Gizlilik Beyanı

KİŞİSEL VERİLERİN SAKLANMASI VE YOK EDİLMESİ POLİTİKASI

KİŞİSEL VERİLERİN SAKLANMASI VE YOK EDİLMESİ POLİTİKASI

Amaç

Bu Politika, veri sorumlu Newgen Pharma ("Şirket") tarafından Kişisel Verilerin Korunması Kanunu No. 6698'e uygun olarak hazırlanmıştır ve bu Politikanın dayanağı olan mevzuata uygun olarak gerçekleştirilen kişisel verilerin işlenmesi ve korunması ile işlenmiş kişisel verilerin silinmesi, yok edilmesi ve anonimleştirilmesi ile ilgili prosedürleri ve ilkeleri belirlemeyi amaçlamaktadır.

Kapsam 

Bu Politika, Şirket'in faaliyetleri kapsamında ilişkili olduğu çalışanların, stajyerlerin, çalışan aile üyelerinin, çalışan adaylarının, gerçek kişi potansiyel ve gerçek ürün ve hizmet alıcılarının, tedarikçi çalışanlarının ve yetkililerin ve ziyaretçilerin kişisel verilerinin Şirket tarafından tamamen veya kısmen otomatik ya da otomatik olmayan yöntemlerle işlenmesini kapsamaktadır, bu kişisel veriler herhangi bir veri kayıt sisteminin parçası olduğu sürece.

Bu Politika'nın tümü yukarıda belirtilen kişisel veri sahiplerine uygulanabilir, ya da yalnızca bazı hükümleri uygulanabilir.

Dayanak

Bu Politika, Kişisel Verilerin Korunması Kanunu No. 6698, Veri Sorumluları Sicili Yönetmeliği No. 30286 ve Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonimleştirilmesi Yönetmeliği No. 30224'e dayalı olarak hazırlanmıştır.

Eğer bu Politika ile kişisel verilerin işlenmesi, korunması ve yok edilmesi ile ilgili yürürlükteki mevzuat arasında bir farklılık varsa, öncelikle mevzuat hükümleri uygulanacaktır.

Tanımlar

Bu Politika'nın uygulanmasında;

1. Veri Alıcısı: kişisel verilerin veri sorumlusu tarafından aktarıldığı gerçek veya tüzel kişi kategorisini ifade eder.

2. Envanter: Şirket tarafından ilgili mevzuata uygun olarak hazırlanan Kişisel Veri Envanterini ifade eder.

3. İlgili Kullanıcı: örgüt içinde kişisel verileri teknik olarak depolayan, koruyan ve işleyen ya da veri sorumlusunun yetki ve talimatlarına uygun olarak hizmet eden kişileri ifade eder.

4. Yok Etme: kişisel verilerin silinmesi, yok edilmesi veya anonimleştirilmesini ifade eder.

5. Kanun: 24/3/2016 tarihli Kişisel Verilerin Korunması Kanunu No. 6698'i ifade eder.

6. Kayıt Ortamı: otomatik veya otomatik olmayan yollarla işlenen kişisel verileri içeren veya herhangi bir veri kayıt sisteminin parçası olan her türlü ortamı ifade eder.

7. Kişisel Veri: tanımlanmış veya tanımlanabilir bir gerçek kişiye ait her türlü bilgiyi ifade eder.

8. Veri Sahibi/İlgili Kişi: kişisel verileri işlenen gerçek kişiyi ifade eder.

9. Kişisel Veri İşleme Envanteri: Şirket tarafından hazırlanan ve Şirket tarafından gerçekleştirilen kişisel veri işleme faaliyetlerini, kişisel verilerin işlenme amaçlarıyla ilişkilendiren, veri kategorilerini, verilerin aktarıldığı alıcı grubu ve veri sahipleri grubunu içeren ve kişisel verilerin işlenme amacıyla gerekli azami süreyi, yurtdışına aktarılması planlanan kişisel verileri ve veri güvenliği için alınan önlemleri açıklayarak detaylandıran envanteri ifade eder.

