Gizlilik Politikası

- Convatec Sağlık Ürünleri Limited Şirketi Kişisel Verilerin İşlenmesi Aydınlatma Metni

- Convatec Sağlık Ürünleri Limited Şirketi Kişisel Verileri Saklama ve İmha Politikası

- Convatec Sağlık Ürünleri Limited Şirketi Veri İhlali Müdahale Planı

- Convatec Sağlık Ürünleri Limited Şirketi Çalışan Adayı Aydınlatma Metni 

 

 

Convatec Sağlık Ürünleri Limited Şirketi Kişisel Verilerin İşlenmesi Aydınlatma Metni

İşbu “Aydınlatma Metni”, ile CONVATEC SAĞLIK ÜRÜNLERİ LİMİTED ŞİRKETİ (“CONVATEC”) olarak, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (“KVKK”) md. 10 uyarınca sizi kişisel veri işleme, işlenen kişisel verilerinizin aktarılması, kişisel verilerinizin toplanma yöntemleri ve hukuki sebebi ile KVKK md. 11’de sayılan diğer haklarınızla ilgili olarak bilgilendirmek ve aydınlatmak isteriz. Bize sağladığınız tüm kişisel verilerin gizliliği ve güvenliği konusunda azami hassasiyet gösterdiğimizi ve bu verilerin korunması için gerekli tüm teknik ve idari güvenlik önlemlerinin alındığını belirtiriz.

 

Kişisel Veri ve Özel Nitelikli Kişisel Veri

Kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade etmektedir. Özel nitelikli kişisel veriler ise, kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri gibi verilerdir.

Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez. Kanunlarda açıkça öngörülmesi,  fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,  veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması,  bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması, ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlardan birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür.

Özel nitelikli kişisel veriler, kişisel veri sahiplerinin açık rızası olmaksızın işlenememektedir. Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.

 

Veri Sorumlusu Sıfatı

KVKK uyarınca CONVATEC olarak Veri Sorumlusu sıfatıyla, kişisel verilerinizi aşağıda belirtilen amaçlar kapsamında, hukuka ve dürüstlük kurallarına uygun bir şekilde kaydedeceğimizi, saklayacağımızı, işleyeceğimizi, sınıflandıracağımızı, güncelleyeceğimizi ve KVKK ile ilgili mevzuatın müsaade ettiği ölçüde ve hallerde, işlendikleri amaca uygun olarak üçüncü kişilere açıklayıp aktaracağımızı bildiririz. 

 

Kişisel Verilerinizin İşlenme amacı

Kişisel verileriniz, CONVATEC olarak sunduğumuz ürün ve hizmetlerden yararlanabilmeniz amacıyla KVKK ve ilgili mevzuatta düzenlenen temel prensiplere uygun olarak, açık rızanıza ve/veya tabi olduğumuz yasal mevzuat başta olmak üzere KVKK md. 5/2’de öngörülen diğer hallere bağlı olarak işlenmektedir. CONVATEC’in verdiği hizmetler dikkate alındığında, kişisel verileriniz Türkiye içi ve dışı sağlık sektöründe tıbbi cihaz ve sağlık ürünlerine ilişkin olarak ithalat, ihracat ve pazarlama faaliyetleri ile her türü ticari faaliyetlere ilişkin süreçlerde ve sağladığımız ürün ve hizmetlerin tarafınıza ulaştırılması ve bu hizmetlerin sürdürülmesi amacıyla işlenmektedir. Kişisel verileriniz işlenme amacıyla sınırlı bir şekilde uygun süre zarfında fiziksel ve elektronik ortamda güvenli bir biçimde saklanmaktadır. Bu vesileyle CONVATEC, başta KVKK olmak üzere tüm yasal mevzuata öngörülen yükümlülüklerine uygun davranmakta ve gerekli güvenlik önlemlerini almaktadır.

 

Kişisel Verilerinizin Toplanma Yöntemi ve Hukuki Sebebi

Kişisel verileriniz, CONVATEC olarak, sürdürmekte olduğumuz faaliyetlerimiz uyarınca ihtiyaçlarınızın karşılanabilmesi ve faaliyetlerimizin yürütülmesi amacıyla aşağıda belirtilen farklı kanallar vasıtasıyla toplanmaktadır.

  • CONVATEC’e doğrudan sizin tarafınızdan sağlanan kişisel veriler, diğer bir deyişle Tarafımıza ilettiğiniz tüm bilgi ve belgeler ile
  • CONVATEC olarak size ilişkin topladığımız tüm kişisel veriler bu kapsamdadır.

Kişisel verileriniz, CONVATEC tarafından otomatik ya da otomatik olmayan yollarla, yazılı, sözlü ya da elektronik ortamda toplanabilmektedir.

Bu çerçevede kişisel verileriniz, KVKK md. 4/2’de öngörülen ilkeler ışığında açık rızanız alınması suretiyle veya md. 5/2 ve md. 6/3’te öngörülen durumların varlığı halinde, açık rızanız alınmaksızın işlenebilmekte ve aktarılabilmektedir.  

 

Kişisel Verilerinizin Aktarılması

CONVATEC yukarıda sayılan işlenme amaçları kapsamında elde ettiği kişisel verilerinizi açık rızanıza istinaden veya uygulanmakta olan mevzuat başta olmak üzere KVKK md. 5/2’de öngörülen diğer hallerde, KVKK’ md. 8 ve md. 9’da düzenlenen kişisel veri işleme şartlarına ve amaçlarına uygun olarak faaliyet amaçlarıyla sınırlı olmak üzere grup şirketlerimiz, doğrudan/dolaylı iş ortaklarımız, tedarikçilerimiz, yasal sınırlamalar çerçevesinde bağımsız denetim şirketleri veya yasal bir zorunluluk gereği bu verileri talep etmeye yetkili olan kamu kurum veya kuruluşları, bunlarla sınırlı olmamak üzere ilgili diğer kurum ve kuruluşlar ile paylaşabilecektir.

 

Yurtdışına Kişisel Veri Aktarımı

Kişisel verileriniz CONVATEC tarafından KVKK md. 4/2’de öngörülen düzenleme uyarınca açık rızanızın alınması suretiyle ya da md. 5/2 ve md. 6/3’te öngörülen durumların varlığı halinde açık rızanız alınmaksızın ve KVKK md. 8’da düzenlenen kurallar uyarınca Kişisel Verileri Koruma Kurulu (“Kurul”) tarafından tespit edilecek yeterli korumaya sahip yabancı ülkeler ilan edildikten sonra sadece bu ülkelerde yerleşik kişi ve kuruluşlara, yeterli korumanın bulunmadığı tespit ve ilan edilen ülkeler için ise, Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt ettiği ve Kurul’un izninin temin edilebildiği hallerle sınırlı olmak kaydıyla aktarılabilecektir.

 

KVKK Md. 11 Uyarınca Haklarınız

Öncelikle işlediğimiz ve/veya sakladığımız kişisel verilerinizin doğru ve güncel olması CONVATEC olarak yürütmekte olduğumuz ticari faaliyetin niteliği sebebiyle önemlidir. Buna bağlı olarak kişisel verilerinizde herhangi bir değişiklik meydana geldiği takdirde en kısa sürede bizi bilgilendirmenizi rica ederiz.

Diğer yandan kişisel verilerin sahibi olarak KVKK md. 28’de düzenlenen “İstisnalar” hükmünde öngörülen haller saklı kalmak kaydıyla, KVKK md. 11 çerçevesinde haklarınız aşağıdaki gibidir:  

  • Kişisel verilerinizin işlenip işlenmediğini öğrenme,
  • Kişisel verileriniz işlenmişse buna ilişkin bilgi talep etme,
  • Kişisel verilerinizin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
  • Yurt içinde veya yurt dışında kişisel verilerinizin aktarıldığı üçüncü kişileri bilme,
  • Kişisel verilerinizin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini isteme,
  • KVKK md. 7’de öngörülen şartlar çerçevesinde kişisel verilerinizin silinmesini veya yok edilmesini isteme,
  • Kişisel verilerinizin silinmesini ya da yok edilmesini talep ettiğiniz hallerde, bu işlemlerin kişisel verilerinizin aktarıldığı üçüncü kişilere de bildirilmesini isteme,
  • Kişisel verilerinizin münhasıran otomatik sistemler ile analiz edilmesi suretiyle aleyhinize bir sonucun ortaya çıkması halinde itiraz etme,
  • Kişisel verilerinizin kanuna aykırı olarak işlenmesi sebebiyle zarara uğramanız hâlinde zararın giderilmesini talep etme haklarına sahipsiniz.

Bu kapsamda haklarınızı kullanırken taleplerinizi “yazılı” veya KVKK’nın belirlediği yöntemler ile CONVATEC’e iletmeniz gerekmektedir. Başvurunuzu tamamlarken kimliğinizi tespit edici belgeler ile birlikte, kullanmak istediğiniz hakkınıza yönelik açıklamalarınızı içeren yazılı dilekçeniz ile Şirketimizin Ayazağa Mah. Mimar Sinan Sk. A Blok No:21A İç Kapı No: 9 Sarıyer, 34396 Istanbul adresine bizzat başvurabilir veya bu talebinizi noter kanalıyla veya güvenli elektronik imzalı olarak CONVATEC’e iletebilirsiniz.

Kişisel veri sahibi olarak CONVATEC’e ait internet sayfasında ya da CONVATEC çalışanları aracılığıyla işlem yapmadan önce yukarıda yer alan Kişisel Verilerin İşlenmesi Aydınlatma Metni’ni okuduğunuzu ve kabul ettiğinizi, web sitesinde veya CONVATEC çalışanı aracılığıyla işlem yapmakla temin ettiğiniz kişisel verilerinizin işlenmesine ve paylaşılmasına rıza göstermiş sayılacağınızı gayri kabili rücu beyan, kabul ve taahhüt ettiğiniz anlaşılmaktadır.

