KVKK

LUNDBECK TÜRKİYE Kişisel Verilerin Korunması, İşlenmesi ve Veri Sahibi Başvuruları Hakkında Genel Bilgiler Kişisel verileri Lundbeck Türkiye tarafından işlenen tüm gerçek kişiler (“Veri Sahibi”), 6698 Sayılı Kişisel Verilerin Korunması Kanunu’nun (“Kanun”) 11. Maddesinde düzenlendiği üzere, (i) Kişisel Verisinin işlenip işlenmediğini öğrenme, (ii) Kişisel Veri işlenmişse, buna ilişkin bilgi talep etme, (iii) Kişisel Veri işleme amacını ve verilerin amaca uygun kullanılıp kullanılmadığını öğrenme, (iv) Kişisel Verilerin aktarıldığı üçüncü kişileri öğrenme, (v) Kişisel Veriler eksik ya da yanlış işlenmişse bunların düzeltilmesini isteme ve bunun Kişisel Verilerin aktarıldığı üçüncü kişilere bildirilmesini talep etme hakları ile (vi) Kişisel Verilerin Kanun’a aykırı işlenmesi sebebiyle zarara uğranması durumunda tazminat talep etme haklarını haiz olup, Lundbeck tarafından Veri Sahibinin talebi üzerine alınan tüm talep ve şikayetler, en kısa süre içerisinde cevaplandırılacak ve sonuçlandırılacaktır. Bu çerçevede, Veri Sahipleri, ekteki Başvuru Formu ile talep ve şikâyetlerini iletebilir. Ancak talebin sonuçlarının tebliği ve talebin yerine getirilmesinden önce şikayette bulunan kişinin şikayet konusu Kişisel Verinin Sahibi olup olmadığı teyit edilmelidir. Bu çerçevede, Lundbeck tarafından kimlik kontrolü yapılmak kaydıyla satış kanalları vasıtasıyla şahsen veya vekaleten yapılan başvurular, noter kanalı ile yapılan başvurular ve güvenli elektronik imza kullanılmak kaydıyla kayıtlı elektronik posta adresleri ile [email protected] veya İnsan Kaynakları Müdürü mail adresine ([email protected]), Sağlık Meslek mensubu (SMM) ve hasta verisi için bilim servisine ([email protected]) iletilen başvurular hariç olmak üzere, başvuru sonuçlarının tebliğinden önce kimlik ispatı için başvuru detayları belirtilerek ya da başvurunun bir kopyası eklenerek başvuru yapılmalı, noter aracılığıyla kimlik ispatı yapılmalı ya da güvenlik elektronik imza ile başvurunun kişi adına yapıldığı doğrulanmalıdır. Aksi halde, başvuru neticesi, ilgili kişiye teslim edilmeyecektir. Başvurular, en fazla 30 gün içerisinde olmak şartıyla, mümkün olan en kısa sürede ve mümkünse Veri Sahibine ek bir masraf yansıtılmaksızın söz konusu yanıtlanacak ve talepler uygulanabilir olması halinde yerine getirilecektir. Kanun uyarınca, Veri Sahibinin cevabını öğrendiği tarihten itibaren 30 ve her hâlde ilk başvuru tarihinden itibaren 60 gün içinde Kurula başvurma hakkı vardır. VERİ SAHİBİ BAŞVURU FORMU BAŞVURU SAHİBİ Adı-Soyadı : T.C. Kimlik Numarası : Telefon Numarası : E-Posta : Adres : Yanıt Tercihi : Email/telefon/adres BAŞVURU KONUSU VERİ GRUBU Müşteri Verisi Potansiyel Müşteri Verisi Hasta Verisi Çalışan Verisi Çalışan Adayı Verisi SMM Verisi Diğer BAŞVURU KONUSU TALEBE İLİŞKİN DETAYLAR BAŞVURU SAHİBİ İMZASI VE TARİH VERİ SAHİBİ BAŞVURU FORMU GENEL BİLGİLENDİRME Şahsıma ait bildirmiş olduğum, işbu form ile yazılı olarak verdiğim bilgiler dahil ve fakat bunlarla sınırlı olmamak üzere, ad, soyad, e-mail, cep telefonu, ev telefonu, adres, T.C. kimlik numarası ve benzeri tüm kişisel verilerimin; Lundbeck tarafından, 07 Nisan 2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) uyarınca, gelen şikayet ve taleplerin gerekliliklerinin yerine getirilmesi, analiz yapılması ve benzeri amaçlar için işlenmesine ve söz konusu veri işleme amaçlarının gerçekleştirilmesi ve Lundbeck ilke, operasyon, süreç, hedef ve stratejilerine uygun olarak yürütülmesi ile Lundbeck’in hak ve menfaatleri ile itibarının korunması amacıyla gerekli görülmesi halinde, Lunmdbeck ilke, operasyon, süreç, hedef ve stratejilerinin aktarılmasını gerektirdiği durumlarda üçüncü kişi iş ortakları, hizmet / destek / danışmanlık alınan ya da işbirliği yapılan özel kişi ve kurumlar ile Kişisel Verileri Koruma Kurum ve Kurulu dahil tüm kamu kurumu ve kuruluşları ve sair üçüncü kişi ya da kuruluşlar ile paylaşılmasına; (i) kişisel verilerimin işlenip işlenmediğini öğrenme, (ii) kişisel verilerim işlenmişse, buna ilişkin bilgi talep etme, (iii) kişisel verimin işleme amacını ve verilerimin amaca uygun kullanılıp kullanılmadığını öğrenme, (iv) kişisel verilerimin aktarıldığı üçüncü kişileri öğrenme ve (v) kişisel verilerim eksik ya da yanlış işlenmişse bunların düzeltilmesini isteme ve bunun kişisel verilerimin aktarıldığı üçüncü kişilere bildirilmesini talep etme