10. Kişisel Verilerin Anonimleştirilmesi: herhangi bir şekilde tanımlanmış veya tanımlanabilir gerçek kişiyle ilişkilendirilmesini imkansız hale getirmeyi ifade eder, diğer verilerle eşleşse bile.

11. Kişisel Verilerin İşlenmesi: kişisel veriler üzerinde elde etme, kayıt etme, saklama, koruma, değiştirme, yeniden düzenleme, ifşa etme, aktarma, erişim sağlama, sınıflandırma ya da verinin kullanımını önleme gibi gerçekleştirilen her türlü işlemi ifade eder.

12. Kişisel Verilerin Silinmesi: kişisel verileri ilgili kullanıcılara erişilemez ve kullanılamaz hale getirmeyi ifade eder.

13. Kişisel Verilerin Yok Edilmesi: herhangi bir kişi tarafından kişisel verilerin erişilemez, geri alınamaz ve kullanılamaz hale getirilmesini ifade eder.

14. Kurum: Kişisel Verileri Koruma Kurulunu ifade eder.

15. Kurum: Kişisel Verileri Koruma Kurumunu ifade eder.

16. Kaydetme: tüm kritik ağlar ve cihazlar tarafından üretilen olay günlüklerinin analizini içeren, tüm olay logları olarak da bilinen kaydı izleme biçimini ifade eder; kapsamlı toplama, orijinal formunda saklama, metin analizi ve sunumu gibi adımlardan oluşarak, potansiyel saldırıların göstergelerini ve delillerini elde etmeyi, saldırının ne zaman ve hangi kanallarla gerçekleştiğine dair içgörüler sağlamayı, hangi protokollerin kullanıldığını ve saldırının nereden geldiğini belirlemeyi amaçlar.

17. Özel Kişisel Veri Kategorileri: bireylerin ırkı, etnik kökeni, politik görüşü, felsefi inancı, dini, mezhebi veya diğer inançları, görünüşü, derneğe, vakfa, sendikaya üyeliği, sağlık durumu, cinsel hayatı, suç geçmişi ve güvenlik önlemleri ile biyometrik ve genetik verileri içeren verileri ifade eder.

18. Dönemsel Yok Etme: hukukta belirtilen kişisel verilerin işlenmesi ile ilgili tüm şartların ortadan kalkması halinde düzenli olarak yapılır ve kişisel verilerin silinmesi, yok edilmesi veya anonimleştirilmesini ifade eder.

19. Politika: bu kişisel veri saklama ve yok etme politikasını ifade eder ve kişinin verilerinin silinmesi, yok edilmesi ve anonimleştirilmesine temel oluşturur, ayrıca kişisel verilerin işlendiği amaçlar için gerekli azami süreyi belirler, Şirket tarafından üstlenilir, bu Şirket'in verilerin sorumlusudur ve yasayla uyum içindedir.

20. Sicil: Kişisel Verileri Koruma Kurumu Başkanlığı tarafından tutulan veri sorumluları sicilini ifade eder.

21. Şirket: ticari adı Newgen Pharma olan şirketi ifade eder.

22. Veri İşleyici: veri sorumlusunun verdiği yetkiyle kişisel verileri veri sorumlusunun adına işleyen gerçek veya tüzel kişi anlamına gelir.

23. Veri Kaydı Sistemi: kişisel verilerin belirli kriterlere göre yapılandırılmış bir şekilde işlendiği sistemi ifade eder.

24. Veri Sorumlusu: kişisel verilerin işlenme amaçlarını ve araçlarını belirleyen ve veri kayıt sisteminin kurulması ve yönetimi konusunda sorumluluk taşıyan gerçek veya tüzel kişiyi ifade eder.

Bu Politika ile kapsanmayan tanımlar için Kanun’dakiler geçerlidir.

Kişisel Veri Kayıt Ortamları

Kişisel veriler, Şirket tarafından aşağıda listelenen ortamlarda, KVKK (Kişisel Verilerin Korunması Kanunu) başta olmak üzere ilgili mevzuata uygun olarak güvenli bir şekilde saklanmaktadır:

Teknik Veri Kayıt Ortamları:

• Bilgisayarlar

• Merkezi sunucular

• Ağ üzerinden veri saklamak için kullanılan paylaşımlı/paylaşılmamış disk sürücüleri

• Bulut hizmetleri

• Mobil telefonlar ve içindeki tüm depolama alanları

• Usb bellekler

1. Teknik Olmayan Veri Kayıt Ortamları:

• Kağıtlar

• Birim dolapları.

