KİŞİSEL VERİ

GÜVENLİĞİ POLİTİKASI

                                    

GEN İLAÇ VE SAĞLIK ÜRÜNLERİ SANAYİ VE TİCARET ANONİM ŞİRKETİ

1.POLİTİKANIN AMACI

Gen İlaç ve Sağlık Ürünleri Sanayi ve Ticaret Anonim Şirketi (“GEN”) olarak hizmetlerimizi sunarken işlediğimiz kişisel verilerin güvenliğini 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVK Kanunu”) ve ilgili mevzuata uygun olarak yerine getirmekteyiz.

İşbu Kişisel Veri Güvenliği Politikası (“Politika”), işlediğimiz kişisel verilerin hukuka uygunluğunu sağlamak, hukuka aykırı olarak erişilmesini önlemek ve muhafazasını sağlamak için uygun güvenlik düzeyini sağlamaya yönelik gerekli teknik ve idari tedbirlerin belirlenmesi amacıyla hazırlanmıştır.

Veri sorumlusu olarak özel nitelikli kişisel verilerin işlenmesine yönelik aldığımız önlemlerin belirlenmesi amacıyla hazırlanan GEN Özel Nitelikli Kişisel Verilerin İşlenmesi ve Güvenliği Politikası ise işbu Politika’yı tamamlayıcı nitelikte olup, Politika’da bahsedilmeyen hususlar için incelenmesi gerekmektedir.

2.POLİTİKANIN KAPSAMI

İşbu Politika, aşağıdaki kişilere ait edindiğimiz kişisel verilerin uygun güvenlik düzeyini sağlamaya yönelik faaliyetlerimizi kapsamaktadır:

  • Şirketimizin çalışanları, çalışan adayları, stajyer adayları ve bu kişilerin aile yakınları,

  • Şirketimizin ve topluluk şirketlerimizin temsilcileri, vekilleri ve hissedarları,

  • İş ortaklarımızın çalışanı, temsilcisi ve vekili,

  • İş birliği içinde olduğumuz sağlık mesleği mensupları,

  • Tedarikçilerimizin çalışanı, temsilcisi ve vekili,

  • Müşterilerimiz ve potansiyel müşterilerimiz ve bu kişilerin aile yakınları,

  • Şirket çalışanlarımıza eğitim veren eğitmenler,

  • Kamu/özel kurum ve kuruluşu çalışanları,

  • İş birliği içinde olduğumuz derneklerin üyeleri ve yöneticileri,

  • Hukuken yetkili kişiler,

  • Ziyaretçilerimiz,

  • Diğer üçüncü kişiler.

Bu kişi grubu tanımlarına ilişkin açıklamalar, işbu politikanın sonunda yer alan TABLO-1’de detaylıca belirtilmiştir.

3.POLİTİKADAKİ DEĞİŞİKLİKLER VE GÜNCELLEMELER

GEN, işbu Politika çerçevesinde 2. Bölüm’de bahsi geçen kişilerin kişisel verilerinin güvenliğini sağlamak amacıyla gerekli idari ve teknik önlemleri alacaktır. Kanun veya ilgili mevzuatta veyahut GEN’in faaliyetlerinde meydana gelen değişiklikler doğrultusunda, işbu Politika ilgili birimler tarafından her zaman değiştirilebilir ve güncellenebilir.

İşbu Politika en son 11.06.2021 tarihinde güncellenmiştir. Yapılan güncellemelerin tarihini ve değişikliklerin içeriği işbu politikanın sonunda yer alan TABLO-2’de ayrıca belirtilmiştir.

4.TANIMLAR

Kişisel Veri

Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.

Özel Nitelikli Kişisel Veri

Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık kıyafet, dernek vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik veriler.

İlgili Kişi

Kişisel verisi işlenen gerçek kişi.

Kişisel Verilerin İşlenmesi

Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.

Açık Rıza

Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.

KVK Kanunu

7 Nisan 2016 tarihli ve 29677 sayılı Resmi Gazete’de yayımlanan, 24 Mart 2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanunu.

Kurul

Kişisel Verileri Koruma Kurulu.

Kurum

Kişisel Verileri Koruma Kurumu.

Politika

Kişisel Veri Güvenliği Politikası.

