DeltaPV İlaç Danışmanlık Sağlık Ürün. ve Hiz. Tic. A.Ş. (“DeltaPV” veya “Şirket”), farmakovijilans hizmetleri sunmakta olan sözleşmeli bir farmakovijilans hizmet kuruluşudur.
DeltaPV, kişisel verilerin hukuka uygun olarak işlenmesine ve korunmasına önem vermektedir. Bu kapsamda işbu Kişisel Verilerin İşlenmesi ve Korunması Politikası (Politika) hazırlanmıştır. Politika, DeltaPV çalışanları dışında kişisel verileri DeltaPV tarafından işlenen tüm gerçek kişileri bilgilendirmeyi amaçlamaktadır.
Aksi belirtilmedikçe, aşağıdaki kişisel veri işleme süreçlerinde Şirket, veri sorumlusu olarak hareket etmektedir.
Politikanın hazırlanmış olduğu Türkçe dilindeki hali ile herhangi bir çeviri hali arasında bir uyuşmazlık çıktığı hallerde, Türkçe metni dikkate alınmalıdır.
Açık Rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.
Kişisel veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.
Kişisel verilerin işlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.
Kanun: 6698 sayılı Kişisel Verilerin Korunması Kanunu.
Kurul: Kişisel Verileri Koruma Kurulu.
Kurum: Kişisel Verileri Koruma Kurumu.
Veri Sahibi: Kişisel verisi işlenen gerçek kişi.
Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi.
Veri İşleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi.
Burada yer almayan tanımlarla ilgili olarak Kanun’da ve ikincil düzenlemelerde yer alan tanımlamalar geçerli olacaktır.
Kişisel veriler doğrudan DeltaPV internet sitelerinden, ziyaretçilerden, müşterilerden, tedarikçilerden, iş ortaklarından veya çalışan adaylarından topladığında DeltaPV çoğunlukla veri sorumlusu olarak hareket etmektedir.
Ancak, hastalardan, raportörlerden, tüketicilerden, sağlık mesleği mensuplarından kişisel veri toplandığında ise genellikle veri işleyen olarak hareket edilmektedir. Veri sorumlusu DeltaPV müşterileri, ilgili farmakovijilans ve sağlık mevzuatı kapsamında bazı yükümlülüklerini veri işleyen olarak hareket eden DeltaPV aracılığı ile yerine getirmektedirler.
DeltaPV müşterileri ile arasında olan sözleşme kapsamında veri işleyen olarak hareket ettiği durumlarda, sunduğu farmakovijilans hizmetlerini yerine getirebilmek amacıyla, müşterileri adına kişisel verileri işlenmektedir. Bu hallerde veri sorumlusu doğrudan adına veri işlenen DeltaPV müşterileridir.
Veri işleyen olarak hareket edilen durumlarda DeltaPV müşterileri, veri sorumlusu olarak kendilerine ait hukuki yükümlülükler ve iş gereksinimlerine göre kişisel verilerinizi işleme amaçlarını ve araçlarını belirlemektedirler.
Örneğin, DeltaPV’nin advers olay bildirimlerinde raportörlerden veri topladığı hallerde, veri işleyen olarak hareket etmektedir. Advers olay kapsamında toplanan verilerin ne şekilde kullanılacağına ise, advers olay bildirimine konu ilaç/ürün üzerinde hak sahibi olan DeltaPV müşterileri, veri sorumlusu olarak karar vermektedir.
İnternet Sitesi Ziyaretçileri
DeltaPV internet sitesinde (http://www.deltapv.com/) bulunan iletişim formu veya benzeri formlar aracılığıyla toplanan kişisel veriler, ilgili formu DeltaPV’ye gönderme amacınız doğrultusunda, idari ve operasyonel süreçleri yerine getirebilmek amacıyla kullanılmaktadır. İnternet sitesinde zaman zaman çerez kullanımına yer verilebilmektedir. Çerez kullanımı ile ilgili olarak yine internet sitemizde yer alan Çerez Politikası’na bakabilirsiniz.
