KİŞİSEL VERİLERİN İŞLENMESİ VE KORUNMASI POLİTİKASI
1. POLİTİKANIN AMACI VE KAPSAMI
Kişisel verilerin hukuka uygun olarak işlenmesi ve korunması, veri sorumlusu Ekiz Ağız ve Diş Sağlığı Ltd. Şti. için büyük önem arz etmektedir. Kişisel veri işleme faaliyetlerinin 6698 sayılı Kişisel Verilerin Korunması Kanunu ve bu kanun kapsamında çıkarılan yönetmelik, genelge, yönergelere uygunluğunu sağlamak, şirketi bir bütün olarak KVKK mevzuatına uyumlu hale getirmek amacıyla işbu Kişisel Verilerin İşlenmesi ve Korunması Politikası (“Politika”) hazırlanmıştır. Ayrıca işbu Politika ile kişisel veri işleme, saklama ve güvenliğini sağlama süreçlerinin ilke, usul ve esasları belirlenmiştir.
Bu Politikada yer verilen hukuki ve teknik terimlerden;
Açık Rıza | Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı, |
İlgili Kullanıcı | Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişileri, |
İmha | Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesini, |
Kanun | 24.3.2016 Tarihli ve 6698 Sayılı Kişisel Verilerin Korunması Kanununu, |
Kayıt ortamı | Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortamı, |
Kişisel Veri | Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi, |
Kişisel Verilerin İşlenmesi | Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi, |
Kişisel Verilerin Silinmesi | Kişisel verilerin silinmesi; kişisel verilerin İlgili Kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesini, |
Kişisel Verilerin Yok Edilmesi | Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemini, |
Kurul | Kişisel Verileri Koruma Kurulunu, |
Özel Nitelikli Kişisel Veri | Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri, |
Periyodik İmha | Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemini, |
İlgili Kişi / Veri Sahibi | Kişisel verisi işlenen gerçek kişiyi, |
Veri Sorumlusu | Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi |
İfade eder
3. KİŞİSEL VERİLERİN İŞLENMESİ
3.1 Kişisel Verilerin İşlenmesinde Uyulan Temel İlkeler
Kanunda belirtilen temel ilkelere uygun şekilde kişisel veri işlenecektir. Bu kapsamda Kişisel veriler;
- Hukuka ve dürüstlük kuralına uygun işlenecektir.
- Kişisel verilerin doğru ve gerektiğinde güncel olması sağlanacaktır.
- Belirli, açık ve meşru amaçlar için işlenecektir.
- İşlendikleri yasal amaçla bağlantılı, sınırlı ve ölçülü olarak kullanılacak ve açıklanacaktır.
- İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilecektir.
3.2 Kişisel Verilerin İşlenme Şartları
Özel nitelikli olmayan Kişisel veriler aşağıdaki hukuki sebeplerin en az birinin varlığı halinde veya ilgili kişinin açık rızası alınarak işlenebilecektir.
- Kanunlarda açıkça öngörülmesi
- Sözleşmenin ifası için tarafların verilerinin işlenmesinin gerekli olması
- Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması
- Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması
- İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması
3.3 Özel Nitelikli Kişisel Verilerin İşlenmesi
Özel nitelikli kişisel veriler işlenirken uyulacak usul ve esaslar işletmemiz tarafından hazırlanarak yayınlanan Özel Nitelikli Kişisel Verilerin İşlenmesi Politikası’nda ayrıntılı olarak açıklanmıştır. Özel Nitelikli Kişisel Verilerin İşlenmesi Politikası’na http://ekizclinic.com/ internet sitemizden ulaşabilirsiniz.
3.4 Kişisel Veri Sahibi İlgili Kişinin Aydınlatılması
İlgili kişiler Kanun’a uygun olarak aydınlatılmaktadır. Bu kapsamda veri sorumlusunun kimliği, kişisel verinin hangi amaçlarla işleneceği, kimlere aktarılacağı, hangi yöntemle toplandığı ve hukuki sebebi ve ilgili kişinin aşağıda belirtilen hakları konusunda ilgili kişiler bilgilendirilmektedir.
İlgili Kişilerin Hakları;
- Kişisel veri işlenip işlenmediğini öğrenme,
- Kişisel veriler işlenmişse buna ilişkin bilgi talep etme,
- Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
- Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
- Kişisel verilerin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini isteme,
- Kanun’un 7. Maddesinde öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme,
- Kişisel verilerle ilgili yapılan güncellemeler veya silme işlemlerinin aktarılan üçüncü kişilere bildirilmesini isteme,
- İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
- Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması halinde zararın giderilmesini talep etme.
İlgili kişiler, Kanunun 11. maddesi kapsamındaki haklarını http://ekizclinic.com/ internet sitemizden ulaşılabilecekleri İlgili Kişi Başvuru Formu’nu eksiksiz doldurularak, yazılı olarak Ayazağa Mah. Kemerburgaz Cad. No:10/A İç Kapı No :100 Sarıyer/ İSTANBUL adresimize göndererek ya da tarafımıza önceden bildirmiş oldukları ve sistemimizde kayıtlı bulunan elektronik posta adresi üzerinden [email protected] e-posta adresimize ileterek talep edebilirler.
Başvurulara en kısa sürede ve en geç 30 (otuz) gün içerisinde ücretsiz olarak yanıt verilecektir.
4. KİŞİSEL VERİLERİN İŞLENME AMAÇLARI
Kanun’un 4. maddesinde düzenlenen temel ilkelere uygun olarak ve Kanun’un 5. Ve 6. Maddelerinde belirtilen kişisel veri ve özel nitelikteki kişisel veri işleme şartlarından en az birine dayanarak aşağıda sayılan amaçlarla işlenmektedir.
- Acil durum yönetimi süreçlerinin yürütülmesi
- Bilgi güvenliği süreçlerinin yürütülmesi
- Çalışan adaylarının başvuru süreçlerinin yürütülmesi
- Çalışanlar için iş akdi ve mevzuattan kaynaklı yükümlülüklerin yerine getirilmesi
- Çalışanlar için yan haklar ve menfaatleri süreçlerinin yürütülmesi
- Eğitim faaliyetlerinin yürütülmesi
- Erişim yetkilerinin yürütülmesi
- Faaliyetlerin mevzuata uygun yürütülmesi
- Finans ve muhasebe işlerini yürütülmesi
- Fiziksel mekân güvenliğinin temini
- Görevlendirme süreçlerinin yürütülmesi
- Hukuki işlerin takibi ve yürütülmesi
- İletişim faaliyetlerinin yürütülmesi
- İnsan kaynakları süreçlerinin planlanması
- İş sağlığı ve güvenliği faaliyetlerinin yürütülmesi
- İş süreçlerinin iyileştirilmesine yönelik önerilerin alınması ve değerlendirilmesi
- Performans değerlendirme süreçlerini yürütülmesi
- Saklama ve arşiv faaliyetlerini yürütülmesi
- Sözleşme süreçlerinin yürütülmesi
- Talep ve şikayetlerin takibi
- Taşınır mal ve kaynakların güvenliğinin temini
- Veri sorumlusu operasyonlarının güvenliğinin temini
- Yetenek ve kariyer gelişimi faaliyetlerini yürütülmesi
- Yetkili kişi, kurum ve kuruluşlara bilgi verilmesi
- Tanıtım faaliyetlerinin yürütülmesi, amaçlarıyla sınırlı olarak işlenmektedir.