ve (vi) kişisel verilerimin Kanun’a ve Politika’ya aykırı işlenmesi sebebiyle zarara uğramam durumunda tazminat talep etme haklarımı saklı tutmak kaydıyla, açık şekilde rıza verdiğimi kabul ve beyan ederim. İşbu Başvuru Formu ile Kanun’a aykırı olarak hukuka aykırı şekilde veri paylaşımını engellemek adına, Lundbeck tarafından güvenliğin sağlanması amacıyla, kimlik doğrulamak için her tür veri ve belge talep edilebileceğini, şikâyet konusu ile ilgili olarak Lundbeck çalışanlarının benimle iletişime geçebileceğini ve işbu form ile iletmiş olduğum bilgi ve belgelerin doğru ve güncel olmaması halinde Lundbeck hiçbir sorumluluğu olmayacağını kabul ederim. ADI SOYADI : TARİH : İMZA : 1 LUNDBECK KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASI (“POLİTİKA”) 2 GİRİŞ İşbu Politika, Lundbeck Türkiye tarafından kişisel verilerin korunması ve hukuka uygun işlenmesi için benimsenecek ve içselleştirilecek süreç ve prosedürleri ifade etmektedir. İşbu Politika’nın amacı, kişisel verilerin güvenliği ve korunması hususunda gerekli teknik ve idari önlemleri alarak, kişisel verilerin 6698 Sayılı Kişisel Verilerin Korunması Kanunu’na (“KVKK” veya “Kanun”) uyumlu olarak işlenmesinin ve tutulmasının içselleştirilmesi ve çalışanlar ve tüm iş ortaklarında gerekli farkındalığın yaratılarak Kanun’a uyum sağlanmasıdır. İşbu Politika, Lundbeck tarafından tutulan ve çalışanlarına, müşterilerine, tedarikçilerine ve diğer tüm bireylere ait kişisel verilerin hukuka uygun bir biçimde işlendiğinden, Kanun ve buna ait değişiklikler kapsamında öngörülen gereklilikler de dâhil olmak üzere, ilgili tüm yasal gerekliliklere uyulduğundan ve Lundbeck iç prosedürlerinin dürüstlük kurallarına ve hukuka uygunluğu sağlamak için periyodik olarak denetlendiğinden emin olmak için gerekli tüm adımların atılması amacıyla hazırlanmıştır. Lundbeck Türkiye 3 TANIMLAR Veri: Elektronik olarak bilgisayarda ya da bir takım kâğıt bazlı dosyalama sistemlerinde saklanan bilgileri ifade etmektedir. Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade etmektedir. Özel Nitelikli/ Hassas Kişisel Veri: Irka, etnik kökene, siyasi düşüncelere, felsefi inanca, dine, mezhebe veya diğer inançlara, kılık ve kıyafete, dernek, vakıf ya da sendika üyeliklerine, sağlığa, cinsel hayata, ceza mahkûmiyeti ve güvenlik tedbirlerine ve biyometrik verilere ilişkin verileri ifade etmektedir. Hassas veriler sadece sıkı şartlar altında işlenebilirler ve işlenmesi genellikle veri sahibinin açık rızasını gerektirmektedir. Veri İlgilisi veya Sahipleri: Kişisel Verileri Lundbeck tarafından işlenen çalışanlar dahil tüm gerçek kişileri kapsamaktadır. Veri sahibi Türk vatandaşı olmak ya da Türkiye’de ikamet etmek zorunda değildir. Tüm veri sahipleri, kendi kişisel verilerine ilişkin yasal haklara sahiptir. Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade etmektedir. Bu kişilerin, Kanun’a uygun olarak uygulamalar ve ilkeler belirlemek yönünde sorumlulukları vardır. Lundbeck’in iş süreçlerinde kullanılan tüm kişisel verilere ilişkin veri sorumlusu Lundbeck olacaktır. Veri İşleyen: Bir veri sorumlusu tarafından verilen yetkiye dayanarak ve onun adına veri işleyen herhangi bir kişidir. Veri sorumlusunun çalışanlar bu tanımın dışındadır, ancak uygulanabilir olması halinde, Lundbeck adına kişisel veri işleyen tedarikçiler, iş ortakları ve diğer üçüncü kişiler bu tanıma dahil edilebilir. Veri İşleme/ İşleme: Veri kullanımına ilişkin her türlü aktiviteyi kapsamaktadır. Verinin elde edilmesi, kaydedilmesi ya da tutulmasını, ya da veriyi düzenlenme, değiştirme, geri alma, kullanma, açıklama, silme ya da yok etme de dâhil olmak üzere veri üzerinde yürütülen bir veya bir takım işlemleri içerir. Verinin üçüncü kişilere aktarılması da verinin işlenmesi anlamına gelmektedir. Sağlık Mesleği Mensubu (SMM): Hekim, diş hekimi, eczacı, hemşire, ebe ve 11/4/1928 tarihli ve 1219 sayılı Tababet ve Şuabatı San’atlarının Tarzı İcrasına Dair Kanunun Ek 13 üncü maddesinde tanımlanan diğer meslek mensuplarıdır. 