KİŞİSEL VERİ SAKLAMA VE İMHA POLİTİKAMIZ

BİRİNCİ BÖLÜM

GİRİŞ

1.1. Giriş

TMT TIBBİ MEDİKAL MALZEME SAN. VE TİC. A.Ş. (“Şirket” veya “EGEMEN”) Kişisel Verilerin korunması ve işlenmesinde başta Anayasa’nın 20. Maddesinde düzenlenen özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumaya azami önem atfetmektedir. Bu çerçevede, 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) ile 28 Ekim 2017 tarihli ve 30224 sayılı Resmi Gazete’de yayımlanarak yürürlüğe giren Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik (“Yönetmelik”) uyarınca Kişisel Verilerin hukuka uygun olarak saklanması ve imha edilmesine özen göstermekte ve bu konuda gerekli her türlü idari ve teknik önlemi almaktadır.

1.2. Politikanın Amacı

Kişisel Verileri Saklanma ve İmha Politikasının (“Politika”) amacı, Kanun’un ve Yönetmelik’in amacına uygun olarak tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin saklanması, silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin Şirketimizin uyacağı usul ve esasları belirlemektir. Bu Politikayla Şirketimiz tarafından gerçekleştirilen Kişisel verilerin saklanması ve imhası faaliyetlerinde mevzuata tam uyumun sağlanması ve kişisel veri sahiplerinin özel hayatın gizliliği ve veri güvenliği hakkının güçlü bir şekilde korunması hedeflenmektedir.

EGEMEN işbu Kişisel Verileri Saklama ve İmha Politikası hükümlerini ilgili kanunların gereklilikleri ve yeni Şirket uygulamaları çerçevesinde zaman zaman güncelleyebilir. Bu nedenle, en güncel versiyona ulaşmak için, düzenli olarak www.egemen.com.tr adresini ziyaret etmenizi rica ederiz. Söz konusu güncellemeler yayınlanma tarihinden itibaren geçerli olacaktır.

1.3. Politikanın Kapsamı

Bu Politika; gerçek kişi olmak kaydıyla Şirket Hissedarları, Şirket İş Ortakları, Şirket Yetkilileri, Çalışanlar, Çalışan Adayları, Ziyaretçiler, Şirket Müşterileri, Potansiyel Müşteriler ve Üçüncü Kişiler için hazırlanmıştır ve bu belirtilen kişiler kapsamında uygulanacaktır. Hangi sıfat ile olursa olsun tüzel kişilere bu Politika uygulanmayacaktır.

Bu Politika, yukarıda belirtilen ilgili kişiler için, Şirketimizin bu ilgili kişilerin kişisel verilerini tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlemesi halinde uygulanacaktır. Verinin aşağıda belirtilen kapsamda “Kişisel Veri” kapsamında yer almaması veya Şirketimiz tarafından gerçekleştirilen kişisel veri işleme faaliyetinin yukarıda belirtilen yollarla olmaması halinde bu Politika uygulanmayacaktır.

1.4. Tanımlar

Bu Politikanın uygulanmasında kullanılan kavramlar aşağıda yer verilen anlamları ifade eder:

Alıcı Grubu

:

Şirketimiz tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişilerdir.

Anonim Hale Getirme

:

Kişisel Verinin, Kişisel Veri niteliğini kaybedecek ve bu durumun geri alınamayacağı şekilde değiştirilmesidir. Ör: Maskeleme, toplulaştırma, veri bozma vb. tekniklerle Kişisel Verinin bir gerçek kişi ile ilişkilendirilemeyecek hale getirilmesidir.

Çalışan Adayı

:

Şirketimize herhangi bir yolla iş başvurusunda bulunmuş ya da özgeçmiş ve ilgili bilgilerini şirketimizin incelemesine açmış olan gerçek kişilerdir.

Çalışan

:

Şirketimizde iş akdiyle çalışan tüm gerçek kişilerdir.

İlgili kullanıcı

:

Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişilerdir.

İmha

:

Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesini ifade eder.

Kayıt ortamı

:

Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortamı ifade eder.

Kişisel Verilerin İşlenmesi

:

Kişisel Verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemdir.

KVK Kurulu

:

Kişisel Verilerin Korunması Kurulu’dur.

