Menü
Bu prosedürün amacı; www.molien.com.tr ( “Şirket” veya “Assos İlaç”)’nin, 6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında kanunun 11. Maddesinde ilgili kişinin (veri sahibi) sahip olduğu bir takım hakları belirtmiştir. İş bu prosedür kanunun ilgili maddesi uyarınca ilgili kişiler tarafından yapılacak olan müracaatların şirket içerinde nasıl kabul edileceği, değerlendirileceği, yapılacak operasyon adımları, gerekli değerlendirmeler ve geri bildirimlerin ne şekilde yapılacağına ilişkin açıklamaları belirtmektedir.
2. KAPSAM :
İlgili kişi tarafından KVKK 11. Maddesi gereği yapılan müracaatları, yapılan müracaatlara istinaden ilgili tüm taraflar.
3. SORUMLULUK :
Bu prosedürün uygulanmasından; KVKK Komitesi sorumludur.
4. TANIMLAR :
–
5. UYGULAMA
5.1. İlgili Kişinin Hakları
KVKK ’nın 11. Maddesi hükmü gereği ilgili kişinin (Veri Sahibi) paylaşmış olduğu kişisel ve özel nitelikli verisine ilişkin hakları tanımlanmıştır. Bu bağlamda ilgili kişinin;
a) Kişisel veri işlenip işlenmediği,
b) Kişisel veri işlenmiş ise buna ilişkin bilgi talep etme,
c) Kişisel verilerin işlenme amacı ve bunların amacına uygun olarak işlenip işlenmediği öğrenme,
d) Yurt dışında ve yurt içinde kişisel verilerin ve özel nitelikli kişisel verilerin paylaşıldığı üçüncü tarafları öğrenme,
e) Kişisel verilerin eksik ya da yanlış işlenmesi olması halinde bunların düzeltilmesini isteme,
f) Kanunun 7. Maddesinde ön görülen şartlar çerçevesinde kişisel verilerinin silinmesini ve yok edilmesini isteme,
g) Kanunun 11. Maddesindeki yer alan (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı 3. Kişilere bildirilmesini isteme,
h) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun çıkmasına itiraz etme,
i) Kişisel verilerin kanuna aykırı işlenmesi ve bundan dolayı zarara uğraması halinde zararın giderilmesini talep etme,
Hakları tanımlanmıştır.
5.2. Başvuru
İlgili kişi tarafından KVKK kapsamında yapılacak olan başvurular, 10 Mart 2018 tarih ve 30356 sayılı resmi gazete de yayımlanan Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’in 5. Madde de Başvuru usulleri tanımlanmıştır. Başvuru usulü detayları aşağıdaki gibidir;
a) Başvuru yöntemleri aşağıdaki gibidir;
bulunması zorunludur.
c) Konuya ilişkin bilgi ve belgeler başvuruya eklenir.
d) Yazılı başvurularda, veri sorumlusuna veya temsilcisine evrakın tebliğ edildiği tarih, başvuru tarihidir.
e) Diğer yöntemlerle yapılan başvurularda; başvurunun veri sorumlusuna ulaştığı tarih, başvuru tarihidir.
Yine aynı tebliğin 4. Maddesinde “Kişisel verisi işlenen gerçek kişiler, veri sorumlusuna başvuru hakkına sahiptir. (2) İlgili kişiler, başvurularını Türkçe olarak yapmak kaydıyla bu haktan yararlanabilir.”
İlgili kişiler tarafından KVKK ’nın 11. Maddesi uyarınca hakları çerçevesinde Assos İlaç’a başvurular Assos İlaç Aydınlatma Metninde belirtilen yöntemler ile alınmaktadır. Bu yöntemler;
Farklı bir yöntem ile gelen KVKK ile ilgili talep olması durumunda talep sahibi Aydınlatma metninde belirtilen yöntemler ile başvuru yapması sağlanmalıdır.
Kanun kapsamında Kişisel verilerin silinmesi talebinden sonra aksiyonlar aşağıdaki gibi alınır;
30 Gün: Kişisel veri sahibinden gelen, kanunun 11. Maddesine istinaden gelen başvuruların (kişisel verilerin silinmesi, anonim hale getirilmesi, imhası, düzeltilmesi, kullanım amacının öğrenilmesi, aktarılan yerlerin bilinmesi vb.) taleplere olumlu ya da olumsuz cevap verilmesi gerekmektedir. Kişisel veri sahibinin talebinin kabul edilmesi ve kişisel veri sahibine dönüş yapıldıktan sonra hızlıca aksiyonun alınması gerekmektedir.
