1. POLİTİKANIN AMACI VE KAPSAMI
İşbu Kişisel Verilerin İşlenmesi ve Korunması Genel Politikasının (“Politika”) amacı, Esan Eczacıbaşı Endüstriyel Hammaddeler Sanayi ve Ticaret Anonim Şirketi (“Şirket”) tarafından, iş birimlerinin süreç ve faaliyetleri kapsamında ve onlara bağlı olarak, işlenen kişisel veriler yönünden 6698 sayılı Kişisel Verilerin Korunması Kanunu başta olmak üzere ilgili mevzuat hükümleri uyarınca uyguladığı genel ilke ve esasları belirlemektir.
2. TANIMLAR
Açık Rıza | Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızadır. |
İlgili Kişi | Kişisel verisi işlenen gerçek kişidir, veri konusu kişidir. |
İmha | Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi işlemlerinin kavramsal olarak adıdır. |
Kanun | 6698 sayılı Kişisel Verilerin Korunması Kanunu’dur. |
Kayıt Ortamı | Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortamdır. |
Kişisel Veri | Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin bilgilerdir (kimlik, iletişim, işlem verileri gibi) - Tüzel kişilere ilişkin bilgiler (örneğin; Şirketin unvanı, ticaret sicili numarası, vergi numarası gibi) Kanun kapsamında değildir. |
Kişisel Verilerin İşlenmesi
| Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemin genel adıdır. |
Kişisel Verilerin Anonim Hale Getirilmesi | Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir. |
Kişisel Verilerin Silinmesi
| Kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. |
Kişisel Verilerin Yok Edilmesi | Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. |
Kurul | Kişisel Verileri Koruma Kurulu’dur.
|
Kurum | Kişisel Verileri Koruma Kurumu’dur.
|
Özel Nitelikli Kişisel Veri
| Kanunun 6. Maddesinin 1. Fıkrasında sayılmış olan ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık kıyafet, dernek vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir. |
Şirket | İşbu Politikada Esan Eczacıbaşı Endüstriyel Hammaddeler Sanayi ve Ticaret A.Ş.’dir. |
Veri Envanteri | Kişisel verilerin işlendiği faaliyetleri, işleme faaliyetlerinin amaçlarını, veri konusu kişi gruplarını, işlenmekte olan veri türü ve kategorilerini, kişisel verilerin saklanma sürelerini, kişisel veri aktarılan alıcı grupları (yurt içi ve yurt dışı olmak üzere) ile kişisel verilerin aktarımı dahil işlenmesine ilişkin olarak veri güvenliği için alınan teknik ve idari tedbirlerin belirtildiği, Yönetmelik’e göre oluşturulmuş, kişisel veri işleme envanteridir. |
Veri İşleyen | Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel veri işleyen gerçek veya tüzel kişi anlamına gelmektedir. |
Veri Sorumlusu | Kişisel verilerin işlenme amaçlarını ve vasıtalarını belirleyen, verilerin sistematik bir şekilde tutulduğu yeri (veri kayıt sistemi) yöneten kişidir (gerçek veya tüzel kişilerdir). Esan Eczacıbaşı Endüstriyel Hammaddeler Sanayi ve Ticaret A.Ş. bir veri sorumlusudur. |
Yönetmelik | Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik’tir. |
3. KİŞİSEL VERİLERİN KANUN’UN GENEL İLKELERİNE UYGUN OLARAK İŞLENMESİ
Şirketimiz, Kişisel Verileri işlerken, öncelikle Kanun’un 4. Maddesinde yazılı olan genel ilkelere uygun hareket eder. Bu doğrultuda, Kişisel Verileri sadece;
Hukuka ve dürüstlük kuralına uygun olarak,
Doğru ve gerektiğinde güncelliğini sağlamak için gereken gayret içinde,
Belirli, açık ve meşru amaçları oldukça ve
Bu amaçlarla bağlantılı, sınırlı ve ölçülü şekilde işlemektedir.
4. KİŞİSEL VERİLERİN KANUN’DA BELİRLENEN HUKUKA UYGUNLUK SEBEPLERİNE (İŞLEME ŞARTLARINA) DAYALI OLARAK İŞLENMESİ
Şirketimiz, Kişisel Verileri, yukarıda bahsi geçen genel ilkelerle uyumlu şekilde, Politikanın aşağıda 6. Bölümünde sayılmış olan işleme faaliyetlerimiz için Kanun’un 5. ve 6. Maddelerindeki işleme şartlarına (hukuka uygunluk sebepleri) istinaden işlemektedir.
Buna göre Şirketimiz Kişisel Verileri Kanun’un 5. Maddesi kapsamında;
5/2 (a) Kanunlarda açıkça öngörülmesi,
5/2 (b) Fiili imkânsızlık sebebiyle İlgili Kişinin açık rızasının alınamaması,
5/2 (c) Sözleşmenin kurulması veya ifasıyla doğrudan ilgi olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
5/2 (ç) Veri Sorumlusunun hukuki yükümlülüklerini yerine getirebilmesi için zorunlu olması,
5/2 (d) İlgili kişinin kendisi tarafından alenileştirilmiş olması,
5/2 (e) Bir hakkın tesisi veya korunması için veri işlemenin zorunlu olması,
5/2 (f) İlgili Kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, Veri Sorumlusunun meşru menfaati için veri işlemenin zorunlu olması işleme şartlarından bir veya birkaçına dayanarak ve;
Gereken hallerde madde 5/1 kapsamında İlgili Kişinin Açık Rızasının temin edilmesi suretiyle toplamakta ve işlemektedir.
