7 Nisan 2016 tarihinde Resmî Gazete’de yayınlanarak yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”), kişisel verilerin işlenmesine ve bu işlenme kapsamında korunmasına ilişkin önemli düzenlemeler öngörmektedir.
Uzm. Dt. Mustafa Onur Şengezer Diş Hekimliği Kliniği(“Klinik”) Kişisel Verilerin Korunması ve İşlenmesi Politikası (“Politika”), Klinik tarafından aşağıda listeli kategorilerde yer alan gerçek kişilere ait kişisel verilerin Kanun kapsamında işlenmesine, imha edilmesine ve anonim hale getirilmesine ilişkin Klinik’in usul ve esaslarını içermektedir.
İşbu Politika değişen şartlara ve mevzuata uyum sağlamak amacıyla Klinik tarafından gerekli görülmesi halinde güncellenebilir. Politikanın güncellenmesi halinde, güncel metin ilan edilir.
1.1 Politikanın Amacı ve Kapsamı
Politika ile Klinik tarafından veri ilgililerine ait işlenen kişisel verilerin T.C. Anayasası, uluslararası sözleşmeler, 6698 sayılı Kişisel Verilerin Korunması Kanunu ve diğer ilgili mevzuata uygun olarak işlenmesini ve ilgili kişilerin haklarını etkin bir şekilde kullanmasının sağlanması amaçlanmaktadır. Politika ile istenilen asıl amaç kişisel verilerin şeffaflık ilkesi ile işlenmesi, koruma altına alınması ve ve işleyişi ile ilgili olarak veri ilgilisine bilgi sağlamaktır. Bu şekilde gerek kişilerin gerekse de Klinik’in kişisel verileri koruma bağlamında tüm hak ve özgürlükleri koruma altına alınmak istenmektedir.
Politika, Klinik tarafından, veri ilgililerinin kişisel verilerinin işlenmesinde, aktarılmasında ve imha edilmesinde uyulacak kuralların belirlenmesi ve veri ilgililerinin bu kurallar kapsamında bilgilendirilmesi amacıyla hazırlanmıştır. Bu Politika veri ilgililerinin otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerine ilişkin olarak uygulanmaktadır.
1.2 Kısaltmalar ve Tanımlar
Açık Rıza | Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı ifade eder. |
Anonim Hâle Getirme: | Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini ifade eder. |
İlgili Kişi: | Kişisel verisi işlenen gerçek kişiyi ifade eder. |
İlgili Kullanıcı: | Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişileri ifade eder. |
İmha: | Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesini ifade eder. |
Kanun: | 6698 Sayılı Kişisel Verilerin Korunması Kanunu’nu ifade eder. |
Kişisel Veri: | Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade eder. |
Kişisel Veri İşleme Envanteri: | Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresini, varsa yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanteri ifade eder. |
Kişisel Verilerin İşlenmesi: | Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi ifade eder. |
Kurul: | Kişisel Verileri Koruma Kurulunu ifade eder. |
Kurum: | Kişisel Verileri Koruma Kurumunu ifade eder. |
Özel Nitelikli Kişisel Veri: | Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri ifade eder. |
Periyodik İmha: | Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda işbu Politika’da belirtilen ve tekrar eden aralıklarla re’sen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemini ifade eder. |
Politika: | Kişisel Verileri İşelenmesi, Korunmasu ve İmha Politikasını ifade eder. |
Veri Aktarımı: | Kişisel verilerin üçüncü kişilere aktarımını ifade eder. |
Veri İşleyen: | Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi ifade eder. |
Veri Kayıt Sistemi: | Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini ifade eder. |
Veri Sorumlusu: | Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade eder. Veri Sorumluları Sicil Bilgi Sistemi: Veri sorumlularının Sicile başvuruda ve Sicile ilişkin ilgili diğer işlemlerde kullanacakları, internet üzerinden erişilebilen, Başkanlık tarafından oluşturulan ve yönetilen bilişim sistemini ifade eder. |
VERBİS: | Veri Sorumluları Sicil Bilgi Sistemi’ni ifade eder. |
Yönetmelik: | 28 Ekim 2017 tarihli Resmî Gazetede yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik’i ifade eder. |
Veri Paylaşımı: | Kişisel verilerin veri sorumlusu bünyesindeki ilgililerce paylaşılmasını ifade eder. |
Klinik’in tüm birimleri ve çalışanları, sorumlu birimlerce Politika kapsamında alınmakta olan teknik ve idari tedbirlerin gereği gibi uygulanması, birim çalışanlarının eğitimi ve farkındalığının arttırılması, izlenmesi ve sürekli denetimi ile kişisel verilerin hukuka aykırı olarak işlenmesinin önlenmesi, kişisel verilere hukuka aykırı olarak erişilmesinin önlenmesi ve kişisel verilerin hukuka uygun saklanmasının sağlanması amacıyla kişisel veri işlenen tüm ortamlarda veri güvenliğini sağlamaya yönelik teknik ve idari tedbirlerin alınması konularında sorumlu birimlere aktif olarak destek verir.
