda bulunacak kişi adına düzenlenmiş özel vekâletname bulunmalıdır.

11.3.  Kişisel Veri Sahibinin Başvuru Hakkının İstisnaları

KVKK’nın 28. Maddesi gereğince bazı haller KVKK’nın kapsamı dışında bırakılmıştır. İşbu hallerde kişisel veri sahibinin KVKK’nın 11. Maddesi kapsamında haklarını kullanması mümkün olmamaktadır. Bu haller aşağıdaki şekildedir;

  • Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi
  • Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi
  • Kişisel verilerin milli savunmayı, milli güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi,
  • Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi.

Ayrıca KVKK’nın 28/2 maddesi gereğince, aşağıda belirtilen hallerde, zararın giderilmesini talep etme hakkı hariç, KVKK’nın 11. maddesinde düzenlenen diğer hakların kullanılması mümkün değildir;

  • Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması.
  • İlgili kişinin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi.
  • Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması.
  • Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması.

11.4.  Kişisel Veri Sahibinin Başvurularının Cevaplandırılması

EXPANSCIENCE, ilgili kişinin KVKK’nın 11. Maddesi kapsamında başvuruları etkin, hukuka ve dürüstlük kuralına uygun olarak sonuçlandırmak üzere gerekli her türlü idari ve teknik tedbirleri almaktadır.

EXPANSCIENCE’a iletmesi halinde, EXPANSCIENCE talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ücretsiz şekilde sonuçlandıracaktır. Cevabın on sayfadan fazla olması halinde, on sayfanın üzerindeki her sayfa için 1 Türk Lirası işlem ücreti alınabilir. Başvuruya cevabın CD, flash bellek gibi bir kayıt ortamında verilmesi halinde ise veri kayıt ortamının maliyeti talep edilebilir.  

EXPANSCIENCE, başvuruda bulunan kişinin kişisel veri sahibi olup olmadığını tespit etmek ve talepleri değerlendirmek için gerekli görmesi halinde ek bilgi talep edebilir ve başvuruda belirtilen hususları netleştirmek adına, kişisel veri sahibine başvurusu ile ilgili soru yöneltebilir. 

 

EK-1: Kişisel Veri Kategorileri

 

Kişisel Veri Kategorisi

Kişisel Veri Kategori Açıklaması

Kimlik Bilgisi

Gerçek kişiye ait, kişinin kimliğine dair bilgilerin bulunduğu verilerdir. T.C. kimlik numarası, anne-baba adı, doğum tarihi, doğum yeri, medeni durum, cinsiyet gibi bilgileri içeren nüfus cüzdanı, ehliyet, pasaport, meslek kartı gibi belgeler ile vergi numarası, imza bilgisi, SGK numarası ve sair veriler

İletişim Bilgisi

Telefon numarası, e-posta adresi, adres, faks numarası ve sair veriler

Eğitim Bilgisi

Mezun olunan okul bilgisi, diploma, kur, seminer, konferans katılım belgesi, sınav sonucu, yabancı dil bilgisi ve sair veriler

Çalışan Aday Bilgisi

EXPANSCIENCE tarafından, iş başvuru aşamasında özgeçmiş ve iş başvuru formları aracılığı ile alınan kişisel veriler (kimlik ve iletişim bilgisi, uyruk, sağlık, sabıka kaydı bilgisi, askerlik durumu, eğitim ve iş tecrübeleri, sertifika, ilgi alanları, referanslar, medeni durum, aile ve yakın bilgisi, yabancı dil bilgisi, özel araç bilgisi, ehliyet durumu, şirkete başvuru şekli)

Özlük Bilgisi

Şirket çalışanlarının özlük dosyasında bulunması kanunen zorunlu olan veriler ile özlük haklarının oluşmasına temel olacak veriler (Nüfus cüzdan fotokopisi, Nüfus kayıt örneği, yerleşim yeri ve adres belgesi (e-devlet), sabıka kaydı (e-devlet), diploma fotokopisi, kan grubu kartı, ehliyet fotokopisi, evlilik cüzdanı fotokopisi, eş ve çocuk nüfus cüzdan fotokopileri, askerlik terhis belgesi fotokopisi, fotoğraf, banka hesap cüzdanı fotokopisi, daha önce alınmış eğitim ve seminerlerin sertifika fotokopisi

Özel Nitelikli Kişisel Veri

Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik veriler

Finansal Bilgi

Banka hesap numarası ve hesap bilgileri, finansal durumu gösterir belgeler, maaş, bordro bilgileri, avans bilgisi ve sair veriler

Aile Bireyleri Bilgisi

EXPANSCIENCE tarafından ifa edilen faaliyetler kapsamında, verilen hizmetlere ilişkin yahut da EXPANSCIENCE’ın ve veri sahibi ile ailesine çeşitli olanakların ve menfaatlerin sağlanması kapsamındaki bilgiler