Özel Nitelikli Kişisel Verilerin İşlenmesi ve Güvenliği Politikası

“Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler” ile ilgili Kişisel Verileri Koruma Kurulu’nun 31/01/2018 tarihli, 2018/10 sayılı kararına istinaden hazırlanan GEN politikasıdır.

Genel Politika

GEN Kişisel Verilerin Korunması ve İşlenmesi Politikası.

Veri Sorumlusu

Kişisel verilerin işlenme amaçlarını ve vasıtalarını belirleyen, verilerin sistematik bir şekilde tutulduğu yeri yöneten kişidir.

Veri İşleyen

Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel veri işleyen gerçek ve tüzel kişidir.

Kişisel Veri İşleme Envanteri

Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçlarını, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve detaylandırdıkları envanteridir.

Kişisel Verilerin İmhası Hakkında Yönetmelik

28 Ekim 2017 tarihli ve 30224 sayılı Resmi Gazete’de yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik

Elektronik Ortam

Kişisel verilerin elektronik aygıtlar ile oluşturulabildiği, okunabildiği, değiştirilebildiği ve yazılabildiği ortamlar.

Elektronik Olmayan Ortam

Elektronik ortamların dışında kalan tüm yazılı, basılı, görsel vb. diğer ortamlar.

5.KİŞİSEL VERİLERİN GÜVENLİĞİNİN SAĞLANMASI

GEN, KVK Kanunu’nun 12. maddesine uygun olarak, işlemekte olduğu kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, verilere hukuka aykırı olarak erişilmesini önlemek ve verilerin muhafazasını sağlamak için uygun güvenlik düzeyini sağlamaya yönelik gerekli teknik ve idari tedbirleri almakla ve bu kapsamda gerekli denetimleri yapmak ve yaptırmakla yükümlüdür. Bu yükümlülük çerçevesinde GEN tarafından alınan idari ve teknik tedbirler aşağıda sayılmıştır:

5.1.İdari Tedbirler

  • Çalışanlara, kişisel verilerin güvenliğinin sağlanması, hukuka aykırı olarak açıklanmaması ve paylaşılmamasına ilişkin gerekli eğitim ve farkındalık çalışmaları yapılmaktadır.

  • GEN tarafından yürütülen faaliyetlere ilişkin çalışanlardan gizlilik taahhüdü alınmakta ve spesifik faaliyetlere ilişkin gizlilik sözleşmeleri imzalatılmaktadır.

  • Kişisel veri güvenliğine ilişkin şirket içi prosedürlere/ politikalara/ talimatlara uymayan çalışanlara karşı disiplin prosedürü uygulanmaktadır.

  • Kişisel veri işlemeye başlamadan önce GEN tarafından, ilgili kişileri aydınlatma yükümlülüğü yerine getirilmektedir.

  • Kişisel veri işleme envanteri hazırlanmaktadır.

  • Erişim, bilgi güvenliği, kullanım, saklama ve imha konularında kurumsal politikalar hazırlanmakta ve uygulanmaktadır.

  • Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır.

  • Kişisel veri güvenliği politika ve prosedürleri belirlenmektedir. Kişisel veri güvenliğinin takibi yapılmaktadır.

  • Kişisel verilerin kullanımı mümkün olduğunca azaltılmaktadır.

  • Sunucular bakımından güvenlik protokollerine uyulmaktadır.

  • Kişisel verilerin paylaşıldığı kişiler ile kişisel verilerin işlenmesi, korunması ve güvenliğine ilişkin sözleşmeler imzalanmakta veya mevcut sözleşmeye buna ilişkin hükümler eklenmektedir.

  • Alınan teknik önlemler periyodik olarak iç denetim mekanizması gereği raporlanmaktadır.

  • GEN bünyesinde gerçekleştirilen kişisel veri işleme faaliyetleri iş birimleri özelinde analiz edilerek, iş birimlerinin yalnızca faaliyetlerini gerçekleştirme amacıyla kişisel veri işlemesi sağlanmaktadır.

5.2.Teknik Tedbirler

  • Teknik konular, GEN tarafından görevlendirilen/ istihdam edilen yetkin personel ve/veya üçüncü kişiler tarafından incelenmektedir.

