HAVER FARMA İLAÇ ANONİM ŞİRKETİ

Haver Farma İlaç Anonim Şirketi(“Şirket”) olarak Şirketimizde, 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun-KVKK”) uyarınca gerek Şirket personelinin gerekse bilgisi işlenen üçüncü gerçek kişilerin kişisel verileri hukuka uygun olarak korunmakta ve işlenmektedir. Şirketimiz bu hususta mevzuatın getirdiği yükümlülüklerini özenle yerine getirmekte ve bu kapsamda en üst düzeyde hassasiyet göstermektedir.

Bu nedenle Kanun ve ilgili mevzuatın getirdiği haklardan kişisel veri sahiplerini faydalandırmak ve Kanun’a uyum sürecini sağlamak üzere işbu Politika düzenlenerek yürürlüğe sokulmuştur.

2. AMAÇ VE KAPSAM

2.1. Politika ile Şirket tarafından KVKK’ya uyum için yukarıda açıklanan temel ilkeler çerçevesinde getirilecek düzenlemelerin Şirket bünyesinde, Şirketimiz çalışanları ve iş ortakları tarafından etkin bir şekilde uygulanması amaçlanmaktadır. Politikanın amacı doğrultusunda, Şirketimiz tarafından gerçekleştirilen kişisel verilerin korunması ve işlenmesi faaliyetlerinde mevzuata tam uyumun sağlanması ve kişisel veri sahiplerinin özel hayat gizliliği ve veri güvenliği haklarının korunması hedeflenmektedir.

2.2. Politika’nın kapsamı; şirket ortakları, şirket hissedarları, şirket yetkilileri, çalışan, çalışan adayları, stajyer, stajyer adayları, gerçek kişi müşteri/tüzel kişi müşteri temsilci ve çalışanları, gerçek kişi tedarikçi/ tedarikçi temsilcileri ve çalışanları, potansiyel ürün veya hizmet alıcıları, çözüm ortaklar ve ziyaretçiler ve verilerini işlemekte olduğumuz diğer kişilerin işlenen tüm kişisel verileridir.

2.3. KVKK ve ilgili mevzuat çerçevesinde oluşturulacak iç prosedürler ile Şirketimizin kişisel verilerin korunması hususunda gerçekleştireceği uyum faaliyetleri düzenlenecektir. Şirketimizin tüm çalışanları görevlerini yerine getirirken işbu Politika ile getirilen düzenlemeler ile KVKK ve ilgili tüm diğer mevzuat hükümlerine uygun hareket etmekle yükümlüdür. Politika’ya ve ilgili mevzuat hükümlerine uyulmaması halinde, mevzuat hükümleri ile öngörülen cezai ve hukuki sorumluluğun yanında Şirket içerisinde olayın mahiyetine göre iş hayatını düzenleyen mevzuat çerçevesinde akdin haklı nedenle feshine kadar gidebilecek olan yaptırımlar uygulanabilecektir.

3. TANIMLAR

Xxxx Xxxx	Xxxxxxx bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızadır.
Xxxxxx Xxxx Getirme	Kişisel verinin, kişisel veri niteliğini kaybedecek ve bu durumun geri alınamayacağı şekilde değiştirilmesidir. Değişik tekniklerle kişisel verinin bir gerçek kişi ile ilişkilendirilemeyecek hale getirilmesidir.
Kişisel Veri	Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgidir (Ad-soyad, adres, T.C. kimlik numarası, telefon numarası, e-posta dahil ancak bunlarla sınırlı olmamak üzere).
Kişisel Verileri Koruma Kurulu (KVK Kurulu)	Kişisel Verileri Koruma Kurulunu ifade eder.
Kişisel Verileri Koruma Kurumu (KVK Kurumu)	Kişisel Verileri Koruma Kurumunu ifade eder.

Başvuru Formu	İlgili kişinin Kanun’un 11. maddesinde yazılı haklarını kullanabilmesi adına Şirket’e başvuru yaparken dolduracağı formu ifade eder.
Kişisel Verilerin İşlenmesi	Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi ifade eder.
Özel Nitelikli Veriler	Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, din, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.
İlgili Kişi	Kişisel verisi işlenen gerçek kişileri ifade eder.
Çalışan	Şirket bordrosuna kayıtlı olarak çalışmakta olan personeldir.
Çalışan Adayı	Şirketimize herhangi bir yolla iş başvurusunda bulunmuş ya da özgeçmiş ve ilgili bilgilerini şirketimizin incelemesine açmış olan gerçek kişilerdir.
Tedarikçi/Danışman/Taşero n	Şirkete mal ya da hizmet tedariki sağlayan ve bu nedenle Şirketin kişisel verilerini elde ettiği gerçek kişilerdir.
Şirket	Haver Farma İlaç Anonim Şirketi
Veri Sorumlusu	Kişisel verilerin işlenme amaçlarını ve vasıtalarını belirleyen, verilerin sistematik bir şekilde tutulduğu yeri (veri kayıt sistemi) yöneten kişi veri sorumlusudur.
Veri İşleyen	Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel veri işleyen gerçek ve tüzel kişidir.
Kişisel Veri Envanteri	Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanterdir.
Kanun	6698 sayılı Kişisel Verilerin Korunması Kanunu
Politika	Kişisel Verilerin İşlenmesi ve Korunması Politikası

