Privacy policy
PFİZER PFE İLAÇLARI ANONİM ŞİRKETİ
Kişisel Verilerin İşlenmesi ve Korunması Politikası
Aralık 2021
2. KİŞİSEL VERİLERİN KORUNMASINA İLİŞKİN HUSUSLAR
3. KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN HUSUSLAR
5. PFİZER TARAFI NDAN İŞLENEN KİŞİSEL VERİLERİN SAHİPLERİ NE İLİŞKİN KATEGORİZASYON
6. PFİZER TARAFINDAN KİŞİSEL VERİLERİ N AKTARILDIĞI ÜÇÜNCÜ KİŞİLER VE AKTARILMA AMAÇLARI
8. KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VE ANONİMLEŞTİRİLMESİ ŞARTLARI
10. PFİZER’İN KİŞİSEL VERİLERİ N KORUNMASI VE İŞLENMESİ KONUSUNDA DİĞER İÇ POLİTİKALARI
11. PFİZER KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASI YÖNETİMİ
1. GENEL AÇIKLAMA
Pfizer PFE İlaçları Anonim Şirketi (“Pfizer” ve/veya “Şirket”) olarak yalnızca Türkiye’de değil, global bir şirket olarak dünya çapında kişisel verilerin korunması konusunda gerekli özeni göstermekte ve bunu bir şirket politikası haline getirerek tüm gerçek ve tüzel kişiler için uygulamaktayız. Bu kapsamda, işbu Kişisel Verilerin İşlenmesi ve Koruması Politikası (“Politika”) ile İş birliği İçinde Olduğumuz Kurumların Yetkililerinin ve Çalışanlarının, Tedarikçi Yetkililerinin ve Çalışanlarının, İş Ortakları Yetkililerinin ve Çalışanlarının, Sağlık Meslek Mensuplarının, Hastaların, Ziyaretçilerimizin, Web Sitesi ve Aplikasyon Kullanıcılarımızın, Çalışan Adaylarının ve diğer Üçüncü Kişilerin kişisel verilerinin korunmasını amaçlamaktayız.
İşbu Politika, Pfizer tarafından otomatik olan veya herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla gerçekleştirilen, kişisel verileri işlenen gerçek kişilere yönelik olmakla birlikte, Pfizer çalışanlarının kişisel verilerinin korunmasına ilişkin hususlar “Pfizer PFE İlaçları Anonim Şirketi Çalışanları Kişisel Verilerin Korunması ve İşlenmesi Politikası” içerisinde ayrıca düzenlenmektedir.
Pfizer olarak, 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) uyarınca işlenen kişisel verilerin korunması için gereken idari ve teknik tedbirleri almaktayız.
Kişisel verilerin işlenmesinde (i) Kişisel verileri hukuka ve dürüstlük kurallarına uygun işleme, (ii) Kişisel verileri doğru ve gerektiğinde güncel tutma, (iii) Kişisel verileri belirli, açık ve meşru amaçlar için işleme, (iv) Kişisel verileri işlendikleri amaçla bağlantılı, sınırlı ve ölçülü işleme, (v) Kişisel verileri ilgili mevzuatta öngörülen veya işledikleri amaç için gerekli olan süre kadar muhafaza etme, (vi) Kişisel veri sahiplerini aydınlatma ve bilgilendirme, (vii) Kişisel veri sahiplerinin haklarını kullanması için gerekli teknik ve idari alt yapıyı oluşturma, (viii) Kişisel verilerin muhafazasında gerekli teknik ve idari tedbirleri alma, (ix) Kişisel verilerin işleme amacının gereklilikleri doğrultusunda üçüncü kişilere aktarılmasında ilgili mevzuata ve Kurul’un düzenlemelerine uygun davranma, (x) Özel nitelikli kişisel verilerin işlenmesine ve korunmasına gerekli hassasiyeti gösterme ilkelerini benimsemekteyiz.
İşbu Politika’da söz konusu temel ilkelere ilişkin detaylı açıklamalarda bulunmaktayız.
1.1 Politika’nın Amacı ve Kapsamı
Bu Politika’nın amacı, Pfizer’in hukuka uygun olarak kişisel verileri işlerken uyguladığı ve benimsediği yöntemler ile işlenen verilerin korunması için almış olduğu güvenlik önlem ve tedbirleri konusunda açıklamalarda bulunmak ve bu kapsamda kişisel verileri Pfizer tarafından işlenen kişileri bilgilendirmektir. Bu kapsamda, işbu Politika, İşbirliği İçinde Olduğumuz Kurumların Yetkililerinin ve Çalışanlarının, Tedarikçi Yetkililerinin ve Çalışanlarının, İş Ortakları Yetkililerinin ve Çalışanlarının, Sağlık Meslek Mensuplarının, Hastaların, Ziyaretçilerimizin, Web Sitesi ve Aplikasyon Kullanıcılarımızın, Çalışan Adaylarımızın ve diğer Üçüncü Kişilerin otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla Pfizer tarafından toplanan kişisel verilerinin işlenmesi, saklanması, imha edilmesi, anonimleştirilmesi ve korunmasına ilişkin kamuyu bilgilendirmek amacıyla hazırlanmıştır.
1.2 Politika’nın ve İlgili Mevzuatın Uygulanması
Kişisel verilerin işlenmesi ve korunması konusunda yürürlükte bulunan ilgili kanuni düzenlemeler öncelikli uygulama alanı bulacaktır. Yürürlükte bulunan mevzuat ve Politika arasında uyumsuzluk bulunması durumunda, Pfizer yürürlükteki mevzuatı uygulayacağını kabul etmektedir.
İşbu Politika, 3 Ocak 2019 tarihinde yürürlüğe girmiş olup, kişisel veri sahiplerinin talebi üzerine ilgili kişilerin erişimine sunulur.
2. KİŞİSEL VERİLERİN KORUNMASINA İLİŞKİN HUSUSLAR
2.1 Kişisel Verilerin Güvenliğinin Sağlanması
Pfizer, Kanun’un 12. maddesi kapsamında, işlemekte olduğu kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilerin muhafazasını sağlamak ve kişisel verilere yetkisiz kişilerce erişiminin engellenmesi amacıyla gerekli olan önlem ve tedbirleri almakta olup, gerekli denetimleri yapmak ve yaptırmaktadır.
Bu kapsamda, Kurul tarafından yayımlanan Kişisel Veri Rehberi’nde (Teknik ve İdari Tedbirler); (i) Yetki Matrisini, (ii) Yetki Kontrolünü, (iii) Erişim Loglarını, (iv) Kullanıcı Hesap Yönetimini, (v) Ağ Güvenliğini, (vi) Uygulama Güvenliğini, (vii) Şifrelemeyi, (viii) Sızma Testini, (ix) Saldırı Tespit ve Önleme Sistemlerini, (x) Log Kayıtlarını, (xi) Veri Maskelemeyi, (xii) Veri Kaybı Önleme Yazılımlarını, (xiii) Yedeklemeyi, (xiv) Güvenlik Duvarlarını, (xv) Güncel Anti Virüs Sistemlerini, (xvi) Silme, Yok Etme ve Anonim Hale Getirmeyi, (xvii) Anahtar Yönetimini veri sorumluları tarafından alınabilecek teknik tedbirler olarak açıklamıştır. Aynı şekilde, söz konusu Kişisel Veri Rehberi’nde (Teknik ve İdari Tedbirler) (i) Kişisel Veri Envanteri Hazırlanmasını, (ii) Kurumsal Politikalar (Erişim, Bilgi Güvenliği, Kullanım, Saklama ve İmha, vb.) hazırlanmasını ve uygulanmasını, (iii) Sözleşmelerin (Veri Sorumlusu – Veri Sorumlusu, Veri Sorumlusu- Veri İşleyen Arasında) Akdedilmesini, (iv) Gizlilik Taahhütnameleri imzalanmasını, (v) Kurum İçi Rastgele veya Periyodik Denetimler Yapılmasını, (vi) Risk Analizi Yapılmasını, (vii) İş Sözleşmesine ve Disiplin Yönetmeliği’ne Kanun’a Uygun Hükümler İlave Edilmesini, (viii) Kurumsal İletişim Prensiplerinin Kanun’a Uygun Hale Getirilmesini (Kriz Yönetimi, Kurul ve İlgili Kişiyi Bilgilendirme Süreçleri, İtibar Yönetimi, vb.), (ix) Eğitim ve Farkındalık Faaliyetlerinin Yürütülmesini (Bilgi Güvenliği ve Kanun çerçevesinde) ve (x) Veri Sorumluları Sicil Bilgi Sistemine (VERBİS) Bildirim Sürecinin Oluşturulmasını alınabilecek idari tedbirler olarak açıklamıştır.
Pfizer, yukarıda açıklanan ve Kurul tarafından yayımlanan Kişisel Veri Rehberi’nde (Teknik ve İdari Tedbirler) ışığında aşağıda sıralanan idari ve teknik önlemleri almıştır:
- Mevcut risk ve tehditler belirlenmekte,
- Pfizer çalışanlarının eğitilmesi ve farkındalık çalışmaları yapılmakta,
- Kişisel veri güvenliği politikaları ve prosedürleri belirlenmekte,
- Pfizer tarafından işlenen kişisel veriler mümkün olduğunca azaltılmakta,
- Veri İşleyenler ile Pfizer arasında Kanun kapsamında Sözleşme akdedilmekte,
- Siber güvenliğin sağlanması için idari ve teknik tedbirler alınmakta (örneğin, kullanılmayan yazılım ve servislerin silinmesi, güvenlik duvarlarının oluşturulması, yama yönetimi ve yazılım güncellemeleri, erişim sınırlamaları, erişim yetki ve kontrol matrisinin oluşturulması, anti virüs ürünlerinin kullanımı, SSL bağlantılar kurulması, vb.)
- Kişisel veri güvenliği takip edilmekte (örneğin log kayıtları tutulmakta, güvenlik sorunlarının bildirilmesi için resmi bir raporlama prosedürü oluşturulmakta, zafiyet taramaları ve sızma testleri yapılmaktadır),
- Kişisel veriler bulut ortamında şifrelenerek saklanmakta ve şifreleme anahtarı kullanılmakta, ve
- Veri yedekleme stratejileri geliştirilmektedir.
