I. VERİ GİZLİLİĞİ TAAHHÜDÜ
1.1. İşbu Kişisel Verilerin Korunması ve Gizlilik Politikası (“Politika”), BIOCODEX İLAÇ SAN.
İTH. İHR. VE TİC. LTD. ŞTİ.’nin (“Şirket”) 6698 Sayılı Kişisel Verilerin Korunması Kanunu başta
olmak üzere ilgili mevzuat hükümleri uyarınca Kişisel Verileri korumaya yönelik yükümlülüklerini
yerine getirirken ve Kişisel Verileri işlerken Şirket içerisinde ve/veya Şirket tarafından uyulması
gereken esasları belirlemektedir.
1.2. Şirket, kendi bünyesinde bulunan Kişisel Veriler bakımından işbu Politikaya ve Politikaya bağlı
olarak uygulanacak prosedürlere uygun davranmayı taahhüt eder.
II. POLİTİKANIN AMACI
İşbu Politikanın temel amacı, Şirket tarafından Kişisel Verilerin işlenmesine ve korunmasına yönelik
yöntem ve süreçlere ilişkin esasları belirlemektir.
III. POLİTİKANIN KAPSAMI
3.1. İşbu Politika, Şirketin işlemekte olduğu Kişisel Verilere yönelik tüm faaliyetleri kapsar ve söz
konusu faaliyetlere uygulanır.
3.2. İşbu Politika, Kişisel Veri niteliği taşımayan verilere uygulanmaz.
3.3. İşbu Politika, KVK Düzenlemelerinin gerektirmesi halinde yahut Şirketin Veri Sorumlusu
Temsilcisi yahut Komite’nin gerekli gördüğü hallerde zaman zaman yönetim kurulu onayı ile
değiştirilebilir. KVK Düzenlemeleri ve işbu Politika arasında bir uyumsuzluk olması halinde KVK
Düzenlemeleri esas alınır.
IV. TANIMLAR
İşbu Politikada geçen tanımlar aşağıdaki anlamları ihtiva eder;
“Açık Rıza” Belirli bir konuya ilişkin bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı
ifade eder.
“Anonim Hale Getirme” Kişisel Verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği
belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini ifade eder.
“Aydınlatma Yükümlülüğü” Kişisel Verilerin elde edilmesi sırasında Veri Sorumlusu veya
yetkilendirdiği kişinin, Veri Öznesine KVKK Madde 10 kapsamında bilgi vermesine ilişki
yükümlülüğünü ifade eder.
“Kişisel Veri” Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade eder (işbu
Politika kapsamında “Kişisel Veri” ifadesi uygun olduğu ölçüde aşağıda tanımlanan “Özel Nitelikli
Kişisel Verileri de kapsayacaktır).
“Kişisel Veri İşleme” Kişisel Verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri
kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi,
depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması,
devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi
veri üzerinde gerçekleştirilen her türlü işlemi ifade eder.
“Komite” İşbu Politikanın ve Politikaya bağlı olarak uygulanacak KVKK Prosedürlerinin yerine
getirilmesinden sorumlu komiteyi ifade eder.
“Kurul” Kişisel Verileri Koruma Kurulunu ifade eder.
“Kurum” Kişisel Verileri Koruma Kurumunu ifade eder.
“KVKK” 6698 sayılı Kişisel Verilerin Korunması Kanununu ifade eder.
“KVK Düzenlemeleri” 6698 sayılı Kişisel Verilerin Korunması Kanunu ile Kişisel Verilerin
korunmasına yönelik ilgili diğer mevzuatı, düzenleyici ve denetleyici otoriteler, mahkemeler ve diğer
resmi makamlar tarafından verilen, bağlayıcı kararları, ilke kararlarını, hükümleri, talimatları ile
verilerin korunmasına yönelik uygulanabilir uluslararası anlaşmaları ve diğer her türlü mevzuatı ifade
eder.
“KVK Prosedürleri” Şirketin, çalışanların, Komitenin ve Veri Sorumlusu Temsilcisinin işbu Politika
kapsamında uyması gereken yükümlülükleri belirleyen prosedürleri ifade eder.
“Özel Nitelikli Kişisel Veri” Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi
veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza
mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri ifade eder.
“Silme veya Silinme” Kişisel Verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar
kullanılamaz hale getirilmesini ifade eder.
“Veri Envanteri” Şirketin iş süreçlerine bağlı olarak gerçekleştirmekte olduğu Kişisel Veri İşleme
faaliyetlerini; Kişisel Veri İşleme amaçları, veri kategorisi, Kişisel Verilerin aktarıldığı alıcı grubu ve
veri konusu kişi grubuyla ilişkilendirerek oluşturduğu ve Kişisel Verilerin İşlendiği amaçlar için
gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen Kişisel Verileri ve veri güvenliğine
ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanteri ifade eder.
“Veri İşleyen” Veri Sorumlusu tarafından yetki alarak, Veri Sorumlusu adına Kişisel Verileri İşleyen
gerçek veya tüzel kişiyi ifade eder.
“Veri Öznesi” Kişisel Verileri Şirket tarafından veya Şirket adına işlenen tüm gerçek kişileri ifade
eder.
“Veri Sorumlusu” Kişisel Verilerin İşleme amaçları ve vasıtalarını belirleyen, veri kayıt sisteminin
kurulmasından ve yönetilmesinden sorumlu bulunan gerçek veya tüzel kişiyi ifade eder.
“Veri Sorumlusu Temsilcisi” Komite içerisinden seçilen ve Şirketin Kurum ile olan ilişkilerini yürüten
ve yönetim kurulu kararı ile atanan Şirket çalışanını ifade eder.