Kişisel Veri Sahibi /İlgili Kişi

:

Kişisel Verisi işlenen Şirket Hissedarlarını, Şirket İş Ortaklarını, Şirket Yetkililerini, Çalışan Adaylarını, Ziyaretçileri, Şirket Müşterilerini, Potansiyel Müşterileri ve Üçüncü Kişileri ifade eder.

Kişisel Veri

:

Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgidir.

Şirket Müşterisi

:

Şirketimizle herhangi bir sözleşmesel ilişkisi olup olmadığına bakılmaksızın Şirketimizin sunmuş olduğu ürün ve hizmetleri kullanan veya kullanmış olan gerçek kişilerdir.

Özel Nitelikli Kişisel Veri

:

Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık kıyafet, dernek vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik veriler özel nitelikli verilerdir.

Periyodik İmha:

Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda bu politikada belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemidir.

Potansiyel Müşteri

:

Ürün ve hizmetlerimize kullanma talebinde veya ilgisinde bulunmuş veya bu ilgiye sahip olabileceği ticari teamül ve dürüstlük kurallarına uygun olarak değerlendirilmiş gerçek kişilerdir.

Şirket / Şirketimiz

:

TMT Tıbbi Medikal Malzeme San. ve Tic. A.Ş.’dir.

Şirket Hissedarı

:

TMT Tıbbi Medikal Malzeme San. ve Tic. A.Ş. hissedarı olan kişilerdir.

Şirket İş Ortağı, İş Ortaklarının Hissedarı, Yetkilisi, Çalışanı

:

Şirketimizin her türlü iş ilişkisi içerisinde bulunduğu gerçek kişiler ile Şirketimizin her türlü iş ilişkisi içerisinde bulunduğu gerçek ve tüzel kişilerde (iş ortağı, tedarikçi gibi) çalışan, hissedarları ve yetkilileri dahil olmak üzere, tüm gerçek kişilerdir.

Şirket Yetkilisi

:

TMT Tıbbi Medikal Malzeme San. ve Tic. A.Ş. yönetim kurulu üyesi ve diğer yetkili kişilerdir.

Üçüncü Kişi

:

TMT Tıbbi Medikal Malzeme San. ve Tic. A.Ş. Kişisel Verilerin Korunması ve İşlenmesi Politikası kapsamında herhangi bir Kişisel Veri Sahibi kategorisine girmeyen diğer kişilerdir. (Örn. Talep ve şikayet başvurusu yapanlar, çalışanların aile bireyleri ve yakınları)

Veri İşleyen

:

Veri sorumlusunun verdiği yetkiye dayanarak onun adına Kişisel Veri işleyen gerçek ve tüzel kişidir.

Veri Kayıt Sistemi

:

Kişisel Verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini ifade eder.

Veri Sorumlusu

:

Kişisel Verilerin işlenme amaçlarını ve vasıtalarını belirleyen, verilerin sistematik bir şekilde tutulduğu yeri (veri kayıt sistemi) yöneten kişi veri sorumlusudur.

Ziyaretçi

:

Şirketimizin sahip olduğu fiziksel yerleşkelere çeşitli amaçlarla girmiş olan veya internet sitelerimizi herhangi bir amaç ile ziyaret eden tüm gerçek kişilerdir.

İKİNCİ BÖLÜM

KİŞİSEL VERİLERİN GÜVENLİ BİR ŞEKİLDE SAKLANMASI İLE HUKUKA AYKIRI OLARAK İŞLENMESİNİN ÖNLENMESİ İÇİN ALINAN TEKNİK VE İDARİ TEDBİRLER

1.5. İdari Tedbirler

Şirketimizin kişisel verilerin hukuka aykırı olarak işlenmesini ve erişilmesini önlemek, kişisel verilerin güvenli bir şekilde saklanmasını sağlamak amacıyla aldığı idari tedbirler aşağıda sıralanmıştır:

  • Gizlilik taahhütnameleri yapılmaktadır.
  • Erişim, bilgi güvenliği, kullanım, saklama ve imha konularında kurumsal politikalar hazırlanmış ve uygulamaya başlanmıştır.
  • İmzalanan sözleşmeler veri güvenliği hükümleri içermektedir.
  • Kişisel veri güvenliği politika ve prosedürleri belirlenmiştir.
  • Kişisel veri güvenliğinin takibi yapılmaktadır.
  • Kişisel veriler mümkün olduğunca azaltılmaktadır.