2.1.1 Kişisel Verilerin Hukuka Uygun İşlenmesini Sağlamak İçin Alınan Teknik ve İdari Tedbirler
Pfizer, kişisel verilerin hukuka uygun işlenmesini sağlamak amacıyla gerekli olan ve aşağıda sayılan teknik ve idari tedbirleri teknolojik ve maddi imkanlar doğrultusunda almaktadır. Bu kapsamda;
- Pfizer bünyesinde gerçekleştirilen kişisel veri işleme faaliyetleri kurulan teknik sistemlerle denetlenmekte,
- Alınan teknik önlemler ihtiyaç halinde ilgilisine raporlanmakta,
- Teknik konularda bilgili personel istihdam edilmekte,
- Pfizer ile Pfizer Çalışanları arasındaki hukuki ilişkiyi yöneten sözleşme ve belgelere, Kanunla getirilen istisnalar dışında, kişisel verileri işlememe, ifşa etmeme ve kullanmama yükümlülüğü getiren kayıtlar konulmakta ve bu konuda Pfizer Çalışanlarının farkındalığı arttırılmakta,
- Pfizer Çalışanları, periyodik olarak kişisel verilerin korunması hukuku ve kişisel verilerin hukuka uygun olarak işlenmesi konusunda bilgilendirilmekte ve eğitilmekte,
- Düzenli olarak iş süreçleri analiz edilerek veri envanteri çıkarılmakta ve iş birimlerinin yürütmekte olduğu kişisel veri işleme faaliyetleri; bu faaliyetlerin Kanun’a uygunluğunun sağlanması için yerine getirilecek olan gereklilikler her bir süreç özelinde belirlenmekte,
- Hukuksal uyum gerekliliklerinin sağlanması, Şirket içerisinde farkındalık yaratılması, uygulamaların sürekliliğinin sağlanması ve düzenli denetimler yapılması için politikalar hayata geçirilmekte ve periyodik olarak Pfizer’in kurumsal sistemlerine erişim hakkı olan kişilere (bunlarla sınırlı kalmaksızın gerekli görülmesi halinde diğer gerçek kişilere) eğitimler verilmekte, ve
- Pfizer ile İş birliği İçinde Olduğumuz Kurumlar, Tedarikçiler, İş Ortakları, Sağlık Meslek Mensupları, Hastalar, Ziyaretçilerimiz, Web Sitesi ve Aplikasyon Kullanıcılarımız ve diğer Üçüncü Kişiler arasındaki hukuki ilişkiyi yöneten sözleşmeler ve belgelere, kanunla getirilen istisnalar dışında, karşılıklı olarak kişisel verileri işlememe, ifşa etmeme ve kullanmama yükümlülüğü getiren kayıtlar konulmakta ve bu konuda çalışanların farkındalığı sağlanmaktadır.
2.1.2 Kişisel Verilerin Hukuka Aykırı Erişimini Engellemek için Alınan Teknik ve İdari Tedbirler
Pfizer, kişisel verilerin tedbirsizlik sebebiyle veya yetkisiz olarak açıklanmasını, erişimini, aktarılmasını veya başka şekillerdeki tüm hukuka aykırı erişimi önlemek için gerekli olan ve aşağıda sayılan teknik ve idari tedbirleri teknolojik ve maddi imkanları doğrultusunda almaktadır. Buna göre;
- Teknolojideki gelişmelere uygun teknik önlemler alınmakta ve söz konusu önlemler gerektiğinde güncellenmekte ve yenilenmekte,
- Süreç bazında belirlenen hukuksal uyum gerekliliklerine uygun olarak erişim ve yetkilendirmelere ilişkin teknik çözümler devreye alınmakta,
- Erişim yetkileri sınırlandırılmakta, yetkiler düzenli olarak gözden geçirilmekte,
- Alınan teknik önlemler ihtiyaç halinde ilgili kişiye raporlanmakta, risk teşkil eden hususlar yeniden değerlendirilerek gerekli teknolojik çözüm üretilmekte,
- Virüs koruma sistemleri ve güvenlik duvarlarını içeren yazılımlar ve donanımlar kurulmakta,
- Teknik konularda bilgili personel istihdam edilmekte,
- Virüs koruma sistemleri ve güvenlik duvarlarını içeren yazılımlar ve donanımlar kurulmakta,
- Pfizer Çalışanları, kişisel verilere hukuka aykırı erişimleri engellemek için alınacak teknik tedbirler konusunda eğitilmekte,
- Süreç bazında kişisel veri işlenmesi hukuksal uyum gerekliliklerine uygun olarak Şirket içinde kişisel verilere erişim ve yetkilendirme süreçleri tasarlanmakta ve uygulanmakta,
- Pfizer Çalışanları, öğrendikleri kişisel verileri Kanun hükümlerine aykırı olarak başkasına açıklayamayacağı ve işleme amacı dışında kullanamayacağı ve bu yükümlülüğün görevden ayrılmalarından sonra da devam edeceği konusunda bilgilendirilmekte ve bu doğrultuda kendilerinden gerekli taahhütler alınmakta,
- Pfizer tarafından kişisel verilerin hukuka uygun olarak aktarıldığı kişiler ile akdedilen sözleşmelere; kişisel verilerin aktarıldığı kişilerin, kişisel verilerin korunması amacıyla gerekli güvenlik tedbirlerini alacağına ve kendi kuruluşlarında bu tedbirlere uyulmasını sağlayacağına ilişkin hükümler eklenmektedir.
2.1.3 Kişisel Verilerin Güvenli Ortamlarda Saklanması
Pfizer, kişisel verilerin güvenli ortamlarda saklanması ve hukuka aykırı amaçlarla yok edilmesini, kaybolmasını veya değiştirilmesini önlemek için gerekli olan ve aşağıda sayılan teknik ve idari tedbirleri teknolojik ve maddi imkanları doğrultusunda almaktadır. Buna göre;
- Kişisel verilerin güvenli ortamlarda saklanması için teknolojik gelişmelere uygun sistemler kullanılmakta,
- Teknik konularda uzman personel istihdam edilmekte,
- Saklanma alanlarına yönelik teknik güvenlik sistemleri kurulmakta, alınan teknik önlemler ihtiyaç halinde ilgili kişiye raporlanmakta, risk teşkil eden hususlar yeniden değerlendirilerek gerekli teknolojik çözüm üretilmekte,
- Kişisel verilerin güvenli bir biçimde saklanmasını sağlamak için hukuka uygun bir biçimde yedekleme programları kullanılmakta,
- Kişisel verilerin bulunduğu veri depolama alanlarına erişimler loglanarak uygunsuz erişimler veya erişim denemeleri ilgililere anlık olarak iletilmekte,
- Pfizer Çalışanları, kişisel verilerin güvenli bir biçimde saklanmasını sağlamak konusunda eğitilmekte,
- Pfizer tarafından kişisel verilerin saklanması konusunda teknik gereklilikler sebebiyle dışarıdan bir hizmet alınması durumunda, kişisel verilerin hukuka uygun olarak aktarıldığı ilgili firmalar ile akdedilen sözleşmelere; kişisel verilerin aktarıldığı kişilerin, kişisel verilerin korunması amacıyla gerekli güvenlik tedbirlerini alacağına ve kendi kuruluşlarında bu tedbirlere uyulmasını sağlanacağına ilişkin hükümlere yer verilmektedir.
2.1.4 Kişisel Verilerin Korunması Konusunda Alınan Tedbirlerin Denetimi
Pfizer, Kanun’un 12. maddesine uygun olarak, kendi bünyesinde gerekli denetimleri yapmakta veya yaptırmaktadır. Bu denetim sonuçları Pfizer’in iç işleyişi kapsamında konu ile ilgili birimine raporlanmakta ve alınan tedbirlerin iyileştirilmesi için gerekli faaliyetler yürütülmektedir.
2.1.5 Kişisel Verilerin Yetkisiz Bir Şekilde İfşası Durumunda Alınacak Tedbirler
Pfizer, Kanun’un 12. maddesine uygun olarak işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde bu durumu en kısa sürede ilgili kişisel veri sahibine, Pfizer Veri Koruma Kurulu’na ve Kurul’a bildirilmesini sağlamaktadır.
2.2 Özel Nitelikli Kişisel Verilerin Korunması
Kanun bazı kişisel verilerin özel nitelikli olması sebebiyle bu tip verilerin işlenmesi ve korunmasına ilişkin ayrıca birtakım düzenlemeler getirmiştir. Kanun uyarınca, ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik veriler özel nitelikli kişisel verilerdir.
İlaç sektöründe faaliyet gösteren global bir şirket olarak, yaptığımız işin mahiyeti gereği özel nitelikli kişisel verilerin hukuka uygun işlenmesinde ve korunmasına ayrıca önem ve özen göstermekteyiz. Bu kapsamda, Pfizer tarafından, kişisel verilerin korunması için teknik ve idari tedbirler alınmakta, periyodik olarak da gerekli denetimler yapılmaktadır.
Pfizer olarak, kişisel verilerin hukuka aykırı olarak işlenmesini, verilere hukuka aykırı olarak erişilmesini önlemeye ve verilerin muhafazasını sağlamaya yönelik farkındalığın artırılması için Pfizer’in emir ve talimatları ile Kanun kapsamında veri işleyen sıfatına haiz kişilere eğitimler düzenlemekte olup, ihtiyaç duyulması halinde kişisel verilerin korunması konusunda bu konuda uzman kişilerle çalışmaktayız. Söz konusu eğitimler periyodik olarak tekrarlanmakta olup, mevzuatın güncellenmesine paralel olarak eğitimlerimizi güncellemekte ve yenilemekteyiz.
3. KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN HUSUSLAR
3.1 Kişisel Verilerin İşlenmesi
Pfizer, Anayasa’nın 20. maddesi olan Özel Hayatın Gizliliği ve Kanun’un 4. maddesine ve 6. maddesine uygun olarak, kişisel verilerin işlenmesi konusunda; hukuka ve dürüstlük kurallarına uygun, doğru ve gerektiğinde güncel; belirli, açık ve meşru amaçlar güderek; amaçla bağlantılı, sınırlı ve ölçülü bir biçimde kişisel veri işleme faaliyetinde bulunmaktadır. Pfizer kanunlarda öngörülen veya kişisel veri işleme amacının gerektirdiği ve/veya sektörel bazda da kabul görmüş süre kadar ve aşağıdaki ilkeler ışığında kişisel verileri muhafaza etmektedir.
- Hukuka ve Dürüstlük Kuralına Uygun İşlemek: Pfizer; kişisel verilerin işlenmesinde hukuksal düzenlemelerle getirilen ilkeler ile genel güven ve dürüstlük kurallarına uygun hareket etmektedir. Bu kapsamda Pfizer, kişisel verileri, “kişisel verileri işleme amacının” gerektirdiği dışında işlememekte ve kullanmamaktadır.
- Kişisel Verilerin Doğru ve Gerektiğinde Güncel Olmasını Sağlama: Pfizer; işlediği kişisel verilerin doğru ve güncel olmasını sağlamakta ve bu doğrultuda işbu Politika’da açıklandığı üzere gerekli tedbirleri almaktadır.
- Belirli, Açık ve Meşru Amaçlarla İşleme: Pfizer, meşru ve hukuka uygun olan kişisel veri işleme amacını açık ve kesin olarak belirlemektedir. Pfizer, yürütmekte olduğu ticari faaliyet ile bağlantılı ve bunlar için gerekli olan kadar kişisel veri işlemektedir. Pfizer tarafından kişisel verilerin hangi amaçla işleneceği henüz kişisel veri işleme faaliyeti başlamadan ortaya konulmaktadır.
- İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma: Pfizer, kişisel verileri belirlenen amaçların gerçekleştirilebilmesine elverişli bir biçimde işlemekte ve amacın gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınmaktadır.
- İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç için Gerekli Olan Süre Kadar Muhafaza Etme: Pfizer, kişisel verileri ancak ilgili mevzuatta belirtildiği veya sektörel bazda kabul görmüş süre kadar veya işlendikleri amaç için gerekli olan süre kadar ve/veya silme politikalarında belirlediği süreler içerisinde muhafaza etmektedir. Bu kapsamda, Pfizer öncelikle ilgili mevzuatta kişisel verilerin saklanması için bir süre öngörülüp öngörülmediğini tespit etmekte, bir süre belirlenmişse bu süreye uygun davranmakta, bir süre belirlenmemişse kişisel verileri işlendikleri amaç için gerekli olan ve/veya sektörel bazda kabul görmüş süre kadar ve/veya Pfizer tarafından belirlenen süreler kadar saklamaktadır. Sürenin bitimi veya işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel veriler Pfizer tarafından silinmekte, yok edilmekte veya anonim hale getirilmektedir. Gelecekte kullanma ihtimali ile Pfizer tarafından kişisel veriler ancak meşru menfaat hallerinin varlığı halinde saklanmaktadır.
Kişisel verilerin korunması Anayasal bir haktır. Temel hak ve hürriyetler, özlerine dokunulmaksızın yalnızca Anayasa’nın ilgili maddelerinde belirtilen sebeplere bağlı olarak ve ancak kanunla sınırlanabilir. Anayasa’nın 20. maddesinin üçüncü fıkrası gereğince, kişisel veriler ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilecektir. Pfizer, hem Anayasa’nın 20. maddesinin üçüncü fıkrası hem de Kanun’un 5. maddesi uyarınca, ilgili Kanun maddesinde sayılan şartlardan bir veya birkaçına dayalı olarak işlemekte olup, kişisel verileri, ancak Kanunda öngörülen hallerde veya kişinin açık rızasıyla işlemektedir. Ayrıca Pfizer, Kanun’un 8. ve 9. maddelerine uygun olarak, kişisel verileri Kanun’da öngörülen ve Kurul tarafından yayınlanan düzenlemelere uygun olarak aktarmaktadır.
Pfizer, Kanun’un 10.maddesine uygun olarak, kişisel veri sahiplerini, işlenen kişisel verilerine ilişkin aydınlatmak ve kişisel veri sahiplerinin bilgi talep etmeleri durumunda gerekli bilgilendirmeyi yapmaktadır. Bu kapsamda Pfizer, varsa temsilcisinin kimliği, kişisel verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi ile kişisel veri sahibinin sahip olduğu hakları konusunda aydınlatma yapmaktadır.
Anayasa’nın 20. maddesinde herkesin, kendisiyle ilgili kişisel veriler hakkında bilgilendirilme hakkına sahip olduğu ortaya konulmuştur. Bu doğrultuda Kanun’un 11. maddesinde kişisel veri sahibinin hakları arasında “bilgi talep etme” de sayılmıştır. Pfizer, bu kapsamda, Anayasa’nın 20. ve Kanun’un 11. maddelerine uygun olarak Kişisel Veri Sahibi’nin bilgi talep etmesi durumunda gerekli bilgilendirmeyi yapmaktadır.
3.2 Özel Nitelikli Kişisel Verilerin İşlenmesi
İlaç sektöründe faaliyet gösteren global bir şirket olarak, yaptığımız işin mahiyeti gereği özel nitelikli kişisel verilerin hukuka uygun işlenmesinde Anayasa’da ve Kanunu’nda öngörülen düzenlemelere hassasiyet gösterilmekte ve uygun davranılmaktadır.
Kanun’un 6. maddesinde, hukuka aykırı olarak işlendiğinde kişilerin mağduriyetine veya ayrımcılığa sebep olma riski taşıyan birtakım kişisel veri “özel nitelikli” olarak belirlenmiştir. Bu veriler; ırk, etnik köken, siyasi düşünce, felsefi inanç̧, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir.
Özel nitelikli kişisel veriler, Pfizer tarafından Kanun’a uygun Kurul tarafından yayımlanan Kişisel Veri Güvenliği Rehberi (İdari ve Teknik) ile 3.01.2018 karar tarihli 2018/10 sayılı Kurul kararı uyarınca 13.03.2018 tarihli ve 30356 sayılı Resmî Gazete’de yayınlanan “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler”de belirlenen önlemlerin alınması kaydıyla aşağıdaki durumlarda işlenmektedir:
- Kişisel veri sahibinin açık rızası var ise veya
- Kişisel veri sahibinin açık rızası yok ise;
- Kişisel veri sahibinin sağlığı ve cinsel hayatı dışındaki özel nitelikli kiş isel veriler, kanunlarda öngörülen hallerde,
- Kişisel veri sahibinin sağlığına ve cinsel hayatına ilişkin özel nitelikli kişisel verileri ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenmektedir.
3.3 Kişisel Verilerin Aktarılması
Pfizer hukuka uygun olan kişisel veri işleme amaçları doğrultusunda gerekli güvenlik önlemlerini alarak kişisel veri sahibinin kişisel verilerini ve özel nitelikli kişisel verilerini üçüncü kişilere aktarabilmektedir. Pfizer, bu doğrultuda Kanun’un 8. maddesinde öngörülen düzenlemelere uygun hareket etmektedir.
Pfizer meşru ve hukuka uygun kişisel veri işleme amaçları doğrultusunda aşağıda sayılan ve Kanun’un 5. maddesinde belirtilen kişisel veri işleme şartlarından bir veya birkaçına dayalı ve sınırlı olarak kişisel verileri üçüncü kişilere aktarabilmektedir:
- Kişisel veri sahibinin açık rızası var ise,
- Kanunlarda kişisel verinin aktarılacağına ilişkin açık bir düzenleme var ise,
- Kişisel veri sahibinin veya başkasının hayatı veya beden bütünlüğünün korunması için zorunlu ise ve kişisel veri sahibi fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda ise veya rızasına hukuki geçerlilik tanınmıyorsa;
- Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olmak kaydıyla sözleşmenin taraflarına ait kişisel verinin aktarılması gerekli ise,
- Pfizer’in hukuki yükümlülüğünü yerine getirmesi için kişisel veri aktarımı zorunlu ise,
- Kişisel veriler, kişisel veri sahibi tarafından alenileştirilmiş̧ ise,
- Kişisel veri aktarımı bir hakkın tesisi, kullanılması veya korunması için zorunlu ise,
- Kişisel veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, Pfizer’in meşru menfaatleri için kişisel veri aktarımı zorunlu ise.
3.3.1 Özel Nitelikli Kişisel Verilerin Aktarılması
Pfizer gerekli özeni göstererek, gerekli güvenlik tedbirlerini alarak ve Kurul tarafından yayınlanan yeterli önlemleri alarak; meşru ve hukuka uygun kişisel veri işleme amaçları doğrultusunda kişisel veri sahibinin özel nitelikli kişisel verilerini aşağıdaki durumlarda üçüncü kişilere aktarabilmektedir.
- Kişisel veri sahibinin açık rızası var ise veya
- Kişisel veri sahibinin açık rızası yok ise;
- Kişisel veri sahibinin sağlığı ve cinsel hayatı dışındaki özel nitelikli kişisel verileri (ırk, etnik köken, siyasi düşünce, felsefi inanç̧, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir), kanunlarda öngörülen hallerde,
- Kişisel veri sahibinin sağlığına ve cinsel hayatına ilişkin özel nitelikli kişisel verileri ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından.
3.4 Kişisel Verilerin Yurtdışına Aktarılması
Pfizer hukuka uygun kişisel veri işleme amaçları doğrultusunda gerekli güvenlik önlemleri alarak kişisel veri sahibinin kişisel verilerini ve özel nitelikli kişisel verilerini üçüncü kişilere aktarabilmektedir.
Pfizer; Kurul tarafından yeterli korumaya sahip olduğu ilan edilenyabancı ülkelere (“Yeterli Korumaya Sahip Yabancı Ülke”) veya yeterli korumanın bulunmaması durumunda, Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt ettiği ve Kurul izninin bulunduğu yabancı ülkelere (“Yeterli Korumayı Taahhüt Eden Veri Sorumlusunun Bulunduğu Yabancı Ülke”) kişisel veriler aktarılabilmektedir. Pfizer bu doğrultuda Kanun’un 9. maddesinde öngörülen düzenlemelere uygun hareket etmektedir.
Pfizer meşru ve hukuka uygun kişisel veri işleme amaçları doğrultusunda kişisel veri sahibinin açık rızası var ise veya kişisel veri sahibinin açık rızası yok ise aşağıdaki hallerden birinin varlığı durumunda kişisel verileri Yeterli Korumaya Sahip veya Yeterli Korumayı Taahhüt Eden Veri Sorumlusunun Bulunduğu Yabancı Ülkelere aktarabilmektedir:
- Kişisel veri sahibinin açık rızası var ise,
- Kanunlarda kişisel verinin aktarılacağına ilişkin açık bir düzenleme var ise,
- Kişisel veri sahibinin veya başkasının hayatı veya beden bütünlüğünün korunması için zorunlu ise ve kişisel veri sahibi fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda ise veya rızasına hukuki geçerlilik tanınmıyorsa,
- Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olmak kaydıyla sözleşmenin taraflarına ait kişisel verinin aktarılması gerekli ise,
- Pfizer’in hukuki yükümlülüğünü yerine getirmesi için kişisel veri aktarımı zorunlu ise,
- Kişisel veriler, kişisel veri sahibi tarafından alenileştirilmiş ise,
- Kişisel veri aktarımı bir hakkın tesisi, kullanılması veya korunması için zorunlu ise,
- Kişisel veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, Pfizer’in meşru menfaatleri için kişisel veri aktarımı zorunlu ise.
3.4.1 Özel Nitelikli Kişisel Verilerin Yurtdışına Aktarılması
Pfizer meşru ve hukuka uygun kişisel veri işleme amaçları doğrultusunda kişisel veri sahibinin açık rızası var ise veya kişisel veri sahibinin açık rızası yok ise aşağıdaki hallerden birinin varlığı durumunda özel nitelikli kişisel verileri Yeterli Korumaya Sahip veya Yeterli Korumayı Taahhüt Eden Veri Sorumlusunun Bulunduğu Yabancı ülkelere aktarabilmektedir:
- Kişisel veri sahibinin açık rızası var ise veya
- Kişisel veri sahibinin açık rızası yok ise;
- Kişisel veri sahibinin sağlığı ve cinsel hayatı dışındaki özel nitelikli kişisel verileri (ırk, etnik köken, siyasi düşünce, felsefi inanç̧, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir), kanunlarda öngörülen hallerde,
- Kişisel veri sahibinin sağlığına ve cinsel hayatına ilişkin özel nitelikli kişisel verileri ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından.