İşlem Güvenliği Bilgisi

Teknik, hukuki veya idari süreçlerle alakalı iş ve işlemlerin yürütüldüğü esnada EXPANSCIENCE ve ilgili kişinin güvenliğinin sağlanabilmesi amacıyla işlenen kişisel veriler (log kaydı, IP no gibi)

Hukuki İşlem Bilgisi

Hukuki hak ve alacaklarımızın tespitinin ve  takibinin yapılabilmesi, borçlarımızın ifası ile kanuni yükümlülüklerimizin EXPANSCIENCE politikaları nezdinde özenli ve yasal şekilde yürütülebilmesi amacıyla işlenen kişisel veriler,

Başvuru Yönetimine İlişkin Bilgiler

EXPANSCIENCE’a elektronik veya fiziki ortamda yapılmış olan her türlü başvurunun değerlendirilebilmesi amacıyla işlenen kişisel veriler

EK-2 Kişisel Veri Kategorisi ve Kişi Grubu Eşleştirmesi

Kişisel Veri Kategorisi

Kişisel Veri Kategori Açıklaması

Kimlik Bilgisi

Müşteriler, Çalışanlar, Çalışan Adayı, Şirket Ortakları, Müşteri Adayları, Tedarikçiler, Şirket Yetkilisi, Sağlık Profesyoneli

İletişim Bilgisi

Müşteriler, Müşteri Adayları Çalışanlar, Çalışan Adayları, Şirket Ortakları,  Tedarikçiler ve İş Ortakları, Şirket Yetkilileri, Hizmet Sağlayıcıları, Ziyaretçiler, Sağlık Profesyoneli

Eğitim Bilgisi

Çalışanlar, Çalışan Adayları, Şirket Ortakları, Şirket Yetkilileri, Sağlık Profesyoneli

Sağlık Bilgisi

Çalışanlar, Çalışan Adayları, Şirket Ortakları, Şirket Yetkilileri

Çalışan Aday Bilgisi

Çalışan Adayları

Özlük Bilgisi

Expanscience Çalışanları,  Şirket Yetkilileri, Şirket Ortakları

Özel Nitelikli Kişisel Veri

Çalışan Adayları, Şirket Ortakları, Şirket Yetkilileri, Sağlık Profesyoneli

Finansal Bilgi

Müşteriler, Müşteri Adayları, Tedarikçiler, İş Ortakları, Şirket Ortakları, Şirket Yetkilisi

 

 

Kişisel Veri ve İmha Politikası

  1. GİRİŞ

 

    1. Expanscience Laboratuvarları İlaç Sanayi Pazarlama ve Dış Ticaret A.Ş.  

( “Expanscience”) için kişisel verilerin korunması büyük bir öneme sahiptir. Şirket ortaklarımızın, çalışanlarımızın, çalışan adaylarımızın, müşterilerimizin, müşteri adaylarımızın, şirket yetkililerinin, birlikte çalıştığımız tedarikçiler ve sağlık profesyonelleri de dahil olmak üzere çeşitli iş ortaklarımızın, hizmet sağlayıcılarının çalışanlarının, yetkililerinin, ziyaretçilerin ve üçüncü kişilerin kişisel verilerinin korunmasında büyük hassasiyet gösterilmektedir.

 

1.2.      Kişisel verilerin işlenmesi ve korunması konusunda Expanscience tarafından benimsenen ilkeleri ortaya koyan “Kişisel Verilerin Korunması ve İşlenmesi Politikası”,  www.mustela.com.tr internet sitesinde ilgili kişilerin bilgisine sunulmuştur.  

2. POLİTİKA’NIN AMACI

2.1.      Kişisel Veri Saklama ve İmha Politikası (“Politika”), Expanscience tarafından  gerçekleştirilen  kişisel verilerin saklanması, imhası, yok edilmesi, anonim hale getirilmesi  süreçlerine ilişkin iş ve/veya işlemler hakkındaki usul ve esasların belirlenmesi amacıyla hazırlanmıştır.

2.2.      Kişisel verilerin saklanması, imhası, yok edilmesi ve anonim hale getirilmesi süreçlerine ilişkin iş ve/veya işlemler, Expanscience tarafından bu doğrultuda hazırlanmış olan Politika’ya uygun biçimde gerçekleştirilir.

3.  POLİTİKA’NIN KAPSAMI

3.1.      İşbu Politika; Şirket ortaklarımıza, çalışanlarımıza, çalışan adaylarımıza, müşterilerimize, müşteri adaylarımıza, şirket yetkililerine, birlikte çalıştığımız tedarikçiler ve sağlık profesyonelleri de dahil olmak üzere çeşitli iş ortaklarımıza, hizmet sağlayıcılarının çalışanlarına, yetkililerine, ziyaretçilerie ve üçüncü kişilere ait tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen her türlü kişisel veriyi kapsamaktadır.

