|
KVKK VERİ AKTARIMI VE PAYLAŞIMI POLİTİKASI |
|
|
|
|
|
Doküman No: POL.04 Yayın Tarihi: 12.12.2020 Revizyon No: 00 Revizyon Tarihi: - |
|
|
|
Mespa olarak; müşterilerinin, potansiyel müşterilerinin, tedarikçilerinin, ziyaretçilerinin, çalışanlarının, çalışan adaylarının, hukuki veya ticari ilişki ve/veya iş birliği içinde olduğu diğer kişi, kurum ve kuruluşlar ile bunların çalışanlarının, iş ortaklarının, hissedarlarının ve yetkililerinin kişisel verilerinin gizliliği ve güvenliği önemsemekteyiz. İşbu KVKK Veri Aktarımı ve Paylaşımı Politikası ’ nın “Politika” temel amacı, yukarıda sayılan kişiler başta olmak üzere, kişisel verilerin Mespa ‘nın tüm birimlerinin kullandığı ve içerisinde kişisel veri barındıran tüm iletişim türlerinin aktarım usul ve esasları belirlemektir.
Kişisel verilerin aktarımına ilişkin iş ve işlemler, Mespa tarafından bu doğrultuda hazırlanmış olan işbu Politikaya uygun olarak gerçekleştirilir.
İşbu Politika; MESPA ’nın tüm birimlerini ve çalışanlarını, birimlerinin kullandığı ve içerisinde kişisel veri barındıran tüm iletişim türlerini kapsamaktadır.
İşbu Politika kişisel veri olmayan veriler hakkında uygulanmayacaktır.
Yeni mevzuatlar ile belirlenmesi durumunda, MESPA kişisel veriler üzerinde yeni mevzuatlara uyumlu olacak şekilde politikasını güncelleyerek mevzuat gerekliliklerine uyacaktır.
İşbu Politika ’nın MESPA tarafından uygulanmasında hukuki bir engel olduğuna kanaat getirildiği durumlarda, MESPA uygulayacağı adımları Hukuk Birimi’ne danışarak yeniden belirleyecektir.
MESPA KVK Politikasında kullanılan ve önem teşkil eden tanımlar aşağıda yer almaktadır:
|
|
ŞİRKET |
: |
Mespa Sağlık Malzemeleri Sanayi ve Ticaret A.Ş. |
||
|
|
KVKK |
: |
7 Nisan 2016 tarihli ve 29677 sayılı Resmi Gazete ‘de yayımlanan, 24 Mart 2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanunu. |
||
|
|
|
Politika |
: |
|
KVKK Veri Aktarımı ve Paylaşımı Politikası |
|
|
|
|
|
||||
|
|
|
Açık Rıza |
: |
|
Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza. |
|
||||||||
|
|
|
Anonim Hale Getirme |
: |
|
Kişisel verinin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi. |
|
||||||||
|
|
|
Aydınlatma |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ |
: |
|
10 Mart 2018 tarihli ve 30356 sayılı Resmî Gazete ‘de yayımlanarak yürürlüğe giren Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ. |
|
|
||||||||
|
|
|
Çalışan(lar) |
: |
|
MESPA çalışan(lar)ı. |
|
|
|
|
|
|
|
|
|
|
|
|
Çalışan KVK Politikası |
: |
|
MESPA çalışanlarının kişisel verilerinin korunmasına ve işlenmesine ilişkin ilkelerin düzenlendiği “MESPA A.Ş. Çalışanları Kişisel Verilerin Korunması ve İşlenmesi Politikası”. |
|
|
|||||||
|
|
|
Kişisel Veri |
: |
|
Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi. |
|
|
|||||||
|
|
|
Kişisel Veri Sahibi |
: |
|
Kişisel verisi işlenen gerçek kişi. Örneğin; çalışanlarımız, ziyaretçilerimiz, bizimle çalışmak isteyen adaylar, müşterilerimiz |
|
|
|||||||
|
|
|
KVK Kurulu |
: |
|
Kişisel Verileri Koruma Kurulu. |
|
|
|
|
|
|
|
|
|
|
|
KVK Kurumu |
: Kişisel Verileri Koruma Kurumu. |
|
|
|
|
|
|
|
Özel Nitelikli Kişisel Veri |
: |
Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık kıyafet, dernek vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik veriler. |
|
|||
|
|
MESPA İş Ortakları |
: |
MESPA’nın ticari faaliyetlerini yürütürken çeşitli amaçlarla iş ortaklığı kurduğu taraflar. |
|
|||
|
|
MESPA Grup Şirketleri |
: Mespa Medikal, Mespa Global, Hospitool şirketlerini kapsamaktadır. |
|
||||
KVKK Veri Aktarımı ve Paylaşımı Politikası MESPA ’da ve diğer grup şirketlerinde işleyiş, faaliyet ve süreçlerinin uygulanmasında Genel Müdür sorumlu olmakla birlikte; bu politikanın uygulanmasından MESPA ’nın tüm birimleri ve çalışanları sorumludur.
