Ekiz Ağız ve Diş Sağlığı Polikliniği | İstanbul | Maslak | Sarıyer

MAP

Ayazağa Mah. Kemerburgaz Cd. No:10/A İç kapı no:100 34396 Vadikoru Sarıyer Istanbul

ONLINE RANDEVU

KİŞİSEL VERİLERİN İŞLENMESİ VE
KORUNMASI POLİTİKASI

KİŞİSEL VERİ SAKLAMA VE İMHA POLİTİKASI

ÇEREZ AYDINLATMA METNİ

KİŞİSEL VERİLERİN İŞLENMESİ VE KORUNMASI POLİTİKASI

1.     POLİTİKANIN AMACI VE KAPSAMI

Kişisel verilerin hukuka uygun olarak işlenmesi ve korunması, veri sorumlusu Ekiz Ağız ve Diş Sağlığı Ltd. Şti. için büyük önem arz etmektedir. Kişisel veri işleme faaliyetlerinin 6698 sayılı Kişisel Verilerin Korunması Kanunu ve bu kanun kapsamında çıkarılan yönetmelik, genelge, yönergelere uygunluğunu sağlamak, şirketi bir bütün olarak KVKK mevzuatına uyumlu hale getirmek amacıyla işbu Kişisel Verilerin İşlenmesi ve Korunması Politikası (“Politika”) hazırlanmıştır. Ayrıca işbu Politika ile kişisel veri işleme, saklama ve güvenliğini sağlama süreçlerinin ilke, usul ve esasları belirlenmiştir.

2.     TANIMLAR

Bu Politikada yer verilen hukuki ve teknik terimlerden;

 

Açık Rıza

Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı,

İlgili Kullanıcı

Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişileri,

İmha

Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesini,

Kanun

24.3.2016 Tarihli ve 6698 Sayılı Kişisel Verilerin Korunması Kanununu,

Kayıt ortamı

Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortamı,

Kişisel Veri

Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi,

Kişisel Verilerin

İşlenmesi

Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi,

Kişisel Verilerin

Silinmesi

Kişisel verilerin silinmesi; kişisel verilerin İlgili Kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesini,

Kişisel Verilerin

Yok Edilmesi

Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemini,

Kurul

Kişisel Verileri Koruma Kurulunu,

Özel Nitelikli Kişisel

Veri

Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri,

Periyodik İmha

Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemini,

İlgili Kişi / Veri Sahibi

Kişisel verisi işlenen gerçek kişiyi,

Veri Sorumlusu

Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi

 

İfade eder

3.     KİŞİSEL VERİLERİN İŞLENMESİ

3.1   Kişisel Verilerin İşlenmesinde Uyulan Temel İlkeler

Kanunda belirtilen temel ilkelere uygun şekilde kişisel veri işlenecektir. Bu kapsamda Kişisel veriler;

  • Hukuka ve dürüstlük kuralına uygun işlenecektir.
  • Kişisel verilerin doğru ve gerektiğinde güncel olması sağlanacaktır.
  • Belirli, açık ve meşru amaçlar için işlenecektir.
  • İşlendikleri yasal amaçla bağlantılı, sınırlı ve ölçülü olarak kullanılacak ve açıklanacaktır.
  • İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilecektir.

3.2   Kişisel Verilerin İşlenme Şartları

Özel nitelikli olmayan Kişisel veriler aşağıdaki hukuki sebeplerin en az birinin varlığı halinde veya ilgili kişinin açık rızası alınarak işlenebilecektir.

  • Kanunlarda açıkça öngörülmesi
  • Sözleşmenin ifası için tarafların verilerinin işlenmesinin gerekli olması
  • Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması
  • Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması
  • İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması

3.3   Özel Nitelikli Kişisel Verilerin İşlenmesi

Özel nitelikli kişisel veriler işlenirken uyulacak usul ve esaslar işletmemiz tarafından hazırlanarak yayınlanan Özel Nitelikli Kişisel Verilerin İşlenmesi Politikası’nda ayrıntılı olarak açıklanmıştır. Özel Nitelikli Kişisel Verilerin İşlenmesi Politikası’na http://ekizclinic.com/  internet sitemizden ulaşabilirsiniz.

3.4  Kişisel Veri Sahibi İlgili Kişinin Aydınlatılması

İlgili kişiler Kanun’a uygun olarak aydınlatılmaktadır. Bu kapsamda veri sorumlusunun kimliği, kişisel verinin hangi amaçlarla işleneceği, kimlere aktarılacağı, hangi yöntemle toplandığı ve hukuki sebebi ve ilgili kişinin aşağıda belirtilen hakları konusunda ilgili kişiler bilgilendirilmektedir.

İlgili Kişilerin Hakları;

  • Kişisel veri işlenip işlenmediğini öğrenme,
  • Kişisel veriler işlenmişse buna ilişkin bilgi talep etme,
  • Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
  • Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
  • Kişisel verilerin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini isteme,
  • Kanun’un 7. Maddesinde öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme,
  • Kişisel verilerle ilgili yapılan güncellemeler veya silme işlemlerinin aktarılan üçüncü kişilere bildirilmesini isteme,
  • İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
  • Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması halinde zararın giderilmesini talep etme.

İlgili kişiler, Kanunun 11. maddesi kapsamındaki haklarını http://ekizclinic.com/ internet sitemizden ulaşılabilecekleri İlgili Kişi Başvuru Formu’nu eksiksiz doldurularak, yazılı olarak Ayazağa Mah. Kemerburgaz Cad. No:10/A İç Kapı No :100 Sarıyer/ İSTANBUL adresimize göndererek ya da tarafımıza önceden bildirmiş oldukları ve sistemimizde kayıtlı bulunan elektronik posta adresi üzerinden info@ekizclinic.com e-posta adresimize ileterek talep edebilirler.

 

Başvurulara en kısa sürede ve en geç 30 (otuz) gün içerisinde ücretsiz olarak yanıt verilecektir.

4.     KİŞİSEL VERİLERİN İŞLENME AMAÇLARI

Kanun’un 4. maddesinde düzenlenen temel ilkelere uygun olarak ve Kanun’un 5. Ve 6. Maddelerinde belirtilen kişisel veri ve özel nitelikteki kişisel veri işleme şartlarından en az birine dayanarak aşağıda sayılan amaçlarla işlenmektedir.