3.2.      Expanscience’ın  sahip olduğu veya Expanscience tarafından yönetilen, kişisel verilerin işlendiği ilgili kayıt ortamları ve kişisel verilere ilişkin iş, işlem ve faaliyetlerde işbu Politika uygulanır.

4. TANIMLAR

Bu Politika’da geçen,

  • Açık Rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı,
  • Alıcı Grubu: Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisini,
  • Anonim Hâle Getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini,
  • İlgili Kişi: Kişisel verisi işlenen gerçek kişiyi,
  • Çalışan: EXPANSCIENCE Laboratuvarları İlaç Sanayi Pazarlama ve Dış Ticaret A.Ş.  personelini,
  • Çalışan Adayı: EXPANSCIENCE bünyesinde  çalışan olmak amacıyla, elektronik veya fiziki ortamda,  EXPANSCIENCE’a herhangi bir yolla iş başvurusunda bulunmuş ya da özgeçmiş ve ilgili bilgilerini EXPANSCIENCE’ın incelemesine bizzat veya bir sistem aracılığıyla açmış/iletmiş olan gerçek kişileri,
  • İlgili Kullanıcı: Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişileri,
  • Ziyaretçi: EXPANSCIENCE’ın sahip olduğu fiziksel yerleşkelere çeşitli amaçlarla girmiş olan veya internet sitelerimizi ziyaret eden gerçek kişileri,
  • İş Ortağı: EXPANSCIENCE'ın ticari faaliyetlerini yürütürken birlikte muhtelif projeler yapmak, hizmet almak gibi amaçlarla iş ortaklığı kurduğu tarafları,
  • Şirket Yetkilisi: EXPANSCIENCE yönetim kurulu üyelerini ve diğer yetkili kişileri,
  • Şirket Ortakları: EXPANSCIENCE  ortağı gerçek kişileri,
  • Müşteri: EXPANSCIENCE’ın sunduğu ürün ve hizmetlerden faydalanan gerçek kişileri,
  • Müşteri Adayları: Şirketimizin sunduğu ürün ve hizmetlerden faydalanma veya ilgili ürün ve hizmetleri satın alma talebinde bulunmuş  veya bulunacağı ticari teamül ve dürüstlük kurallarına uygun olarak değerlendirilebilecek gerçek kişileri,
  • Sağlık Profesyoneli: EXPANSCIENCE’ın eğitim, sektörel araştırma, anket, bilgilendirme, tanıtım, görüş ve öneri alma, bilimsel faaliyetlerde bulunma, sosyal sorumluluk faaliyetleri yürütmek amacı ile bilgi ve mesleki tecrübesine başvurduğu kimseleri,
  • İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesini,
  • Kanun: 24/3/2016 tarihli ve 6698 Sayılı Kişisel Verilerin Korunması Kanununu,
  • Kayıt Ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortamı,
  • Elektronik Ortamlar: Kişisel verilerin ilgili teknolojik altyapıya sahip  cihazlar ile oluşturulabildiği, işlenebildiği, saklanabildiği ve iletilebildiği ortamı,
  • Elektronik Olmayan Diğer Ortamlar: Elektronik ortamların dışında kalan her türlü yazılı, görsel ve sair ortamları,
  • Hizmet Sağlayıcı: EXPANSCIENCE ile yapmış olduğu ilgili sözleşme çerçevesinde, herhangi bir  hizmet sağlayan gerçek veya tüzel kişiyi,
  • Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi,
  • Özel Nitelikli (Hassas) Kişisel Veri: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri,
  • Kişisel Verilerin İşlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi,
  • Kişisel Veri İşleme Envanteri: Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel veri işleme faaliyetlerini; kişisel veri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanteri,
  • Kişisel Veri Saklama ve İmha Politikası: Veri sorumlularının, kişisel verilerin işlendikleri amaç için gerekli olan azami süreyi belirleme işlemi ile silme, yok etme ve anonim hale getirme işlemi için dayanak yaptıkları politikayı,
  • Kurul: Kişisel Verileri Koruma Kurulunu
  • Kurum: Kişisel Verileri Koruma Kurumunu,
  • Periyodik İmha: Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemini,
  • Sicil (VERBİS): Kişisel Verileri Koruma Kurumu tarafından tutulan veri sorumluları sicil bilgi sistemini,
  • Veri İşleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi
  • Veri Kayıt Sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini,
  • Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi,

ifade eder.

Bu Politika’da yer almayan tanımlar için 6698 sayılı Kanun ve ilgili mevzuatta yer alan tanımlar geçerlidir.