4. POLİTİKA’NIN YÜRÜTÜLMESİ VE SORUMLULUKLAR

4.1. Şirket, Veri Sorumlusu sıfatı ile işbu Politika’nın tüm iç işleyişlerinin ve süreçlerinin düzenlenmesi yönünden uygulanmasından sorumludur.

4.2. İşbu Politika doğrultusunda hazırlanacak yönetmelik, prosedür, kılavuz, standart ve eğitim faaliyetlerinin Şirket bünyesinde uygulanması için Şirket tarafından bir yönetişim modeli tesis edilerek hayata geçirilecektir.

4.3. Şirket genelinde tüm çalışanlar, iş ortakları, misafirler ve ilgili tüm üçüncü şahıslar Politika’ya uyum ile birlikte ilgili mevzuat hükümleri doğrultusunda doğacak hukuki sorumlulukların, risklerin ve tehlikelerin önlenmesinde Şirket ile iş birliği yapmakla yükümlüdür.

4.4. Şirket’in tüm departmanları ve organları ile ilgili tüm personeli Politika’ya uygun hareket etmekle ve

Politika’nın hükümlerine uyulmasını sağlamak ile yükümlüdür.

4.5. İşbu Politika, Şirket içinde duyurulacak ve ayrıca ortak bilgi işlem sistemlerine de yüklenerek her zaman erişilebilir olacaktır. Ayrıca işbu Politika Şirket internet sitesinde yayınlanır. Politika’da meydana gelecek değişiklikler bilgi işlem sistemine ve internet sitesine güncel olarak eklenecek ve bu sayede veri sahiplerinin Politika ile öngörülen esaslara ulaşarak bilgilenmesi sağlanacaktır.

4.6. Politika ile yürürlükte olan mevzuat hükümleri arasında çelişki meydana gelmesi halinde Şirket, Veri Sorumlusu sıfatı doğrultusunda mevzuat hükümlerinin uygulanacağını kabul etmektedir.

5. KİŞİSEL VERİ İŞLEME İLKELERİ

5.1. Kişisel Verilerin İşlenmesinde Genel İlkeler

Şirketimiz, Kanun ve ilgili diğer mevzuatta getirilen hüküm ve kurallara uygun olarak kişisel verileri işlemektedir. Şirketimiz, kişisel verileri işlerken aşağıdaki ilkelerle hareket eder:

5.1.1. Hukuka ve dürüstlük kuralına uygunluk

Şirket, Veri Sorumlusu sıfatı ile Anayasa ve KVKK başta olmak üzere yürürlükte olan ve yürürlüğe girecek olan tüm mevzuat hükümlerine uygun olarak ve Türk Medeni Kanunu’nun 2. maddesi ile öngörülen dürüstlük kuralına uygun bir biçimde kişisel veri işleme faaliyetlerini yürüteceğini kabul etmektedir.

5.1.2. Doğruluk ve güncellik

Şirket, kişisel verilerin işlenmesi faaliyetlerinde, tekniğin elverdiği ölçüde kişisel verilerin doğruluk ve güncelliğinin sağlanması için KVKK kapsamında gerekli tüm tedbirleri almaktadır. İlgili kişinin Veri Sorumlusu sıfatı ile Şirket’e bildireceği talepler ve Şirket’in bizzat gerekli göreceği durumlar doğrultusunda, hatalı veya güncel olmayan kişisel verilerin düzeltilmesi ve doğruluğunun denetlenmesi için Şirket tarafından kurulan idari ve teknik mekanizmalar işletilecektir.

5.1.3. Belirli, açık ve meşru amaçlarla işleme

Şirket tarafından kişisel veriler, ilgili mevzuat hükümlerinin gereklilikleri ile sunulan veya sunulacak olan hizmetlerle sınırlı olarak hukuka uygun biçimde işlenmekte olup kişisel verilerin işlenme amacı verilerin işlenmeye başlanmasından önce açık ve kesin olarak belirlenmektedir.

