KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASI

Bu politika ile, 6698 Sayılı Kişisel Verilerin Korunması Kanunu (6698 KVKK) kapsamına giren kişisel verilerin, veri sorumlusu sıfatıyla CLINERION TURKEY TEKNOLOJİ ARAŞTIRMA LTD. STİ. tarafından işlenmesine ve korunmasına yönelik uygulanan kural ve düzenlemelerin açıklanması amaçlanmaktadır.

Bu politika, aşağıda yer alan hususları kapsamaktadır;

• 6698 KVKK ve ilgili diğer yönetmelik ve tebliğlerde belirtilen hususları,

• CLINERION TURKEY TEKNOLOJİ ARAŞTIRMA LTD. STİ. Ofisini ve depolarını,

• Bu tesislerde gerçekleştirilen veri işlemle faaliyetlerini,

• Veri işleme faaliyeti ile ilgili tarafları ve paydaşları,

• Veri işleme faaliyetinde yer alan tüm kaynakları kapsamaktadır.

2. TANIMLAR

Kavram / İfade	Kanun’daki Tanım
Kişisel veri	Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi
Özel Nitelikli Kişisel Veri	Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir
İlgili kişi	Kişisel verisi işlenen gerçek kişi (Politika’da “veri sahibi” şeklinde ifade edilmektedir)
Veri sorumlusu	Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi
Kişisel verilerin işlenmesi	Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem
Veri kayıt sistemi	Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistem
Xxxx xxxx	Xxxxxxx bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza
Silme, Yok Etme ve	Silme: Kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir

Anonimleştirme

Yok Etme: Kişisel verilerin hiç kimse tarafından hiçbir şekilde

erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.

Anonimleştirme: Kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle

ilişkilendirilemeyecek hale getirilmesidir.

3. KVKK YÖNETİMİ ORGANİZASYON, ROL VE SORUMLULUKLAR

CLINERION TURKEY TEKNOLOJİ ARAŞTIRMA LTD. STİ. bünyesinde, Kanun’a uyum için gerekli aksiyonların takibi ve yönetilmesi amacıyla bir Kişisel Verilerin Korunması Komitesi (“Komite”) kurulmuştur.

Komite Üyeleri:

Xxxx Xxxxxx Xxxxx Fındık Xxxx Xxxxx Xxxxx Xxxxx

Bu Komite’nin başlıca görevleri şöyledir;

• Kişisel verilerin korunması ve işlenmesi ile politika ve prosedürleri hazırlamak ve yürürlüğe konulması için gerekli aksiyonları almak,

• Politika ve prosedürlerin uygulanması için gerekli görev dağılımını yapmak ve ilgili

aksiyonların alındığının takibinin gerçekleştirmek,

• Kanun’un 12. maddesi uyarınca yapılacak denetimlerin takibini yapmak,

• Kanun’un uygulaması ile ilgili şirket içinde farkındalığı arttırmak için alınacak aksiyonları belirlemek, aksiyonlara ilişkin gerekli görev dağılımını yapmak,

• Kanun ve/veya politika ve prosedürün uygulanması ile ilgili ortaya çıkabilecek soru ve sorunların çözümü için gerekli aksiyonların alınmasını sağlamak,

• Gereken hallerde veri sahibi başvurularının çözümü için gerekli aksiyonları almak,

• Kişisel Verileri Koruma Kurumu ile olan ilişkileri yürütmektir.

4. KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN İLKELER

Veri sorumlusu konumunda olan Clinerion Turkey Teknoloji Araştırma Ltd. Sti., 6698 KVKK’nın

4. maddesi gereğince kişisel verilerin işlenmesinde aşağıdaki ilkelere uygun hareket

etmektedir:

• Hukuka ve dürüstlük kurallarına uyum: Kişisel veriler, hukuka ve dürüstlük kurallarına uygun bir şekilde işlenmelidir. Veri sorumlusu olarak, her türlü kişisel veri işleme süreçlerinde yürürlükte bulunan mevzuata uygun hareket etmekte ve dürüstlük kurallarına uyulmaktadır.

• Doğruluk ve güncellik: Veri sorumluları, işledikleri kişisel verilerin doğru ve güncel olmasını sağlamak üzere gerekli süreçleri kurgulamalıdır. Bu doğrultuda verilerini, veri işleme sistemine doğru girilmesi için gerekli veri giriş, kontrol ve doğrulama süreçleri oluşturulmuştur. Bununla birlikte veri sahibinin güncellenen veya yanlışlıkla hatalı girilen kişisel verilerinin güncellenmesi için gerekli talep, inceleme ve güncelleme

süreçleri oluşturulmuş olup, dijital ortamlarda veri girişi ve veri güncellemeye ilişkin işlem logları da tutulmaktadır.

• Belirli, açık ve meşru amaçlar için işleme: Veri sorumluları, Kanun kapsamındaki aydınlatma yükümlülükleri doğrultusunda veri sahiplerini kişisel verilerin işlenme amaçları ile ilgili bilgilendirmekle yükümlüdür. Bu doğrultuda, CLINERION TURKEY TEKNOLOJİ ARAŞTIRMA LTD. STİ. bilgilendirme/aydınlatma metninde belirtildiği üzere, VERBİS sistemine de uygun olarak veri işleme amaçları belirtilmiştir.

• İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma: Veri sorumluları, Kanun kapsamında belirledikleri veri işleme amaçları ile sınırlı ve yeterli düzeyde veri işlemekle yükümlüdür. Bu doğrultuda, CLINERION TURKEY TEKNOLOJİ ARAŞTIRMA LTD. STİ. tarafından, veri sahibine bildirilen amaçları gerçekleştirmek için gerekli olan yeterli düzeyde kişisel veri alınmakta ve işlenmektedir.

• İlgili mevzuatta öngörülen veya ilgili amaç için gerekli olan süre kadar muhafaza edilme: Kişisel veriler, yürürlükte bulunan mevzuat, taraflarca imzalanan sözleşme gereksinimleri ve işleme amaçları ile doğrultusunda belirlenen süreler buyunca muhafaza edilmektedir. Mevzuatta bu şekilde bir süre belirlenmediği takdirde ise veri kullanım amacı ve şirket prosedürleri göz önünde tutularak makul saklama süreleri belirlenmekte ve veriler bu süre ile sınırlı şekilde saklanmaktadır. Sürelerin sona ermesinin ardından kişisel veriler, şirket prosedürleri doğrultusunda silinmekte, yok edilmekte veya anonim hale getirilmektedir.

5. KİŞİSEL VERİLERİN İŞLENME AMAÇLARI

Kanun’un 5 ve 6. maddeleri, kişisel veriler ve özel nitelikli kişisel verilerin işlenmesine yönelik şartları belirtmektedir. Özel nitelikli kişisel veriler, kanunun 6. maddesinde sınırlı bir şekilde belirtilmiş olup, aşağıdakilerle sınırlıdır:

• Kişilerin ırkı,

• Etnik kökeni,

• Siyasi düşüncesi,

• Felsefi inancı,

• Dini, mezhebi veya diğer inançları,

• Kılık ve kıyafeti,

• Dernek, vakıf ya da sendika üyeliği,

• Sağlığı, cinsel hayatı,

• Ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri

• Biyometrik ve genetik verileri.

Kanunun 5. Maddesinde, veri sahibinin açık rızası olmadan, kişisel verilerin işlenemeyeceği belirtilmektedir. Bununla birlikte, kanunun bu maddesinde yer aldığı üzere, aşağıda belirtilen şartların birinin veya birkaçının olması durumunda xxxx xxxx aranmaksızın (xxxx xxxx istisnaları) kişisel verilerin işlenmesi mümkündür:

• Kanunlarda açıkça öngörülmesi.

• Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.

• Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla sözleşmenin taraflarına ait kişisel verilerin islenmesinin gerekli olması.

• Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.

• Xxxxxx xxxxxxx (veri sahibi) kendisi tarafından alenileştirilmiş̧ olması.

• Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.

• İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

Kanunun 6. Maddesinde, veri sahibinin açık rızası olmadan, özel nitelikli kişisel verilerin işlenemeyeceği belirtilmektedir. Bununla birlikte, kanunun bu maddesinde yer aldığı üzere, aşağıda belirtilen şartların birinin veya birkaçının olması durumunda xxxx xxxx aranmaksızın (xxxx xxxx istisnaları) kişisel verilerin işlenmesi mümkündür:

• Sağlık ve cinsel hayata ilişkin veriler dışındaki özel nitelikli kişisel veriler (kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri) açısından işlemenin kanunlarda öngörülmesi.

• Sağlık ve cinsel hayata ilişkin veriler açısından kamu sağlığının korunması, koruyucu hekimlik, tıbbı teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenmesi.

Veri sorumlusu olarak CLINERION TURKEY TEKNOLOJİ ARAŞTIRMA LTD. STİ. sunulan ürün ve hizmetlerden kendi isteği ile faydalanmak isteyen müşterilerin ve sunulan ürün ve hizmetlerden ve bunların neticesinden menfaat elde eden çalışanların, tedarikçilerin ve diğer paydaşların kişisel verilerini yukarıda belirtilen istisnalar kapsamında işleyecektir. Bu işleme, bilgilendirme/aydınlatma metninde belirtilen amaçlar doğrultusunda, sınırlı ve ihtiyaç duyulduğu kadar verinin işlenmesi şeklinde olacaktır.

Veri sorumlusu olarak CLINERION TURKEY TEKNOLOJİ ARAŞTIRMA LTD. STİ., VERBİS

sisteminde de yer alan aşağıda belirtilen amaçlar doğrultusunda kişisel ve özel nitelikli kişisel verileri işlemektedir:

• Çalışanlar İçin İş Akdi Ve Mevzuattan Kaynaklı Yükümlülüklerin Yerine Getirilmesi

• Çalışanlar İçin Yan Haklar ve Menfaatleri Süreçlerinin Yürütülmesi

• İletişim Faaliyetlerinin Yürütülmesi

• Mal/ Hizmet Satış Süreçlerinin Yürütülmesi

• Sponsorluk Faaliyetlerinin Yürütülmesi

• Stratejik Planlama Faaliyetlerinin Yürütülmesi

• Ürün/ Hizmetlerin Pazarlama Süreçlerinin Yürütülmesi

6. KİŞİSEL VERİLERİN AKTARILMASI

Kişisel veriler, veri sorumlusu sıfatıyla CLINERION TURKEY TEKNOLOJİ ARAŞTIRMA LTD. STİ. tarafından KVKK da belirtilen yükümlülükler ve 6. Madde de yer alan amaçlar çerçevesinde CLINERION TURKEY TEKNOLOJİ ARAŞTIRMA LTD. STİ. tüzel kişiliği dışında “Yurt İçinde ve Yurt Dışında başka bir Tüzel veya Gerçek kişi ile paylaşılabilir.