Klinik İnsan Kaynakları / Kişisel Verileri Koruma Yönetim Birimi, çalışanların Kanun’a ve Politika’ya uygun hareket etmesinden, Politika’nın hazırlanması, geliştirilmesi, yürütülmesi, ilgili ortamlarda yayınlanması ve güncellenmesinden, Politika’nın uygulanmasında ihtiyaç duyulan teknik çözümlerin sunulmasından, teknik ve idari tedbirlerin alınmasından sorumludur.
Diğer tüm birimler görevlerine uygun olarak KVKK’ya ve Politika’ya uymakla ve yürütmekle yükümlüdür.
Aşağıda belirtilen ve ilgili kişi tarafından sağlanan kişisel veriler Klinik tarafından işbu Politika’da belirtilen amaç ve sebeplerle işlenecektir.
Açık Rıza | Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı ifade eder. |
Kimlik Bilgileri | Ad-soyad, T.C. kimlik numarası, uyruk, doğum yeri, doğum tarihi, nüfusa kayıtlı olduğu yer, aile sıra no, cilt no, anne adı-baba adı, cinsiyet, medeni durum gibi bilgileri içeren ehliyet, nüfus cüzdanı ve pasaport gibi belgeler ile vergi numarası, SGK numarası, imza bilgisi. bilgiler; Yabancı ise, yabancı kimlik no, pasaport numarası, pasaport süresi, pasaport tipi, pasaport veriliş tarihi, ülke numarası, yabancı ülkedeki şahıs numarası, yabancı kimlik belgesinin düzenlenme tarihi, yabancı kimlik kartının son kullanma tarihi, pasaportta yer alan son giriş ve çıkış tarihleri ile ülke bilgisi, imza bilgisi. |
İletişim Bilgileri | Telefon numarası (sabit ve/veya mobil), adres, e-posta adresi. |
Çalışan Yakını Bilgileri | Aile yakınlarının nüfus cüzdanı fotokopisi ve bu kapsamdaki kimlik bilgileri, nüfus kayıt örneği, iletişim bilgileri. |
Finansal Veriler | Finansal ve maaş detayları, bordrolar, prim hak edişleri, prim tutarları, icra takip dosyalarına ilişkin dosya ve borç bilgileri, banka hesap cüzdanı, asgari geçim indirimi bilgisi, özel sağlık sigortası tutarı. |
Mesleki Deneyim | Özgeçmiş, önceki çalıştığı işyeri/işyerlerinin adı, önceki çalıştığı iş yeri/iş yerlerinde işe başlama ve işin bitiş tarihi, önceki çalıştığı iş yeri/iş yerlerinde çalıştığı pozisyon, öğrenim durumu, sertifika ve diploma bilgileri, yabancı dil bilgileri, eğitim ve beceriler, aldığı kurslar, özgeçmiş. |
Görsel ve İşitsel Kayıtlar | Fotoğraf, kamera kaydı görüntüsü, kamera kaydı. |
Fiziksel Mekân Güvenlik Bilgisi | Fiziksel mekâna girişte, fiziksel mekânın içerisinde kalış sırasında alınan kayıtlar ve belgelere ilişkin kişisel veriler; kamera kayıtları, taşıt plaka bilgileri, güvenlik noktasında alınan kayıtlar. |
Çalışma Verisi | Sicil no, pozisyon adı, departmanı ve birimi, unvanı, son işe giriş tarihi, işe giriş çıkış tarihleri, sigorta giriş/emeklilik, sosyal güvenlik no, çalışma gün sayısı, çalıştığı projeler, aylık toplam mesai bilgisi, kıdem tazminatı baz tarih, kıdem tazminatı ilave gün, grevde geçen gün, çalışan internet erişim logları, giriş çıkış logları. |
İzin Verisi | İzin kıdem baz tarihi, izin kıdem ilave gün, izin grubu, çıkış/dönüş tarihi, gün, izine çıkış nedeni, izinde bulunacağı adres/telefon. |
