Kişisel Verilerin Korunması ve İşlenmesi Politikası

Kişisel Verilerin Korunması ve İşlenmesi Politikası

1.GİRİŞ
DeltaPV İlaç Danışmanlık Sağlık Ürün. ve Hiz. Tic. A.Ş. (“DeltaPV” veya “Şirket”), farmakovijilans hizmetleri sunmakta olan sözleşmeli bir farmakovijilans hizmet kuruluşudur.

DeltaPV, kişisel verilerin hukuka uygun olarak işlenmesine ve korunmasına önem vermektedir. Bu kapsamda işbu Kişisel Verilerin İşlenmesi ve Korunması Politikası (Politika) hazırlanmıştır. Politika, DeltaPV çalışanları dışında kişisel verileri DeltaPV tarafından işlenen tüm gerçek kişileri bilgilendirmeyi amaçlamaktadır.

Aksi belirtilmedikçe, aşağıdaki kişisel veri işleme süreçlerinde Şirket, veri sorumlusu olarak hareket etmektedir.

Politikanın hazırlanmış olduğu Türkçe dilindeki hali ile herhangi bir çeviri hali arasında bir uyuşmazlık çıktığı hallerde, Türkçe metni dikkate alınmalıdır.

2. TANIMLAR
Açık Rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.
Kişisel veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.
Kişisel verilerin işlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.
Kanun: 6698 sayılı Kişisel Verilerin Korunması Kanunu.
Kurul: Kişisel Verileri Koruma Kurulu.
Kurum: Kişisel Verileri Koruma Kurumu.
Veri Sahibi: Kişisel verisi işlenen gerçek kişi.
Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi.
Veri İşleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi.

Burada yer almayan tanımlarla ilgili olarak Kanun’da ve ikincil düzenlemelerde yer alan tanımlamalar geçerli olacaktır.

3. KİŞİSEL VERİLERİN İŞLENME ŞEKİLLERİ VE AMAÇLARI
Kişisel veriler doğrudan DeltaPV internet sitelerinden, ziyaretçilerden, müşterilerden, tedarikçilerden, iş ortaklarından veya çalışan adaylarından topladığında DeltaPV çoğunlukla veri sorumlusu olarak hareket etmektedir.

Ancak, hastalardan, raportörlerden, tüketicilerden, sağlık mesleği mensuplarından kişisel veri toplandığında ise genellikle veri işleyen olarak hareket edilmektedir. Veri sorumlusu DeltaPV müşterileri, ilgili farmakovijilans ve sağlık mevzuatı kapsamında bazı yükümlülüklerini veri işleyen olarak hareket eden DeltaPV aracılığı ile yerine getirmektedirler.

DeltaPV müşterileri ile arasında olan sözleşme kapsamında veri işleyen olarak hareket ettiği durumlarda, sunduğu farmakovijilans hizmetlerini yerine getirebilmek amacıyla, müşterileri adına kişisel verileri işlenmektedir. Bu hallerde veri sorumlusu doğrudan adına veri işlenen DeltaPV müşterileridir.

Veri işleyen olarak hareket edilen durumlarda DeltaPV müşterileri, veri sorumlusu olarak kendilerine ait hukuki yükümlülükler ve iş gereksinimlerine göre kişisel verilerinizi işleme amaçlarını ve araçlarını belirlemektedirler.

Örneğin, DeltaPV’nin advers olay bildirimlerinde raportörlerden veri topladığı hallerde, veri işleyen olarak hareket etmektedir. Advers olay kapsamında toplanan verilerin ne şekilde kullanılacağına ise, advers olay bildirimine konu ilaç/ürün üzerinde hak sahibi olan DeltaPV müşterileri, veri sorumlusu olarak karar vermektedir.

3.1. İnternet Sitesi Ziyaretçileri
DeltaPV internet sitesinde (https://www.deltapv.com/) bulunan iletişim formu veya benzeri formlar aracılığıyla toplanan kişisel veriler, ilgili formu DeltaPV’ye gönderme amacınız doğrultusunda, idari ve operasyonel süreçleri yerine getirebilmek amacıyla kullanılmaktadır. İnternet sitesinde zaman zaman çerez kullanımına yer verilebilmektedir. Çerez kullanımı ile ilgili olarak yine internet sitemizde yer alan Çerez Politikası’na bakabilirsiniz.