5. KİŞİSEL VERİLERİN SAKLANMA SÜRESİ VE İMHASI
Kanun ve Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik hükümlerine uygun olarak, kişisel verileri işlendikleri amaç için gerekli olan süre ve ilgili faaliyetin tabi olduğu yasal mevzuatta öngörülen sürelere uygun olarak saklanmaktadır.
Öncelikle ilgili mevzuatta kişisel verilerin saklanması için bir süre öngörülüp öngörülmediğini tespit edilmekte, mevzuatta bir süre belirlenmişse bu süreye kadar, yasal bir süre mevcut değil ise işlendikleri amaç için gerekli olan süre kadar saklanmaktadır.
Belirtilen kriterlere uygun olarak her bir kişisel veri kategorisi için ayrı olarak belirlenmiş saklama süreleri aşağıda tablo halinde gösterilmiştir. Kişisel veriler bu sürelerin sonundan itibaren altı aylık periyodik imha sürelerinde veya ilgili kişinin başvurması durumunda en geç otuz gün içinde belirlenen imha yöntemleri ile imha etmektedir.
Kişisel verilerin saklanma süreleri;
İŞLENEN VERİ | İLGİLİ KİŞİ KATEGORİSİ | SAKLAMA SÜRESİ | |
Kimlik Bilgileri | Çalışan | Aktif istihdam ilişkisi sonlandıktan sonra 15 yıl | |
Çalışan Adayı | İş başvurusu olumsuz sonuçlanması halinde saklanmaz | ||
Hasta | Tedavi bitimi itibariyle 20 yıl | ||
Refakatçi | Hizmet süresince | ||
Dışardan Hizmet Veren Gerçek Kişiler | Hizmet bitiminden itibaren 10 yıl | ||
İletişim Bilgileri | Çalışan | Aktif istihdam ilişkisi sonlandıktan sonra 15 yıl | |
Çalışan Adayı | İş başvurusu olumsuz sonuçlanması halinde saklanmaz | ||
Hasta | Tedavi bitimi itibariyle 20 yıl | ||
Refakatçi | Hizmet süresince | ||
Dışardan Hizmet Veren Gerçek Kişiler | Hizmet bitiminden itibaren 10 yıl | ||
Kişisel Sağlık Verisi | Çalışan | Aktif istihdam ilişkisi sonlandıktan sonra 15 yıl | |
Çalışan Adayı | İş başvurusu olumsuz sonuçlanması halinde saklanmaz | ||
Hasta | Tedavi bitimi itibariyle 20 yıl | ||
Ceza Mahkûmiyeti ve Güvenlik Tedbirleri Bilgileri | Çalışan | Aktif istihdam ilişkisi sonlandıktan sonra 10 yıl | |
Çalışan Adayı | İş başvurusu olumsuz sonuçlanması halinde saklanmaz | ||
Özlük
| Çalışan | Aktif istihdam ilişkisi sonlandıktan sonra 10 yıl | |
Çalışan Adayı | İş başvurusu olumsuz sonuçlanması halinde saklanmaz | ||
Hukuki İşlem | Çalışan ve Hasta | Hukuki sürecin sonlanmasından itibaren 10 yıl | |
İşlem Güvenliği | Çalışan ve Hasta | 2 yıl | |
Müşteri İşlem | Hasta | 20 yıl | |
Dışardan Hizmet Veren Gerçek Kişiler | Hizmet bitiminden itibaren 10 yıl | ||
Finans | Hasta | 20 yıl | |
Kamera Kayıtları | Bütün Kişi Grupları İçin | 2 ay | |
Mesleki Deneyim
| Çalışan | Aktif istihdam ilişkisi sonlandıktan sonra 10 yıl | |
Çalışan Adayı | İş başvuru süreci olumsuzsa saklanmaz | ||
Görsel ve İşitsel Kayıtlar
| Çalışan | Aktif istihdam ilişkisi sonlandıktan sonra 15 yıl | |
Çalışan Adayı | İş başvuru süreci olumsuzsa saklanmaz | ||
Referans Bilgisi | Çalışan Adayı | İş başvuru süreci olumsuzsa saklanmaz | |
Sigara Kullanım Bilgisi | Çalışan Adayı | İş başvuru süreci olumsuzsa saklanmaz | |
Aile Bilgisi | Çalışan | Aktif istihdam ilişkisi sonlandıktan sonra 10 yıl | |
6. KİŞİSEL VERİLERİN AKTARILMASI
6.1 Kişisel Verilerin Yurt İçine Aktarılması
İşlenen kişisel veriler aşağıda belirtilen 3. kişilere aktarılabilecektir.
Bünyemizde çalışan personelin kişisel verileri;
- Hukuki uyuşmazlık durumunda talep halinde talep edilen kişisel verilerle sınırlı olarak adli makamlar ve taraf avukatlarına
- Kimlik ve iletişim bilgileri hukuki yükümlülüklerin takibi amacıyla yetkili mali müşavire
- Kimlik ve finans bilgileri maaş ödemesi yapılması amacıyla anlaşmalı bankaya
- Kimlik bilgileri Bireysel Emeklilik Sistemi için özel sigorta şirketine
- Kimlik, iletişim, sağlık, fotoğraf, diploma ve ceza mahkumiyeti verileri personel çalışma belgesi başvurusu amacıyla ilçe/il sağlık müdürlüğüne
- Kimlik ve unvan bilgileri Sağlık Bakanlığı bünyesindeki Sağlık Personeli Takip Sistemine
- Kimlik bilgileri, işe giriş bildirgesi amacıyla Sosyal Güvenlik Kurumu’na
- Kimlik ve finans bilgileri vergi beyannamesi için vergi dairesine
- Kimlik ve aile bilgileri asgari geçim indirimi için vergi dairesine
- Arşivleme amacıyla işyeri bilgisayar programlarının geliştiricisi olan yazılım firmasına
Hizmet alan hastaların kişisel verileri;
- Hukuki uyuşmazlık durumunda talep halinde talep edilen kişisel verilerle sınırlı olarak adli makamlar ve taraf avukatlarına
- Kimlik, iletişim, sağlık ve refakatçi bilgileri hastanın sevki durumunda sevk edilecek sağlık kuruluşuna
- Özel Hastaneler Yönetmeliği gereği hasta dosyalarının arşivlenmesi amacıyla hasta kayıt programının geliştiricisi olan yazılım firmasına
Hizmet veren gerçek kişilerden elde edilen kişisel veriler;
- Hukuki uyuşmazlık durumunda talep halinde adli makamlar ve taraf avukatları
- Kanuni yükümlülükler gereği yetkili mali müşavir,
- Ödemeler için anlaşmalı banka
- Arşivleme için işyeri bilgisayar programlarının geliştiricisi olan yazılım firması
Diğer kişi gruplarından elde edilen kişisel veriler;
Hukuki uyuşmazlık durumunda talep halinde adli makamlar ve taraf avukatlarına aktarılabilecektir.