  • Acil durum yönetimi süreçlerinin yürütülmesi
  • Bilgi güvenliği süreçlerinin yürütülmesi
  • Çalışan adaylarının başvuru süreçlerinin yürütülmesi
  • Çalışanlar için iş akdi ve mevzuattan kaynaklı yükümlülüklerin yerine getirilmesi
  • Çalışanlar için yan haklar ve menfaatleri süreçlerinin yürütülmesi
  • Eğitim faaliyetlerinin yürütülmesi
  • Erişim yetkilerinin yürütülmesi
  • Faaliyetlerin mevzuata uygun yürütülmesi
  • Finans ve muhasebe işlerini yürütülmesi
  • Fiziksel mekân güvenliğinin temini
  • Görevlendirme süreçlerinin yürütülmesi
  • Hukuki işlerin takibi ve yürütülmesi
  • İletişim faaliyetlerinin yürütülmesi
  • İnsan kaynakları süreçlerinin planlanması
  • İş sağlığı ve güvenliği faaliyetlerinin yürütülmesi
  • İş süreçlerinin iyileştirilmesine yönelik önerilerin alınması ve değerlendirilmesi
  • Performans değerlendirme süreçlerini yürütülmesi
  • Saklama ve arşiv faaliyetlerini yürütülmesi
  • Sözleşme süreçlerinin yürütülmesi
  • Talep ve şikayetlerin takibi
  • Taşınır mal ve kaynakların güvenliğinin temini
  • Veri sorumlusu operasyonlarının güvenliğinin temini
  • Yetenek ve kariyer gelişimi faaliyetlerini yürütülmesi
  • Yetkili kişi, kurum ve kuruluşlara bilgi verilmesi
  • Tanıtım faaliyetlerinin yürütülmesi, amaçlarıyla sınırlı olarak işlenmektedir.

5.     KİŞİSEL VERİLERİN SAKLANMA SÜRESİ VE İMHASI

Kanun ve Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik hükümlerine uygun olarak, kişisel verileri işlendikleri amaç için gerekli olan süre ve ilgili faaliyetin tabi olduğu yasal mevzuatta öngörülen sürelere uygun olarak saklanmaktadır.

Öncelikle ilgili mevzuatta kişisel verilerin saklanması için bir süre öngörülüp öngörülmediğini tespit edilmekte, mevzuatta bir süre belirlenmişse bu süreye kadar, yasal bir süre mevcut değil ise işlendikleri amaç için gerekli olan süre kadar saklanmaktadır.

Belirtilen kriterlere uygun olarak her bir kişisel veri kategorisi için ayrı olarak belirlenmiş saklama süreleri aşağıda tablo halinde gösterilmiştir. Kişisel veriler bu sürelerin sonundan itibaren altı aylık periyodik imha sürelerinde veya ilgili kişinin başvurması durumunda en geç otuz gün içinde belirlenen imha yöntemleri ile imha etmektedir.

 

Kişisel verilerin saklanma süreleri;

 

İŞLENEN VERİ

İLGİLİ KİŞİ KATEGORİSİ

SAKLAMA SÜRESİ

Kimlik Bilgileri

Çalışan

Aktif istihdam ilişkisi sonlandıktan sonra 15 yıl

Çalışan Adayı

İş başvurusu olumsuz sonuçlanması halinde saklanmaz

Hasta

Tedavi bitimi itibariyle 20 yıl

Refakatçi

Hizmet süresince

Dışardan Hizmet Veren Gerçek Kişiler

Hizmet bitiminden itibaren 10 yıl

İletişim Bilgileri

Çalışan

Aktif istihdam ilişkisi sonlandıktan sonra 15 yıl

Çalışan Adayı

İş başvurusu olumsuz sonuçlanması halinde saklanmaz

Hasta

Tedavi bitimi itibariyle 20 yıl

Refakatçi

Hizmet süresince

Dışardan Hizmet Veren Gerçek Kişiler

Hizmet bitiminden itibaren 10 yıl

Kişisel Sağlık Verisi

Çalışan

Aktif istihdam ilişkisi sonlandıktan sonra 15 yıl

Çalışan Adayı

İş başvurusu olumsuz sonuçlanması halinde saklanmaz

Hasta

Tedavi bitimi itibariyle 20 yıl

Ceza Mahkûmiyeti ve Güvenlik Tedbirleri Bilgileri

Çalışan

Aktif istihdam ilişkisi sonlandıktan sonra 10 yıl

Çalışan Adayı

İş başvurusu olumsuz sonuçlanması halinde saklanmaz

Özlük

 

Çalışan

Aktif istihdam ilişkisi sonlandıktan sonra 10 yıl

Çalışan Adayı

İş başvurusu olumsuz sonuçlanması halinde saklanmaz

Hukuki İşlem

Çalışan ve Hasta

Hukuki sürecin sonlanmasından itibaren 10 yıl

İşlem Güvenliği

Çalışan ve Hasta

2 yıl

Müşteri İşlem

Hasta

20 yıl

Dışardan Hizmet Veren Gerçek Kişiler

Hizmet bitiminden itibaren 10 yıl

Finans

Hasta

20 yıl

Kamera Kayıtları

Bütün Kişi Grupları İçin

2 ay

Mesleki Deneyim

 

Çalışan

Aktif istihdam ilişkisi sonlandıktan sonra 10 yıl

Çalışan Adayı

İş başvuru süreci olumsuzsa saklanmaz

Görsel ve İşitsel Kayıtlar

 

Çalışan

Aktif istihdam ilişkisi sonlandıktan sonra 15 yıl

Çalışan Adayı

İş başvuru süreci olumsuzsa saklanmaz

Referans Bilgisi

Çalışan Adayı

İş başvuru süreci olumsuzsa saklanmaz

Sigara Kullanım Bilgisi

Çalışan Adayı

İş başvuru süreci olumsuzsa saklanmaz

Aile Bilgisi

Çalışan

Aktif istihdam ilişkisi sonlandıktan sonra 10 yıl

    

6.     KİŞİSEL VERİLERİN AKTARILMASI

6.1   Kişisel Verilerin Yurt İçine Aktarılması

İşlenen kişisel veriler aşağıda belirtilen 3. kişilere aktarılabilecektir.

Bünyemizde çalışan personelin kişisel verileri;

  • Hukuki uyuşmazlık durumunda talep halinde talep edilen kişisel verilerle sınırlı olarak adli makamlar ve taraf avukatlarına
  • Kimlik ve iletişim bilgileri hukuki yükümlülüklerin takibi amacıyla yetkili mali müşavire
  • Kimlik ve finans bilgileri maaş ödemesi yapılması amacıyla anlaşmalı bankaya
  • Kimlik bilgileri Bireysel Emeklilik Sistemi için özel sigorta şirketine
  • Kimlik, iletişim, sağlık, fotoğraf, diploma ve ceza mahkumiyeti verileri personel çalışma belgesi başvurusu amacıyla ilçe/il sağlık müdürlüğüne
  • Kimlik ve unvan bilgileri Sağlık Bakanlığı bünyesindeki Sağlık Personeli Takip Sistemine
  • Kimlik bilgileri, işe giriş bildirgesi amacıyla Sosyal Güvenlik Kurumu’na
  • Kimlik ve finans bilgileri vergi beyannamesi için vergi dairesine
  • Kimlik ve aile bilgileri asgari geçim indirimi için vergi dairesine
  • Arşivleme amacıyla işyeri bilgisayar programlarının geliştiricisi olan yazılım firmasına

Hizmet alan hastaların kişisel verileri;

  • Hukuki uyuşmazlık durumunda talep halinde talep edilen kişisel verilerle sınırlı olarak adli makamlar ve taraf avukatlarına
  • Kimlik, iletişim, sağlık ve refakatçi bilgileri hastanın sevki durumunda sevk edilecek sağlık kuruluşuna
  • Özel Hastaneler Yönetmeliği gereği hasta dosyalarının arşivlenmesi amacıyla hasta kayıt programının geliştiricisi olan yazılım firmasına

 

Hizmet veren gerçek kişilerden elde edilen kişisel veriler;

  • Hukuki uyuşmazlık durumunda talep halinde adli makamlar ve taraf avukatları
  • Kanuni yükümlülükler gereği yetkili mali müşavir,
  • Ödemeler için anlaşmalı banka
  • Arşivleme için işyeri bilgisayar programlarının geliştiricisi olan yazılım firması

Diğer kişi gruplarından elde edilen kişisel veriler;

Hukuki uyuşmazlık durumunda talep halinde adli makamlar ve taraf avukatlarına aktarılabilecektir.