4. ŞİRKETİMİZ TARAFINDAN İŞLENEN KİŞİSEL VERİLERİN KATEGORİZASYONU, İŞLENME AMAÇLARI VE SAKLANMA SÜRELERİ
- 4.1 Kişisel Verilerin Kategorizasyonu
Pfizer nezdinde; Pfizer’in meşru ve hukuka uygun kişisel veri işleme amaçları doğrultusunda, Kanun’un 5. maddesinde belirtilen kişisel veri işleme şartlarından bir veya birkaçına dayalı ve sınırlı olarak, başta kişisel verilerin işlenmesine ilişkin 4. maddede belirtilen ilkeler olmak üzere Kanun’da belirtilen genel ilkelere ve Kanun’da düzenlenen bütün yükümlülüklere uyularak ve işbu Politika kapsamındaki süjelerle (İşbirliği İçinde Olduğumuz Kurumların Yetkilileri ve Çalışanları, Tedarikçi Yetkilileri ve Çalışanları, İş Ortakları Yetklilileri ve Çalışanları, Sağlık Meslek Mensupları, Hastalar, Ziyaretçilerimiz, Web Sitesi ve Aplikasyon Kullanıcılarımız, Çalışan Adayları ve diğer Üçüncü Kişilerin) sınırlı olarak aşağıda belirtilen kategorilerdeki kişisel veriler, Kanun’un 10. maddesi uyarınca ilgili kişiler bilgilendirilmek suretiyle işlenmektedir. Bu kategorilerde işlenen kişisel verilerin işbu Politika kapsamında düzenlenen hangi veri sahipleriyle ilişkili olduğu da işbu Politika’nın 5. Maddesinde belirtilmektedir.
Kişisel Veri veya Özel Nitelikli Kişisel Veri |
Açıklama |
Kimlik Bilgisi |
Ad-soyad, T.C. kimlik numarası, uyruk bilgisi, anne adı-soyadı, baba adı-soyadı, doğrum yeri, doğum tarihi, cinsiyet gibi bilgileri içeren ehliyet, nüfus cüzdanı ve pasaport gibi belgeler ile bu bilgilerin yer aldığı diğer dokumanlar, vergi numarası, SGK numarası, imza bilgisi, taşıt plakası, vb. |
İletişim Bilgisi |
Telefon numarası, adres, elektronik posta (e-mail) adresi, faks numarası, IP adresi, vb. |
Özel Nitelikli Kişisel Veri |
Reçete bilgisi, doktor raporu, tahlil ve radyoloji sonuçları, sağlık raporu, kan grubu, genetik verisi, vb. gibi her türlü sağlık verisi ile din, üye olunan dernek verisi, vb. |
Fiziksel Mekân Güvenlik Bilgisi |
Pfizer’e ait veya kiracısı olduğu (Pfizer Merkez Binası ve/veya Pfizer Ofisleri) fiziksel mekânın içeris inde kalış sırasında alınan kayıtlar ve belgelere ilişkin kişisel veriler (kamera kayıtları, güvenlik noktasında alınan kayıtlar, vb.) |
Finansal Bilgi |
Tedarikçiler, İş Ortakları, SMM’ler ve diğer 3. Kişilerle veya diğer kişisel veri sahipleri ile kurmuş olduğu hukuki ilişkinin tipine göre yaratılan her türlü finansal sonucu gösteren bilgi, belge ve kayıtlara ilişkin işlenen kişisel veriler ile banka hesap numarası IBAN numarası kredi kartı bilgisi, finansal profil, malvarlığı verisi, gelir bilgisi verileri vb. |
Görsel/İşitsel Bilgi |
Her türlü fotoğraf ve kamera kayıtları, ses kayıtları |
Özlük Bilgileri |
Pfizer ile çalışma ilişkisi olan veya olacak olan (Çalışan Adayları da dahil) gerçek kişilerin özlük haklarının oluşmasına temel olacak bilgiler (özgeçmiş, sağlık raporu, banka hesap, SGK dökümü, vesikalık fotoğraf, ikametgâh sureti, nüfus cüzdanı sureti, vb.) |
Talep/Şikâyet Yönetimi Bilgisi |
Ürün Güvenliği, Kalite, Medikal Enformasyon, vb. işlemlerin icrası esnasında alınan her türlü kişisel veri ile Pfizer’e yöneltilmiş olan her türlü talep veya şikâyetin alınması ve değerlendirilmesine ilişkin veriler. |
İşlem Güvenliği Bilgisi |
Pfizer’in ticari faaliyetlerini yürütürken gerek veri sahibinin gerekse de Şirket’in teknik, idari, hukuki ve ticari güvenliğinin sağlanması için işlenen kişisel veriler. |
Risk Yönetim Bilgisi |
Ticari, teknik ve idari risklerin yönetilmesi için bu alanlarda genel kabul görmüş hukuki, ticari teamül ve dürüstlük kuralına uygun olarak kullanılan yöntemler vasıtasıyla işlenen kişisel veriler. |
Hukuki İşlem Uyum Bilgisi |
Pfizer’in hukuki alacak ve haklarının tespiti, tespiti, takibi ve borçlarının ifası ile kanuni yükümlülüklerin ve Pfizer politikalarına uyum kapsamında işlenen kişisel veriler |
Denetim ve Teftiş Bilgisi |
Pfizer’in kanuni yükümlülükleri ve Şirket politikalarına uyumu kapsamında işlenen kişisel veriler |
İtibar Yönetimi Bilgisi |
Kişiyle ilişkilendirilen ve Pfizer’in ticari itibarını korumak maksatlı toplanan kişisel veriler. |
4.2 Kişisel Verilerin İşlenme Amaçları
Pfizer, Kanun’un 5. maddesinin 2. fıkrasında ve 6. maddenin 3. fıkrasında belirtilen kişisel veri işleme şartları içerisindeki amaçlarla ve koşullarla sınırlı olarak kişisel verileri işlemektedir. Bu amaçlar ve koşullar;
- Kişisel verilerinizin işlenmesine ilişkin Pfizer’in ilgili faaliyette bulunmasının Kanunlarda açıkça öngörülmesi,
- Kişisel verilerinizin Pfizer tarafından işlenmesinin bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili ve gerekli olması,
- Kişisel verilerinizin işlenmesinin Pfizer’in hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
- Kişisel verilerinizin sizler tarafından alenileştirilmiş olması şartıyla; sizlerin alenileştirme amacıyla sınırlı bir şekilde Pfizer tarafından işlenmesi,
- Kişisel verilerinizin Pfizer tarafından işlenmesinin Pfizer’in veya sizlerin veya üçüncü kişilerin haklarının tesisi, kullanılması veya korunması için zorunlu olması,
- Sizlerin temel hak ve özgürlüklerinize zarar vermemek kaydıyla Pfizer’in meşru menfaatleri için kişisel veri işleme faaliyetinde bulunulmasının zorunlu olması,
-
- Pfizer tarafından kişisel veri işleme faaliyetinde bulunulmasının kişisel veri sahibinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması ve bu durumda da kişisel veri sahibinin fiili veya hukuki geçersizlik nedeniyle rızasını açıklayamayacak durumda bulunması,
- Kişisel veri sahibinin sağlığı ve cinsel hayatı dışındaki özel nitelikli kişisel veriler açısından kanunlarda öngörülmüş olması,
- Kişisel veri sahibinin sağlığına ve cinsel hayatına ilişkin özel nitelikli kiş isel verileri açısından ise kamu sağılığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından islenmesidir.
Bu kapsamda Pfizer, kişisel verilerinizi aşağıdaki amaçlarla işlemektedir:
-
- Şirket iç operasyonlarının, iş faaliyetlerinin yürütülmesi ve Şirket operasyonlarının güvenliğinin temin edilmesi, iş faaliyetlerinin etkinlik, verimlilik, yerindelik analizlerinin gerçekleştirilmesi için gerekli faaliyetlerinin yürütülmesi,
- Personel işe alım süreçlerinin yürütülmesi,
- Strateji planlama faaliyetlerinin ve İş Ortakları veya Tedarikçilerle olan ilişkilerin yönetimi ve icrası,
- Pazarlama ve satış faaliyetlerinin yürütülmesi, Şirket’in sunduğu ürün ve/veya hizmetlere bağlılık oluşturulması ve/veya arttırılması süreçlerinin yürütülmesi, ürün ve hizmetlerin satış ve pazarlaması için pazar araştırması faaliyetlerinin yürütülmesi,
- Sağlık meslek mensupları ile Beşeri Tıbbi Ürünlerin Tanıtım Faaliyetleri Hakkında Yönetmelik uyarınca izin verilen tanıtım faaliyetlerinin gerçekleştirilmesi,
- Üretim ve/veya operasyon süreçlerinin yürütülmesi,
- Ürün Güvenliğinin, Medikal Enformasyonun ve Yan Etki Bildirimlerinin yönetimi ve icrası,
- İş sürekliliğinin sağlanması ve kurumsal yönetim faaliyetler için gereken süreçlerin işletilmesi,
- Kongre faaliyetlerinin planlanması, yürütülmesi ve icrası,
- Klinik Araştırma faaliyetlerinin yürütülmesi ve icrası,
- Pfizer ruhsatlandırma işlemlerinin yönetimi ve icrası,
-
- Pfizer kalite yönetimi ve icrası,
- Kurumsal sürdürülebilirlik faaliyetlerinin planlanması ve icrası,
- Elektronik haberleşme araçlarının kullanımının sağlanması,
- Etkinlik yönetimi,
- Finansal raporlama ve risk yönetimi işlemlerinin icrası/takibi,
- Satın alma faaliyetlerinin planlanması, değerlendirilmesi ve takibi,
- Pfizer hukuk işlerinin icrası/takibi,
- Hukuksal, teknik ve idari sonucu olan faaliyetlerin yürütülmesi ve yetkili kuruluşlara mevzuattan kaynaklı bilgi verilmesi, hukuksal taleplere ilişkin faaliyetler ile hukuki işlerin yürütülmesi,
- Verilerin doğru ve güncel tutulması,
- Kurumsal iletişim faaliyetlerinin planlanması ve icrası,
- Kurumsal yönetim faaliyetlerinin icrası,
- Talep ve şikâyet yönetimi,
- Mevzuata uyum,
- Yetkili kuruluşlara mevzuattan kaynaklı bilgi verilmesi,
- Ziyaretçi kayıtlarının oluşturulması ve takibi,
- Şirket yerleşkeleri ve/veya tesislerinin güvenliğinin teminin edilmesi,
- Lojistik faaliyetlerin planlanması ve icrası,
- Bilgi güvenliği süreçleri ile bilgi teknoloji alt yapısına ilişkin faaliyetlerin yürütülmesi,
- Acil durum yönetimi süreçlerinin planlanması ve icrası, iş sağlığı ve/veya güvenliği süreçlerinin yürütülmesi,
- Grup şirketlerine ilişkin faaliyetlerin yürütülmesi, çalışanların bilgiye erişimlerinin sağlanması,
- Sosyal medya hesaplarının ve web sitelerinin yönetilmesi.