4 A. POLİTİKANIN AMACI İşbu Politika ile Lundbeck tarafından Kanun’a uyum için gerekli düzenlemelerin benimsenmesinin sağlanması, uygulanacak politikaların düzenlenmesi ve iştirakler arasında bir birliğin oluşturulmasıdır. Bu bağlamda Politika, Kanun ve ilgili mevzuat tarafından konulan kuralların Lundbeck tarafından nasıl uygulandığına / uygulayacağına ilişkin temel ve tüm iş birimleri için geçerli kurallar ve ilkelerin belirlenmesini amaç edinmektedir. Lundbeck tüm iç süreçlerini Politika’ya uygun hale getirecektir. Politika’ya uyum için gerekli düzenlemeleri yapacak ve belirli aralıklara Politika’ya uyum konusunda, denetim mekanizmalarını işleterek Politika’ya uyumun devamlılığını sağlayacaklardır. Tüm çalışanlarının Politika’ya uyumunu teyit edecek ve değişiklikler hakkında tüm ilgililerin bilgilendirilmesini temin edecektir. Değişen ve yenilenen süreçlere, en kısa sürede uyum gösterilmesi için şirket içi eğitimler düzenlenecek ve tüm çalışanlar nezdinde tüm sürecin Kanun’a uygun yürütülmesinden sorumlu olacaktır. B. KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN İLKELER Lundbeck bakımından önem arz eden hususlardan biri, Kişisel Verilerin Kanun ve ilgili mevzuatta öngörülen genel ilkelere uygun olarak işlenmesidir. Bu kapsamda, Lundbeck tarafından Kişisel Veriler; a) Hukuka ve iyi niyete uygun olarak işlenmelidir: – Bu ilkenin amacı Kişisel Verinin işlenmesi önlemek değil, Kişisel Verilerin işlenmesinin dürüstlük kurallarına ve hukuka uygun, Veri İlgisinin haklarını olumsuz şekilde etkilemeyecek şekilde yapıldığından emin olmaktır. – Veri Sahibine, Veri Sorumlusunun kim olduğu, verinin Lundbeck tarafından hangi amaçla işleneceği, verinin açıklanabileceği veya aktarılabileceği kişilerin kimliği ve bu veri sahibinin hakları söylenmelidir. – Kişisel Verinin hukuka uygun olarak işlenebilmesi için bir takım şartların sağlanması gerekir. Bunlar, diğerlerinin yanı sıra, Veri Sahibinin Kişisel Verilerinin işlenmesine rıza göstermiş olması ya da işlemenin Veri Sorumlusunun veya verinin açıklandığı üçüncü kişinin meşru menfaati kapsamında gerekli olması gibi gereklilikleri içerebilir. Bazı durumlarda Veri Sahibinin ilgili verinin işlenmesine ilişkin açık onay vermesi gerekebilir. – Kişisel Veriler, Veri Sahibinin açık rızası halinde İşleme hariç olarak, ancak işlemenin kanunlarda açıkça öngörülmüş olması; fiili imkansızlık nedeniyle rızasını açıklayamayacak durumunda bulunan veya rızasına hukuki geçerlilik 5 tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması; bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması; işlemenin veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması; işlenen verinin ilgili kişinin kendisi tarafından alenileştirilmiş olması; işlemenin bir hakkın tesisi, kullanılması veya korunması için zorunlu olması; ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, işlemenin veri sorumlusunun meşru menfaatleri için zorunlu olması hallerinden birinin varlığı halinde işlenecektir. Ancak Kişisel Verilerin işlenmesine ilişkin burada sınırlı olarak sayılan istisnalar kapsamında işlenen verilerin Veri İlgililer dahiline, Kanun’un 16. Maddesi uyarınca öngörülen Aydınlatma Yükümlülüğü’nü kapsayacak şekilde bilgilendirme yapılacak, söz konusu bilgilendirme ile Kişisel Verilerin Lundbeck tarafından işbu Politika uyarınca işlendiği konusunda bilgi verilecek ve verilerin Kanun, ilgili mevzuat ve işbu Politika’ya uygun olarak işlendiği teyit edilecektir. – Lundbeck, bu çerçevede, Kanun’daki düzenlemelere uyum için gerekli süreçleri oluşturacaktır. b) Belirli, açık ve meşru amaçlar için işlenmelidir: – Kişisel Veri, verinin ilk toplandığı sırada Veri Sahibine bildirilen belirli amaçlar çerçevesinde ya da Kanun tarafından özellikle izin verilen herhangi başka bir amaçla işlenebilir. Bu, Kişisel Verinin belirli bir amaç için toplanıp, sonradan başka bir amaç için kullanılamayacağı anlamına gelir. Eğer Kişisel Verinin işlenme amacının değiştirilmesi zorunlu hale gelirse, Kişisel Veri işlenmeden önce veri sahibinin söz konusu yeni işleme amacından haberdar edilmesi gerekir. c) Sınırlı, ölçülü ve amaç için gerekli şekilde işlenmelidir: – Kişisel veri, sadece Veri Sahibine bildirilen belirli amacın gerektirdiği ölçüde toplanmalıdır. Bu amaç için gerekli olmayan herhangi bir verinin toplanmaması gerekir. Tüm çalışanlar gerekli olmayan kişisel verileri almaktan kaçınmalıdır. Tedarikçilerle/üçüncü kişilerle imzalanan sözleşmeler de bu kuralı yürürlüğe koyan mekanizmalar içermelidir. d) Doğru ve gerektiğinde güncel olmalıdır: – Veri Sahiplerinin verilerini güncellemeleri için olanaklar tanınmalı ve bu olanaklar konusunda Veri Sahipleri bilgilendirilmelidir. Kişisel verilerin alınması sırasında, güncelleme süreçlerine ilişkin