Bu doğrultuda, Kişisel Veri işleme faaliyetinin dayanağı yukarıda belirtilen şartlardan yalnızca biri olabildiği gibi, birden fazlası da olabilmektedir.
Şirketimiz, Özel Nitelikli Kişisel Verileri Kanun’un 6. Maddesinde belirtilen işleme şartlarından birinin mevcut olması halinde işler. Buna göre Özel Nitelikli Kişisel Veriler;
6/3 (a) İlgili kişinin açık rızasının olması,
6/3 (b) Kanunlarda açıkça öngörülmesi,
6/3 (c) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin, kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
6/3 (ç) İlgili kişinin alenileştirdiği kişisel verilere ilişkin ve alenileştirme iradesine uygun olması,
6/3 (d) Bir hakkın tesisi, kullanılması veya korunması için zorunlu olması,
6/3 (e) Sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlarca, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması, yönetimi ve finansmanı amacıyla gerekli olması,
6/3 (f) İstihdam, iş sağlığı ve güvenliği, sosyal güvenlik, sosyal hizmetler ve sosyal yardım alanlarındaki “hukuki yükümlülüklerin” yerine getirilmesi için zorunlu olması,
6/3 (g) Siyasi, felsefi, dini veya sendikal amaçlarla kurulan vakıf, dernek ve diğer kâr amacı gütmeyen kuruluş ya da oluşumların, tâbi oldukları mevzuata ve amaçlarına uygun olmak, faaliyet alanlarıyla sınırlı olmak ve üçüncü kişilere açıklanmamak kaydıyla; mevcut veya eski üyelerine ve mensuplarına veyahut bu kuruluş ve oluşumlarla düzenli olarak temasta olan kişilere yönelik olması, işleme şartlarından bir veya birkaçına dayanarak toplamakta ve işlemektedir.
Tüm kişisel veri işleme faaliyetleri yönünden, sadece gereken hallerde İlgili Kişinin Açık Rızasının temin edilmesi işleme şartına başvurulmaktadır.
5. ŞİRKET TARAFINDAN VERİSİ İŞLENEN KİŞİ GRUPLARI, KİŞİSEL VERİLERİN TOPLANMA YÖNTEMLERİ VE İŞLENEN KİŞİSEL VERİ KATEGORİLERİ
5.1. Veri Konusu Kişi Grupları ve Kişisel Verilerin Toplanma Yöntemleri
Kişisel verilerini işlemekte olduğumuz veri konusu kişi grupları genellikle; çalışanlar, çalışan adayları, yurt dışı grup şirketi /iştiraki çalışanları, alt işveren çalışanları / yetkilileri, 2. ve 3. taraf yüklenici çalışanları, ziyaretçiler, arazi sahibi gerçek kişiler ile tüzel kişilerin çalışanları / yetkilileri, araç satışı yapılan kişiler, şahıs müşteriler ile tüzel kişi müşterilerin çalışanları / yetkilileri / hissedarları, şahıs tedarikçiler ile tüzel kişi tedarikçi çalışanları / yetkilileri, iş ortağı çalışanları / yetkilileri, fuar/panel/konferans (etkinlik) katılımcıları, kamu görevlileri, rödovans sözleşmesi tarafları, vekiller, kısa süreli tedarikçi çalışanları, müteahhit firma çalışanları / yetkilileridir.
Aşağıdaki tablo, söz konusu kişi gruplarını ve onlara ait kişisel verilerin Şirketimiz tarafından hangi yollarla toplandığını genel bir çerçevede göstermektedir.
VERİ KONUSU KİŞİ GRUBU | KİŞİSEL VERİLERİN NEREDEN VE NE ŞEKİLDE TOPLANDIĞI |
Çalışan Adayları |
Çalışan adaylarına ait Kişisel Veriler sözlü, yazılı veya elektronik ortamda sunulan bilgiler, özgeçmiş ve CV’ler, eğitim ve becerilere ilişkin belge ve kayıtlar, diploma, sertifika ve ruhsatlar gibi belgeler içinde ve vasıtasıyla toplanmaktadır.
Bunlarla birlikte, yüz yüze veya telefon görüşmeleri yolu ile sorulan sorulara verilen cevaplardan, Eczacıbaşı Kariyer Sitesi gibi işe alım portallarından, Teams gibi video konferans görüşme uygulamalarından, kurumsal internet sitemizden, sosyal medya platformları gibi kaynaklardan iletilen özgeçmişlerden ve iş başvuru formumuz gibi vasıtalarla toplanmaktadır.
|
Çalışanlar |
Çalışanlarımıza ait kişisel veriler sıklıkla işe giriş esnasında talep edilen belgeler, Şirketimize özel formlar vasıtasıyla, yüz yüze yapılan görüşmelerde veya telefon, e-posta, dijital iletişim kanalları ile veya kargo, kurye, posta gibi fiziki kanallardan toplanır. Bununla birlikte, özgeçmiş, eğitim ve referans bilgileri işe alım portalları ve e-posta yoluyla iletilen özgeçmişlerden toplanabilmektedir.
