Gizlilik Politikası - Kullanım Şartları
EOT DENTAL SAĞLIK ÜRÜNLERİ VE DIŞ TİCARET ANONİM ŞİRKETİ
KİŞİSEL VERİLERİ İŞLEME, SAKLAMA VE İMHA POLİTİKASI
I. GİRİŞ
07.04.2016 tarihinde yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) uyarınca, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi kişisel veri olarak tanımlanmakta ve kişisel verilerin korunması ve hukuka uygun olarak işlenmesi için önemli adımlar atılması gerekmektedir.
EOT Dental Sağlık Ürünleri Ve Dış Ticaret Anonim Şirketi olarak ('Şirket') kişisel verilerin 6698 Sayılı Kişisel Verilerin Korunması Kanunu ("KVKK") ve ilgili mevzuata uyumun tam olarak sağlanması ve kişisel verilerin hukuka uygun olarak işlenmesi ve korunması önceliklerimiz arasındadır.
Şirket'in kişisel verilerin işlenmesine ilişkin olan ya da olmayan tüm faaliyetlerini, Şirket olarak kişisel veri sahiplerine karşı sorumluluğumuzun bilincinde olarak yürütülmekte, tüm ilgililer tarafından da bir bütün olarak Şirket'in Kişisel Verileri İşleme, Saklama ve İmha Politikası'na (Politika) uygun davranılması ve azami hassasiyet gösterilmesi gerekmektedir.
II. KAPSAM
İşbu Politika, Şirket'in kişisel veri işleme faaliyetleri hakkında tüm ilgililerin bilgilendirilmesi ve mevzuatın gereği olan şeffaflığın sağlanması amacıyla hazırlanmıştır. Şirket Politikası, ilgili mevzuatın düzenlediği kuralların Şirket uygulamaları çerçevesinde somutlaştırılması ve şeffaf olarak paylaşılmasından ibarettir.
İşbu Politika, tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen tüm kişisel verilere ilişkindir.
a. Kişisel Veri Sahipleri
Söz konusu kişisel veri sahipleri aşağıdaki tabloda belirtilmiştir.
Kişisel Veri Sahibi |
Açıklama |
Çalışanlar, Stajyerler |
Şirket ile olan istihdam ilişkisi hâlihazırda devam eden çalışanlarımızın yanında; kişisel verileri işlenmeye/muhafaza edilmeye devam eden eski çalışanlarımız; deneyim kazanmak amacıyla Şirket'imizde staj yapmış olan veya stajı hâlihazırda devam eden stajyerlerimiz |
Çalışan Adayları, Stajyer Adayları |
Herhangi bir vesileyle Şirket'e iş başvurusunda / staj başvurusunda bulunan, istihdam veya deneyim amacıyla özgeçmişlerini ve ilgili diğer bilgileri Şirket'in incelemesine sunan çalışan adayı / stajyer adayı gerçek kişiler. |
İşbirliği Yapılan Paydaşların Yetkilileri (Bkz. Tedarikçiler) |
Şirket'in her türlü iş ilişkisi içerisinde bulunduğu iş ortağı, tedarikçi gibi kurumlarda (ancak bunlarla sınırlı olmaksızın) çalışan, bu kurumların hissedarları ve yetkilileri dâhil olmak üzere, gerçek kişiler |
Müşteriler |
Şirket ile herhangi bir sözleşmesel ilişkisi olup olmadığına bakılmaksızın Şirket'i iş faaliyetleri nedeniyle kişisel verileri elde edilen gerçek kişiler |
Şirket Hissedarı |
Şirket Hissedarı gerçek kişiler |
Şirket Yetkilisi |
Şirket Yönetim Kurulu Üyeleri ve Diğer Yetkili Gerçek Kişiler |
Tedarikçiler |
Şirket'in faaliyetlerini yürütürken, Şirket'in talimatlarına uygun olarak sözleşmesel ilişkiye dayanarak, Şirket'e hizmet sunan tarafların; yetkilisi veya hissedarı olan gerçek kişiler. |
Üçüncü Kişiler |
Şirket'in faaliyetleri kapsamında; çalışan, eski çalışan, tedarikçi, müşteri, ziyaretçi kategorilerine dâhil olmayan diğer gerçek kişiler. |
Ziyaretçiler |
Fiziki olarak Şirket'e veya Şirket'e ait işyerlerine çeşitli amaçlarla gelen veya elektronik ortamda Şirket'e ait internet sitelerini ziyaret eden gerçek kişiler. |
b. Kişisel Veri Kategorileri
Şirketimizin faaliyetleri çerçevesinde işlenen veri kategorileri aşağıdaki tabloda belirtilmiş, ayrıca VERBİS'te ilan edilmiştir.