5. KAYIT ORTAMLARI

Expanscience tarafından kişisel verilerin bulundurulduğu kayıt ortamları; Expanscience adına/tarafından kullanılan sunucular, yazılımlar, bilgi güvenliği aygıtları(güvenlik duvarı, antivirüs, periyodik kayıt dosyaları vs.) kişisel bilgisayarlar, mobil cihazlar (akıllı tabletler, akıllı telefonlar) kullanılan elektronik programlar, iletişim altyapıları, MSSQL Sistemleri, Back Up yazılımları , aktarım programları ve sunucuları, VPN sunucusu dataları, ağ üzerinde veri saklaması için kullanılan paylaşımlı/paylaşımsız disk sürücüleri, CD, DVD, USB, harici disk, hafıza kartı gibi veri depolama özelliğine sahip diğer taşıyıcılar, yazıcı ve tarayıcılar,  kağıt, birim dolapları, arşivdir.

Expanscience, sayılan kayıt ortamlarına ek olarak kullanabileceği diğer kayıt ortamlarını da gecikmeksizin İmha Politikası’na dahil edecektir.

6. KİŞİSEL VERİLERİN SAKLANMASINI VE İMHASINI GEREKTİREN SEBEPLER

Expanscience,

  • Kişisel veri sahibinin açık rızasının bulunması,
  • Kanunlarda açıkça öngörülmesi, fiili imkânsızlık nedeniyle açık rızanın alınamaması, sözleşmenin kurulması veya ifası ile doğrudan ilgili olması,
  • Şirketin hukuki sorumluluğunun yerine getirilmesi için zorunlu olması,
  • İlgili kişinin kendisi tarafından alenileştirilmiş olması,
  • Bir hakkın tesisi, kullanılması veya korunması için zorunlu olması
  • Şirketin meşru menfaatleri için zorunlu olması ,
  • EXPANSCIENCE insan kaynakları operasyonlarının planlanması ve yürütülebilmesi,
  • Bilgi güvenliği faaliyetlerinin planlanması, yürütülebilmesi, denetimi,
  • Kurumsal iletişimin sağlanabilmesi,
  • Eğitim, konferans, kongre, çalıştay, bilimsel toplantı, sosyal sorumluluk ve sosyal farkındalık çalışmaları, çeşitli çekiliş organizasyonları faaliyetlerinin gerçekleştirilmesi,
  • Yasal ve sözleşmesel yükümlülüklerin yerine getirilebilmesi,
  • EXPANSCIENCE’ın, her türlü operasyonel faaliyetinin güvenliğinin sağlanabilmesi,
  • İlerde doğabilecek hukuki ihtilaflarda ispat yükümlülüğünün yerine getirilebilmesi,
  • Başvuru ve şikayet süreçlerinin yönetilebilmesi,
  • Web sayfası üzerinden sunulan faaliyetlerin daha iyi hale getirilebilmesi ve geliştirilebilmesi,
  • Kişisel verilerin doğruluğunun ve güncelliğinin sağlanabilmesi,
  • Ziyaretçilerimizin ürün tercihlerinin ve ilgilendikleri ürün kategorilerinin daha iyi tespit edilebilmesi ve bu anlamda ihtiyaçlarına yönelik olarak çalışmaların yapılabilmesi ve tekliflerin sunulabilmesi,
  • EXPANSCIENCE’ın iş süreçlerine ilişkin stratejilerin belirlenmesi ve tatbik edilmesi,
  • Ücret yönetimi, yan hak ve menfaatlere ilişkin süreçlerin yönetilebilmesi,
  • Hukuk işlerinin denetimi ve takibi,
  • Yetkili kurum ve kuruluşlara ilgili yasal düzenleme dolayısıyla bilgi verilmesi,
  • Tedarikçiler, iş ortakları, sağlık profesyonelleri, hizmet sağlayıcılar ile olan iş süreçlerinin yürütülebilmesi ve bu kişilerle iletişimin sağlanabilmesi.

hallerinden biri veya bir kaçının bulunması halinde kişisel verilerinizi işleyebilecektir. Kişisel verilerin işlenmesine ilişkin detaylı bilgiye ulaşmak için www.mustela.com.tr adresinde yer alan Kişisel Verilerin İşlenmesi ve Gizlilik Politikaları’nı inceleyebilirsiniz.

A. Saklamayı Gerektiren Hukuki Sebepler

İlgili kişisel veriler, Expanscience tarafından, bağlantılı veya ilgili mevzuatta öngörülen süre kadar muhafaza edilir. Bu çerçevede kişisel veriler:

  • 6698 sayılı Kişisel Verilerin Korunması Kanunu,
  • 6098 sayılı Türk Borçlar Kanunu,
  • 6102 sayılı Türk Ticaret Kanunu,
  • 5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun,
  • 6361 sayılı İş Sağlığı ve Güvenliği Kanunu,
  • 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu,
  • 4982 Sayılı Bilgi Edinme Hakkı Kanunu,
  • 4857 sayılı İş Kanunu,
  • 3071 sayılı Dilekçe Hakkının Kullanılmasına Dair Kanun ve bu kanunlara ilişkin ikincil mevzuat, kapsamında öngörülmüş olan saklama sürelerine uygun biçimde veriler saklanmaktadır.