Şirketimiz yukarıda açıklanan veri güvenliğinin tesisi için alınan idari tedbirlerin düzenliliğini ve devamlılığını sağlamak amacıyla gerekli denetimleri yapar ve yaptırır.

1.6. Teknik Tedbirler

Şirketimizin kişisel verilerin hukuka aykırı olarak işlenmesini ve erişilmesini önlemek, kişisel verilerin güvenli bir şekilde saklanmasını sağlamak amacıyla aldığı teknik tedbirler aşağıda sıralanmıştır:

  • Ağ güvenliği ve uygulama güvenliği sağlanmaktadır.
  • Ağ yoluyla kişisel veri aktarımlarında kapalı sistem ağ kullanılmaktadır.
  • Bulutta depolanan kişisel verilerin güvenliği sağlanmaktadır.
  • Çalışanlar için veri güvenliği hükümleri içeren disiplin düzenlemeleri mevcuttur.
  • Çalışanlar için veri güvenliği konusunda belli aralıklarla eğitim ve farkındalık çalışmaları yapılmaktadır.
  • Erişim logları düzenli olarak tutulmaktadır.
  • Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır.
  • Güncel anti-virüs sistemleri kullanılmaktadır.
  • Güvenlik duvarları kullanılmaktadır.
  • Kağıt yoluyla aktarılan kişisel veriler için ekstra güvenlik tedbirleri alınmakta ve ilgili evrak gizlilik dereceli belge formatında gönderilmektedir.
  • Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmaktadır.
  • Kişisel veri içeren fiziksel ortamların dış risklere (yangın, sel vb.) karşı güvenliği sağlanmaktadır.
  • Kişisel veri içeren ortamların güvenliği sağlanmaktadır.
  • Kişisel veriler yedeklenmekte ve yedeklenen kişisel verilerin güvenliği de sağlanmaktadır.
  • Kullanıcı hesap yönetimi ve yetki kontrol sistemi uygulanmakta olup bunların takibi de yapılmaktadır.
  • Log kayıtları kullanıcı müdahalesi olmayacak şekilde tutulmaktadır.
  • Özel nitelikli kişisel veri güvenliğine yönelik protokol ve prosedürler belirlenmiş ve uygulanmaktadır.
  • Saldırı tespit ve önleme sistemleri kullanılmaktadır.
  • Siber güvenlik önlemleri alınmış olup uygulanması sürekli takip edilmektedir.

Şirketimiz yukarıda açıklanan veri güvenliğinin tesisi için alınan teknik tedbirlerin yeterliliğini ve devamlılığını sağlamak amacıyla gerekli denetimleri yapar ve yaptırır, gerektiğinde bu teknikleri günceller.


ÜÇÜNCÜ BÖLÜM

KİŞİSEL VERİLERİN SAKLANMASI VE İMHASI

1.7. Kişisel Verilerin Saklaması ve İmhasını Gerektiren Hukuki Sebepler

Şirketimiz Kanunun 5. ve 6. maddelerinde yer alan kişisel verilerin işlenme şartları çerçevesinde kişisel verileri saklayabilmektedir.

Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin tamamının ortadan kalkması hâlinde, Kanunun 7. maddesi uyarınca kişisel veriler resen veya ilgili kişinin talebi üzerine Şirketimiz tarafından silinir, yok edilir veya anonim hâle getirilir.

1.8. Kişisel Verileri Saklama Süreleri ve İmha Süreci

Şirketimiz kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesinde Kanunun 4. maddesindeki genel ilkeler ile 12. maddesi kapsamında alınması gereken teknik ve idari tedbirler, ilgili mevzuat hükümleri, Kurul kararları ve Politikaya uygun hareket eder.