3.2. Çalışan Adayları
DeltaPV, ilaç sektörü için farmakovijilans hizmetleri sunmaktadır. Bu kapsamda DeltaPV internet sitesinden, kariyer sitelerinden veya doğrudan sizlerden iş başvuruları alınmaktadır. İş başvurusu için DeltaPV’ye iletmiş olduğunuz kişisel verileriniz, yalnızca çalışan adayı/stajyer seçme ve yerleştirme süreçlerinin yürütülmesi, insan kaynakları süreçlerinin planlanması ve ilgili iş için gerekli niteliklere sahip olup olmadığınızı değerlendirmek amacıyla kullanılmaktadır.

3.3. Müşteri, Tedarikçi ve İş Ortağı Bilgileri
Müşteri, tedarikçi ve iş ortağı ilişkileri ile sözleşmelerinin yönetimi için, tedarikçi, iş ortağı ve müşteri çalışanlarının isim ve soy isimleri ile iletişim bilgileri kullanılabilmektedir. Elde edilen bu veriler bu kişilerle DeltaPV arasındaki sözleşmenin kurulması veya ifası, DeltaPV’nin hukuki yükümlülüklerinin yerine getirilmesi, bir hakkın kullanılması, korunması ve tesisi veya Şirketin meşru menfaatleri hukuki sebeplerine dayanılarak işlenmektedir.

Bu kapsamda kişisel verileriniz, finans ve muhasebe işlerinin yürütülmesi, müşteri ilişkileri yönetimi süreçlerinin yürütülmesi, sözleşme süreçlerinin yürütülmesi, iletişim faaliyetlerinin yürütülmesi, denetim/etik faaliyetlerin yürütülmesi, mal/hizmet üretim ve operasyon süreçlerinin yürütülmesi, reklam/kampanya/promosyon süreçlerinin yürütülmesi, eğitim faaliyetlerinin yürütülmesi, mevzuata uyum, farmakovijilans hizmet süreçlerinin planlanması ve icrası, yetkili kişi/kurum ve kuruluşlara bilgi verilmesi gibi amaçlarla işlenebilmekte ve bu amaçların dışında üçüncü kişilerle paylaşılmamaktadır.

3.4. Misafir Log Kayıtları
DeltaPV tarafından sağlanan internet hizmetinden yararlanmanız halinde, 5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun gereğince, DeltaPV, internet sunan taraf olarak konusu suç oluşturan içeriklere erişimin engelleme ve internet kullanımına ilişkin erişim kayıtlarının tutulması hususlarında gerekli tedbirleri almakla yükümlüdür. Bu nedenle, DeltaPV’nin tarafınıza internet sağladığı durumlarda MAC ID, IP numarası ve internet kullanımınıza ilişkin log kayıtları gibi bilgileriniz hukuki yükümlülüklerin yerine getirilmesi kapsamında işlenmekte ve mevzuat gereğince yasal süre boyunca saklanmaktadır.
Log kayıtlarınız, bilgi teknolojileri alt yapısının oluşturulması ve yönetilmesi, yetkili kişi/kurum ve kuruluşlara bilgi verilmesi, ziyaretçi kayıtlarının oluşturulması ve takibi, bilgi güvenliği süreçlerinin yürütülmesi, faaliyetlerin mevzuata uygun yürütülmesi amaçlarıyla tutulmaktadır.

3.5. Hasta, Tüketici, Raportör, Sağlık Mesleği Mensubu
DeltaPV müşterileri ile, hastalara ve ilaçlarına ilişkin kişisel verilerin işlenmesini gerektiren farmakovijilans hizmet sözleşmeleri imzalamaktadır. Bu kapsamda sağlık verisi gibi özel nitelikli verilerin ve diğer kişisel verilerin işlenmesi söz konusu olabilmektedir. Bu veriler genellikle advers olay bildirimleri kapsamında mevzuatta işlenmesi açıkça öngörülen veriler olmaktadır.