“Yok Etme” Kişisel Verilerin, hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar
kullanılamaz hale getirilmesi işlemini ifade eder.
V. KİŞİSEL VERİ İŞLEMENİN İLKELERİ
5.1. Kişisel Verilerin Hukuka ve Dürüstlük Kurallarına Uygunluk Olarak İşlenmesi Şirket, Kişisel
Verileri, hukuka ve dürüstlük kurallarına uygun ve ölçülülük esasına dayalı olarak işler.
5.2. Kişisel Verilerin Doğru ve Gerektiğinde Güncel Olması için Gerekli Önlemlerin Alınması Şirket,
Kişisel Verilerin eksiksiz, doğru ve güncel olması için her türlü gerekli önlemleri alır ve Veri
Öznesinin KVKK Düzenlemeleri kapsamında Kişisel Verilere yönelik değişiklik talep etmesi
durumunda ilgili Kişisel Verileri günceller.
5.3. Kişisel Verilerin Belirli, Açık ve Meşru Amaçlar Doğrultusunda İşlenmesi
Kişisel Verilerin İşlenmesinden önce Şirket tarafından Kişisel Verilerin hangi amaçla işleneceği
belirlenir. Bu kapsamda, Veri Öznesi KVK Düzenlemeleri kapsamında aydınlatılır ve gereken hallerde
Açık Rızaları alınır.
5.4. Kişisel Verilerin İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olması Şirket, Kişisel Verileri
yalnızca KVK Düzenlemeleri kapsamında istisnai hallerde (KVKK Madde 5.2 ve Madde 6.3) veya
Veri Öznesinden alınan Açık Rıza kapsamındaki amaç doğrultusunda (KVKK Madde 5.1 ve Madde
6.2) ve ölçülülük esasına uygun olarak işler. Veri Sorumlusu, Kişisel Verileri belirlenen amaçların
gerçekleştirilebilmesine elverişli bir biçimde işler ve amacın gerçekleştirilmesiyle ilgili olmayan veya
ihtiyaç duyulmayan Kişisel Verileri işlemekten kaçınır.
5.5. Kişisel Verilerin İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç için Gerekli Olan Süre Kadar
Muhafaza Edilmesi
5.5.1. Şirket, Kişisel Verileri amaca uygun olarak gerektiği kadar muhafaza eder. Şirketin, KVK
Düzenlemelerinde öngörülen veya Kişisel Veri İşleme amacının gerektirdiği süreden daha uzun bir
süreyle Kişisel Verileri muhafaza etmek istemesi halinde, Şirket KVK Düzenlemelerinde belirtilen
yükümlülüklere uygun davranır.
5.5.2. Kişisel Veri İşleme amacının gerektirdiği süre sona erdikten sonra Kişisel Veriler Silinir veya
Anonim Hale Getirilir. İşbu halde, Şirketin Kişisel Verileri aktardığı üçüncü kişilerin de Kişisel
Verileri Silmesi, Yok Etmesi yahut Anonim Hale Getirmesi sağlanır.
5.5.3. Silme, Yok Etme ve Anonim Hale Getirme süreçlerinin işletilmesinden Veri Sorumlusu
Temsilcisi ve Komite sorumludur. Bu kapsamda gerekli prosedür Veri Sorumlusu Temsilcisi ve
Komite tarafından oluşturulur.
VI. KİŞİSEL VERİLERİN İŞLENMESİ
Kişisel Veriler Şirket tarafından ancak aşağıda belirtilen usul ve esaslar kapsamında işlenebilir.
6.1. Açık Rıza
6.1.1. Kişisel Veriler, Veri Öznelerine Aydınlatma Yükümlülüğünün yerine getirilmesi çerçevesinde
yapılacak bilgilendirme sonrası ve Veri Öznelerinin Açık Rıza vermesi halinde işlenir.
6.1.2. Aydınlatma Yükümlülüğü çerçevesinde Açık Rıza alınmadan önce Veri Öznelerine hakları
bildirilir.
6.1.3. Veri Öznesinin Açık Rızası, KVK Düzenlemelerine uygun yöntemlerle alınır. Açık Rızalar
ispatlanabilir şekilde Şirket tarafından KVK Düzenlemeleri kapsamında gereken süre ile muhafaza
edilir.
6.1.4. Veri Sorumlusu Temsilcisi ve Komite, tüm Kişisel Veri İşleme süreçleri bakımından
Aydınlatma Yükümlülüğünün yerine getirilmesini ve gerektiğinde Açık Rızanın alınmasını ve alınan
Açık Rıza’nın muhafazasını sağlamakla yükümlüdür. Kişisel Veri İşleyen tüm departman çalışanları
Veri Sorumlusu Temsilcisi ve Komitenin talimatlarına, işbu Politika’ya ve bu Politika’nın eki olan
KVK Prosedürlerine uymakla yükümlüdür.
6.2. Kişisel Verilerin Açık Rıza Alınmaksızın İşlenmesi
6.2.1 KVK Düzenlemeleri kapsamında Açık Rıza alınmaksızın Kişisel Verilerin İşlenmesinin
öngörüldüğü durumlarda (KVKK Madde 5.2), Şirket Veri Öznesinin Açık Rızasını almaksızın Kişisel
Verileri işleyebilir. Kişisel Verilerin bu şekilde işlenmesi durumunda Şirket KVK Düzenlemelerinin
çizdiği sınırlar çerçevesinde Kişisel Verileri İşler. Bu kapsamda:
6.2.1.1. Kanunlarda açıkça öngörülmesi halinde Kişisel Veriler Şirket tarafından Açık Rıza olmaksızın
işlenebilir.
6.2.1.2. Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki
geçerlilik tanınmayan Veri Öznesinin kendisinin ya da Veri Öznesi dışındaki bir başkasının hayatı
veya beden bütünlüğünün korunması için zorunlu olması halinde Kişisel Veriler Şirket tarafından Açık
Rıza olmaksızın işlenebilir.