İlgili kişilerin kişisel verileri, yukarıda sayılmış olan kişisel veri işleme nedenlerinin ortadan kalkması, işlemeye esas teşkil eden mevzuatın değişmesi veya mülga hale gelmesi, 6698 sayılı KVKK m.11 uyarınca ilgili kişinin kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin yaptığı başvurunun Expanscience tarafından kabul edilmesi, Expanscience’ın, ilgili kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabı yetersiz bulması veya 6698 sayılı KVKK’da öngörülen süre içinde cevaplamaması ihtimallerinde; ilgili kişinin Kurul’a şikayette bulunması ve bu talebin Kurul tarafından uygun görülmesi durumlarında gerçekleştirilecek ilk periyodik imha sırasında imha edilmektedir.  Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesiyle ilgili yapılan bütün işlemler tutanak ile kayıt altına alınır ve söz konusu kayıtlar imha tarihinden itibaren en az üç yıl süreyle saklanır.

7. KİŞİSEL VERİLERİN GÜVENLİĞİ

EXPANSCIENCE, kişisel verilerin hukuka aykırı olarak işlenmesini ve kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini sağlamaya yönelik gerekli her türlü teknik ve idari tedbirleri almaktadır.

Bu kapsamda öncelikle EXPANSCIENCE tarafından işlenen kişisel verilerin neler olduğunun tespitine dair çalışmalar gerçekleştirilmiş, çalıştaylar yapılmış ve işlenen kişisel verilerin özel nitelikli kişisel veri olup olmadığı da gözetilerek, bu verilerin korunmasına ilişkin ortaya çıkabilecek riskler belirlenerek, risklerin azaltılması veya ortadan kaldırılmasına yönelik gerekli teknik ve idari tedbirler uygulamaya konmuştur.         

Kişisel verilerin hukuka, mevzuata ve ilgili güvenlik önlemlerine uygun şekilde işlenmesi, muhafaza edilmesi, saklanması, imha edilmesi ve sair süreçleri düzenleyen şirket içi politikalar ve prosedürler benimsenmiştir.

Kişisel veri güvenliğinin sağlanması için, kişisel verilerin hukuka aykırı şekilde açıklanması ve paylaşılmasının önüne geçebilmek ve KVKK’ya yönelik farkındalık yaratabilmek amacıyla, çalışanlara ve yöneticilere düzenli olarak eğitimler verilmektedir.

Ayrıca kişisel veri işleme süreçlerine dahil olan çalışanlardan, iş süreçlerinin bir parçası olarak gizlilik anlaşmaları, taahhütleri imzalamaları istenmekte, çalışanların güvenlik politika ve prosedürlerine aykırı hareket ettiklerinin tespiti halinde gerekli disiplin sürecine başvurulacağı önemle hatırlatılmaktadır.

EXPANSCIENCE ile  çalışan, tedarikçi, iş ortağı vs. arasında yapılan sözleşmeler ile veri işleyenler ile EXPANSCIENCE arasında yapılan sözleşmeler incelenmiş ve bu kapsamda başta KVKK ve sair mevzuat kapsamında revize çalışmaları yapılmış ve ek protokoller hazırlanmıştır.

Şirket tarafından veri işleme süreçlerine dahil olan kişisel verilere personel bazında erişim, yetki sınırlandırması yapılmış, sınırlı sayıda personele yürüttükleri iş süreçleri ile ilgili olan kişisel verilere erişim yetkisi tanınmıştır. Personel tarafından gerçekleştirilen veri işleme faaliyetleri kayıt altına alınmaktadır. Personel tarafından gerçekleştirilen veri işleme faaliyetleri kayıt altına alınmaktadır.

Kişisel verilerin hukuka aykırı şekilde işlenmesinin ve kişisel verilere hukuka aykırı şekilde erişilmesinin önüne geçmek için, kişisel verilerin işlenmesine ilişkin süreçlerin takibi ve denetimi için teknik sistemler kurulmuştur. Ağ güvenliği, veri akışı güvenliği çalışmaları yapılmış, veri kaybının önlenmesi için hali hazırdaki yazılımlar güncellenmiştir. Kişisel verilerin hukuka aykırı şekilde işlenmesini ve kişisel verilere hukuka aykırı olarak erişilmesini önlemek için iç denetimler gerçekleştirilmiştir.

Sızma testleri bilgi teknolojilerinden sorumlu yönetim kurulu üyesinin talimatları doğrultusunda ve belirtilen aralıklar ile yapılmaktadır.

Sistem güvenlik boşlukları takip edilerek uygun güvenlik düzeyinin sağlanabilmesi için yamalar yüklenmekte ve bilgi sistemleri güncel halde tutulmaktadır.

Web sitemiz https güvenlik protokolü ile korunmaktadır.