7.     KİŞİSEL VERİLERİN KORUNMASI

İşletmemiz, Kanun’un 12. Maddesinde belirtildiği gibi;

  • Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
  • Kişisel verilerin hukuka aykırı olarak erişilmesini önlemek,
  • Kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirleri almakta ve alınan tedbirlerin uygulanması için gerekli denetimleri yapmakta veya yaptırmaktadır.

7.1   Kişisel Verilerin Korunması İçin Alınan Tedbirler

1.1   İdari Tedbirler

  • Çalışanlar için veri güvenliği hükümleri içeren disiplin düzenlemeleri mevcuttur.
  • Çalışanlar için veri güvenliği konusunda belli aralıklarla eğitim ve farkındalık çalışmaları yapılmaktadır.
  • Erişim, bilgi güvenliği, kullanım, saklama ve imha konularında kurumsal politikalar hazırlanmış ve uygulamaya başlanmıştır.
  • Gizlilik taahhütnameleri yapılmaktadır.
  • İmzalanan sözleşmeler veri güvenliği hükümleri içermektedir.
  • Kâğıt yoluyla aktarılan kişisel veriler için ekstra güvenlik tedbirleri alınmakta ve ilgili evrak gizlilik dereceli belge formatında gönderilmektedir.
  • Kişisel veri güvenliği politika ve prosedürleri belirlenmiştir.
  • Kişisel veri güvenliği sorunları hızlı bir şekilde raporlanmaktadır.
  • Kişisel veri güvenliğinin takibi yapılmaktadır.
  • Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmaktadır.
  • Kişisel veri içeren fiziksel ortamların dış risklere (yangın, sel vb.) karşı güvenliği sağlanmaktadır.
  • Kişisel veri içeren ortamların güvenliği sağlanmaktadır.
  • Kişisel veriler mümkün olduğunca azaltılmaktadır.
  • Kurum içi periyodik ve/veya rastgele denetimler yapılmakta ve yaptırılmaktadır.
  • Özel nitelikli kişisel veri güvenliğine yönelik protokol ve prosedürler belirlenmiş ve uygulanmaktadır.
  • Özel nitelikli kişisel veriler elektronik posta yoluyla gönderilecekse mutlaka şifreli olarak ve KEP veya kurumsal posta hesabı kullanılarak gönderilmektedir.
  • Özel nitelikli kişisel verilere erişim yetkisine sahip kullanıcıların, yetki kapsamları ve süreleri net olarak tanımlanmaktadır.
  • Görev değişikliği olan ya da işten ayrılan çalışanların kendisine tahsis edilmiş envanter iade alınmaktadır.
  • Kişisel veri envanteri hazırlanmıştır.
  • Periyodik aralıklarla silme, yok etme veya anonim hale getirme işlemleri yapılmaktadır.

1.2   Teknik Tedbirler

  • Ağ güvenliği ve uygulama güvenliği sağlanmaktadır.
  • Bilgi teknolojileri sistemleri tedarik, geliştirme ve bakımı kapsamındaki güvenlik önlemleri alınmaktadır.
  • Çalışanlar için yetki matrisi oluşturulmuştur.
  • Erişim logları düzenli olarak tutulmaktadır.
  • Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır.
  • Güncel anti-virüs sistemleri kullanılmaktadır.
  • Güvenlik duvarları kullanılmaktadır.
  • Kullanıcı hesap yönetimi ve yetki kontrol sistemi uygulanmakta olup bunların takibi de yapılmaktadır.
  • Log kayıtları kullanıcı müdahalesi olmayacak şekilde tutulmaktadır.
  • Özel nitelikli kişisel veriler için güvenli şifreleme / kriptografik anahtarlar kullanılmakta ve farklı birimlerce yönetilmektedir.
  • Siber güvenlik önlemleri alınmış olup uygulanması sürekli takip edilmektedir.
  • Taşınabilir bellek, CD, DVD ortamında aktarılan özel nitelikli kişiler veriler şifrelenerek aktarılmaktadır.
  • Özel nitelikli kişisel verilere erişimi olan çalışanların periyodik olarak yetki kontrolleri gerçekleştirilmektedir.
  • Verilerin bulunduğu ortamlara ait güvenlik güncellemeleri sürekli takip edilmekte, gerekli güvenlik testleri düzenli olarak yapılmakta veya yaptırılmakta ve test sonuçları kayıt altına alınmaktadır.
  • Özel nitelikli kişisel verilere erişim yapılan yazılımların güvenlik testleri düzenli olarak yaptırılmaktadır ve test sonuçları kayıt altına alınmaktadır.
  • Özel nitelikli kişisel verilere uzaktan erişimlerde iki kademeli kimlik doğrulama sistemi kullanılmaktadır.
  • Farklı fiziksel ortamlardaki sunucular arasında kişisel sağlık verisi aktarımı yapılacaksa sunucular arasında VPN kurularak veya sFTP yöntemleriyle aktarım yapılmaktadır.
  • Dijital ortamda saklanan kişisel veriler için periyodik aralıklarla silme, yok etme veya anonim hale getirme işlemleri yapılmaktadır.

7.2   Veri İhlali Durumunda Alınacak Tedbirler

İşletmemiz tarafından işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde işletmemiz ihlali öğrenmesinden itibaren bu durumu en kısa süre içerisinde veri sahibine ve Kurul’a bildirecektir.

İşletmemiz tarafından söz konusu ihlalden etkilenen kişilerin belirlenmesine müteakip ilgili kişilere de makul olan en kısa süre içerisinde, ilgili kişinin iletişim adresine ulaşılabiliyorsa doğrudan, ulaşılamıyorsa http://ekizclinic.com/ web sitesi üzerinden yayınlanacaktır.

 

İlgili kişiye yapılacak olan ihlal bildiriminde;

  • İhlalin ne zaman gerçekleştiği,
  • Hangi kişisel verilerin ihlalden etkilendiği,
  • İhlalin olası sonuçları,
  • İhlalin etkilerinin azaltılması için alınan veya alınması önerilen tedbirler,
  • İlgili kişinin veri ihlali ile ilgili bilgi almasını sağlayacak irtibat kişisinin isim ve iletişim detaylarına yer verilecektir.

8.     KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ SÜREÇLERİ KOORDİNASYONU

Kişisel verilerin korunması ve işlenmesi süreçlerinin koordinasyonunu Mesul Müdür yapar.