- Veri sorumlusu operasyonlarının güvenliğinin temini.
İşbu Politika kapsamında kişisel verileri işlenen kişilerin kişisel verileri yazılı veya elektronik ortamda elektronik posta (e-posta), kısa mesaj (sms), Pfizer Web Siteleri ve Aplikasyonları ve diğer mobil uygulamalar, iletişim formu, vb. formlar, santral ve telesekreter hizmetleri, şikâyet yönetim sistemleri, sosyal medya mecraları, ses kaydı, video kaydı, vb. yöntemlerle önceden belirlenen ve işbu Politika’da açıklanan amaçlar kapsamında toplanmaktadır.
Bahsi geçen amaçlarla gerçekleştirilen işleme faaliyetinin, Kanun kapsamında öngörülen şartlardan herhangi birini karşılamıyor olması halinde, ilgili işleme sürecine ilişkin olarak Pfizer tarafından açık rızanız temin edilmektedir.
Bunun yanı sıra Pfizer’in en çok kişisel veri topladığı veri sahibi kategorisi olan Çalışan Aday’larının işe alım sürecinde Pfizer tarafından toplanan kişisel verileri ile iş in niteliğine göre toplanan özel nitelikli kişisel veriler aşağıda açıklanan amaçlar kapsamında işlemektedir:
-
- Çalışan Adayının niteliğini, tecrübesini ve ilgisini açık pozisyona uygunluğunu değerlendirmek,
- Üçüncü kişiler ile iletişime geçerek Çalışan Adayı hakkında araştırma yapmak,
- Başvuru ve işe alım süreci hakkında Çalışan Adayı ile iletişime geçmek,
- Sonradan pozisyon açılması durumunda Çalışan Adayı ile iletişime geçmek,
- İlgili mevzuatın gereklerini ve/veya yetkili kurum ve kuruluşların taleplerini karşılamak,
Bu kapsamda, Çalışan Adaylarının (i) yazılı veya elektronik ortamda yayınlanan dijital başvuru formu, (ii) Pfizer’e e-posta, kargo, referans vb. yollarla ulaştırdıkları özgeçmişler ve (iii) istihdam ve/veya danışmanlık şirketleri, çevrimiçi işe alım platformları aracılığı, (iv) video konferans veya yüz yüze yapılan mülakatlar sırasında, (v) tecrübesi olan uzman kişiler tarafından yapılan ve sonuçları incelenen yetenek ve kişilik özelliklerini tespit eden işe alım testleri aracılığı ile, (vi) işe alım sürecinde, (vii) işe alım sonrası önceden belirlenen bir amaç kapsamında toplanmaktadır. Çalışan Adayları diledikleri takdirde Veri Sahibi olmalarından kaynaklanan ve Kanun’dan doğan hakları ile ilgili taleplerini işbu Politika’nın 9. maddesinde açıklanan yöntem ile iletebilirler.
4.3 Kişisel Verilerin Saklanma Süreleri
Pfizer, ilgili kanunlarda ve mevzuatlarda öngörülmesi durumunda kişisel verileri bu mevzuatlarda belirtilen süre boyunca saklamaktadır. Kişisel verilerin ne kadar süre boyunca saklanması gerektiğine ilişkin mevzuatta bir süre düzenlenmemişse, kişisel veriler Pfizer’in o veriyi işlerken yürütülen faaliyet ile bağlı olarak Pfizer’in uygulamaları ve ticari yaşamının teamülleri uyarınca işlenmesini gerektiren süre kadar işlenmekte daha sonra silinmekte, yok edilmekte veya anonim hale getirilmektedir.
Kişisel verilerin işlenme amacı sona ermiş, ilgili mevzuat ve Pfizer’in belirlediği saklama sürelerinin de sonuna gelinmişse; kişisel veriler yalnızca olası hukuki uyuşmazlıklarda delil teşkil etmesi veya kişisel veriye bağlı ilgili hakkın ileri sürülebilmesi veya savunmanın tesis edilmesi amacıyla saklanabilmektedir. Buradaki sürelerin tesisinde bahsi geçen hakkın ileri sürülebilmesine yönelik zaman aşımı süreleri ile zaman aşımı sürelerinin geçmesine rağmen daha önce aynı konularda Pfizer’e yöneltilen taleplerdeki örnekler esas alınarak saklama süreleri belirlenmektedir. Bu durumda saklanan kişisel verilere herhangi bir başka amaçla erişilmemekte ve ancak ilgili hukuki uyuşmazlıkta kullanılması gerektiği zaman ilgili kişisel verilere erişim sağlanmaktadır. Burada da bahsi geçen süre sona erdikten sonra kişisel veriler silinmekte, yok edilmekte veya anonim hale getirilmektedir.
5. PFİZER TARAFI NDAN İŞLENEN KİŞİSEL VERİLERİN SAHİPLERİ NE İLİŞKİN KATEGORİZASYON
Pfizer tarafından, aşağıda sıralanan kişisel veri sahibi kategorilerinin kişisel verileri işlenmekle birlikte, işbu Politikanın uygulama kapsamı İş birliği İçinde Olduğumuz Kurumların Yetkilileri ve Çalışanları, Tedarikçi Yetkilileri ve Çalışanları, İş Ortakları Yetkilileri ve Çalışanları, Sağlık Meslek Mensupları, Hastalar, Ziyaretçilerimiz, Web Sitesi ve Aplikasyon Kullanıcılarımız, Çalışan Adayları ve diğer Üçüncü Kişileri ile sınırlıdır.
Pfizer tarafından kişisel verileri işlenen kişiler in kategorileri yukarıda belirtilen kapsamda olmakla birlikte, bu kategorilerin dışında yer alan kişiler de Kanun kapsamında Pfizer’e taleplerini yöneltebilecek olup; bu kişilerin talepleri de bu Politika kapsamında değerlendirmeye alınacaktır.
Aşağıdaki tabloda İş birliği İçinde Olduğumuz Kurumların Yetkilileri ve Çalışanları, Tedarikçi Yetkilileri ve Çalışanları, İş Ortakları Yetkilileri ve Çalışanları, Sağlık Meslek Mensupları, Hastalar, Ziyaretçilerimiz, Web Sitesi ve Aplikasyon Kullanıcılarımız, Çalışan Adayları ve diğer Üçüncü Kişileri olarak tanımladığımız kişisel veri sahibi kategorileri ile bu kategoriler içerisindeki kişilerin hangi tip kişisel verilerinin işlendiği detaylandırılmaktadır.
Kişisel Veri Kategorizasyonu |
Kişisel Veri Sahibi Kategorizasyonu |
Kimlik Bilgisi |
İş birliği İçinde Olduğumuz Kurumların Yetkilileri ve Çalışanları, Tedarikçi Yetkilileri ve Çalışanları, İş Ortakları Yetkilileri ve Çalışanları, Sağlık Meslek Mensupları, Hastalar, Ziyaretçilerimiz, Web Sitesi ve Aplikasyon Kullanıcılarımız, Çalışan Adayları ve diğer Üçüncü Kişileri |
İletişim Bilgisi |
İş birliği İçinde Olduğumuz Kurumların Yetkilileri ve Çalışanları, Tedarikçi Yetkilileri ve Çalışanları, İş Ortakları Yetkilileri ve Çalışanları, Sağlık Meslek Mensupları, Hastalar, Ziyaretçilerimiz, Web Sitesi ve Aplikasyon Kullanıcılarımız, Çalışan Adayları ve diğer Üçüncü Kişileri |
Özel Nitelikli Kişisel veri |
Hastalar, Web Sitesi ve Aplikasyon Kullanıcılarımız, Çalışan Adayları ve diğer Üçüncü Kişiler |
Aile Bireyleri ve Yakın Bilgisi |
Hastalar, Web Sitesi ve Aplikasyon Kullanıcılarımız, Çalışan Adayları ve diğer Üçüncü Kişiler |
Fiziksel Mekân Güvenlik Bilgisi |
Ziyaretçilerimiz |
Finansal Bilgi |
İş birliği İçinde Olduğumuz Kurumların Yetkilileri ve Çalışanları, Tedarikçi Yetkilileri ve Çalışanları, İş Ortakları Yetkilileri ve Çalışanları, Sağlık Meslek Mensupları ve diğer Üçüncü Kişileri |
Görsel/İşitsel Bilgi |
İş birliği İçinde Olduğumuz Kurumların Yetkilileri ve Çalışanları, Tedarikçi Yetkilileri ve Çalışanları, İş Ortakları Yetkilileri ve Çalışanları, Sağlık Meslek Mensupları, Hastalar, Ziyaretçilerimiz, Çalışan Adayları ve diğer Üçüncü Kişileri |
Özlük Bilgileri |
Pfizer Çalışanları, Eski Pfizer Çalışanları, diğer Üçüncü Kişiler |
Talep/Şikâyet Yönetimi Bilgisi |
İş birliği İçinde Olduğumuz Kurumların Yetkilileri ve Çalışanları, Tedarikçi Yetkilileri ve Çalışanları, İş Ortakları Yetkilileri ve Çalışanları, Sağlık Meslek Mensupları, Hastalar, Ziyaretçilerimiz, Web Sitesi ve Aplikasyon Kullanıcılarımız, Çalışan Adayları ve diğer Üçüncü Kişiler |
İşlem Güvenliği Bilgisi |
İş birliği İçinde Olduğumuz Kurumların Yetkilileri ve Çalışanları, Tedarikçi Yetkilileri ve Çalışanları, İş Ortakları Yetkilileri ve Çalışanları, Sağlık Meslek Mensupları, Hastalar, Ziyaretçilerimiz, Web Sitesi ve Aplikasyon Kullanıcılarımız, Çalışan Adayları ve diğer Üçüncü Kişiler |
Risk Yönetim Bilgisi |
İş birliği İçinde Olduğumuz Kurumların Yetkilileri ve Çalışanları, Tedarikçi Yetkilileri ve Çalışanları, İş Ortakları Yetkilileri ve Çalışanları, Sağlık Meslek Mensupları, Hastalar, Ziyaretçilerimiz, Web Sitesi ve Aplikasyon Kullanıcılarımız, Çalışan Adayları ve diğer Üçüncü Kişiler |
Hukuki İşlem Uyum Bilgisi |
İş birliği İçinde Olduğumuz Kurumların Yetkilileri ve Çalışanları, Tedarikçi Yetkilileri ve Çalışanları, İş Ortakları Yetkilileri ve Çalışanları, Sağlık Meslek Mensupları, Hastalar, Ziyaretçilerimiz, Web Sitesi ve Aplikasyon Kullanıcılarımız, Çalışan Adayları ve diğer Üçüncü Kişiler |
Denetim ve Teftiş Bilgisi |
İş birliği İçinde Olduğumuz Kurumların Yetkilileri ve Çalışanları, Tedarikçi Yetkilileri ve Çalışanları, İş Ortakları Yetkilileri ve Çalışanları, Sağlık Meslek Mensupları, Hastalar, Ziyaretçilerimiz, Web Sitesi ve Aplikasyon Kullanıcılarımız, Çalışan Adayları ve diğer Üçüncü Kişiler |
İtibar Yönetimi Bilgisi |
İş birliği İçinde Olduğumuz Kurumların Yetkilileri ve Çalışanları, Tedarikçi Yetkilileri ve Çalışanları, İş Ortakları Yetkilileri ve Çalışanları, Sağlık Meslek Mensupları, Hastalar, Ziyaretçilerimiz, Web Sitesi ve Aplikasyon Kullanıcılarımız, Çalışan Adayları ve diğer Üçüncü Kişiler |
6. PFİZER TARAFINDAN KİŞİSEL VERİLERİ N AKTARILDIĞI ÜÇÜNCÜ KİŞİLER VE AKTARILMA AMAÇLARI
Pfizer Kanun’un 8. ve 9. maddelerine uygun olarak Politika ile yönetilen veri sahiplerinin kişisel verilerini aşağıda sıralanan kişi kategorilerine aktarılabilir:
- Pfizer İş Ortaklarına (doktorlar, eczacılar, hastalar da dahil olmak üzere),
- Pfizer Tedarikçilerine,
- Pfizer global şirketlerine ve iştiraklerine,
- Pfizer Şirket yetkililerine,
- Hukuken Yetkili kamu kurum ve kuruluşlarına (Örneğin Sağlık Bakanlığı, Gümrük Müdürlüğü, Mahkemeler, vb.)