Kişisel verilerin aktarılmasına ilişkin şartlar kanunun 8. Maddesinde belirtilmektedir. Kanun

burada; kişisel verilerin aktarımı ile ilgili olarak verinin “özel nitelikli kişisel” veri olup

olmadığına göre bir ayrıma gitmiştir. Bununla birlikte, yukarıda 5.Madde de kişisel verilerin işlenme amaçları kısmında belirtilen işleme şartlarından birinin varlığı halinde ve yeterli “idari ve teknik güvenlik tedbirlerini” almak koşuluyla üçüncü kişilere aktarılabilmesine izin vermektedir. Yukarıda 5’incı maddede ve kanunun 5-6. Mddelerinde yer alan xxxx xxxx ve istisna durumları kişisel verilerin aktarılması içinde geçerlidir.

CLINERION TURKEY TEKNOLOJİ ARAŞTIRMA LTD. STİ. tarafından YURT İÇİNDE aşağıda yer

alan tüzel ve gerçek kişilere “kişisel veri” ve “özel nitelikli kişisel veri” aktarımı yapılmamaktadır:

Yurt dışına kişisel veri aktarımında kanun aşağıda yer alan hususlara uyulmasını şart

beklemektedir:

• Veri sahibinin açık rızasının bulunması veya xxxx xxxx istisnaları şartlarından birinin veya birkaçının karşılanması halinde,

• Verilerin aktarıldığı ülkede yeterli koruma* bulunması halinde,

• Verilerin aktarıldığı ülkede yeterli koruma bulunmaması durumunda ise, veri sorumlusu sıfatıyla CLINERION TURKEY TEKNOLOJİ ARAŞTIRMA LTD. STİ. ilgili yabancı ülkedeki veri sorumlusu ile birlikte yeterli korumayı yazılı olarak taahhüt etmesi ve Kişisel Verileri Koruma Kurulu’nun izninin alınması şartı ile aktarılabilmektedir.

(*) Yeterli korumanın bulunduğu ülkeler KVKK Kurulu tarafından belirlenerek ilan edilir.

CLİNERİON TURKEY TEKNOLOJİ ARAŞTIRMA LTD. STİ. tarafından YURT DIŞINDA herhangi bir

tüzel veya gerçek kişiye “kişisel veri” ve “özel nitelikli kişisel veri” aktarımı yapılmamaktadır.

7. İŞLENEN KİŞİSEL VERİLER

CLINERION TURKEY TEKNOLOJİ ARAŞTIRMA LTD. STİ. tarafından, 6.Maddede belirtilen amaçlar doğrultusunda aşağıda yer alan kişisel veri kategorilerindeki kişisel ve özel nitelikli kişisel veriler paylaşılmaktadır:

Veri Kategorisi

Kişisel Veri

Kategorizasyonu Açıklama

İlgili Kişisel Veri

Kategorizasyonu İçerisine Giren Kişisel Veri Tipleri

Kimlik Bilgisi

Ehliyet, nüfus cüzdanı, ikametgâh, pasaport, avukatlık kimliği, evlilik

cüzdanı gibi dokümanlarda

yer alan bilgiler

TCKN, pasaport no., nüfus

cüzdanı seri no., ad-doyad,

fotoğraf, doğum yeri, doğum tarihi, yaş, nüfusa kayıtlı olduğu yer, vukuatlı nüfus cüzdanı

örneği

İletişim Bilgisi

Kişiyle iletişim kurulması amacıyla kullanılan bilgiler

E-mail adresi, telefon numarası, cep telefonu numarası,

adres v.b.

Aile Bireyleri ve

Yakın Bilgisi

ilgili şirket ve veri sahibinin hukuki menfaatlerini korumak amacıyla işlenen kişisel veri sahibinin aile

bireyleri ve yakınları hakkındaki bilgiler

Kişisel veri sahibinin çocukları, eşleri ile ilgili kimlik bilgisi,

iletişim bilgisi ve profesyonel, eğitim bilgileri v.b. bilgiler

Müşteri Bilgisi

Ürün ve hizmetlerimizden faydalanan müşterilere ait bilgiler

Müşteri no, meslek bilgisi, v.b.

Müşteri

İşlem/hizmet/ürün

Bilgisi

Ürün ve hizmetlerimizden

faydalanan müşteriler tarafından gerçekleştirilen her türlü işleme ilişkin bilgiler

Talep ve talimatlar, sipariş ve

sepet bilgileri, v.b.