Kimlik |
Ad soyad, Anne - baba adı, Anne kızlık soyadı, Doğum tarihi, Doğum yeri, Medeni hali, Nüfus cüzdanı seri sıra no, TC kimlik no v.b. |
İletişim |
Adres no, E-posta adresi, İletişim adresi, Kayıtlı elektronik posta adresi (KEP), Telefon no v.b. |
Özlük |
Bordro bilgileri, Disiplin soruşturması, İşe giriş belgesi kayıtları, Mal bildirimi bilgileri, Özgeçmiş bilgileri, Performans değerlendirme raporları v.b. |
Hukuki İşlem |
Adli makamlarla yazışmalardaki bilgiler, Dava dosyasındaki bilgiler v.b. |
Müşteri İşlem |
Çağrı merkezi kayıtları, Fatura, senet, çek bilgileri, Gişe dekontlarındaki bilgiler, Sipariş bilgisi, Talep bilgisi v.b. |
Fiziksel Mekân Güvenliği |
Çalışan ve ziyaretçilerin giriş çıkış kayıt bilgileri, Kamera kayıtları v.b. |
İşlem Güvenliği |
IP adresi bilgileri, İnternet sitesi giriş çıkış bilgileri, Şifre ve parola bilgileri v.b. |
Risk Yönetimi |
Ticari, teknik, idari risklerin yönetilmesi için işlenen bilgiler v.b. |
Finans |
Bilanço bilgileri, Finansal performans bilgileri, Kredi ve risk bilgileri, Malvarlığı bilgileri v.b. |
Mesleki Deneyim |
Diploma bilgileri, Gidilen kurslar, Meslek içi eğitim bilgileri, Sertifikalar, Transkript bilgileri v.b. |
Pazarlama |
Alışveriş geçmişi bilgileri, Anket, Çerez kayıtları, Kampanya çalışmasıyla elde edilen bilgiler v.b. |
Sağlık Bilgileri |
Sağlık raporu, İş göremezlik Raporu, Engellilik durumuna ait bilgiler, Kan grubu bilgisi, Kişisel sağlık bilgileri, Kullanılan cihaz ve protez bilgileri v.b. |
Ceza Mahkûmiyeti ve Güvenlik Tedbirleri |
Ceza mahkûmiyetine ilişkin bilgiler, Güvenlik tedbirlerine ilişkin bilgiler v.b. |
İşlenen verilerin elde edilmesi ve işlenme amaçlarına ilişkin detaylı bilgi; VERBİS'ten veya EOT Dental Sağlık Ürünleri Ve Dış Ticaret Anonim Şirketi Kişisel Verilerin Korunması Ve İşlenmesi Hakkında İnternet Sitesi Ziyaretçileri için Çerez Aydınlatma Metni, Müşteri Aydınlatma Metni, Tedarikçi Aydınlatma Metni Ve Çalışan Aydınlatma Metni içeriklerinden edinilebilir.
III. GÜNCELLEME - ERİŞİM
İşbu Politika, mevzuat değişikliklerine ve değişen şartlara uyum sağlamak ve kişisel verilerin korunması ve işlenmesine ilişkin uygulamaları doğru yansıtmak amacıyla güncellenebilir.
Politika, Şirket'in internet sitesinde yayımlanır; talep ve şikâyetler doğrultusunda kişisel veri sahiplerinin erişimine sunulur.
IV. KİŞİSEL VERİLERİN İŞLENMESİ
a. Kişisel Veriler Mevzuatta Öngörülen İlkelere Uygun Olarak İşlenmektedir.
i. Hukuka ve Dürüstlük Kuralına Uygunluk
Şirket, kişisel verilerin işlenmesine ilişkin mevzuatın getirdiği ilkeler ile genel güven ve dürüstlük kuralına riayet etmektedir. Bu çerçevede, ilgili kişilerin verileri, Şirket'in iş faaliyetlerinin gerektirdiği ölçüde ve bunlarla sınırlı olarak işlenmektedir.
ii. Kişisel Verilerin Doğru ve Gerektiğinde Güncel Olmasını Sağlama
Şirket, kişisel verilerin işlendikleri süre boyunca doğru ve gerekli oldukları sürece güncel olması için gerekli önlemleri almaktadır. Şirket ayrıca, belirli sürelerle kişisel verilerin doğruluğunun ve güncelliğinin sağlanmasına ilişkin gerekli teyit çalışmalarını yürütmektedir.
iii. Belirli, Açık ve Meşru Amaçlarla İşleme
Şirket, kişisel verileri sadece meşru amaçlar için işlemekte; işlenme amaçlarını ortaya koymakta ve Şirket'in meşru faaliyetleri ile bağlantılı amaçlar kapsamında işlemektedir.
iv. İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma
Şirket, kişisel verileri yalnızca iş faaliyetlerinin gerektirdiği ölçüde; belirlenen amaçlarla sınırlı olarak işlemektedir.
v. İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç için Gerekli Olan Süre Kadar Muhafaza Etme
Şirket, kişisel verileri işlendikleri amaç için gerekli olan süre boyunca; ilgili faaliyetin tabi olduğu yasal mevzuatta öngörülen asgari sürelerle muhafaza etmektedir. Bu doğrultuda, Şirket öncelikle ilgili mevzuatta kişisel verilerin saklanması için öngörülen süreyi tespit etmekte, belirlenen süreye uygun davranmaktadır. Yasal bir süre mevcut değil ise kişisel veriler işlendikleri amaç için gerekli olan süre kadar saklanmaktadır. Saklama sürelerinin sonunda periyodik imha sürelerine veya veri sahibi başvurusuna uygun olarak ve belirlenen imha yöntemleri (silme ve/veya yok etme) ile imha edilmektedir.
b. Kişisel Verilerin İşlenme Şartları
Kişisel veri işleme faaliyeti, aşağıda belirtilen şartlardan birine dayanabilir. Ayrıca, kişinin açık rızası haricinde; aşağıdaki şartlardan birden fazlası aynı kişisel veri işleme faaliyetine dayanak oluşturabilir.
i. Kişisel Veri Sahibinin Açık Rızası
Kişisel verilerin işlenme şartlarından biri veri sahibinin açık rızasıdır. Açık rıza; belirli bir konuya ilişkin, bilgilendirilmeye dayalı olarak ve kişinin özgür iradesiyle açıklanmalıdır.