Kişisel Verilerin Saklanması ve Yok Edilmesi ile İlgili Genel İlkeler

Şirket, bir veri sorumlusunun kaydolma zorunluluğuna tabi olduğunu kabul, beyan ve taahhüt eder ve elinde bulundurduğu kişisel verileri Envanter gereğince saklamaktan ve kişisel verileri gerektiğinde silme, yok etme veya anonimleştirme sırasında bu Politika'ya uymaktan sorumlu olduğunu beyan etmektedir.

Kişisel verilerin saklanması ve yok edilmesi için aşağıdaki ilkeler geçerli olacaktır:

1. Şirket, Kanunun 4. Maddesinde belirtilen genel ilkelere uymalıdır.

2. Şirket tarafından bu Politika'nın hazırlanması, kişisel verilerin mevzuata uygun olarak silindiği, yok edildiği veya anonimleştirildiği anlamına gelmez.

3. Şirket, kişisel verileri saklarken, silerken, yok ederken veya anonimleştirirken, Kanunun 12. Maddesinde belirtilen güvenlik önlemlerine, mevzuattaki ilgili hükümlere, Kurul kararlarına ve bu Politika'ya uymalıdır.

4. Şirket, otomatik veya otomatik olmayan yöntemlerle işlenmiş kişisel verileri silme, yok etme veya anonimleştirme sırasında bu Politika ve uygulanacak araçlar, programlar ve süreçlere uygunluğu sağlamalıdır.

5. Şirket, kişisel verilerin silinmesi, yok edilmesi ve anonimleştirilmesi ile ilgili tüm işlemlerin kayıtlarını tutacak ve bu kayıtları en az 3 (üç) yıl süreyle muhafaza edecektir, diğer yasal yükümlülükler haricinde.

Kabul, beyan ve taahhüt.

Saklama Gerektiren İşleme Amaçları

Kişisel veriler, veri sorumlusunun Şirket'i tarafından Anayasanın 20. Maddesi ve Kişisel Verilerin Korunması Kanunu (KVKK) 4. Maddesi uyarınca aşağıdaki amaçlarla işlenmektedir:

• Bilgi güvenliği süreçlerinin yürütülmesi

• Çalışan adayı/stajyer/öğrenci seçim ve yerleştirme süreçlerinin yürütülmesi

• Çalışan adaylarının başvuru süreçlerinin yürütülmesi

• Çalışan memnuniyeti ve bağlılık süreçlerinin yürütülmesi

• Çalışanlar için iş sözleşmesi ve yasasal yükümlülüklerin yerine getirilmesi

• Çalışanlar için yan haklar ve menfaat süreçlerinin yürütülmesi

• Denetim/etik faaliyetlerin yürütülmesi

• Eğitim faaliyetlerinin yürütülmesi

• Erişim yetkilendirmelerinin yürütülmesi

• Mevzuata uygun faaliyetlerin yürütülmesi

• Finansal ve muhasebe işlemlerinin yürütülmesi

• Şirket/ürün/hizmet sadakat süreçlerinin yürütülmesi

• Fiziksel alan güvenliğinin sağlanması

• Atama süreçlerinin yürütülmesi

• Hukuki işlemlerin yürütülmesi ve izlenmesi

• İç denetim/soruşturma/istihbarat faaliyetlerinin yürütülmesi

• İletişim faaliyetlerinin yürütülmesi

• İnsan kaynakları süreçlerinin planlanması

• İş faaliyetlerinin yürütülmesi/denetimi

• İş sağlığı/güvenliği faaliyetlerinin yürütülmesi

• İş süreçlerinin iyileştirilmesine yönelik önerilerin alınması ve değerlendirilmesi