 

Convatec Sağlık Ürünleri Limited Şirketi

Kişisel Verileri Saklama ve İmha Politikası

(Versiyon- 2022.01)

 

 

BİRİNCİ BÖLÜM                   GENEL HÜKÜMLER

 Madde 1         Amaç

 Bu Politikanın amacı CONVATEC SAĞLIK ÜRÜNLERİ LİMİTED ŞİRKETİ (“CONVATEC”) tarafından işbu Politika’nın dayanağı yasal mevzuata uygun bir biçimde yürütülen kişisel verilerin işlenmesi ve korunması ile işlenen kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesine ilişkin usul ve esasları belirlemektir.

 Madde 2         Kapsam

 Bu Politika CONVATEC işyerinde bulunan üçüncü kişilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerine ilişkindir.

 Bu kapsamda yukarda belirtilen kişisel veri sahipleri gruplarına, işbu Politika’nın tamamı uygulanabileceği gibi, sadece bir takım hükümleri de uygulanabilecektir.

 

Madde 3         Dayanak

 Bu Politika 6698 sayılı Kişisel Verilerin Korunması Kanunu, 30286 sayılı Veri Sorumluları Sicili Hakkında Yönetmelik ve 30224 sayılı Kişisel Verilerin Silinmesi, Yok Edilmesi Veya Anonim Hale Getirilmesi Hakkında Yönetmelik dayanak alınarak hazırlanmıştır.

 Kişisel verilerin işlenmesi, korunması ve imhası konusunda yürürlükte bulunan ilgili düzenlemeler öncelikle uygulama alanı bulacaktır. Mevzuat ile Politika arasında uyumsuzluk bulunması halinde ise CONVATEC yürürlükteki mevzuatın uygulama alanı bulacağını kabul etmektedir.

 Madde 4        

Bu Politika’nın uygulanmasında;

 a) Alıcı grubu: Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisini;

 b) İlgili kullanıcı: Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişileri;

 c) İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesini;

 d) Kanun: 6698 Sayılı Kişisel Verilerin Korunması Kanununu;

 e) Kayıt ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortamı;

 f) Kişisel veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi;

 g) Kişisel veri sahibi: Kişisel verisi işlenen gerçek kişiyi;

 h) Kişisel verinin işlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi;

 i) Kişisel veri işleme envanteri: Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanteri;

 j) Kurul: Kişisel Verileri Koruma Kurulunu;

 k) Kurum: Kişisel Verileri Koruma Kurumunu;

 l) Özel nitelikli kişisel veri: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri;

 m) Periyodik imha: Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemini;

 n) Politika: Veri sorumlularının, kişisel verilerin işlendikleri amaç için gerekli olan azami süreyi belirleme işlemi ile silme, yok etme ve anonim hale getirme işlemi için dayanak yaptıkları işbu Politikayı;

 o) Sicil: Kişisel Verileri Koruma Kurumu Başkanlığı tarafından tutulan veri sorumluları sicilini;

 ö) Veri işleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel veri işleyen gerçek ve tüzel kişiyi;

 p) Veri kayıt sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini;

 r) Veri sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade eder.

 

Bu Politika’da yer almayan tanımlar için Kanun’daki tanımlar geçerlidir.

 

İKİNCİ BÖLÜM          CONVATEC’DE UYGULANACAK ESASLAR

 

Madde 5         Kişisel Veri Sahibinin Aydınlatılması ve Bilgilendirilmesi

 CONVATEC, kişisel verilerin elde edilmesi esnasında kişisel veri sahiplerini aydınlatmaktadır. Bu kapsamda CONVATEC kişisel veri sahiplerine, kişisel verilerin hangi amaçla işleneceğini, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılacağını, kişisel veri toplama yöntemini ve hukuki sebebini Kanun’daki haklarıyla birlikte açıklayacaktır.

 Kişisel veri sahibinin hakları arasında “bilgi talep etme” de bulunmaktadır. CONVATEC kişisel veri sahibinin bilgi talep etmesi durumunda gerekli bilgilendirmeyi yapacaktır.

 CONVATEC hukuka ve dürüstlük kuralına uygun bir biçimde kişisel veri işleme faaliyetinde bulunduğunu kişisel veri sahipleri ile ilgililere başta işbu Politika olmak üzere kamuoyuna açık çeşitli dokümanlarla duyurarak, kişisel veri işleme faaliyetlerinde ilgilileri bilgilendirmeyi, bu çerçevede hesap verilebilirliği ve şeffaflığı sağlamaktadır.  

 

Madde 6         Veri Sahibinin Haklarının Gözetilmesi

 CONVATEC kişisel veri sahiplerinin haklarının değerlendirilmesi ve kişisel veri sahiplerine gerekli bilgilendirmenin yapılması için Kanuna uygun olarak gerekli kanalları, iç işleyişi, idari ve teknik düzenlemeleri yürütmektedir.

 Kişisel veri sahipleri aşağıda sayılan haklarına ilişkin taleplerini yazılı olarak CONVATEC’e iletmeleri durumunda CONVATEC talebin niteliğine göre talebi en kısa sürede ve en geç 30 gün içinde ücretsiz olarak sonuçlandırır. İşlemin ayrıca bir maliyet gerektirmesi halinde, CONVATEC tarafından Kurulca belirlenen tarifedeki ücret alınacaktır. Kişisel veri sahipleri;

 

  • Kişisel veri işlenip işlenmediğini öğrenme;
  • Kişisel verileri işlenmişse buna ilişkin bilgi talep etme;
  • Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme;
  • Yurt içinde veya varsa yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme;
  • Kişisel verilerin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme;
  • Kanun ve diğer ilgili mevzuat hükümlerine uygun olarak işlenmiş olmasına rağmen, verilerin işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel verilerin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme;
  • İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme;
  • Kişisel verilerin Kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması halinde zararın giderilmesini talep etme haklarına sahiptir.

 

Veri sahipleri yukarıda belirtilen haklarını kullanırken taleplerini “yazılı” veya Kanun’un belirlediği yöntemler ile Ayazağa Mah. Mimar Sinan Sk. A Blok No:21A İç Kapı No: 9 Sarıyer, 34396 Istanbul adresine iletmelidirler. Kurul henüz başkaca bir yöntem belirlemediği sebebiyle, şu aşamada veri sahiplerinin taleplerini yazılı olarak iletmeleri aranmaktadır.

Veri sahipleri, başvurularını tamamlarken yazılı taleplerinin yanı sıra kimliklerini tespit edici gerekli bilgileri CONVATEC’e ilettikleri takdirde, söz konusu başvuruya ilişkin cevapları hızlı ve etkili bir biçimde alacaklardır. Veri sahipleri yukarıda sayılan haklardan kullanmayı talep ettikleri takdirde, söz konusu talebi yazılı olarak imzalı bir nüshası ve şirketimizin Ayazağa Mah. Mimar Sinan Sk. A Blok No:21A İç Kapı No: 9 Sarıyer, 34396 Istanbul adresine kimliğinizi tevsik edecek belgeler ile bizzat elden, noter kanalıyla veya güvenli elektronik imzalı olarak iletebilirsiniz.

 

Madde 7         Kişisel Verilerin Saklandığı ve İmha Edileceği Kayıt Ortamı

 

CONVATEC tarafından edinilmiş ve tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam kayıt ortamı olarak kabul edilmektedir. CONVATEC bünyesindeki tüm kişisel veriler aşağıdaki sistemlerinde azami güvenli bir biçimde bulundurulmakta ve saklanmaktadır.

 

Veri sahiplerine ait kişisel veriler, CONVATEC tarafından aşağıdaki tabloda listelenen ortamlarda başta KVKK hükümleri olmak üzere ilgili mevzuata uygun olarak ve uluslararası veri güvenliği prensipleri çerçevesinde güvenli bir şekilde saklanmaktadır:

 

Elektronik ortamlar:

  • Logo
  • CRM
  • ConvaTec Global Workday
  • ADP Online
  • Exchange Server
  • Ms Office 365

 

Fiziksel ortamlar:

  • Birim Dolapları
  • Şirket arşivi ve arşiv firması

  

 

Madde 8         Kişisel Verilerin Güvenliğinin Sağlanması

 CONVATEC olarak yürütülmekte olan ticari faaliyetler de dikkate alındığında, CONVATEC için kişisel verilerin korunması en öncelikli konular arasındadır. CONVATEC veri güvenliği konusunda gerekli hukuki, teknik ve idari tedbirleri almakta, bu konuda en üst düzeyde ehemmiyet ve özeni göstermektedir.

CONVATEC Üçüncü Kişi Personeli öğrendikleri kişisel verileri Kanun hükümlerine aykırı olarak başkalarına açıklayamayacağı, ilgili verileri işleme dışında başka amaçlarla kullanamayacağı, bu yükümlülüklerinin CONVATEC’den ayrılmaları durumunda da aynen devam edeceği konularında bilgilendirilmiş, bu konuda kendilerinden gerekli taahhütler alınmıştır.

CONVATEC ayrıca kişisel verilerin hukuka aykırı bir şekilde işlenmesinin önlenmesi, kişisel verilere hukuka aykırı bir biçimde erişilmesinin önlenmesi ve hukuka uygun saklanması konusunda iş ortakları, tedarikçiler ve benzer üçüncü kişiler nezdinde de gerekli farkındalıkları arttırmaktadır. Kişisel verilerin CONVATEC ile çalışmakta olan üçüncü kişiler nezdinde de hukuka uygun işlenmesi, korunması ve saklanması hususu ilgili üçüncü kişilerle de sözleşmesel olarak düzenlenmiş olup, ilgili kişisel verilerin işlenmesi sebebi ile üçüncü kişilerle gerçekleştirilen faaliyet uyumlu bir hale getirilmiştir.

CONVATEC, kendi bünyesinde gerekli tüm denetimleri yapmakta ve yaptırmaktadır. Denetim neticesinde alınan tedbirlerin iyileştirilmesi gerektiği tespit edildiğinde CONVATEC tarafından derhal gerekli aksiyonlar alınmaktadır.

 

Aşağıda belirtilen tüm genel, teknik ve idari tedbirlerin alınmasına rağmen kişisel verilerin kanuni olmayan yollarla başkaları tarafından öğrenilmesi ve/veya edinilmesi halinde, CONVATEC durumu veri sahibine ve Kurul’a bildirme yükümlülüğünü en kısa sürede yerine getirmektedir.     