7. KİŞİSEL VERİLERİN KORUNMASI
İşletmemiz, Kanun’un 12. Maddesinde belirtildiği gibi;
- Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
- Kişisel verilerin hukuka aykırı olarak erişilmesini önlemek,
- Kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirleri almakta ve alınan tedbirlerin uygulanması için gerekli denetimleri yapmakta veya yaptırmaktadır.
7.1 Kişisel Verilerin Korunması İçin Alınan Tedbirler
- Çalışanlar için veri güvenliği hükümleri içeren disiplin düzenlemeleri mevcuttur.
- Çalışanlar için veri güvenliği konusunda belli aralıklarla eğitim ve farkındalık çalışmaları yapılmaktadır.
- Erişim, bilgi güvenliği, kullanım, saklama ve imha konularında kurumsal politikalar hazırlanmış ve uygulamaya başlanmıştır.
- Gizlilik taahhütnameleri yapılmaktadır.
- İmzalanan sözleşmeler veri güvenliği hükümleri içermektedir.
- Kâğıt yoluyla aktarılan kişisel veriler için ekstra güvenlik tedbirleri alınmakta ve ilgili evrak gizlilik dereceli belge formatında gönderilmektedir.
- Kişisel veri güvenliği politika ve prosedürleri belirlenmiştir.
- Kişisel veri güvenliği sorunları hızlı bir şekilde raporlanmaktadır.
- Kişisel veri güvenliğinin takibi yapılmaktadır.
- Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmaktadır.
- Kişisel veri içeren fiziksel ortamların dış risklere (yangın, sel vb.) karşı güvenliği sağlanmaktadır.
- Kişisel veri içeren ortamların güvenliği sağlanmaktadır.
- Kişisel veriler mümkün olduğunca azaltılmaktadır.
- Kurum içi periyodik ve/veya rastgele denetimler yapılmakta ve yaptırılmaktadır.
- Özel nitelikli kişisel veri güvenliğine yönelik protokol ve prosedürler belirlenmiş ve uygulanmaktadır.
- Özel nitelikli kişisel veriler elektronik posta yoluyla gönderilecekse mutlaka şifreli olarak ve KEP veya kurumsal posta hesabı kullanılarak gönderilmektedir.
- Özel nitelikli kişisel verilere erişim yetkisine sahip kullanıcıların, yetki kapsamları ve süreleri net olarak tanımlanmaktadır.
- Görev değişikliği olan ya da işten ayrılan çalışanların kendisine tahsis edilmiş envanter iade alınmaktadır.
- Kişisel veri envanteri hazırlanmıştır.
- Periyodik aralıklarla silme, yok etme veya anonim hale getirme işlemleri yapılmaktadır.
- Ağ güvenliği ve uygulama güvenliği sağlanmaktadır.
- Bilgi teknolojileri sistemleri tedarik, geliştirme ve bakımı kapsamındaki güvenlik önlemleri alınmaktadır.
- Çalışanlar için yetki matrisi oluşturulmuştur.
- Erişim logları düzenli olarak tutulmaktadır.
- Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır.
- Güncel anti-virüs sistemleri kullanılmaktadır.
- Güvenlik duvarları kullanılmaktadır.
- Kullanıcı hesap yönetimi ve yetki kontrol sistemi uygulanmakta olup bunların takibi de yapılmaktadır.
- Log kayıtları kullanıcı müdahalesi olmayacak şekilde tutulmaktadır.
- Özel nitelikli kişisel veriler için güvenli şifreleme / kriptografik anahtarlar kullanılmakta ve farklı birimlerce yönetilmektedir.
- Siber güvenlik önlemleri alınmış olup uygulanması sürekli takip edilmektedir.
- Taşınabilir bellek, CD, DVD ortamında aktarılan özel nitelikli kişiler veriler şifrelenerek aktarılmaktadır.
- Özel nitelikli kişisel verilere erişimi olan çalışanların periyodik olarak yetki kontrolleri gerçekleştirilmektedir.
- Verilerin bulunduğu ortamlara ait güvenlik güncellemeleri sürekli takip edilmekte, gerekli güvenlik testleri düzenli olarak yapılmakta veya yaptırılmakta ve test sonuçları kayıt altına alınmaktadır.
- Özel nitelikli kişisel verilere erişim yapılan yazılımların güvenlik testleri düzenli olarak yaptırılmaktadır ve test sonuçları kayıt altına alınmaktadır.
- Özel nitelikli kişisel verilere uzaktan erişimlerde iki kademeli kimlik doğrulama sistemi kullanılmaktadır.
- Farklı fiziksel ortamlardaki sunucular arasında kişisel sağlık verisi aktarımı yapılacaksa sunucular arasında VPN kurularak veya sFTP yöntemleriyle aktarım yapılmaktadır.
- Dijital ortamda saklanan kişisel veriler için periyodik aralıklarla silme, yok etme veya anonim hale getirme işlemleri yapılmaktadır.
7.2 Veri İhlali Durumunda Alınacak Tedbirler
İşletmemiz tarafından işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde işletmemiz ihlali öğrenmesinden itibaren bu durumu en kısa süre içerisinde veri sahibine ve Kurul’a bildirecektir.
İşletmemiz tarafından söz konusu ihlalden etkilenen kişilerin belirlenmesine müteakip ilgili kişilere de makul olan en kısa süre içerisinde, ilgili kişinin iletişim adresine ulaşılabiliyorsa doğrudan, ulaşılamıyorsa http://ekizclinic.com/ web sitesi üzerinden yayınlanacaktır.
İlgili kişiye yapılacak olan ihlal bildiriminde;
- İhlalin ne zaman gerçekleştiği,
- Hangi kişisel verilerin ihlalden etkilendiği,
- İhlalin olası sonuçları,
- İhlalin etkilerinin azaltılması için alınan veya alınması önerilen tedbirler,
- İlgili kişinin veri ihlali ile ilgili bilgi almasını sağlayacak irtibat kişisinin isim ve iletişim detaylarına yer verilecektir.
8. KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ SÜREÇLERİ KOORDİNASYONU
Kişisel verilerin korunması ve işlenmesi süreçlerinin koordinasyonunu Mesul Müdür yapar.