Açık rıza alınmadan verilerin aktarılması yalnızca kanunda (8 inci maddenin ikinci fıkrası) belirtilen istisnaların sağlandığı durumlarda geçerlidir. Bu istisnalar dışında kalan tüm durumlarda, kişisel veriler, ilgili kişinin açık rızası olmaksızın aktarılamaz. Aktarımda istisnanın geçerliliğinden emin olamıyorsa KVKK Kurulu’na danışarak aktarım yapılabilir.
4.1. Kişisel Veri Aktarım Şartlarına Uygunluk
MESPA tarafından gerçekleştirilecek kişisel veri aktarımlarında KVK Kanunu’nun 8. ve 9. maddelerinde düzenlenmiş olan kişisel veri aktarım şartlarına uygun olarak hareket edilmektedir.
4.1.1. Kişisel Verilerin Yurtiçinde Aktarılması
MESPA tarafından, KVK Kanunu’nun5. ,6. ve 8. maddesi gereğince, yurtiçinde yürütülecek veri aktarımı faaliyetlerinde veri işleme şartlarına (Bkz. MESPA KVK Politikası Bölüm 6.1.) uygun olarak hareket edilmektedir.
Kişisel verilerin aktarılması için aşağıdaki hallerden birinin bulunması gerekmektedir:
Özel nitelikli kişisel verilerin yurtiçinde aktarılabilmesi için ise; aşağıdaki hallerden birinin bulunması gerekmektedir.
4.1.2. Kişisel Verilerin Yurtdışına Aktarılması
MESPA tarafından, KVK Kanunu’nun 9. maddesi gereğince kişisel veriler; kişisel veri işleme şartlarına (Bkz. MESPA KVK Politikası Bölüm 6.1. ) uygun olarak ve aktarım yapılacak ülkenin KVK Kurulu tarafından ilan edilen yeterli korumaya sahip ülkelerden olması veya ilgili yabancı ülkede yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve KVK Kurulunun izninin bulunması ile yurtdışına aktarılabilmektedir.
Kişisel verilerin aktarılması için aşağıdaki hallerden birinin bulunması gerekmektedir:
4.1.2.1. Aktarım Yapılacak Ülkede Yeterli Korumanın Bulunması Halinde Uygulamalar;
Kişisel veri, Kişisel Verileri Koruma Kurulu (Kurul) tarafından belirlenerek ilan edilen yeterli korumaya sahip ülkelerden birine (güvenli ülke olarak da adlandırılmaktadır) aktarılacak ise kişisel verinin özel nitelikli kişisel veri olup olmadığına bakılır. Buna göre;
4.1.2.1.1.) Aktarılacak Veri Özel Nitelikli Kişisel Veri Olmaması Durumunda;
6698 sayılı Kanunun 5 inci maddesinin 2 nci fıkrasında belirtilen şartlardan birinin varlığı gereklidir. Bu şartlar şunlardır;
4.1.2.1.2.) Aktarılacak Veri Özel Nitelikli Kişisel Veri Olması Durumunda;
6698 sayılı Kanunun 6 ncı maddesinin 3 üncü fıkrasında belirtilen şartlardan birinin varlığı gereklidir. Bu şartlar şunlardır;
4.1.2.2. Aktarım Yapılacak Ülkede Yeterli Korumanın Bulunmaması Halinde Uygulamalar;
Kişisel verinin aktarılacağı ülke, yeterli korumanın bulunmadığı bir ülke ise bu durumda kişisel veri işleme şartlarının mevcut olması ile Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması gerekir. Buna göre yeterli korumanın bulunmadığı bir ülkeye kişisel veri aktarımında;
Kişisel veri özel nitelikli kişisel veri değilse 6698 sayılı Kanunun 5 inci maddesinin 2 nci fıkrasında , özel nitelikli kişisel veri ise 6698 sayılı Kanunun 6 ncı maddesinin 3 üncü fıkrasında belirtilen şartlardan birinin varlığı.
Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması halinde yeterli korumaya sahip olmayan ülkelerden birine ilgilinin açık rızası aranmaksızın aktarılabilecektir.
4.2. Kişisel Verilerin Fiziksel Ortamda Aktarılması
Fiziksel ortamdaki kişisel veriler, kişisel verilerin okunabilir olduğu elektronik ortam dışındaki tüm kişisel verileri kapsamaktadır. Politika ’nın bu bölümünde kişisel verilerin fiziki olarak transferi ile ilgili gereklilikler belirtilmektedir. MESPA çalışanları aksi belirtilmediği sürece fiziksel ortamda bir kişisel veri aktarımı yapıyorsa İşbu Politika ’ya bağlı kalmak zorundadır. Çalışanımız aksi durumda bir aktarım yaptığı veya aktarımın yapıldığına şahit olduğu durumlarda, durumu KVK Kurulu ’na bildirmekle yükümlüdür. Fiziksel ortamda veri aktarımı yapan çalışan ve/veya departman, aktarılacak olan kişisel veriler alınırken kişinin açık rızasını almalıdır. Kanunda açıkça ön görülmesi, fiili imkansızlık sebebiyle açık rızanın alınamaması, sözleşmenin kurulması veya ifasıyla doğrudan ilgili olması, hukuki yükümlülüğümüzün yetine getirilmesi şartlarında, kişisel veri sahibinin kişisel veriyi alenileştirmesi durumunda açık rıza alınması gerekmemektedir. Diğer durumlarda açık rıza alınmadan aktarılan kişisel verilerde sorumluluk veri işleyen ile birlikte aktarım yapan kişi ve/veya departmanda aktardıkları sorumludur.