Advers olay bildirimini yapan sağlık mesleği mensubu, raportör gibi kişiler hakkında ise, genellikle isim, soy isim ve iletişim bilgileri işlenebilmektedir.

DeltaPV müşterilerine farmakovijilans hizmetlerinin sunulması kapsamında işlenilen kişisel veriler için DeltaPV, veri işleyen olarak hareket etmektedir. Bu kapsamda DeltaPV müşterilerine, farmakovijilans mevzuatı ve İyi Farmakovijilans Uygulamaları Kılavuzları çerçevesinde yasal yükümlülüklerini yerine getirmeleri amacıyla destek sağlamaktadır.

Bunu yaparken ilaçların kullanımı, yan etkileri ve diğer ilaçlarla olan etkileşimleri izlenmekte ve bu kapsamda yetkili kurum ve kuruluşlara bilgi verilmektedir. Bu veri işleme faaliyetleri kamu sağlığının korunması ve koruyucu hekimlik amaçları ile gerçekleştirilmektedir.

Bu kapsamda kişisel verileriniz genel olarak, farmakovijilans hizmet süreçlerinin planlanması ve icrası, faaliyetlerin mevzuata uygun yürütülmesi, denetim/etik faaliyetlerin yürütülmesi, talep/şikayetlerin takibi, yetkili kişi/kurum ve kuruluşlara bilgi verilmesi, iletişim faaliyetlerinin yürütülmesi, kamu sağlığının korunması, koruyucu hekimlik faaliyetlerinin yerine getirilmesi gibi amaçlarla işlenmektedir.

4. KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN BENİMSENEN İLKELER
DeltaPV, kişisel verilerinizi aşağıda belirtilen ilkeler çerçevesinde işlemektedir:
• Kişisel Verilerin Hukuka ve Dürüstlük Kurallarına Uygun İşlenmesi: DeltaPV, kişisel verilerin işlenmesinde kanunlarla ve diğer hukuksal düzenlemelerle getirilen ilkelere uygun hareket eder. Şirket, dürüstlük kuralı uyarınca kişisel verileri işlerken, veri sahibi ilgili kişilerin menfaatlerini ve makul beklentilerini dikkate alarak gerektiği miktarda veri işlemeye özen gösterir.
• Doğru ve Gerektiğinde Güncel Olma: Kişisel verilerin doğru ve güncel bir şekilde tutulması veri sahibinin temel hak ve özgürlüklerinin korunması açısından önem taşımaktadır. DeltaPV, kişisel verilerin doğru ve gerektiğinde güncel olmasının sağlanmasına özen gösterir. Bu ilke doğrultusunda veri sahiplerine, doğru veya güncel olmayan verilerinin düzeltilmesini ya da silinmesini isteme hakkı tanınır.
• Belirli, Açık ve Meşru Amaçlar İçin İşlenmesi: Şirket, kişisel veri işleme amacını açık ve kesin olarak belirler ve bu amaçların hukuka uygun olmasına dikkat eder.
• İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olması: Şirket işlenen verilerin belirlenen amaçların gerçekleştirilebilmesine elverişli olmasına özen gösterir. Amacın gerçekleştirilmesiyle ilgisi olmayan veya gerekli olmayan kişisel verilerin işlenmesinden kaçınmaktadır.
• İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç İçin Gerekli Olan Süre Kadar Muhafaza Edilmesi: Şirket, “amaçla sınırlılık ilkesinin” bir gereği olarak işlediği amaç için gerekli olan süreye uygun olarak muhafaza eder ve kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri alır. Bununla birlikte kişisel veri işleme amacının ortadan kalkmasından sonra ya da mevzuatta öngörülen sürenin dolması ile birlikte kişisel veriler silinmekte, yok edilmekte veya anonimleştirilmektedir.