6.2.1.3. Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin
taraflarına ait Kişisel Verilerin işlenmesinin gerekli olması halinde Kişisel Veriler Veri Öznelerinin
Açık Rızaları olmadan Şirket tarafından işlenebilir.
6.2.1.4. Kişisel Verilerin İşlenmesi Şirketin hukuki yükümlülüğünü yerine getirmesi için zorunluysa,
Kişisel Veriler Veri Öznelerinin Açık Rızaları olmadan Şirket tarafından işlenebilir.
6.2.1.5. Veri Öznesi tarafından alenileştirilmiş olan Kişisel Veriler Açık Rıza alınmaksızın Şirket
tarafından işlenebilir.
6.2.1.6. Kişisel Verilerin İşlenmesi bir hakkın tesisi, kullanılması veya korunması için zorunlu ise
Kişisel Veriler Açık Rıza alınmaksızın Şirket tarafından işlenebilir.
6.2.1.7. Veri Öznesinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, Şirketin meşru
menfaatleri için veri işlenmesinin zorunlu olması halinde Kişisel Veriler Şirket tarafından Açık Rıza
olmaksızın işlenebilir.
VII. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİ
7.1. Özel Nitelikli Kişisel Veriler yalnızca Veri Öznesinin Açık Rızasının bulunması yahut cinsel
hayat ve kişisel sağlık verileri dışındaki Özel Nitelikli Kişisel Veriler bakımından kanunlarda açıkça
işlemenin zorunlu tutulması halinde işlenebilir.
7.2. Sağlık ve cinsel hayata ilişkin Kişisel Veriler, ancak kamu sağlığının korunması, koruyucu
hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının
planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler (örn: Şirket
hekimi) veya yetkili kurum ve kuruluşlar tarafından Açık Rıza almaksızın işlenebilir.
7.3. Özel Nitelikli Kişisel Veriler İşlenirken, Kurul tarafından belirlenen önlemler alınır.
7.4. Şirket, Özel Nitelikli Kişisel Verilerin işlenmesi süreçlerinde yer alan çalışanlara yönelik,
7.4.1 KVK Düzenlemeleri ile Özel Nitelikli Kişisel Verilerin güvenliği konularında düzenli olarak
eğitimler verecektir.
7.4.2 Gizlilik sözleşmeleri yapacaktır.
7.4.3 Özel Nitelikli Kişisel Verilere erişim yetkisine sahip kullanıcıların yetki kapsamlarını ve
sürelerini net olarak tanımlayacaktır.
7.4.4 Periyodik olarak yetki kontrollerini gerçekleştirecektir.
7.4.5 Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkilerini derhal kaldırır ve
ilgili çalışana tahsis edilen envanteri derhal geri alacaktır.
7.5. Özel Nitelikli elektronik ortamlara aktarılması durumunda, Özel Nitelikli Verilerin işlendiği,
muhafaza edildiği ve/veya erişildiği elektronik ortamlar ile ilgili olarak Şirket:
7.5.1 Özel Nitelikli Kişisel Verileri kriptografik yöntemler kullanarak muhafaza edecektir.
7.5.2 Kriptografik anahtarları güvenli ve farklı ortamlarda tutacaktır.
7.5.3 Özel Nitelikli Kişisel Veriler üzerinde gerçekleştirilen tüm hareketlerin işlem kayıtlarını güvenli
olarak loglayacaktır.
7.5.4 Özel Nitelikli Kişisel Verilerin bulunduğu ortamlara ait güvenlik güncellemelerini sürekli takip
edecek, gerekli güvenlik testlerini düzenli olarak yapacak/yaptıracak, test sonuçlarını kayıt altına
alacaktır.
7.5.5 Özel Nitelikli Kişisel Verilere bir yazılım aracılığıyla erişiliyorsa bu yazılıma ait kullanıcı
yetkilendirmelerini yapacak, bu yazılımların güvenlik testlerini düzenli olarak yapacak/yaptıracak, test
sonuçlarını kayıt altına alacaktır.
7.5.6 Özel Nitelikli Kişisel Verilere uzaktan erişim olması halinde en az iki kademeli kimlik
doğrulama sistemi sağlayacaktır.
7.6. Özel Nitelikli Kişisel Verilerin fiziksel ortamda işlenmesi durumunda, Verilerin işlendiği,
muhafaza edildiği ve/veya erişildiği fiziksel ortamlar ile ilgili olarak Şirket:
7.6.1 Özel Nitelikli Kişisel Verilerin bulunduğu ortamın niteliğine göre yeterli güvenlik önlemlerinin
(elektrik kaçağı, yangın, su baskını, hırsızlık vb. durumlara karşı) alındığından emin olacaktır.
7.6.2 Bu ortamların fiziksel güvenliğini sağlayarak yetkisiz giriş çıkışları engelleyecektir.
7.7. Özel Kişisel Verilerin aktarılması halinde, Veri Sorumlusu:
7.7.1 Özel Nitelikli Kişisel Verilerin e-posta yoluyla aktarılmasının gerekmesi halinde şifreli kurumsal
e-posta adresi veya Kayıtlı Elektronik Posta (“KEP”) hesabı kullanacaktır.
7.7.2 Özel Nitelikli Kişisel Verilerin taşınabilir bellek, CD, DVD gibi ortamlar yoluyla aktarımın
gerekli olması halinde kriptografik yöntemlerle şifreleme yapar ve kriptografik anahtarı farklı ortamda
tutacaktır.
7.7.3 Özel Nitelikli Kişisel Verilerin farklı fiziksel ortamlardaki sunucular arasında aktarılması
gerekiyorsa, sunucular arasında VPN kurarak veya SFTP yöntemiyle aktarımı gerçekleştirecektir.