Çalışanlarımızın özel nitelikli kişisel veri olan sağlık verileri ve ceza mahkûmiyeti verileri, insan kaynakları, işyeri hekimliği ve iş güvenliği birimlerimiz tarafından elden, kargo/kurye/posta yolu ile ya da e-posta gibi dijital iletişim kanalları ile toplanabilmektedir.
Ayrıca, Şirketimiz ve tesislerimizde fiziksel mekân güvenliğinin temini amacıyla güvenlik kameraları (CCTV) ile izleme; yeraltı güvenlik sistemi (YGS) ile izleme ve konum takibi yapılmaktadır.
|
Çalışan Aile Üyeleri / Yakınları | Çalışanlarımızın aile bireyleri ve yakınlarına ait Kişisel Veriler, e-posta, telefon, anlık mesajlaşma uygulamaları veya elden toplanabilmektedir.
|
Yabancı Grup Şirketi / İştiraki Çalışanları | Yabancı grup şirketlerimiz / iştiraklerimizin çalışanlarına ait Kişisel Veriler Şirketimize özel formlar veya elden, kargo / kurye / posta yoluyla toplanabilmektedir.
|
Alt İşveren Çalışanları / Yetkilileri | Alt işveren çalışanlarımıza / yetkililerine ait kişisel veriler ve sağlık bilgileri gibi özel nitelikli kişisel veriler, Şirketimize özel formlar vasıtasıyla veya telefon, e-posta gibi sair dijital iletişim kanalları ile veya kargo, kurye, posta gibi fiziki kanallardan toplanmaktadır. Bazı hallerde Kişisel Veriler E-İhale Platformu gibi web siteleri üzerinden de toplanabilmektedir.
Ayrıca, şirketimiz ve tesislerimizde fiziksel mekân güvenliğinin temini amacıyla güvenlik kameraları (CCTV) ile izleme; yeraltı güvenlik sistemi (YGS) ile izleme ve konum takibi yapılmaktadır.
|
Şirket Misafirleri | İş seyahatlerinin organizasyonu amacıyla gereken hallerde Şirketimizin misafirlerinin Kişisel Verileri Şirketimize özel formlar veya e-posta vasıtasıyla toplanabilmektedir.
|
Fiziksel ziyaretçiler (Şirket, Laboratuvar, Yeraltı) | Ziyaretçilerimizin Kişisel Verileri, Şirketimize özel formlar doldurulması veya imzalatılan sözleşme/taahhütnameler gibi vasıtalarla toplanabilmektedir.
Ayrıca şirketimiz ve tesislerimizde fiziksel mekân güvenliğinin temini amacıyla güvenlik kameraları (CCTV) ile izleme; yeraltı güvenlik sistemi (YGS) ile izleme ve konum takibi yapılmaktadır.
|
İnternet Sitesi Ziyaretçileri | https://www.esan.com.tr/tr adresli kurumsal internet sitemizde yapılan gezintiler esnasında zorunlu çerezler ve ziyaretçi tarafından kabul edilmesi halinde sair çerezler vasıtasıyla Kişisel Veriler toplanmaktadır.
|
Arazi Sahibi Gerçek Kişiler ile Tüzel Kişilerin Çalışanları / Yetkilileri | Arazi satın alma/kiralama faaliyetleri kapsamında arazi sahiplerinin Kişisel Verileri telefon, e-posta, anlık mesajlaşma uygulamaları ile elden veya kargo / kurye / posta vasıtasıyla elde edilmektedir.
|
Araç Satışı Yapılan Kişiler | Araç satışı yapılan kişilere ait Kişisel Veriler e-posta ile elden veya kargo / kurye / posta vasıtasıyla elde edilmektedir.
|
Mevcut ve Potansiyel Şahıs Müşteriler ile Tüzel Kişi Müşterilerin Çalışanları / Yetkilileri | Genellikle yüz yüze görüşmeler, kartvizitler, Şirketimize özel formlar, e-posta yazışmaları, telefon görüşmeleri, anlık mesajlaşma uygulamaları ve diğer dijital iletişim kanalları üzerinden ve ilgili firmaların kurumsal internet siteleri veya sosyal medya platformları aracılığıyla, sözleşme içinde veya eklerinde yer alan belgeler, imza sirküleri gibi belgeler aracılığıyla toplanabilmektedir.
|
Mevcut ve Potansiyel Şahıs Tedarikçiler ve İş Ortakları ile Tüzel Kişi Tedarikçilerin ve İş Ortaklarının Çalışanları / Yetkilileri | Genellikle yüz yüze görüşmeler, kartvizitler, Şirketimize özel formlar, e-posta yazışmaları, telefon görüşmeleri, anlık mesajlaşma uygulamaları ve diğer dijital iletişim kanalları üzerinden ve sözleşme içinde veya eklerinde yer alan belgeler, imza sirküleri, imza beyannamesi, vekâletname gibi belgeler aracılığıyla toplanabilmektedir.