9.     POLİTİKADA YAPILAN GÜNCELLEMELER

İşletmemiz, mevzuatın değişmesi sebebiyle, Kurul kararları uyarınca ya da sektördeki ya da bilişim alanındaki gelişmeler doğrultusunda işbu Kişisel Verilerin İşlenmesi ve Korunması Politikasında değişiklik yapma hakkına sahiptir. Bu kapsamda yapılan değişiklikler derhal metne işlenir ve değişikliklere ilişkin açıklamalar aşağıda düzenlenen güncellemeler tablosuna eklenir.

 

Güncellemeler Tablosu

07.01.2021

Kişisel Verilerin İşlenmesi ve Korunması Politikası yürürlüğe girmiştir.

 

10.  SON HÜKÜMLER

İşbu Kişisel Verilerin İşlenmesi ve Korunması Politikası, Veri Sorumlusu tarafından hazırlanmış olup, http://ekizclinic.com/ internet sitesinde duyurulmuştur.

 

KİŞİSEL VERİ SAKLAMA VE İMHA POLİTİKASI

1.   GİRİŞ

1.1  Amaç

Kişisel Verileri Saklama ve İmha Politikası (“Politika”), Ekiz Ağız ve Diş Sağlığı Ltd. Şti. tarafından veri sorumlusu olarak gerçekleştirilmekte olan kişisel veri saklama ve imha faaliyetlerine ilişkin iş ve işlemler konusunda usul ve esasları belirlemek amacıyla hazırlanmıştır.

İşletmemiz; Hukuka uygun misyon, vizyon ve temel ilkeler doğrultusunda; hastalar, refakatçiler, personeller, personel adayları ve hizmet verenlere ait kişisel verilerin T.C. Anayasası, uluslararası sözleşmeler, 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) ve diğer ilgili mevzuata uygun olarak işlenmesini ve ilgili kişilerin haklarını etkin bir şekilde kullanmasının sağlanmasını öncelik olarak belirlemiştir.

Kişisel verilerin saklanması ve imhasına ilişkin iş ve işlemler, bu doğrultuda hazırlanmış olan Politikaya uygun olarak gerçekleştirilir.

1.2  Kapsam

Hastalar, refakatçiler, personeller, personel adayları ve hizmet verenlere ait kişisel veriler bu Politika kapsamında olup işletmemizin yönettiği kişisel verilerin işlendiği tüm kayıt ortamları ve kişisel veri işlenmesine yönelik faaliyetlerde bu Politika uygulanır.

1.3  Kısaltmalar ve Tanımlar

Bu Politikada yer verilen hukuki ve teknik terimlerden;

Alıcı Grubu

Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisi

Açık Rıza

Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı,

Anonim Hale Getirme

Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi işlemini,

Çalışan

İşletme personelini,

EBYS

Elektronik Belge Yönetim Sistemini,

Elektronik Ortam

Kişisel verilerin elektronik aygıtlar ile oluşturulabildiği, okunabildiği, değiştirilebildiği ve yazılabildiği ortamlar

Elektronik Olmayan Ortam

Elektronik ortamların dışında kalan tüm yazılı, basılı, görsel vb. diğer ortamları,

Hizmet Sağlayıcı

İşletmemiz ile belirli bir sözleşme çerçevesinde hizmet sağlayan gerçek veya tüzel kişi

İlgili Kişi

Kişisel verisi işlenen gerçek kişiyi,

İlgili Kullanıcı

Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişileri,

İmha

Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesini,

Kanun

24.3.2016 Tarihli ve 6698 Sayılı Kişisel Verilerin Korunması Kanununu,

Kayıt ortamı

Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortamı,

Kişisel Veri

Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi,

Kişisel Veri İşleme Envanteri

Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak

detaylandırdıkları envanteri,

Kişisel Verilerin

İşlenmesi

Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi,

Kurul

Kişisel Verileri Koruma Kurulunu,

Özel Nitelikli Kişisel

Veri

Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri,

Periyodik İmha

Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemini,

Politika

Kişisel Verileri Saklama ve İmha Politikasını,

Veri İşleyen

Veri sorumlusunun verdiği yetkiye dayanarak veri sorumlusu adına kişisel verileri işleyen gerçek veya tüzel kişiyi,

Veri Kayıt Sistemi

Kişisel verilerin          belirli  kriterlere         göre yapılandırılarak işlendiği kayıt sistemini,

VERBİS

Veri Sorumluları Sicil Bilgi Sistemini,

Veri Sorumlusu

Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi,

Yönetmelik

28 Ekim 2017 tarihli Resmi Gazete’de yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmeliği,

 

İfade eder.

2.   SAKLAMA VE İMHAYA İLİŞKİN AÇIKLAMALAR

İşletmemiz tarafından işlenen kişisel veriler Kanuna uygun olarak saklanır ve imha edilir.

Bu kapsamda saklama ve imhaya ilişkin detaylı açıklamalara aşağıda sırasıyla yer verilmiştir.

2.1  Saklamaya İlişkin Açıklamalar

Kanunun 3. maddesinde kişisel verilerin işlenmesi kavramı tanımlanmış, 4. maddesinde işlenen kişisel verinin işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli süre kadar muhafaza edilmesi gerektiği belirtilmiş, 5. ve 6. maddelerde ise kişisel verilerin işleme şartları sayılmıştır.

Buna göre, kişisel veriler, ilgili mevzuatta öngörülen veya işleme amaçlarımıza uygun süre kadar saklanır.

2.1.1      Kişisel Veri Saklamayı Gerektiren Hukuki Sebepler

İşlenen kişisel veriler aşağıda belirtilen hukuki sebeplerden en az birinin varlığı halinde işlenir ve saklanır.

  • Kanunlarda açıkça öngörülmesi
  • Sözleşmenin ifası için tarafların verilerinin işlenmesinin gerekli olması
  • Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması
  • Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması
  • İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması
  • Koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi
  • Açık Rıza

2.1.2      Saklamayı Gerektiren İşleme Amaçları

Kişisel veriler aşağıda belirtilen amaçlar doğrultusunda işlenir ve saklanır.

  • Acil durum yönetimi süreçlerinin yürütülmesi
  • Bilgi güvenliği süreçlerinin yürütülmesi
  • Çalışan adaylarının başvuru süreçlerinin yürütülmesi
  • Çalışanlar için iş akdi ve mevzuattan kaynaklı yükümlülüklerin yerine getirilmesi
  • Çalışanlar için yan haklar ve menfaatleri süreçlerinin yürütülmesi
  • Eğitim faaliyetlerinin yürütülmesi
  • Erişim yetkilerinin yürütülmesi
  • Faaliyetlerin mevzuata uygun yürütülmesi
  • Finans ve muhasebe işlerini yürütülmesi
  • Fiziksel mekân güvenliğinin temini
  • Görevlendirme süreçlerinin yürütülmesi
  • Hukuki işlerin takibi ve yürütülmesi
  • İletişim faaliyetlerinin yürütülmesi
  • İnsan kaynakları süreçlerinin planlanması
  • İş sağlığı ve güvenliği faaliyetlerinin yürütülmesi
  • İş süreçlerinin iyileştirilmesine yönelik önerilerin alınması ve değerlendirilmesi
  • Performans değerlendirme süreçlerini yürütülmesi
  • Saklama ve arşiv faaliyetlerini yürütülmesi
  • Sözleşme süreçlerinin yürütülmesi
  • Talep ve şikayetlerin takibi
  • Taşınır mal ve kaynakların güvenliğinin temini
  • Veri sorumlusu operasyonlarının güvenliğinin temini
  • Yetenek ve kariyer gelişimi faaliyetlerini yürütülmesi
  • Yetkili kişi, kurum ve kuruluşlara bilgi verilmesi
  • Tanıtım faaliyetlerinin yürütülmesi