9. POLİTİKADA YAPILAN GÜNCELLEMELER
İşletmemiz, mevzuatın değişmesi sebebiyle, Kurul kararları uyarınca ya da sektördeki ya da bilişim alanındaki gelişmeler doğrultusunda işbu Kişisel Verilerin İşlenmesi ve Korunması Politikasında değişiklik yapma hakkına sahiptir. Bu kapsamda yapılan değişiklikler derhal metne işlenir ve değişikliklere ilişkin açıklamalar aşağıda düzenlenen güncellemeler tablosuna eklenir.
Güncellemeler Tablosu
07.01.2021 | Kişisel Verilerin İşlenmesi ve Korunması Politikası yürürlüğe girmiştir. |
İşbu Kişisel Verilerin İşlenmesi ve Korunması Politikası, Veri Sorumlusu tarafından hazırlanmış olup, http://ekizclinic.com/ internet sitesinde duyurulmuştur.
KİŞİSEL VERİ SAKLAMA VE İMHA POLİTİKASI
Kişisel Verileri Saklama ve İmha Politikası (“Politika”), Ekiz Ağız ve Diş Sağlığı Ltd. Şti. tarafından veri sorumlusu olarak gerçekleştirilmekte olan kişisel veri saklama ve imha faaliyetlerine ilişkin iş ve işlemler konusunda usul ve esasları belirlemek amacıyla hazırlanmıştır.
İşletmemiz; Hukuka uygun misyon, vizyon ve temel ilkeler doğrultusunda; hastalar, refakatçiler, personeller, personel adayları ve hizmet verenlere ait kişisel verilerin T.C. Anayasası, uluslararası sözleşmeler, 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) ve diğer ilgili mevzuata uygun olarak işlenmesini ve ilgili kişilerin haklarını etkin bir şekilde kullanmasının sağlanmasını öncelik olarak belirlemiştir.
Kişisel verilerin saklanması ve imhasına ilişkin iş ve işlemler, bu doğrultuda hazırlanmış olan Politikaya uygun olarak gerçekleştirilir.
Hastalar, refakatçiler, personeller, personel adayları ve hizmet verenlere ait kişisel veriler bu Politika kapsamında olup işletmemizin yönettiği kişisel verilerin işlendiği tüm kayıt ortamları ve kişisel veri işlenmesine yönelik faaliyetlerde bu Politika uygulanır.
Bu Politikada yer verilen hukuki ve teknik terimlerden;
Alıcı Grubu | Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisi |
Açık Rıza | Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı, |
Anonim Hale Getirme | Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi işlemini, |
Çalışan | İşletme personelini, |
EBYS | Elektronik Belge Yönetim Sistemini, |
Elektronik Ortam | Kişisel verilerin elektronik aygıtlar ile oluşturulabildiği, okunabildiği, değiştirilebildiği ve yazılabildiği ortamlar |
Elektronik Olmayan Ortam | Elektronik ortamların dışında kalan tüm yazılı, basılı, görsel vb. diğer ortamları, |
Hizmet Sağlayıcı | İşletmemiz ile belirli bir sözleşme çerçevesinde hizmet sağlayan gerçek veya tüzel kişi |
İlgili Kişi | Kişisel verisi işlenen gerçek kişiyi, |
İlgili Kullanıcı | Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişileri, |
İmha | Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesini, |
Kanun | 24.3.2016 Tarihli ve 6698 Sayılı Kişisel Verilerin Korunması Kanununu, |
Kayıt ortamı | Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortamı, |
Kişisel Veri | Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi, |
Kişisel Veri İşleme Envanteri | Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanteri, |
Kişisel Verilerin İşlenmesi | Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi, |
Kurul | Kişisel Verileri Koruma Kurulunu, |
Özel Nitelikli Kişisel Veri | Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri, |
Periyodik İmha | Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemini, |
Politika | Kişisel Verileri Saklama ve İmha Politikasını, |
Veri İşleyen | Veri sorumlusunun verdiği yetkiye dayanarak veri sorumlusu adına kişisel verileri işleyen gerçek veya tüzel kişiyi, |
Veri Kayıt Sistemi | Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini, |
VERBİS | Veri Sorumluları Sicil Bilgi Sistemini, |
Veri Sorumlusu | Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi, |
Yönetmelik | 28 Ekim 2017 tarihli Resmi Gazete’de yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmeliği, |
İfade eder.
2. SAKLAMA VE İMHAYA İLİŞKİN AÇIKLAMALAR
İşletmemiz tarafından işlenen kişisel veriler Kanuna uygun olarak saklanır ve imha edilir.
Bu kapsamda saklama ve imhaya ilişkin detaylı açıklamalara aşağıda sırasıyla yer verilmiştir.
2.1 Saklamaya İlişkin Açıklamalar
Kanunun 3. maddesinde kişisel verilerin işlenmesi kavramı tanımlanmış, 4. maddesinde işlenen kişisel verinin işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli süre kadar muhafaza edilmesi gerektiği belirtilmiş, 5. ve 6. maddelerde ise kişisel verilerin işleme şartları sayılmıştır.
Buna göre, kişisel veriler, ilgili mevzuatta öngörülen veya işleme amaçlarımıza uygun süre kadar saklanır.
2.1.1 Kişisel Veri Saklamayı Gerektiren Hukuki Sebepler
İşlenen kişisel veriler aşağıda belirtilen hukuki sebeplerden en az birinin varlığı halinde işlenir ve saklanır.
- Kanunlarda açıkça öngörülmesi
- Sözleşmenin ifası için tarafların verilerinin işlenmesinin gerekli olması
- Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması
- Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması
- İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması
- Koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi
- Açık Rıza
2.1.2 Saklamayı Gerektiren İşleme Amaçları
Kişisel veriler aşağıda belirtilen amaçlar doğrultusunda işlenir ve saklanır.
- Acil durum yönetimi süreçlerinin yürütülmesi
- Bilgi güvenliği süreçlerinin yürütülmesi
- Çalışan adaylarının başvuru süreçlerinin yürütülmesi
- Çalışanlar için iş akdi ve mevzuattan kaynaklı yükümlülüklerin yerine getirilmesi
- Çalışanlar için yan haklar ve menfaatleri süreçlerinin yürütülmesi
- Eğitim faaliyetlerinin yürütülmesi
- Erişim yetkilerinin yürütülmesi
- Faaliyetlerin mevzuata uygun yürütülmesi
- Finans ve muhasebe işlerini yürütülmesi
- Fiziksel mekân güvenliğinin temini
- Görevlendirme süreçlerinin yürütülmesi
- Hukuki işlerin takibi ve yürütülmesi
- İletişim faaliyetlerinin yürütülmesi
- İnsan kaynakları süreçlerinin planlanması
- İş sağlığı ve güvenliği faaliyetlerinin yürütülmesi
- İş süreçlerinin iyileştirilmesine yönelik önerilerin alınması ve değerlendirilmesi
- Performans değerlendirme süreçlerini yürütülmesi
- Saklama ve arşiv faaliyetlerini yürütülmesi
- Sözleşme süreçlerinin yürütülmesi
- Talep ve şikayetlerin takibi
- Taşınır mal ve kaynakların güvenliğinin temini
- Veri sorumlusu operasyonlarının güvenliğinin temini
- Yetenek ve kariyer gelişimi faaliyetlerini yürütülmesi
- Yetkili kişi, kurum ve kuruluşlara bilgi verilmesi
- Tanıtım faaliyetlerinin yürütülmesi
2.2 İmhayı Gerektiren Sebepler
Kişisel veriler;
- İşlenmesine esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası,
- İşlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,
- Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin açık rızasını geri alması,
- Kanunun 11. maddesi gereği ilgili kişinin hakları çerçevesinde kişisel verilerinin silinmesi ve yok edilmesine ilişkin yaptığı başvurunun işletmemiz tarafından kabul edilmesi,
- İşletmemizin, ilgili kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabı yetersiz bulması veya Kanunda öngörülen süre içinde cevap vermemesi hallerinde; Kurula şikâyette bulunması ve bu talebin Kurul tarafından uygun bulunması,
- Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olması ve kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması,
durumlarında, işletmemiz tarafından ilgili kişinin talebi üzerine silinir, yok edilir ya da re’sen silinir, yok edilir veya anonim hale getirilir.