 

Madde 9         Kişisel Verilerin Güvenli Bir Şekilde Saklanması İle Hukuka Aykırı Olarak İşlenmesi ve Erişilmesinin Önlenmesi İçin Alınacak Genel Tedbirler

 

Kişisel veriler CONVATEC tarafından ancak Kanunda ve diğer yasal mevzuatta öngörülen usul ve esaslara uygun olarak işlenmektedir. CONVATEC kişisel verileri işlerken aşağıdaki belirtilen ilkelere uymaktadır:

a)Hukuka ve dürüstlük kurallarına uygun olma

CONVATEC, kişisel verilerin işlenmesinde ilgili mevzuat ile getirilen ilkeler ve dürüstlük kuralına uygun hareket etmektedir. CONVATEC kişisel verilerin işlenmesinde orantılılık gerekliliklerini dikkate almak suretiyle kişisel verileri ilgili amacın gerçekleştirilmesinin gerektirdiği ölçünün dışında kullanmamaktadır.

 b) Doğru ve gerektiğinde güncel olma

CONVATEC, kişisel veri sahiplerinin temel haklarını ve menfaatlerini göz önünde bulundurmakta, işlediği kişisel verilerin doğru ve güncel olmasını sağlamaktadır. Bu amaç doğrultusunda CONVATEC gerekli tedbirleri de almaktadır.

 c) Belirli, açık ve meşru amaçlar için işlenme

CONVATEC, meşru ve hukuka uygun olan kişisel veri işleme amacını kesin ve net bir şekilde belirlemektedir ve kişisel verileri sağlamakta olduğu hizmetle bağlantılı ve söz konusu hizmetin gerektirdiği ölçüde işlemektedir. CONVATEC, kişisel verilerin hangi amaçla işleneceğini henüz kişisel veriler işlenmeye başlamadan evvel ortaya koymaktadır.

 d) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma

CONVATEC, kişisel verileri belirlenen amaçların gerçekleştirilebilmesine elverişli bir biçimde işlemektedir. Bu kapsamda kişisel verileri işleme amacının gerçekleştirilmesiyle ilgili olmayan ya da ihtiyaç duyulmayan kişisel verileri işlemekten kaçınmaktadır.

 e) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza etme

CONVATEC, kişisel verileri ilgili mevzuatta belirtildiği ya da işlendikleri amaç için gerekli olan süre kadar muhafaza etmektedir. Bu çerçevede CONVATEC öncelikle ilgili mevzuatta kişisel verilerin ne kadar süre saklanması gerektiği ifade edilmiş ise bu süreye uygun davranmakta, ifade edilmemiş ise işlenmesini gerektiren süre kadar saklamaktadır. Sürenin bitimi veya işlenmesini gerektiren sebebin ortadan kalkması halinde, kişisel veriler CONVATEC tarafından silinmekte, yok edilmekte veya anonim hale getirilmektedir.   

 

Madde 10       Kişisel Verilerin Güvenli Bir Şekilde Saklanması ile Hukuka Aykırı Olarak İşlenmesi ve Erişilmesinin Önlenmesi İçin Alınacak Teknik ve İdari Tedbirler

 

CONVATEC;

 a)Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,

 b)Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,

 c)Kişisel verilerin muhafazasını sağlamak,

amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorunda olduğunu bilmekte ve bu çerçevede azami özen ve ehemmiyeti göstermektedir.

 

CONVATEC, sahip olduğu kişisel verilerin başkaca bir gerçek veya tüzel kişi tarafından işlenmesi hâlinde, yukarıda belirtilen tedbirlerin alınması hususunda bu kişilerle birlikte müştereken sorumlu olacaktır.

 Nitekim CONVATEC Kanun ve ilgili mevzuat hükümlerinin uygulanmasını sağlamak amacıyla tüm gerekli denetimleri yapmak ve yaptırmak zorunda olduğunun bilincindedir ve buna yönelik gerekli işlemleri yapmaktadır.

 Madde 11       Kişisel Verileri Saklama ve İmha Süreçlerinde CONVATEC Adına Yer Alan Sorumluların Unvanları, Birimleri, Görev Tanımları

 

Kişisel veri saklama ve imha sürecinde yer alan personelin unvanlarına, birimlerine ve görev tanımlarına işbu Politika’nın EK-1’inde yer alan listeden ulaşabilirsiniz. İlgili kişiler işbu Politika’da düzenlenen kişisel verilerin saklanması ve imha süreçlerinde tüm yükümlülüklerini eksiksiz ifa edecektir.

 

 

ÜÇÜNCÜ BÖLÜM                 KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN İLKELER

 

Madde 12       Kişisel Verilerin İşlenmesi Şartları

 Kişisel verilerin işlenebilmesi için ilgili kişinin açık rızası gerekmektedir. Kişisel verilerin işlenebilmesi için açık rıza hukuki dayanaklardan sadece biridir. Açık rıza dışında aşağıda belirtilen hallerden birinin ya da aynı anda birkaçının gerçekleşmesi halinde de kişisel veriler işlenebilir. CONVATEC ancak aşağıdaki şartlardan birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verileri işleyebilecektir.

 a) Açık rıza: Kişisel veri sahibinin açık rızası belirli bir konuya ilişkin, bilgilendirilmeye dayalı olarak ve özgür iradesiyle açıklanmalıdır. Bu çerçevede CONVATEC kişisel veri sahibinin kişisel verisinin işlenebilmesi için açık rızasını alacaktır.

 b) Kanunlarda açıkça öngörülmesi: Veri sahibinin kişisel verileri, kanuna açıkça öngörülmesi halinde CONVATEC tarafından hukuka uygun olarak işlenebilecektir.

 c) Fiili imkânsızlık nedeniyle ilgilinin açık rızasının alınamaması: Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması halinde veri sahibinin kişisel verileri işlenebilecektir. Örneğin CONVATEC personelinin kalp krizi geçirmesi durumunda kan grubunun doktorlara bildirilmesi.

 d) Sözleşmenin kurulması veya ifasıyla doğrudan ilgili olması: Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması halinde kişisel verilerin işlenmesi mümkündür.

 e) CONVATEC’in hukuki yükümlülüğünü yerine getirmesi: CONVATEC’in hukuki yükümlülüğünü yerine getirebilmesi için veri işlemenin zorunlu olması halinde veri sahibinin verileri işlenebilecektir.

 f) Kişisel veri sahibinin kişisel verisini alenileştirmesi: Veri sahibinin kişisel verisini kendisi tarafından alenileştirmiş olması halinde kişisel veriler işlenebilecektir.

 g) Bir hakkın tesisi veya korunması için veri işlemenin zorunlu olması: Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması halinde veri sahibinin kişisel verileri işlenebilecektir.

 h) CONVATEC’in meşru menfaati için veri işlemenin zorunlu olması: Kişisel veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, CONVATEC’in meşru menfaatleri için veri işlenmesinin zorunlu olması halinde CONVATEC kişisel verileri işleyebilecektir.

 

Madde 13       Özel Nitelikli Kişisel Verilerin İşlenme Şartları

 

CONVATEC özel nitelikli kişisel verilerin, kişisel veri sahiplerinin açık rızası olmaksızın işlememektedir. Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.

 CONVATEC özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen gerekli önlemleri de almaktadır.

 

Madde 14       Kişisel Verilerin Aktarılması

CONVATEC yürütmekte olduğu ticari faaliyetlerin niteliği dikkate alındığında Kanuna ve ilgili mevzuata uygun olan kişisel veri işleme amaçları doğrultusunda gerekli güvenlik önlemlerini almak suretiyle kişisel veri sahiplerinin kişisel verilerini ve özel nitelikli kişisel verilerini üçüncü kişilere aktarmaktadır.

 

CONVATEC, Kurul tarafından yeterli korumaya sahip olduğu ilan edilen yabancı ülkelere (“Yeterli Korumaya Sahip Yabancı Ülke”) veya yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt ettiği ve Kurul’un izninin bulunduğu yabancı ülkelere (“Yeterli Korumayı Taahhüt Eden Veri Sorumlusunun Bulunduğu Yabancı ülke”) kişisel verileri aktarmamaktadır. Ancak kişisel verileri söz konusu ülkelere aktarma ihtiyacı doğması durumunda Kanun’da öngörülen düzenlemelere uygun hareket edeceğini taahhüt etmektedir.

 

DÖRDÜNCÜ BÖLÜM

KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VEYA ANONİM HALE GETİRİLMESİNE İLİŞKİN İLKELER

 

Madde 15       Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesine İlişkin Esaslar

 CONVATEC Madde 12 ve Madde 13’de yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması hallerinde, kişisel verilerin resen veya ilgili kişinin talebi üzerine silinmesi, yok edilmesi veya anonim hâle getirilmesi konusunda yükümlülüklerini yerine getirmektedir.

 CONVATEC kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesinde işbu Politika’da Madde 9 ve Madde 10’da düzenlenen genel ilkeler ile teknik ve idari tedbirlere, ilgili mevzuat hükümlerine, Kurul kararlarına ve kişisel veri saklama ve imha politikasına uygun olarak hareket etmektedir.

 CONVATEC tarafından kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesiyle ilgili yapılan bütün işlemler kayıt altına alınır ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az üç yıl süreyle saklanır.

 CONVATEC, Kurul tarafından aksine bir karar alınmadıkça, kişisel verileri resen silme, yok etme veya anonim hale getirme yöntemlerinden uygun olanını seçer. İlgili kişinin talebi halinde uygun yöntemi gerekçesini açıklayarak seçer.

 

Madde 16       Kişisel Verilerin Silinmesi

 Kişisel verilerin silinmesi, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. CONVATEC, silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması için gerekli her türlü teknik ve idari tedbirleri almaktadır.

 

Madde 17       Kişisel Verilerin Yok Edilmesi

 Kişisel verilerin yok edilmesi, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. CONVATEC, kişisel verilerin yok edilmesiyle ilgili gerekli her türlü teknik ve idari tedbirleri almaktadır.