5.1.4. Verileri işlendikleri amaç ile bağlantılı, sınırlı ve ölçülü olarak işleme

Şirket tarafından kişisel veriler işlenme amaçları ile bağlantılı ve sınırlı olarak ve bu amacın gerçekleşmesi için gerektiği ölçüde işlenmektedir. Bu kapsamda verilerin işlenme amacı ile ilgili olmayan ve ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınılması temel esastır.

5.1.5. Mevzuat hükümleri ile öngörülen veya işlenme amacının gerektirdiği süre ile sınırlı olarak işleme

Kişisel veriler, ilgili mevzuat hükümleri ile öngörülen süreler doğrultusunda veya verilerin işlenme amacının gerektirdiği süre boyunca muhafaza edilmektedir. Mevzuat hükümleri ile öngörülen sürenin sonunda veya verilerin işlenme amacının gerektirdiği sürenin sonunda kişisel veriler Şirket tarafından silinmekte, yok edilmekte veya anonim hale getirilmektedir. Verilerin gerekli sürenin sonunda muhafaza edilmesinin önlenmesi için gerekli idari ve teknik tedbirler alınacaktır.

6. KİŞİSEL VERİLERİN İŞLENME ŞARTLARI

KVKK’nın 5. maddesi kişisel verilerin işlenme şartlarını düzenlemektedir. Şirket tarafından kişisel verilerin işlenme süreçleri KVKK ile belirtilen aşağıdaki şartlara uygun olarak yürütülmektedir.

6.1. Xxxxxx Xxxxxxx Açık Rızası

Kişisel verilerin işlenmesinde xxx xxxxx, diğer veri işleme şartlarının bulunmaması durumunda ilgili kişinin verilerinin işlenmesi hususunda açık rızasının bulunmasıdır. Şirket, ilgili kişinin KVKK ile öngörüldüğü biçimde tereddüde mahal bırakmayacak açıklıkta ve işleneceği amaca dair aydınlatılması üzerine vereceği açık rızası doğrultusunda, rızanın kapsadığı işlemler için veri işleme faaliyetlerini yürütecektir.

6.2. Kanunlarda Açıkça Öngörülmesi

Şirketimiz, kanunlarda açıkça öngörülmüş olan hallerde Kişisel Veri Sahiplerinin kişisel verilerini açık rızaları olmasa dahi işleyebilecektir.

6.3. Fiili İmkânsızlık Nedeniyle Rızasını Açıklayamayan veya Rızasına Hukuki Geçerlilik Tanınamayan Kişinin Verilerinin İşlenmesinin Kendisinin veya Başkasının Hayatı veya Beden Bütünlüğünün Korunması İçin İşlenmesinin Zorunlu Olması

KVKK gereği ilgili kişinin fiili olarak rızasını açıklamasının mümkün bulunmadığı veya rızasına hukuken geçerlilik tanınamayacağı durumlarda ilgili kişinin kendisinin veya başkasının hayatının veya beden bütünlüğünün korunması için kişisel verilerinin işlenmesinin zorunlu olması halinde kişisel verilerin işlenmesi mümkündür. Şirketimiz tarafından, rızanın açıklanamadığı ya da geçerli olmadığı hallerde, kişilerin hayat veya beden bütünlüğünün korunması için Kişisel Veriler xxxx xxxx olmadan işlenebilir.

6.4. Bir Sözleşmenin Kurulması ve İfası ile Doğrudan İlgili Olmak Kaydı ile

Sözleşmenin Taraflarına Ait Kişisel Verilerin İşlenmesinin Zorunlu Olması

Sözleşmenin kurulması ve ifası ile doğrudan ilgili olmak kaydı ile sözleşmenin taraflarına ait kişisel veriler

Xxxxxx tarafından işlenecektir.

6.5. Veri Sorumlusunun Hukuki Yükümlülüğünü Yerine Getirebilmesi İçin Zorunlu Olması

KVKK gereği Veri Sorumlusu sıfatına haiz Şirketin mevzuat hükümlerinden doğan yükümlülüklerini yerine getirebilmesi için, söz konusu yükümlülüğün sınırları ile bağlı olacak şekilde, Şirket tarafından kişisel veriler işlenecektir.

6.6. İlgili Kişi Tarafından Alenileştirilen Kişisel Verilerin İşlenmesi

İlgili kişinin kişisel verilerini alenileştirmesi halinde, Şirket tarafından söz konusu kişisel veriler, alenileştirilme amaçları ile orantılı olarak işlenecektir.