5. AYDINLATMA YÜKÜMLÜLÜĞÜ
Kanun’un 10. maddesi gereği veri sorumlularının ya da yetkilendirdiği kişilerin kişisel verilerin elde edilmesi sırasında ilgili kişilere aşağıdaki konularda bilgi vermesi yükümlülüğü bulunmaktadır:
a) Veri sorumlusunun ve varsa temsilcisinin kimliği,
b) Kişisel verilerin hangi amaçla işleneceği,
c) İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
d) Kişisel veri toplamanın yöntemi ve hukuki sebebi,
e) Kişisel verilerine ilişkin hakları.

DeltaPV, bu Politikayı işbu yükümlülüğü kapsamında hazırlamış olup, veri sorumlusu olarak hareket ettiği veri işleme faaliyetlerinde ilgili kişileri yukarıdaki bilgileri içeren aydınlatma metinleri ile de ayrıca bilgilendirmektedir. Bu kapsamda DeltaPV kişisel verilerin ilgili kişiden elde edilmemesi halinde ilgili kişiyi aydınlatma yükümlülüğü aşağıdaki şekilde yerine getirmektedir:
a) Kişisel verilerin elde edilmesinden itibaren makul bir süre içerisinde,
b) Kişisel verilerin ilgili kişi ile iletişim amacıyla kullanılacak olması durumunda, ilk iletişim kurulması esnasında,
c) Kişisel verilerin aktarılacak olması halinde, en geç kişisel verilerin ilk kez aktarımının yapılacağı esnada.

DeltaPV’nin veri işleyen olarak hareket ettiği durumlarda ise, Kanun’da bahsedilen aydınlatma yükümlülüğünün asli sorumluluğu veri sorumluları üzerindedir. Bu nedenle, özellikle farmakovijilans hizmetlerinin sunulması kapsamında ilgili kişilerin aydınlatılması yükümlülüğü veri sorumlusu DeltaPV müşterilerinin üzerindedir.

6. HUKUKİ SEBEP
6.1. Özel Nitelikli Olmayan Kişisel Veriler:
Özel nitelikli kişisel veriler dışındaki kişisel verileriniz Kanun’da yer alan ve aşağıda belirtilen hukuki sebeplerin bir veya birkaçına dayalı olarak işlenebilmektedir:
• Kanunda Açıkça Öngörülme: Kişisel veri işlemeye ilişkin, kanunlarda açıkça düzenlenmiş olan durumlar söz konusu olabilir. Örneğin iş ilişkisi kapsamında fatura düzenleyebilmek için bazı kişisel verileriniz kullanılabilmektedir.
• Fiili İmkânsızlık: Kişisel veriler, fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olan durumlarda, açık rıza alınmaksızın işlenebilmektedir.
• Sözleşmenin Kurulması veya İfası: DeltaPV ile aranızdaki ilişki kapsamında bir sözleşme imzalanması aşamasında ya da sözleşmenin imzalanması akabinde sözleşme ile ilgili yükümlülüklerin yerine getirilebilmesi amacıyla birtakım kişisel verileriniz işlenebilmektedir.
• Hukuki Yükümlülük: DeltaPV’nin, farmakovijilans mevzuatı başta olmak üzere, geçerli yasal mevzuat kapsamında yerine getirmesi gereken hukuki yükümlülükleri bulunmaktadır. Örneğin farmakovijilans hizmetlerini yerine getirirken ya da kanunen yetkili kamu kurumlarına bildirim yapılması gereken hallerde, kişisel verileriniz bu hukuki sebebe dayanarak işlenmektedir.
• Alenileştirme: Bazı bilgileriniz, sizin tarafınızdan kamunun bilgisine sunulmuş olabilir.
• Bir Hakkın Tesisi, Kullanılması veya Korunması: DeltaPV’ye bir iş başvurusu yaptığınızda, bilgi talebinde bulunduğunuzda başvuru ve talep haklarınızı kullanabilmeniz için kişisel verileriniz işleyebilmektedir. Bu gibi örneklerde verileriniz burada belirtilen hukuki sebebe dayalı olarak işlenmektedir.
• Meşru Menfaat: Bazı durumlarda kişisel verilerinizin işlenmesi DeltaPV’nin faaliyetleri ile ilgili meşru menfaatlerini yerine getirebilmek için gerekebilmektedir.
• Açık Rıza: DeltaPV, kişisel veri işleme faaliyetinin amacının öncelikli olarak yukarıda belirtilen hukuki sebeplerden birine dayanıp dayanmadığını değerlendirmekte; eğer bu amaç açık rıza dışındaki hukuki sebeplerden en az birini karşılamıyorsa, bu durumda veri işleme faaliyetinin devamı için açık rızanız alınmaktadır. DeltaPV’ye sağlamış olduğunuz açık rızanızı her zaman geri alabilirsiniz.