 

Madde 18       Kişisel Verilerin Anonim Hale Getirilmesi

 Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir. Kişisel verilerin anonim hale getirilmiş olması için; kişisel verilerin, veri sorumlusu, alıcı veya alıcı grupları tarafından geri döndürme ve verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekir.

 

CONVATEC, kişisel verilerin anonim hale getirilmesiyle ilgili gerekli her türlü teknik ve idari tedbirleri almaktadır.

 

Madde 19       Kişisel Verilerin Silinmesi, Yok Edilmesi, Anonim Hale Getirilmesi İşlemleriyle İlgili Uygulanacak Yöntemler

 

    CONVATEC bünyesinde bulunan kişisel verileri aşağıda düzenlenen yöntemleri kullanmak suretiyle silecek, yok edecek ve/veya anonim hale getirecektir.

 a) Hizmet Olarak Uygulama Türü Bulut Çözümleri (Office 365, vs gibi)


CONVATEC bulut sisteminde verileri silme komutu vererek silecektir. Anılan işlem gerçekleştirirken ilgili kullanıcının bulut sistemi üzerinde silinmiş verileri geri getirme yetkisinin olmadığına özellikle dikkat edecektir.

b) Kağıt Ortamında Bulunan Kişisel Veriler

CONVATEC, kağıt ortamında bulunan kişisel verileri karartma yöntemi kullanarak silecektir. Karartma işlemi, ilgili evrak üzerindeki kişisel verilerin, mümkün olan durumlarda kesilmesi, mümkün olmayan durumlarda ise geri döndürülemeyecek ve teknolojik çözümlerle okunamayacak şekilde sabit mürekkep kullanılarak ilgili kullanıcılara görünemez hale getirilmesi şeklinde yapılır.

 c) Merkezi Sunucuda Yer Alan Ofis Dosyaları


Dosyanın işletim sistemindeki silme komutu ile silinmesi veya dosya ya da dosyanın bulunduğu dizin üzerinde ilgili kullanıcının erişim haklarının kaldırılması gerekir. CONVATEC anılan işlemi gerçekleştirirken ilgili kullanıcının aynı zamanda sistem yöneticisi olmadığına dikkat edecektir.

d) Taşınabilir Medyada Bulunan Kişisel Veriler

CONVATEC, flash tabanlı saklama ortamlarındaki kişisel verileri, şifreli olarak saklamakta ve bu ortamlara uygun yazılımlar kullanarak silecektir.

e) Veri Tabanları

CONVATEC kişisel verilerin bulunduğu ilgili satırları veri tabanı komutları ile (DELETE vb.) silecektir. Anılan işlem gerçekleştirilirken ilgili kullanıcının aynı zamanda veri tabanı yöneticisi olmadığına dikkat edecektir.

 

Madde 20       Kişisel Verileri Resen Silme, Yok Etme veya Anonim Hale Getirme Süreleri

CONVATEC, kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde, kişisel verileri siler, yok eder veya anonim hale getirir.

 Periyodik imhanın gerçekleştirileceği zaman aralığı, kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden 30 gün içerisinde CONVATEC tarafından gerçekleştirilecektir. Zorunlu hallerde bu süre en fazla 30 gün daha uzatılabilir.  

 CONVATEC, telafisi güç veya imkânsız zararların doğması ve açıkça hukuka aykırılık olması halinde, Kurul’un bu maddede belirlenen süreleri kısaltabileceğini kabul eder.

 

Madde 21       Veri Sahibinin Kişisel Verilerinin Silinmesi ve Yok Edilmesi Talebi

 Veri Sahibi, Kanunun uygulanmasıyla ilgili taleplerini yazılı olarak veya Kurulun belirleyeceği diğer yöntemlerle CONVATEC’e iletir.

 CONVATEC başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede ve en geç 30 gün içinde ücretsiz olarak sonuçlandırır. Ancak, işlemin ayrıca bir maliyeti gerektirmesi hâlinde, Kurulca belirlenen tarifedeki ücret esas alınabilir.

 CONVATEC talebi kabul eder veya gerekçesini açıklayarak reddeder ve cevabını ilgili kişiye yazılı olarak veya elektronik ortamda bildirir. Başvuruda yer alan talebin kabul edilmesi hâlinde CONVATEC tarafından gereği yerine getirilir. Başvurunun CONVATEC’in hatasından kaynaklanması hâlinde alınan ücret ilgiliye iade edilir.

 Madde 22       Kişisel Verileri Veri Sahibinin Talep Etmesi Durumunda Silme ve Yok Etme Süreleri

 Veri Sahibi, işbu Politika’da Madde 21’ye istinaden CONVATEC’e başvurarak kendisine ait kişisel verilerin silinmesini veya yok edilmesini talep ettiğinde;

 a) Kişisel verileri işleme şartlarının tamamı ortadan kalkmışsa; CONVATEC talebe konu kişisel verileri siler, yok eder veya anonim hale getirir. CONVATEC, ilgili kişinin talebini en geç 30 gün içinde sonuçlandırır ve ilgili kişiye bilgi verir.

 b) Kişisel verileri işleme şartlarının tamamı ortadan kalkmış ve talebe konu olan kişisel veriler üçüncü kişilere aktarılmışsa CONVATEC bu durumu üçüncü kişiye bildirir; üçüncü kişi nezdinde Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik kapsamında gerekli işlemlerin yapılmasını temin eder.

 c) Kişisel verileri işleme şartlarının tamamı ortadan kalkmamışsa, bu talep CONVATEC tarafından işbu Politika’nın 22/3. Maddesi uyarınca gerekçesi açıklanarak reddedilebilir ve ret cevabı Veri Sahibine en geç 30 gün içinde yazılı olarak ya da elektronik ortamda bildirilir.

 

BEŞİNCİ BÖLÜM      DİĞER HÜKÜMLER

 

Madde 23       Yürürlük

Bu Politika, 28 Aralık 2017 tarihli olup aynı tarihte yürürlüğe girmiştir. Politika CONVATEC’in internet sitesinde yayımlanmaktadır ve kişisel veri sahiplerinin talebi üzerine ilgili kişilerin erişimine sunulmaktadır.   

 Madde 24       Kabul ve Taahhütname

CONVATEC ve tüm Üçüncü Kişi Personeline işbu Politikanın bir nüshası verilir. CONVATEC Personeli açısından bağlayıcı olabilmesi için Ek-3’te yer alan formun imzalanması; Üçüncü Kişi Personeli açısından bağlayıcı olabilmesi için Ek-4’te yer alan formun imzalanması ve CONVATEC’e verilmesi gerekir.

Madde 25       Diğer Düzenlemeler

 Bu Politika bundan önce yürürlükte olan kişisel verileri saklama ve imha konusundaki düzenlemeleri ve eklerini ortadan kaldırır.

 

Ek-1

PERSONEL UNVAN, BİRİM VE GÖREV LİSTESİ

 

     

Meryem KILIÇASLAN

Finans Müdürü

 

Finans, Bordro Departmanı, Bilgi Teknolojileri Departmanı ve İnsan Kaynakları Departmanı- Kişisel veri saklama ve imha politikası uygulama sorumlusu

 

Görevi dahilinde olan süreçlerin saklama süresine uygunluğunun sağlanması ile periyodik imha süresi uyarınca kişisel veri imha sürecinin yönetimi 

 

Doğa SOYSAL

Pazar Erişim Koordinatörü

Veri Sorumlusu  

Görevi dahilinde olan süreçlerin saklama süresine uygunluğunun sağlanması ile periyodik imha süresi uyarınca kişisel veri imha sürecinin yönetimi 

 

 

 Ek-2

SAKLAMA VE İMHA SÜRELERİ TABLOSU

SÜREÇ

SAKLAMA SÜRESİ

 

İMHA SÜRESİ

 

Genel Kurul İşlemleri

  10 yıl

Saklama süresinin bitimini takiben 180 gün içerisinde

İhale/işyeri açma/bakanlıklar/müsteşarlıklar evrak hazırlama süreçleri

  10 yıl

Saklama süresinin bitimini takiben 180 gün içerisinde

Personel ve Üçüncü Kişi Personeli ile ilgili mahkeme/icra bilgi taleplerinin cevaplanması

İş ilişkisinin sona ermesine müteakip 10 yıl

Saklama süresinin bitimini takiben 180 gün içerisinde

Üçüncü kişilerle imzalanan sözleşmeler

10 yıl

Saklama süresinin bitimini takiben 180 gün içerisinde

Personel özlük dosyası

İş ilişkisinin sona ermesine müteakip 10 yıl

Saklama süresinin bitimini takiben 180 gün içerisinde

İşe alım

İş ilişkisinin sona ermesine müteakip 10 yıl

Saklama süresinin bitimini takiben 180 gün içerisinde

Bordrolama

İş ilişkisinin sona ermesine müteakip 10 yıl

Saklama süresinin bitimini takiben 180 gün içerisinde

Personel ve özel sağlık ve ferdi kaza sigorta poliçeleri

1 yıl

Saklama süresinin bitimini takiben 180 gün içerisinde

Çalışanlara araç tahsis edilmesi

10 yıl

Saklama süresinin bitimini takiben 180 gün içerisinde

İş sağlığı ve güvenliği uygulamaları

İş ilişkisinin sona ermesine müteakip 10 yıl

Saklama süresinin bitimini takiben 180 gün içerisinde

Kayıt/Takip/Log Sistemleri

2 yıl

Saklama süresinin bitimini takiben 180 gün içerisinde

 

 

  

Şirket ortakları ve yönetim kurulu üyelerine ait bilgiler

10 yıl 

Saklama süresinin bitimini takiben 180 gün içerisinde

Ödeme işlemleri

İş ilişkisinin sona ermesini müteakip 10 yıl

Saklama süresinin bitimini takiben 180 gün içerisinde

 

 Finansman Süreçleri

İş ilişkisinin sona ermesini müteakip 10 yıl

Saklama süresinin bitimini takiben 180 gün içerisinde

 

Sözleşme sürecinin bir bölümü ve sözleşmenin muhafazası

 

İş ilişkisinin sona ermesini müteakip 10 yıl

 

Saklama süresinin bitimini takiben 180 gün içerisinde

 