- Hukuken yetkili özel hukuk kişilerine,
- Yetkili Pfizer çalışanlarına.
Aktarımda bulunulan yukarıda belirtilen kişilerin kapsamı ve veri aktarım amaçları aşağıda belirtilmektedir.
Pfizer, Kanun’un 10. maddesine uygun olarak kişisel verilerin aktarıldığı kişi gruplarını kişisel veri sahibine bildirmektedir.
7. PFİZER MERKEZ BİNASI, DEPOLARI, OFİSLERİ İLE BU BİNALAR İÇERİSİNDE YAPILAN KİŞİSEL VERİ İŞLEME FAALİYETLERİ İLE İNTERNET SİTESİ VE PFİZER UYGULAMALARI ZİYARETÇİLERİ İLE PFİZER İÇERİSİNDE KULLANILAN UYGULAMALAR
7.1 Pfizer Merkez Binası, Depoları, Ofislerinde Yapılan Kişisel Veri İşleme Faaliyetleri
Pfizer tarafından güvenliğin sağlanması amacıyla, Pfizer Merkez Binasında, depolarında ve ofislerinde (“Binalar”) güvenlik kamerasıyla izleme faaliyeti ile misafir giriş-çıkışlarının takibine yönelik kişisel veri işleme faaliyetinde bulunulmaktadır.
Güvenlik kameraları kullanılması ve misafir giriş-çıkışlarının kayıt altına alınması yoluyla Pfizer tarafından kişisel veri işleme faaliyeti yürütülmektedir.
Pfizer, Binaların girişlerinde ve içerisinde kamera izleme faaliyeti yürütmekte olup, Şirket’in ve diğer kişilerin (Pfizer Çalışanları, ziyaretçiler vb.) güvenliğini sağlamaya ilişkin menfaatlerini korumayı amaçlamaktadır. Bu kapsamda, Pfizer, Kanun’a ve diğer ilgili mevzuata uygun hareket etmektedir. Şöyle ki, kamera ile izleme faaliyeti, Özel Güvenlik Hizmetlerine Dair Kanun ve ilgili mevzuata uygun olup, Pfizer tarafından güvenlik amacıyla kamera ile izleme faaliyeti yürütülmesinde Kanun’da yer alan düzenlemelere uygun hareket edilmektedir. Buna göre; Kanun’un 10. maddesi çerçevesinde, kişisel veri sahibi aydınlatılmaktadır. Aydınlatma yükümlülüğünün bir parçası olarak, Pfizer hem Bina girişlerine aydınlatma metni asmakta hem de internet sitesinde işbu Politika’yı yayımlamaktadır. Ayrıca, izlemenin yapıldığı alanlara da buna ilişkin uyarı tabelaları asılmaktadır.
Pfizer, Kanun’un 4. maddesi uyarınca, kişisel verileri işlendikleri amaçlarla bağlantılı, sınırlı ve ölçülü bir biçimde işlemekte olup, video kamera ile izleme faaliyetini de amacı kapsamında sürdürmektedir. Bu doğrultuda, Pfizer güvenlik kameralarının izleme alanlarını, sayısını ve video kayıtlarının saklanma sürelerini güvenlik amacını aşmadan sınırlı olarak belirlemektedir. Ayrıca belirtmek gerekir ki, kişinin mahremiyetine müdahale edilmeyecek şekilde video kayıt faaliyeti sürdürülmektedir.
Pfizer tarafından video kayıt yoluyla yürütülen izleme faaliyeti sonucunda elde edilen kişisel verilerin güvenliğinin sağlanması için de gerekli teknik ve idari tedbirler Pfizer tarafından alınmaktadır. Bu kapsamda, ilgili video kayıtlarına sınırlı sayıda Pfizer çalışanın erişimi bulunmaktadır.
Ayrıca, Pfizer tarafından; güvenliğin sağlanması ve bu Politika’da belirtilen amaçlarla, Pfizer Binalarında misafir giriş-çıkışlarının takibine yönelik kişisel veri işleme faaliyetinde bulunulmaktadır. Şöyle ki, Ziyaretçi olarak Pfizer Binalarına gelen kişilerin isim, soyadları ve
T.C. Kimlik Numaraları işlenmekte olup, kişisel veri sahibi olan ziyaretçiler bu kapsamda girişlere asılmış aydınlatma metinleri ile bilgilendirilmektedirler. Ziyaretçi giriş-çıkış takibi yapılması amacıyla elde edilen veriler yalnızca bu amaçla işlenmekte ve ilgili kişisel veriler fiziki ortamda veri kayıt sistemine kaydedilmektedir.
7.2 Internet Sitesi ve Pfizer Mobil Uygulamaları Ziyaretçileri
Pfizer sahibi olduğu internet sitelerinde ve mobil uygulamalarında (aplikasyonlar); bu siteleri ve uygulamaları ziyaret eden kişilerin ziyaretlerini, ziyaret amaçlarıyla uygun olarak gerçekleştirmeleri ve kendilerine özelleştirilmiş̧ içerikler gösterebilmek, çevrimiçi reklamcılık faaliyetlerinde bulunabilmek amacıyla (Kurabiyeler (cookie), vb.) site ve/veya uygulama içerisindeki internet hareketleri teknik yöntemlerle kaydedilmektedir. Pfizer internet sitesi ve uygulamaları içerisinde yürütmekte olduğu bu faaliyetlerine ve kişisel verilerin korunması ve işlenmesine ilişkin detaylı açıklamaları ilgili internet sitelerinin ve uygulamalarının “Gizlilik Politikası” başlıklı metinleri içerisinde açıklamaktadır.
Pfizer faaliyetlerini yürütebilmek amacıyla çeşitli sistemler kullanmaktadır. Bu sistemlere Pfizer çalışanları tarafından aşağıda sayılan amaçlar kapsamında yürütmekte oldukları işin amacına ve görev tanımlarına uygun olarak kişisel veri işleyebilmektedirler:
- Şirket iç operasyonlarının, iş faaliyetlerinin yürütülmesi ve Şirket operasyonlarının güvenliğinin temin edilmesi, iş faaliyetlerinin etkinlik, verimlilik, yerindelik analizlerinin gerçekleştirilmesi için gerekli faaliyetlerinin yürütülmesi,
- Personel işe alım süreçlerinin yürütülmesi,
- Strateji planlama faaliyetlerinin ve İş Ortakları veya Tedarikçilerle olan ilişkilerin yönetimi ve icrası,
- Pazarlama ve satış faaliyetlerinin yürütülmesi, Şirket’in sunduğu ürün ve/veya hizmetlere bağlılık oluşturulması ve/veya arttırılması süreçlerinin yürütülmesi, ürün ve hizmetlerin satış ve pazarlaması için pazar araştırması faaliyetlerinin yürütülmesi,
- Üretim ve/veya operasyon süreçlerinin yürütülmesi,
- Ürün Güvenliği’nin, Medikal Enformasyonun ve Yan Etki Bildirimlerinin yönetimi ve icrası,
- İş sürekliliğinin sağlanması ve kurumsal yönetim faaliyetler için gereken süreçlerin işletilmesi.
- Kongre faaliyetlerinin planlanması, yürütülmesi ve icrası,
- Klinik Araştırma faaliyetlerinin yürütülmesi ve icrası,
- Sağlık meslek mensupları ile Beşeri Tıbbi Ürünlerin Tanıtım Faaliyetleri Hakkında Yönetmelik uyarınca izin verilen tanıtım faaliyetlerinin gerçekleştirilmesi,
- İş birliği İçinde Olduğumuz Kurumlar ve SMM’ler ile olan ilişkilerin yönetimi ve icrası,
- Pfizer ruhsatlandırma işlemlerinin yönetimi ve icrası,
- Pfizer kalite yönetimi ve icrası,
- Kurumsal sürdürülebilirlik faaliyetlerinin planlanması ve icrası,
- Etkinlik yönetimi,
- Finansal raporlama ve risk yönetimi işlemlerinin icrası/takibi,
- İnsan kaynakları süreçlerinin planlanması,
- Satın alma faaliyetlerinin planlanması, değerlendirilmesi ve takibi,
- Strateji planlama faaliyetlerinin ve İş Ortakları veya Tedarikçilerle olan ilişkilerin yönetimi ve icrası,
- Pfizer hukuk işlerinin icrası/takibi,
- Hukuksal, teknik ve idari sonucu olan faaliyetlerin yürütülmesi ve yetkili kuruluşlara mevzuattan kaynaklı bilgi verilmesi, hukuksal taleplere ilişkin faaliyetler ile hukuki işlerin yürütülmesi,
- Verilerin doğru ve güncel tutulması,
- Kurumsal iletişim faaliyetlerinin planlanması ve icrası,
- Kurumsal yönetim faaliyetlerinin icrası,
- Talep ve şikâyet yönetimi,
- Mevzuata uyum,
- Yetkili kuruluşlara mevzuattan kaynaklı bilgi verilmesi,
- Ziyaretçi kayıtlarının oluşturulması ve takibi,
- Şirket yerleşkeleri ve/veya tesislerinin güvenliğinin teminin edilmesi,
- Lojistik faaliyetlerin planlanması ve icrası,
- Bilgi güvenliği süreçleri ile bilgi teknoloji alt yapısına ilişkin faaliyetlerin yürütülmesi,
- Acil durum yönetimi süreçlerinin planlanması ve icrası, iş sağlığı ve/veya güvenliği süreçlerinin yürütülmesi,
- Sosyal sorumluluk ve sivil toplum aktivitelerinin yürütülmesi,
- Grup şirketlerine ilişkin faaliyetlerin yürütülmesi, çalışanların bilgiye erişimlerinin sağlanması,
- Sosyal medya hesaplarının ve web sitelerinin yönetilmesi.