 

2.2  İmhayı Gerektiren Sebepler

Kişisel veriler;

 

  • İşlenmesine esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası,
  • İşlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,
  • Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin açık rızasını geri alması,
  • Kanunun 11. maddesi gereği ilgili kişinin hakları çerçevesinde kişisel verilerinin silinmesi ve yok edilmesine ilişkin yaptığı başvurunun işletmemiz tarafından kabul edilmesi,
  • İşletmemizin, ilgili kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabı yetersiz bulması veya Kanunda öngörülen süre içinde cevap vermemesi hallerinde; Kurula şikâyette bulunması ve bu talebin Kurul tarafından uygun bulunması,
  • Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olması ve kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması,

 

durumlarında, işletmemiz   tarafından ilgili kişinin talebi üzerine silinir, yok edilir ya da re’sen silinir, yok edilir veya anonim hale getirilir.

3.   TEKNİK VE İDARİ TEDBİRLER

Kişisel verilerin güvenli bir şekilde saklanması, hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi ile kişisel verilerin hukuka uygun olarak imha edilmesi için Kanunun 12. maddesiyle Kanunun 6. maddesi dördüncü fıkrası gereği özel nitelikli kişisel veriler için Kurul tarafından belirlenerek ilan edilen yeterli önlemler çerçevesinde teknik ve idari tedbirler alınır.

3.1  Teknik Tedbirler

İşlenen kişisel verilerle ilgili olarak alınan teknik tedbirler aşağıda sayılmıştır:

  • Ağ güvenliği ve uygulama güvenliği sağlanmaktadır.
  • Bilgi teknolojileri sistemleri tedarik, geliştirme ve bakımı kapsamındaki güvenlik önlemleri alınmaktadır.
  • Çalışanlar için yetki matrisi oluşturulmuştur.
  • Erişim logları düzenli olarak tutulmaktadır.
  • Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır.
  • Güncel anti-virüs sistemleri kullanılmaktadır.
  • Güvenlik duvarları kullanılmaktadır.
  • Kullanıcı hesap yönetimi ve yetki kontrol sistemi uygulanmakta olup bunların takibi de yapılmaktadır.
  • Log kayıtları kullanıcı müdahalesi olmayacak şekilde tutulmaktadır.
  • Özel nitelikli kişisel veriler için güvenli şifreleme / kriptografik anahtarlar kullanılmakta ve farklı birimlerce yönetilmektedir.
  • Siber güvenlik önlemleri alınmış olup uygulanması sürekli takip edilmektedir.
  • Taşınabilir bellek, CD, DVD ortamında aktarılan özel nitelikli kişiler veriler şifrelenerek aktarılmaktadır.
  • Özel nitelikli kişisel verilere erişimi olan çalışanların periyodik olarak yetki kontrolleri gerçekleştirilmektedir.
  • Verilerin bulunduğu ortamlara ait güvenlik güncellemeleri sürekli takip edilmekte, gerekli güvenlik testleri düzenli olarak yapılmakta veya yaptırılmakta ve test sonuçları kayıt altına alınmaktadır.
  • Özel nitelikli kişisel verilere erişim yapılan yazılımların güvenlik testleri düzenli olarak yaptırılmaktadır ve test sonuçları kayıt altına alınmaktadır.
  • Özel nitelikli kişisel verilere uzaktan erişimlerde iki kademeli kimlik doğrulama sistemi kullanılmaktadır.
  • Farklı fiziksel ortamlardaki sunucular arasında kişisel sağlık verisi aktarımı yapılacaksa sunucular arasında VPN kurularak veya sFTP yöntemleriyle aktarım yapılmaktadır.
  • Dijital ortamda saklanan kişisel veriler için periyodik aralıklarla silme, yok etme veya anonim hale getirme işlemleri yapılmaktadır.

3.2  İdari Tedbirler

İşlenen kişisel verilerle ilgili olarak alınan idari tedbirler aşağıda sayılmıştır:

 

  • Çalışanlar için veri güvenliği hükümleri içeren disiplin düzenlemeleri mevcuttur.
  • Çalışanlar için veri güvenliği konusunda belli aralıklarla eğitim ve farkındalık çalışmaları yapılmaktadır.
  • Erişim, bilgi güvenliği, kullanım, saklama ve imha konularında kurumsal politikalar hazırlanmış ve uygulamaya başlanmıştır.
  • Gizlilik taahhütnameleri yapılmaktadır.
  • İmzalanan sözleşmeler veri güvenliği hükümleri içermektedir.
  • Kâğıt yoluyla aktarılan kişisel veriler için ekstra güvenlik tedbirleri alınmakta ve ilgili evrak gizlilik dereceli belge formatında gönderilmektedir.
  • Kişisel veri güvenliği politika ve prosedürleri belirlenmiştir.
  • Kişisel veri güvenliği sorunları hızlı bir şekilde raporlanmaktadır.
  • Kişisel veri güvenliğinin takibi yapılmaktadır.
  • Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmaktadır.
  • Kişisel veri içeren fiziksel ortamların dış risklere (yangın, sel vb.) karşı güvenliği sağlanmaktadır.
  • Kişisel veri içeren ortamların güvenliği sağlanmaktadır.
  • Kişisel veriler mümkün olduğunca azaltılmaktadır.
  • Kurum içi periyodik ve/veya rastgele denetimler yapılmakta ve yaptırılmaktadır.
  • Özel nitelikli kişisel veri güvenliğine yönelik protokol ve prosedürler belirlenmiş ve uygulanmaktadır.
  • Özel nitelikli kişisel veriler elektronik posta yoluyla gönderilecekse mutlaka şifreli olarak ve KEP veya kurumsal posta hesabı kullanılarak gönderilmektedir.
  • Özel nitelikli kişisel verilere erişim yetkisine sahip kullanıcıların, yetki kapsamları ve süreleri net olarak tanımlanmaktadır.
  • Görev değişikliği olan ya da işten ayrılan çalışanların kendisine tahsis edilmiş envanter iade alınmaktadır.
  • Kişisel veri envanteri hazırlanmıştır.
  • Periyodik aralıklarla silme, yok etme veya anonim hale getirme işlemleri yapılmaktadır.

4.   SAKLAMA VE İMHA SÜRELERİ

İşletmemiz   tarafından, faaliyetleri kapsamında işlenmekte olan kişisel verilerle ilgili olarak; saklama süreleri Kişisel Veri Saklama ve İmha Politikasında yer alır.

Söz konusu saklama süreleri üzerinde, gerekmesi halinde güncellemeler yapılır.

Saklama süreleri sona eren kişisel veriler için saklama süresinin bitimini takip eden ilk periyodik imha süresinde re’sen silme, yok etme veya anonim hale getirme işlemi yerine getirilir.