Talep / Şikâyet Bilgileri

Kaydın alınmasından itibaren 5 yıl

Saklama süresinin bitimini takiben 180 gün içerisinde

Kaza Raporlama

10 yıl 

Saklama süresinin bitimini takiben 180 gün içerisinde

Toplantı notlarının, katılımcılar ile paylaşılması

10 yıl

Saklama süresinin bitimini takiben 180 gün içerisinde

Her türlü doküman dosyalanması

10 yıl

Saklama süresinin bitimini takiben 180 gün içerisinde

Eğitim kayıtlarının dosyalanması

10 yıl

Saklama süresinin bitimini takiben 180 gün içerisinde

 

 

 

Ek-3

 

 

Kişisel Verileri Saklama ve İmha Politikası’nı Kabul ve Taahhütname Formu

Convatec Sağlık Ürünleri Limited Şirketi (“CONVATEC”) tarafından Veri Sorumlusu olarak görevlendirilmem neticesinde işbu 2022-01 versiyon numaralı Kişisel Verileri Saklama ve İmha Politikası ("Politika”) ile işbu Politika’yı okumam sonrasında tarafımca ifa edilmesi gereken tüm yükümlülükleri anladığımı ve kabul ettiğimi beyan ve taahhüt ederim. Bu kapsamda CONVATEC tarafından Veri Sorumlusu olmam sebebiyle şahsıma temin edeceği her türlü kişisel verinin temin edilme amaçları doğrultusunda kullanılacağını, bu amaçlar dışında hiçbir şekilde kullanılmayacağını ayrıca kabul ve taahhüt ederim.

 

CONVATEC ya da kişisel veri sahibinin şahsımı yazılı olarak bilgilendirmesi durumunda, ilgili kimselere ait tüm verilerin ve her türlü kopyalarının işbu Politika’ya uygun bir biçimde silineceğini ve imha edileceğini taahhüt ederim.

 

İşbu Politika’da belirtilen yükümlülüklerimi Kişisel Verileri Koruma mevzuatına uygun bir şekilde ve/veya zamanında yerine getirmediğim takdirde bu aykırılık sebebiyle CONVATEC’in uğrayacağı tüm zararları ve masrafları tazmin edeceğimi, CONVATEC’in söz konusu zarar ve masrafları hak sahiplerine ve/veya Kişisel Veriler Kurumu’na bu sebeple ödeyeceği zarar ve masrafları tarafıma rücu edebileceğini ayrıca kabul ve beyan ederim.

 

Ad/Soyad:

İmza:                       

Tarih:

 

 

 

Ek-4

 Kişisel Verileri Saklama ve İmha Politikası’nı Kabul ve Taahhütname Formu

Convatec Sağlık Ürünleri Limited Şirketi (“CONVATEC”) tarafından düzenlenen işbu 2022-01 versiyon numaralı Kişisel Verileri Saklama ve İmha Politikası ("Politika”) uyarınca Politikayı okumam sonrasında uymakla yükümlü olduğum tüm yükümlülükleri anladığımı ve kabul ettiğimi beyan ve taahhüt ederim. Bu kapsamda CONVATEC’in işyerinde bulunduğum sürede şahsımın herhangi bir yöntemle edineceği her türlü kişisel verinin tarafımca temin edilme amaçları doğrultusunda kullanılacağını, bu amaçlar dışında hiçbir şekilde kullanılmayacağını ayrıca kabul ve taahhüt ederim.

 İşbu Politika’da belirtilen yükümlülüklerimi Kişisel Verileri Koruma mevzuatına uygun bir şekilde yerine getirmediğim takdirde bu aykırılık sebebiyle CONVATEC’in uğrayacağı tüm zararları ve masrafları tazmin edeceğimi, CONVATEC’in söz konusu zarar ve masrafları hak sahiplerine ve/veya Kişisel Veriler Kurumu’na bu sebeple ödeyeceği zarar ve masrafları tarafıma rücu edebileceğini ayrıca kabul ve beyan ederim.

 

Ad/Soyad:

İmza:                       

Tarih:

 

CONVATEC SAĞLIK ÜRÜNLERİ LİMİTED ŞİRKETİ VERİ İHLALİ MÜDAHALE PLANI 

 

1. Amaç

Bu Veri İhlali Müdahale Planı’nın (“Plan”) amacı, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (“Kanun”) “Veri güvenliğine ilişkin yükümlülükler” başlıklı 12’nci maddesinin 5.  fıkrası ve Kişisel Verileri Koruma Kurumu (“Kurum”) tarafında alınan 24.01.2019 Tarih ve 2019/10 Sayılı Kişisel Verileri Koruma Kurumu kararı (“Karar”)  kapsamında Convatec Sağlık Ürünleri Limited Şirketi (Convatec”, “Şirket” veya “Veri Sorumlusu) olarak kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlükleri korumak ve kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almaya ilişkin yükümlülükleri yerine getirmek amacıyla işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde, veri sorumlusu sıfatıyla Convatec tarafından kendi nezdinde kimlere rapor verileceği, Kanun kapsamında yapılacak bildirimler ile veri ihlalinin olası sonuçlarının değerlendirilmesi hususunda, Şirket nezdindeki sorumluluğun kimde olduğunun belirlenmesi gibi konulara ilişkin rolleri ve sorumlulukları tanımlamak ve usul ve esasları düzenlemektedir.

İşbu Plan, kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde diğer bir deyişle, kişisel veri ihlali olması durumunda oluşacak krize nasıl müdahale edileceği ve atılacak adımların neler olduğu konusunda çalışanları bilgilendirmek amacıyla Convatec tarafından hazırlanmıştır.

2. Kapsam

Kişisel veri ihlali; paylaşılan, saklanan veya sair şekilde işlenen kişisel verilerin kazara veya hukuka aykırı yollarla imha edilmesi, aktarılması, kaybı, değiştirilmesi, yetkisiz şekilde açıklanması veya bunlara erişime yol açan bir güvenlik açığı kapsamında ortaya çıkabilen ihlallerdir. Aşağıda yer alan durumlar genel olarak kişisel veri ihlallerine örnek teşkil etmektedir:

  • Gizli bilgilerin hukuka aykırı şekilde ifşası,
  • Kişisel veri içeren e-postaların yanlışlıkla Şirket dışında ve ilgili olmayan kişilere iletilmesi, gönderilmesi,
  • Bilgi işlem donanımlarına, sistemlerine ve ağlarına virüs veya diğer saldırıların (siber saldırı) gerçekleşmesi suretiyle kişisel verilere hukuka aykırı erişim sağlanması,
  • Kişisel veri içeren fiziki dokümanların veya elektronik cihazların çalınması veya kaybolması,
  • Kişiye özel kullanıcı adı ve parolaların yetkisiz kişilerce ele geçirilmesi.

 

Şirket çalışanları, çalışan adayları, hizmet sağlayıcıları, ziyaretçiler ve diğer üçüncü kişilere ait kişisel veriler bu Plan kapsamında olup Şirketin sahip olduğu ya da Şirket tarafından yönetilen kişisel verilerin işlendiği tüm kayıt ortamları ve kişisel veri işlenmesine yönelik faaliyetlerde bu Plan uygulanır.

3. Hedefler

Bir veri ihlali durumunda, Convatec’in işbu Plan çerçevesinde hedefleri:

1. Veri ihlaline sebep olan olayı dahili olarak tüm ilgili departmanlar nezdinde araştırmak (gerektiği hallerde kolluk kuvvetleri ve diğer kamu kurum ve kuruluşları ile iş birliği içerisinde gerçekleştirmek),

2. Veri ihlalinin kaynağını tespit etmek,

3. Veri ihlalinden etkilenen kişisel veri kategorilerini tespit etmek,

4. Veri ihlalinden etkilenen veri sahibi gruplarını/tarafları tespit etmek,

5. Veri ihlalinden etkilenen tarafların mevcut durumda uğradıkları ve uğramaları muhtemel potansiyel etkileri tespit etmek ve varsa bu etkilerden doğan zararların en asgariye indirilmesini sağlamak,

6. Veri ihlali neticesinde Convatec’in organizasyonuna olan etkilerinin, ticari kaybın, operasyonlardaki azalmanın, itibari kayıpların ve/veya finansal zararların boyutlarını tespit etmek ve hukuka uygun bir şekilde en asgariye indirilmesini sağlamak,

7. Veri ihlali sonrasında iyileşmenin zamanını tespit etmek,

8. Eğer siber saldırı mevcut ise;

      a-  Veri ihlali sonrasında iyileşmenin zamanının tespit etmek,

      b- Saldırı sonucu gerçekleşen ihlal unsurunu,

      c- Siber saldırının Convatec organizasyonuna olan etkilerini, ve

      d- Siber saldırı sonrasındaki iyileşmenin zamanını tespit etmek,

9. Siber saldırının tekrarlanmaması için atılan adımları belirlemek ve bunların tahminen ne kadar zamanda tamamlanacağını hesaplamak,

10. Veri ihlaline sebep olan olayı veya olay sonu ortaya çıkan kaybı,

     a- Kanuna uygun şekilde Kurum’a 72 saat içerisinde,

     b- Veri ihlalinden etkilenen ilgili kişilere en kısa sürede ve en uygun yöntemlerle,

     c- Çalışanlara en kısa sürede,

     d- Eğer gerekiyorsa yurtiçinde bulunan diğer organizasyon veya kurumlara ilgili yasal yükümlülüklere uygun sürede,

11. Yurtdışında bulunan diğer veri koruma otoriteleri veya ilgili kurumlara ilgili yasal yükümlülüklere uygun sürede bildirimde bulunmak,

12. Gelecekte meydana gelme ihtimaline karşı olası veri ihlallerinin en aza indirilmesi için veri ihlaline yol açan olay sonrası iç denetim uygulamaları düzenlemek,

13. Veri ihlallerine ilişkin bilgilerin, etkilerinin ve alınan önlemlerin kayıt altına alınması ve Kurum’un incelemesine hazır halde bulundurulmasıdır.

 

4. Veri Güvenliğine İlişkin Yükümlülükler

 

KVKK’nın 12. maddesi kapsamında, işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu tarafından alınması gereken önlemler tanımlanmıştır. Veri sorumlusu;

 

a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,

b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,

c) Kişisel verilerin muhafazasını sağlamak, amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.