Özlük Verisi | Mevzuat gereği özlük dosyasına girmesi gereken her türlü bilgi ve belge (örn. Maaş miktarı, SGK pirimleri, AGİ verisi, bordrolar) |
Hukuki İşlem Verisi | Sözleşme, dava dosyaları, icra takipleri, ödeme ve icra emirleri, vekaletname |
Lokasyon Verisi | Konum bilgileri, araç takip sistemi |
Müşteri/Hasta İşlem Verisi | Fatura, çek, bono, poliçe bilgileri, sipariş bilgisi, talep bilgisi ve benzeri veriler. |
Özel Nitelikli Kişisel Veri | Ceza mahkumiyeti, sağlık bilgisi verisi. |
Klinik’in veri sorumlusu sıfatıyla KVKK’da ve Politika’da belirtilen amaçlar, usul ve esaslar doğrultusunda kişisel verisini işleyeceği kişi grupları şu şekildedir:
• Çalışan Adayı
• Çalışan Yakını
• Çalışan
• Hissedar/Ortak
• Stajyer
• Tedarikçi Çalışanı
• Tedarikçi Yetkilisi
• Ürün Veya Hizmet Alan Kişi
• Ziyaretçi
• Hasta
Klinik veri sorumlusu sıfatıyla, veri ilgililerinin kişisel verilerini, işbu Politika’da belirtilen amaçlar, usuller ve esaslar kapsamında; hukuka ve dürüstlük kurallarına uygun, doğru ve güncel, belirli, açık ve meşru amaçlar için, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olarak KVKK’da ve işbu Politika’da belirtilen şekillerde işleyecek, ilgili mevzuatta ve Politikada öngörülen veya ilgili amaç için gerekli olan süre kadar muhafaza edecek, mevzuatın izin verdiği hallerde ve işbu Politika’da belirtilen şekillerle ve de işlendikleri amaçla sınırlı olarak üçüncü kişilere aktarabilecek, klinik bünyesinde ilgililerle paylaşabilecektir.
5.1 Kişisel Verilerin İşlenmesini Gerektiren Hukuki Nedenler
Kişisel veriler KVKK’da belirtilen kişisel veri işleme koşullarına uygun olarak işlenmektedir. Bu doğrultuda; kanunlarda açıkça öngörülmesi, fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması, ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması koşullarından birinin veya birkaçının mevcut olması halinde ya da gerekli olması halinde veri ilgilisinin açık rızasına başvurularak kişisel veriler işlenecektir.
Bu kapsamda;
• 2547 sayılı Yükseköğretim Kanunu,
• 2828 sayılı Sosyal Hizmetler Kanunu
• Kişisel Sağlık Verilerinin İşlenmesi ve Mahremiyetinin Sağlanması Hakkında Yönetmelik
• Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar
• Hasta Hakları Yönetmeliği
• 3071 sayılı Dilekçe Hakkının Kullanılmasına Dair Kanun,
• 4734 sayılı Kamu İhale Kanunu,
• 4857 sayılı İş Kanunu,
• 4982 Sayılı Bilgi Edinme Kanunu,
• 5018 sayılı Kamu Mali Yönetimi Kanunu,
• 5434 sayılı Emekli Sağlığı Kanunu,
• 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu,
• 5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun,
• 6098 sayılı Türk Borçlar Kanunu,
• 6331 sayılı İş Sağlığı ve Güvenliği Kanunu,
• 657 sayılı Devlet Memurları Kanunu,
• 6698 sayılı Kişisel Verilerin Korunması Kanunu,
• Arşiv Hizmetleri Hakkında Yönetmelik
• Bu kanunlar uyarınca yürürlükte olan diğer ikincil düzenlemeler ve sair mevzuat hükümleri
• İşyeri Bina ve Eklentilerinde Alınacak Sağlık ve Güvenlik Önlemlerine İlişkin Yönetmelik,
uyarınca ve ilgili sair mevzuat hükümleri uyarınca kişisel veriler işlenecektir.