180 Gün: Her 180 Günde bir (6 Ayda bir) saklama süresi dolan kişisel veri olup olmadığı kontrol edilmeli ve süresi dolan kişisel veriler uygun şekilde imha edilmeli.
Bahsi geçen bu süre aşılması durumunda ilgili kişinin Kişisel Verileri Koruma Kurumuna müracaat hakkı olduğu bilinmelidir.
5.3. Doğrulama
İlgili kişi tarafından iş bu prosedürün 4.2 maddesinde belirtilen başvuru yöntemi ile yapılan başvurular Assos İlaç veri sorumlusu irtibat kişisinde toplanır. İrtibat kişisi yapılan müracaatın gerçekliğini doğrulamak adına başvuru formunda verilen iletişim bilgilerini kullanmak üzere ilgili kişiyi telefonla arayarak yapılan müracaatın kendisi ile ilgili olup olmadığı, esas da ilgili kişinin tam olarak ne istediği anlamak üzere doğrulama çalışması yapar. Doğrulama çalışması neticesinde bilgiler ve ilgili kişi doğrulandı ise, değerlendirme yapmak üzere konu ilgili ekiplere aktarılacaktır.
5.4. Araştırma ve Değerlendirme
İlgili kişi tarafından, belirtilen başvuru yöntemi ile başvuran ve doğrulaması tamamlanan kişinin yaptığı başvurular aşağıdaki kriterlere uygun bir şekilde araştırması ve değerlendirilmesi tamamlanmak suretiyle operasyonu adımı gerçekleştirilmelidir. Kanun ‘un 11. Maddesinde belirtilen veri sahibi taleplerine göre alınması gereken aksiyonlar aşağıda detaylandırılmıştır;
5.4.1. Kişisel Veri İşlenip İşlenmediği
İlgili Kişinin başvuru formu üzerinde bildirdiği e-posta ve telefon numaraları ilgili veri tabanlarında araştırılmak suretiyle kişi hakkında kaydın olup olmadığına bakılır. Yapılan araştırmada kişinin kayıtları bulunuyor ise bu kayıtların ne maksatlı bulunduğu belirlenmelidir. Eğer ilgili kişinin verisi tarafımızca işleniyorsa Assos İlaç Kişisel Veri Envanteri ‘nden yararlanarak ilgili kişiye cevap verilir.
5.4.2. Kişisel Veri İşlenmiş İse Buna İlişkin Bilgi Talep Etme
İlgili kişinin verileri işleniyor ise, ilgili kişiye ait hangi veri kategorilerinde hangi bilgilerin alındığı, hangi operasyon adımlarında işlendiği, hangi uygulamalar tarafından kullanıldığına ilişkin rapor hazırlanarak Assos İlaç Kişisel Veri Envanteri ‘nden yararlanarak ilgili kişiye cevap verilir.
Eğer ilgili kişi data talebinde bulundu ise, yada ilgili kişiye bilgileri sunulacaksa; sunulacak dosya, pdf, excel vs. ortamların mutlaka şifrelenerek ilgili kişisine gönderilmesi gerekmektedir. İlgili kişisi ile görüşüp gönderme ortamlarının ve şeklinin teyit edilmesi gerekmektedir. Gönderim esnasında eğer, çeşitli ortak paylaşım yada yükleme alanlarından link oluşturulmak suretiyle data iletimi yapılacaksa bu oluşturulan daha indirme linkinin en geç 24 saat sonunda silinmesinin garanti altına alınması gerekmektedir.
Elden teslim, usb, cd, dvd gibi dijital ortamlar da gönderim yapılacak ise bu ortamların şifrelenmesi gerekmektedir. Oluşturulan şifre başka bir kanaldan ilgili kişisine bildirilmesi gerekmektedir.
Bu gibi durumlarda ilgili kişi ile görüşüldüğünde ilgili yöntemlerimiz ve güvenlik kurallarımız hakkında bilgi verilmesi gerekmektedir.