6.2. Özel Nitelikli Kişisel Veriler
Özel nitelikli kişisel veriler; ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleri ile biyometrik ve genetik verilerinizdir.

DeltaPV, farmakovijilans hizmetlerini sağlayabilmesi için sağlık verileri başta olmak üzere özel nitelikli verilerinizi işleyebilmektedir. Bununla birlikte iş başvurunuz kapsamında, işe uygunluğunuzu değerlendirebilmemiz için bazen mevzuat kapsamında sağlık verileriniz gibi özel nitelikli verilerinizi DeltaPV’ye sağlamanız gerekebilmektedir. Bu gibi durumlarda, özel nitelikli kişisel verilerinize ilişkin DeltaPV’nin dayandığı hukuki sebepler aşağıdaki gibidir:
• Sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde veri sahibinin açık rızası aranmaksızın işlenebilir.
• Sağlık ve cinsel hayata ilişkin kişisel veriler ise kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.

DeltaPV ile paylaşmış olduğunuz özel nitelikli kişisel veriler, Kurul tarafından belirlenen yeterli önlemler (detaylı bilgi için bkz. “8. Kişisel Verilerinizin Güvenliği”) alınarak işlenmektedir. Bahsedilen hukuki sebeplerin karşılanmaması halinde ise, açık rızanız alınarak bu bilgiler işlenmektedir. DeltaPV’ye sağlamış olduğunuz açık rızanızı her zaman geri alabilirsiniz.

7. KİŞİSEL VERİLERİN AKTARILMASI
Kişisel verileriniz, Kanuna ve Kurul’un belirlemiş olduğu kurallara uygun olarak Politikada belirtilen amaçlarla yurtiçi ve yurtdışına aktarılabilir. DeltaPV, işbu Politikanın 5. Bölümünde belirtilen hukuki sebeplerden bir ya da birkaçına dayanarak kişisel verilerinizi DeltaMED, ruhsat sahipleri gibi müşteri ve iş ortakları, DeltaPV’nin faaliyetlerini sürdürebilmesi için hizmet aldığı tedarikçileri, yetkili kamu kurum ve kuruluşları ile üçüncü kişilere aktarabilir.

DeltaPV, farmakovijilans hizmet kuruluşu olarak faaliyet gösteren bir Şirket olduğu için, bu kapsamda hizmetlerini veya hukuki yükümlülüklerini yerine getirebilmesi için kişisel verilerinizin zaman zaman ilaç ruhsat/izin sahipleri, ilaç ruhsat/izin sahiplerinin anlaşmalı olduğu üçüncü firmalar, ilaç ruhsat/izin sahibinin lisansörü veya global merkezi, Türkiye İlaç ve Tıbbi Cihaz Kurumu (“TİTCK”) ile paylaşılması gerekebilmektedir. Söz konusu ilaç ruhsat/izin sahiplerinin ve/veya bunlarla ilişkili üçüncü tarafların yurtdışında olduğu durumlarda, DeltaPV, kişisel verilerinizi Kanuna ve Kurul tarafından belirlenen kriterlere uygun olarak bu kişilerle paylaşır. Yurtdışı ile paylaşımın söz konusu olduğu durumlarda gerekmesi halinde kişisel verilerin paylaşılmasına ilişkin taahhütleri ve Kurul’dan gerekli onayları alır.