Ayrıca şirketimiz ve tesislerimizde fiziksel mekân güvenliğinin temini amacıyla güvenlik kameraları (CCTV) ile izleme yapılmaktadır.
Şirketimiz veya tesislerimizde kısa süreli çalışma yapacak olan tedarikçi çalışanlarının adli sicil kaydı ve sağlık bilgileri gibi özel nitelikli kişisel verileri elden, kargo / kurye vasıtası ile veya e-posta gibi dijital yöntemlerle de toplanabilmektedir.
|
Fuar / Panel / Konferans (Etkinlik) Katılımcıları | Etkinlik katılımcılarına ait Kişisel Veriler e-posta, etkinliklerde sunulan formlar ve çeşitli video konferans görüşme uygulamaları gibi yöntemler aracılığı ile toplanabilmektedir.
|
Maden Ruhsatı Sahibi Gerçek Kişiler ile Tüzel Kişilerin Çalışanları / Yetkilileri (Rödovans Sözleşmesi Tarafları)
| Rödovans sözleşmesi taraflarına ait Kişisel Veriler e-posta üzerinden veya kargo / kurye gibi vasıtalar aracılığı ile elde edilmektedir.
|
Kamu Görevlileri | Kişisel Veriler telefon veya anlık mesajlaşma uygulamaları gibi yöntemler vasıtasıyla toplanabilmektedir.
|
Vekiller | Araç satışı kapsamında vekalet verilen kişilere ait Kişisel Veriler e-posta veya elden ya da kargo / kurye / posta vasıtasıyla toplanmaktadır.
|
2. ve 3. Taraf Yükleniciler / Müteahhit Firma Çalışanları / Yetkilileri
| Müteahhit firmaların çalışan ve yetkililerine ait Kişisel Veriler e-posta, telefon, anlık mesajlaşma uygulamaları veya E-İhale Platformu gibi platformlar vasıtasıyla toplanabilmektedir.
|
Referans Firma Çalışanları / Yetkilileri | Şirketimize referans olarak bildirilen firmaların çalışan veya yetkililerinin Kişisel Verileri e-posta ve telefon vasıtasıyla toplanabilmektedir.
|
İşlenen Kişisel Veri Kategorileri
Yukarıda yer verilen kişi gruplarına ait, herhalde Kanun’un 4. Maddesindeki Genel İlkeleri ve Anayasa ile güvence altına alınmış olan temel hak ve özgürlükleri gözeterek, işlediğimiz veri kategorileri aşağıda sayılmaktadır.
Kimlik verileri (ad soyadı, T.C. kimlik numarası, cinsiyet, vesikalık fotoğraf vb. dokümanlarda yer alan tüm bilgiler,)
İletişim verileri (E-posta adresi, telefon numarası, cep telefonu numarası, adres vb. iletişime dair veriler),
Özlük verileri (Çalışanlarımızın ve eski çalışanlarımızın özlük haklarının ve dosyalarının oluşturulmasına temel olacak bilgiler),
Mesleki deneyim verileri (ilgili kişinin çalıştığı kurum(lar), çalışma süresi, sigortalılık türü, çalıştığı sektör, unvanı, eğitim düzeyi, toplam çalışma süresi vb. verileri),
Eğitim verileri,
Finansal veriler (Bordrolar, banka hesap bilgileri, kredi kartı bilgileri vb. her türlü finansal sonucu gösteren bilgi, belge ve kayıtlara ilişkin işlenen kişisel veriler),
Çalışan aile bireylerine ait veriler (çalışanlarımızın çocukları, eşleri ile ilgili kimlik bilgisi, iletişim bilgisi vb.),
Çalışan işlem verileri (çalışanlarımızın ve eski çalışanlarımızın Şirketimiz iş ve işlemlerine yönelik her türlü işleme ilişkin işlenen kişisel verileri),
Fiziksel mekân güvenliği verileri (fiziksel mekâna girişte, fiziksel mekânın içerisinde kalış sırasında alınan güvenlik kamerası kayıtları vb. veriler),
Görsel ve işitsel kayıtlar (fotoğraf, video vb. görsel ve işitsel niteliğe haiz veriler)
Lokasyon verisi (maden çalışanlarının güvenliklerinin sağlanması amacıyla lokasyon takiplerinin yapılması kapsamında elde edilen lokasyon verisi)
Hukuki işlem ve uyum verileri (hukuki alacak ve haklarımızın tespiti, takibi ve borçlarımızın ifası ile kanuni yükümlülüklerimiz ve Şirketimizin politikalarına uyum kapsamında işlenen kişisel veriler),
Kişisel Alışkanlıklar, Beden, Profil ve Davranışlar Bilgisi (Alkol, sigara vb. kullanıp kullanmadığı verisi)
Müşteri ve Müşteri İşlem verileri (ticari faaliyetlerimizin gerçekleştirilmesi esnasında müşteriye ilişkin elde edilen veriler ile ürün ve hizmetlerimizin kullanımına yönelik kayıtlar ve müşterimizin ürün ve hizmetlerimize ilişkin talep veya şikayetleri gibi veriler),