5.4.3. Kişisel Verilerin İşlenme Amacı ve Bunların Amacına Uygun Olarak İşlenip İşlediğini Talep Etme
Gelen talebin ilgili kişisi doğrulanmasının akabinde başvuru formunda belirtilen mail adresi ve telefon numaralarından veri tabanlarında ilgili kişinin araştırması yapılır. Araştırmaya binaen ilgili kişiye ait hangi veri kategorilerinde hangi bilgilerin alındığı, hangi operasyon adımlarında işlendiği, hangi uygulamalar tarafından kullanıldığına ilişkin rapor hazırlanarak Assos İlaç Kişisel Veri Envanteri ‘nden yararlanarak ilgili kişiye cevap verilmeli.
5.4.4. Yurt Dışında ve Yurt İçinde Kişisel Verilerin ve Özel Nitelikli Kişisel Verilerin Paylaşıldığı Üçüncü Tarafları Öğrenme Talebi
İlgili kişinin veri tabanlarında e-posta ve telefon numarası üzerinden araştırması yapılır. Kullanıldığı yerler tespit edilir. Bu tespitin akabinde yurt dışına yâda 3. Taraflara veri aktarımı söz konusu olup olmadığı araştırılır.
Yurt dışına ya da 3. Kişilere yada kurumlarla yapılan paylaşımlar var ise hangi şirketle hangi veri kategorisindeki hangi verilerin ne amaçla paylaşıldığı açıklanmalıdır. Bu bilgilendirme yapılırken aktarım yapılan şirketle hangi tarihte sözleşme yapıldığı, hangi konularda çalışılmak üzere anlaşma sağlandığı hususlarının da belirtilmesi gerekmektedir. Bu konuda Kişisel Veri Envanteri ‘nden faydalanılır.
Cevap verilirken Assos İlaç Kişisel Veri Envanteri, Aydınlatma Metinleri ve Kişisel Veri Saklama ve İmha Politikası dokümanında yer alan veri işleme amaçları yurt dışı paylaşım hususlarından istifade edilmesinde fayda görülmektedir.
5.4.5. Kişisel Verilerin Eksik Yâda Yanlış İşlemesi Olması Halinde Bunların Düzeltilmesini Talep Etme
Doğrulaması tamamlanan ilgili kişinin, araştırması yapılmalıdır. Eksik ya da yanlış işlemenin nasıl olduğuna dair bilgilerin teknik ekip tarafından tekrar ilgili kişiyle irtibat kurulmak suretiyle emin olunmalıdır.
Yapılacak olan değişikliklerin daha öncesinde işlenmiş olan verileri ne şekilde etkileyeceği konusu net sonuç verecek şekilde araştırılmalıdır. İşlenmiş verilerin değişmesi ya da bozulması söz konusu ise ona göre kapsamlı bir çalışma planlanmalıdır.
İşlemlerin tamamlanmasının akabinde ilgili kişiye veri işleme amaçlarından yararlanılarak cevap verilmelidir.
5.4.6. Kanun 7. Maddesinde Ön Görülen Şartlar Çerçevesinde Kişisel Verilerin Silinmesi ve Yok Edilmesini Talep Etme
İlgili kişinin başvurusu üzerine kişisel verilerinin ya da özel nitelikli kişisel verilerinin silinmesini ya da yok edilmesini talep ediyorsa, ilgili kişinin verilerinin olup olmadığı araştırılır. Başvuru formunda yer alan bilgiler ışığında ilgili veri tabanlarında araştırması tamamlanır. Fiziki ortamlarda tutulan herhangi bir veri varsa bu açıdan da araştırması yapılmalıdır.
İlgili kanunun 7. Maddesinde “(1)Bu Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hâle getirilir.” ifadesi yer almakta olup öte yandan “(2)Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin diğer kanunlar da yer alan hükümler saklıdır” ifadeleri yer almaktadır.