Kişisel Veri içeren fiziki dokümanlar aktarılırken işlenemez olmalıdır. Aktarım sırasında doküman üzerindeki kişisel veri aktarımı yapan kişi tarafından dahi görülmemelidir. Bu sebeple aktarım dosyaların fiziki boyutuna bağlı olarak, kişisel veriler aktarım yapılacak kişiye ulaşmadan işlenmişse bu işleme aktarım sırasında takip edilebilir şekilde aktarım gerçekleştirilmelidir. Bu takip kapalı zarfın, kolinin, kutunun mühürlenmesi şeklinde gerçekleştirilecektir. Mühürleme yapılamadığı durumda aktarım yalnızca KVK Kurulu’nun bilgisi ve onayı dâhilinde yapılabilir. Gönderi sonrası alıcı taraf ile iletişim kurularak kişisel verilerin transfer işleyiş bilgileri ve şartları teyit edilmektedir.
Fiziki ortamdaki kişisel verilerin yurt içindeki aktarımı gerekli şartları sağlamanın yanı sıra mümkün olduğunca direkt olarak göndericiden alıcıya şeklinde gerçekleştirilmektedir. Dolaylı veya elden ele aktarım yalnızca zorunlu kalınan durumlarda tercih edilmektedir.
4.3. Kişisel Verilerin Elektronik Ortamda Aktarılması
Elektronik ortamdaki kişisel veriler, kişisel verilerin bir elektronik cihaz kullanılarak okunabilir hale getirildiği tüm kişisel verileri kapsamaktadır. İşbu Politikası ’nın bu bölümünde kişisel verilerin elektronik olarak transferi ile ilgili gereklilikler anlatılmaktadır. Politika ’nın bu bölümünde kişisel verilerin elektronik ortamda aktarılması ile ilgili gereklilikler belirtilmektedir. MESPA çalışanları aksi belirtilmediği sürece elektronik ortamda bir kişisel veri aktarımı yapıyorsa İşbu Politika ’ya bağlı kalmak zorundadır. Çalışan aksi durumda bir aktarım yaptığı veya aktarımın yapıldığına şahit olduğu durumlarda, durumu KVK Kurulu’na bildirmekle yükümlüdür. Elektronik ortamda veri aktarımı yapan çalışan ve/veya departman, aktarılacak olan kişisel veriler alınırken kişinin açık rızasını almalıdır. Kanunda açıkça ön görülmesi, fiili imkansızlık sebebiyle açık rızanın alınamaması, sözleşmenin kurulması veya ifasıyla doğrudan ilgili olması, hukuki yükümlülüğümüzün yetine getirilmesi şartlarında, kişisel veri sahibinin kişisel veriyi alenileştirmesi durumunda açık rıza alınması gerekmemektedir. Diğer durumlarda açık rıza alınmadan aktarılan kişisel verilerde sorumluluk veri işleyen ile birlikte aktarım yapan kişi ve/veya departmanda aktardıkları sorumludur.
Kişisel veriler elektronik ortamda aktarılmadan önce, alıcının veriyi işlemeye yetkisi olduğundan emin olunmalıdır.
Elektronik olarak kişisel veri aktarımı aşağıdaki yöntemlerle ve yalnızca belirtilen şartlar sağlandığı takdirde yapılabilir, bu yöntemlerin yetersiz kaldığı durumda KVK Kurulu’na bilgilendirilmelidir.
4.3.1. Elektronik Posta
Kişisel verilerin elektronik posta yolu ile transferinin gerekli olduğu durumlarda, aktarım işlemi kişisel verinin sahibi Birim Müdürü elektronik postanın alıcıları arasında yer almalıdır. Birim Müdürü bilgisi dâhilinde olsa dahi elektronik postanın alıcısı olmadığı durumlarda, çalışan politikaya aykırı davranmış sayılacaktır.
Elektronik posta metni içerisinde, elektronik postanın içeriğinin ve/veya eklerinin kişisel veri içerdiğinin bilgisi verilmelidir ve kişisel verilerin işlenmesi şifrelenerek önlenmelidir. Şifre, bir başka e-posta veya iletişim yöntemi ile alıcı ile paylaşılmalıdır. Şifreleme işleminin yapılmayacağı durumda, ilgili çalışan birim yöneticisine, birim yöneticisi ise KVK Kurulu ’na bilgi vererek onay almalıdır.
4.3.2. Taşınabilir Medya
Taşınabilir medya; sabit disklere, CD, DVD, teyp, USB belleklere, USB sabit disklere, hafıza kartlarına ve benzeri elektronik ortamın fiziksel şekilde taşınabildiği tüm elektronik platformları kapsamaktadır.
Taşınabilir medyalar ile kişisel veri aktarılır.