- Veri sorumlusu operasyonlarının güvenliğinin temini
8. KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VE ANONİMLEŞTİRİLMESİ ŞARTLARI
Türk Ceza Kanunu’nun 138. maddesinde ve Kanun’un 7. Maddesi uyarınca ilgili kanun hükümlerine uygun olarak işlenmiş̧ olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması halinde Pfizer’in kararına istinaden veya kişisel veri sahibinin talebi üzerine kişisel veriler silinir, yok edilir veya anonim hale getirilir. Bu kapsamda Pfizer aşağıdaki yöntemler ve teknikler ile kişisel verileri silmekte, yok etmekte veya anonim hale getirmektedir.
8.1 Kişisel Verilerin Silinmesi ve Yok Edilmesi
i. Fiziksel Olarak Yok Etme: Kişisel veriler herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla da işlenebilmektedir. Bu tür veriler silinirken/yok edilirken kişisel verinin sonradan kullanılamayacak biçimde fiziksel olarak yok edilmesi sistemi uygulanmaktadır. Örneğin, çıktısı alınmış bir özgeçmişin yırtmak veya imha makinesinden geçirmek suretiyle imha edilmesi fiziksel olarak yok etmektir.
ii. Yazılımdan Güvenli Olarak Silme: Tamamen veya kısmen otomatik olan yollarla işlenen ve dijital ortamlarda muhafaza edilen veriler silinirken/yok edilirken; bir daha kurtarılamayacak biçimde verinin ilgili yazılımdan silinmesine ilişkin yöntemler kullanılır. Dijital olarak silinmesi/yok edilmesi teknik olarak mümkün olmayan durumlarda Pfizer bu verileri kanunun öngördüğü şekilde erişim yetkilerini kısıtlayarak kullanımını önlemektedir. Ayrıca, Pfizer bazı durumlarda kendisi adına kişisel verileri silmesi için dışarıdan da hizmet alarak bu verileri yazılımdan sildirtebilir.
8.2 Kişisel Verileri Anonim Hale Getirme
Kişisel verilerin anonimleştirilmesi, kişisel verilerin başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini ifade eder. Pfizer, Kanun’un 28. maddesine uygun olarak hukuka uygun olarak işlenen kişisel verilerin işlenmesini gerektiren sebepler ortadan kalktığında kişisel verileri anonimleştirebilmektedir. Buna göre, anonim hale getirilmiş olan kişisel veriler araştırma, planlama ve istatistik gibi amaçlarla Pfizer tarafından işlenebilmektedir. Bu tür işlemeler Kanun kapsamı dışında olup, kişisel veri sahibinin açık rızası aranmayacaktır. Pfizer tarafından en çok kullanılan anonimleştirme teknikleri aşağıda sıralanmaktadır.
- Maskeleme: Veri maskeleme ile kişisel verinin temel belirleyici bilgisini veri seti içerisinden çıkartılarak kişisel verinin anonim hale getirilmesi yöntemidir. Örneğin, kişisel veri sahibinin tanınmasını sağlayan, T.C. Kimlik Numarasının çıkartılması veya üzerinin görünmeyecek şekilde karalanması yoluyla veri sahibinin kimliğinin tespit edilememesinin sağlanması ve tanınmasının imkânsız hale getirilmesi bir çeşit maskeleme yöntemidir.
- Toplulaştırma: Veri toplulaştırma yöntemi ile birçok veri toplulaştırılmakta ve kişisel veriler herhangi bir kişiyle ilişkilendirilemeyecek hale getirilmektedir. Örneğin, hastaların doğum tarihlerini göstermeksizin X yaşında Y hastaları eğitime katılmıştır şeklinde veri işlenmesi toplulaştırma yöntemidir.
- Veri Türetme: Veri türetme yöntemi ile kişisel verinin içeriğinden daha genel bir içerik oluşturulmakta ve kişisel verinin herhangi bir kişiyle ilişkilendirilemeyecek hale getirilmesi sağlanmaktadır. Örneğin, çalışanların doğum tarihleri yerine yaşlarının belirtilmesi veri türetme yöntemidir.
- Veri Karma: Veri karma yöntemi ile kişisel veri seti içindeki değerlerinin karıştırılarak değerler ile kişiler arasındaki bağın kopartılması sağlanmaktadır. Örneğin, video kayıtlarında buzlanma yönteminin uygulanması suretiyle kişinin belirlenememesi
-
KİŞİSEL VERİ SAHİPLERİNİN HAKLARI İLE BU HAKLARIN KULLANILMASI VE PFİZER TARAFINDAN DEĞERLENDİRİLMESİ
9.1 Veri Sahibinin Hakları
Kanun’un 11. maddesi uyarınca kişisel veri sahibinin hakları aşağıdaki gibidir:
-
- Kişisel veri işlenip işlenmediğini öğrenme,
- Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
- Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
- Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
- Kişisel verilerin eksik veya yanlış̧ işlenmiş̧ olması hâlinde bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
- Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş̧ olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
- İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
- Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme.
9.1.1 Kişisel Veri Sahibinin Haklarını İleri Süremeyeceği Haller
Kişisel veri sahipleri, Kanun’un 28. maddesi gereğince aşağıdaki haller Kanun kapsamı dışında tutulduğundan, kişisel veri sahiplerinin bu konularda işbu Politika’nın 9.1.1. maddesinde sayılan haklarını ileri süremezler. Şöyle ki;
-
-
- Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi,
- Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi,
-
-
- Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş̧ kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbarı faaliyetler kapsamında işlenmesi,
- Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak
yargı makamları veya infaz mercileri tarafından işlenmesi.
Kanun’un 28.maddesinin 2. fıkrası gereğince; aşağıda sayılan hallerde kişisel veri sahipleri zararın giderilmesini talep etme hakkı hariç işbu Politika’nın 9.1.1. maddesinde sayılan diğer haklarını ileri süremezler:
-
-
- Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması,
- Kişisel veri sahibi tarafından kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi,
- Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması,
- Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması.
9.1.2 Kişisel Veri Sahibinin Haklarını Kullanması
Kişisel Veri Sahipleri işbu Politika’nın 9.1. maddesinde sayılan haklarına ilişkin taleplerini kimliklerini tespit edecek bilgi ve belgelerle ve aşağıda belirtildiği şekilde www.pfizer.com.tr adresinde bulunan Başvuru Formu’nu doldurup doldurarak ve çıktısını alarak Noter vasıtasıyla Esentepe Mah. Büyükdere Cad. Levent 199, No:199, İç Kapı No: 106, Kat: 26, 34394, Levent, Şişli / İstanbul adresine zarfın üzerinde “Kişisel Verilerin Korunması Kanunu Kapsamında Bilgi Talebi” yazılacak şekilde ücretsiz olarak iletebileceklerdir:
Ayrıca, Kişisel Veri Sahipleri adına üçüncü kişilerin başvuru talebinde bulunabilmesi için veri sahibi tarafından başvuruda bulunacak kişi adına noter kanalıyla düzenlenmiş özel vekâletname bulunmalıdır.
Kişisel Veri Sahipleri başvurularını Türkçe yapmak zorunda olup, sizden aşağıdaki bilgiler talep edilir:
-
-
- Ad, soyad ve imza,
- Türkiye Cumhuriyeti vatandaşları için T.C. kimlik numarası, yabancılar için uyruğu,
- Pasaport numarası veya varsa kimlik numarası,
- Tebligata esas yerleşim yeri veya iş yeri adresi,
- Varsa bildirime esas elektronik posta adresi, telefon ve faks numarası,
- Talep konusu,
- Varsa konuya ilişkin ayrıca bilgi ve belgeler.
9.1.3 Kişisel Veri Sahibinin Kurul’a Şikâyette Bulunma Hakkı
Kişisel Veri Sahibi, Kanun’un 14. maddesi uyarınca başvurunun süresi içerisinde reddedilmesi veya verilen cevabın yetersiz bulunması veya Pfizer tarafından cevap verme süresi içerisinde başvuruya cevap verilmemesi durumunda; Pfizer’in cevabını öğrendiği tarihten itibaren otuz (30) ve her halde başvuru tarihinden itibaren altmış (60) gün içinde Kurul’a şikâyette bulunabilir.
9.2 Pfizer’in Başvurulara Cevap Verme Süreci
Pfizer’e yalnızca Pfizer’in Kanun kapsamında veri sorumlusu sayıldığı durumlarda başvuru yapılması gerekmektedir. Bu durum, Pfizer’in doğrudan ilgili kişiden kişisel veri topladığı ya da ilgili Pfizer Grup Şirketleri ile Pfizer arasındaki veri paylaşımının Kanun kapsamında veri sorumlusundan veri sorumlusuna veri transferi sayıldığı durumlarda mevcut olabilmektedir. Bunlar dışında, Pfizer Grup Şirketi’nin veri sorumlusu sayıldığı kişisel veri işleme faaliyetleri ile ilgili başvuruların Pfizer’e değil, ilgili Pfizer Grup Şirketi’ne yapılması gerekmektedir.
Kişisel veri sahibinin, işbu Politika’nın 9.1.3. maddesinde açıklanan usule uygun olarak talebini Pfizer’e iletmesi durumunda Pfizer talebin niteliğine göre en geç otuz (30) gün içinde ilgili talebi ücretsiz olarak sonuçlandıracaktır. Ancak, Kurul tarafından bir ücret öngörülmesi halinde, Pfizer tarafından başvuru sahibinden Kurul tarafından belirlenen tarifedeki ücret alınacaktır. 10 Mart 2018 tarihli 30356 sayılı Resmi Gazete’de yayımlanan “Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ”in 7. maddesi uyarınca Kişisel Veri Sahibinin talebine yazılı olarak cevap verilmesi halinde, ilgili cevap 10 (on) sayfa veya daha fazla ise her sayfa için 1 Türk Lirası ücret alınabilecektir. Başvuruya CD, flash bellek gibi kayıt ortamında cevap verilmesi halinde, Pfizer’in talep edeceği ücret kayıt ortamının maliyetini geçmeyecektir.