Bu bağlamda saklanan verilerin kanunlarca düzenlenmiş saklama sürelerinin geçip geçmediği kontrol edilmelidir. Kanunlarca düzenlenmiş yasal süreler aşılmamış ve saklanmaya devam edileceği durumlarda, ilgili tarafa hangi kanun, yönetmelik, düzenleme vs. (resmi düzenleme sayılan tüm yayımlar) açıkça ve detaylı bir
şekilde çıkartılmak suretiyle bilgi verilmelidir. Bu bilgilendirme yapılırken şirketimizin ASSOS İLAÇ Kişisel Veri Saklama ve İmha Politikası dokümanında belirtilen şekillerde silme, yok etme ve anonimleştirme yapılacağı hususunda bilgi verilmelidir. Verinin hukuki şartı olup olmadığı Kişisel Veri Envanteri ‘ne bakılarak anlaşılır.
İlgili kişinin başvurusu üzerine, KVK kanunu kapsamında ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel veriler resen ve ya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir hükmüne göre, ilgili başvuru sahibine ait verilerin bu hususları karşılaması doğrultusunda, Veri Saklama ve İmha Politikası dokümanında belirtilen Kişisel verilerin ve özel nitelikli kişisel verilerin imha usullerine göre silme ve yok etme işlemi gerçekleştirilecektir.
Çalışma yapılan sözleşmeli ruhsat sahibi firmalar, yükleniciler, iş ortakları vb. kurumlarla yapılan sözleşmelerde kişisel verilerin saklanması, anonimleştirilmesi ve silinmesi gibi kurallar belirlenmelidir.
5.4.7. Kanunun 11. Maddesinde Yer Alan (d-4.4.4) ve (e-4.4.5) Bentleri Uyarınca Yapılan İşlemlerin, Kişisel Verilerin Aktarıldığı 3. Kişilere Bildirilmesini Talep Etme
İlgili veri sahibi tarafından, “Yurt Dışında ve Yurt İçinde Kişisel Verilerin ve Özel Nitelikli Kişisel Verilerin Paylaşıldığı Üçüncü Tarafları Öğrenme” veya “Kişisel Verilerin Eksik Yâda Yanlış İşlemesi Olması Halinde Bunların Düzeltilmesini Talep Etme” durumunda yapılan işlemlerin yurt dışında ve yurt içinde kişisel verilerin ve özel nitelikli kişisel verilerin paylaşıldığı üçüncü taraflarda da bu işlemlerin yapılması sağlanmalıdır.
İlgili kişinin sahip olduğu verilerin kimlerle paylaşıldığı hususunda, hangi veri kategorisinde yer alan hangi bilgilerin paylaşıldığı hususunda ilgili kişiye detaylı bilgi sunulmalıdır. Bu konuda Kişisel Veri Envanteri ‘nde faydalanılır.
5.4.8. İşlenen Verilerin Münhasıran Otomatik Sistemler Vasıtasıyla Analiz Edilmesi Suretiyle Kişinin Kendisi Aleyhine Bir Sonuç Çıkmasına İtiraz Etme Talebi
İlgili kişiye ait, otomatik sistemler yoluyla analiz edilmesi sonucu ver işleyen sistemler üzerinde araştırma yapılmalıdır. Gerekli araştırmanın akabinde veri sahibine bilgi verilmelidir.
5.4.9. Kişisel Verilerin Kanuna Aykırı İşlenmesi Sebebiyle Zarara Uğraması Halinde Zararın Giderilmesini Talep Etme
İlgili veri sahibi, kişisel verilerinin kanuna aykırı işlenmesi sebebiyle zarara uğradığını ve zararının giderilmesini talep ettiği durumlarda, başvuru sahibinin gerekli doğrulaması tamamlanmasının akabinde, sistemlerimizde ilgili kişinin verilerinin olup olmadığı araştırılmalıdır. Eğer veri sahibi veri tabanlarımızda yer alan bir kullanıcı ise ve başvuruda bahsi geçen konunun araştırılması üzere ilgili veri sahibi ile tekrar görüşülmelidir. Söz konusu kanuna aykırı nasıl bir işleme yapıldığını ve bunun karşılığında kendisinin nasıl bir zarar uğradığı derinlemesine öğrenilmeli, bu doğrultuda gerekli ekran görüntüleri yada kanıt sayılabilecek unsurlar kendisinden talep edilmelidir.
Acil olarak başvuruya söz konusu kısım yada kısımlar ile ilgili teknik inceleme başlatılmalı ve sistemlerimizde bu ve benzeri kanuna aykırı nitelikte veri işlenmesine olanak sağlayacak bir durum olup olmadığı araştırılarak doğrulanmalıdır.