4.1  Saklama Süreleri Tablosu

İŞLENEN VERİ

İLGİLİ KİŞİ KATEGORİSİ

SAKLAMA SÜRESİ

Kimlik Bilgileri

Çalışan

Aktif istihdam ilişkisi sonlandıktan sonra 15 yıl

Çalışan Adayı

İş başvurusu olumsuz sonuçlanması halinde saklanmaz

Hasta

Tedavi bitimi itibariyle 20 yıl

Refakatçi

Hizmet süresince

Dışardan Hizmet Veren Gerçek Kişiler

Hizmet bitiminden itibaren 10 yıl

İletişim Bilgileri

Çalışan

Aktif istihdam ilişkisi sonlandıktan sonra 15 yıl

Çalışan Adayı

İş başvurusu olumsuz sonuçlanması halinde saklanmaz

Hasta

Tedavi bitimi itibariyle 20 yıl

Refakatçi

Hizmet süresince

Dışardan Hizmet Veren Gerçek Kişiler

Hizmet bitiminden itibaren 10 yıl

Kişisel Sağlık Verisi

Çalışan

Aktif istihdam ilişkisi sonlandıktan sonra 15 yıl

Çalışan Adayı

İş başvurusu olumsuz sonuçlanması halinde saklanmaz

Hasta

Tedavi bitimi itibariyle 20 yıl

Ceza Mahkûmiyeti ve Güvenlik Tedbirleri Bilgileri

Çalışan

Aktif istihdam ilişkisi sonlandıktan sonra 10 yıl

Çalışan Adayı

İş başvurusu olumsuz sonuçlanması halinde saklanmaz

Özlük

Çalışan

Aktif istihdam ilişkisi sonlandıktan sonra 10 yıl

Çalışan Adayı

İş başvurusu olumsuz sonuçlanması halinde saklanmaz

Hukuki İşlem

Çalışan ve Hasta

Hukuki sürecin sonlanmasından itibaren 10 yıl

İşlem Güvenliği

Çalışan ve Hasta

2 yıl

Müşteri İşlem

Hasta

20 yıl

Dışardan Hizmet Veren Gerçek Kişiler

Hizmet bitiminden itibaren 10 yıl

Finans

Hasta

20 yıl

Kamera Kayıtları

Bütün Kişi Grupları İçin

2 ay

Mesleki Deneyim

Çalışan

Aktif istihdam ilişkisi sonlandıktan sonra 10 yıl

Çalışan Adayı

İş başvuru süreci olumsuzsa saklanmaz

Görsel ve İşitsel Kayıtlar

Çalışan

Aktif istihdam ilişkisi sonlandıktan sonra 15 yıl

Çalışan Adayı

İş başvuru süreci olumsuzsa saklanmaz

Sigara Kullanım Bilgisi

Çalışan Adayı

İş başvuru süreci olumsuzsa saklanmaz

Aile Bilgisi

Çalışan

Aktif istihdam ilişkisi sonlandıktan sonra 10 yıl

    

 

4.2  İmha Süreleri

İşletmemiz, Kanun ve Yönetmelik hükümlerince kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde, işbu Politikada belirlenen esas ve usullere uygun olarak kişisel verileri resen siler, yok eder veya anonim hale getirir.

Veri sorumlusu, Kanunun 13. maddesinde belirtilen kişisel verilerin silinmesini talep etme hakkını kullanarak tarafımıza usulüne uygun şekilde başvurması durumunda;

  • Kişisel verileri işleme şartlarının tamamı ortadan kalkmışsa; Talebe konu kişisel veriler, talebin alındığı günden itibaren 30 (otuz) gün içinde uygun imha yöntemi ile silinir, yok edilir veya anonim hale getirilir.
  • Kişisel verileri işleme şartlarının tamamı ortadan kalkmamışsa, Kanunun 13. maddesinin üçüncü fıkrası uyarınca talep gerekçesi açıklanarak reddedilebilir ve ret cevabı ilgili kişiye en geç 30 (otuz) gün içinde yazılı olarak ya da elektronik ortamda bildirilir.

5.   PERİYODİK İMHA SÜRELERİ

Yönetmeliğin 11 inci maddesi gereğince, periyodik imha süresi 6 ay olarak belirlenmiştir. Buna göre, her yıl Haziran ve Aralık aylarında periyodik imha işlemi gerçekleştirilir.

6.   İMHA YÖNTEMLERİ

İlgili mevzuatta öngörülen süre ya da işlendikleri amaç için gerekli olan saklama süresinin sonunda kişisel veriler, re’sen veya ilgili kişinin başvurusu üzerine yine ilgili mevzuat hükümlerine uygun olarak aşağıda belirtilen tekniklerle imha edilir.

6.1  Kişisel Verilerin Silinmesi

Kişisel veriler aşağıda verilen yöntemlerle silinir.

Veri Kayıt Ortamı

Açıklama

Sunucularda  Yer     Alan Kişisel Veriler

Sunucularda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler için sistem yöneticisi tarafından ilgili kullanıcıların erişim yetkisi kaldırılarak silme işlemi yapılır.

Elektronik     Ortamda        Yer Alan Kişisel Veriler

Elektronik ortamda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, veri tabanı yöneticisi hariç diğer çalışanlar (ilgili kullanıcılar) için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir.

Fiziksel Ortamda Yer Alan Kişisel Veriler

Fiziksel ortamda tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler için evrak arşivinden sorumlu birim yöneticisi hariç diğer çalışanlar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. Ayrıca, üzeri okunamayacak şekilde çizilerek/boyanarak/silinerek karartma işlemi de uygulanır.

Taşınabilir     Medyada Bulunan Kişisel Veriler

Flash tabanlı saklama ortamlarında tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler, sistem yöneticisi tarafından şifrelenerek ve erişim yetkisi sadece sistem yöneticisine verilerek şifreleme anahtarlarıyla güvenli ortamlarda saklanır.

 

6.2  Kişisel Verilerin Yok Edilmesi

Kişisel veriler aşağıda verilen yöntemlerle yok edilir.

Veri Kayıt Ortamı

Açıklama

Fiziksel Ortamda Yer Alan Kişisel Veriler

Kâğıt ortamında yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, kâğıt kırpma makinelerinde geri döndürülemeyecek şekilde yok edilir.

Optik / Manyetik Medyada Yer Alan Kişisel Veriler

Optik medya ve manyetik medyada yer alan kişisel verilerden saklanmasını gerektiren süre sona erenlerin eritilmesi, yakılması veya toz haline getirilmesi gibi fiziksel olarak yok edilmesi işlemi uygulanır. Ayrıca, manyetik medya özel bir cihazdan geçirilerek yüksek değerde manyetik alana maruz bırakılması suretiyle üzerindeki veriler okunamaz hale getirilir.

 

6.3  Kişisel Verilerin Anonim Hale Getirilmesi

Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.

Kişisel verilerin anonim hale getirilmiş olması için; kişisel verilerin, veri sorumlusu veya üçüncü kişiler tarafından geri döndürülmesi ve/veya verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekir.