7.7.4 Özel Nitelikli Kişisel Verilerin kağıt ortamı yoluyla aktarımının gerekli olması halinde, evrakın
çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemleri
alır ve evrakı “gizlilik dereceli belgeler” formatında gönderecektir.
7.8. Yukarıdaki düzenlemelere ek olarak, Komite ve Veri Sorumlusu Temsilcisi Özel Nitelikli Veriler
dahil Kişisel Verilerin güvenliğinin sağlanmasına ilişkin Kurul tarafından yayımlanan başta Kişisel
Veri Güvenliği Rehberi olmak üzere KVK Düzenlemelerine uygun hareket edecektir.
7.9. Özel Nitelikli Kişisel Verilerin İşlenmesini gerektiren her durumda, ilgili çalışan tarafından Veri
Sorumlusu Temsilcisi bilgilendirilir.
7.10. Bir verinin Özel Nitelikli Kişisel Veri olup olmadığı anlaşılabilir değil ise ilgili departman
tarafından Veri Sorumlusu Temsilcisinden görüş alınır.
VIII. KİŞİSEL VERİLERİN SAKLANMA SÜRESİ Kişisel Veriler, Şirket bünyesinde ilgili yasal
saklama süreleri müddetince bulundurulmakta olup, bu verilerle ilişkili faaliyetlerin ve işbu
Politika’da da belirtilen amaçların gerçekleştirilmesi için gerekli süre boyunca saklanmaktadır.
Kullanım amacı sonlanan ve yasal saklama süresi sona eren Kişisel Veriler ise, KVKK’nın 7’nci
maddesi uyarınca Şirket tarafından silinmekte, yok edilmekte veya anonim hale getirilmektedir.
IX. KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VE ANONİM HALE GETİRİLMESİ
9.1. Kişisel Verinin İşlenmesine yönelik meşru amaç ortadan kalktığında, ilgili Kişisel Veriler Silinir,
Yok Edilir yahut Anonim Hale Getirilir. Kişisel Verilerin Silinmesi, Yok Edilmesi yahut Anonim Hale
Getirilmesi gereken durumlar Veri Sorumlusu Temsilcisi ve Komite tarafından takip edilir.
9.2. Silme, Yok Etme ve Anonim Hale Getirme süreçlerinin işletilmesinden Veri Sorumlusu
Temsilcisi ve Komite sorumludur. Bu kapsamda gerekli prosedür Veri Sorumlusu Temsilcisi ve
Komite tarafından oluşturulur.
9.3. Şirket, Kişisel Verileri gelecekte kullanma ihtimalini göz önünde bulundurarak saklamaz.
9.4. Şirket’in Kişisel Veriler üzerinde uygulayacağı tüm Silme, Yok Etme ve Anonim Hale Getirme
faaliyetleri Kişisel Veri Saklama, İmha ve Anonimleştirme Politikası’nda belirtilen esaslara uygun
olarak gerçekleştirilecektir.
X. KİŞİSEL VERİLERİN AKTARILMASI VE KİŞİSEL VERİLERİN ÜÇÜNCÜ KİŞİLER
TARAFINDAN İŞLENMESİ
Şirket, Kişisel Veri İşleme amaçları doğrultusunda gerekli önlemleri alarak Kişisel Verileri yurtiçinde
ve/veya yurtdışında bulunan üçüncü bir gerçek ya da tüzel kişiye KVK Düzenlemelerine uygun
şekilde aktarabilir. Bu durumda Şirket, Kişisel Veri aktardığı üçüncü kişilerin de işbu Politika’ya
uymasını sağlar. Bu kapsamda üçüncü kişi ile akdedilen sözleşmelere gerekli koruyucu düzenlemeler
eklenir. Her türlü Kişisel Veri aktarımı yapılan üçüncü kişilerle akdedilen sözleşmelere eklenecek
madde ise Veri Sorumlusu Temsilcisinden temin edilir. Her bir çalışan, Kişisel Veri aktarımı
yapılacak durumda işbu Politika’da yer alan süreci kat etmekle yükümlüdür. Veri Sorumlusu
Temsilcisi tarafından iletilen maddede Kişisel Verilerin aktarıldığı üçüncü kişinin değişiklik talep
etmesi halinde durum derhal çalışan tarafından Veri Sorumlusu Temsilcisine bildirir.
10.1. Türkiye’de Bulunan Üçüncü Kişilere Kişisel Veri Aktarımı
10.1.1. Kişisel Veriler, KVKK Madde 5.2’de ve yeterli önlemler alınmak kaydıyla Madde 6.3’de
belirlenen istisnai hallerde Açık Rıza olmaksızın yahut diğer hallerde Veri Öznesinin Açık Rızası
alınmak şartı ile (KVKK Madde 5.1 ve Madde 6.2) Türkiye’de bulunan üçüncü kişilere Şirket
tarafından aktarılabilir.
10.1.2. Kişisel Verilerin Türkiye’de bulunan üçüncü kişilere aktarımının KVK Düzenlemelerine
uygun olmasını sağlamaktan Şirket çalışanları ve Veri Sorumlusu Temsilcisi müteselsilen sorumludur.
10.2. Yurt Dışında Bulunan Üçüncü Kişilere Kişisel Veri Aktarımı
10.2.1. Kişisel Veriler, KVKK Madde 5.2 ve Madde 6.3’de belirlenen istisnai hallerde Açık Rıza
olmaksızın yahut diğer hallerde Veri Öznesinin Açık Rızası alınmak şartı ile (KVKK Madde 5.1 ve
Madde 6.2) yurt dışında bulunan üçüncü kişilere, Şirket tarafından aktarılabilir.