İlgili veri sahibinin uğradığı zarar tespit edilmeli, ilgili kişinin ve şirketimizin mahkeme hakları saklı olmak kaydıyla şirket üst yönetimi konuyu, yönetim kurulu toplantısında değerlendirmek suretiyle karara bağlayacaktır. Tüm bu işlemler 30 gün içerisinde tamamlanarak ilgili veri sahibine bilgi verilecektir.
5.4.10. Diğer Talepler
İlgili veri sahibi tarafından yukarıda belirtilen KVKK tarafından verilen hakların dışında bir talep gelmesi durumunda doğrulama yapılacağı esnada ilgili veri sahibi bilgilendirilir. Assos İlaç tarafında ilgili kişi tarafından yukarıda belirtilen ve kanunun 11. Maddesinde ifade edilen hususların dışında kişisel veriler ile ilgili her hangi bir değerlendirme yapılmayacaktır.
İlgili kişi yönlendirilerek ilgili başlık altında başvurusu değerlendirilecektir.
5.5. Operasyon
Kanunun 11. Maddesinde ilgili kişiye verilen haklar çerçevesinde şirketimiz tarafında, ilgili kişi tarafından yapılan başvurular değerlendirilecek olup, değerlendirmenin başlatılabilmesi için öncelikle kişi doğrulaması adımı tamamlanmış olmalıdır. Kişi değerlendirme adımın tamamlanmasının akabinde iş bu prosedürün 3.4
Araştırma ve Değerlendirme başlığı altında verilen yöntemlere göre teknik ve idari ekiplerimiz tarafından gerekli araştırma ve değerlendirme yapılacaktır.
Yapılan araştırma ve değerlendirmenin sonucunda ilgili kişinin talebi yönünde bir operasyon yapılacak ise üst yönetim müdür yardımcısına onaya sunulacaktır. Onaya sunma ilgili kişinin talebinin ne olduğu, yapılan araştırma ve değerlendirmenin sonucunun ne olduğu ve bu çalışmaların akabinde ilgili kişinin talebine ilişkin silme, yok etme yapılacak ise nasıl bir yöntem benimseneceği, hangi uygulamalardan, hangi veri tabanlarından, hangi veri kategorisine ilişkin verilerin silineceği ifade edilmelidir.
Üst yönetimin onayına müteakip ilgili teknik ekipler tarafından operasyon gerçekleştirilecektir.
5.6. Geribildirim
İlgili kişi tarafından yapılan müracaatlara, 10 Mart 2018 tarih ve 30356 sayılı resmi gazete de yayımlanan Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’in Madde 6 (5) bendine binaen “Veri sorumlusu başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandırır. Ancak, işlemin ayrıca bir maliyet gerektirmesi hâlinde, 7 nci maddede belirtilen ücret alınabilir. Başvurunun, veri sorumlusunun hatasından kaynaklanması hâlinde alınan ücret ilgiliye iade edilir.” İfadesi hükmüne göre en kısa zamanda ve en geç 30 gün içinde cevap vermek zorundadır.
İş bu prosedür de belirtilen usul ve esaslar çerçevesinde ilgili kişiye cevap verilirken, 10 Mart 2018 tarih ve 30356 sayılı resmi gazete de yayımlanan Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’in Madde 6 da belirtilen hususlara dikkat edilerek verilmesi gerekmektedir.
a) Veri sorumlusu bu Tebliğ kapsamında ilgili kişi tarafından yapılacak başvuruları etkin, hukuka ve dürüstlük kuralına uygun olarak sonuçlandırmak üzere gerekli her türlü idari ve teknik tedbirleri almakla yükümlüdür.
b) Veri sorumlusu, başvuruyu kabul eder veya gerekçesini açıklayarak reddeder.
c) Veri sorumlusu, cevabını ilgili kişiye yazılı olarak veya elektronik ortamda bildirir.
d) Cevap yazısının;
içermesi zorunludur.
e) Veri sorumlusu başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandırır. Ancak, işlemin ayrıca bir maliyet gerektirmesi hâlinde, 7 nci maddede belirtilen ücret alınabilir. Başvurunun, veri sorumlusunun hatasından kaynaklanması hâlinde alınan ücret ilgiliye iade edilir.
f) İlgili kişinin talebinin kabul edilmesi hâlinde, veri sorumlusunca talebin gereği en kısa sürede yerine getirilir ve ilgili kişiye bilgi verilir.