Pazarlama verileri (ürün ve hizmetlerimizin ilgili kişinin öneri, beğeni ve ihtiyaçları doğrultusunda özelleştirilerek pazarlamasının yapılmasına yönelik işlenen kişisel veriler, müşteri memnuniyet anketleri bilgisi gibi veriler),
Risk yönetimi verisi (Şirketimiz ticari faaliyetleri yürütülürken, Şirketimizin ticari, teknik, idari risklerinin yönetilmesi için işlenen bilgiler)
İşlem güvenliği verileri (Şirketimiz ticari faaliyetleri yürütülürken, Şirketimizin teknik, idari, hukuki ve ticari güvenliğini sağlamak için işlenen kişisel veriler),
Çalışan Adayı bilgisi (Şirketimize herhangi bir yolla iş başvurusunda bulunmuş ya da çalışan ve/veya stajyer adaylarımıza ilişkin bilgiler),
E-posta ve anlık mesajlaşma uygulamaları üzerinden iletilen mesajlar,
Özel nitelikli veriler olan sağlık verileri, ceza mahkûmiyeti verileri,
Talep / şikayet / öneri verileri (Çalışanlarımızın ve müşterilerimizin memnuniyetinin sağlanması kapsamında alınan taleplerine, şikayetlerine ve önerilerine ilişkin kayıtlar)
6. KİŞİSEL VERİLERİN İŞLENME AMAÇLARI
Şirketimizin topladığı Kişisel Veriler, faaliyet ve operasyonlarımızın gerektirdiği meşru amaçlar doğrultusunda, öncelikle Kanun’un 5/2. ve 6/3. Maddelerinde belirtilen hukuka uygunluk sebeplerinden birine veya birkaçına dayalı olarak işlenmektedir. Dolayısıyla Kişisel Verileri işleme amaçlarımız öncelikle bu maddelerde düzenlenen hukuka uygunluk sebeplerine göre değerlendirilmekte ve sadece gereken hallerde Kanun’un 5/1 ve 6/3 (a) Maddeleri doğrultusunda İlgili Kişinin Açık Rızasına müracaat edilmektedir.
Şirketimizin faaliyet ve operasyonları dikkate alındığında, Kişisel Verileri işleme amaçları şu şekilde listelenebilir.
Acil durum yönetimi süreçlerinin yürütülmesi,
Bilgi güvenliği süreçlerinin yürütülmesi,
Çalışan adayı / stajyer / öğrenci seçme ve yerleştirme süreçlerinin yürütülmesi,
Çalışan adaylarının başvuru süreçlerinin yürütülmesi,
Çalışanlar için iş akdi ve mevzuattan kaynaklı yükümlülüklerin yerine getirilmesi,
Çalışanlar için yan haklar ve menfaatleri süreçlerinin yürütülmesi,
Çalışan memnuniyeti ve bağlılığı süreçlerinin yürütülmesi,
Denetim / etik faaliyetlerinin yürütülmesi,
Eğitim faaliyetlerinin yürütülmesi,
Erişim yetkilerinin yürütülmesi,
Faaliyetlerin mevzuata uygun yürütülmesi,
Finans ve muhasebe işlerinin yürütülmesi,
Firma / ürün / hizmetlere bağlılık süreçlerinin yürütülmesi,
Fiziksel mekân güvenliğinin temini,
Görevlendirme süreçlerinin yürütülmesi,
Hukuk işlerinin takibi ve yürütülmesi,
İç denetim / soruşturma / istihbarat faaliyetlerinin yürütülmesi,
İletişim faaliyetlerinin yürütülmesi,
İnsan kaynakları faaliyet ve süreçlerinin planlanması ve yürütülmesi
İş faaliyetlerinin yürütülmesi ve denetimi,
İş sağlığı / güvenliği faaliyetlerinin yürütülmesi,
İş sürekliliğinin sağlanması faaliyetlerinin yürütülmesi,
İş süreçlerinin iyileştirilmesine yönelik önerilerin alınması ve değerlendirilmesi,
Sözleşme süreçlerinin yürütülmesi,
Mal / hizmet satın alım süreçlerinin yürütülmesi,
Mal / hizmet satış süreçlerinin yürütülmesi,
Mal / hizmet üretim ve operasyon süreçlerinin yürütülmesi,
Talep / şikayetlerin takibi,
Müşteri memnuniyetine yönelik aktivitelerin yürütülmesi,
Müşteri ilişkileri yönetimi süreçlerinin yürütülmesi,
Lojistik faaliyetlerinin yürütülmesi,
Organizasyon ve etkinlik yönetimi,
Pazarlama analiz çalışmalarının yürütülmesi,
Pazarlama faaliyetlerinin yürütülmesi,
Performans değerlendirme süreçlerinin yürütülmesi,
Saklama ve arşiv faaliyetlerinin yürütülmesi,
Sosyal sorumluluk ve sivil toplum aktivitelerinin yürütülmesi,
Veri sorumlusu operasyonlarının güvenliğinin temini,
Risk yönetimi süreçlerinin yürütülmesi,
Ücret politikasının yürütülmesi,
Ürün / hizmetlerin pazarlama süreçlerinin yürütülmesi,
Taşınır mal ve kaynakların güvenliğinin temini,
Tedarik zinciri yönetimi süreçlerinin yürütülmesi,
Yatırım süreçlerinin yürütülmesi,
Yetenek / kariyer gelişimi faaliyetlerinin yürütülmesi,
Yetkili kişi, kurum ve kuruluşlara bilgi verilmesi,
Yönetim faaliyetlerinin yürütülmesi.