  • Çalışanların fiziki ve elektronik sistemlere erişmelerine yönelik yetki matrisleri oluşturulmaktadır.

  • Kişisel veri işleme faaliyetleri GEN’de kurulan teknik sistemlerle denetlenmekte ve mevcut risk ve tehditler belirlenmektedir.

  • Kişisel veri içeren ortamların güvenliği sağlanmaktadır. Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmaktadır.  Bu fiziksel ortamların dış risklere (yangın, sel vb.) karşı güvenliği sağlanmaktadır.

  • Ağ güvenliği ve uygulama güvenliği sağlanmaktadır.

  • Ağ yoluyla kişisel veri aktarımlarında kapalı sistem ağ kullanılmaktadır.

  • Anahtar yönetimi uygulanmaktadır.

  • Bilgi teknolojileri sistemleri tedarik, geliştirme ve bakımı kapsamındaki güvenlik önlemleri alınmaktadır.

  • Bulutta depolanan kişisel verilerin güvenliği sağlanmaktadır.

  • Şirket içerisinde erişim prosedürleri oluşturularak kişisel verilere erişim ile ilgili raporlama ve analiz çalışmaları yapılmaktadır.

  • Kişisel verilerin bulunduğu saklama alanlarına erişimler kayıt altına alınarak uygunsuz erişimler veya erişim denemeleri kontrol altında tutulmaktadır.

  • Log kayıtları kullanıcı müdahalesi olmayacak şekilde, düzenli olarak tutulmaktadır.

  • Güvenlik açıkları takip edilerek uygun güvenlik yamaları yüklenmekte ve bilgi sistemleri güncel halde tutulmaktadır.

  • Kişisel verilerin işlendiği elektronik ortamlarda güçlü parolalar kullanılmaktadır.

  • Gerektiğinde veri maskeleme önlemi uygulanmaktadır.

  • Güncel anti-virüs sistemleri kullanılmaktadır.

  • Güvenlik duvarları kullanılmaktadır.

  • Verilere erişim yetkisine sahip kullanıcıların yetki kapsamları ve süreleri belirlenmektedir.

  • Kişisel verilerin güvenli olarak saklanmasını sağlayan veri yedekleme programları kullanılmaktadır.

  • Kullanıcı hesap yönetimi ve yetki kontrol sistemi uygulanmakta ve bunların takibi yapılmaktadır.

  • Saldırı tespit ve önleme sistemleri kullanılmaktadır.

  • Sızma (Penetrasyon) testleri ile GEN’in bilişim sistemlerine yönelik risk, tehdit, zafiyet ve varsa açıklıklar ortaya çıkarılarak gerekli önlemler alınmaktadır.

  • Siber güvenlik önlemleri alınmış olup uygulanması sürekli takip edilmektedir.

  • GEN internet sayfasına erişimde güvenli protokol (HTTPS) kullanılarak SHA 256 Bit RSA algoritmasıyla şifrelenmektedir.

  • Kişisel verilerin üçüncü kişiler ile paylaşılması sürecinde VPN ve loglama önlemleri uygulanmaktadır.

  • Veri kaybı önleme yazılımları kullanılmaktadır.

  • Özel nitelikli kişisel verilerin güvenliğine yönelik ayrı politika belirlenmiştir.

  • Özel nitelikli kişisel veri işleme süreçlerinde yer alan çalışanlara yönelik özel nitelikli kişisel veri güvenliği konusunda eğitimler verilmiş, gizlilik sözleşmeleri yapılmış, verilere erişim yetkisine sahip kullanıcıların yetkileri tanımlanmıştır.

  • Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği elektronik ortamlar kriptografik yöntemler kullanılarak muhafaza edilmekte, kriptografik anahtarlar güvenli ortamlarda tutulmakta, tüm işlem kayıtları loglanmakta, ortamların güvenlik güncellemeleri sürekli takip edilmekte, gerekli güvenlik testlerinin düzenli olarak yapılması/yaptırılması, test sonuçlarının kayıt altına alınması,

  • Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği fiziksel ortamların yeterli güvenlik önlemleri alınmakta, fiziksel güvenliği sağlanarak yetkisiz giriş çıkışlar engellenmektedir.