Aşağıda belirtilen kişisel veri işleme şartlardan birinin varlığı durumunda; kişisel veri sahibinin açık rızası aranmaksızın kişisel verilerin işlenmesi mümkündür.
ii. Kanunlarda Açıkça Öngörülmesi
İlgili mevzuatta, kişisel verilerin işlenmesine ilişkin açık bir hüküm olması halinde, veri işleme şartı sağlanmış olur ve kişisel veri işlenebilir.
iii. Fiili İmkânsızlık Sebebiyle İlgilinin Açık Rızasının Alınamaması
Kişisel veri sahibi, fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda ise; veya kişinin rızasına geçerlilik tanınamayacak ise; kişisel veri sahibinin ya da başka bir kişinin hayatını veya beden bütünlüğünü korumak için kişisel verisinin işlenmesinin zorunlu olması halinde; kişisel veriler işlenebilir.
iv. Sözleşmenin Kurulması veya İfasıyla Doğrudan İlgi Olması
Kişisel veri sahibinin bir sözleşmeye taraf olması; kişisel veri işlemenin bu sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla ve veri işlenmesinin gerekli olması halinde, kişisel veriler işlenebilir.
v. Şirketin Hukuki Yükümlülüğünü Yerine Getirmesi
Şirket'in hukuki yükümlülüklerini yerine getirmesi için veri işlemenin zorunlu olması halinde, kişisel veriler işlenebilir.
vi. Kişisel Verinin, Kişisel Verinin Sahibi Tarafından Alenileştirilmesi
Kişisel veri sahibi, kişisel verisini alenileştirmiş ise; ilgili kişisel veriler alenileştirme amacıyla sınırlı olarak işlenebilir.
vii. Bir Hakkın Tesisi veya Korunması için Veri İşlemenin Zorunlu Olması
Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması halinde veri sahibinin kişisel verileri işlenebilir.
viii. Şirket'in Meşru Menfaati için Veri İşlemenin Zorunlu Olması
Şirket'in meşru menfaatleri için veri işlemesinin zorunlu olması halinde; kişisel veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla; kişisel veriler işlenebilir.
V. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİ
Özel nitelikli kişisel veriler, ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep, inanç, kılık kıyafet, dernek üyeliği, vakıf üyeliği, sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ûndash; güvenlik tedbirleri, biyometrik ve genetik veriler olarak tanımlanmaktadır.
Şirketimiz kanuni zorunluluk veya işin niteliği ve güvenlik gereği olanlar hariç; özel nitelikli kişisel verileri işlememektedir.
Şirket, işbu Politika'da belirtilen ilkeler uyarınca ve Kurul'un belirleyeceği yöntemler de dâhil olmak üzere gerekli her türlü idari ve teknik tedbirleri alarak, aşağıdaki şartların varlığı halinde özel nitelikli kişisel verileri işleyebilir:
(a) Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler, kanunlarda açıkça öngörülmesi halinde veri sahibinin açık rızası aranmaksızın işlenebilecektir. Kanunlarda açıkça öngörülmemiş ise, ilgili özel nitelikli kişisel verinin işlenebilmesi için kişisel veri sahibinin açık rızası alınacaktır.
(ii) Sağlık ve cinsel hayata ilişkin özel nitelikli kişisel veriler, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından açık rıza aranmaksızın işlenebilir. Aksi halde; ilgili özel nitelikli kişisel verinin işlenebilmesi için kişisel veri sahibinin açık rızası alınacaktır. İşlenmesi gereken özel nitelikli kişisel veriler; ilgili mevzuat ve Şirket Politikası uyarınca; gerçek kişilerin veya kurumların gerçek kişi yetkililerinin açık rızası doğrultusunda, işlenme amacına uygun olarak sınırlı şekilde işlenebilir.
VI. KİŞİSEL VERİ SAHİPLERİNE KARŞI AYDINLATMA YÜKÜMLÜLÜĞÜNÜN YERİNE GETİRİLMESİ
Şirket, Kişisel Verilerin Korunması Hakkında Kanun'un 10. maddesine ve Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ'e uygun olarak, kişisel veri sahiplerini aydınlatmaktadır. Bu doğrultuda ilgili kişiler; kişisel verilerin veri sorumlusu olarak kim tarafından, hangi amaçlarla işlendiği, hangi amaçlarla kimlerle paylaşıldığı, hangi yöntemlerle toplandığı; bunların hukuki sebebi ve veri sahiplerinin sahip olduğu haklara ilişkin olarak bilgilendirilmektedir.
EOT Dental Sağlık Ürünleri Ve Dış Ticaret Anonim Şirketi Kişisel Verilerin Korunması Ve İşlenmesi Hakkında Müşteri Aydınlatma Metni, Tedarikçi Aydınlatma Metni Ve Çalışan Aydınlatma Metinleri, durumun gereklerine göre ilgililerine fiziki veya elektronik ortamda ulaştırılarak veya doğrudan Şirket yetkililerinin açıklamalarıyla aydınlatma yükümlülüğünün yerine getirilmesine yönelik olarak düzenlenmiştir.