Kişisel verilerin güvenli bir şekilde saklanması, hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi ile kişisel verilerin hukuka uygun olarak imha edilmesi için Kanunun 12. maddesiyle Kanunun 6. maddesi dördüncü fıkrası gereği özel nitelikli kişisel veriler için Kurul tarafından belirlenerek ilan edilen yeterli önlemler çerçevesinde teknik ve idari tedbirler alınır.
İşlenen kişisel verilerle ilgili olarak alınan teknik tedbirler aşağıda sayılmıştır:
- Ağ güvenliği ve uygulama güvenliği sağlanmaktadır.
- Bilgi teknolojileri sistemleri tedarik, geliştirme ve bakımı kapsamındaki güvenlik önlemleri alınmaktadır.
- Çalışanlar için yetki matrisi oluşturulmuştur.
- Erişim logları düzenli olarak tutulmaktadır.
- Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır.
- Güncel anti-virüs sistemleri kullanılmaktadır.
- Güvenlik duvarları kullanılmaktadır.
- Kullanıcı hesap yönetimi ve yetki kontrol sistemi uygulanmakta olup bunların takibi de yapılmaktadır.
- Log kayıtları kullanıcı müdahalesi olmayacak şekilde tutulmaktadır.
- Özel nitelikli kişisel veriler için güvenli şifreleme / kriptografik anahtarlar kullanılmakta ve farklı birimlerce yönetilmektedir.
- Siber güvenlik önlemleri alınmış olup uygulanması sürekli takip edilmektedir.
- Taşınabilir bellek, CD, DVD ortamında aktarılan özel nitelikli kişiler veriler şifrelenerek aktarılmaktadır.
- Özel nitelikli kişisel verilere erişimi olan çalışanların periyodik olarak yetki kontrolleri gerçekleştirilmektedir.
- Verilerin bulunduğu ortamlara ait güvenlik güncellemeleri sürekli takip edilmekte, gerekli güvenlik testleri düzenli olarak yapılmakta veya yaptırılmakta ve test sonuçları kayıt altına alınmaktadır.
- Özel nitelikli kişisel verilere erişim yapılan yazılımların güvenlik testleri düzenli olarak yaptırılmaktadır ve test sonuçları kayıt altına alınmaktadır.
- Özel nitelikli kişisel verilere uzaktan erişimlerde iki kademeli kimlik doğrulama sistemi kullanılmaktadır.
- Farklı fiziksel ortamlardaki sunucular arasında kişisel sağlık verisi aktarımı yapılacaksa sunucular arasında VPN kurularak veya sFTP yöntemleriyle aktarım yapılmaktadır.
- Dijital ortamda saklanan kişisel veriler için periyodik aralıklarla silme, yok etme veya anonim hale getirme işlemleri yapılmaktadır.
İşlenen kişisel verilerle ilgili olarak alınan idari tedbirler aşağıda sayılmıştır:
- Çalışanlar için veri güvenliği hükümleri içeren disiplin düzenlemeleri mevcuttur.
- Çalışanlar için veri güvenliği konusunda belli aralıklarla eğitim ve farkındalık çalışmaları yapılmaktadır.
- Erişim, bilgi güvenliği, kullanım, saklama ve imha konularında kurumsal politikalar hazırlanmış ve uygulamaya başlanmıştır.
- Gizlilik taahhütnameleri yapılmaktadır.
- İmzalanan sözleşmeler veri güvenliği hükümleri içermektedir.
- Kâğıt yoluyla aktarılan kişisel veriler için ekstra güvenlik tedbirleri alınmakta ve ilgili evrak gizlilik dereceli belge formatında gönderilmektedir.
- Kişisel veri güvenliği politika ve prosedürleri belirlenmiştir.
- Kişisel veri güvenliği sorunları hızlı bir şekilde raporlanmaktadır.
- Kişisel veri güvenliğinin takibi yapılmaktadır.
- Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmaktadır.
- Kişisel veri içeren fiziksel ortamların dış risklere (yangın, sel vb.) karşı güvenliği sağlanmaktadır.
- Kişisel veri içeren ortamların güvenliği sağlanmaktadır.
- Kişisel veriler mümkün olduğunca azaltılmaktadır.
- Kurum içi periyodik ve/veya rastgele denetimler yapılmakta ve yaptırılmaktadır.
- Özel nitelikli kişisel veri güvenliğine yönelik protokol ve prosedürler belirlenmiş ve uygulanmaktadır.
- Özel nitelikli kişisel veriler elektronik posta yoluyla gönderilecekse mutlaka şifreli olarak ve KEP veya kurumsal posta hesabı kullanılarak gönderilmektedir.
- Özel nitelikli kişisel verilere erişim yetkisine sahip kullanıcıların, yetki kapsamları ve süreleri net olarak tanımlanmaktadır.
- Görev değişikliği olan ya da işten ayrılan çalışanların kendisine tahsis edilmiş envanter iade alınmaktadır.
- Kişisel veri envanteri hazırlanmıştır.
- Periyodik aralıklarla silme, yok etme veya anonim hale getirme işlemleri yapılmaktadır.
İşletmemiz tarafından, faaliyetleri kapsamında işlenmekte olan kişisel verilerle ilgili olarak; saklama süreleri Kişisel Veri Saklama ve İmha Politikasında yer alır.
Söz konusu saklama süreleri üzerinde, gerekmesi halinde güncellemeler yapılır.
Saklama süreleri sona eren kişisel veriler için saklama süresinin bitimini takip eden ilk periyodik imha süresinde re’sen silme, yok etme veya anonim hale getirme işlemi yerine getirilir.