Kullanılan ürün ve hizmet ve bunlar ilişkin bilgiler

Finansal Bilgi

Kişisel veri sahibi ile mevcut hukuki ilişkinin tipine göre yaratılan her türlü finansal

sonucu gösteren bilgi, belge ve kayıtlar kapsamındaki kişisel veriler

Veri sahibinin yapmış olduğu işlemlerin finansal sonucunu gösteren bilgiler, kredi kartı borcu, kredi tutarı, kredi

ödemeleri, ödenecek faiz tutarı ve oranı, borç bakiyesi, alacak bakiyesi v.b.

Özlük Bilgisi

Çalışanların özlük haklarının oluşmasına temel olan kişisel veriler

Kanunen özlük dosyasına girmesi gereken her türlü bilgi ve belge (örn. Maaş miktarı, SGK pirimleri, bordrolar v.b.)

Çalışan Adayı Bilgisi

Tesis nezdinde iş başvurusu yapmak üzere bilgilerini paylaşan veri sahiplerine ait, başvuru değerlendirme

sürecinde kullanılan kişisel

veriler

Özgeçmiş, mülakat notları, kişilik testleri sonuçları v.b.

Çalışan İşlem Bilgisi

Çalışanların işle ilgili

gerçekleştirdiği her türlü

işleme ilişkin kişisel veriler

İşe giriş-çıkış kayıtları, iş seyahatleri, katıldığı

toplantılara ilişkin bilgiler, güvenlik sorgusu, mail trafikleri izleme bilgisi, araç kullanım

bilgisi, şirket kredi kartı

harcama bilgisi v.b.

Xxx Xxxxxx ve

Çalışanlara sunulan yan hak

Özel sağlık sigortası, araç

Menfaatler Bilgisi

ve menfaatlerin planlanması ve çalışanların bunlardan

faydalandırılmasına yönelik işlenen kişisel veriler

tahsisi v.b.

Pazarlama Bilgisi

Tesis tarafından pazarlama faaliyetlerinde kullanılacak veriler

Pazarlama amcıyla kullanılmak üzere toplanan kişinin

alışkanlıkları, beğenilerini

gösteren raporlar ve

değerlendirmeler, hedefleme bilgileri, cookie kayıtları, veri zengileştirme faaliyetleri, v.b.

Hukuki İşlem ve

Uyum Bilgisi

Hukuki alacak ve hakların tespiti ve takibi ile borç ve kanuni yükümlülüklerin ifası amacıyla işlenen kişisel veriler

Mahkeme ve idari merci kararları gibi belgelerde yer alan veriler

8. VERİ ANALİZİ, VERİ ENVANTERİ:

CLINERION TURKEY TEKNOLOJİ ARAŞTIRMA LTD. STİ. tarafından, iş süreçlerinde kullanılan “kişisel ve özel nitelikli kişisel verilerin” tespiti için veri analizi çalışması yapılmıştır. Kişisel verileri, özel nitelikli kişisel verileri ve bu verilere ilişkin işleme faaliyetleri bilgileri, oluştutulan “veri envanterinde” yer almaktadır. Veri envanteri şu amaçlarla kullanılmak için oluşturulmaktadır:

• İşlenen veri ve veri kategorilerini tespit etmek.

• İşleme faaliyetlerini (otomatik-manuel ve işleme tipi) tespit etmek.

• Veri işlemenin kişisel mahremiyete etkisini değerlendirmek.

• Veri güvenliğine ilişkin riskleri değerlendirmek.

• Veri güvenliğine yönelik idari ve teknik tedbirlerin belirlenmesi için girdi sağlamak.

• Veri sahibi ve ilgili mercilerden gelen veri işlemeye yönelik taleplerin karşılanmasında kılavuzluk yapmak.

• Veri silme, yok etme ve anonimleştirme için dayanak oluşturmak.

• Gereksiz veri işleme faaliyetlerini tespit ederek, süreçlerde veri işlemeye dayalı verimsizlikleri ve etkinsizlikleri ortadan kaldırmak.

VERİ ENVANTERİ/VERİ HARİTALAMA:

Veri işleme envanteri aşağıda yer alan bilgi alanlarını içermektedir:

• Departman / Birim

• Yapılan İş

• Veri Konusu Kişi Grubu

• Veri Kategorisi

• Kişisel Veri Tipi

• Saklama Süresi

• İmha Zamanı

• Saklama Ortamı

• Hukuki Gerekçe

• Yurtiçi Alıcı Grupları

• Yurtdışı Alıcı Grupları

• Kurum içi Alıcı Grupları

• Aktarım Şekilleri

• Veri İşleme Amacı

• Veri Güvenliği Tedbirleri

• Saklama Ortamları

9. VERİ SAHİBİNİN HAK VE YÜKÜMLÜLÜKLERİ

Veri Sahibi, kanun’un 11. maddesine göre veri sorumlusuna karşı aşağıdaki haklara sahiptir:

• Kendisi ile ilgili kişisel veri işlenip işlenmediğini öğrenme.

• Kendisi ile ilgili kişisel veri işlenmişse buna ilişkin bilgi talep etme.

• Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme.

• Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme.

• Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini

isteme.

• İlgili mevzuatta öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok

edilmesini isteme.

• Düzeltme, silme ve yok etme talepleri neticesinde yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme.

• İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme.

• Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme.

Aşağıda belirtilen maddeler ve hususlara göre, bu kanun uygulanmayacağından, veri sahibin hakları belirtilen durumalar çerçevesinde işleme alınmayacaktır. Kanun’un 28. Maddesinin

2. Fıkrasında, kanunun 11.Maddedesinde belirtilen veri sahibinin uğradığı zararın giderilmesi hakkı hariç, aşağıdaki belirtilen hallerde bu kanun uygulanmaz (kanunun istisnaları):

• Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması,

• İlgili kişinin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi,

• Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması,

• Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve

mali çıkarlarının korunması için gerekli olması,

Kanun’un 28. Maddesinin 1. Fıkrasına göre aşağıdaki belirtilen hallerde bu kanun uygulanmaz (kanunun istisnaları):

• Kişisel verilerin, üçüncü kişilere verilmemek ve veri güvenliğine ilişkin yükümlülüklere uyulmak kaydıyla gerçek kişiler tarafından tamamen kendisiyle veya aynı konutta yaşayan aile fertleriyle ilgili faaliyetler kapsamında işlenmesi.

• Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi.

• Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi.

• Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi.

• Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi.

Veri Sahibi Tarafından Hakların Kullanılması

Veri sorumlusu sıfatıyla CLINERION TURKEY TEKNOLOJİ ARAŞTIRMA LTD. STİ.tarafından, talepte bulunan kişinin kimliği tespit edilecek şekilde başvuru yapan veri sahibinin talepleri değerlendirmeye alınacaktır. Kimliği belirlenemeyen veri sahibine ilişkin şirket içinde veri işleme araştırması yapılamayacağından, talep işleme alınmayacaktır. Bununla birlikte,

başvuruda bulunan kişinin kişisel veri sahibi olup olmadığını tespit etmek adına ilgili kişiden bilgi talep edilebilir, başvuruda belirtilen hususları netleştirmek adına, kişisel veri sahibine başvurusu ile ilgili soru yöneltilebilir.

Veri sahibi yukarıda bahsi geçen haklarını kullanmak için şu kanallar vasıtasıyla talepte

bulunabilir:

• xxxx@xxxxxxxxx.xxx E-posta adresine talebini e-posta ile ileterek.

• Uphill Towers A-87 Batı Ataşehir, İstanbul / Türkiye adresine fiziki posta xxxxxxxx.

• Xxxxxx Xxxxxx X-00 Xxxx Xxxxxxxx, Xxxxxxxx / Xxxxxxx adresine fiilen gelerek yazılı başvuruda bulunarak.

Kanun’da öngörülmüş sınırlar çerçevesinde söz konusu hakları kullanmak isteyen veri sahiplerine, yine Kanun’da öngörülen şekilde azami otuz gün içerisinde cevap verilmektedir. Kişisel veri sahipleri adına üçüncü kişilerin başvuru talebinde bulunabilmesi için veri sahibi tarafından başvuruda bulunacak kişi adına noter kanalıyla düzenlenmiş özel vekâletname bulunmalıdır.

Veri sahibi başvuruları kural olarak ücretsiz olarak işleme alınmakla birlikte, Kişisel Verileri Koruma Kurulu tarafından ücret tarifesi öngörülmesi durumunda bu tarife üzerinden ücretlendirme yapılabilecektir.

10. VERİ SORUMLUSUNUN HAK VE YÜKÜMLÜLÜKLERİ

Kanunun 10,12 ve 16. maddelerinde belirtildiği üzere veri sorumlusu aşağıda yer alan

sorumluluk, hak ve yükümlülüklere sahiptir:

• Aydınlatma yükümlülüklerini yerine getirmek.

• Kişisel verilere hukuku aykırı erişilmesini ve işlenmesini engellemek.

• Kişisel verilerin belirtilen işleme amaçları dışında kullanılmasını önlemek.

• Yeterli idari ve teknik tedbirleri alarak kişisel verileri veri ihlallerine karşı korumak.

• Kendi adına başka bir gerçek veya tüzel kişiye kişisel veri işletiliyorsa, müşterek sorumluluk kuralı gereğince, gerekli idari ve teknik tedbirleri almak ve aldırmak.

• Kanunda belirtilen hükümlerin uygulanmasını sağlamak maçıyla belirli periyotlarda denetimler yapmak veya yaptırtmak.

• Kanuna aykırı bir durum olduğunda kurula ilgililere uygun kanallar vasıtasıyla

bildirmek.

• Kurul tarafından belirtilen kurallar çerçevesinde VERBİS’e (sicile) kayıt yaptırmak.

• Asgari 6 aylık periyotlarda veri envanterini gözden geçirerek, kullanım amacı ve süresi

biten verilerin imhasını gerçekleştirmek.

• Veri sahibi, veri kurulu ve diğer yasal mercilerce iletilen talepleri incelemek ve gerekli çalışmaları yapmak.