6.7. Bir Hakkın Tesisi, Kullanılması veya Korunması İçin Zorunlu Olan Verilerin İşlenmesi

Kişisel veriler, bir hakkın tesisi, kullanılması veya korunması için zorunlu olduğu ölçüde Şirket tarafından işlenecektir.

6.8. Veri Sorumlusunun Meşru Menfaatleri İçin Kişisel Verilerin İşlenmesi

İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydı ile Veri Sorumlusu sıfatına haiz Şirket’in meşru menfaatleri doğrultusunda kişisel veriler işlenebilecektir. Ancak Şirket’in meşru menfaatleri ifadesi hiçbir surette KVKK ile belirlenen ilkelere, kişisel verinin işlenme amacına aykırı olamaz ve Anayasa ile güvence altına alınmış olan hakkın özüne müdahale niteliğinde olamaz.

7. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİ ŞARTLARI

KVKK’nın 6. maddesi özel nitelikli kişisel verilerin işlenme şartlarını düzenlemektedir. Söz konusu madde doğrultusunda özel nitelikli kişisel veriler, kişilerin etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verilerdir. Şirket içindeki tüm iş süreçleri incelenerek bu statüdeki veriler belirlenmiş ve sınıflandırılarak kişisel veri envanterine aktarılmıştır. Şirket tarafından özel nitelikli kişisel verilerin işlenme süreçleri KVKK ile belirtilen aşağıdaki şartlara uygun olarak yürütülmektedir.

7.1. Xxxxxx Xxxxxxx Açık Rızasının Bulunması Halinde Özel Nitelikli Kişisel Verilerin İşlenmesi

KVKK gereği kural olarak özel nitelikli kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenmesi yasaktır. İlgili kişinin özel nitelikli verilerinin işlenmesine yönelik açık rızası yok ise bu durumda ancak Kanun’un 6.maddesinin üçüncü fıkrasında sayılan istisnai haller kapsamında veriler işlenebilecektir. Özel nitelikli kişisel verilerin işlenmesine ilişkin ilgili kişinin rızasının kapsamı doğrultusunda veri işleme faaliyetleri yürütülecektir. Özel nitelikli kişisel verilerin xxxx xxxx olmaksızın işlenebilmesine dair KVKK ile öngörülen hükümler saklıdır. Şirket, özel nitelikli kişisel verilerin işlenmesinde öncelikle veri işleme şartlarının bulunup bulunmadığını kontrol ederek veri işleme faaliyetlerini yürütür.

7.2. Xxxxxx Xxxxxxx Açık Rızası Bulunmamasına Rağmen Özel Nitelikli Kişisel Verilerin Mevzuat Hükümleri ile Öngörülmesi Sebebiyle İşlenmesi

Mevzuat hükümleri ile özel nitelikli kişisel verilerin işlenebileceğinin öngörüldüğü durumlarda ilgili kişinin sağlık ve cinsel hayatı dışındaki özel nitelikli kişisel verileri, KVKK madde 6/3 hükmü doğrultusunda işlenebilecektir. Bu durumda Şirket tarafından gerçekleştirilecek veri işleme faaliyetleri, dayanak mevzuat hükmünün gereklilikleri ile sınırlı olacaktır.

7.3. Sağlık ve Cinsel Hayat ile İlgili Özel Nitelikli Kişisel Verilerin Koruyucu Hekimlik, Tıbbî Teşhis, Tedavi ve Bakım Hizmetlerinin Yürütülmesi, Sağlık

Hizmetleri ile Finansmanının Planlanması ve Yönetimi Amacıyla, Sır Saklama Yükümlülüğü Altında Olmak Kaydı ile İşlenmesi

KVKK gereği kişilerin sağlık ve cinsel hayatına ilişkin özel nitelikli kişisel verilerinin işlenmesi, ilgili kişilerin açık rızalarının bulunması koşuluna bağlanmış, açık rızanın bulunmadığı hallerde ise ancak koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kimselerce söz konusu kişisel verilerin işlenebileceği düzenlenmiştir. Şirket tarafından, mevzuat hükümleri doğrultusunda sır saklama yükümlülüğü altında bulunulan kişiler yukarıda sayılmış olan ilgili durumlarda, bu mevzuat hükümlerinin gerektirdiği ölçüde ilgili kişilerin sağlık ve cinsel hayatlarına ilişkin özel nitelikli kişisel verileri işlenebilecektir.