İŞLENEN VERİ | İLGİLİ KİŞİ KATEGORİSİ | SAKLAMA SÜRESİ | |
Kimlik Bilgileri | Çalışan | Aktif istihdam ilişkisi sonlandıktan sonra 15 yıl | |
Çalışan Adayı | İş başvurusu olumsuz sonuçlanması halinde saklanmaz | ||
Hasta | Tedavi bitimi itibariyle 20 yıl | ||
Refakatçi | Hizmet süresince | ||
Dışardan Hizmet Veren Gerçek Kişiler | Hizmet bitiminden itibaren 10 yıl | ||
İletişim Bilgileri | Çalışan | Aktif istihdam ilişkisi sonlandıktan sonra 15 yıl | |
Çalışan Adayı | İş başvurusu olumsuz sonuçlanması halinde saklanmaz | ||
Hasta | Tedavi bitimi itibariyle 20 yıl | ||
Refakatçi | Hizmet süresince | ||
Dışardan Hizmet Veren Gerçek Kişiler | Hizmet bitiminden itibaren 10 yıl | ||
Kişisel Sağlık Verisi | Çalışan | Aktif istihdam ilişkisi sonlandıktan sonra 15 yıl | |
Çalışan Adayı | İş başvurusu olumsuz sonuçlanması halinde saklanmaz | ||
Hasta | Tedavi bitimi itibariyle 20 yıl | ||
Ceza Mahkûmiyeti ve Güvenlik Tedbirleri Bilgileri | Çalışan | Aktif istihdam ilişkisi sonlandıktan sonra 10 yıl | |
Çalışan Adayı | İş başvurusu olumsuz sonuçlanması halinde saklanmaz | ||
Özlük | Çalışan | Aktif istihdam ilişkisi sonlandıktan sonra 10 yıl | |
Çalışan Adayı | İş başvurusu olumsuz sonuçlanması halinde saklanmaz | ||
Hukuki İşlem | Çalışan ve Hasta | Hukuki sürecin sonlanmasından itibaren 10 yıl | |
İşlem Güvenliği | Çalışan ve Hasta | 2 yıl | |
Müşteri İşlem | Hasta | 20 yıl | |
Dışardan Hizmet Veren Gerçek Kişiler | Hizmet bitiminden itibaren 10 yıl | ||
Finans | Hasta | 20 yıl | |
Kamera Kayıtları | Bütün Kişi Grupları İçin | 2 ay | |
Mesleki Deneyim | Çalışan | Aktif istihdam ilişkisi sonlandıktan sonra 10 yıl | |
Çalışan Adayı | İş başvuru süreci olumsuzsa saklanmaz | ||
Görsel ve İşitsel Kayıtlar | Çalışan | Aktif istihdam ilişkisi sonlandıktan sonra 15 yıl | |
Çalışan Adayı | İş başvuru süreci olumsuzsa saklanmaz | ||
Sigara Kullanım Bilgisi | Çalışan Adayı | İş başvuru süreci olumsuzsa saklanmaz | |
Aile Bilgisi | Çalışan | Aktif istihdam ilişkisi sonlandıktan sonra 10 yıl | |
İşletmemiz, Kanun ve Yönetmelik hükümlerince kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde, işbu Politikada belirlenen esas ve usullere uygun olarak kişisel verileri resen siler, yok eder veya anonim hale getirir.
Veri sorumlusu, Kanunun 13. maddesinde belirtilen kişisel verilerin silinmesini talep etme hakkını kullanarak tarafımıza usulüne uygun şekilde başvurması durumunda;
- Kişisel verileri işleme şartlarının tamamı ortadan kalkmışsa; Talebe konu kişisel veriler, talebin alındığı günden itibaren 30 (otuz) gün içinde uygun imha yöntemi ile silinir, yok edilir veya anonim hale getirilir.
- Kişisel verileri işleme şartlarının tamamı ortadan kalkmamışsa, Kanunun 13. maddesinin üçüncü fıkrası uyarınca talep gerekçesi açıklanarak reddedilebilir ve ret cevabı ilgili kişiye en geç 30 (otuz) gün içinde yazılı olarak ya da elektronik ortamda bildirilir.
Yönetmeliğin 11 inci maddesi gereğince, periyodik imha süresi 6 ay olarak belirlenmiştir. Buna göre, her yıl Haziran ve Aralık aylarında periyodik imha işlemi gerçekleştirilir.
İlgili mevzuatta öngörülen süre ya da işlendikleri amaç için gerekli olan saklama süresinin sonunda kişisel veriler, re’sen veya ilgili kişinin başvurusu üzerine yine ilgili mevzuat hükümlerine uygun olarak aşağıda belirtilen tekniklerle imha edilir.
6.1 Kişisel Verilerin Silinmesi
Kişisel veriler aşağıda verilen yöntemlerle silinir.
Veri Kayıt Ortamı | Açıklama |
Sunucularda Yer Alan Kişisel Veriler | Sunucularda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler için sistem yöneticisi tarafından ilgili kullanıcıların erişim yetkisi kaldırılarak silme işlemi yapılır. |
Elektronik Ortamda Yer Alan Kişisel Veriler | Elektronik ortamda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, veri tabanı yöneticisi hariç diğer çalışanlar (ilgili kullanıcılar) için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. |
Fiziksel Ortamda Yer Alan Kişisel Veriler | Fiziksel ortamda tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler için evrak arşivinden sorumlu birim yöneticisi hariç diğer çalışanlar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. Ayrıca, üzeri okunamayacak şekilde çizilerek/boyanarak/silinerek karartma işlemi de uygulanır. |
Taşınabilir Medyada Bulunan Kişisel Veriler | Flash tabanlı saklama ortamlarında tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler, sistem yöneticisi tarafından şifrelenerek ve erişim yetkisi sadece sistem yöneticisine verilerek şifreleme anahtarlarıyla güvenli ortamlarda saklanır. |
6.2 Kişisel Verilerin Yok Edilmesi
Kişisel veriler aşağıda verilen yöntemlerle yok edilir.
Veri Kayıt Ortamı | Açıklama |
Fiziksel Ortamda Yer Alan Kişisel Veriler | Kâğıt ortamında yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, kâğıt kırpma makinelerinde geri döndürülemeyecek şekilde yok edilir. |
Optik / Manyetik Medyada Yer Alan Kişisel Veriler | Optik medya ve manyetik medyada yer alan kişisel verilerden saklanmasını gerektiren süre sona erenlerin eritilmesi, yakılması veya toz haline getirilmesi gibi fiziksel olarak yok edilmesi işlemi uygulanır. Ayrıca, manyetik medya özel bir cihazdan geçirilerek yüksek değerde manyetik alana maruz bırakılması suretiyle üzerindeki veriler okunamaz hale getirilir. |
6.3 Kişisel Verilerin Anonim Hale Getirilmesi
Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.
Kişisel verilerin anonim hale getirilmiş olması için; kişisel verilerin, veri sorumlusu veya üçüncü kişiler tarafından geri döndürülmesi ve/veya verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekir.