 

İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisi veri sahibine ve Kurum’a bildirir. Kurum, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.

 

Buna göre, işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, Şirket söz konusu veri ihlalini, en kısa sürede (en geç 72 saat içinde) Kurum’a ve söz konusu veri ihlalinden etkilenen veri sahiplerinin belirlenmesini müteakip makul olan en kısa süre içerisinde veri sahibine bildirmelidir.

 

İlgili veri sahiplerinin iletişim adresine ulaşılabiliyorsa doğrudan, ulaşılamıyorsa Şirketin kendi web sitesi üzerinden yayımlanması gibi uygun yöntemlerle bildirim yapılmalıdır.

 

Veri sorumlusu tarafından veri sahibine yapılacak olan ihlal bildiriminin açık ve sade bir dille yapılması ve asgari olarak;

 

  • İhlalinin ne zaman gerçekleştiği,
  • Kişisel veri kategorileri bazında (kişisel veri / özel nitelikli kişisel veri ayrımı yapılarak) hangi kişisel verilerin ihlalden etkilendiği,
  • Kişisel veri ihlalinin olası sonuçları,
  • Veri ihlalinin olumsuz etkilerinin azaltılması için alınan veya alınması önerilen tedbirler,
  • İlgili kişilerin veri ihlali ile ilgili bilgi almalarını sağlayacak irtibat kişilerinin isim ve iletişim detayları ya da veri sorumlusunun web sayfasının tam adresi, çağrı merkezi vb. iletişim yolları unsurlarına yer verilmesi gerekir.

 

Kurum’a yapılacak bildirimde yine Kurum’un belirlediği ve web sitesinde yayınladığı Kişisel Verileri Koruma Kurumu Veri İhlal Bildirim Formu doldurularak Kurum’a iletilir.

 

Şirket tarafından Kurum’a haklı bir gerekçe ile 72 saat içinde bildirim yapılamaması halinde, yapılacak bildirimle birlikte gecikmenin nedenlerinin de Kurum’a açıklanması gerekmektedir.

 

Formda yer alan bilgilerin aynı anda sağlanmasının mümkün olmadığı hallerde, bu bilgiler gecikmeye mahal verilmeksizin aşamalı olarak sağlanmalıdır.

 

Şirket tarafından veri ihlallerine ilişkin bilgilerin, etkilerinin ve alınan önlemlerin kayıt altına alınması ve Kurum’un incelemesine hazır halde bulundurulması sağlanmalıdır.

 

Veri işleyen nezdinde bulunan kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde, veri işleyen bu konuda herhangi bir gecikmeye yer vermeksizin Şirket’e bildirimde bulunmalıdır.

 

Veri ihlalinin yurtdışında yerleşik veri sorumlusu nezdinde yaşanması, bu ihlalin sonuçlarının Türkiye’de yerleşik veri sahiplerini etkilemesi ve veri sahiplerinin sunulan ürün ve hizmetlerden Türkiye’de faydalanmaları durumunda, ilgili veri sorumlusu tarafından da aynı esaslar çerçevesinde Kurum’a bildirimde bulunulmalıdır.

 

5. İhlal Müdahale Ekibi

 

Kişisel veri ihlali sonucu oluşan veya oluşabilecek kriz durumuna müdahale etmek ve Kanun kapsamında öngörülen yükümlülükleri yerine getirmek için irtibat kişisine bildirim yapılır. Bu bildirimin ardından irtibat kişisi tarafından “acil” koduyla KVKK kurulu toplantıya çağrılır. Toplantıya KVKK kurulu üyelerinin yanı sıra veri ihlalinin meydana geldiği birimin yöneticisi de katılır.

 

6. İhlal Müdahale Süreci

İhlal Bildirim Mükellefiyetine İlişkin Yol Haritası:

Yukarıda bahsi geçen yükümlülüklerin yerine getirilebilmesi için, bir veri ihlali durumunda öncelikle şirket içerisinde belirli adımlar takip edilmelidir:

A- Krize ilişkin ön değerlendirme

 

Veri sorumlusu, veri güvenliği ihlalinin mevcut olduğunu tespit eder veya haberdar edilir ise ilgili ihlalin veri sahipleri tarafından doğuracağı riskleri değerlendirilir.

 

B- Engelleme ve kurtarma çalışmalarının yürütülmesi

Veri ihlalinin Şirket ve veri sahipleri üzerindeki etkilerinin azaltılabilmesi için önleme ve kurtarma çalışmaları veri sorumlusu gözetiminde yürütülür. Bu kapsamda, öncelikle veri ihlalinden haberdar edilmesi gereken birimler tespit edilir ve bu kişilere ihlalin kontrol altına alınabilmesi, mümkünse engellenebilmesi ve zararların azaltılabilmesi için atılması gereken adımlara ilişkin rehberlik edilir.

Bunun devamında, veri ihlalinden etkilenecek veri sahiplerinin ve veri türlerinin kimler ve neler olduğu tespit edilmeye çalışılır, varsa bu kişilerin iletişim bilgileri de belirlenir. Eş zamanlı olarak, veri ihlali nedeniyle haberdar edilmesi gereken başka kurum ya da kuruluşlar olup olmadığı da değerlendirilir.

 

C- Risklerin değerlendirilmesi

Kişisel veri ihlalleri sebebiyle veri sahiplerine ait kişisel verilerin Türk Ceza Kanunu (“TCK”) kapsamında düzenlenen suçlarda kullanılması gibi pek çok olumsuz etki ile karşılaşılabilmektedir. Bu nedenle, ihlalin mevcut ve muhtemel sonuçlarının ihlalden etkilenen veri sahipleri üzerinde ne gibi etkiler oluşturabileceğinin dikkatli bir şekilde değerlendirilmesi ve risklerin belirlenmesi büyük önem taşımaktadır.

Veri sorumlusu tarafından riskler değerlendirilirken, ihlalden etkilenen kişisel verilerin niteliği, hassasiyeti ve miktarı ile etkilenen veri sahiplerinin sayısı ve kişi gruplarının kimler olduğu, veri ihlalinin Şirket’in faaliyetleri ile itibarına olan etkisi, veri ihlalinin etkisinin azaltılmasında alınan önlemler ve ihlalin olası sonuçları ayrı ayrı ele alınmalıdır. Bunların sonucuna göre veri ihlalleri aşağıdaki şekilde sınıflandırılabilir.

 

  • 1. Seviye İhlal: İhlalin yarattığı etkiler, veri sahipleri üzerinde kişisel verilerinin hukuka aykırı olarak elde edilmesi dışında somut bir zarara neden olmamaktadır.

 

Örneğin, kişilerin sadece ad ve soyadı bilgilerinin yer aldığı bir katılım listesinin yetkisiz kişiler tarafından görülmesi durumunda 1. seviyede ihlal olduğu değerlendirilebilecektir.

 

  • 2. Seviye İhlal: İhlal, veri sahipleri üzerinde olumsuz etkilere neden olabilecek niteliktedir. Ancak ihlalden etkilenen veri sayısı, çeşidi ve boyutu düşünüldüğünde bu etki büyük değildir.

 

İhlalin veri sahipleri üzerinde olumsuz etkilerinin bulunması ancak etkisinin büyük olmaması 2. seviyede ihlal kabul edilebilir. Örneğin, veri sahipleri için önemli olarak değerlendirilebilecek verilerinin ihlale maruz kaldığı bir olayda veri sorumlusunun ihlal akabinde aldığı güvenlik tedbirleri ile ihlalin etkilerinin önemli ölçüde azaltmış olması bu seviyeye örnek verilebilir.

 

  • 3. Seviye İhlal: İhlal boyutu, niteliği, etkili olduğu kişisel verilerin türü, sayısı gibi etmenler değerlendirildiğinde ihlalden etkilenen veri sahipleri üzerinde ciddi düzeyde olumsuz etkilere ve somut zararlara neden olabilecek seviyededir.

 

Özellikle ihlalden etkilenen veri sahiplerinin ve/veya verilerin sayısal olarak çok olması, ihlale konu verilerin içerisinde özel nitelikli veriler olması ya da kredi kartı bilgileri gibi veri sahiplerinin önemli bilgilerinin yer alması durumunda ihlalin yüksek düzeyde risk taşıdığı ve 3. seviyede ihlal olduğu değerlendirilebilir.

 

2. ve 3. seviyedeki ihlallere ilişkin veri sorumlusu üst yönetimine bilgi verilir. İhlalin 3. seviyede olduğunun değerlendirildiği durumlarda bu bildirim hiç gecikmeksizin derhal yapılır.

Kurumu tarafından da belirtildiği üzere, gerçekleşen veri ihlalinin düzeyinin belirlenmesinde veri sahipleri üzerinde ne kadar bir potansiyel etkiye neden olduğunun değerlendirilmesi gerekmektedir. Söz konusu potansiyel etkinin değerlendirilmesinde ise ihlalin niteliği, ihlalin nedeni, ihlale maruz kalan verinin türü, ihlalin etkisinin azaltılmasında alınan önlemler ile ihlalden etkilenen veri sahibi kategorileri göz önünde bulundurulmalıdır.

Veri ihlaline karşı gerek hukuki yükümlülük kapsamında gerekse veri ihlaline ilişkin tedbir alınması, ihlalin olası etkilerinin azaltılması gibi amaçlarla Şirket dışında üçüncü kişilere de bildirilmesi gerekmektedir.

D- Bildirim

Kurum’a Bildirim

Veri Sorumlusu irtibat kişisi, öncelikle kişisel veri ihlalinden haberdar olduğu andan itibaren gecikmeksizin ve en geç 72 saat içerisinde Kurum’a bu durumu bildirmekle yükümlüdür. Bu nedenle, Şirket içerisinde tüm çalışanların herhangi bir veri ihlali durumunu vakit kaybetmeksizin veri sorumlusu irtibat kişisine bildirmesi, Şirketin herhangi bir yaptırımla karşı karşıya kalmaması için önem arz etmektedir.