10.2.2. Kişisel Verilerin KVK Düzenlemelerine uygun olarak Açık Rıza alınmaksızın aktarıldığı
durumda ayrıca aktarılacağı yabancı ülke bakımından aşağıdaki koşullardan birinin varlığı gerekir:
10.2.2.1 Kişisel Verilerin aktarıldığı yabancı ülkenin Kurul tarafından yeterli korumanın bulunduğu
ülkeler statüsünde olması (liste için lütfen Kurul’un güncel listesini takip ediniz),
10.2.2.2 Aktarımın gerçekleşecek olduğu yabancı ülkenin Kurul’un güvenli ülkeler listesinde yer
almaması halinde Şirketin ve ilgili ülkedeki Veri Sorumlularının yeterli korumanın sağlanacağına
ilişkin yazılı taahhütte bulunarak Kuruldan izin alması.
10.2.3. Kişisel Verilerin yurt dışında üçüncü kişilere aktarımının KVK Düzenlemelerine uygun
olmasını sağlamaktan Şirket çalışanları ve Veri Sorumlusu Temsilcisi müteselsilen sorumludur.
XI. ŞİRKETİN AYDINLATMA YÜKÜMLÜLÜĞÜ
11.1. Şirket, KVKK’nın 10. Maddesine uygun olarak, Kişisel Verilerin İşlenmesinden önce Veri
Öznelerini aydınlatır. Bu kapsamda Şirket, Kişisel Verilerin elde edilmesi sırasında Aydınlatma
Yükümlülüğünü yerine getirir. Aydınlatma Yükümlülüğü kapsamında Veri Öznelerine yapılacak olan
bildirim sırasıyla şu unsurları içerir:
11.1.1. Veri Sorumlusunun ve varsa temsilcisinin kimliği,
11.1.2. Kişisel Verilerin hangi amaçla işleneceği,
11.1.3. İşlenen Kişisel Verilerin kimlere ve hangi amaçla aktarılabileceği,
11.1.4. Kişisel Veri toplamanın yöntemi ve hukuki sebebi,
11.1.5. Veri Öznelerinin KVKK Madde 11’de sayılan hakları.
11.2. Şirket, Türkiye Cumhuriyeti Anayasası’nın 20. ve KVKK’nın 11. Maddesine uygun olarak Veri
Öznesinin bilgi talep etmesi halinde gerekli bilgilendirmeyi yapar.
11.3. Veri Özneleri tarafından KVKK Düzenlemelerine uygun olarak talep edilmesi halinde Şirket,
Veri Öznesinin işlediği Kişisel Verilerini Veri Öznesine bildirir.
11.4. Kişisel Verilerin İşlenmesinden önce gerekli Aydınlatma Yükümlülüğünün yerine getirilmesini
sağlamaktan ilgili süreci takip eden çalışan ve Veri Sorumlusu Temsilcisi müteselsilen sorumludur. Bu
kapsamda her bir yeni veri işleme sürecinin Veri Sorumlusu Temsilcisine raporlanması amacı ile
gerekli KVK Prosedürü Veri Sorumlusu Temsilcisi ve Komite tarafından oluşturulur.
11.5. Veri İşleyenin Şirket haricinde üçüncü bir kişi olması halinde, üçüncü kişinin yukarıda belirtilen
yükümlülüklere uygun davranacağı yazılı bir sözleşme ile Kişisel Veri İşlemeye başlanmadan önce
üçüncü kişi tarafından taahhüt edilmelidir. Üçüncü kişilerin Şirkete Kişisel Veri aktardığı durumlarda
sözleşmelere eklenecek madde Veri Sorumlusu Temsilcisinden temin edilir. Her bir çalışan, Şirkete
üçüncü bir kişi tarafından Kişisel Veri aktarımı yapılan durumda işbu Politika’da yer alan süreci kat
etmekle yükümlüdür. Veri Sorumlusu Temsilcisi tarafından iletilen maddede Kişisel Verileri aktaran
üçüncü kişinin değişiklik talep etmesi halinde durum derhal çalışan tarafından Veri Sorumlusu
Temsilcisine bildirir.
XII. VERİ ÖZNELERİNİN HAKLARI
12.1. Şirket Kişisel Verisini elinde bulundurduğu Veri Öznelerinin aşağıda belirtilen kendileriyle ilgili
taleplerine KVK Düzenlemelerine uygun şekilde cevap verir:
12.1.1. Şirket tarafından Kişisel Veri İşlenip İşlenmediği öğrenme,
12.1.2. Kişisel Verilerinin işlenmesi halinde buna ilişkin bilgi talep etme,
12.1.3. Kişisel Verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını
öğrenme,
12.1.4. Yurt içinde veya yurt dışında Kişisel Verilerin aktarıldığı üçüncü kişileri bilme,
12.1.5. Kişisel Verilerin Şirket tarafından eksik veya yanlış işlenmiş olması hâlinde bunların
düzeltilmesini isteme,
12.1.6. Amaç, süre ve meşruiyet prensipleri dâhilinde değerlendirilmek üzere Kişisel Verilerin
İşlenmesini gerektiren sebeplerin ortadan kalkması halinde Şirket tarafından Kişisel Verilerin
Silmesini veya yok edilmesini isteme,
12.1.7. Şirket tarafından Kişisel Verilerin düzeltilmesi, Silinmesi ya da Yok Edilmesi halinde bu
işlemlerin Kişisel Verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
12.1.8. İşlenen Kişisel Verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi durumunda
Veri Öznesinin aleyhine bir sonucun ortaya çıkması halinde bu sonuca itiraz etme,
12.1.9. Kişisel Verilerin kanuna aykırı olarak işlenmesi ve bu sebeple Veri Öznesinin zarara uğraması
hâlinde zararın giderilmesini talep etme. Veri Özneleri haklarını kullanmak istediği ve/veya Kişisel
Verileri işlerken Şirketin işbu Politika kapsamında hareket etmediğini düşündüğü durumlarda
taleplerini, Şirket internet sitesinde yer alan formu doldurarak veya kendi taleplerini Kişisel Verileri
Koruma Kurumu tarafından belirlenen şartları taşıyacak şekilde oluşturarak aşağıda verilen ve zaman
zaman değişebilecek olan e-posta adresine, Şirket’e daha önce bildirilmiş ve Şirket sistemine kayıtlı
olan e-posta adresinden gönderebilecekleri e-posta ile (sisteme kayıtlı e-posta adresi kontrol
edilmelidir) veya güvenli elektronik imzalı veya mobil imzalı olarak Şirket kep adresine yahut yine
aşağıda yer alan ve zaman zaman değişebilecek olan posta adresine ıslak imzalı bir dilekçe ile elden ya
da noter aracılığıyla teslim edebilirler ve ileride bunlara eklenebilecek Kişisel Verileri Koruma
Kurumu tarafından belirlenen diğer yöntemlerle gönderebilirler. Güncel başvuru yöntemleri ve
başvuru içeriği başvuru öncesinde mevzuattan teyit edilmelidir.