Veri Sahiplerine bilgi verilmelidir. Çalışanlar tarafından da belirli aralıklarla verilerin güncelliği teyit edilmeli ve güncel olmayan 6 veya güncel olarak işlenmesinde yarar görülmeyen tüm veriler, güncellenme imkanı söz konusu değil ise silinmeli ya da anonim hale getirilmelidir. e) İlgili mevzuat uyarın öngörülmüş süreden ya da veri toplama amacının zorunlu kıldığı süreden fazla tutulmamalı / saklanmamalı ve arşivlenmemelidir: – Kişisel Veri, amacın gerektirdiğinden daha uzun süre tutulmamalıdır. Başka bir deyişle, kişisel verilerin işlenmesi artık gerekli olmadığında veya ihtiyaç kalmadığında, kişisel veriler yok edilmeli ya da şirket sistemlerinden silinmelidir veya anonim hale getirilmelidir. Kişisel Verinin gelecekte kullanılması gerekebileceği varsayımı ile saklanmaması ve arşivlenmemesi gerekmektedir. – Her bir iş birimi, farklı türdeki Kişisel Verilerin işlenmesi için gerekli süreyi değerlendirmeli ve gerekli sürenin ne kadar olduğunu yazılı şekilde belirlemelidir. Bu süre, işlemenin amacı gereğince iş biriminin veriyi tutmasını gerektiren süreyi aşmamalıdır. – Kişisel Verilerin saklanması, silinmesi, yok edilmesi ve anonim hale getirilmesine ilişkin politikalara ilişkin (F) başlığına bakınız. f) Veri Sahibinin haklarıyla uyumlu olarak işlenmelidir: – Veri Sahibini haklarına ve hukuki başvuru yollarına ilişkin (C) başlığına bakınız. g) Güvende tutulmalıdır: – Veri Güvenliğine ilişkin Lundbeck politikalarının detaylarına ilişkin (D) başlığına bakınız. h) Yeterli korumaya sahip olmayan ülkelerde bulunan kişilere ya da organizasyonlara aktarılmamalıdır: – Lundbeck tarafından Kişisel Veriler, verilerin yurt dışında merkezi kayıt sisteminin bulunduğu serverlarda saklanmak üzere Danimarka’ya aktarılmaktadır. Söz konusu aktarım KVKK hükümlerine uygun şekilde ve Kişisel Verileri Koruma Kurulu’nun (“Kurul”) belirleyeceği kurallar çerçevesinde yurt dışına gerçekleşmektedir. – Kişisel Verilerin üçüncü kişilere aktarımına ilişkin (E) başlığına bakınız. C. KİŞİSEL VERİ SAHİBİNİN HAKLARI Kişisel Veri Sahipleri, Kanun’un 11. Maddesinde düzenlenen, i. Kişisel Verisinin işlenip işlenmediğini öğrenme, 7 ii. Kişisel Veri işlenmişse, buna ilişkin bilgi talep etme, iii. Kişisel Veri işleme amacını ve verilerin amaca uygun kullanılıp kullanılmadığını öğrenme, iv. Kişisel Verilerin aktarıldığı üçüncü kişileri öğrenme ve v. Kişisel Veriler eksik ya da yanlış işlenmişse bunların düzeltilmesini isteme ve bunun Kişisel Verilerin aktarıldığı üçüncü kişilere bildirilmesini talep etme hakları ile vi. Kişisel Verilerin Kanun’a aykırı işlenmesi sebebiyle zarara uğranması durumunda tazminat talep etme haklarını haiz olup Lundbeck tarafından Veri Sahibinin talebi üzerine bu hakların yerine getirilmesi konusunda en kısa süre içerisinde aksiyon alınacak ve Veri Sahibine taleplerine ilişkin prosedür ile ilgili detaylı bilgi verilecektir. D. KİŞİSEL VERİLERİN GÜVENLİĞİ Lundbeck, hukuka aykırı ya da yetkisiz Kişisel Veri işlenmesine veya Kişisel Verinin bir kaza sonucu kaybı ya da zarar görmesine karşı uygun güvenlik önlemlerinin alındığından emin olmalıdır. Bu tür zararlara uğramaları durumunda Veri Sahipleri, dava yolu ile tazminat talebinde bulunabilecektir. Kanun, Kişisel Verilerin toplanma anından yok edilme anına kadar güvenliğinin sağlanabilmesi için, Lundbeck’in bir takım idari ve teknik önlemler almasını zorunlu kılmaktadır. Veri güvenliğinin sağlanması, aşağıda tanımlandığı üzere, kişisel verinin gizliliğinin, bütünlüğünün ve erişiminin garanti altına alınması anlamına gelmektedir. i. Gizlilik, sadece veriyi kullanmaya yetkili kişilerin veriye erişmesi anlamına gelmektedir. ii. Bütünlük, kişisel verinin doğru olması ve işlenme amacına uygun olması anlamına gelmektedir. iii. Erişim, yetkili kullanıcıların, yetkilendirilmiş oldukları amaç çerçevesinde ihtiyaç duymaları halinde, veriye erişebilmeleri anlamına gelmektedir. Kişisel Verilere ilişkin güvenlik prosedürleri, veri güvenliğine ilişkin teknik anlamda yetkin Lundbeck bünyesindeki Bilişim Teknolojileri (“BT”,“IT”) birimine danışılarak yürürlüğe konacaktır. Lundbeck’in halihazırdaki uygulamalarına uyumlu olarak her bir iş biriminin erişim yetkileri, ilgili iş birimi bakımından gerektiği ölçüde sınırlandırılacaktır. İlgili sınırlandırmalar, 8 Lundbeck nezdinde halihazırda uygulanmaktadır ve bu sınırlandırmalar düzenli aralıklarla gözden