• İş sürekliliğini sağlamak için faaliyetlerin yürütülmesi

• Lojistik faaliyetlerin yürütülmesi

• Mal/hizmet satın alma süreçlerinin yürütülmesi,

• Mal/hizmetler için satış sonrası destek hizmetlerinin yürütülmesi

• Mal/hizmetlerin satış hizmetlerinin yürütülmesi

• Mal/hizmet üretim ve işlem süreçlerinin yürütülmesi

• Müşteri ilişkileri yönetimi süreçlerinin yürütülmesi

• Müşteri memnuniyeti için faaliyetlerin yürütülmesi

• Organizasyon ve etkinlik yönetimi

• Pazarlama ve analiz çalışmaları yürütülmesi

• Performans değerlendirme süreçlerinin yürütülmesi

• Rekabet kampanya tanıtım süreçlerinin yürütülmesi

• Risk yönetimi süreçlerinin yürütülmesi

• Saklama ve arşiv faaliyetlerinin yürütülmesi

• Sosyal sorumluluk ve sivil toplum faaliyetlerinin yürütülmesi

• Sözleşme süreçlerinin yürütülmesi

• Sponsorluk faaliyetlerinin yürütülmesi

• Stratejik planlama faaliyetlerinin yürütülmesi

• Talep/şikayetleri izleme

• Taşınabilir malların ve kaynakların güvenliğini sağlamak

• Tedarik zinciri yönetimi süreçlerinin yürütülmesi

• Ücretlendirme politikasının yürütülmesi

• Ürün/hizmetlerin pazarlama süreçlerinin yürütülmesi

• Veri sorumlusunun operasyonlarının güvenliğini sağlamak

• Yatırım süreçlerinin yürütülmesi

• Yeteneğin kariyer gelişimi faaliyetlerinin yürütülmesi

• Yetkili kişileri, kurumları ve kuruluşları bilgilendirme

• Yönetim faaliyetlerinin yürütülmesi

• Ziyaretçi kayıtlarının oluşturulması ve izlenmesi

Kişisel Verilerin Yok Edilmesini Gerektiren Hukuki, Teknik ve Diğer Nedenler

Şirket tarafından ilgili bireylere ait kişisel veriler, hukuki, teknik ve diğer nedenlerden dolayı yok edilmektedir; bu nedenler ancak bunlarla sınırlı değildir:

1. Kanunun 4. Maddesinde belirtilen genel ilkeler.

2. Veri sahibinin talepleri.

3. Hukuki yükümlülüklerin sona ermesi.

Bunlar yok etme nedenlerindendir; ancak sınırlı değildir; benzer amaç ve nedenler de geçerli olabilir.

Kişisel Verilerin Güvenli Saklanması ve Hukuksuz İşleme ve Erişimi Önleme İçin Alınan Teknik ve İdari Önlemler

Şirket, veri sahiplerine ait kişisel verilerin güvenli bir şekilde saklanması ve hukuksuz işleme ve erişimi önlemek için aşağıdaki teknik önlemleri almıştır:

1. Ağ güvenliği ve uygulama güvenliği sağlanmaktadır.

2. Kişisel veri transferleri için kapalı sistem ağa kullanılmaktadır.

3. Anahtar yönetimi uygulanmaktadır.

4. Bilgi teknolojisi sistemlerinin tedarik, geliştirme ve bakım sürecinde güvenlik önlemleri alınmaktadır.

5. Bulutta saklanan kişisel verilerin güvenliği sağlanmaktadır.

6. Erişim günlükleri düzenli olarak tutulmaktadır.

7. Gerekli olduğunda veri maskeleme önlemleri uygulanmaktadır.

8. Güncel anti-virüs sistemleri kullanılmaktadır.

9. Güvenlik duvarları kullanılmaktadır.

10. Kullanıcı hesap yönetimi ve yetkilendirme kontrol sistemi uygulanmakta ve bunlar izlenmektedir.

11. Log kayıtları, kullanıcı müdahalesi olmadan tutulmaktadır.

12. Saldırı tespit ve önleme sistemleri kullanılmaktadır.

13. Bilgi güvenliği önlemleri alınmış ve uygulaması sürekli olarak izlenmektedir.

14. Veri kaybını önleme yazılımları kullanılmaktadır.

Veri sahiplerine ait kişisel verilerin güvenli saklanması ve hukuksuz işleme ve erişimi önleme için Şirket tarafından alınan idari önlemler şunlardır:

1. Çalışanlar için veri güvenliği hükümleri içeren disiplin düzenlemeleri bulunmaktadır.