6.KİŞİSEL VERİLERİN GÜVENLİ ORTAMLARDA SAKLANMASI

6.1.Elektronik Olmayan Ortam

Kişisel verileriniz kağıt, form, belge, sözleşme veya herhangi bir basılı varlık olarak fiziki ortamda saklanabilecektir. Aşağıda, basılı varlıkların saklandığı ortamlar belirtilmiştir.

  • GEN ofislerinde bulunan kilitli dolap,

  • GEN ofislerinde bulunan arşiv odası,

  • GEN ofislerinde bulunan çekmeceler ve klasörler.

Bu kapsamda elektronik ortamdan elde ettiğimiz ancak sonrasında çıktısını alarak veya kağıt, form veya belgede yazarak sakladığımız tüm kişisel verilerin de fiziki ortamda saklandığı kabul edilecektir.

6.2.Elektronik Ortam

Kişisel verileriniz aşağıdaki elektronik ortamda saklanabilecektir.

  • Masaüstü ve dizüstü bilgisayarlar,

  • Mobil cihazlar,

  • E-posta sunucuları,

  • Yazılımlar

  • Sistem odaları,

  • Taşınabilir medya (USB Bellek, CD ve DVD vb.),

  • Ağ üzerinde veri saklanması için kullanılan disk sürücüleri

  • Diğer veri tabanları

Bu kapsamda fiziki ortamda, sözlü veya basılı kağıt, form veya belge olarak elde ettiğimiz ancak tamamen veya kısmen otomatik bir sisteme kaydettiğimiz tüm kişisel verilerin de elektronik ortamda saklandığı kabul edilecektir.

7.KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VE ANONİMLEŞTİRİLMESİ TEKNİKLERİ

GEN, KVK Kanunu’nun 7. maddesi uyarınca, kişisel verilerin işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verileri resen veya ilgili kişinin talebi üzerine silmek, yok etmek veya anonim hâle getirmekle yükümlüdür. Bu bağlamda, Kurul tarafından Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik hazırlanmış olup 28 Ekim 2017 tarihli ve 30224 sayılı Resmî Gazete’de yayımlanmıştır.

GEN, aşağıdaki hallerde, kişisel verileri silmek, yok etmek veya anonim hale getirmekle yükümlü olacaktır. GEN bu imha faaliyetini bu sürelerin bitmesini takip eden ilk periyodik imha işleminde gerçekleştirebilecektir.

  • Kişisel veri işleme şartının ortadan kalkması (Örneğin, açık rızanın geri alınması, sözleşmenin sona ermesi vs.),

  • GEN’in kişisel verileri işlemek için meşru bir amacının bulunmaması,

  • İlgili kişinin kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin başvurunun GEN tarafından kabul edilmesi veya şikâyet edilen Kurul tarafından talebin uygun bulunması.

GEN, yukarıda belirtilen hallerde kanunda öngörülen saklama süreleri ve GEN Kişisel Verileri Saklama ve İmha Politikası’nda belirtilen sürelerin bitimi itibariyle silme, yok etme veya anonim hale getirme yükümlülüğünü aşağıda açıklanan yöntemlerle yerine getirmektedir.

7.1.İmha İşlemleri

7.1.1.Kişisel Verilerin Silinmesi

Kişisel verilerin silinmesi, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemini ifade etmektedir. GEN bunun için kullanıcı seviyesinde erişim yetki ve kontrol matrisi oluşturur ve bunu bir politika çerçevesinde uygulamaya alır. Veri tabanında silme işleminin gerçekleştirilmesi için gerekli tedbirleri alır.

7.1.2.Kişisel Verilerin Yok Edilmesi

Kişisel verilerin yok edilmesi, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemini ifade etmektedir.

7.1.3.Kişisel Verilerin Anonim Hale Getirilmesi

Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesini ifade etmektedir.

7.2.Kullanılacak İmha Teknikleri

GEN, kişisel verilerinizi Kurum’un yayınladığı Kişisel Verilerin Silinmesi, Yok Edilmesi ve Anonim Hale Getirilmesi Rehberi’ne uygun olarak imha edecektir. Aşağıda GEN’in uygulayacağı imha tekniklerinden birkaçı örnek olarak verilmiştir.