7. KİŞİSEL VERİ GÜVENLİĞİ
Bir Veri Sorumlusu olarak Şirketimiz, kişisel verilerin hukuka aykırı olarak açıklanmasını, erişimini, aktarılmasını veya başka şekillerde meydana gelebilecek güvenlik eksikliklerini önlemek için, imkanlar dahilinde, korunacak verinin niteliğine göre gerekli teknik ve idari tedbirleri almaktadır.
Bu kapsamda aldığımız tedbirler hemen aşağıda iki ayrı başlık halinde belirtilmektedir:
7.1. Kişisel Verilerin Güvenliğini Sağlamak için Alınan Teknik Tedbirler
Ağ güvenliği ve uygulama güvenliği sağlanmaktadır.
Ağ yoluyla kişisel veri aktarımlarında kapalı sistem ağ kullanılmaktadır.
Anahtar yönetimi uygulanmaktadır.
Bulutta depolanan kişisel verilerin güvenliği sağlanmaktadır.
Erişim logları düzenli olarak tutulmaktadır.
Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır.
Güncel anti-virüs sistemleri kullanılmaktadır.
Güvenlik duvarları kullanılmaktadır.
Kişisel veri güvenliğinin takibi yapılmaktadır.
Kişisel veriler mümkün olduğunca azaltılmaktadır.
Kişisel veriler yedeklenmekte ve yedeklenen kişisel verilerin güvenliği de sağlanmaktadır.
Kullanıcı hesap yönetimi ve yetki kontrol sistemi uygulanmakta olup bunların takibi de yapılmaktadır.
Log kayıtları kullanıcı müdahalesi olmayacak şekilde tutulmaktadır.
Mevcut risk ve tehditler belirlenmiştir.
Saldırı tespit ve önleme sistemleri kullanılmaktadır.
Sızma testi uygulanmaktadır.
Siber güvenlik önlemleri alınmış olup, uygulanması sürekli takip edilmektedir.
Şifreleme yapılmaktadır.
Veri kaybı önleme yazılımları kullanılmaktadır.
7.2. Kişisel Verilerin Güvenliğini Sağlamak için Alınan İdari Tedbirler
Şirketimizde işlenen Kişisel Veriler iş süreçlerimiz ve ilgili alt birimlerimiz bazında tespit ve tahlil edilmiş, “Esan Kişisel Veri İşleme Envanteri” çıkartılmıştır, güncelliği düzenli olarak takip edilmektedir.
Kişisel Verilerini işlemekte olduğumuz İlgili Kişiler ve Kişisel Veri işleme amaçlarımıza göre mevzuatın öngördüğü içerikte hazırlanmış Aydınlatma Bildirimlerimiz mevcuttur. Şayet işleme şartı Açık Rıza ise, İlgili Kişiden aydınlatmaya dayalı olarak Açık Rıza alınmaktadır.
Bilgi teknolojileri sistemleri tedarik, geliştirme ve bakımı kapsamındaki güvenlik önlemleri alınmaktadır.
Çalışanlar için veri güvenliği hükümleri içeren disiplin düzenlemeleri mevcuttur.
Şirketimiz, Kişisel Verilerin korunması ve güvenliği hakkında alt birim yöneticileri ve ilgili çalışanlar için farkındalık eğitimleri düzenlemektedir.
Çalışanlar için yetki matrisi oluşturulmuştur.
Erişim, bilgi güvenliği, kullanım, saklama ve imha konularında kurumsal politikalar hazırlanmış ve uygulamaya başlanmıştır.
Gizlilik taahhütnameleri yapılmaktadır.
Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır.
Kişisel Verilerin üçüncü kişilere aktarımına ilişkin olarak Şirketimiz, sözleşmelerinde veya bu amaçla hazırlanmış belgelerle karşı taraflardan kişisel verilerin korunması, veri güvenliği ve gizlilikle ilgili taahhütleri almaktadır.
Kişisel veri güvenliği politika ve prosedürleri belirlenmiştir.
Kişisel veri güvenliği sorunları hızlı bir şekilde raporlanmaktadır.
Kişisel veri güvenliğinin takibi yapılmaktadır.
Kişisel Veri içeren dosya ve klasörler, ilgili birim dolaplarında, çekmecelerinde ve/veya arşivlerinde yetkisiz kişilerce erişilemeyecek şekilde saklanmakta; söz konusu dolap ve arşiv odaları kilitli olarak tutulmaktadır. Kişisel Verilerin muhafaza edildiği dolap ve odaların anahtarları/şifreleri yalnızca ilgili verilere erişim yetkisi olan çalışanlarda bulunmaktadır.
Kişisel veri içeren ortamların güvenliği sağlanmaktadır.
Kişisel veriler mümkün olduğunca azaltılmaktadır.
Kurum içi periyodik ve/veya rastgele denetimler yapılmakta ve yaptırılmaktadır.
Mevcut risk ve tehditler belirlenmiştir.
Veri işleyen hizmet sağlayıcılarının veri güvenliği konusunda farkındalığı sağlanmaktadır.