İşletmemiz kişisel verileri anonim hale getirirken yukarıda belirtilen standartlara uygun şekilde anonim hale getirme işlemi yapmaktadır. Kişisel verilerin anonim hale getirilmesi işlemi sonrasında kişisel veriler hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale gelmektedir.
7. İMHA İŞLEMİNİN HUKUKA UYGUNLUĞUNU SAĞLAMAK İÇİN ALINAN TEDBİRLER
Talep üzerine ve periyodik imha süreçlerinde resen gerçekleştirilen imha işlemleri Kanun’a, Yönetmeliğe ve işbu Politikaya uygun olarak yapılır. Bu kapsamda alınmış teknik ve idari tedbirler aşağıda ayrı ayrı gösterilmiştir.
- Bilgi teknolojileri birimlerinde çalışanların kişisel verilere erişim yetkileri kontrol altında tutulur.
- Kişisel verilerin yok edilmesi işlemi, verilerin geri dönüştürülemeyecek ve denetim izi bırakmayacak şekilde yapılmasının sağlanır.
- Personele Kişisel verilerin korunması mevzuatı, veri güvenliği ve imha konusunda eğitim verilir.
- Yapılan imha süreçleri düzenli aralıklarla denetlenir. Tespit edilen güvenlik açıklarının giderilmesi için gereken önlemler alınır.
Kişisel veriler, kanun, yönetmelik ve ilgili diğer mevzuat hükümlerine uygun olacak şekilde saklamaktadır. Bu kapsamda saklanan kişisel verilerin kayıt ortamları aşağıdaki tabloda gösterilmiştir.
Elektronik Ortamlar | Elektronik Olmayan Ortamlar |
Sunucular (Etki alanı, yedekleme, e-posta, veritabanı, web, dosya paylaşım, vb.) ü Yazılımlar (Meddata Yazılımı, ofis yazılımları, portal.) ü Bilgi güvenliği cihazları (güvenlik duvarı, saldırı tespit ve engelleme, günlük kayıt dosyası, antivirüs vb. ) ü Bilgisayarlar (Masaüstü, dizüstü) ü Mobil cihazlar (telefon, tablet vb.) ü Optik diskler (CD, DVD vb.) ü Çıkartılabilir bellekler (USB, Hafıza Kart vb.) ü Yazıcı, tarayıcı, fotokopi makinesi, Tıbbi cihazlar | ü Kağıt ü Manuel veri kayıt sistemleri ü Yazılı, basılı ve görsel ortamlar
|
9. KİŞİSEL VERİ GÜVENLİĞİ İÇİN ALINAN TEDBİRLER
Kişisel verilerin güvenli bir şekilde saklanması, hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi ile kişisel verilerin hukuka uygun olarak imha edilmesi için Kanunun 12. maddesiyle Kanunun 6. maddesi dördüncü fıkrası gereği özel nitelikli kişisel veriler için Kurul tarafından belirlenerek ilan edilen yeterli önlemler çerçevesinde teknik ve idari tedbirler alınır.
İşlenen kişisel verilerle ilgili olarak alınan teknik tedbirler aşağıda sayılmıştır:
- Ağ güvenliği ve uygulama güvenliği sağlanmaktadır.
- Bilgi teknolojileri sistemleri tedarik, geliştirme ve bakımı kapsamındaki güvenlik önlemleri alınmaktadır.
- Güncel anti-virüs sistemleri kullanılmaktadır.
- Güvenlik duvarları kullanılmaktadır.
- Saldırı tespit ve önleme sistemleri kullanılmaktadır.
- Siber güvenlik önlemleri alınmış olup uygulanması sürekli takip edilmektedir.
- Kriptografik şifreleme ve yedekleme yapılmaktadır.
- Kullanıcı hesap yönetimi, anahtar yönetimi ve veri maskeleme yapılmaktadır.
- Silme, yok etme veya anonim hale getirme yapılmaktadır
- Veri kaybı önleme yazılımları kullanılmaktadır.
İşlenen kişisel verilerle ilgili olarak alınan idari tedbirler aşağıda sayılmıştır:
- Çalışanlar için veri güvenliği hükümleri içeren disiplin düzenlemeleri mevcuttur.
- Çalışanlar için veri güvenliği konusunda belli aralıklarla eğitim ve farkındalık çalışmaları yapılmaktadır.
- Erişim, bilgi güvenliği, kullanım, saklama ve imha konularında kurumsal politikalar hazırlanmış ve uygulamaya başlanmıştır.
- Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır.
- Kişisel veri güvenliği politika ve prosedürleri belirlenmiştir.
- Kişisel veri güvenliğinin takibi yapılmaktadır.
- Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmaktadır.
- Kişisel veri içeren fiziksel ortamların dış risklere (yangın, sel vb.) karşı güvenliği sağlanmaktadır.
- Kişisel veri içeren ortamların güvenliği sağlanmaktadır.
- Kişisel veriler mümkün olduğunca azaltılmaktadır.
- Kurum içi periyodik ve/veya rastgele denetimler yapılmakta ve yaptırılmaktadır.
10. PERSONEL UNVAN, BİRİM VE GÖREV DAĞILIMI
Tüm birimler ve çalışanlar, sorumlu birimlerce Politika kapsamında alınmakta olan teknik ve idari tedbirlerin gereği gibi uygulanması, birim çalışanlarının eğitimi ve farkındalığının arttırılması, izlenmesi ve sürekli denetimi ile kişisel verilerin hukuka aykırı olarak işlenmesinin önlenmesi, kişisel verilere hukuka aykırı olarak erişilmesinin önlenmesi ve kişisel verilerin hukuka uygun saklanmasının sağlanması amacıyla kişisel veri işlenen tüm ortamlarda veri güvenliğini sağlamaya yönelik teknik ve idari tedbirlerin alınması konularında sorumlu birimlere aktif olarak destek verir.
Kişisel verilerin saklama ve imha süreçlerinde görev alanların unvanları ve görev tanımlarına ait dağılım aşağıda tablo halinde verilmiştir.
GÖREVLİ | GÖREV TANIMI |
Ömer Faruk Ekiz
| İşlenen Kişisel veri saklama ve imha süreçlerinin işbu politikaya uygun şekilde yapılmasını temin etmek, birimler arası koordinasyonu sağlamak, gerekli denetimleri yapmak, politikanın geliştirilmesi, ilgili ortamlarda yayınlanması ve güncellenmesinden sorumludur.
|
Ömer Faruk Ekiz
| Çalışanların politikaya uygun hareket etmesini sağlamak, gerekli denetimleri yapmak ve Kişisel veri işleme koordinatörü tarafından verilen diğer görevleri yerine getirmek.
|
Ömer Faruk Ekiz
| Politika’nın uygulanmasında ihtiyaç duyulan teknik çözümlerin sunulmasından sorumludur. |
11. POLİTİKADA YAPILAN GÜNCELLEMELER
Mevzuatın değişmesi sebebiyle, Kurul kararları uyarınca ya da sektördeki ya da bilişim alanındaki gelişmeler doğrultusunda işbu Kişisel Veri Saklama ve İmha Politikasında değişiklik yapılabilir. Bu kapsamda yapılan değişiklikler derhal metne işlenir ve değişikliklere ilişkin açıklamalar aşağıda düzenlenen güncellemeler tablosuna eklenir.