EXPANSCIENCE nezdinde bulunan kişisel verilere ilişkin çalışmaların akabinde tespit edilen kişisel veriler analiz edilmiş, mevzuat kapsamında incelenmiştir. Bu çerçevede gereksiz olan veriler silinmiş, verilerin mümkün olduğunca azaltılması ilkesi benimsenmiştir.

Kişisel verilere hukuka aykırı şekilde erişilmesini engellemek ve kişisel verilerin güvenli ortamlarda saklanmasını sağlamak için uygun güvenlik düzeyine sahip teknik yöntemler kullanılmakta ve söz konusu yöntemler gelişen teknolojiye uygun şekilde güncellenmektedir.

Şirketin veri kayıt sistemine içeriden ya da dışarıdan bir saldırı olması halinde, bu durumun erken fark edilmesi ve erken müdahale edilebilmesi için bir sistem kurulmuş, bilişim ağlarında hangi yazılım ve servislerin çalıştığı ve bilişim ağlarında sızma veya olmaması gereken bir hareket olup olmadığı düzenli şekilde kontrol edilmekte olup tüm kullanıcıların işlem hareketleri düzenli olarak tutulmaktadır.

Kişisel verilerin hukuka aykırı olarak başkaları tarafından ele geçirilmesi durumunda bu hususun ilgili kişiye ve Kurula bildirilebilmesi için EXPANSCIENCE tarafından buna uygun bir sistem ve altyapı kurulmuş, EXPANSCIENCE nezdinde bir prosedür benimsenmiştir.

Özel nitelikli kişisel veriler e-mail ortamında aktarılacaksa şifreli kurumsal e-mail hesabından veya KEP hesabı üzerinden aktarılmaktadır. Farklı fiziksel ortamlardaki sunucular arasında aktarma gerçekleştiriliyorsa, sunucular arasında VPN yöntemiyle veri aktarımı gerçekleştirilmektedir. Veri aktarımı fiziki olarak gerçekleşecekse evrakın çalınması, hasar görmesi , kaybolması ya da yetkisiz kişiler tarafından ele geçirilmesi gibi risklere karşı gerekli tedbirler alınmakta ve evrak dışarıdan okunamayacak şekilde, kapalı dosyalarda ve “gizli” formatta gönderilmektedir.

Çevresel risklere karşı bilgi ve bilişim sistemleri güvenliğinin sağlanması amacıyla sistem odasına sadece yetkili personelin girişinin sağlanması, kilit altındaki veri saklama birimlerinin anahtarlarının belirli kişilerde olması,  yerel alan ağını oluşturan kenar anahtarların fiziksel güvenliğinin sağlanması, yangın söndürme sistemi, sunucunun doğru çalışabilmesi için soğutma sistemi, güvenlik duvarları, atak önleme sistemleri, ağ erişim kontrolü, antivirüs sistemleri vb. gibi birçok önlem alınmaktadır.

8.  KİŞİSEL VERİLERİN İMHASI

8.1. Kişisel Verilerin İmhasını Gerektiren Sebepler

Şirket, 6698 sayılı KVKK m.7 uyarınca gereğince, yasal mevzuata uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması veya mevzuatta öngörülen sürenin sona ermesi halinde kişisel verileri resen veya veri süjesinin talebiyle siler, yok eder veya anonim hale getirir.

 

Şirket,  kişisel verilerin imhasında, silme, yok etme veya anonim hale getirme yöntemlerinden uygun olanı seçmekte ve kişisel verilerin hukuka uygun olarak silinmesi, yok edilmesi ve anonim hale getirilmesi için gerekli tüm teknik ve idari tedbirleri alır.

8.2 Kişisel Verilerin Silinmesi

Kişisel verilerin silinmesi, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.  Şirket, silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması için gerekli her türlü teknik ve idari tedbiri almaktadır.

Kişisel verilerin silinmesi sürecinde, silme işlemine konu teşkil edecek kişisel veri belirlenmekte, söz konusu kişisel veriye erişim yetkisi olan ilgili kullanıcılar ve kullanıcıların kişisel veri üzerindeki yetkileri tespit edilmekte ve ilgili kullanıcıların söz konusu kişisel veri kapsamındaki erişim, geri getirme, tekrar kullanma yetkileri kaldırılmaktadır.

Kağıt ortamında bulunan kişisel veriler karartma yöntemi kullanılarak silinmektedir. Karartma işlemi, ilgili evrak üzerindeki kişisel verilerin, geri dönülemeyecek ve teknolojik çözümlemelerle okunamayacak şekilde sabit mürekkep kullanılarak ya da kesilerek, ilgili kullanıcılar için görünemez hale getirilmesi işlemidir.