Hazırlanan cevap yazıları Assos İlaç’ın hukuk müşavirliği görüşleri alınmak suretiyle ilgili kişiye iletilir.
5.7. Aydınlatma Yöntemleri:
Kişisel veri sahiplerinin veri sorumlusunun ve varsa temsilcisinin kimliği, kişisel verilerin hangi amaçla işleneceği, kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi, İlgili kişinin Kanunun 11 inci maddesinde sayılan diğer hakları hakkında bilgilendirmeleri için farklı yöntemler uygulanmaktadır. Yöntemler ve yazılı bilgi içerikleri aşağıda detaylandırılmıştır;
5.7.1. Web Sayfası üzerinden Aydınlatma
https://www.molien.com.tr/ web sayfasında ürün ve hizmet alıcılarına yönelik olarak detaylandırılmıştır.
5.7.2. Veri İşleme Esnasında Aydınlatma
Özlük dosyası evrakları temin edilirken İnsan Kaynakları Birimi tarafından çalışanlara aydınlatma metni imzalatılır.
İş başvurusu yapan çalışan adayları için başvurunun türüne uygun olarak aydınlatma yapıldığına ilişkin ispat sağlanır. (Kariyer.net gibi platformlar üzerinde paylaşılarak ya da ıslak imzalı olarak CV ekinde zımbalanarak.)
Ziyaretçiler için yapılacak aydınlatma (kamera, ziyaretçi kaydı ya da log kaydına ilişkin) kayıt alınan yerlerde panoya asılarak yapılacaktır.
5.7.3. Mail Aydınlatma
Yasal Uyarı
Bu e-posta mesajı ve ekleri sadece gönderildiği kişi ve kuruma özeldir. Eğer bu mesajın gönderildiği doğru kişi veya doğru kişiye iletmekle görevli aracı değilseniz, bu mesajın yönlendirilmesi, kopyalanması veya herhangi bir şekilde kullanılması yasaktır. Eğer bu mesaj hatalı olarak tarafınıza ulaşmış ise, lütfen göndericiyi uyarınız ve mesajı sisteminizden siliniz.
5.7.4. Yüzyüze veya Telefonda Aydınlatma
Assos İlaç ‘a hoşgeldiniz. Yapacağınız görüşmeler güvenliğiniz için kayıt altına alınacaktır. 6698 sayılı Kişisel Verilerin Korunması Kanunu uyarınca, kişisel verileriniz belirlenen amaçlar kapsamında; hukuka ve dürüstlük kurallarına uygun bir şekilde işleyebilecek ve mevzuatın izin verdiği hallerde veya işlendikleri amaçla sınırlı kalmak şartıyla 3. taraflara aktarabilecektir. Detaylı bilgiye web sitemizde yer alan aydınlatma metninden ulaşabilirsiniz.
5.8. Kişisel Veri İhlallerinin Yönetimi:
Kişisel veri ihlallerinin önüne geçebilmek için kurum içinde periyodik eğitimler verilir. Eğitimler eğitim planlarında kayıt altına alınır. Eğitim sonrası değerlendirmeler yapılır. Personellerden kişisel veri güvenliğine ilişkin taahhütler alınır. Veri Sorumlusu İrtibat Kişisi ve üst yönetim her yıl düzenli olarak toplanır. Yapılan toplantılarda kişisel veri güvenliğine ilişkin alınması gereken önlemler ve birim geribildirimleri dikkate alınır. ISO 27001 kapsamında teknik tedbirler en üst seviyede tutulur.
Tüm yapılan iyileştirme faaliyetlerine rağmen bir ihlal yaşanması durumunda Veri Sorumlusu İrtibat Kişisi, aynı gün içinde üst yönetim ile toplanır. Yapılan incelemelerde ihlale ilişkin deliller (log kayırları, görüntüler, tutanaklar, vaka bildirimleri vb.) incelenir. Yapılan inceleme sonucunda kişisel veriler ile ilgili bir ihlal değilse ISO 27001 kapsamında Olay İhlal Prosedürü adımları devreye alınır. Bu şekilde ihlale ilişkin süreç yürütülmüş olur.