Kurum’a yapılacak bildirimde Kurum’un internet sitesinde yayınlanmış olan Kişisel Veri İhlali Başvuru Formu kullanılır. Formda yer alan bilgilerin aynı anda sağlanmasının mümkün olmadığı hallerde, bu bilgiler gecikmeye mahal verilmeksizin aşamalı olarak sağlanabilir.

Haklı bir gerekçe sebebiyle 72 saat içerisinde Kurum’a bildirim yapılamaması durumunda, yapılacak bildirimle birlikte gecikmenin nedenleri de Kurum’a açıklanır.

İhlalden Etkilenen Veri Sahiplerine Bildirim

Şirket, kişisel veri ihlalinden etkilen veri sahiplerinin belirlenmesini müteakip bu kişilere de makul olan en kısa süre içerisinde, veri sahibinin iletişim adresine ulaşılabiliyorsa doğrudan, ulaşılamıyorsa uygun yöntemlerle (örneğin internet sitesi üzerinden duruma ilişkin bir duyuru yayınlanması, vb.) gerekli bildirimi yapmalıdır. Söz konusu bildirimler, yetkilendirilmiş personelin desteğiyle Veri Sorumlusu irtibat kişisi tarafından gerçekleştirilir. Veri Sorumlusu tarafından veri sahibine yapılan ve veri ihlali bildiriminde yer alması gereken asgari unsurlara ilişkin, Kurum’un 18.09.2019 tarih ve 2019/271 sayılı Kararı uyarınca Şirket tarafından veri sahibine yapılacak olan ihlal bildiriminin açık ve sade bir dille yapılması ve asgari olarak aşağıdaki unsurları içermesi gerekir:

  • İhlalin ne zaman gerçekleştiği,
  • Kişisel veri kategorileri bazında (kişisel veri/özel nitelikli kişisel veri ayrımı yapılarak) hangi kişisel verilerin ihlalden etkilendiği,
  • Kişisel veri ihlalinin olası sonuçları,
  • Veri ihlalinin olumsuz etkilerinin azaltılması için alınan veya alınması önerilen tedbirler,
  • İlgili kişilerin veri ihlali ile ilgili bilgi almalarını sağlayacak irtibat kişilerinin isim ve iletişim detayları ya da veri sorumlusunun internet sayfasının tam adresi, çağrı merkezi vb. iletişim yolları unsurlarına yer verilmesi.

Diğer Bildirimler

Şirket’in Kanunen yapması zorunlu olan bildirimlerin yanı sıra, veri ihlalinin niteliği, büyüklüğü, ihlalin suç teşkil edip etmediği gibi hususlar da göz önünde bulundurularak üçüncü kişilere de bildirim yapılması gerekebilir. Bu kişiler, diğer veri sorumluları ya da veri işleyenler, dış danışmanlar, adli makamlar, bankalar olabilir. KVKK kurulu, böyle bir gereklilik olup olmadığını ayrıca değerlendirir ve gerekli ise bildirimleri yapar.

Veri güvenliği ihlali veri sahiplerinin hak ve özgürlükleri açısından risk teşkil ediyor ise bu ihlal ile ilgili olarak Kurum’a ve ihlal birkaç ülkede meydana gelmiş ise ilgili ülkelerin muadil kurumları da gerekli bilgilendirme yapılır. Eğer ki böyle bir risk yok ise herhangi bir bildirimde bulunmaya gerek bulunmamaktadır.

 

Veri güvenliği ihlali veri sahiplerinin hak ve özgürlükleri açısından ağır bir risk teşkil ediyor ise kurumların yanı sıra veri sahiplerinin de ilgili ihlal hakkında bilgilendirilmeleri ve gerektiğinde ihlalin doğuracağı olumsuzluklara karşı kendilerini nasıl koruyacaklarına dair bilgi verilir. Eğer ki veri güvenliği ihlali veri sahiplerinin hak ve özgürlükleri açısından ağır bir risk teşkil ediyor ise bu halde, veri sahiplerine herhangi bir bildirimde bulunulmasına gerek bulunmamaktadır.

 

E- İhlal Sonrası Durum Tespiti ve İyileştirme Çalışmaları

 

Şirket tarafından kişisel veri ihlallerine ilişkin tüm bilgilerin, etkilerinin ve alınan önlemlerin kayıt altına alınması ve Kurum’un incelemesine hazır halde bulundurulması gerekmektedir. Veri Sorumlusu irtibat kişisi, veri ihlaline ilişkin atılan adımların uygun olup olmadığını ve olası bir veri ihlalinde geliştirilebilecek/iyileştirilebilecek hususların neler olabileceğini belirlemek adına bir değerlendirme yapar. Bu kapsamda aşağıdaki unsurları içerir bir değerlendirme ve iyileştirme raporu hazırlanır.

 

  • Somut olay kapsamında yapılan işlemler,
  • Veri ihlalinin çıkış noktasının tespit edilip, zaafın giderilmesi adına yapılan faaliyetler ve zaaf noktasında ilave tedbir gerekip gerekmediği,
  • Olası kişisel veri ihlallerinin etkilerini azaltmak için hangi adımların atılması gerektiği,
  • Kişisel veri ihlali nedeniyle herhangi bir plan ya da raporlamada iyileştirme gerekip gerekmediği,
  • Kişisel veri ihlalinin tekrarlanmasını önleyebilmek için ek idari ve/veya teknik tedbirlerin   alınmasının gerekli olup olmadığı,
  • İhlallere maruz kalmayı ve maliyet etkilerini azaltmak için kaynaklara/altyapıya ek yatırım yapılmasının gerekli olup olmadığı,
  • İhlalin tekrarlanmasını önleyecek bir personel farkındalık eğitimi gerekliliği,

 

Her türlü veri güvenliği ihlali vakası veri sorumluları tarafından veri güvenliği ihlallerine ilişkin bilgiler, etkileri ve gerçekleştirilen düzeltici işlemleri de içerecek şekilde raporlandırılır.  Kayıt altına alınan veri güveliği ihlallerinin ayrıca veri sorumlusu tarafından muhafaza altına alınması gerekmektedir.

7- Görevliler ve Sorumluluk

Veri ihlali yaşanması halinde bu Plan gereğince, Convatec bünyesinde görevli departmanlar, veri ihlaline neden olan olayın niteliğine göre belirlenir; ancak her koşulda aşağıdaki tabloda yazan departmanlardan her birinden en az bir temsilci görevlendirilecektir.

Şirket Planının tüm şirkette işleyiş, faaliyet ve süreçlerinde ve uygulanmasında, hukuki yönden risklerin ve yakın tehlikenin önlenmesinde Şirket genelinde tüm çalışanlarımız ve ilgili üçüncü kişiler iş birliği yapmakla yükümlüdür. Şirketin tüm organ ve departmanları Veri İhlali Müdahale Planının uygulanmasından sorumludur. Aşağıda bahsi geçen temsilcilerin sorumluluklarına aşağıdaki tabloda yer verilmiştir.

 

 

Görevli Departman

 

Veri İhlali Halinde Sorumluluk

 

İrtibat Kişisi

 

1.    Veri ihlaline sebep olan olayı dahili olarak tüm ilgili departmanlar nezdinde (gerektiği hallerde kolluk kuvvetleri ve diğer kamu kurum ve kuruluşları ile iş birliği içerisinde gerçekleştirmek) araştırmak,

2.    Veri ihlalinin kaynağını tespit etmek,

3.    Veri ihlalinden etkilenen kişisel veri kategorilerini tespit etmek,

4.    Veri ihlalinden etkilenen veri sahibi gruplarını/tarafları tespit etmek,

5.    Veri ihlalinden etkilenen tarafların mevcutta uğradıkları ve uğramaları muhtemel potansiyel etkileri tespit etmek ve varsa bu etkilerden doğan zararların en asgariye indirilmesini sağlamak,

6.    Veri ihlali neticesinde Convatec’in organizasyonu olan etkilerinin, ticari kaybın, operasyonlardaki azalmanın, itibari kayıpların ve/veya finansal zararların boyutlarını tespit etmek ve hukuka uygun bir şekilde en asgariye indirilmesini sağlamak,

7.    Veri ihlali sonrasında iyileşmenin zamanını tespit etmek,

8.    İhlalin tekrarlamaması için atılan adımları belirlemek ve bunların tahminen ne kadar zamanda tamamlanacağını hesaplamak,

9.    Veri ihlaline sebep olan olayı veya olay sonucu ortaya çıkan kaybı, Kanun’a uygun şekilde Kurum’a 72 saat içerisinde bildirmek,

10. Yurtdışında bulunan diğer veri koruma otoriteleri veya ilgili kurumlara ilgili yasal yükümlülüklere uygun sürede bildirimde bulunmak,

11. Veri ihlallerine ilişkin bilgilerin etkilerinin ve alınan önlemlerin kayıt altına almak ve Kurum’un incelemesine hazır halde bulundurmak,

12. Gelecekte meydana gelme ihtimali bulunmasına karşın olası veri ihlallerinin en aza indirilmesi için veri ihlaline yol açan olay sonrası içi denetim uygulamaları düzenlemek,

13. Veri işleyen nezdinde bulunan kişisel verilerin yasal olmayan yollarla başkaları tarafından elde edilmesi halinde, veri işleyenin bu konuda herhangi bir gecikmeye yer vermeksizin veri sorumlusuna bildirimde bulunması durumunda yine Kurum’a gerekli bildirimin yapılmasını sağlamak,

14. Planın yürürlük tarihinden itibaren yılda bir kez gözden geçirilmesi ve gerekli ise ilgili güncellemelerin yapılması.