Veri Sorumlusu: BIOCODEX İLAÇ SAN. İTH. İHR. VE TİC. LTD. ŞTİ.
KEP:
E-posta: <e.agaccioglu@biocodex.com>
Adres: Fatih Sultan Mehmet Mah. Poligon Cad. (Buyaka İş Kuleleri) Buyaka 2 Sitesi Kule 3
D.15-16-17-18 Meydan AVM – İKEA Yanı Ümraniye – İstanbul/TÜRKİYE
12.2. Veri Öznelerinin yukarıda sıralanan haklarına ilişkin taleplerini yazılı olarak Şirkete iletmeleri
durumunda Şirket talebin niteliğine göre talebi en geç otuz gün içinde ücretsiz olarak sonuçlandırır.
Taleplerin Veri Sorumlusu tarafından sonuçlandırılmasına ilişkin ayrıca bir maliyet doğması hâlinde
Kişisel Verileri Koruma Kurulunca belirlenen tarifedeki ücretler Veri Sorumlusu tarafından talep
edilebilir.
XIII. VERİ YÖNETİMİ VE GÜVENLİĞİ
13.1. Şirket, KVK Düzenlemeleri kapsamındaki yükümlülüklerini yerine getirmek, işbu Politikanın
uygulanması için gerekli KVK Prosedürlerinin uygulanmasını sağlamak ve denetlemek, bunların
işleyişine yönelik önerilerde bulunmak üzere Veri Sorumlusu Temsilcisi atar ve Komite oluşturur.
13.2. Kişisel Verilerin işbu Politika ve KVK Prosedürlerine uygun şekilde korunmasından ilgili sürece
müdahil olan tüm çalışanlar müteselsilen sorumludur.
13.3. Şirket tarafından Kişisel Veri İşleme faaliyetleri teknolojik imkanlar ve uygulama maliyetine
göre teknik sistemlerle denetlenmektedir.
13.4. Kişisel Veri İşleme faaliyetlerine yönelik teknik konularda bilgili personel istihdam
edilmektedir.
13.5. Şirket çalışanları, Kişisel Verilerin korunmasına ve hukuka uygun olarak işlenmesine yönelik
olarak bilgilendirilmekte ve eğitilmektedir.
13.6. Şirkette Kişisel Verilere erişmesi gereken çalışanların söz konusu Kişisel Verilere erişimini
sağlamak adına gerekli KVK Prosedürü oluşturulur ve bunun oluşturulması ve uygulanmasından Veri
Sorumlusu Temsilcisi ve Komite müteselsilen sorumludur.
13.7. Şirket çalışanları, Kişisel Verilere üzerinde yalnızca kendilerine tanımlanan yetki dâhilinde ve
ilgili KVK Prosedürüne uygun olarak erişebilir. Çalışanın yetkisini aşar şekilde yapmış olduğu her
türlü erişim ve işleme hukuka aykırı olup iş akdinin haklı nedenle feshi sebebidir.
13.8. Şirket çalışanın Kişisel Verilerin güvenliğinin yeterince sağlanmadığı şüphesinde olması yahut
böyle bir güvenlik açığını tespitte bulunması halinde derhal durumu Veri Sorumlusu Temsilcisi’ne
bildirir.
13.9. Kişisel Verilerin güvenliğine yönelik detaylı KVK Prosedürü Veri Sorumlusu Temsilcisi ve
Komite tarafından oluşturulur.
13.10. Kendisine Şirket cihazı tahsis edilen her kişi, kendi kullanımına tahsis edilen cihazlarının
güvenliğinden sorumludur.
13.11. Her Şirket çalışanı veya Şirket bünyesinde çalışan kişi kendi sorumluluk alanında yer alan fiziki
dosyaların güvenliğinden sorumludur.
13.12. KVK Düzenlemeleri kapsamında Kişisel Verilerin güvenliği için talep edilen veya ek olarak
talep edilecek olan güvenlik önlemleri olması durumunda tüm çalışanlar ek güvenlik önlemlerine
uymak ve bu güvenlik önlemlerinin sürekliliğini sağlamak ile yükümlüdür.
13.13. Şirkette Kişisel Verilerin güvenli ortamlarda saklanması için teknolojik gelişmelere uygun
olarak virüs koruma sistemleri ve güvenlik duvarlarını içeren yazılımlar ve donanımlar kurulmaktadır.