geçirilecek ve Kişisel Verilere erişim yalnızca zorunlu olduğu ölçüde söz konusu olabilecektir. Tüm çalışanları, veri güvenliğine ilişkin belirlenecek prosedürler çerçevesinde bilgilendirilecek ve eğitilecektir. Bu kapsamda, kişisel Verilere erişmek üzerine şifre ile giriş yapılan sistemlere ilişkin şifreler, herhangi bir üçüncü kişiye veya yetkisiz çalışana açıklanmayacaktır. Kişisel Verilere erişme yetkisi verilen kullanıcılar, uygulanabilir olması durumunda, bireysel ekranlarının yakınından geçenlere gizli bilgilerin gösterilmediğinden ve ekranlarının başında olmadıkları zaman bilgisayar oturumlarını kapattıklarından emin olacaktır. Şirket nezdinde tutulan Kişisel Veriler dahil tüm verilerin güvenliği için gereken teknik önlemler halihazırda alınmakta olup Lundbeck tarafından mevcut güvenlik sistemleri, virüs koruma programları ve ileti gönderilerine ilişkin koruma sistemleri periyodik olarak denetlenecek ve tüm bu sistemlerin en güncel sürümleri yürürlüğe konulacaktır. Bu konuda, teknolojik gelişmeler takip edilecek ve ortaya çıkabilecek risklere en kısa sürede müdahale edecek teknik ekip ve sistem tahsis edilecektir. Yukarıdakilere ek olarak, tüm çalışanları işlenen Kişisel Verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi ve/veya Kişisel Verilerin güvenliğine ilişkin herhangi bir riskin söz konusu olması hâlinde en geç 2 (iki) iş günü içerisinde, gereken önlemlerin koordinasyonu ve uygulanabilir olması halinde bu durumun en kısa sürede ilgili Veri Sahibine ve Kurula bildirilmesi için [email protected]’a veya İnsan Kaynakları Müdürü’ne mail atarak bilgi verecektir. E. KİŞİSEL VERİLERİN ÜÇÜNCÜ KİŞİLERE AKTARILMASI Kişisel Verilerin yurtiçindeki üçüncü kişilere aktarılabilmesi, Kişisel Verilerin işlenme amaçları ile Veri Sahipleri ile akdedilen sözleşmelerin ifası için zorunlu olması ve Şirketin meşru menfaatleri gerektirdiği ölçüde Kanun’un öngördüğü şartlara uygun olarak gerçekleştirilmektedir. Kişisel Verilerin işlenme amaçları dışında başka bir amaçla veri aktarımı yapılmamaktadır. Lundbeck, iş ortaklarının seçiminde kişisel verilerin gizliliğine ilişkin hususlarda ön inceleme yapacak ve onlarla yapacağı sözleşmelerde Kişisel Verilerin güvenliği ve gizliliğine ilişkin Kanun’un gerekliliklerini tatmin edecek hükümlere yer verilmesini sağlayacaktır. Uygulanabilir olması halinde, Kişisel Verilerin hukuka uygun olarak aktarıldığı mevcut üçüncü kişiler ile yapılan sözleşmeler, halihazırdaki gizlilik yükümlülüklerine ek olarak, Kişisel Verilerin aktarıldığı kişilerin, Kişisel Verilerin korunması amacıyla gerekli güvenlik tedbirlerini alacağını ve kendi işletmelerinde / kurumlarında / kuruluşlarında bu tedbirlere uyulmasını sağlayacağını 9 temin etmek üzere değiştirilmektedir. Verilerin gizliliği, bütünlüğü ve erişimine ilişkin Kanun’un gerekliliklerini yerine getirmeyen üçüncü kişilere hiçbir surette Kişisel Veri aktarılmayacaktır. F. KİŞİSEL VERİLERİN YURT DIŞINA AKTARILMASI: Kişisel Veriler, merkezi kayıt sistemlerinin bulunduğu serverlara aktarılmakta ve halihazırda serverlar Danimarka ve Polonya’da bulunmaktadır. Global bir şirket olarak Lundbeck bünyesindeki kişisel verileri işin gereği ve meşru menfaatleri doğrultusunda KVKK’ya uygun olarak yurt dışındaki grup şirketlerine aktarabilmektedir. Her halde, veriler Kurul’un belirleyeceği yeterli korumanın bulunduğu ülkelerden dışında bir ülkeye aktarılmayacaktır ve yurt dışına veri aktarımında KVKK’nın getirdiği tüm yükümlülüklere uyum sağlanmaktadır. G. İŞLENEN KİŞİSEL VERİLER VE SAKLAMA PROSEDÜRLERİ Lundbeck, Kanun’a uygun şekilde, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde, ilgili kanun ve mevzuatta öngörülen asgari saklama sürelerine riayet etmek koşulu ile Kişisel Verileri re’sen veya ilgili kişinin talebi üzerine veri sorumlusu silecek, yok edecek veya anonim hale getirecektir. Kişisel Verilerin, silinmesi, yok edilmesi ve anonim hale getirilmesi için asgari süreler, ilgili Kişisel Veriyi işleyen iş birimi tarafından belirlenecek ve tüm sistemler, bu süreçlere uygun hale getirilecektir. İlgili kanun ve mevzuat uyarınca saklanması için asgari sürelerin söz konusu olduğu verilere ilişkin bu sürelerin geçmesinden önce Veri İlgililerinden gelecek silme, yok etme veya anonim hale getirmeye ilişkin talepler, ilgili yasal zorunluluklar açıklanmak kaydıyla reddedilecektir. Kişisel verilerin saklanmasına