Şirketimiz, kişisel verileri kanunlarda ve sair mevzuatta öngörülen süreler uyarınca saklamaktadır. Kişisel verilerin ne kadar süre boyunca saklanması gerektiğine ilişkin kanunlarda ve sair mevzuatta bir süre düzenlemesi bulunmuyorsa, kişisel veriler Şirketimizin o kişisel veriyi işleme amacının gerçekleşmesi için gereken süre kadar işlenmekte daha sonra silinmekte, yok edilmekte veya anonim hale getirilmektedir.

2.1.1. Saklama Süreleri ve Periyodik İmha

Şirketimizin faaliyetleri kapsamında işlenmekte olan kişisel verilerle ilgili olarak;

  • Süreçler bağlı olarak gerçekleştirilen faaliyetler kapsamındaki tüm kişisel verilerle ilgili kişisel veri bazında saklama süreleri EGEMEN Kişisel Veri İşleme Envanterinde;
  • Veri kategorileri bazında saklama süreleri VERBİS’ e kayıtta;
  • Süreç bazında saklama süreleri ise Kişisel Veri Saklama ve İmha Politikasında yer alır.

Söz konusu saklama süreleri üzerinde, kanunen gerekmesi halinde EGEMEN tarafından güncellemeler yapılır.

Şirketimiz kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde, kişisel verileri siler, yok eder veya anonim hale getirir. Periyodik imha, tüm kişisel veriler için altı aylık zaman aralıklarında gerçekleştirilir.

Kişisel verilerin imha edilmesiyle ilgili yapılan bütün işlemler Şirketimiz tarafından kayıt altına alınır ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere üç yıl süreyle saklanır.

2.1.2. Saklama Süreleri Tablosu

SÜREÇ

Saklama Süresi

(İlişkinin sona ermesinden itibaren)

CV SÜREÇLERİNİN YÜRÜTÜLMESİ

ÇALIŞANLAR İÇİN 10 YIL, DEĞERLENDİRME SÜRECİNDE OLAN ADAYLAR İÇİN 3 AY

İNSAN KAYNAKLARI SÜREÇLERİNİN YÜRÜTÜLMESİ

10 YIL

PERSONEL BANKA SÜREÇLERİNİN YÜRÜTÜLMESİ

10 YIL

MUHASEBE-FİNANS SÜREÇLERİNİN YÜRÜTÜLMESİ

10 YIL

SİGORTA POLİÇESİ SÜREÇLERİNİN YÜRÜTÜLMESİ

HER BELGE ÜZERİNDEKİ SÜRE KADAR

SÖZLEŞMELER

10 YIL

SAĞLIK VERİSİ

15 YIL

KALİTE KONTROL DENETİM SÜREÇLERİNİN YÜRÜTÜLMESİ

10 YIL

KALİTE KONTROL MAL KABUL SÜREÇLERİNİN YÜRÜTÜLMESİ

5 YIL

KALİTE KONTROL TAŞERON FİRMA SÜREÇLERİ YÜRÜTÜLMESİ

2 YIL

KALİTE MÜŞTERİ TALEP ŞİKÂYETLERİNİN YÜRÜTÜLMESİ

15YIL

İŞ SAĞLIĞI VE GÜVENLİĞİ SÜREÇLERİNİN YÜRÜTÜLMESİ

15 YIL

İŞ KAZASI RAPORLAMA SÜREÇLERİNİN YÜRÜTÜLMESİ

10 YIL

SATIŞ BAYİ-SEVKİYAT SÜREÇLERİNİN YÜRÜTÜLMESİ

10 YIL

SATIŞ FUAR TANITIM -SERVİS/PERAKENDE ZİYARET SÜREÇLERİNİN YÖNETİLMESİ

3 YIL

SATIN ALMA SÜREÇLERİNİN YÜRÜTÜLMESİ

10 YIL

ÜRETİM SÜREÇLERİNİN YÜRÜTÜLMESİ

15 YIL

2.1.3. Veri Sahibinin Talep Etmesi Durumunda İmha

Veri sahipleri yazılı olarak veya güvenli elektronik imzalı olarak veya KVK Kurulunun belirleyeceği diğer yöntemlerle Şirketimize başvurarak kendisine ait kişisel verilerin imha edilmesini talep edebilirler.