7.2.1.Silme Teknikleri

Silme Komutu ile Silme: Elektronik veri ortamında bulunan silme komutuyla kişisel verilerin silinmesidir. Silinen veriler hiçbir şekilde erişilemez ve tekrar kullanamaz hale gelecektir.

Yazılım Aracılığıyla Silme: Güvenli bir silme işlemenin sağlanması için kişisel verilerin uygun bir yazılım ile silinmesidir. 

7.2.2.Yok Etme Teknikleri

De-manyetize Etme: Manyetik medyanın özel bir cihazdan geçirilerek gayet yüksek değerde bir manyetik alana maruz bırakılması ile üzerindeki verilerin okunamaz biçimde bozulması işlemidir.

Fiziksel Yok Etme: Optik medya ve manyetik medyanın fiziksel olarak yok edilmesi işlemidir.

Üzerine Yazma: Manyetik medya ve yeniden yazılabilir optik medya üzerine en az yedi kez 0 ve 1’lerden oluşan rastgele veriler yazarak eski verinin kurtarılmasının önüne geçilmesi işlemidir. Bu işlem özel yazılımlar kullanılarak yapılmaktadır.

7.2.3.Anonim Hale Getirme Teknikleri

Maskeleme: Kişisel verilerin kapatılması, üzerinin çizilmesi, yıldızlanması, elektronik olarak çıkartılması ve buna benzer yöntemlerdir. Örneğin Mehmet yerine M***** **l** veya ismin üzerini yıldızlanabilecektir.

Genelleştirme: İlgili kişisel veriyi, özel bir değerden daha genel bir değere çevirme işlemidir.

 

TABLO-1 KİŞİ GRUPLARI

KİŞİ GRUPLARI

AÇIKLAMALAR

Müşteri

GEN’den halihazırda ürün/hizmet alan veya alma taahhüdünde bulunan kişiler.

Potansiyel Müşteri

GEN’den halihazırda ilgili ürünü/hizmeti almayan ancak alması muhtemel kişiler.

Şirket Temsilcisi veya Vekili

GEN’i temsil veya vekil eden kişiler (GEN’in danışmanlık aldığı avukatlar, GEN’in temsil ve ilzama yetkili yönetim kurulu üyesi).

Hissedar

GEN’de pay sahibi olan gerçek kişiler.

Tedarikçi 

GEN’in hizmet aldığı firmaların çalışanı, çalışan adayı, temsilcisi veya vekili.

İş Ortağı

GEN’in faaliyetlerinde beraber çalıştığı firmaların çalışanı, çalışan adayı, temsilcisi veya vekili.

Dernek Üyeleri ve Yöneticileri

GEN’in danışmanlık, sosyal sorumluluk ve farkındalık gibi çeşitli nedenlerle iş birliği içinde olduğu derneklerin üyeleri ve yöneticileri olan gerçek kişiler.

Çalışan

GEN’in işveren olarak çalıştırdığı ve aralarında iş sözleşmesi bulunan kişiler.

Çalışan Adayı

GEN’e herhangi bir yolla iş başvurusunda bulunmuş ya da özgeçmiş ve ilgili bilgilerini GEN’in incelemesine açmış olan gerçek kişiler.

Stajyer

GEN’de stajyerliğini yapan gerçek kişiler.

Sağlık Mesleği Mensubu

GEN’in iş birliği içinde olduğu, birlikte çalışmalar yürüttüğü, sağlık mesleğine mensup gerçek kişiler (Örn. Doktorlar)

Aile Üyeleri

İlgili kişilerin aile bireylerine ilişkin veriler.

Ziyaretçi

GEN şirket yerleşkelerini ve internet sitelerini ziyaret eden kişiler.

Hukuken Yetkili Kişi

Hukuken yetkili kamu kurum ve kuruluşları veya özel kişi ve kuruluşlarında çalışan kişiler.

Üçüncü Kişi

Burada belirtilmeyen diğer gerçek kişiler (Örn. Kefil, eski çalışan vs.)

                                                  

TABLO-2 GÜNCELLEMEYE İLİŞKİN TABLO

GÜNCELLEME TARİHİ

YAPILAN DEĞİŞİKLİKLER