8. KİŞİSEL VERİLERİNİZİN GÜVENLİĞİ
DeltaPV, kişisel verilerinizin hukuka aykırı olarak işlenmesini, kişisel verilerinize hukuka aykırı olarak erişilmesini önlemek ve bu verilerin güvenli bir şekilde muhafazasını sağlamak için gerekli bir takım idari ve teknik tedbirler almaktadır. İş ilişkisi kapsamında kişisel verilerinizin üçüncü kişilere aktarıldığı hallerde de kişisel verilerinizin güvenliğini sağlamak için gerekli araçlarla paylaşıma ilişkin hususlar düzenlenmektedir. Bu kapsamda DeltaPV’nin almış olduğu idari ve teknik tedbirler şu şekildedir:
• Şirketin kayıt ve bilgi sistemlerine erişim kontrolleri ile yetkilendirmeler yapılmakta ve her bir kullanıcının kendisine özel şifre kullanımı zorunlu kılınmaktadır.
• Anti-virüs ve güvenlik duvarı kullanımı ile güvenlik açığı oluşumu engellenmeye çalışılmaktadır.
• Çalışanlara tahsis edilen elektronik cihazlara ilişkin düzenlemeler yapılmakta ve bu cihazlar ile içerisinde yer alan kişisel verilerin kullanımı sınırlandırılmaktadır.
• Kişisel veri işleyen çalışanlara yönelik, çalışma süresi içerisinde farkındalık eğitimleri düzenlenmektedir. Çalışanlar ayrıca görev ile sorumlulukları hakkında bilgilendirilmektedir.
• Veri ihlalinin gerçekleşmesi durumunda, bu durum en kısa sürede ilgilisine ve Kurula bildirilecektir.
• Kişisel verilerin paylaşıldığı taraflarla detaylı veri aktarım sözleşmeleri imzalanmakta ve sorumluluklar düzenlenmektedir.
• Veri tabanları ve kullanılan sistemler güvenlik duvarı ve saldırı önleme programları ile korunmaktadır.
• Burada belirtilen tedbirlerin Şirket içerisinde yaşatılması amacıyla denetimler düzenlenmektedir.

Yukarıda bahsedilen teknik ve idari tedbirlerin yanı sıra, DeltaPV’nin farmakovijilans hizmet kuruluşu olarak hizmetlerini yerine getirirken işlediği özel nitelikli verilere ilişkin, Kişisel Verileri Koruma Kurulunun 31.01.2018 tarihli ve 2018/10 sayılı Kararı (“Karar”) uyarınca aşağıda belirtilen yeterli önlemler alınmaktadır:
• Özel nitelikli kişisel verilerin güvenliğine yönelik sistemli, kuralları net bir şekilde belli, yönetilebilir ve sürdürülebilir ayrı bir prosedür belirlenmektedir.
• Özel nitelikli kişisel verilerin işlenmesi süreçlerinde yer alan çalışanlara yönelik,
– Kişisel verilerin korunmasına ilişkin mevzuat ile özel nitelikli kişisel veri güvenliği konularında düzenli olarak eğitimler verilmektedir;
– Gizlilik sözleşmeleri yapılmaktadır;
– Kişisel verilere erişim yetkisine sahip kullanıcıların, yetki kapsamları ve süreleri net olarak tanımlanmaktadır;
– Periyodik olarak yetki kontrolleri gerçekleştirilmektedir;
– Görev değişikliği olan ya da işten ayrılan çalışanların yetkileri derhal kaldırılmaktadır.
• Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği elektronik ortamlarda,
– Kişisel veriler şifrelenerek muhafaza edilmektedir;
– Şifreler güvenli ve farklı ortamlarda tutulmaktadır.
• Özel nitelikli veriler üzerinde gerçekleştirilen tüm hareketlere ilişkin işlem kayıtları güvenli olarak loglanmaktadır.
• Özel nitelikli verilerin bulunduğu ortamlara ait güvenlik güncellemeleri sürekli takip edilmekte ve gerekli güvenlik testleri düzenli olarak yaptırılmakta, test sonuçları kayıt altına alınmaktadır.
• Özel nitelikli verilere yazılım aracılığı ile erişildiği durumlarda; bu yazılıma ait kullanıcı yetkilendirmeleri yapılmakta, bu yazılımların güvenlik testleri düzenli olarak yaptırılmakta ve test sonuçları kayıt altına alınmaktadır.
• Uzaktan erişim için en az iki kademeli kimlik doğrulama sistemi sağlanmaktadır.
• Özel nitelikli kişisel verilerin bulunduğu fiziki ortamın niteliğine göre yeterli güvenlik önlemleri (elektrik kaçağı, yangın, su baskını, hırsızlık vb. durumlara karşı) alınmakta ve yetkisiz giriş çıkışlar engellenmektedir.
• Özel nitelikli verilerin e-posta yoluyla aktarılmasında, bu veriler şifreli olarak kurumsal e-posta adresiyle aktarılmaktadır. Bununla birlikte özel nitelikli kişisel verilerin aktarımında VPN, sFTP gibi yöntemler kullanılmaktadır.
• Özel nitelikli verilerin kâğıt ortamı yoluyla aktarımında evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemler alınmakta ve evrak “gizlilik dereceli belgeler” formatında gönderilmektedir.
• Bu önlemlerin yanı sıra Kişisel Verileri Koruma Kurumu’nun internet sitesinde yayımlanan Kişisel Veri Güvenliği Rehberi’nde belirtilen uygun güvenlik düzeyini temin etmeye yönelik diğer teknik ve idari tedbirler de dikkate alınmaktadır.