VII. KİŞİSEL VERİLERİN İŞLENDİĞİ ÖZEL DURUMLAR
Fiziki mekân güvenliğinin sağlanması amacıyla, Şirket binalarında ve işyerlerinde güvenlik kamerasıyla izleme faaliyeti ile misafir giriş çıkışlarının takibine yönelik kişisel veri işleme faaliyetlerinde bulunulmaktadır.
Şirket tarafından bina ve işyerlerinde güvenliğin sağlanması amacıyla Özel Güvenlik Hizmetlerine Dair Kanun ve ilgili mevzuata uygun olarak kamera ile izleme faaliyeti yürütülmektedir.
Şirket tarafından Kanun'un 10. maddesine uygun olarak, kamera ile izleme faaliyetine ilişkin olarak kişisel veri sahibi, katmanlı bilgilendirme yöntemi ile aydınlatılmaktadır. Şirket ayrıca, Kanun'un 4. maddesine uygun olarak, kişisel verileri işlendikleri amaçla bağlantılı, sınırlı ve ölçülü bir biçimde işlemektedir.
Güvenlik kameralarının izleme alanları, sayısı ve ne zaman izleme yapılacağı, güvenlik amacına ulaşmak için yeterli ve bu amaçla sınırlı olarak uygulamaya alınmaktadır. Kişinin mahremiyetine güvenlik amaçlarını aşan şekilde orantısız müdahale sonucu doğurabilecek alanlarda (örneğin, tuvaletler, giyinme odaları) görüntüleme yapılmamaktadır.
Güvenlik kamerası kayıtlarına yalnızca sınırlı sayıda Şirket çalışanının erişimi bulunmaktadır. Bu kişiler gizlilik taahhütnamesi ile eriştikleri verilerin gizliliğini koruyacağını taahhüt etmişlerdir.
VIII. KİŞİSEL VERİLERİN VE ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENME AMACI
Yukarıda kategorileri sayılan kişisel verilerin işlenmesinin ana amaçları aşağıdaki gibidir.
- Şirket'in insan kaynakları süreçlerinin planlanması ve yönetilmesi
- Şirket'in ticari faaliyetlerin gerçekleştirilmesi için gerekli çalışmaların yapılması ve buna bağlı süreçlerin yönetimi
- Şirket'in ticari ve/veya iş stratejilerinin planlanması ve icrası
- Şirket'in gelişim faaliyetlerinin yürütülmesi ve kurumsal kimliğin güçlendirilmesi
- Şirket'in ticari itibarının uyandırdığı güvenin korunması
- Şirket'in yönetim ve denetim faaliyetlerinin planlanması ve icrası
- Şirket'in ve Şirket'le iş ilişkisi içerisinde olan ilgili kişilerin hukuki, teknik ve ticari-işlerinin ve işlem güvenliğinin temini
Kişisel veriler, sayılan ana amaçlara yönelik olarak, temel hak ve özgürlükleri gözeterek; Şirketin meşru menfaatleri doğrultusunda; amaç ile bağlantılı, sınırlı ve ölçülü olarak; elektronik ve fiziki ortamlarda yazılı olarak, otomatik ya da otomatik olmayan yöntemlerle işlenmektedir.
Yukarıda belirtilen ana amaçlar, kişisel veri işleme faaliyeti ve veri konusu kişi grubuna göre özelleşmekte ve/veya farklılaşabilmektedir. İkincil amaçlar aşağıda belirtilmiş olup, ilgili amaçlar ayrıca, Aydınlatma Metinlerinde veri konusu kişi grubuna ve işlenen verilere yönelik özelleştirilerek belirtilmektedir.
- Ziyaretçi Kayıtlarının Oluşturulması Ve Takibi
- Yönetim Faaliyetlerinin Yürütülmesi
- Yatırım Süreçlerinin Yürütülmesi
- Ürün / Hizmetlerin Pazarlama Süreçlerinin Yürütülmesi
- Tedarik Zinciri Yönetimi Süreçlerinin Yürütülmesi
- Taşınır Mal Ve Kaynakların Güvenliğinin Temini
- Veri Sorumlusu Operasyonlarının Güvenliğinin Temini
- Talep / Şikâyetlerin Takibi
- Stratejik Planlama Faaliyetlerinin Yürütülmesi
- Sosyal Sorumluluk Ve Sivil Toplum Aktivitelerinin Yürütülmesi
- Saklama Ve Arşiv Faaliyetlerinin Yürütülmesi
- Risk Yönetimi Süreçlerinin Yürütülmesi
- Mal / Hizmet Üretim Ve Operasyon Süreçlerinin Yürütülmesi
- Mal / Hizmet Satış Süreçlerinin Yürütülmesi
- Mal / Hizmet Satış Sonrası Destek Hizmetlerinin Yürütülmesi
- Mal / Hizmet Satın Alım Süreçlerinin Yürütülmesi
- Lojistik Faaliyetlerinin Yürütülmesi
- Firma / Ürün / Hizmetlere Bağlılık Süreçlerinin Yürütülmesi
- Fiziksel Mekân Güvenliğinin Temini
- Acil Durum Yönetimi Süreçlerinin Yürütülmesi
- Görevlendirme Süreçlerinin Yürütülmesi