Çalışan Adayları
DeltaPV, ilaç sektörü için farmakovijilans hizmetleri sunmaktadır. Bu kapsamda DeltaPV internet sitesinden, kariyer sitelerinden veya doğrudan sizlerden iş başvuruları alınmaktadır. İş başvurusu için DeltaPV’ye iletmiş olduğunuz kişisel verileriniz, yalnızca çalışan adayı/stajyer seçme ve yerleştirme süreçlerinin yürütülmesi, insan kaynakları süreçlerinin planlanması ve ilgili iş için gerekli niteliklere sahip olup olmadığınızı değerlendirmek amacıyla kullanılmaktadır.
Müşteri, Tedarikçi ve İş Ortağı Bilgileri
Müşteri, tedarikçi ve iş ortağı ilişkileri ile sözleşmelerinin yönetimi için, tedarikçi, iş ortağı ve müşteri çalışanlarının isim ve soy isimleri ile iletişim bilgileri kullanılabilmektedir. Elde edilen bu veriler bu kişilerle DeltaPV arasındaki sözleşmenin kurulması veya ifası, DeltaPV’nin hukuki yükümlülüklerinin yerine getirilmesi, bir hakkın kullanılması, korunması ve tesisi veya Şirketin meşru menfaatleri hukuki sebeplerine dayanılarak işlenmektedir.
Bu kapsamda kişisel verileriniz, finans ve muhasebe işlerinin yürütülmesi, müşteri ilişkileri yönetimi süreçlerinin yürütülmesi, sözleşme süreçlerinin yürütülmesi, iletişim faaliyetlerinin yürütülmesi, denetim/etik faaliyetlerin yürütülmesi, mal/hizmet üretim ve operasyon süreçlerinin yürütülmesi, reklam/kampanya/promosyon süreçlerinin yürütülmesi, eğitim faaliyetlerinin yürütülmesi, mevzuata uyum, farmakovijilans hizmet süreçlerinin planlanması ve icrası, yetkili kişi/kurum ve kuruluşlara bilgi verilmesi gibi amaçlarla işlenebilmekte ve bu amaçların dışında üçüncü kişilerle paylaşılmamaktadır.
Misafir Log Kayıtları
DeltaPV tarafından sağlanan internet hizmetinden yararlanmanız halinde, 5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun gereğince, DeltaPV, internet sunan taraf olarak konusu suç oluşturan içeriklere erişimin engelleme ve internet kullanımına ilişkin erişim kayıtlarının tutulması hususlarında gerekli tedbirleri almakla yükümlüdür. Bu nedenle, DeltaPV’nin tarafınıza internet sağladığı durumlarda MAC ID, IP numarası ve internet kullanımınıza ilişkin log kayıtları gibi bilgileriniz hukuki yükümlülüklerin yerine getirilmesi kapsamında işlenmekte ve mevzuat gereğince yasal süre boyunca saklanmaktadır.
Log kayıtlarınız, bilgi teknolojileri alt yapısının oluşturulması ve yönetilmesi, yetkili kişi/kurum ve kuruluşlara bilgi verilmesi, ziyaretçi kayıtlarının oluşturulması ve takibi, bilgi güvenliği süreçlerinin yürütülmesi, faaliyetlerin mevzuata uygun yürütülmesi amaçlarıyla tutulmaktadır.
Hasta, Tüketici, Raportör, Sağlık Mesleği Mensubu
DeltaPV müşterileri ile, hastalara ve ilaçlarına ilişkin kişisel verilerin işlenmesini gerektiren farmakovijilans hizmet sözleşmeleri imzalamaktadır. Bu kapsamda sağlık verisi gibi özel nitelikli verilerin ve diğer kişisel verilerin işlenmesi söz konusu olabilmektedir. Bu veriler genellikle advers olay bildirimleri kapsamında mevzuatta işlenmesi açıkça öngörülen veriler olmaktadır.
Advers olay bildirimini yapan sağlık mesleği mensubu, raportör gibi kişiler hakkında ise, genellikle isim, soy isim ve iletişim bilgileri işlenebilmektedir.
DeltaPV müşterilerine farmakovijilans hizmetlerinin sunulması kapsamında işlenilen kişisel veriler için DeltaPV, veri işleyen olarak hareket etmektedir. Bu kapsamda DeltaPV müşterilerine, farmakovijilans mevzuatı ve İyi Farmakovijilans Uygulamaları Kılavuzları çerçevesinde yasal yükümlülüklerini yerine getirmeleri amacıyla destek sağlamaktadır.