2. Çalışanlar için düzenli aralıklarla veri güvenliği konusunda eğitim ve farkındalık artırma faaliyetleri yürütülmektedir.

3. Erişim, bilgi güvenliği, kullanım, saklama ve yok etme konularında kurumsal politikalar hazırlanmış ve uygulanmaya başlanmıştır.

4. Gizlilik taahhütleri yapılmaktadır.

5. Bu alanda görev değişikliği yapan veya işten ayrılan çalışanların yetkileri kaldırılmaktadır.

6. Imzalanan sözleşmelerde veri güvenliği hükümleri bulunmaktadır.

7. Kağıt ile aktarılan kişisel veriler için ek güvenlik önlemleri alınmakta ve ilgili belge gizlilik derecesine göre gönderilmektedir.

8. Kişisel veri güvenliği politikaları ve prosedürleri belirlenmiştir.

9. Kişisel verileri içeren fiziksel ortamlar dışsal risklere (yangın, su baskını vb.) karşı güvence altına alınmaktadır.

10. Kişisel verilerin bulunduğu ortamların güvenliği sağlanmaktadır.

11. Kişisel veriler mümkün olduğunca minimize edilmektedir.

12. Kişisel veriler yedeklenmekte ve yedeklenmiş kişisel verilerin güvenliği de sağlanmaktadır.

13. Dahili periyodik ve/veya rastgele denetimler yapılmakta ve uygulanmaktadır.

14. Mevcut riskler ve tehditler belirlenmiştir.

Hukuka Uygun Olarak Kişisel Verilerin Yok Edilmesi İçin Alınan Teknik ve İdari Önlemler

Şirket tarafından kişisel verilerin hukuka uygun olarak yok edilmesi için alınan teknik önlemler:

1. Kişisel verilerin yok edilmesi için en güncel teknolojik gereksinimlere uygun sistemlerin kullanılması; gizlilik ve bilgi güvenliği önlemlerini alarak,

2. İlgili Kullanıcılar kapsamındaki kişisel verilerin erişim, geri alma ve yeniden kullanma yetkilerinin kapatılması, ortadan kaldırılması ve silinen verilerin geri yüklenmesini engelleyen yetki iptalini içermektedir.

3. Bulut sistemleri ile merkezi sunucudaki kişisel veriler buluş işlemiyle geri dönüşümsüz olarak silinir.

4. Uygun teknik kayıt ortamının doğasına bağlı olarak, yok etme için uygun (fiziksel demanyetizasyon, üzerine yazma) veya anonimleştirme yöntemi tercih edilmektedir.

5. Teknik olmayan kayıt ortamlarında kişisel verilerin yok edilmesi için silme (kapatma vb.), yok etme (fiziksel yok etme) yöntemleri uygulanmaktadır.

Önemli olan faktördür.

Yasalara uygun olarak kişisel verilerin yok edilmesi için Şirket tarafından alınan idari önlemler:

1. Kişisel verilerin yok edilmesi konusundaki gerekli uygulama çalışmaları düzenli olarak yapılmaktadır.

2. Şirket'in iş yeri içindeki teknik olmayan veri kayıt ortamlarının fiziksel yok edilmesi için gerekli donanım sağlanmaktadır.

Önemli olan faktördür.

Kişisel Verilerin Saklanması ve Yok Edilmesi Süreçlerinden Sorumlu Birimler ve Bilgiler

Şirket'in kişisel veri saklama ve yok etme süreçlerinden sorumlu birimlerde çalışan personelin unvanlarını ve iş tanımlarını gösteren liste Ek-1'de verilmiştir.

Saklama ve Yok Etme Süreleri

Kişisel verilere ait saklama ve yok etme sürelerini gösteren tablo Ek-2'de verilmiştir.