13.14. Şirkette Kişisel Verilerin kaybolmasını yahut zarar görmesini engellemek üzere yedekleme
programları kullanılmakta ve yeterli düzeyde güvenlik önlemleri alınmaktadır.
13.15. Şirkette Kişisel Verilerin yer aldığı belgeler kriptolu (şifreli) sistemlerle korunması için gerekli
önlemler alınacaktır. Bu kapsamda, Kişisel Veriler ortak alanlarda ve masaüstünde saklanmayacaktır.
Kişisel Verilerin yer aldığı dosya ve klasörler vb. belgeler masaüstüne veya ortak klasöre
taşınmayacak, Veri Sorumlusu Temsilcisinin önceden yazılı onayı alınmadan Şirket
bilgisayarlarındaki bilgiler USB vb. başka bir aygıta aktarılamayacak, Şirket dışına
çıkartılamayacaktır.
13.16. Komite, Yönetim Kurulu ile birlikte Şirket içerisinde bulunan tüm Kişisel Verilerin
korunmasına yönelik teknik ve idari önlemleri almak, gelişmeleri ve idari faaliyetleri sürekli takip
etmekle ve gerekli KVK Prosedürlerini hazırlayarak Şirket içerisinde duyurmak ve bunlara uyulmasını
sağlamak ve denetlemekle yükümlüdür. Bu kapsamda, Komite ve Veri Sorumlusu Temsilcisi
çalışanların farkındalığını artırmak üzere gerekli eğitimleri düzenler.
13.17. Şirket içerisindeki bir departman Özel Nitelikli Kişisel Veri İşliyorsa, bu departman, Komite
tarafından işledikleri Kişisel Verilerin önemi, güvenliği ve gizliliği hakkında bilgilendirilecek ve ilgili
departman Komite talimatlarına uygun hareket edecektir. Özel Nitelikli Kişisel Verilere erişim yetkisi
yalnızca sınırlı çalışanlara verilecek ve bunların listesi ve takibi Komite tarafından yapılacaktır. 13.18.
Şirket içerisinde işlenen Kişisel Verilerin tamamı Şirket tarafından “Gizli Bilgi” olarak kabul edilir.
13.19. Şirket çalışanları, Kişisel Verilerin güvenliğine ve gizliliğine ilişkin yükümlülüklerinin, iş
ilişkisinin sona ermesinden sonra da devam edeceği konusunda bilgilendirilmiş ve Şirket
çalışanlarından bu kurallara uymaları yönünde taahhüt alınmıştır.
XIV. ÇEREZLER VE BENZERİ TEKNOLOJİLER
14.1. Genel Kullanılmakta olan internet tarayıcısı aracılığı ile internet ağ sunucusu tarafından
kullanıcıların cihazlarına gönderilen küçük veri dosyaları çerez olarak anılmakta olup, internet siteleri
bu çerezler vasıtası ile kullanıcıları tanımaktadır ve çerezlerin ömrü tarayıcı ayarlarına bağlı olarak
farklılaşmaktadır. Bu çerezler, Şirket tarafından yönetilmekte olan sistemler aracılığıyla
oluşturulmakla birlikte, aynı zamanda Şirket tarafından yetkilendirilen bazı hizmet sağlayıcılar
kullanıcıların cihazlarına benzeri teknolojiler yerleştirerek IP adresi, benzersiz tanımlayıcı ve cihaz
tanımlayıcı bilgileri edinebilmektedir. Ayrıca, Şirket sistemlerinde bulunan üçüncü taraflara ait linkler,
bu üçüncü taraflara ait gizlilik politikalarına tabi olmakla birlikte, gizlilik uygulamalarına ait
sorumluluk Şirket’e ait olmamaktadır ve bu bağlamda ilgili link kapsamındaki site ziyaret edildiğinde
siteye ait gizlilik politikasının okunması önerilmektedir. Şirket çerez kullanımı bakımından KVKK
Düzenlemeleri özelinde gerekli değerlendirmeyi yapar ve KVKK Düzenlemeleri kapsamında gerekli
yükümlülükleri ayrıca yerine getirir.
14.2. Çerez Türleri Ana kullanım amacı kullanıcılara kolaylık sağlamak olan çerezler, temel olarak
dört ana grupta toplanmaktadır:
14.2.1 Oturum Çerezleri: İnternet sayfaları arasında bilgi taşınması ve kullanıcı tarafından girilen
bilgilerin sistemsel olarak hatırlanması gibi çeşitli özelliklerden faydalanmaya olanak sağlayan
çerezlerdir ve Şirket internet sitesine ait fonksiyonların düzgün bir şekilde işleyebilmesi için
gereklidir.
14.2.2 Performans Çerezleri: Sayfaların ziyaret edilme frekansı, olası hata iletileri, kullanıcıların ilgili
sayfada harcadıkları toplam zaman ile birlikte siteyi kullanım desenleri konularında bilgi toplayan
çerezlerdir ve Şirket internet sitesinin performansını arttırma amacıyla kullanılmaktadır.
14.2.3 Fonksiyonel Çerezler: Kullanıcıya kolaylık sağlanması amacıyla önceden seçili olan
seçeneklerin hatırlatılmasını sağlayan çerezlerdir ve Şirket internet sitesi kapsamında kullanıcılara
gelişmiş internet özellikleri sağlanmasını hedeflemektedir.
14.2.4 Reklam ve Üçüncü Taraf Çerezleri: Üçüncü parti tedarikçilere ait çerezlerdir ve Şirket internet
sitesindeki bazı fonksiyonların kullanımına ve reklam takibinin yapılmasına olanak sağlamaktadır.