Kişisel verilerin bulunduğu veri tabanlarında, kişisel verilerin bulunduğu ilgili satırların veri tabanı komutları ile (Delete vb.) silinmekte, dosya işletim sisteminde bulunan kişisel veriler için, dosyanın işletim sistemindeki silme komutu ile kişisel verinin silinmesi veya dosya ya da dosyanın bulunduğu dizin üzerinde ilgili kullanıcının erişim haklarının kaldırılması ile silme işlemi yapılmaktadır.

8.3 Kişisel Verilerin Yok Edilmesi

Kişisel verilerin yok edilmesi, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Şirket kişisel verilerin yok edilmesiyle ilgili gerekli her türlü teknik ve idari tedbirleri almaktadır.

Kişisel verilerin yok edilmesi için, verilerin bulunduğu tüm kopyalar tespit edilerek, verilerin bulunduğu sistemlerin türüne göre, manyetik medya bulunan veriler için, de-manyetize etme,  optik medya ve manyetik medyanın eritilmesi, yakılması veya toz haline getirilmesi ya da bir metal öğütücüden geçirilmesi, kâğıt ortamında bulunan kişisel veriler için kâğıt ötücüden geçirilmesi yöntemlerinden uygun olanı kullanılmaktadır.

8.4 Kişisel Verilerin Anonim Hale Getirilmesi

Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.

Anonim hale getirilmedeki amaç, veri ile bu verinin tanımlandığı kişi arasındaki bağın kopartılmasıdır. Kişisel verilerin tutulduğu veri kayıt sistemindeki kayıtlara uygulanan otomatik olan veya olmayan gruplama, maskeleme, türetme, genelleşme, rastgele hale getirme gibi yöntemler anonim hale getirme yöntemlerinden bazılarıdır.               

8.5. Kişisel Veri Kategorileri

Lütfen bkz: Expanscience Kişisel Verilerin Korunması ve İşlenmesi Politikası EK-1

8.6. Kişisel Veri Kategorisi ve Kişi Grubu Eşleştirmesi

Lütfen bkz: Expanscience Kişisel Verilerin Korunması ve İşlenmesi Politikası EK-2

8.7. Periyodik İmha Süreleri

6698 sayılı KVKK m.7 gereğince, yasal mevzuata uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması veya mevzuatta öngörülen sürenin sona ermesi halinde kişisel veriler periyodik olarak imha edilir. Şirketimiz, kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde, kişisel verileri siler, yok eder veya anonim hale getirir. Periyodik imha, tüm kişisel veriler için yılda iki kez olmak üzere 6 aylık zaman aralıkları ile gerçekleştirilir.

Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesiyle ilgili yapılan bütün işlemler kayıt altına alınır ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere üç yıl süreyle saklanır.

 

Veri Sorumlusuna Başvuru Formu

EXPANSCIENCE LABORATUVARLARI A.Ş.  VERİ SAHİBİ BAŞVURU FORMU

(6698 sayılı KİŞİSEL VERİLERİN KORUNMASI KANUNU GEREĞİNCE KİŞİSEL VERİ SAHİBİ TARAFINDAN YAPILACAK BAŞVURULARA İLİŞKİN)

6698 Sayılı Kişisel Verilerin Korunması Kanunu’nda (“Kanun”) ilgili kişi olarak tanımlanan kişisel veri sahiplerine (“veri sahibi”), Kanun’un 11. maddesinde kişisel verilerinin işlenmesine ilişkin belirli haklar tanınmıştır.

Kanunun 13. maddesinin 1. fıkrası uyarınca; veri sorumlusu olan Şirketimize bu haklara ilişkin olarak yapılacak başvuruların yazılı olarak veya Kişisel Verilerin Korunması Kurulu (“Kurul”) tarafından belirlenen diğer yöntemlerle tarafımıza iletilmesi gerekmektedir.

Bu çerçevede “yazılı” olarak Şirketimize yapılacak başvuruların, işbu formun çıktısı alınarak;

  • Başvuru Sahibi’nin şahsen başvurusu ile
  • Noter vasıtası ile,
  • Başvuru Sahibi’nce 5070 Sayılı Elektronik İmza Kanununda tanımlı olan “güvenli elektronik imza” ile imzalanarak Şirket kayıtlı elektronik posta adresine gönderilmek suretiyle
  • Mobil İmza ya da e-posta ile başvuru ile

tarafımıza iletilmesi gerekmektedir.

Başvuru

Yöntemi

Başvurunun

Yapılacağı Adres

Başvurunun İçerisinde Belirtilecek Bilgi

Şahsen Başvuru (İlgili kişinin bizzat gelmek suretiyle kimliğini tevsik eder bir belge ile başvurması)

Palladium Tower Barbaros Mah. Kardelen sok. No:2 Kat 18 34746 Ataşehir İSTANBUL

 

Zarfın üzerine “Kişisel Verilerin Korunması Kanunu Bilgi Talebi” yazılması gerekmektedir.