ilişkin mevzuatta bir süre düzenlenmemişse, Kişisel Veriler Lundbeck’in veri işleme amacı uyarınca belirleyeceği, mevcut iş yapış, prosedür ve uygulamaları ve ticari yaşamının teamülleri uyarınca işlenmesini gerektiren süre kadar işlenmekte daha sonra silinmekte, yok edilmekte veya anonim hale getirilmektedir. Kişisel verilerin işlenme amacı, ilgili mevzuat ve Lundbeck’in belirlediği süreler sona erse dahi, kişisel veriler olası hukuki uyuşmazlıklarda delil teşkil etmesi veya kişisel veriye bağlı ilgili hakkın ileri sürülebilmesi veya savunmanın tesis edilmesi amacıyla (güncellikleri teyit ve temin edilmeden) yeniden olağan işlenmeleri söz konusu olmamak kaydıyla arşivlenebilecektir. Arşivleme sürelerinin tespitinde kanuni zamanaşımı süreleri dikkate alınmakla beraber, Lundbeck’in kendi tecrübeleri ve benzer veri gruplarına ilişkin önceki talepler ışığında zamanaşımı sürelerini aşan süreler belirlenmesi mümkün olabilecektir. Bu 10 durumlarda, kişisel verilere (güncellikleri ve işlenmelerine ilişkin yeni bir açık rızanın alınması teyit ve temin edilmeden) hukuki uyuşmazlığın çözümü dışında herhangi bir başka amaçla erişilmeyecektir. Arşivleme için belirlenecek süreler sonunda, arşivlenmesine karar verilen veriler dahi silinecek, yok edilecek ve anonim hale getirilecektir. Lundbeck tarafından işlenen başlıca Kişisel Veriler ve bu verilerin başlıca işleme amaçları aşağıdaki gibidir: H. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİ ve AKTARILMASI Lundbeck bünyesinde, Özel Nitelikli Kişisel Veriler, yalnızca kanuni ve idari / adli mercii gerekliliklerinin yerine getirilmesi ve işin gereği ile doğrudan ilgili olmak kaydıyla ve erişimi en üst düzeyde sınırlı ve güvenli olacak şekilde işlenmektedir. Söz konusu veriler, Kanun’a tam bir uyum göstermek kaydıyla, (i) sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler dışındaki veriler, işlemenin kanunlarda açıkça öngörülmüş olması durumunda ve (ii) sağlık ve cinsel hayata ilişkin veriler ise ancak, kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenmesi durumunda Veri İlgilisi’nin rızası aranmaksızın işlenebilir. Lundbeck Veri İlgililerine Özel Nitelikli Kişisel Verilerinin işlenmesine ilişkin aydınlatma yükümlüğünün gerekliliklerini yerine getirecek ve Veri İlgilisinin açık rızasını alacaktır. Özel nitelikli veriler sadece ilgili departman erişimine açık olarak saklanacak ve sınırlı olarak işlenecektir, bu bilgilere erişim yetkili kimselerce yapılacaktır. Çalışanlara ilişkin sağlık verileri sosyal sigorta mevzuatından kaynaklanan hukuki yükümlülüklerin yerine getirilebilmesi, iş sözleşmesinin kurulması ve ifası gibi nedenlerle ve kapsamda işlenebilir bu konuda çalışanlara gerekli bilgilendirme yapılmıştır ve çalışan rızaları alınmıştır. Bunun yanında ilaç mevzuatından kaynaklanan bazı hastalara ilişkin kişisel verilerin tutulması ve resmi kurumlara iletilmesi söz konusu olabilir tüm bu işlemler KVKK uyarınca yapılmakta ve erişim sınırlamasına tabi tutulmaktadır. I. KİŞİSEL VERİ İLGİLİSİNİ AYDINLATMA YÜKÜMLÜLÜĞÜ Lundbeck Kişisel Verilerin elde edilmesi sırasında, verisi işlenecek olan gerçek kişileri bilgilendirmek ile yükümlüdür. Bu bilgilendirme yükümlülüğün kapsamı, aşağıdaki gibidir: – Veri sorumlusunun ve varsa temsilcisinin kimliği, – Kişisel Verilerin hangi amaçla işleneceği, – İşlenen Kişisel Verilerin kimlere ve hangi amaçla aktarılabileceği, 11 – Kişisel Veri toplamanın yönetimi ve hukuki sebebi ile, – Veri İlgilisinin (C) başlığı altında belirtilen hakları. J. ŞİKÂYET SÜREÇLERİNE İLİŞKİN PROSEDÜRLER Kişisel Verileri Lundbeck tarafından işlenen Veri Sahipleri tarafından yapılacak şikâyetler, en kısa süre içerisinde cevaplandırılacak ve sonuçlandırılacaktır. Veri Sahibi, talep ve şikâyetlerini Lundbeck’e yazılı olarak ya da web sitesi aracılığı ile veya elden iletebilir. Ancak talebin sonuçlarının tebliği ve talebin yerine getirilmesinden önce şikayette bulunan kişinin şikayet konusu Kişisel Verinin Sahibi olup olmadığı teyit edilmeli, kimlik tespiti yapılması gerekmektedir. Bu çerçevede, Lundbeck ilgili çalışanları tarafından kimlik kontrolü yapılmak kaydıyla şahsen veya noter onaylı vekâlet sunulması kaydıyla vekaleten yapılan başvurular, noter kanalı ile yapılan başvurular veya güvenli elektronik imza kullanılmak kaydıyla kayıtlı elektronik posta adresleri ile [email protected] veya İnsan Kaynakları