7.4. Özel Nitelikli Kişisel Verilerin İşlenmesinde Alınacak Önlemler

Özel nitelikli kişisel verilerin işlenebilmesi için KVKK gereği Kişisel Verileri Koruma Kurulu tarafından belirlenen önlemlerin alınması zorunludur. Şirket, Xxxxx tarafından belirlenecek söz konusu önlemler doğrultusunda özel nitelikli kişisel verileri işleyecektir.

8. KİŞİSEL VERİLERİN AKTARILMASI

KVKK 8. maddesi ile kişisel verilerin yurt içinde üçüncü şahıslara aktarılmasını düzenlenmiştir. Kişisel verilerin aktarılmasına dair süreçlerde aşağıdaki kriterlere uygunluk sağlanacaktır. Kişisel verilerin aktarılmasına ilişkin olarak tüm mevzuat hükümlerine uygun hareket edilmesi ve aktarım süreçlerinin yürürlükte olan veya yürürlüğe girecek olan mevzuat hükümlerine göre uyarlanması Şirket’in sorumluluğundadır.

8.1. Kişisel Verilerin Yurt İçinde Aktarılması

8.1.1. İlgili kişinin kişisel verilerin aktarılması için açık rızasının bulunması

KVKK’nın 8. maddesi gereği kişisel verilerin üçüncü şahıslara aktarılması için xxx xxxxx ilgili kişinin açık rızasının bulunması olarak belirlenmiştir. İlgili kişinin kişisel verileri Şirket tarafından ilgili kişinin hangi kişisel verilerinin yurt içindeki üçüncü şahıslara aktarılmasına rıza verdiği ve ilgili kişinin kişisel verilerinin aktarılacağı kişi grupları özenle tespit edilerek ve veri envanterine işlenerek aktarılacaktır.

8.1.2. İlgili kişinin açık rızası bulunmasa dahi kişisel verilerin işlenmesine ilişkin şartların sağlanması koşulu ile kişisel verilerin aktarılması

İlgili kişinin kişisel verilerinin yurt içinde aktarılmasına dair açık rızasının bulunmadığı hallerde, kişisel verilerin işlenmesine ilişkin veri işleme şartlarına dair işbu Politika’nın 6.2., 6.3., 6.4., 6.5., 6.6., 6.7. ve

6.8. maddeleri ile açıklanan ve KVKK’nın 5. maddesinin 2. fıkrası ile düzenlenen koşullarda kişisel verilerin üçüncü şahıslara aktarılması mümkündür.

8.1.3. İlgili kişinin açık rızası bulunmasa dahi özel nitelikli kişisel verilerin aktarılması yönünden ilgili şartların sağlanması ve mevzuat hükümlerinin gerektirmesi koşulu ile kişisel verilerin aktarılması

Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel verilerin üçüncü şahıslara aktarılması ilgili kişinin yapılacak olan işleme faaliyetine açık rızası bulunmadığı hallerde dahi, kişisel verilerin işlenmesinin mevzuatta, mevzuat hükümlerinde belirtilen şekilde işlenebileceğinin öngörülmüş olması sebebiyle mümkündür. Bu durumda Şirket, işbu Politika’nın 7. maddesinde düzenlenen koşulların gerçekleştiğini tespit etmek sureti ile özel nitelikli kişisel verileri üçüncü şahıslara aktarabilecektir. Özel nitelikli kişisel

verilerin işlenmesine ilişkin olan gerekli önlemleri alma yükümlülüğü, bu verilerin aktarılması için de öngörülmüş olup, Xxxxxx tarafından bu önlemler alınacaktır.

8.2. Kişisel Verilerin Yurt Dışına Aktarılması

8.2.1. İlgili kişinin kişisel verilerinin yurt dışına aktarılmasına ilişkin açık rızasının bulunması

KVKK’nın 9. maddesi gereği kişisel veriler xxx xxxxx olarak ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamaz. Bu nedenle Şirket tarafından kişisel verilerin yurt dışına aktarılması için ilgili kişinin açık rızasının alınması temel esas olarak uygulanacaktır. İlgili kişinin kişisel verileri Şirket tarafından ilgili kişinin hangi kişisel verilerinin yurt dışındaki üçüncü şahıslara aktarılmasına rıza verdiği özenle tespit edilerek ve Kişisel Verileri Koruma Kurulu’nun yayınlayacağı güvenli ülke listesi dikkate alınarak aktarılacaktır.