Şirketimizin yürürlükte olan Veri İhlali Müdahale Planı vardır. Çalışanlarımız herhangi bir gizlilik veya güvenlik ihlaline ilişkin riskli bir durum tespit eder veya şüphe duyarlarsa, derhal Şirket’in İrtibat Kişisine, Bilgi Teknolojileri Yöneticisine ve Şirket Avukatına bildireceklerdir.
8. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN GÜVENLİĞİNİ SAĞLAMAK İÇİN ALINAN İDARİ VE TEKNİK TEDBİRLER
Özel Nitelikli Kişisel Veri kategorisinde kalan verilerin işlenmesinde Kanun’un 6. Maddesindeki hukuka uygunluk sebeplerine dayanmaktayız. Buna göre Şirketimiz tarafından özel nitelikli kişisel veriler sıklıkla;
6/3 (b) Kanunlarda açıkça öngörülmesi,
6/3 (ç) İlgili kişinin alenileştirdiği kişisel verilere ilişkin ve alenileştirme iradesine uygun olması,
6/3 (d) Bir hakkın tesisi, kullanılması veya korunması için zorunlu olması,
6/2 (e) bendinde düzenlenen “Sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlarca, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması, yönetimi ve finansmanı amacıyla gerekli” olması,
6/2 (f) bendinde düzenlenen “İstihdam, iş sağlığı ve güvenliği, sosyal güvenlik, sosyal hizmetler ve yükümlülüklerin yerine getirilmesi için zorunlu olması”,
Gereken hallerde Kanun’un 6/3 (a) bendi uyarınca ilgili kişinin açık rızasının bulunması hukuki sebeplerine istinaden işlenmektedir.
Özel Nitelikli Kişisel Veri kategorisinde kalan veriler, Kurul’un 31.01.2018 tarihli ve 2018/10 sayılı “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler” kararı uyarınca ve yeterli güvenlik önlemleri alınarak işlenmektedir.
9. KİŞİSEL VERİLERİN AKTARILMASI
Şirketimiz, topladığı kişisel verileri, Kanun’un 8. (yurt içi) ve 9. (yurt dışı) Maddeleri uyarınca, Kurul tarafından alınan kararlara ve ilan edilen ikincil düzenlemelere uygun olarak aktarabilir.
Şirketimiz, bu doğrultuda Kişisel Verileri, işlenme amaçlarıyla bağlantılı ve sınırlı olacak şekilde faaliyet / operasyonların ifası gerektirdikçe bankalar, kredi kuruluşları, sigorta ve emeklilik şirketleri, personel taşımacılığı hizmet sunucuları, kargo şirketleri, araç kiralama firmaları, telekomünikasyon firmaları, yemek kartı firmaları, depo hizmetleri alınan firmalar, anlaşmalı olunan seyahat acenteleri, oteller, denetim firmaları, eğitim hizmeti alınan kuruluşlar, mali ve hukuk danışmanlığı alınan kuruluşlar gibi mal ve hizmet tedariki yaptığımız tedarikçilere ve iş ortaklarımıza, personel kartlı geçiş sistemi, araç takip sistemi, taşıt tanıma sistemi, tesislerimizde iş sağlığı ve güvenliğini sağlamaya yönelik kullanılan güvenlik sistemleri gibi bilgi teknolojileri, bilişim ve iletişim sistem ve çözümleri hizmet sunucularına, alt işverenlerimize, müşterilerimize, Eczacıbaşı Holding ve diğer Eczacıbaşı grup şirketlerine, yurt içinde mahkemeler ve icra daireleri, yetkili arabulucular ve hakemler, vergi daireleri, noterler, ticaret sicil müdürlükleri, emniyet müdürlükleri, Sosyal Güvenlik Kurumu, Çalışma ve Sosyal Güvenlik Bakanlığı, Sanayi ve Teknoloji Bakanlığı, Çevre Bakanlığı, Ticaret Bakanlığı gibi yetkili kişi, kurum ve kuruluşlara aktarabilecektir.
Şirketimiz, Kişisel Verileri, Kanun’un 9. Maddesinde yer alan şartlar, işleme amaçları ve operasyonlarımız dahilinde bilişim ve iletişim (e-posta) sistemlerinin yurtdışında bulunan sunucularına, seyahat süreçlerinin planlanması amacıyla gerektiğinde ve zaman zaman yurtdışındaki ülkelerde bulunan ilgili kurumlara, yurtdışında bulunan kanunen yetkili özel kurumlara (Avrupa Patent Ofisi gibi) ve yurtdışında bulunan grup şirketleri /iştiraklerimize aktarılabilecektir.
Kişisel Verilerin aktarımı söz konusu olduğunda, yasal koşullar sağlanarak, aktarımlar için teknik ve idari tedbirler alınarak ve aktarım yapılan taraflardan mümkün olan her halde gizlilik taahhütleri alınarak, yapılacaktır.
10. KİŞİSEL VERİLERİ İMHA YÜKÜMLÜLÜĞÜ
Kanun’un 5. ve 6. Maddelerinde yer alan ve işbu Politikada da yer verilmiş Kişisel Verileri işlenme amaç ve şartlarının tamamının ortadan kalkması halinde Şirketimiz, Kişisel Verileri kendiliğinden veya İlgili Kişiden Şirketimize ulaşan talep üzerine imha edecektir.