Veri Sahibin Aydınlatılması ve Xxxx Xxxx;

Veri sahibi, web sayfamızı ziyaretinde, ofis ve depolarımızda danışmada, ürün hizmet kullanımı sırasında kişisel verilerin kullanım amaçları hususunda bilgilendirilmekte ve gerektiği takdirde xxxx xxxx beyanları alınmaktadır. Bunların yanı sıra, ofis ve depolarımızın muhtelif görünür yerlerinde bilgilendirme metinleri yer almaktadır.

11. VERİ İŞLEYENİN HAK VE YÜKÜMLÜLÜKLERİ

Veri işleyen; veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi ifade etmektedir. Herhangi bir gerçek veya tüzel kişi aynı zamanda hem veri sorumlusu hem de veri işleyen olabilir.

Veri işleyen kapsamında şunlar değerlendirilmektedir:

• Veri sorumlusu bünyesinde çalışan personel.

• Ürün ve hizmet alınan tedarikçiler ve bu tedarikçilerin CLINERION TURKEY TEKNOLOJİ ARAŞTIRMA LTD. STİ. tesislerinde çalışan personelleri,

• Hissedar, yatırımcı, yönetim kurulu üyesi, xxxxx xxxxxxxx gibi diğer paydaşlar.

Veri isleyenler öğrendikleri kişisel verileri Kanun hükümlerine aykırı olarak başkasına açıklamama ve isleme amacı dışında kullanmama yükümlülüğü altındadır. Bu yükümlülük, veri isleyenin görevinden ayrılmasından sonra da devam etmektedir.

Kişisel verilerin hukuka aykırı olarak islenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesinin önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü̈ teknik ve idari tedbirlerin alınması hususunda veri işleyen veri sorumlusu ile birlikte müştereken sorumludur.

Veri işleyen ihmal, hata veya kasıtlı olarak veri ihlali gerçekleştirmesi durumunda kanuni çerçevede cezai yaptırımla karşı karşıya kalacaktır. Veri işleyen sıfatıyla;

• Çalışanlarla iş sözleşmesinde ve görev tanımlarında,

• Tedarikçiler ile ürün ve hizmet alımı sözleşmesinde görev, hak ve yükümlülükler belirtilmiştir.

12. KİŞİSEL VERİLERİN SAKLANMA SÜRELERİNİN TESPİTİ VE SAKLAM SÜRESİ SONU İŞLEMLER

Kişisel verilerin saklanma süreleri yürürlükte bulunan mevzuat ve süreç konusu verilerin işlenme amaçları göz önünde tutarak belirlenmektedir. Saklama süreleri her halükârda yasal yükümlülükler ve ilgili zamanaşımı süreleri ışığında tespit edilmektedir.

Türk Ceza Kanunu'nun 138. maddesinde ve KVK Kanunu'nun 7. maddesinde düzenlendiği üzere ilgili kanun hükümlerine uygun olarak işlenmiş̧ olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması halinde veri sorumlusunun kendi kararına istinaden veya kişisel veri sahibinin talebi üzerine kişisel veriler silinir, yok edilir veya anonim hale getirilir.

• Kişisel Verilerin Silinmesi: Kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Silinen kişisel verilerin ilgili

kullanıcılar için erişilemez ve tekrar kullanılamaz olması için gerekli her türlü teknik ve idari tedbirleri alınmaktadır.

• Kişisel Verilerin Yok Edilmesi: Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Yok edilen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması için gerekli her türlü teknik ve idari tedbirleri alınmaktadır.

• Kişisel Verilerin Anonim Hale Getirilmesi: Kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir. Kişisel verilerin anonim hale getirilmiş olması için; kişisel verilerin, veri sorumlusu, alıcı veya alıcı grupları tarafından geri döndürme ve verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekir.

13. KİŞİSEL VERİLERİN KORUNMASI - İDARİ VE TEKNİK TEDBİLER

Veri sorumlusu sıfatıyla CLINERION TURKEY TEKNOLOJİ ARAŞTIRMA LTD. STİ. tarafından, kişisel verilerin güvenliğini sağlamaya yönelik, makul seviyede idari ve teknik tedbirler alınmıştır. İdari ve teknik tedbirler, veri işleme süreçleri bu süreçleri gerçekleştirmek için ihtiyaç duyulan varlıklar/kaynaklar ve bunlar üzerindeki veri güvenliği riskleri göz önüne alınarak belirlenmiştir.

Kişisel veri koruma açısından risk, kişisel ve özel nitelikli kişisel verilerin kasten, hatayen veya ihmal sonucu kötüye kullanımına sebebiyet verebilecek her türlü durum ve olay olarak tanımlanmaktadır.

İdari ve teknik tedbirler için veri güvenliği riskleri değerlendirme alanları aşağıdaki gibi

kategorize edilmiştir:

1. Bilgi sistemlerine yönelik riskler: Sistem, sunucu, uygulama, web platformu, dış-iç network, ses, kamera, yazıcı, tarayıcı, PC ve veri merkezi gibi tüm bilgi sistemleri varlıklarına/unsurlarına yönelik riskler

2. Bina, ofis, oda ve hizmet gerçekleştirme ortamlarına yönelik riskler: Hizmetlerin sunulduğu ve iş süreçlerinin gerçekleştirilerek kişisel verilerin işlendiği fiziksel ortamlara yönelik riskler.