İşletmemiz kişisel verileri anonim hale getirirken yukarıda belirtilen standartlara uygun şekilde anonim hale getirme işlemi yapmaktadır. Kişisel verilerin anonim hale getirilmesi işlemi sonrasında kişisel veriler hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale gelmektedir.

7.   İMHA İŞLEMİNİN HUKUKA UYGUNLUĞUNU SAĞLAMAK İÇİN ALINAN TEDBİRLER

Talep üzerine ve periyodik imha süreçlerinde resen gerçekleştirilen imha işlemleri Kanun’a, Yönetmeliğe ve işbu Politikaya uygun olarak yapılır. Bu kapsamda alınmış teknik ve idari tedbirler aşağıda ayrı ayrı gösterilmiştir. 

7.1  Teknik Tedbirler

  • Bilgi teknolojileri birimlerinde çalışanların kişisel verilere erişim yetkileri kontrol altında tutulur.
  • Kişisel verilerin yok edilmesi işlemi, verilerin geri dönüştürülemeyecek ve denetim izi bırakmayacak şekilde yapılmasının sağlanır.

7.2  İdari Tedbirler

  • Personele Kişisel verilerin korunması mevzuatı, veri güvenliği ve imha konusunda eğitim verilir.
  • Yapılan imha süreçleri düzenli aralıklarla denetlenir. Tespit edilen güvenlik açıklarının giderilmesi için gereken önlemler alınır.

8.   KAYIT ORTAMLARI

Kişisel veriler, kanun, yönetmelik ve ilgili diğer mevzuat hükümlerine uygun olacak şekilde saklamaktadır. Bu kapsamda saklanan kişisel verilerin kayıt ortamları aşağıdaki tabloda gösterilmiştir.

Elektronik Ortamlar

Elektronik Olmayan Ortamlar

Sunucular (Etki alanı, yedekleme, e-posta, veritabanı, web, dosya paylaşım, vb.)

ü Yazılımlar (Meddata Yazılımı, ofis yazılımları, portal.)

ü Bilgi güvenliği cihazları (güvenlik duvarı, saldırı tespit ve engelleme, günlük kayıt dosyası, antivirüs vb. )

ü Bilgisayarlar (Masaüstü, dizüstü)

ü Mobil cihazlar (telefon, tablet vb.)

ü Optik diskler (CD, DVD vb.)

ü Çıkartılabilir bellekler (USB, Hafıza Kart vb.)

ü Yazıcı, tarayıcı, fotokopi makinesi, Tıbbi cihazlar

ü Kağıt

ü Manuel veri kayıt sistemleri

ü Yazılı, basılı ve görsel ortamlar

 

 

9.   KİŞİSEL VERİ GÜVENLİĞİ İÇİN ALINAN TEDBİRLER

Kişisel verilerin güvenli bir şekilde saklanması, hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi ile kişisel verilerin hukuka uygun olarak imha edilmesi için Kanunun 12. maddesiyle Kanunun 6. maddesi dördüncü fıkrası gereği özel nitelikli kişisel veriler için Kurul tarafından belirlenerek ilan edilen yeterli önlemler çerçevesinde teknik ve idari tedbirler alınır.

9.1  Teknik Tedbirler

İşlenen kişisel verilerle ilgili olarak alınan teknik tedbirler aşağıda sayılmıştır:

  • Ağ güvenliği ve uygulama güvenliği sağlanmaktadır.
  • Bilgi teknolojileri sistemleri tedarik, geliştirme ve bakımı kapsamındaki güvenlik önlemleri alınmaktadır.
  • Güncel anti-virüs sistemleri kullanılmaktadır.
  • Güvenlik duvarları kullanılmaktadır.
  • Saldırı tespit ve önleme sistemleri kullanılmaktadır.
  • Siber güvenlik önlemleri alınmış olup uygulanması sürekli takip edilmektedir.
  • Kriptografik şifreleme ve yedekleme yapılmaktadır.
  • Kullanıcı hesap yönetimi, anahtar yönetimi ve veri maskeleme yapılmaktadır.
  • Silme, yok etme veya anonim hale getirme yapılmaktadır
  • Veri kaybı önleme yazılımları kullanılmaktadır.

9.2  İdari Tedbirler

İşlenen kişisel verilerle ilgili olarak alınan idari tedbirler aşağıda sayılmıştır:

 

  • Çalışanlar için veri güvenliği hükümleri içeren disiplin düzenlemeleri mevcuttur.
  • Çalışanlar için veri güvenliği konusunda belli aralıklarla eğitim ve farkındalık çalışmaları yapılmaktadır.
  • Erişim, bilgi güvenliği, kullanım, saklama ve imha konularında kurumsal politikalar hazırlanmış ve uygulamaya başlanmıştır.
  • Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır.
  • Kişisel veri güvenliği politika ve prosedürleri belirlenmiştir.
  • Kişisel veri güvenliğinin takibi yapılmaktadır.
  • Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmaktadır.
  • Kişisel veri içeren fiziksel ortamların dış risklere (yangın, sel vb.) karşı güvenliği sağlanmaktadır.
  • Kişisel veri içeren ortamların güvenliği sağlanmaktadır.
  • Kişisel veriler mümkün olduğunca azaltılmaktadır.
  • Kurum içi periyodik ve/veya rastgele denetimler yapılmakta ve yaptırılmaktadır.

10.   PERSONEL UNVAN, BİRİM VE GÖREV DAĞILIMI

Tüm birimler ve çalışanlar, sorumlu birimlerce Politika kapsamında alınmakta olan teknik ve idari tedbirlerin gereği gibi uygulanması, birim çalışanlarının eğitimi ve farkındalığının arttırılması, izlenmesi ve sürekli denetimi ile kişisel verilerin hukuka aykırı olarak işlenmesinin önlenmesi, kişisel verilere hukuka aykırı olarak erişilmesinin önlenmesi ve kişisel verilerin hukuka uygun saklanmasının sağlanması amacıyla kişisel veri işlenen tüm ortamlarda veri güvenliğini sağlamaya yönelik teknik ve idari tedbirlerin alınması konularında sorumlu birimlere aktif olarak destek verir.

Kişisel verilerin saklama ve imha süreçlerinde görev alanların unvanları ve görev tanımlarına ait dağılım aşağıda tablo halinde verilmiştir.

GÖREVLİ

GÖREV TANIMI

Ömer Faruk Ekiz

 

İşlenen Kişisel veri saklama ve imha süreçlerinin işbu politikaya uygun şekilde yapılmasını temin etmek, birimler arası koordinasyonu sağlamak, gerekli denetimleri yapmak, politikanın geliştirilmesi, ilgili ortamlarda yayınlanması ve güncellenmesinden sorumludur.

 

Ömer Faruk Ekiz

 

Çalışanların     politikaya        uygun hareket etmesini sağlamak, gerekli denetimleri yapmak ve Kişisel veri işleme koordinatörü tarafından verilen diğer görevleri yerine getirmek.

 

Ömer Faruk Ekiz

 

Politika’nın uygulanmasında ihtiyaç duyulan teknik çözümlerin sunulmasından sorumludur.