Dönemsel Yok Etme Süreleri

Dönemsel yok etme süreleri, Şirket tarafından işlenen kişisel verilerin kategorilerine göre bu Politika'ya ekli saklama ve yok etme süreleri tablosunda belirtilen süreler hariç 6 (altı) aydır.

Veri Sahibinin Talebi Üzerine Kişisel Verilerin Silinmesi ve Yok Edilmesi Süreleri

İlgili kişi, Kanunun 13. Maddesi uyarınca Şirket'e başvurarak kişisel verilerinin silinmesini veya yok edilmesini talep ettiğinde;

1. Kişisel verilerin işlenmesi için tüm şartlar ortadan kalkmışsa; Şirket, talep edilen kişisel verileri silmekte, yok etmekte veya anonimleştirmektedir. Şirket, veri sahibinin talebini en geç 30 (otuz) gün içinde sonuçlandırmakta ve veri sahibini bilgilendirmektedir.

2. Eğer kişisel verilerin işlenmesi için tüm şartlar ortadan kalkmışsa ve talep edilen kişisel veriler üçüncü taraflara aktarılmışsa, Şirket en geç 10 (on) gün içinde üçüncü tarafı bilgilendirecek ve gerekli işlemleri gerçekleştirmesini sağlayacaktır.

3. Kişisel verilerin işlenmesi için tüm şartlar ortadan kalkmamışsa, bu talep Şirket tarafından 13. Madde'nin üçüncü fıkrası uyarınca neden açıklanarak reddedilebilir ve reddedilen yanıt en geç 30 (otuz) gün içinde ilgili kişiye yazılı veya elektronik olarak iletilecektir.

Yürürlük

Şirket tarafından hazırlanan bu Politika, Şirket'in Web Sitesi'nde yayımlandığı tarihte yürürlüğe girmiştir.

LPPD hükümleri ile diğer ilgili mevzuat ve bu Politika arasındaki uyumsuzluk durumunda, LPPD hükümleri ve diğer ilgili mevzuat hüküm ve hükümleri birinci olarak uygulanacaktır.

EK-1: SORUMLU BİRİMLER VE BİLGİLER TABLOSU

Kişisel veri saklama ve yok etme süreçlerinde yer alan Şirket çalışanlarının unvanları, birimleri ve iş tanımları aşağıdaki tabloda verilmiştir.

Yalnızca kişisel verilerin korunmasına ilişkin görev tanımı bulunan tüm çalışanların iş tanımları verilmiş olup, bunların hepsi iş tanımlarında yer alan işlemlere ilişkin kişisel verilerin saklanma sürelerine uyulmasını sağlamaktadır.

EK-2: SAKLAMA VE YOK ETME SÜRELERİ TABLOSU

Şirket tarafından işlenen verilerin saklama ve yok etme süreleri, kişisel veri kategorisine göre Kişisel Veri İşleme Envanteri’nde belirlenmiş ve aşağıdaki tabloda verilmiştir.

TABLO A – ÇALIŞANLARA VE STAJYERLERE AİT KİŞİSEL VERİLER TABLOSU

TABLO B – ÇALIŞAN ADAYLARINA AİT KİŞİSEL VERİLER TABLOSU

TABLO C – POTANSİYEL ÜRÜN ALICILARINA AİT KİŞİSEL VERİLER ÜZERİNE TABLO

TABLO D – ÜRÜN VE HİZMET ALICILARINA AİT KİŞİSEL VERİLER ÜZERİNE TABLO

TABLO F – TEDARİKÇİ ÇALIŞANLARINA AİT KİŞİSEL VERİLER ÜZERİNE TABLO

TABLO G – TEDARİKÇİYE AİT KİŞİSEL VERİLER VE YETKİLİLERİ ÜZERİNE TABLO

TABLO G – HİSSEDARLARA/ORTAKLARA AİT KİŞİSEL VERİLER ÜZERİNE TABLO

EK-3: GÜNCELLEME TABLOSU

Bu Politika'da yapılan değişiklikler aşağıdaki tabloda verilmiştir.