3. Arşiv ortamlarına yönelik riskler: Bilgilerin fiziksel dokümanlarda saklandığı

ortamlar yönelik riskler.

4. İş süreçlerinim işleyişine yönelik riskler: Süreçlerin işletilmesinde erişim, yetki ve iş kurallarına yönelik riskler.

5. Personele yönelik riskler: Hizmet gerçekleştiren ve veri işleyen tüm personele ilişkin görev, yetki ve yetkinliğe yönelik veri güvenliği riskleri.

6. Tedarikçi ve sağlanan girdilere yönelik risk: Tedarikçiler ve bunlardan sağlana ürün ve hizmetlere yönelik veri güvenliği riskleri.

CLINERION TURKEY TEKNOLOJİ ARAŞTIRMA LTD. STİ. tarafından, yukarıda belirtilen veri koruma risklerine yönelik alınan tedbirler aşağıdaki gibidir:

1. Personel farkındalık ve yetkinliğine yönelik tedbirler: Belirli periyotlarda eğitim ve farkındalık çalışmaları yapılmaktadır.

2. Network ve internet sağlayıcıya yönelik tedbirler: Güvenilir hastane ağı altyapısı kullanılmaktadır. Güvenilir bir internet sağlayıcı ile çalışılmaktadır. Ek güvenlik için güvenlik duvarı, VPN ve anti-virüs kullanılmaktadır.

3. Fiziksel (dijital ve kağıt ortamında) bilgi ve belge teminine yönelik tedbirler: USB, Harici disk, CD ortamında gelen veriler sınırlı ve yetkili kişiler tarafından virüs taraması yapıldıktan sonra işleme alınır. Kağıt ortamında gelen bilgi ve belgeler, ilgili bölüm ve kişi tarafından işleme alınır. Muhatabı dışında hiçbir personel tarafından işlem yapılmaz.

4. Routing – Firewall yönetimine yönelik tedbirler: Varsayılan ayar olarak tüm bağlantıları reddeden bir güvenlik duvarı yapısı kullanılmaktadır. Yalnızca gerekli bağlantılara izin verilmektedir.

5. Xxxxxx, Hesap ve Xxxxxx-Xxxxx yönetimine yönelik tedbirler: ISO 27001 kapsamına göre belirlenen şifre güvenliği politikasına göre hareket edilir. Yalnızca güçlü parolaya izin verilir.

6. Mantıksal ve Fizikse erişim ve yetkilendirmeye yönelik tedbirler: ISO 27001

kapsamına göre belirlenen erişim matrisi ve erişim politikasına göre hareket edilir.

7. Vpn, Özel Devre, FTP-sFTP, Web service yönetimine yönelik tedbirler: Bağlantılar için izin verildiği durumlarda VPN kullanılır. Hizmetler SSL ile güvence altına alınmıştır.

8. Sabit cihaz yönetimine yönelik tedbirler: ISO 27001 kapsamında belirlenen Kabul Edilebilir Kullanim Politikası, Personel Güvenlik Politikası, Antivirüs Politikası ve Temiz Masa Temiz Ekran Politikasına göre hareket edilir. Tüm çalışanlara Varlık Teslim Tutanağı ve Kabul Edilebilir Kullanım Beyanı imzalatılır. Yedekleme Politikasına göre tüm cihazların yedekleri alınır.

9. Mobil cihaz yönetimine yönelik tedbirler: Hiçbir mobil cihaz kullanılmamaktadır.

10. Harici ortam (usb,cd vb.) kullanımına yönelik tedbirler: USB, harici disk, CD ortamından gelen veriler, virüs taraması yapıldıktan sonra Erişim Politikasına göre sınırlı ve yetkili kişiler tarafından işlenir ve saklanır.

11. İzleme ve Log yönetimine (SİEM) yönelik tedbirler: ISO 27001 kapsamına göre firmamıza ailt tüm loglar firewall aracılığı ile tutulur ve 5051 kapsamına göre saklanır.

12. Segmantasyon (sanal ağ,wlan) yönetimine yönelik tedbirler: Kullanıcı adı parolasıyla korunan yalnızca bir wlan oluşturulmuş ve Erişim Matrisine göre sadece izin verilen/onaylanan cihazlar wlan'a bağlanabilir.

13. Bulut çalışma ortamına yönelik tedbirler: Kullanılmamıştır.

14. Korumaya yöntemlerine (içerik ve spam mail filtreleme, saldırı tespit sistemi, sasus yazılım engelleme, anti virüs vb.) yönelik tedbirler: Firmamıza ait tüm loglar firewall aracılığı ile tutulur ve tüm cihazlar güncel virüs programları ile korunur. Ayrıca periyodik sızma testleri de yapılmaktadır.

15. Açıklık analizine yönelik tedbirler: ISO 27001 kapsamında güvenlik açığı taraması

ve sızma testleri periyodik olarak yapılır.