8.2.2. İlgili kişinin açık rızası bulunmasa dahi kişisel verilerin işlenmesine ilişkin şartların sağlanması koşulu ile kişisel verilerin aktarılması

İlgili kişinin kişisel verilerinin yurt dışına aktarılmasına dair açık rızasının bulunmadığı hallerde, kişisel verilerin işlenmesine ilişkin veri işleme şartlarına dair işbu Politika’nın 6.2., 6.3., 6.4., 6.5., 6.6., 6.7. ve

6.8. maddeleri ile açıklanan ve KVKK’nın 5. maddesinin 2. fıkrası ile düzenlenen koşullarda kişisel verilerin yurt dışındaki üçüncü şahıslara aktarılması, Kişisel Verileri Koruma Kurulunun yayınlayacağı güvenli ülke listesi veya düzenleyeceği diğer yöntemler doğrultusunda hareket edilmesi kaydıyla mümkündür.

KVKK’nın 9. maddesi uyarınca yurt dışına kişisel verilerin aktarılması için ayrıca, verilerin aktarılacağı ülkede yeterli korumanın bulunması gerekmektedir. Kurul tarafından ilan edilecek güvenli ülke listesi, Xxxxxx tarafından takip edilecek ve Şirket iç süreçlerine dahil edilecektir. Kurul tarafından güvenli ülke listesi yayınlanıncaya kadar, kişisel verilerin yurt dışına aktarılmasının gerekmesi halinde, Veri Sorumlusu sıfatı taşıyacak Şirket ve verinin aktarılacağı ülkede verinin aktarılacağı üçüncü kişinin yeterli korumayı taahhüt etmesi kaydı ve Kurul tarafından izin verilmesi ile Şirket tarafından kişisel veriler yurt dışına aktarılacaktır.

Kurul tarafından güvenli ülke listesinin ilanından sonra, verilerin aktarılacağı ülkede yeterli koruma bulunmuyor ise, Veri Sorumlusu sıfatı taşıyacak şirket ve verinin aktarılacağı ülkede verinin aktarılacağı üçüncü kişinin yeterli korumayı taahhüt etmesi ve Kurul’un izninin bulunması kaydı ile kişisel veriler yurt dışına aktarılacaktır.

9. KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ, ANONİM HALE GETİRİLMESİ

Kişisel veriler, KVKK ve diğer mevzuat hükümleri ile işbu Politika’ya uygun olarak işlenmiş olsa dahi, verilerin işlenmesini gerektiren sebeplerin ortadan kalkması ile veya bizzat ilgili kişinin talebi doğrultusunda Şirket tarafından silinmeli, yok edilmeli veya anonim hale getirilmelidir. Şirket, verilerin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin yürürlükte olan veya yürürlüğe girecek olan tüm mevzuat hükümlerini yerine getirmeye elverişli idari ve teknik yapıyı kuracaktır.

10. VERİ SORUMLUSU ŞİRKET’İN YÜKÜMLÜLÜKLERİ

10.1. Aydınlatma Yükümlülüğü

Şirket, kişisel verilerin elde edilmesi sırasında, kişisel veri sahibini, KVKK’nın 10. maddesi doğrultusunda aşağıdaki hususlarda aydınlatmalıdır:

a. Veri sorumlusunun ve varsa temsilcisinin kimliği,

b. Kişisel verilerin hangi amaçla işleneceği,

c. Kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,

ç. Kişisel veri toplamanın yöntemi ve hukuki sebepleri,

d. Kişisel veri sahibinin sahip olduğu haklar

Şirket’in söz konusu yükümlülüğünün hukuka uygun biçimde yerine getirilebilmesi için iş süreçleri ve veri toplama kanalları gözden geçirilmiş, tespit edilen hususlar bir sınıflandırmaya tabi tutulup envantere aktarılmış, veri sahiplerinin kişisel verileri ile ilgili başvuru haklarını kullanabilmeleri için de gerekli düzenlemeler yapılmış, iletişim kanalları oluşturulmuştur.

10.2. Kişisel Verilerin Güvenliğini Sağlama Yükümlülüğü

10.2.1. Kişisel verilerin hukuka uygun işlenmesi için alınacak teknik ve idari tedbirler

Kişisel verilerin KVKK ve diğer mevzuat hükümleri ile işbu Politika ile düzenlenen ilke ve şartlarda işlenmesinin yanında Şirket, kişisel verilerin söz konusu yükümlülüklere aykırı biçimde işlenmesini engellemek üzere mevzuat ile getirilen teknik ve idari tedbirleri almakla yükümlüdür.

Bu bağlamda Şirket, kişisel verilerin hukuka aykırı olarak işlenmesini engellemek üzere sistemler kurmuş, bu sistemlerin gözetimini ve denetimini yapmak üzere ilgili personeli belirlemiş ve prosedürlerini oluşturmuştur. Şirket, gerek teknik sebeplerle gerekse hukuki sebeplerle meydana gelebilecek güncellemelerin takibini yaparak sistemin güncellemelerini de yapacaktır.