Pfizer, başvuruda bulunan kişinin kişisel veri sahibi olup olmadığını tespit etmek adına ilgili kişiden bilgi talep edebilir, başvurusu ile ilgili soru yöneltebilir. Pfizer aşağıda yer alan hallerde başvuruda bulunan kişinin başvurusunu, gerekçesini açıklayarak reddedebilir:
- Kişisel verilerin resmi istatistik ile anonim hale getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi,
- Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç̧ teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi,
- Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş̧ kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi,
- Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi,
- Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması,
- Kişisel veri sahibi tarafından kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi,
- Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması,
- Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması,
- Kişisel veri sahibinin talebinin diğer kişilerin hak ve özgürlüklerini engelleme ihtimali olması,
- Orantısız çaba gerektiren taleplerde bulunulmuş olması,
- Talep edilen bilginin kamuya açık bir bilgi olması.
10. PFİZER’İN KİŞİSEL VERİLERİ N KORUNMASI VE İŞLENMESİ KONUSUNDA DİĞER İÇ POLİTİKALARI
Pfizer, işbu Politika ile ortaya koymuş olduğu esasların ilişkili olduğu kişisel verilerin korunması ve islenmesi konusunda iç kullanıma yönelik alt politikalar oluşturmaktadır.
11. PFİZER KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASI YÖNETİMİ
Pfizer tarafından Kanun düzenlemelerine uygun hareket edilmesi ve Kişisel Verilerin Korunması ve İşlenmesi Politikasının yürürlüğünü sağlamak için yönetim ekibi oluşturulmuştur. Bu kapsamda, Pfizer bünyesinde işbu Politika ve bu Politika’ya bağlı ve ilişkili 10. maddede belirtilen diğer politikaların uygulanmasını ve yönetimini sağlamak amacıyla Şirket Yönetiminin kararı gereğince bir veri sorumlusu temsilcisi, bir irtibat kişisi ve bir bilişim teknoloji uzmanı, bir hukukçu olmak üzere 4 kişiden oluşan Pfizer Veri Koruma Kurulu atamıştır. Pfizer Veri Koruma Kurulu’nun görevleri aşağıdaki gibidir:
- Kişisel verilerin korunması ve işlenmesi ile ilgili temel politikaları ve gerektiğinde değişiklikleri hazırlamak ve yürürlüğe koymak ve Şirket Yönetimi’nin onayına sunmak,
- Kişisel verilerin korunması ve işlenmesine ilişkin politikaların uygulanması ve denetiminin ne şekilde yerine getirileceğine karar vermek ve bu çerçevede şirket içi görevlendirmede bulunulması ve koordinasyonun sağlanması hususlarını Şirket Yönetiminin onayına sunmak,
- Kanun ve ilgili mevzuata uyumun sağlanması için yapılması gereken hususları tespit etmek ve Şirket Yönetiminin onayına sunmak, uygulanmasını gözetmek ve koordinasyonunu sağlamak üzere Şirket Yönetimi’ne iletmek,
- Kişisel verilerin korunması ve işlenmesi konusunda Pfizer içerisinde ve Pfizer’in iş birliği içerisinde olduğu kurumlar nezdinde farkındalığı arttırmak,
- Pfizer’in kişisel veri işleme faaliyetlerinde oluşabilecek riskleri tespit ederek gerekli önlemlerin alınmasını temin etmek; iyileştirme önerilerini Şirket Yönetiminin onayına sunmak,
- Kişisel verilerin korunması ve politikaların uygulanması ve yayılımı konusunda, kişisel veri sahiplerinin kişisel veri işleme faaliyetleri ve kanuni hakları konusunda bilgilendirilmelerinin sağlanması yönünde eğitimler düzenlenmesini sağlamak,
- Kişisel veri sahiplerinin başvurularını karara bağlamak üzere Şirket Yönetimi’ne iletmek,
- Kişisel verilerin korunması konusundaki gelişmeleri ve düzenlemeleri takip etmek; bu gelişmelere ve düzenlemelere uygun olarak Pfizer içinde yapılması gerekenler konusundaki önerilerini Şirket Yönetimi’ne iletmek,
- Kurul ve Kurum ile olan ilişkileri Şirket Yönetimi’nin koordinasyonunda yürütmek,
- Şirket Yönetimi’nin kişisel verilerin korunması konusunda vereceği diğer görevleri icra etmektir.
EK 1- KISALTMALAR VE TANIMLAR
Kanun: 7 Nisan 2016 tarihli ve 29677 sayılı Resmi Gazete’de yayımlanan, 24 Mart 2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanunu’nu ifade eder.
Kurul: Kişisel Verileri Koruma Kurulu’nu ifade eder.
Kurum: Kişisel Verileri Koruma Kurumu’nu ifade eder.
Şirket: Pfizer PFE İlaçları Anonim Şirketi’dir.
Kişisel veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü̈ bilgidir. Dolayısıyla tüzel kişilere ilişkin bilgilerin işlenmesi Kanun kapsamında değildir. (Örneğin; ad-soyad, TCKN, e-posta, adres, doğum tarihi, kredi kartı numarası vb.)
Kişisel veri sahibi: Kişisel verisi işlenen gerçek kişidir. (Örneğin; çalışan adayları, doktorlar, Pfizer İş Ortakları, vb.)
Özel nitelikli kişisel veri: Irk, etnik köken, siyasi düşünce, felsefi inanç̧, din, mezhep veya diğer inançlar, kılık kıyafet, dernek vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir.
Kişisel verilerin işlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemdir.
Açık rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızadır.
Anonim hale getirme: Kişisel verinin, kişisel veri niteliğini kaybedecek ve bu durumun geri alınamayacağı şekilde değiştirilmesidir. (Örneğin, maskeleme, toplulaştırma, veri bozma vb. tekniklerle kişisel verinin bir gerçek kişi ile ilişkilendirilemeyecek hale getirilmesidir.)
İmha: Kişisel verilerin, silinmesi, yok edilmesi veya anonim hale getirilmesidir.
Veri işleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel veri işleyen gerçek ve tüzel kişidir. (Örneğin, Pfizer’in verilerini tutan bulut bilişim firması, vb.)
Veri sorumlusu: Kişisel verilerin işlenme amaçlarını ve vasıtalarını belirleyen, verilerin sistematik bir şekilde tutulduğu veri kayıt sistemini yöneten kişidir. İrtibat Kişisi: Türkiye’de yerleşik olan tüzel kişiler ile Türkiye’de yerleşik olmayan tüzel kişi veri sorumlusu temsilcisinin Kanun ve bu Kanuna dayalı olarak çıkarılacak ikincil düzenlemeler kapsamındaki yükümlülükleriyle ilgili olarak, Kurum ile kurulacak iletişim için veri sorumlusu tarafından Sicile kayıt esnasında bildirilen gerçek kişidir.
Üçüncü Kişi: Kişisel verileri Politika kapsamında işlenen herhangi bir gerçek kişidir. (Örneğin, yan etki bildiriminde bulunan kişiler, vb.).
Başvuru Formu: Kişisel veri sahiplerinin haklarını kullanmak için yapacakları başvuruyu içeren Kanun gereğince kişisel veri sahibi veya temsilcisi tarafından Veri sorumlusuna yapılacak başvurulara ilişkin Pfizer internet sitesinden (www.pfizer.com.tr) ulaşılabilen başvuru formudur.
Pfizer Grup Şirketleri: Pfizer PFE İlaçları Anonim Şirketi’nin doğrudan ya da dolaylı olarak bağlı olduğu diğer tüm şirketlerdir (Örneğin, iştirak, ortak, vb.).
Pfizer Web Siteleri ve Aplikasyonları: Pfizer’e ait tüm web siteleri ve aplikasyonlardır.
Çalışan Adayı: Pfizer’e herhangi bir yolla iş başvurusunda bulunmuş ya da özgeçmiş ve ilgili bilgilerini Pfizer’in incelemesine açmış olan gerçek kişilerdir.
İş birliği İçinde Olduğumuz Kurum Yetkilileri ve Çalışanları: Pfizer’in her türlü iş ilişkisi içerisinde bulunduğu kurumların (hastaneler, bakanlıklar, danışmanlar, dernekler gibi, ancak bunlarla sınırlı olmaksızın) hissedarları, yetkilileri ve çalışanları olmak üzere gerçek kişilerdir.
Tedarikçi: Pfizer’in ticari faaliyetlerini yürütürken Pfizer’in emir ve talimatlarına uygun olarak sözleşme temelli olarak Pfizer’e hizmet sunan tüzel veya gerçek kişilerdir.
Tedarikçi Yetkilileri ve Çalışanları: Tedarikçilerin hissedarları, yetkilileri ve çalışanları olmak üzere gerçek kişilerdir.
İş Ortakları: Pfizer’in ticari faaliyetlerinin yürütülmesi gibi amaçlarla iş ortaklığı kurduğu taraflardır.
İş Ortakları Yetkilileri ve Çalışanları: İş Ortakları’nın hissedarları, yetkilileri ve çalışanları olmak üzere gerçek kişilerdir.
Sağlık Meslek Mensupları (“SMM”): Pfizer’in kamu sağlığını korumak ve kamuyu bilgilendirmek amacıyla iş birliği içerisinde olduğu tabip, diş tabibi, eczacı, hemşire, ebe ve optisyen ile 1219 sayılı Kanunun ek 13 üncü maddesinde tanımlanan diğer meslek mensupları gerçek kişilerdir.
Hasta: Sağlık hizmetlerinden faydalanma ihtiyacı bulunan ve Pfizer ilaçlarını kullanan ve/veya klinik araştırmalara katılan gerçek kişilerdir. (Örneğin, yan etki bildiriminde bulunan hastalar)
Ziyaretçi: Pfizer’in iş yerlerinde çeşitli amaçlarla fiziksel olarak bulunmuş olan veya internet sitelerini ziyaret eden gerçek kişiler.
Web Sitesi ve Aplikasyon Kullanıcısı: Pfizer’in web sitelerini ve/veya aplikasyonlarını ziyaret eden ve/veya üye olan gerçek kişilerdir.
Pfizer Merkez Binası: İstanbul Şişli’de bulunan Pfizer binasıdır.
Şirket Yetkilisi: Pfizer yönetim kurulu üyesi ve diğer yetkili gerçek kişiler.
SSL: Güvenli giriş katmanını ifade eder. Sunucu ile istemci arasında alan verinin güvenliğini ve bütünlüğünü mümkün kılan sertifikadır.
Güvenli Elektronik İmza: Münhasıran imza sahibine bağlı olan, sadece imza sahibinin tasarrufunda bulunan güvenli elektronik imza oluşturma aracı ile oluşturulan, nitelikli elektronik sertifikaya dayanarak imza sahibinin kimliğinin tespitini sağlayan, imzalanmış elektronik veride sonradan herhangi bir değişiklik yapılıp yapılmadığının tespitini sağlayan elektronik imzadır.
Kayıtlı Elektronik Posta (KEP): Elektronik iletilerin, gönderimi ve teslimatı da dahil olmak üzere kullanımına ilişkin olarak hukuki delil sağlayan, elektronik postanın nitelikli şeklidir.
Mobil İmza: Mobil bir cihaz kullanılarak oluşturulan elektronik imzadır..