Kişisel Verilerin işleme amacına göre belirlenen saklama süreleri ile imha yöntemlerimiz, İlgili Kişiden ulaşan imha taleplerinin yönetilmesi ile ilgili açıklama ve detaylara Şirketimizin, Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik uyarınca hazırladığı Kişisel Verileri Saklama ve İmha Politikamızda ve Ekinde detaylıca yer verilmiştir.
11. İLGİLİ KİŞİNİN HAKLARI VE BU HAKLARIN KULLANILMASI
İlgili Kişiler, Kanun’un 11. Maddesi uyarınca aşağıdaki haklara sahiptirler:
a. Kişisel verilerinin işlenip işlenmediğini öğrenme,
b. Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
c. Kişisel verilerin işlenme amacını ve amacına uygun kullanılıp kullanılmadığını öğrenme,
ç. Kişisel verilerinin yurt içinde / yurt dışında aktarıldığı üçüncü kişileri bilme,
d. Kişisel verileri eksik / yanlış işlenmişse düzeltilmesini isteme,
e. Kişisel verilerinin Kanun’un 7. maddesinde öngörülen şartlar çerçevesinde silinmesini / yok edilmesini isteme,
f. Kişisel verilerin aktarıldığı üçüncü kişilere yukarıda sayılan (d) ve (e) numaralı bentler uyarınca yapılan işlemlerin bildirilmesini isteme,
g. Kişisel verilerinin münhasıran otomatik sistemler ile analiz edilmesi nedeniyle aleyhine bir sonucun ortaya çıkmasına itiraz etme,
h. Kişisel verilerinin kanuna aykırı olarak işlenmesi sebebiyle zarara uğramaları hâlinde zararın giderilmesini talep etme.
İlgili talepler;
Islak imzalı olarak ve geçerli bir kimlik belgesinin fotokopisi ile birlikte Girne Mahallesi Nehir Sokak No:1-3/33 Maltepe – İstanbul adresine göndererek,
Geçerli bir kimlik belgesi ile birlikte bizzat başvurarak,
Kayıtlı elektronik posta (KEP) adresi ve güvenli elektronik imza kullanmak suretiyle esaneczacibasi@hs01.kep.tr KEP adresimize göndererek,
İlgili Kişi tarafından tarafımıza daha önce bildirilen ve sistemimizde kayıtlı bulunan elektronik posta adresinden kvkk.esan@esan.com.tr adresimize e-posta ile göndererek, iletilebilir.
Konuya ilişkin bilgi ve belgeler başvurulara eklenmelidir. Şirketimiz, başvuruda bulunan kişinin İlgili Kişi olup olmadığını tespit etmek amacıyla başvurucudan ilave bilgi ve belge talep etme ve yapılan başvuruda yer alan talepleri ve bilgileri açıklığa kavuşturmak amacıyla, İlgili Kişiye başvurusu ile ilgili soru yöneltme haklarına sahiptir. Talepler en kısa sürede, her halde en geç 30 gün içerisinde cevaplandırılır.
12. SÜRDÜRÜLEBİLİRLİK
Şirketimiz, Kanun ve ilgili mevzuatın öngördüğü düzenlemelere uyumluluğun denetlenmesinden, işbu Politika ve ilişkili diğer politikaların yönetilmesinden ve gerekli hallerde güncellenmesinden, kişisel verilerin korunması hakkında sürdürülebilirliğin sağlanmasından, Şirket yönetimi tarafından alınan kararların yerine getirilmesinden ve konu hakkındaki diğer regülasyon ve Şirket içi denetimlerin yapılmasından sorumlu olmak üzere, şirket içi Kişisel Verilerin Korunması Dahili Komitesini kurmuştur ve İrtibat Kişisini atamıştır.
İşbu Kişisel Verilerin İşlenmesi ve Korunması Genel Politikası, Şirketimizin internet sitesi https://www.esan.com.tr/tr adresinde yayımlanarak, ilan edilmiştir. Başta Kanun olmak üzere yürürlükteki ilgili mevzuat ile Politikada yer verilen düzenlemelerin çelişmesi halinde Kanun ve ilgili mevzuatta yer alan hükümler geçerlidir. Şirketimiz, yasal düzenlemelere ve kişisel verilerin korunması alanındaki gelişmelere paralel olarak Politikada tek taraflı olarak değişiklik yapabilir. Değişiklikler, Politikanın en son sürümünde yer alır ve her yeni sürüm bir öncekinin yerine geçer.
Veri Sorumlusu
ESAN ECZACIBAŞI ENDÜSTRİYEL HAMMADDELER SANAYİ VE TİCARET ANONİM ŞİRKETİ
Adresi : Girne Mahallesi, Nehir Sokak, No:1-3 Maltepe, 34852 İstanbul
Mersis No : 6344214714747172
Telefon : 0 216 581 64 00
Kep Adresi : esaneczacibasi@hs01.kep.tr
E-posta : kvkk.esan@esan.com.tr
ONAYLAYANLAR
Onay Tarihi: Temmuz 2024