 

 

IT Departmanı

 

Veri ihlalinin siber saldırı veya diğer başka bir elektronik yolla gerçekleşmesi halinde;

 

1.     Bilgi sistemlerinin veri ihlalinden etkilenip etkilenmediğini tespit etmek.

2.     Veri ihlali sonucu gerçekleşen ihlal unsurlarını tespit etmek.

3.     Veri ihlalinin Convatec organizasyonu olan etkilerini tespit etmek.

4.     Veri ihlali sonrasındaki iyileşmenin zamanını tespit etmek.

 

 

İnsan Kaynakları Departmanı

 

1.     Veri ihlalinin Convatec çalışanı/çalışanları tarafından gerçekleştirilip gerçekleştirilmediğini tespit etmek,

2.     Convatec çalışanlarının veri ihlalinden etkilenip etkilenmediğini tespit etmek,

3.     Veri ihlali sonucu gerçekleşen ihlal unsurunu, veri ihlali sonrasındaki iyileşmenin zamanını tespit etmek,

4.     Veri ihlaline yol açan olay sonrası eğitim faaliyetleri hazırlamak ve iç iletişimi geçekleştirmek,

5.     Veri ihlaline sebep olan olayı veya olay sonucu ortaya çıkan kaybı çalışanlara en kısa sürede bildirmek,

6.     Veri ihlaline yol açan olay sonrası iç denetimi gerçekleştirmek,

7.     Veri ihlaline sebep olan olayı veya olay sonucu ortaya çıkan kaybı, veri ihlallerinden etkilenen veri sahiplerine en kısa sürede uygun yöntemlerle bildirmek,

8.     Eğer gerekiyorsa yurtiçinde bulunan diğer organizasyon veya kurumlara ilgili Kanuni yükümlülüklere uygun sürede bildirmek.

 

 

8. Veri İhlali Müdahale Planı Yürürlüğü, Güncellenmesi ve Yürürlükten Kaldırılması

Plan, web sitesinde yayınlandığı tarihinde yürürlüğe girmiştir. Bu Plan, yılda bir kez rutin olarak gözden geçirilir ve kayıt altına alınır. Mevzuatta meydana gelen değişiklikler derhal Plana işlenir. Mevzuattaki değişikliklerin uygulanması için, değişikliğin Plana eklenmesi beklenmez, mevzuata uygun hareket tarzı ne ise güncelleme yapılana kadar o şekilde hareket edilir.

 

8. Yürütme

Planın uygulanmasından, Yürütmesinden veri sorumlusu tüm organizasyonu ile birlikte sorumludur. Bir başka ifade ile tüm çalışanlar Planın uygulanması ile yükümlüdür. Convatec’in Plana aykırı hareket eden çalışanların iş söyleşmeleri son erdirme hakkını saklı tutmaktadır.

 

EK-1: Veri İhlali Bildirim Formu

 

 

 

 

ÇALIŞAN ADAYI AYDINLATMA METNİ

 

1. Veri Sorumlusunun Kimliği

 

İşbu aydınlatma metni (“Metin”), Convatec Sağlık Ürünleri Limited Şirketi (“Convatec” veya “Şirket”) tarafından, 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) ve ilgili mevzuat kapsamında, Convatec’e başvuran çalışan adayının (“Veri Sahibi”) paylaştığı kişisel verilerinin (“Kişisel Veri”) işlenmesi hakkında aydınlatma yükümlülüğünün yerine getirilmesi amacıyla hazırlanmıştır.

 

KVKK kapsamında kimliği belirli ya da belirlenebilir gerçek kişiye ilişkin her türlü bilgi kişisel veri olarak tanımlanmakta olup Şirketimiz, kişisel verilerinizin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla hukuka uygun olarak elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirdiği her türlü kişisel veri işleme faaliyetlerini başta özel hayatın gizliliği olmak üzere, temel hak ve özgürlüklerin korunması amacıyla mümkün olan en üst seviyede güvenlik tedbirlerini alarak gerçekleştirmektedir.

2. Convatec’in Veri İşleme Faaliyeti ve Kapsamı

2.1. İşlenen Kişisel Veriler

Convatec, Veri Sahibi ile kurulması muhtemel iş ilişkisi gereğince Veri Sahibi’nin adı, soyadı, T.C. Kimlik Numarası, doğum tarihi, adres, telefon, e-posta dâhil iletişim verileri, fotoğraf, engellilik durumu, dernek ve vakıf gibi üyelik bilgileri, askerlik durumuna ilişkin bilgi, eğitim ve yabancı dil bilgisi, diploma/ mesleki sertifikalarına, akademik geçmişine ilişkin bilgiler, çalışılan önceki işyerlerine ilişkin bilgi, aile üyelerine ve ailevi durumuna ilişkin bilgi, referans bilgisi, özgeçmişte verilen diğer bilgileri işlenecektir.

2.2. Kişisel Verilerin İşlenme Şartları, Yöntemi ve Amacı

Veri Sahibi’nin Kişisel Verileri, iş başvurusu sebebiyle ve ileride doğacak işgücü ihtiyacının personel aday havuzu sistemi vasıtası ile karşılanması amacıyla, fiziksel ve/veya elektronik ortamda, a) İş Kanunu, İş Sağlığı ve Güvenliği Kanunu, Türk Borçlar Kanunu ve ilgili diğer kanunlarda açıkça öngörülmesi ve Convatec’in bu kanunlarda öngörülen hukuki yükümlülüğünü yerine getirmesi için zorunlu olması, b) iş sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, c) Veri Sahibi’nin temel hak ve özgürlüklerine zarar vermemek kaydıyla, Convatec’in meşru menfaatleri için veri işlenmesinin zorunlu olması ve d) ilgili kişinin kendisi tarafından alenileştirilmiş olması nedenleriyle işlenir.

Bu süreçte toplanan Kişisel Veriler; çalışan adaylarıyla iletişim kurulması, insan kaynakları politika ve prosedürlerinin uygulanması, aday seçme/yerleştirme süreçlerinin yürütülmesi, bilgi güvenliğinin temini amaçlarıyla otomatik ve otomatik olmayan yöntemlerle işlenir. Veri Sahibi’nin Kişisel Verileri, yurt içinde yerleşik üçüncü kişilere aktarılmamaktadır.

3. İşlenen Kişisel Verilerin Kimlere ve Hangi Amaçlar ile Aktarılabileceği

İşe alım süreçleri kapsamında, Convatec ile paylaştığınız kişisel verileriniz insan kaynakları politika ve prosedürlerinin uygulanması, aday seçme/yerleştirme süreçlerinin yürütülmesi, bilgi güvenliğinin temini amaçlarıyla Singapur’da yerleşik ana şirket Convatec (Singapore) Pte. Ltd. ve bağlı ofisleri ile paylaşılmaktadır. Veri Sahibi ile e-posta yoluyla iletişime geçilmesi veya çevrimiçi toplantı uygulamaları vasıtasıyla görüşme yapılması sonucu, m. 2.1.’de belirtilen Kişisel Veriler; e-posta hizmeti (Microsoft Outlook) ve çevrimiçi toplantı hizmeti (Zoom, Microsoft Teams, vb.) sağlayıcılarının yurt dışında, Singapur’da yerleşik ana şirket Convatec (Singapore) Pte. Ltd.’in erişebileceği şekilde veri tabanlarında muhafaza edilir.

4. Kişisel Verilerin İşlenme Süresi

 

Veri Sahibi tarafından paylaşılan kişisel veriler aday seçme/yerleştirme süreçlerinin yürütülmesi, bilgi güvenliğinin temini, ileride doğacak işgücü ihtiyacının personel aday havuzu sistemi vasıtası ile karşılanması amaçlarıyla veri işleme amaçlarının gerektirdiği süreyle sınırlı olarak 3 yıl ve/veya yasal saklama sürelerine uygun şekilde saklanacaktır.

 

5. Veri Sahibi Olarak Haklarınız

Veri Sahibi, KVKK m. 11 kapsamında;

a) kişisel verilerinin işlenip işlenmediğini öğrenme,

b) işlenmişse buna ilişkin bilgi talep etme,

c) kişisel verilerinin işlenme amacını ve amacına uygun kullanılıp kullanılmadığını öğrenme,

d) yurt içinde ve/veya yurt dışında aktarıldığı 3. kişileri öğrenme,

e) kişisel verileri eksik ya da yanlış işlenmişse düzeltilmesini isteme,

f) kişisel verilerinin işlenmesini gerektiren sebeplerin ortadan kalkması ve yasal bir engel bulunmaması halinde KVKK m. 7 kapsamında kişisel verilerinin silinmesi/yok edilmesi veya anonim hale getirilmesi için talepte bulunma,

g) düzeltilmesi veya silinmesi/yok edilmesi/anonim hale getirilmesi hallerinde düzeltme veya silme/yok etme/anonim hale getirme işlemlerinin kişisel verilerinin aktarıldığı 3. kişilere bildirilmesini isteme,

h) kişisel verilerinin münhasıran otomatik sistemler ile analiz edilmesi nedeniyle Veri Sahibi’nin aleyhine bir sonucun ortaya çıkması halinde itiraz etme ve

ı) kişisel verilerinin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme hakkına sahiptir.

6. Kişisel Verilerin İşlenme Şartlarının Ortadan Kalkması

Veri Sahibi’ne ait kişisel verilerin ve özel nitelikli kişisel verilerin işlenme şartlarının tamamının ortadan kalkması halinde, kişisel verilerin veya özel nitelikli kişisel verilerin resen veya Veri Sahibi’nin talebi üzerine silinmesi, yok edilmesi veya anonim hâle getirilmesi konusunda Convatec olarak tüm yükümlülüklerimizi yerine getirmekteyiz. Şirket adına Veri Sahibi’ne ait kişisel veriler ve özel nitelikli kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha döneminde, kişisel veriler ve özel nitelikli kişisel veriler silinecek, yok edilecek veya anonim hale getirilecektir. Şirket’in kişisel verileri ve özel nitelikli kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden 30 gün içerisinde Şirket tarafından periyodik imha gerçekleştirilecek olup zorunlu hallerde bu süre en fazla 30 gün daha uzatılabilecektir.

7. Başvuru

Yukarıdaki hakların kullanılması için Veri Sahibi’nin söz konusu taleplerini, kimliğinin tespitini sağlayacak bilgiler ile birlikte aşağıdaki iletişim yollarından birini kullanarak yazılı şekilde Convatec’in info@convatec.com.tr e-posta adresine elektronik posta yoluyla veya Ayazağa Mah. Mimar Sinan Sok. A Blok No:21A İç Kapı No:9-10 Sarıyer/İstanbul adresine posta ile iletmesi gerekmektedir.