Şirket departmanları tarafından gerçekleştirilen kişisel verileri işleme faaliyetleri analiz edilerek bu kapsamda “Kişisel Veri İşleme Envanteri” çıkarılmıştır. Kişisel verilerin toplanmasından silinmesine kadar olan tüm süreçler takibi ve denetimi için gerekli idari yapı ile donanım ve yazılım altyapısı oluşturulmaktadır.

a. Çalışanlar, Kanun ve sair mevzuat ve bunlarda meydana gelen gelişmeler ışığında verilerin güvenliğinin sağlanması ve hukuka uygun işlenmesi konusunda eğitimlere tabi tutulmakta ve bilgilendirilmektedir.

b. Şirket, çalışanları ile arasındaki ilişkiyi düzenleyen ve kişisel veri içeren her türlü belgeye kişisel verilerin hukuka uygun olarak işlenmesi için KVKK ile öngörülen yükümlülüklere uygun hareket edilmesi gerektiği, kişisel verilerin ifşa edilmemesi gerektiği, kişisel verilerin hukuka aykırı olarak kullanılmaması gerektiği ve kişisel verilere ilişkin gizlilik yükümlülüğünün Şirket ile olan iş akdinin sona ermesinden sonra dahi devam ettiği yönünde kayıtlar eklemiş olup çalışanların bu yükümlülüklere uymaması iş akdinin feshine varabilecek yaptırımların uygulanmasını gerektirmektedir.

c. Çalışanlar ve veri işleyenler öğrendikleri kişisel verileri, Kanun hükümlerine aykırı olarak kullanmayacakları, 3. kişilere aktarmayacakları ve kişisel verileri şirket politikalarına ve mevzuata uygun olarak işleyecekleri, politikalarda belirtilen işleme amacı dışında kullanamayacakları ve bu yükümlülüğün işten ayrılmaları halinde de devam edeceği konusunda bilgilendirilmekte ve bu doğrultuda kendilerinden gerekli taahhütler alınmaktadır.

ç. Şirket’in tüm faaliyetleri analiz edilerek departman özelinde kişisel veri işleme faaliyetleri belirlenmiştir. Şirket, departmanların işleyişlerinin KVKK ve işbu Politika’ya dayalı yükümlülükleri yerine getirecek biçimde yürütülüp yürütülmediğini denetlemek ve bu uygulamaların sürekliliğini sağlamak üzere politika, prosedür ve diğer iç düzenlemeleri yapmış olup, güncellemeler tüm iletişim kanalları kullanılarak

personele tebliğ edilecektir. Güncellemenin yayınlanması ile birlikte yeni prosedür ve politikalar yürürlüğe

girer; güncellemelerin bağlayıcı olması için, personele tebliğ edilmiş olması şartı aranmaz.

d. Şirket, kişisel verilerin tedbirsizlikle veya yetkisiz olarak açıklanmasını, erişimini, aktarılmasını veya başka şekillerdeki tüm hukuka aykırı erişimini, hukuka aykırı amaçlarla yok edilmesini, kaybolmasını veya değiştirilmesini önlemek ve kişisel verilerin güvenli ortamlarda saklanmasını sağlamak için korunacak verinin niteliği de dikkate alınarak teknolojik imkânlar ve uygulama maliyetine göre teknik ve idari tedbirler almaktadır.

e. Şirket, kişisel verilerin hukuka aykırı olarak işlenmesini önlemek ve mevzuata uygun olarak işlenmesini ve saklanmasını sağlamak amacıyla kişisel verileri aktarmış olduğu iş ortakları, müşterileri ve tedarikçileri ile bu konuda sözleşme akdetmektedir. Bu sözleşmelerde, verilerin gizliliğini koruma altına alan hükümlerin yanında, kişisel verilerin işlenme amaçları, kapsamı ve süresi belirlenmekte, tarafların sorumlulukları, hukuka ve sözleşme hükümlerine aykırı işleme faaliyetlerini yaptırıma bağlayan hükümler açıkça düzenlenmektedir.

f. Kişisel veriler hem şirket içerisinden hem de dışarıdan hukuka aykırı bir müdahalenin önlenmesi için veri kayıt ortamları, virüs koruma programları başta olmak üzere çeşitli yazılımlar/donanımlar ve şifreler aracılığıyla korunmaktadır.

g. Şirketi sadece zorunlu durumlarda ve işi gereği kişisel veriye ulaşması gereken kişilerin kişisel verileri işlemesine izin vermekte ve yetkisiz işleme faaliyetlerini tespit etmek amacıyla gerekli teknik ve idari tedbirleri almaktadır.

h. Şirket, mevzuata uygun olarak işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde bu durumu en kısa sürede ve her halde yasal süresi içerisinde ilgili kişiye ve KVK Kurulu’na bildirilmesini sağlamak üzere gerekli işlemleri yürütür ve zarar doğmaması amacıyla alınacak her türlü önlemleri yerine getirir.