Müdürü’nün mail adresine iletilen başvurular bakımından ayrıca kimlik teyidi yapılmasına gerek bulunmamaktadır. Sağlık Mesleği Mensuplarından ve hastalardan gelen soru ve şikayet bildirimleri Lundbeck bilim servisi tarafından yönetilecektir. E-posta ve telefon yoluyla gelen taleplerle ilgilenen tüm çalışanlar, Lundbeck tarafından tutulan herhangi bir kişisel bilginin açıklanması konusunda dikkatli olmalıdır. Bahsi geçen çalışanlar özellikle; • Kişisel Verinin, kişisel veriyi almaya yönelik bir hakka sahip olan/yetkisi olan kişiye verildiğinden emin olmak için, çağrı yolu ile ulaşan kişinin kimliğini kontrol etmelidirler; • Eğer çalışanlar, arayanın kimliğinden emin olmadıkları ya da kimliklerinin kontrol edilemediği bir çağrı alırlarsa, arayanın talebini yazılı olarak iletmesini önermelidirler. • Zor durumlarda yardım için müdürlerine başvurmalıdırlar. Hiç kimse Kişisel Verinin açıklanması için zorlanmamalıdır. Bir çalışanın, yukarıdaki prosedürlere tabi olmak kaydıyla, Veri Sahiplerinden bir bildirim / talep alması halinde, bu durum bu bildirimin / talebin alınmasını takiben 7 (yedi) gün içerisinde derhal [email protected] veya İnsan Kaynakları Müdürü’nün mail adresine yazılı şekilde rapor edilecek ve bu taleplere cevap verilirken, söz konusu birimin tüm talimatlarına uygun hareket edilecektir. Söz konusu iş birimi, şikâyetleri / talepleri çözümlemek için ilgili iş biriminden ve destek birimlerinden arkadaşlar ile bağlantı kuracaktır. Sağlık Mesleği Mensuplarından gelen soru ve şikayetler Lundbeck bilim servisi tarafından yönetilecektir. 12 Veri sahibinden gelen talepler özenli bir şekilde rapor edilmeli ve gözden geçirilmeli, İnsan Kaynakları Müdürü tarafından, talebin niteliğini de göz önünde bulundurarak, en fazla 30 gün içerisinde olmak şartıyla, mümkün olan en kısa sürede ve Veri Sahibine ek bir masraf yansıtılmaksızın söz konusu şikâyetler yanıtlanacak ve talepler uygulanabilir olması halinde yerine getirilecektir. Sağlık Mesleği Mensuplarından ve hastalardan gelen soru ve şikayetler Lundbeck bilim servisi tarafından yönetilecektir. Kişisel Verilerin silinmesi, yok edilmesi ve anonim hale getirilmesi dahil, her tür Veri Sahibi talebinin incelenmesine ilişkin takip eden süreç aşağıdaki şekilde olacaktır: – İnsan Kaynakları Müdürü (SMM’ler ve hastalar için Lundbeck bilim servisi), talebin/şikayetin geçerli olup olmadığına ve kimlik teyidi ya da ek bilginin gerekli olup olmadığına karar vermek için talebin ilk değerlendirmesini yapacaktır. – İnsan Kaynakları Müdürü (SMM’ler ve hastalar için Lundbeck bilim servisi), yazılı olarak birey ile bağlantı kurarak, ilgili kişi erişim talebinin alındığını teyit edecek ve gerektiği takdirde kimlik teyidi ve ek bilgi talep edecek ya da ilgili kişi erişimi ile ilgili bir istisnanın olması durumunda talebi reddedecektir. – Tüm ilgili elektronik ve basılı dosyalama sistemleri üzerinde bir arama düzenleyecektir. İnsan Kaynakları Müdürü (SMM’ler ve hastalar için Lundbeck bilim servisi), komplike durumları, özellikle de talebin üçüncü kişiler ile ilgili bilgiyi içerdiği ya da Kişisel Verilerin ifşa edilmesinin ticari gizliliğe ya da hukuki süreçlere zarar verebileceği durumları, şirket içi ilgili birimler ya da üçüncü kişi danışmanlara sevk edebilir ve talebin yanıtlanması konusunda destek alabilir. İnsan Kaynakları Müdürü (SMM’ler ve hastalar için Lundbeck bilim servisi), talep edilen bilgileri kolaylıkla okunabilir bir formatta düzenleyecektir. İnsan Kaynakları Müdürü (SMM’ler ve hastalar için Lundbeck bilim servisi), Veri Sahibinin talebini kabul edebilir ya da gerekçesini açıklayarak yazılı ya da elektronik ortamda reddedebilir. Bununla sınırlı olmaksızın, özellikle Kanun’un ve Politika’nın uygulanmasına ilişkin istisnalardan birinin söz konusu olduğu hallerde talep reddedilebilecektir. Eğer Veri Sahibinin talebi kabul edilirse, talep Lundbeck ilgili birimleri tarafından derhal yerine getirilecektir. Şikâyet sahibi, Lundbeck tarafından verilecek cevap ya da tespite tamamen ya da kısmen itiraz edebilecek ve şirketi bu konuda bilgilendirebilecektir. İlgili çalışan derhal İnsan Kaynakları Müdürü’ne bilgi verecektir. Böyle bir durumda, şikayet talebi yeniden değerlendirilecek ve nihai olarak cevaplandırılacaktır. Uygulanacak prosedür ve sürelere ilişkin ilk sürelere uygulanabilir prosedür ve süreler geçerli olacak olup bu durum Kanun’un