16. E-posta, İnternete çıkış ve özel bağlantı çıkış yöntemlerine yönelik tedbirler:

E-posta, güvenilir sağlayıcı tarafından sağlanmaktadır. Anti-virüs ve spam filtresi aktif.

Yalnızca güvenli bağlantılara izin verilir.

17. DLP yönetimine yönelik tedbirler: Tüm sistemler için periyodik yedekleme

uygulanır. Birden fazla yedekleme konumu vardır.

18. Denetim ve kontrole yönelik tedbirler: ISO 27001:2013 ve Spice seviye 2 denetimleri

yıllık ve belirli periyotlarla yapılır.

19. Süreç veri ihtiyacı tespit ve kontrol tedbirleri: Veri işleme ihtiyaçlarında optimizasyon yapılır.

20. Tedarikçi / Dış kaynak kullanımına yönelik tedbirler: Yalnızca güvenilir satıcılar ve tedarikçiler kullanılır.

14. VERİ SAHİBİ HAK KULLANIM SÜRECİ VE VERİ SORUMLUSU TESPİT ÇALIŞMASI

Veri sahibinden, veri koruma kurulundan ve diğer ilgili yasal mercilerden gelen talepler aşağıda belirtilen adımlar gerçekleştirilerek işlenir:

1. ADIM: TALEBİN KARŞILANMASI:

o E-posta, Web Form, fiziksel dilekçe veya posta yoluyla gelen tüm talepler KVKK

Komitesi tarafından karşılanır.

o Talep takip formuna gelen talep işlenir ve kanunda belirtilen 30 günlük cevaplama süresi başlatılır.

o Talep içeriği kontrol edilmek üzere aynı gün içerisinde KVKK komitesi üyelerine

iletilir.

o Bir sonraki gün için KVKK komite üyeleri toplantıya çağrılır.

2. ADIM: TALEP İÇERİĞİNİN KONTROL EDİLEREK ANLAŞILMASI:

o Komite üyeleri tarafından talebin içeriği kontrol edilir.

o KVKK talep değerlendirme toplantısında ilgili taraflarca talep içeriği görüşülür.

o Talep sahibinin kimliği belirlenebilir değilse talep işleme alınmaz ve talep gelen kanaldan gerekçesi belirtilerek geri bildirim yapılır.

o İhtiyaç duyulması halinde ise talep sahibine kimliğini belli etmek yada talebi daha detaylı anlamak için sorular sorulur.

o Dijital tarafta ve basılı belgelerde yapılması gereken araştırma çalışmaları

belirlenir

o Yapılacak çalışmalar için sorumlu ve görev bitiş tarihi belirlenerek görev ataması yapılır

o KVKK komitesi sekreteri tarafından talep takip formuna, görevler, sorumlular ve

görev tamamlanma tarihi işlenir.

3. ADIM: TALEBE YÖNELİK ARAŞTIRMA YAPILMASI:

o Veri haritası çalışması referans alınarak, hem basılı belgeler hem de dijital

ortamdaki bilgiler kontrol edilir.

o Talebin içeriğine uygun olarak istenen bilgiler toplanır.

o KVKK Komitesi sekreterine bilgiler iletilir

o Toplanan bilgiler, sekreter tarafından konsolide edilerek taslak cevap metni oluşturulur ve komite üyelerine iletilir.

o Komiye üyeleri talep cevabının oluşturulması için toplantıya davet edilir.

4. ADIM: TALEP CEVABININ OLUŞTURULMASI:

o KVKK Komitesinde talep cevap metni görüşülür

o Cevap yazısı oluşturulur.

5. ADIM: TALEBE CEVAP DÖNÜLMESİ:

o Talep sahibinin belirttiği kanal üzerinden veya talebin geldiği kanal üzerinden

talebe cevap verilir.

o Talep takip formuna talep cevaplama tarihi, kanalı bilgileri ve talebe istinaden yapılan işlemlerin özet bilgisi kaydedilir.

6. ADIM: TALEBİN ARŞİVLENMESİ:

o Alınan talep bilgisi ve gönderilen cevap bilgisi ile varsa bunlara ilişkin basılı ve dijital belgeler arşivlenerek saklanır.

o Talep kapatılır.

15. KVKK GEREKSİNİMLERİ UYUMLULUK DENETİMİ

PENGUEN KİTABEVİ, 6698 KVKK kapsamında oluşturmuş olduğu veri koruma yönetimi

yapısını, yılda asgari bir kez olmak üzere kendi bünyesindeki iç denetçiler aracılığıyla veya dışardan denetim hizmeti satın alarak, kanunda be bu politikada belirtilen hususları yeterlilik, uygunluk ve etkinlik yönlerinden denetime tabi tutmaktadır.

16. VERİ İHLAL OLAYI BİLDİRİMİ

Bir veri ihlali olması durumunda, KVKK Kurulunun belirtiği üzere, olay anlaşıldıktan sonra 72 saat içinde KVKK kuruluna, yine kurullun belirttiği formatta bildirim yapılır.

Bildirim kararı ve bildirim içeriği, gerekli olay etki araştırması yapıldıktan sonra KVKK Komitesi tarafından oluşturulur.

Document Metadata

Table of Contents

KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASI

Document Metadata