Fakat yapılan inceleme sonucunda kişisel veriler ile ilgili bir ihlal yaşandığı tespit edilirse, durum 72 saat dolmadan KVKK ‘ya bildirilir. Veri Sorumlusu olan müşteriler ile yapılan sözleşmelerde ihlal bildirim süreleri daha kısa olabileceği için sözleşmede bahsi geçen süreler dikkate alınarak aksiyon alınır. KVKK ‘ya bildirimler;
a) https://ihlalbildirim.kvkk.gov.tr adresinden
b) KVKK ‘nın web sitesinde bulunan Kişisel Veri İhlal Bildirim Formu doldurularak, ihlalbildirimi@kvkk.gov.tr adresine “Kişisel veri ihlali bildirimi” konulu bir e-posta ile gönderilir. Epostanın ulaşıp aksiyon kayıt altına alındığının sorgulanması Veri Sorumlusu İrtibat Kişisi tarafından Kurul aranarak yapılır.
İhlal bildirimlerinden sonra Veri Sorumlusu İrtibat Kişisi, Assos İlaç içerisinde yaşanan ihlalle ilgili deliller toplanır. KVKK ‘nın talep edeceği idari ve teknik tedbirler, yapılan iyileştirme çalışmaları ve ihlale ilişkin deliller toparlanır. Tüm deliller aynı şekilde ihlalbildirimi@kvkk.gov.tr mail adresine ek dosya olarak eklenir. Takip bildirimlerinde ihlal bildirimi e-postasındaki konu satırının değişmemesine dikkat edilir.
c) KVKK ‘nın web sitesinde bulunan Kişisel Veri İhlal Bildirim Formu doldurularak, posta ile göndermek istemeniz durumunda onaylı olarak “Kişisel Verileri Koruma Kurumu Nasuh Akar Mahallesi Ziyabey Cad. 1407. Sok. No:4, 06520 Çankaya/Ankara” adresine gönderilir. Sürecin takibi Veri Sorumlusu İrtibat Kişisi tarafından yürütülür.
Yukarıda bahsi geçen yöntemlerde Kişisel Veri İhlal Bildirim Formu ‘nu destekleyici tüm formların (İnceleme raporu, ilgili kişilere bildirim yapıldığını tevsik edici belgeler vb.) eklenmesine dikkat edilmelidir.
İhlal bildirimine ilişkin ilerleyen safhalarda atılacak atımlar için 24.01.2019 tarih ve 2019/10 sayılı Kişisel Verileri Koruma Kurulu Kararı adımları dikkate alınmalıdır.
Formun doldurulması sırasında anlaşılmayan ya da emin olunamayan durumlarda yanlış beyan edilmemesi için KVKK ‘nın Alo 198 danışma hattından destek alınabilir.
Kişisel veriden etkilenen veri sahiplerine yaşanan ihlal ile ilgili bilgilendirmelerin yapılması için yöntemler (sms, mail, telefon, web sayfasında duyuru vb.) belirlenir.
5.9. Kişisel Veri Toplantıları
ASSOS İLAÇ ‘in KVKK uyum sürecine ilişkin değerlendirmelerin yapılabilmesi için Veri Sorumlusu İrtibat Kişisi ‘nin koordinasyonunda üst yönetim ile değerlendirme toplantıları yapılır. Toplantılar yılda ayrıca en az bir kez olacak şekilde düzenlenir.
Kişisel veri güvenliğine ilişkin bir zafiyet olması durumunda süre gözetmeksizin Veri Sorumlusu İrtibat Kişisi ve üst yönetim acil olarak toplanır.
Toplantında en az aşağıdaki gündem maddeleri ele alınır;
Komite toplantısı kayıt altına alınır ve katılımcıların onayı alınır. Toplantı sırasında alınan bir karar yaya iyileştirme varsa görevin tamamlanması için termin süresi ve aksiyon sorumlusu belirlenir.
5.10. BAŞVURULARIN SAKLANMASI
İş bu prosedür kapsamında gerçekleştirilen tüm başvurular, başvurulara istinaden şirket içinde yapılan çalışmalar, yapılan yazışmalar 10 yıl süreyle saklanacaktır.
Kuru cildin doğal nem dengesine katkıda bulunur, cildi besler ve güçlü şekilde nemlendirir.