11. İLGİLİ KİŞİNİN HAKLARI

KVKK’nın 11. maddesi uyarınca ilgili kişi, Veri Sorumlusu sıfatı ile Şirket’e karşı aşağıdaki haklara sahiptir:

a. Kişisel verilerinizin işlenip işlenmediğini öğrenme,

b. Kişisel verileriniz işlenmişse buna ilişkin bilgi talep etme,

c. Kişisel verilerinizin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,

ç. Yurt içinde veya yurt dışında kişisel verilerinizin aktarıldığı üçüncü kişileri bilme,

d. Kişisel verilerinizin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,

e. Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerinizin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,

f. İşlenen verilerinizin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,

g. Kişisel verilerinizin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın

giderilmesini talep etme.

İlgili kişiler, KVKK’nın 11. ve 13. maddeleri uyarınca; veri sorumlusu sıfatı taşıyan Şirketimize, KVKK

ile ilgili talep ve bildirimlerini web sitesinde yayımlanan ilgili kişi başvuru formunu doldurarak;

• Kimliklerini tespit edici belgeler ile ıslak imzalı olarak, Xxxxxx Xxxxxxxxx, Xxxxx Xxxxxxx, Xx: 00/0 00000 Xxxxxx, Xxxxxxxx adresine şahsen başvuru ya da noter vasıtasıyla,

• xxxxx@xx00.xxx.xx adresine Kayıtlı Elektronik Posta yoluyla,

• Güvenli elektronik imza veya mobil imza ile,

• Sistemimde kayıtlı E-posta adresini kullanarak xxxx@xxxxx.xxx.xx Adresine e-posta göndererek başvurularını iletebilirler.

İlgili kişilerin yukarıda sıralanan haklarına ilişkin taleplerini yazılı olarak veya Kurul tarafından belirlenecek diğer yöntemlerle Şirket’e iletmesi durumunda, KVKK’nın 13. maddesi uyarınca Şirket talebin niteliğine göre ilgili talebi en kısa sürede ve en geç otuz gün içinde sonuçlandırılır. Xxxxxxx ayrıca bir maliyeti gerektirmesi halinde, Kurulca belirlenecek tarifedeki ücret alınabilecektir. Başvurunun Şirket’in hatasından kaynaklandığının anlaşılması halinde alınan ücret ilgili kişiye iade edilir.

Şirket tarafından ilgili başvuru sonuçlandırılırken, ilgili kişinin anlayabileceği bir dil ve formatta bilgi verilmeli ve ilgili kişiye bu bilginin kişinin talebi doğrultusunda veya kişinin bir talebi bulunmuyorsa Şirket’in seçeceği yöntem doğrultusunda yazılı olarak veya elektronik ortamda gönderilmesi sağlanmalıdır.

Şirket, talebin niteliğine göre ilgili kişinin başvuruyu kabul edebileceği gibi, gerekçesini açıklayarak reddedebilir. Başvurunun kabul edilmesi halinde talebin gereği Xxxxxx tarafından gecikmeksizin yerine getirilir.

İlgili kişinin başvurusunun reddedilmesi, verilen cevabı yetersiz bulması veya süresinde başvuruya cevap verilmemesi hallerinde 30 gün içerisinde Kurul’a şikâyet hakkı bulunduğu konusunda Şirket içinde tüm personele gerekli uyarılar yapılmalı ve farkındalık sağlanmalıdır.

12. YÜRÜRLÜK VE GÜNCELLEMELER

KVKK ve ilgili diğer mevzuat hükümleri ile işbu Politika arasında uyumsuzluk olması halinde, öncelikle KVKK ve ilgili diğer mevzuat hükümleri uygulanacaktır.

Haver Farma İlaç Anonim Şirketi tarafından düzenlenerek yürürlüğe giren Politika, Şirketin internet sitesinde xxx.xxxxx.xxx.xx adresinde yayımlanır ve kişisel veri sahiplerinin talebi üzerine ilgili kişilerin erişimine sunulur.

Document Metadata

Table of Contents

HAVER FARMA İLAÇ ANONİM ŞİRKETİ

Document Metadata