Bunu yaparken ilaçların kullanımı, yan etkileri ve diğer ilaçlarla olan etkileşimleri izlenmekte ve bu kapsamda yetkili kurum ve kuruluşlara bilgi verilmektedir. Bu veri işleme faaliyetleri kamu sağlığının korunması ve koruyucu hekimlik amaçları ile gerçekleştirilmektedir.
Bu kapsamda kişisel verileriniz genel olarak, farmakovijilans hizmet süreçlerinin planlanması ve icrası, faaliyetlerin mevzuata uygun yürütülmesi, denetim/etik faaliyetlerin yürütülmesi, talep/şikayetlerin takibi, yetkili kişi/kurum ve kuruluşlara bilgi verilmesi, iletişim faaliyetlerinin yürütülmesi, kamu sağlığının korunması, koruyucu hekimlik faaliyetlerinin yerine getirilmesi gibi amaçlarla işlenmektedir.
DeltaPV, kişisel verilerinizi aşağıda belirtilen ilkeler çerçevesinde işlemektedir:
Kanun’un 10. maddesi gereği veri sorumlularının ya da yetkilendirdiği kişilerin kişisel verilerin elde edilmesi sırasında ilgili kişilere aşağıdaki konularda bilgi vermesi yükümlülüğü bulunmaktadır:
DeltaPV, bu Politikayı işbu yükümlülüğü kapsamında hazırlamış olup, veri sorumlusu olarak hareket ettiği veri işleme faaliyetlerinde ilgili kişileri yukarıdaki bilgileri içeren aydınlatma metinleri ile de ayrıca bilgilendirmektedir. Bu kapsamda DeltaPV kişisel verilerin ilgili kişiden elde edilmemesi halinde ilgili kişiyi aydınlatma yükümlülüğü aşağıdaki şekilde yerine getirmektedir:
DeltaPV’nin veri işleyen olarak hareket ettiği durumlarda ise, Kanun’da bahsedilen aydınlatma yükümlülüğünün asli sorumluluğu veri sorumluları üzerindedir. Bu nedenle, özellikle farmakovijilans hizmetlerinin sunulması kapsamında ilgili kişilerin aydınlatılması yükümlülüğü veri sorumlusu DeltaPV müşterilerinin üzerindedir.
6.1. Özel Nitelikli Olmayan Kişisel Veriler:
Özel nitelikli kişisel veriler dışındaki kişisel verileriniz Kanun’da yer alan ve aşağıda belirtilen hukuki sebeplerin bir veya birkaçına dayalı olarak işlenebilmektedir:
6.2. Özel Nitelikli Kişisel Veriler
Özel nitelikli kişisel veriler; ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleri ile biyometrik ve genetik verilerinizdir.
DeltaPV, farmakovijilans hizmetlerini sağlayabilmesi için sağlık verileri başta olmak üzere özel nitelikli verilerinizi işleyebilmektedir. Bununla birlikte iş başvurunuz kapsamında, işe uygunluğunuzu değerlendirebilmemiz için bazen mevzuat kapsamında sağlık verileriniz gibi özel nitelikli verilerinizi DeltaPV’ye sağlamanız gerekebilmektedir. Bu gibi durumlarda, özel nitelikli kişisel verilerinize ilişkin DeltaPV’nin dayandığı hukuki sebepler aşağıdaki gibidir:
DeltaPV ile paylaşmış olduğunuz özel nitelikli kişisel veriler, Kurul tarafından belirlenen yeterli önlemler (detaylı bilgi için bkz. “8. Kişisel Verilerinizin Güvenliği”) alınarak işlenmektedir. Bahsedilen hukuki sebeplerin karşılanmaması halinde ise, açık rızanız alınarak bu bilgiler işlenmektedir. DeltaPV’ye sağlamış olduğunuz açık rızanızı her zaman geri alabilirsiniz.
Kişisel verileriniz, Kanuna ve Kurul’un belirlemiş olduğu kurallara uygun olarak Politikada belirtilen amaçlarla yurtiçi ve yurtdışına aktarılabilir. DeltaPV, işbu Politikanın 5. Bölümünde belirtilen hukuki sebeplerden bir ya da birkaçına dayanarak kişisel verilerinizi DeltaMED, ruhsat sahipleri gibi müşteri ve iş ortakları, DeltaPV’nin faaliyetlerini sürdürebilmesi için hizmet aldığı tedarikçileri, yetkili kamu kurum ve kuruluşları ile üçüncü kişilere aktarabilir.