Bu durumda Şirketimiz başvuranın kişisel verilerine ilişkin işleme şartlarının mevcut durumunu kontrol eder ve kişisel veri işleme şartlarının tamamı ortadan kalkmışsa talebe konu kişisel verileri siler, yok eder veya anonim hale getirir. Şirketimiz bu işlemi en geç otuz gün içinde sonuçlandırır ve ilgili kişiye bilgi verir.

Kişisel verileri işleme şartlarının tamamı ortadan kalkmış ve talebe konu olan kişisel veriler üçüncü kişilere aktarılmışsa bu durumu üçüncü kişiye bildirir; üçüncü kişi nezdinde Yönetmelik kapsamında gerekli işlemlerin yapılmasını temin eder.

Şirketimiz kişisel verileri işleme şartlarının tamamı ortadan kalkmamışsa ilgili veri sahibinin talebini gerekçesini açıklayarak reddedebilir. Bu durumda ret cevabını ilgili kişiye en geç otuz gün içinde yazılı olarak ya da elektronik ortamda bildirir.

Şirketimize iletilen talebin ayrıca bir maliyeti gerektirmesi hâlinde, ilgili kişiden Kurulca belirlenen tarifedeki ücret alınabilir. Başvuru Şirketimizin hatasından kaynaklanmışsa alınan ücret ilgiliye iade edilir.

1.9. Kişisel Verilerin İmha Yöntemleri

2.1.4. Kişisel Verilerin Silinmesi

Şirketimiz tarafından otomatik yollarla işlenen kişisel veriler ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilecek şekilde dosyanın işletim sistemindeki silme komutuyla veya bulundukları ortamlara uygun yazılımlar kullanılarak silinir yahut ilgili kullanıcıların bu kişisel veriler kapsamındaki erişim, geri getirme ve tekrar kullanma yetkileri kaldırılır.

Herhangi bir veri kayıt isteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel veriler ise geri döndürülemeyecek şekilde karartma yöntemi kullanılarak silinir.

Karartma: Kişisel verilerin bütününün, kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek şekilde üstlerinin çizilmesi, boyanması ve buzlanması gibi işlemlerdir.

2.1.5. Kişisel Verilerin Yok Edilmesi

Şirketimiz tarafından otomatik yollarla işlenen kişisel veriler hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilecek şekilde bu verilerin yer aldığı ortamlara de-manyetize etme veya üzerine yazma yöntemleri uygulanarak yok edilir.

De-manyetize etme: Manyetik medyanın özel bir cihazdan geçirilerek gayet yüksek değerde bir manyetik alana maruz bırakılması ile üzerindeki verilerin okunamaz biçimde bozulması işlemidir.

Üzerine yazma: Manyetik medya ve yeniden yazılabilir optik medya üzerine en az yedi kez 0 ve 1’lerden oluşan rastgele veriler yazarak eski verinin kurtarılmasının önüne geçilmesi işlemidir.

Herhangi bir veri kayıt isteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel veriler ise fiziksel yok etme yöntemi kullanılarak yok edilir.

Fiziksel yok etme: Kayıt ortamını eriterek, yakarak, toz haline getirerek ya da geri birleştirilemeyecek şekilde küçük parçalara bölerek imha etme işlemidir.

2.1.6. Kişisel Verilerin Anonim Hale Getirilmesi

Şirketimiz tarafından tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel veriler başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek şekilde maskeleme, değişken çıkartma, genelleştirme yöntemleri kullanılarak anonim hale getirilir.

Maskeleme: Kişisel verilerin belli alanlarının, kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek şekilde silinmesi, üstlerinin çizilmesi, boyanması ve yıldızlanması gibi işlemlerdir.

Değişken çıkartma: Değişkenlerden birinin veya birkaçının tablodan bütünüyle silinerek çıkartılmasıyla sağlanan bir anonim hale getirme yöntemidir.

Genelleştirme: Kişisel veriyi özel bir değerden daha genel bir değere çevirerek ilgili veriyi gerçek bir kişiye erişmeyi imkânsız hale getirecek şekilde bir gruba ait toplam değerleri veya istatistikleri gösterir hale getirme işlemidir.

Şirketimiz ilgili kişinin talebi halinde kişisel verilerin imhası için uygun yöntemi gerekçesini açıklayarak seçer.

  • Sosyal Medyada Biz