- Faaliyetlerin Mevzuata Uygun Yürütülmesi
- Bilgi Güvenliği Süreçlerinin Yürütülmesi
- Yetkili Kişi, Kurum Ve Kuruluşlara Bilgi Verilmesi
- Yetenek / Kariyer Gelişimi Faaliyetlerinin Yürütülmesi
- Yabancı Personel Çalışma Ve Oturma İzni İşlemleri
- Ücret Politikasının Yürütülmesi
- Sözleşme Süreçlerinin Yürütülmesi
- Performans Değerlendirme Süreçlerinin Yürütülmesi
- Organizasyon Ve Etkinlik Yönetimi
- İş Sağlığı / Güvenliği Faaliyetlerinin Yürütülmesi
- İş Süreçlerinin İyileştirilmesine Yönelik Önerilerin Alınması Ve Değerlendirilmesi
- İş Faaliyetlerinin Yürütülmesi / Denetimi
- İnsan Kaynakları Süreçlerinin Planlanması
- İletişim Faaliyetlerinin Yürütülmesi
- İç Denetim/ Soruşturma / İstihbarat Faaliyetlerinin Yürütülmesi
- Hukuk İşlerinin Takibi Ve Yürütülmesi
- Finans Ve Muhasebe İşlerinin Yürütülmesi
- Eğitim Faaliyetlerinin Yürütülmesi
- Denetim / Etik Faaliyetlerinin Yürütülmesi
- Çalışanlar İçin Yan Haklar Ve Menfaatleri Süreçlerinin Yürütülmesi
- Çalışanlar İçin İş Akdi Ve Mevzuattan Kaynaklı Yükümlülüklerin Yerine Getirilmesi
- Çalışan Memnuniyeti Ve Bağlılığı Süreçlerinin Yürütülmesi
- Çalışan Adaylarının Başvuru Süreçlerinin Yürütülmesi
- Çalışan Adayı / Stajyer / Öğrenci Seçme Ve Yerleştirme Süreçlerinin Yürütülmesi
IX. KİŞİSEL VERİLERİN AKTARIMI
Kişisel veriler ve özel nitelikli kişisel veriler; Şirket'in hukuka uygun olan kişisel veri işleme amaçları doğrultusunda; gerekli güvenlik önlemleri alınarak üçüncü kişilere (tedarikçilerine, üçüncü kişi tüzel / gerçek kişilere, yetkili mercilere) aktarabilmektedir. Şirket aktarıma ilişkin olarak Kişisel Verilerin Korunması Hakkında Kanun'un 8. ve 9. maddesinde öngörülen düzenlemelere uygun hareket etmektedir.
a. Kişisel Verilerin Aktarılabileceği Kişiler
Veri Aktarılabilecek Kişi |
Açıklama |
Veri Aktarımının Amacı |
Hissedarlar |
Şirketin hissedarı olan gerçek veya tüzel kişiler |
İlgili mevzuattan kaynaklanan hakların kullanılması amacıyla ve Şirketin hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması nedeniyle |
Tedarikçilerimiz |
Şirket'in faaliyetleri yürütmesi için gerekli hammadde, mal, hizmet vb. unsurları, bir sözleşmeye dayanarak tedarik eden, Şirket'in bizzat veya diğer kişilerle birlikte çeşitli projeler yürütmek gibi amaçlarla hizmet aldığı taraflardır. (Örneğin: üretim için gerekli malzeme tedarikçileri; İş Sağlığı ve Güvenliği hizmet sağlayıcıları, danışmanlar, lojistik hizmeti sağlayıcıları, mali müşavirlik hizmeti sağlayıcıları, komünikasyon aracıları, organizasyon hizmeti sağlayıcıları, hukuki hizmet sunucuları, bilgi işlem hizmetleri sağlayıcıları) |
Şirket'in dış kaynaklardan tedarik ettiği gerekli mal ve hizmetlerin sunulmasını sağlamak amacıyla sınırlı olarak |
Yetkili Kamu Kurum ve Kuruluşları |
İlgili mevzuata göre Şirket'ten bilgi ve belge almaya yetkili kamu kurum ve kuruluşları (Örneğin: Kişisel Verileri Koruma Kurumu, Mahkemeler, Sosyal Güvenlik Kurumu, Türkiye İlaç ve Tıbbi Cihaz Kurumu) |
İlgili kamu kurum ve kuruluşlarının hukuki yetkisi dâhilinde talep ettiği amaçla sınırlı olarak |
Yetkili Özel Hukuk Kişileri |
İlgili mevzuata göre Şirket'ten bilgi ve belge almaya yetkili özel hukuk kişileri (Örneğin: Bağımsız Denetçi) |
İlgili özel hukuk kişilerinin hukuki yetkisi dâhilinde talep ettiği amaçla sınırlı olarak |
b. Kişisel Verilerin Aktarılmasının Şartları
Kişisel veriler, veri sahibinin açık rızasına dayanarak aktarılabilir.
Kişisel veri sahibinin açık rızası yoksa aşağıda belirtilen şartlardan bir ya da birkaçının varlığı halinde; kişisel veriler Şirket tarafından gerekli özen gösterilerek ve Kişisel Verileri Koruma Kurulu tarafından öngörülen yöntemler de dâhil gerekli tüm güvenlik önlemleri alınarak üçüncü kişilere aktarılabilecektir.