DeltaPV, farmakovijilans hizmet kuruluşu olarak faaliyet gösteren bir Şirket olduğu için, bu kapsamda hizmetlerini veya hukuki yükümlülüklerini yerine getirebilmesi için kişisel verilerinizin zaman zaman ilaç ruhsat/izin sahipleri, ilaç ruhsat/izin sahiplerinin anlaşmalı olduğu üçüncü firmalar, ilaç ruhsat/izin sahibinin lisansörü veya global merkezi, Türkiye İlaç ve Tıbbi Cihaz Kurumu (“TİTCK”) ile paylaşılması gerekebilmektedir. Söz konusu ilaç ruhsat/izin sahiplerinin ve/veya bunlarla ilişkili üçüncü tarafların yurtdışında olduğu durumlarda, DeltaPV, kişisel verilerinizi Kanuna ve Kurul tarafından belirlenen kriterlere uygun olarak bu kişilerle paylaşır. Yurtdışı ile paylaşımın söz konusu olduğu durumlarda gerekmesi halinde kişisel verilerin paylaşılmasına ilişkin taahhütleri ve Kurul’dan gerekli onayları alır.
DeltaPV, kişisel verilerinizin hukuka aykırı olarak işlenmesini, kişisel verilerinize hukuka aykırı olarak erişilmesini önlemek ve bu verilerin güvenli bir şekilde muhafazasını sağlamak için gerekli bir takım idari ve teknik tedbirler almaktadır. İş ilişkisi kapsamında kişisel verilerinizin üçüncü kişilere aktarıldığı hallerde de kişisel verilerinizin güvenliğini sağlamak için gerekli araçlarla paylaşıma ilişkin hususlar düzenlenmektedir. Bu kapsamda DeltaPV’nin almış olduğu idari ve teknik tedbirler şu şekildedir:
Yukarıda bahsedilen teknik ve idari tedbirlerin yanı sıra, DeltaPV’nin farmakovijilans hizmet kuruluşu olarak hizmetlerini yerine getirirken işlediği özel nitelikli verilere ilişkin, Kişisel Verileri Koruma Kurulunun 31.01.2018 tarihli ve 2018/10 sayılı Kararı (“Karar”) uyarınca aşağıda belirtilen yeterli önlemler alınmaktadır:
Hukuka uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verileriniz, DeltaPV tarafından belirlenen saklama ve imha politikası çerçevesinde silinir, yok edilir veya anonim hâle getirilir.
DeltaPV, söz konusu yükümlülüğünü Kanun başta olmak üzere, Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik (RG: 28 Ekim 2017 tarih ve 30224 sayı) ve Kurul tarafından hazırlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Rehberi’ni dikkate alarak yerine getirmektedir.
Kişisel verilerin silinmesi, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.
Kişisel verilerin silinmesi işlemi için öncelikle silme işlemine konu teşkil edecek kişisel veriler belirlenmektedir. Akabinde kişisel veriye erişim/yetki matrisi kullanılarak her bir kişisel veri için ilgili kullanıcılar tespit edilmektedir. İlgili kullanıcıların kişisel veriler kapsamındaki erişim, geri getirme, tekrar kullanma yetki ve yöntemleri kapatılarak ve ortadan kaldırılarak, kişisel verilerin silme işlemi tamamlanmaktadır.
Kişisel verilerin yok edilmesi, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Kişisel verilerin anonim hale getirilmesi ise, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.
DeltaPV, kişisel verilerinizin silinmesi, yok edilmesi veya anonim hale getirilebilmesi için gerekli teknik ve idari tedbirleri almaktadır.
DeltaPV ile paylaştığınız ya da sizinle ilgili üçüncü kişilerden elde edilen kişisel verileriniz ile ilgili aşağıda yer alan haklara sahipsiniz:
Kişisel verilerinize ilişkin taleplerinizi internet sitemizde (http://www.deltapv.com/) yer alan “Veri Sahibi Başvuru Formu’nu doldurarak, ilgili formda belirtilen yöntemlerle DeltaPV’ye iletebilirsiniz. Talepleriniz mümkün olan en kısa sürede ve en çok 30 gün içinde yanıtlanıyor olacaktır.