9. KİŞİSEL VERİLERİNİZİN SİLİNMESİ, YOK EDİLMESİ VEYA ANONİM HALE GETİRİLMESİ
Hukuka uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verileriniz, DeltaPV tarafından belirlenen saklama ve imha politikası çerçevesinde silinir, yok edilir veya anonim hâle getirilir.

DeltaPV, söz konusu yükümlülüğünü Kanun başta olmak üzere, Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik (RG: 28 Ekim 2017 tarih ve 30224 sayı) ve Kurul tarafından hazırlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Rehberi’ni dikkate alarak yerine getirmektedir.

Kişisel verilerin silinmesi, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.

Kişisel verilerin silinmesi işlemi için öncelikle silme işlemine konu teşkil edecek kişisel veriler belirlenmektedir. Akabinde kişisel veriye erişim/yetki matrisi kullanılarak her bir kişisel veri için ilgili kullanıcılar tespit edilmektedir. İlgili kullanıcıların kişisel veriler kapsamındaki erişim, geri getirme, tekrar kullanma yetki ve yöntemleri kapatılarak ve ortadan kaldırılarak, kişisel verilerin silme işlemi tamamlanmaktadır.

Kişisel verilerin yok edilmesi, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Kişisel verilerin anonim hale getirilmesi ise, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.

DeltaPV, kişisel verilerinizin silinmesi, yok edilmesi veya anonim hale getirilebilmesi için gerekli teknik ve idari tedbirleri almaktadır.

10. KİŞİSEL VERİLERİNİZE İLİŞKİN HAKLARINIZ
DeltaPV ile paylaştığınız ya da sizinle ilgili üçüncü kişilerden elde edilen kişisel verileriniz ile ilgili aşağıda yer alan haklara sahipsiniz:
• Kişisel verilerinizin işlenip işlenmediği, işleniyorsa buna ilişkin bilgileri talep etme,
• Kişisel verilerinizin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
• Eğer var ise, yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişilere ilişkin bilgi talep etme,
• Kişisel verilerinizin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme veya kişisel verilerinizin silinmesini veya yok edilmesini isteme, bu talepler uyarınca yapılan işlemlerin varsa kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
• Kişisel verilerinizin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle bir veri işleme söz konusu ise aleyhinize bir sonucun ortaya çıkmasına durumunda bu sonuca itiraz etme,
• Kişisel verilerinizin kanuna aykırı olarak işlenmesi sebebiyle zarara uğramanız hâlinde zararınızın giderilmesini talep etme.

Kişisel verilerinize ilişkin taleplerinizi internet sitemizde (https://www.deltapv.com/) yer alan “Veri Sahibi Başvuru Formu’nu doldurarak, ilgili formda belirtilen yöntemlerle DeltaPV’ye iletebilirsiniz. Talepleriniz mümkün olan en kısa sürede ve en çok 30 gün içinde yanıtlanıyor olacaktır.