- Kişisel verilerin aktarılmasına ilişkin ilgili faaliyetin kanunlarda açıkça öngörülmesi,
- Kişisel verilerin Şirket tarafından aktarılmasının bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili ve gerekli olması,
- Kişisel verilerin aktarılmasının Şirketin hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
- Kişisel verilerin veri sahibi tarafından alenileştirilmiş olması şartıyla, alenileştirme amacıyla olarak Şirket tarafından aktarılması,
- Kişisel verilerin Şirket tarafından aktarılmasının Şirket'in veya veri sahibinin veya üçüncü kişilerin haklarının tesisi, kullanılması veya korunması için zorunlu olması,
- Veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla; Şirket'in meşru menfaatleri için kişisel veri aktarımının zorunlu olması,
- Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin ya da bir başkasının hayatı veya beden bütünlüğünü koruması için zorunlu olması.
Ayrıca; yukarıdaki şartlardan herhangi birinin varlığı halinde Kişisel Verileri Koruma Kurulu tarafından yeterli korumaya sahip olduğu ilan edilen yabancı ülkelere kişisel veri aktarılabilir. Yeterli korumanın bulunmaması halinde; mevzuatta öngörülen veri aktarım şartları doğrultusunda Türkiye'deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmesi ve Kurul'un izninin bulunması halinde; yabancı ülkelere kişisel veri aktarılabilir.
c. Özel Nitelikli Kişisel Verilerin Aktarılmasının Şartları
Şirket, işbu Politika'da belirtilen ilkelere uygun olarak ve Kişisel Verileri Koruma Kurulu tarafından belirlenen yöntemler de dâhil olmak üzere gerekli her türlü idari ve teknik tedbirleri alarak ve aşağıdaki şartların varlığı halinde özel nitelikli kişisel verileri aktarabilir.
(i) Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler, kanunlarda açıkça öngörülmesi halinde veri sahibinin açık rıza aranmaksızın aktarılabilir. Aksi halde veri sahibinin açık rızası alınacaktır.
(ii) Sağlık ve cinsel hayata ilişkin özel nitelikli kişisel veriler, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından açık rıza aranmaksızın işlenebilir, bu kişilere aktarım yapılabilir. Aksi halde veri sahibinin açık rızası alınacaktır.
Yeterli Korumaya Sahip Yabancı Ülkelere aktarım ise, yukarıdaki (b) bölümünde sayılan şartlardan herhangi birinin varlığı halinde mümkün olabilir. Yeterli korumanın bulunmaması durumunda ise mevzuatta öngörülen veri aktarım şartlarına riayet edilerek Yeterli Korumayı Taahhüt Eden Veri Sorumlusunun Bulunduğu Yabancı Ülkelere aktarım mümkün olabilir.
X. KİŞİSEL VERİ GÜVENLİĞİNE İLİŞKİN ALINAN TEKNİK VE İDARİ TEDBİRLER
Şirket uhdesindeki tüm kişisel verilerin yetkisiz kişiler tarafından ele geçirilmesini, hukuka uygun olmayan şekilde hatalı işlenmesini, ifşa edilmesini, değiştirilmesini, silinmesini önlemek; muhafazasını ve güvenliğini sağlamak için yürürlükteki mevzuata uygun olarak VERBİS'te ilan edilen, aşağıdaki önlemleri almaktadır:
- Çalışanlar için veri güvenliği konusunda belli aralıklarla eğitim ve farkındalık çalışmaları yapılmaktadır.
- Gizlilik taahhütnameleri yapılmaktadır.
- Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır.
- Güncel anti-virüs sistemleri kullanılmaktadır.
- Güvenlik duvarları kullanılmaktadır.
- İmzalanan sözleşmeler veri güvenliği hükümleri içermektedir.
- Kişisel veri güvenliği politika ve prosedürleri belirlenmiştir.
- Kişisel veri güvenliği sorunları hızlı bir şekilde raporlanmaktadır.
- Kişisel veri güvenliğinin takibi yapılmaktadır.
- Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmaktadır.
- Kişisel veri içeren fiziksel ortamların dış risklere (yangın, sel vb.) karşı güvenliği sağlanmaktadır.
- Kişisel veri içeren ortamların güvenliği sağlanmaktadır.
- Kişisel veriler mümkün olduğunca azaltılmaktadır.
- Mevcut risk ve tehditler belirlenmiştir.
- Özel nitelikli kişisel veri güvenliğine yönelik protokol ve prosedürler belirlenmiş ve uygulanmaktadır.
- Şifreleme yapılmaktadır.
- Veri işleyen hizmet sağlayıcılarının, veri güvenliği konusunda farkındalığı sağlanmaktadır.
XI. KİŞİSEL VERİLERİNİZİN SAKLANMASI VE İMHASI
Şirket, kişisel verileri işlendikleri amaç için gerekli olan süre boyunca; ilgili faaliyetin tabi olduğu yasal mevzuatta öngörülen asgari sürelerle muhafaza etmektedir.
Kişisel veriler; Şirket bünyesinde
(a) Elektronik olarak; faaliyetin niteliği ile uygun düştüğü şekilde, yetkilendirilecek kişilerce erişim sağlanabilen şirketin güvenli elektronik sistemleri ve veri tabanı ve bilişim sistemlerinde; ilgili kişilerin e-posta kutularında;
(b) Fiziki olarak; şirketin merkezinde yer alan; sadece yetkili kişiler tarafından erişim sağlanan fiziki dosyalama yöntemleri ile veya güvenlik kameraları ile izlenen kilitli dolaplarda muhafaza edilebilir.