 

11. POLİTİKADA YAPILAN GÜNCELLEMELER

Mevzuatın değişmesi sebebiyle, Kurul kararları uyarınca ya da sektördeki ya da bilişim alanındaki gelişmeler doğrultusunda işbu Kişisel Veri Saklama ve İmha Politikasında değişiklik yapılabilir. Bu kapsamda yapılan değişiklikler derhal metne işlenir ve değişikliklere ilişkin açıklamalar aşağıda düzenlenen güncellemeler tablosuna eklenir.

Güncellemeler Tablosu

07.01.2021

Kişisel Veri İşleme ve İmha Politikası yürürlüğe girmiştir.

 

12. SON HÜKÜMLER

İşbu Kişisel Veri Saklama ve İmha Politikası, Ekiz Ağız ve Diş Sağlığı Ltd. Şti. tarafından hazırlanarak işletme içinde uygun yerlerde ilan edilerek iş sözleşmesiyle çalışmakta olan personele ve ilgili diğer kişilere duyurulmuştur.  

ÇEREZ AYDINLATMA METNİ

İşbu aydınlatma metni, veri sorumlusu Ekiz Ağız ve Diş Sağlığı Ltd. Şti. tarafından elde edilen kişisel verilerin işlenmesine ilişkin olarak 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) 10. Maddesinde belirtilen aydınlatma yükümlülüğünün yerine getirilmesi amacıyla hazırlanmıştır. 

Çerezlerin Kullanım Amacı

Çerezler, internet siteleri tarafından bilgisayar, akıllı telefon, tablet vb. iletişim araçlarına bırakılan tanımlama dosyalarıdır. İnternet siteleri tekrar ziyaret edildiğinde gelişmiş kullanıcı deneyimi sağlamak amacıyla erişilen cihazların tanınmalarını sağlar.

Çerezler, herhangi bir internet sitesini ziyaretinizle ilgili bilgilerin ilgili internet sitesi tarafından hatırlanmasına yardımcı olur. Bir sonraki ziyaretinizde kolaylık sağlayabilir ve siteyi daha kullanışlı hale getirebilir.

Veri sorumlusuna ait http://ekizclinic.com/  adresine bırakılan çerezlerin kullanımı Kanun’a ve uymakla yükümlü olduğumuz mevzuata uygun şekilde gerçekleştirilmektedir.

1.     Çerez Kullanımı

http://ekizclinic.com/  internet sitesini ziyaret ettiğinizde web sitesinin kullanımı için gerekli olan çerezlerin cihazınıza yerleştirmesini kabul edersiniz.

İşletmemizin cihazınıza ilişkin çerezleri kullanmasını istemiyorsanız tarayıcınızın çerez ayarlarına ilişkin bölümünden çerezlerin kullanımını reddedebilirsiniz. Çerez kullanımını reddettiğiniz takdirde http://ekizclinic.com/ internet sitesinin bazı bölümlerini gerektiği şekliyle kullanamayabilirsiniz.

İşletmemiz gerekli gördüğü durumlarda, kullandığı çerezleri kullanmaktan vazgeçebilir, bunların türlerini veya fonksiyonlarını değiştirebilir veya internet sitesine yeni çerezler ekleyebilir. Çerez Politikasının değiştirildiği hallerde değiştirilmiş politika değişiklik tarihinden itibaren geçerli olacaktır.

Kullanılan Çerez Türleri ve Kullanım Amaçları

Oturum çerezleri: İnternet sitesinden ayrılana dek cihazlarınızda tutulan geçici çerezleri ifade eder.

Kalıcı çerezler: Cihazınızın sabit diskinde uzun süreler kalan türde çerezlerdir.

Zorunlu çerezler: İnternet sitesinin düzgün bir şekilde çalışabilmesi ve kullanıcıların sitede gezinme ve özelliklerinden yararlanmasını sağlar. Zorunlu çerezler anonim niteliktedirler.

 

 

İşlevsel ve Analitik çerezler: Tercihlerinizi hatırlamak, internet sitesinin etkin şekilde kullanılması, sitenin kullanıcı isteklerine cevap verecek şekilde optimize edilmesi ve ziyaretçilerin siteyi nasıl kullandığı hakkında verileri içerir. Niteliği gereği bu türdeki çerezler kullanıcı adı ve şifreden oluşan kişisel bilgilerinizi içerebilir.

Yukarıda açıklanan oturum, kalıcı, işlevsel ve analitik çerezlerin tutulma süresi yaklaşık altı aydır ancak sitemize erişilen internet tarayıcısının ayarlarından bu süreye ilişkin gerekli ayarlamalar yapılabilir.

Çerez Kullanımını Kontrol Etme Yolları

Tarayıcınızın ayarlarını değiştirerek çerezlere ilişkin tercihlerinizi kişiselleştirme imkanına sahipsiniz.

Kişisel Verilerin İşlenme Amacı

Kanun’un 4. Maddesinde belirtilen ilkelere uygun olarak aşağıda belirtilen amaçlar için işlenmektedir.

  • Tercihlerinizi hatırlamak, internet sitesinin etkin şekilde kullanılması, sitenin kullanıcı isteklerine cevap verecek şekilde optimize edilmesi,
  • Doğabilecek uyuşmazlıklarda delil olarak kullanılması amaçlarıyla, sınırlı olarak işlenmektedir.

Kişisel Verilerin Aktarımı

İşlenen kişisel veriler aşağıda belirtilen 3. kişilere aktarılabilecektir.

  • Hukuki uyuşmazlık durumunda adli makamlar ve taraf avukatları
  • Kayıt ve arşivleme amacıyla sunucu hizmeti alınan firmaya

Kişisel Verilerin Toplanma Yöntemi ve Hukuki Sebebi

Elektronik ortamda elde edilen kişisel veriler aşağıda belirtilen hukuki sebeplerle otomatik işlenmektedir.

  • İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması

Kişisel Veri Sahibi İlgili Kişinin Hakları

Kanun’un 11. Maddesi uyarınca herkes, veri sorumlusuna başvurarak kendisiyle ilgili;

  • Kişisel veri işlenip işlenmediğini öğrenme,
  • Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
  • Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
  • Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
  • Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
  • Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme, 
  • İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
  • Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme, haklarına sahiptir. 

http://ekizclinic.com/ internet sitemizden edineceğiniz İlgili Kişi Başvuru Formunu eksiksiz doldurarak, Kanunun 11 inci maddesinde belirtilen haklarınız kapsamındaki taleplerinizi, yazılı olarak Ayazağa Mah. Kemerburgaz Cad. No:10/A İç Kapı No :100 Sarıyer/ İSTANBUL adresimize göndermeniz ya da tarafımıza önceden bildirdiğiniz ve sistemimizde kayıtlı elektronik posta adresiniz üzerinden info@ekizclinic.com adresimize iletmeniz gerekmektedir.

Yukarıda belirtilen şekilde yapılan başvurulara en kısa sürede ve en geç 30 (otuz) gün içerisinde ücretsiz olarak yanıt verilecektir. Ancak talebinize konu işlemin ayrıca bir maliyet doğurması halinde, Kişisel Verileri Koruma Kurulu’nca belirlenen tarifedeki ücret alınacaktır.

Online Randevu

Aşağıdaki formu eksiksiz doldurarak hızlı bir şekilde randevunuzu oluşturabilirsiniz.