Güncellemeler Tablosu
07.01.2021 | Kişisel Veri İşleme ve İmha Politikası yürürlüğe girmiştir. |
İşbu Kişisel Veri Saklama ve İmha Politikası, Ekiz Ağız ve Diş Sağlığı Ltd. Şti. tarafından hazırlanarak işletme içinde uygun yerlerde ilan edilerek iş sözleşmesiyle çalışmakta olan personele ve ilgili diğer kişilere duyurulmuştur.
ÇEREZ AYDINLATMA METNİ
İşbu aydınlatma metni, veri sorumlusu Ekiz Ağız ve Diş Sağlığı Ltd. Şti. tarafından elde edilen kişisel verilerin işlenmesine ilişkin olarak 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) 10. Maddesinde belirtilen aydınlatma yükümlülüğünün yerine getirilmesi amacıyla hazırlanmıştır.
Çerezlerin Kullanım Amacı
Çerezler, internet siteleri tarafından bilgisayar, akıllı telefon, tablet vb. iletişim araçlarına bırakılan tanımlama dosyalarıdır. İnternet siteleri tekrar ziyaret edildiğinde gelişmiş kullanıcı deneyimi sağlamak amacıyla erişilen cihazların tanınmalarını sağlar.
Çerezler, herhangi bir internet sitesini ziyaretinizle ilgili bilgilerin ilgili internet sitesi tarafından hatırlanmasına yardımcı olur. Bir sonraki ziyaretinizde kolaylık sağlayabilir ve siteyi daha kullanışlı hale getirebilir.
Veri sorumlusuna ait http://ekizclinic.com/ adresine bırakılan çerezlerin kullanımı Kanun’a ve uymakla yükümlü olduğumuz mevzuata uygun şekilde gerçekleştirilmektedir.
1. Çerez Kullanımı
http://ekizclinic.com/ internet sitesini ziyaret ettiğinizde web sitesinin kullanımı için gerekli olan çerezlerin cihazınıza yerleştirmesini kabul edersiniz.
İşletmemizin cihazınıza ilişkin çerezleri kullanmasını istemiyorsanız tarayıcınızın çerez ayarlarına ilişkin bölümünden çerezlerin kullanımını reddedebilirsiniz. Çerez kullanımını reddettiğiniz takdirde http://ekizclinic.com/ internet sitesinin bazı bölümlerini gerektiği şekliyle kullanamayabilirsiniz.
İşletmemiz gerekli gördüğü durumlarda, kullandığı çerezleri kullanmaktan vazgeçebilir, bunların türlerini veya fonksiyonlarını değiştirebilir veya internet sitesine yeni çerezler ekleyebilir. Çerez Politikasının değiştirildiği hallerde değiştirilmiş politika değişiklik tarihinden itibaren geçerli olacaktır.
Kullanılan Çerez Türleri ve Kullanım Amaçları
Oturum çerezleri: İnternet sitesinden ayrılana dek cihazlarınızda tutulan geçici çerezleri ifade eder.
Kalıcı çerezler: Cihazınızın sabit diskinde uzun süreler kalan türde çerezlerdir.
Zorunlu çerezler: İnternet sitesinin düzgün bir şekilde çalışabilmesi ve kullanıcıların sitede gezinme ve özelliklerinden yararlanmasını sağlar. Zorunlu çerezler anonim niteliktedirler.
İşlevsel ve Analitik çerezler: Tercihlerinizi hatırlamak, internet sitesinin etkin şekilde kullanılması, sitenin kullanıcı isteklerine cevap verecek şekilde optimize edilmesi ve ziyaretçilerin siteyi nasıl kullandığı hakkında verileri içerir. Niteliği gereği bu türdeki çerezler kullanıcı adı ve şifreden oluşan kişisel bilgilerinizi içerebilir.
Yukarıda açıklanan oturum, kalıcı, işlevsel ve analitik çerezlerin tutulma süresi yaklaşık altı aydır ancak sitemize erişilen internet tarayıcısının ayarlarından bu süreye ilişkin gerekli ayarlamalar yapılabilir.
Çerez Kullanımını Kontrol Etme Yolları
Tarayıcınızın ayarlarını değiştirerek çerezlere ilişkin tercihlerinizi kişiselleştirme imkanına sahipsiniz.
Kişisel Verilerin İşlenme Amacı
Kanun’un 4. Maddesinde belirtilen ilkelere uygun olarak aşağıda belirtilen amaçlar için işlenmektedir.
- Tercihlerinizi hatırlamak, internet sitesinin etkin şekilde kullanılması, sitenin kullanıcı isteklerine cevap verecek şekilde optimize edilmesi,
- Doğabilecek uyuşmazlıklarda delil olarak kullanılması amaçlarıyla, sınırlı olarak işlenmektedir.
Kişisel Verilerin Aktarımı
İşlenen kişisel veriler aşağıda belirtilen 3. kişilere aktarılabilecektir.
- Hukuki uyuşmazlık durumunda adli makamlar ve taraf avukatları
- Kayıt ve arşivleme amacıyla sunucu hizmeti alınan firmaya
Kişisel Verilerin Toplanma Yöntemi ve Hukuki Sebebi
Elektronik ortamda elde edilen kişisel veriler aşağıda belirtilen hukuki sebeplerle otomatik işlenmektedir.
- İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması
Kişisel Veri Sahibi İlgili Kişinin Hakları
Kanun’un 11. Maddesi uyarınca herkes, veri sorumlusuna başvurarak kendisiyle ilgili;
- Kişisel veri işlenip işlenmediğini öğrenme,
- Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
- Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
- Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
- Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
- Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
- İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
- Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme, haklarına sahiptir.
http://ekizclinic.com/ internet sitemizden edineceğiniz İlgili Kişi Başvuru Formunu eksiksiz doldurarak, Kanunun 11 inci maddesinde belirtilen haklarınız kapsamındaki taleplerinizi, yazılı olarak Ayazağa Mah. Kemerburgaz Cad. No:10/A İç Kapı No :100 Sarıyer/ İSTANBUL adresimize göndermeniz ya da tarafımıza önceden bildirdiğiniz ve sistemimizde kayıtlı elektronik posta adresiniz üzerinden [email protected] adresimize iletmeniz gerekmektedir.
Yukarıda belirtilen şekilde yapılan başvurulara en kısa sürede ve en geç 30 (otuz) gün içerisinde ücretsiz olarak yanıt verilecektir. Ancak talebinize konu işlemin ayrıca bir maliyet doğurması halinde, Kişisel Verileri Koruma Kurulu’nca belirlenen tarifedeki ücret alınacaktır.