14.3. Çerezlerin Kullanım Amaçları Şirket tarafından kullanılmakta olan çerezlere ait kullanım
amaçları aşağıdaki gibidir:
14.3.1 Operasyonel amaçlı kullanımlar: Şirket, sistemlerinin idaresi ve güvenliğinin sağlanması
amacıyla, bu sitedeki fonksiyonlardan yararlanmayı sağlayan veyahut ta düzensiz davranışları tespit
eden çerezler kullanabilmektedir.
14.3.2 İşlevselliğe yönelik kullanımlar: Şirket, sistemlerinin kullanımını kolaylaştırmak ve kullanıcı
özelinde kullanım özellikleri sağlamak amacıyla, kullanıcıların bilgilerini ve geçmiş seçimlerini
hatırlatan çerezler kullanabilmektedir.
14.3.3 Performansa yönelik kullanımlar: Şirket, sistemlerinin performansının artırılması ve ölçülmesi
amacıyla, gönderilen iletilerle olan etkileşimi ve kullanıcı davranışlarını değerlendiren ve analiz eden
çerezler kullanabilmektedir.
14.3.4 Reklam amaçlı kullanımlar: Şirket, kendine veya üçüncü taraflara ait sistemlerin üzerinden
kullanıcıların ilgi alanları kapsamında reklam ve benzeri içeriklerin iletilmesi amacıyla, bu reklamların
etkinliğini ölçen veya tıklanma durumunu analiz eden çerezler kullanabilmektedir.
14.4. Çerezleri Devre Dışı Bırakmak Çerez kullanımı birçok tarayıcıda önceden tanımlı bir şekilde
seçili olarak bulunmaktadır ve kullanıcılar bu seçim durumunu tarayıcı ayarlarından değiştirebilmekte
ve dolayısıyla da mevcut çerezleri silip ileriki çerez kullanımlarını da reddedebilmektedir; nitekim
çerez kullanımının iptal edilmesi halinde Şirket sistemlerindeki birtakım özelliklerden
faydalanılamaması söz konusu olabilmektedir. Çerez kullanım seçiminin değiştirilmesine ait yöntem,
tarayıcı tipine bağlı olarak değişmekte olup, ilgili hizmet sağlayıcıdan dilendiği zaman
öğrenilebilmektedir.
XV. EĞİTİM
15.1. Şirket, Kişisel Verilerin korunması konusunda çalışanlarına Politika ve ekinde yer alan KVK
Prosedürleri ile KVKK Düzenlemeleri kapsamında gerekli eğitimleri verir.
15.2. Eğitimlerde Özel Nitelikli Kişisel Verilerin tanımlarına ve korunmasına yönelik uygulamalara
özellikle değinilir.
15.3. Şirket çalışanı Kişisel Verilere fiziksel olarak veya bilgisayar ortamında erişiyorsa, Şirket ilgili
çalışanına bu erişimler özelinde (örneğin erişilen bilgisayar programı) eğitim verir.
XVI. DENETİM Şirket, işbu Politika ve KVK Düzenlemelerine Şirketin tüm çalışanları,
departmanları ve yüklenicilerinin uygun hareket ettiğini düzenli olarak hiçbir ön bildirimde
bulunmaksızın her zaman ve re’sen denetleme hakkını haizdir ve bu kapsamda gerekli rutin
denetimleri yapar. Komite ve Veri Sorumlusu Temsilcisi bu denetimlere dair KVK Prosedürü
oluşturur, Yönetim Kurulu onayına sunar ve anılan prosedürün uygulanmasını sağlar.
XVII. İHLALLER
15.1. Şirketin her bir çalışanı, KVK Düzenlemelerinde ve işbu Politika kapsamında belirtilen usul ve
esaslara aykırı olduğunu düşündüğü iş, işlem yahut eylemi ilgili departman direktörüne bildirir.
Departman direktörü, değerlendirmesi için konuyu ilgili belgelerle birlikte bilgide Komite’ye ait grup
e-posta adresi de olan bir e-posta ile ilgili departmanın Komite üyesine aktarır. Bu kapsamda ilgili
ihlale yönelik Komite, işbu Politika ve KVK Prosedürlerine uygun şekilde eylem planı oluşturur.
15.2. Yapılan bilgilendirmeler sonucunda Komite KVK Düzenlemeleri başta olmak üzere konuya
ilişkin yürürlükteki mevzuat hükümlerini dikkate alarak ihlale ilişkin Veri Öznesi veya Kurum’a
yapılacak bildirimi hazırlar. Veri Sorumlusu Temsilcisi Kurum ile yapılan yazışma ve iletişimi
yürütür.
XVIII. SORUMLULUKLAR
Şirket içerisinde sorumluluklar sırasıyla çalışan, departman, Veri
Sorumlusu Temsilcisi şeklindedir. Bu kapsamda; Politika’nın uygulanmasından sorumlu Komite ve
Veri Sorumlusun Temsilcisi Şirket yönetim kurulu tarafından yönetim kurulu kararı ile atanır ve bu
kapsamda değişiklikler de yine anılan yolla yapılır.
XIX. POLİTİKADA YAPILACAK DEĞİŞİKLİKLER
17.1. Şirket tarafından işbu Politika zaman zaman Yönetim Kurulu onayı ile değiştirilebilir.
17.2. Şirket, Politika üzerinde yaptığı değişiklikler incelenebilecek şekilde güncellenen Politika
metnini e-posta yolu ile çalışanlarıyla paylaşır veya aşağıdaki web adresi üzerinden çalışanların ve
Veri Öznelerinin erişimine sunar.
İlgili web adresi: https://www.biocodex.com.tr/tr/
XX. POLİTİKANIN YÜRÜRLÜK TARİHİ Kişisel Verilerin Korunması ve Gizlilik Politikası’nın
işbu versiyonu 21/09/2020 tarihinde Şirket Yönetim Kurulu tarafından onaylanarak yürürlüğe
girmiştir.