Arızalanan ya da bakıma gönderilmesi gereken cihazlarda muhafaza edilen kişisel veriler için aşağıdaki adımlar izlenir:
- i) İlgili cihazlar bakım, onarım işlemi için üretici, satıcı, servis gibi üçüncü kurumlara aktarılmadan önce içinde yer alan kişisel veriler uygun yöntemlerle yok edilir,
- ii) Yok etmenin mümkün ya da uygun olmadığı durumlarda, veri saklama ortamı sökülerek saklanır, arızalı diğer parçalar üretici, satıcı, servis gibi üçüncü kurumlara gönderilir,
iii) Dışarıdan bakım, onarım gibi amaçlarla gelen personelin, kişisel verileri kopyalayarak kurum dışına çıkartmasının engellenmesi için gerekli önlemler alınır.
Şirket ilgili mevzuatta kişisel verilerin saklanması için öngörülen süreyi tespit etmekte, belirlenen süreye uygun davranmaktadır. Yasal bir süre mevcut değil ise kişisel veriler işlendikleri amaç için gerekli olan süre kadar saklanmaktadır. Kişisel verileri saklama süreleri, aşağıdaki gibidir:
Kimlik |
Kişisel Veri |
Şirket ile ilişkinin (hizmet, iş, tedarik, ortaklık, alım satım vs.) sonlanmasından itibaren 20 yıl |
İletişim |
Kişisel Veri |
Şirket ile ilişkinin (hizmet, iş, tedarik, ortaklık, alım satım vs.) sonlanmasından itibaren 20 yıl |
Özlük |
Kişisel Veri |
Şirket ile ilişkinin (hizmet, iş, tedarik, ortaklık, alım satım vs.) sonlanmasından itibaren 20 yıl |
Hukuki İşlem |
Kişisel Veri |
Şirket ile ilişkinin (hizmet, iş, tedarik, ortaklık, alım satım vs.) sonlanmasından itibaren 20 yıl |
Müşteri İşlem |
Kişisel Veri |
Şirket ile ilişkinin (hizmet, iş, tedarik, ortaklık, alım satım vs.) sonlanmasından itibaren 20 yıl |
Fiziksel Mekân Güvenliği |
Kişisel Veri |
Depolama kapasitesine bağlı olarak 20 gün |
İşlem Güvenliği |
Kişisel Veri |
Depolama kapasitesine bağlı olarak 6 ay |
Risk Yönetimi |
Kişisel Veri |
Şirket ile ilişkinin (hizmet, iş, tedarik, ortaklık, alım satım vs.) sonlanmasından itibaren 20 yıl |
Finans |
Kişisel Veri |
Şirket ile ilişkinin (hizmet, iş, tedarik, ortaklık, alım satım vs.) sonlanmasından itibaren 20 yıl |
Mesleki Deneyim |
Kişisel Veri |
Şirket ile ilişkinin (hizmet, iş, tedarik, ortaklık, alım satım vs.) sonlanmasından itibaren 20 yıl |
Pazarlama |
Kişisel Veri |
Şirket ile ilişkinin (hizmet, iş, tedarik, ortaklık, alım satım vs.) sonlanmasından itibaren 20 yıl |
Sağlık Bilgileri |
Özel Nitelikli Kişisel Veri |
Şirket ile ilişkinin (hizmet, iş, tedarik, ortaklık, alım satım vs.) sonlanmasından itibaren 20 yıl |
Ceza Mahkûmiyeti ve Güvenlik Tedbirleri |
Özel Nitelikli Kişisel Veri |
Şirket ile ilişkinin (hizmet, iş, tedarik, ortaklık, alım satım vs.) sonlanmasından itibaren 20 yıl |
Şirketin arşivleri, sunucuları ve/veya diğer sistemlerine karşı ihlal gerçekleştirilmesi sonucunda saklanan verilerin güvenliğinin zarar görmesi ve/veya verilerin üçüncü kişiler tarafından ele geçirilmesi/ifşası durumunda, Şirket veri konusu kişileri ve KVKK'yı mevzuata uygun olarak bilgilendirir.
Periyodik imha süresi, Kişisel Verilerin Silinmesi, Yok Edilmesi Veya Anonim Hale Getirilmesi Hakkında Yönetmelik'in 11. Maddesinin 2. Fıkrası uyarınca, 6 ay olarak belirlenmiştir.
Her bir kişisel veri kategorisiyle ilgili yasal düzenlemede öngörülen sürenin veya kişisel verinin işlendiği amaç için gerekli olan sürenin sona ermesi halinde; kişisel veri mevzuata uygun olarak ilgili elektronik veya fiziki ortamlardan silinir veya yok edilir. Mevzuata uygun olarak, uygun düştüğü ölçüde, anonimleştirme de uygulanabilir.
Kişisel veriler silinirken; Şirket aşağıdaki adımları izlemektedir.
- Silme işlemine konu kişisel veriler belirlenir.
- Her bir kişisel veri için erişime yetkililerin tespit edilir.
- Erişim yetkililerinin; yetki kapsamlarının tespit edilir.
- Erişim yetkililerinin; kişisel veriler kapsamındaki erişim, geri getirme, tekrar kullanma yetki ve yöntemleri kapatılır veya ortadan kaldırılır.
Bulut sisteminde tutulan veriler varsa, bu veriler 'Silme Komutu' verilerek silinir. Silinen verilerin geri getirilmesinin söz konusu olmadığı teyit edilir.