İadeli Taahhütlü Mektup ya da Noter Kanalıyla

Palladium Tower Barbaros Mah. Kardelen sok. No:2 Kat 18 34746 Ataşehir İSTANBUL

 

Zarfın üzerine “Kişisel Verilerin Korunması Kanunu Bilgi Talebi” yazılması gerekmektedir.

Kayıtlı Elektronik Posta (KEP) Yoluyla işbu formun 5070 Sayılı Elektronik İmza Kanunu hükümlerine uygun olarak atılmış güvenli elektronik imza ile imzalanarak

expanscience@hs03.kep.tr

E-posta’nın konu kısmına “Kişisel Verilerin Korunması Kanunu Bilgi Talebi” yazılması gerekmektedir.

Mobil İmza ya da E-posta İle Başvuru

kisiselveri@expanscience.com.tr

E-posta’nın konu kısmına “Kişisel Verilerin Korunması Kanunu Bilgi Talebi” yazılması gerekmektedir.

Yukarıda belirtilen kanallar Kanunun 13. maddesinin 1. fıkrası gereğince “yazılı” başvuru kanallarıdır. Kurul’un belirleyeceği diğer yöntemler duyurulduktan sonra bu yöntemler üzerinden de başvuruların ne şekilde alınacağı Şirketimizce duyurulacaktır.

Başvuruda bulunan veri sahibinin iletişim bilgileri:

Adı Soyadı

........................................................................................................

Doğum Tarihi ve T.C. Kimlik No

........ / .......... / ............  .............................................................

Telefon Numarası

........................................................................................................

E-posta Adresi

........................................................................................................

Adres

........................................................................................................

 

Lütfen Şirketimiz ile olan ilişkinizi belirtiniz: (Müşteri, iş ortağı, çalışan adayı, eski çalışan, üçüncü taraf firma çalışanı, hissedar gibi)

  • Müşteri
  • Ziyaretçi
  • İş Ortağı
  • Diğer: …………………..

Şirketimiz içerisinde iletişimde olduğunuz birim:………………………………..…………………..……...…………….…..........................

Konu:........................................................................................................................................................................

  • Mevcut Çalışanıyım
  • Eski Çalışanım

Çalıştığım Yıllar : .........................................

  • Diğer:

.........................................................................

  • İş Başvurusu / Özgeçmiş Paylaşımı Yaptım

Tarih : ..........................

  • Üçüncü Kişi Firma Çalışanıyım

Lütfen çalıştığınız firma ve pozisyon bilgisini belirtiniz

...................................................................................

 

Lütfen KVK Kanunu kapsamındaki talebinizi detaylı olarak belirtiniz: ......................................................................................................................................................... ......................................................................................................................................................... ......................................................................................................................................................... ......................................................................................................................................................... ......................................................................................................................................................... ......................................................................................................................................................... ......................................................................................................................................................... ......................................................................................................................................................... ......................................................................................................................................................... ......................................................................................................................................................... ......................................................................................................................................................... ......................................................................................................................................................... ......................................................................................................................................................... ......................................................................................................................................................... ......................................................................................................................................................... ......................................................................................................................................................... ...............................................................................................................................................

Lütfen başvurunuza vereceğimiz yanıtın tarafınıza bildirilme yöntemini seçiniz:

    • Adresime gönderilmesini istiyorum.
    • E-posta adresime gönderilmesini istiyorum.
    • Elden teslim almak istiyorum.

(Vekâleten temsil alınması durumunda vekâletname veya yetkili kişinin yetkisini gösterir belgenin olması gerekmektedir.)

İşbu başvuru formu, Şirketimiz ile olan ilişkinizi tespit ederek, varsa, Şirketimiz tarafından işlenen kişisel verilerinizi eksiksiz olarak belirleyerek, ilgili başvurunuza doğru ve kanuni süresinde cevap verilebilmesi için tanzim edilmiştir. Hukuka aykırı ve haksız bir şekilde veri paylaşımından kaynaklanabilecek hukuki risklerin bertaraf edilmesi ve özellikle kişisel verilerinizin güvenliğinin sağlanması amacıyla, kimlik ve yetki tespiti için Şirketimiz ek evrak ve malumat (Nüfus cüzdanı veya sürücü belgesi sureti vb.) talep etme hakkını saklı tutar. Form kapsamında iletmekte olduğunuz taleplerinize ilişkin bilgilerin doğru ve güncel olmaması ya da yetkisiz bir başvuru yapılması halinde Şirketimiz, söz konusu yanlış bilgi ya da yetkisiz başvuru kaynaklı taleplerden dolayı mesuliyet kabul etmemektedir.

 

Başvuru Tarihi : ......... / ........... / ...............

Başvuranın Adı Soyadı : ..........................................................

İmzası : .....................

 

Şirket tarafından doldurulacaktır

 

Tarih : ......... / ........... / ...............

 

Teslim Alanın Adı Soyadı : ......................................................

İmzası : ......................