öngördüğü sürelerin kesilmesi veya durdurulması anlamına gelmeyecektir. Zira, ikinci kez 13 değerlendirmeye ilişkin talepler kanuni bir yükümlülük kapsamında değil salt müşteri memnuniyeti açısından yeniden değerlendirilecektir. Kanun uyarınca, Veri Sahibinin ilk şikayet başvurusuna yanıttan itibaren şirketin cevabını öğrendiği tarihten itibaren otuz ve her hâlde ilk başvuru tarihinden itibaren altmış gün içinde Kurula başvurma hakkı vardır ve söz konusu sürelere riayet edilmesi hak düşürücü niteliktedir. K. KİŞİSEL VERİLERİN KORUNMASI KURUMU İLE İLETİŞİM Lundbeck Kurulun, inceleme konusuyla ilgili istemiş olduğu bilgi ve belgeleri 15 gün içinde göndermek ve gerektiğinde yerinde inceleme yapılmasına imkân sağlamak zorundadır. İnsan Kaynakları Müdürü, Kurum ile yapılacak yazışmaları gerçekleştirecek iş birimi olarak belirlenmiştir ve çalışanlar, Kişisel Verinin korunmasına ilişkin Kurul ile her türlü iletişimi İnsan Kaynakları Müdürü’ne yönlendirmelidirler. Lundbeck Kurul’un re’sen ya da şikâyet üzerine yapılan soruşturmanın sonucunda verilen kararlarına, gecikmesiz ve bildirimden itibaren en geç 30 gün içerisinde uyacaktır. Lundbeck Kişisel Verileri Koruma Kurumu nezdinde oluşturulacak başkanlık teşkilatının oluşumunu takiben Kurulun gözetiminde ve Kişisel Verileri Koruma Kurumu Başkanlığı tarafından kamuya açık olarak tutulacak Veri Sorumluları Sicili’ne, Kurul tarafından Veri Sorumluları Siciline kayıt zorunluluğuna getirilecek istisnalara tabi olmadıkça, kayıt olacaktır. L. POLİTİKA’NIN UYGULANMASINA İLİŞKİN İSTİSNALAR Kanun’un 28. Maddesi uyarınca öngörüldüğü üzere, Kanun’un uygulanmayacağı aşağıdaki hallerde, işbu Politika da uygulanmayacaktır: – Kişisel Verilerin, üçüncü kişilere verilmemek ve veri güvenliğine ilişkin yükümlülüklere uyulmak kaydıyla gerçek kişiler tarafından tamamen kendisiyle veya aynı konutta yaşayan aile fertleriyle ilgili faaliyetler kapsamında işlenmesi; – Kişisel Verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi; – Kişisel Verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi; 14 – Kişisel Verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi; – Kişisel Verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi. Aydınlatma yükümlülüğü hariç olmak üzere, Veri Sahipleri aşağıdaki istisnaların birinin varlığı halinde Kanun ve işbu Politika’da düzenlenen haklarını kullanamayacaktır: – Kişisel Veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması; – Veri Sahibinin kendisi tarafından alenileştirilmiş Kişisel Verilerin işlenmesi; – Kişisel Veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması; – Kişisel Veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması. M. İYİLEŞTİRME VE DEĞİŞİKLİKLER İşbu Politika, Kanun uyarınca hazırlanacak ve yürürlüğe girecek Yönetmelik ve diğer ikincil mevzuat uyarınca değişebilecek ve güncellenebilecektir. Lundbeck, tüm süreçlerini en kısa süre içerisinde Kanun ve işbu Politika’da yapılacak değişikliklere ve Kişisel Verilerin korunmasına ilişkin çıkarılacak ikincil mevzuata tam bir uyum içerisinde gerçekleştirmeyi kabul, taahhüt ve beyan etmektedir. SONUÇ Lundbeck, Kanun uyarınca tüm süreçlerini Kanun’a uygun şekilde yönetmek ve Kanun’un gerekliliklerini yerine getirmek amacıyla halihazırda TC Anayasası ve Türk Ceza Kanunu hükümleri ile kişisel veri korumasına ilişkin uluslararası genel ilkelere uyumlu süreçlerini iyileştirmektedir. Bu kapsamda, tüm iş birimlerine uygulanmak üzere hazırlanan işbu genel Politika uyarınca, Kişisel Verilerin Lundbeck tarafından işlenme esasları ile tüm iş birimlerini ve çalışanlarını bağlamaktadır. Herhangi bir çalışanın, işbu Politika ve Kanun hakkında soruları ya da sorunları olur ise, bu konular hakkında [email protected] veya İnsan Kaynakları Müdürü ile iletişime geçmesi gerekmektedir. Bu çerçevede, Kanun’un ve işbu Politika’nın gerekliliklerinin tüm çalışanlar bakımından en üst düzeyde 15 anlaşıldığı teyit edilecek ve Kanun ve Politika’nın gerekliliklerinin çalışanlar nezdinde içselleştirilmesi temin edilecektir. Tüm çalışanlar, işbu Politika’nın kabul edilmesiyle birlikte, iş süreçlerinin işbu Politika’ya uyum gösterdiğini kabul, beyan ve taahhüt etmiş olacaktır. Herhangi bir çalışanın ya da diğer Veri Sahiplerine ait kişisel veriler bakımından işbu Politika’ya uyulmadığı düşünülüyorsa, konu [email protected] veya İnsan Kaynakları Müdürü’ne yönlendirilecektir.