Kağıt ortamında tutulan veriler varsa, bu veriler 'Karartma Yöntemi' kullanılarak silinir. Karartma işlemi yapılırken; ilgili evrak üzerindeki kişisel veriler mümkünse kesilir, kesme mümkün değilse, veri geri döndürülemeyecek ve teknolojik çözümlerle okunamayacak şekilde sabit/kalıcı mürekkep kullanılarak ilgililere görünemez hale getirilir.
Merkezi sunucuda yer alan ofis dosyaları, işletim sistemindeki 'Silme Komutu' ile silinir. Ayrıca, dosya ya da dosyanın bulunduğu dizin üzerinde erişim hakları da kaldırılır.
Taşınabilir medyada (Flash tabanlı saklama ortamlarında) bulunan kişisel veriler, şifreli olarak saklanır ve bu ortamlara uygun yazılımlar kullanılarak silinir.
Veri tabanlarında bulunan kişisel veriler; verinin bulunduğu ilgili satırların veri tabanı komutları ile ('Silme Komutu') silinir.
Kişisel veriler yok edilirken verilerin bulunduğu tüm kopyalar tespit edilir. Verilerin bulunduğu sistemlerin türüne göre yok etme yöntemi belirlenir. Kullanılabilir yöntemler aşağıdaki gibidir:
De-manyetize Etme: Manyetik medyanın özel bir cihazdan geçirilerek yüksek değerde bir manyetik alana maruz bırakılması ile üzerindeki verilerin okunamaz biçimde bozulması işlemidir.
Fiziksel Yok Etme: Optik medya ve manyetik medyanın eritilmesi, yakılması veya toz haline getirilmesi gibi fiziksel olarak yok edilmesi işlemidir. Optik veya manyetik medyayı eritmek, yakmak, toz haline getirmek ya da bir metal öğütücüden geçirmek gibi işlemlerle verilerin erişilmez kılınması sağlanır. Yakma, küçük parçalara ayırma, eritme gibi fiziksel yok etme yöntemleri kullanılabilir.
Üzerine Yazma: Manyetik medya ve yeniden yazılabilir optik medya üzerine rastgele veriler yazarak eski verinin kurtarılmasının önüne geçilmesi işlemidir.
Kâğıt ortamdaki kişisel veriler, kalıcı ve fiziksel olarak ortam üzerine yazılı olduğundan ana ortamın yok edilmesi gerekir. Bu işlem gerçekleştirilirken ortamı kâğıt imha veya kırpma makinaları ile anlaşılmaz boyutta, mümkünse yatay ve dikey olarak, geri birleştirilemeyecek şekilde küçük parçalara bölünür.
Bulut Ortamında yer alan kişisel verilerin depolanması ve kullanımı sırasında, şifrelenmesi ve kişisel veriler için mümkün olan yerlerde, özellikle hizmet alınan her bir bulut çözümü için ayrı ayrı şifreleme anahtarları kullanılır. Bulut bilişim hizmet ilişkisi sona erdiğinde; kişisel verileri kullanılır hale getirmek için gerekli şifreleme anahtarlarının tüm kopyaları yok edilir.
XII. HAKLARINIZ - TALEPLERİNİZ
Kanunun ilgili kişinin haklarını düzenleyen 11. maddesi kapsamında, kişisel veri sahiplerinin Şirket'e başvurarak; kişisel verilerinin
(1) işlenip işlenmediğini öğrenme;
(2) işlenmişse buna ilişkin bilgi talep etme,
(3) işlenme amacını ve amacına uygun kullanılıp kullanılmadığını öğrenme;
(4) yurt içinde veya yurt dışında aktarıldığı kişileri bilme,
(5) eksik veya yanlış işlenmişse düzeltilmesini isteme;
(6) KVKK'nın 7. maddesinde öngörülen şartlar çerçevesinde silinmesini veya yok edilmesini isteme;
(7) kişisel verilerinizin KVKK'nın 7. maddesi kapsamında silinmesi ve yok edilmesi ve eksik veya yanlış işlenmiş kişisel verilerinin düzeltilmesi taleplerinin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme;
(8) münhasıran otomatik sistemler ile analiz edilmesi nedeniyle aleyhinize bir sonucun ortaya çıkmasına itiraz etme;
(9) kanuna aykırı olarak işlenmesi sebebiyle zarara uğramanız hâlinde zararın giderilmesini talep etme
Hakkı bulunmaktadır.
Yukarıda yer verilen, Kanunun 11. Maddesi kapsamındaki talepler, "Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğe" göre, kişisel veri sahibi; ad, soyad, TC kimlik no, adres, telefon ve e-mail bilgilerini belirtmek kaydıyla, veya internet sitemizdeki başvuru formu aracılığı ile,
- EOT Dental Sağlık Ürünleri Ve Dış Ticaret Anonim Şirketi'ne bizzat veya normal posta yoluyla,
- Elektronik posta üzerinden (info@eotdental.com) e-posta adresine iletebilirsiniz.
Şirkete ulaşan bilgi edinme başvuruları ve talepleri; talebin niteliği göz önünde bulundurularak, başvurucunun kimliği teyit edilerek ve Kanunun 13. Maddesi uyarınca en geç otuz (30) gün içinde sonuçlandırılacak; red halinde gerekçeli olarak bildirim yapılacaktır.
Böyle bir başvurunun maliyeti, varsa, Kişisel Verilerin Korunması Kurulunun belirlemiş olduğu resmi tarife uyarınca ücretlendirilebilir.
EOT Dental Sağlık Ürünleri Ve Dış Ticaret Anonim Şirketi