Kişisel veriler; hukuka ve dürüstlük kuralının öngördüğü biçimde, doğru ve güncel olarak, belirli, açık ve meşru amaçlar için ve de işlenme amaçları ile bağlantılı, sınırlı ve ölçülü olarak Klinik tarafından işlenecektir. Klinik’in meşru menfaatleri doğrultusunda yazılı, sözlü ve elektronik ortamlar üzerinden kişisel veriler talep edilmekte, toplanmakta ve sair şekillerde işlenmektedir.
Kişisel veriler yalnızca toplanma amaçları doğrultusunda toplanacak, işlenme amaçlarının gerektirdiği süreler boyunca saklanabilecek, kanunda belirtilen kuralları aşar şekilde işlenmeyecek ve işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde, yürürlükteki diğer mevzuattan doğan saklama mecburiyeti bulunan haller saklı olmak üzere, resen veya ilgili kişi olarak talebiniz üzerine silinecek, yok edilecek veya anonim hale getirilecektir.
Klinik, faaliyetleri çerçevesinde kişisel verileri aşağıdaki amaçlar doğrultusunda işler.
• 6331 Sayılı İş Sağlığı Ve Güvenliği Kanunu Kapsamında İş Sağlığı Ve Güvenliği İşlemlerinin Yapılması,
• Acil Durum Yönetimi Süreçlerinin Yürütülmesi
• Çalışan Adayı / Stajyer / Öğrenci Seçme Ve Yerleştirme Süreçlerinin Yürütülmesi
• Çalışan Adaylarının Başvuru Süreçlerinin Yürütülmesi
• Çalışanlar İçin İş Akdi Ve Mevzuattan Kaynaklı Yükümlülüklerin Yerine Getirilmesi,
• Çalışanlar İçin Yan Haklar Ve Menfaatleri Süreçlerinin Yürütülmesi,
• Faaliyetlerin Mevzuata Uygun Yürütülmesi,
• Finans Ve Muhasebe İşlerinin Yürütülmesi
• Fiziksel Mekan Güvenliğinin Temini
• Taşınır Mal Ve Kaynakların Güvenliğinin Temini,
• Hukuk İşlerinin Takibi Ve Yürütülmesi
• İletişim Faaliyetlerinin Yürütülmesi
• İnsan Kaynakları Süreçlerinin Planlanması
• İş Faaliyetlerinin Yürütülmesi / Denetimi
• İş Sağlığı / Güvenliği Faaliyetlerinin Yürütülmesi
• İş Sürekliliğinin Sağlanması Faaliyetlerinin Yürütülmesi,
• İşyerine Giriş Ve Çıkışlarının Kontrol Edilmesi,
• Lojistik Faaliyetlerin Yürütülmesi,
• Mal / Hizmet Satın Alım Süreçlerinin Yürütülmesi
• Mal / Hizmet Satış Süreçlerinin Yürütülmesi
• Mal / Hizmet Üretim Ve Operasyon Süreçlerinin Yürütülmesi
• Müşteri İlişkileri Yönetimi Süreçlerinin Yürütülmesi
• Performans Değerlendirme Süreçlerinin Yürütülmesi,
• Saklama Ve Arşiv Faaliyetlerinin Yürütülmesi,
• Sözleşme Süreçlerinin Yürütülmesi
• Taşınır Mal Ve Kaynakların Güvenliğinin Temini
• Terfilerin Yönetilmesi,
• Ücret Politikasının Yürütülmesi,
• Veri Sorumlusu Operasyonlarının Güvenliğinin Temini
• Yabancı Personel Çalışma Ve Oturma İzni İşlemlerinin Yapılması,
• Yetkili Kişi, Kurum Ve Kuruluşlara Bilgi Verilmesi,
• Yönetim Faaliyetlerinin Yürütülmesi,
• Yürürlükteki Mevzuattan Kaynaklanan Hukuki Yükümlülüklerimizi Yerine Getirmek,
• Ziyaretçi Kayıtlarının Oluşturulması Ve Takibi
5.3 Özel Nitelikli Kişisel Verilerin Toplanma Yöntemleri ve İşlenme Amaçları
6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 5. ve 6. maddesi kişisel verilerin ve özel nitelikli kişisel verilerin işlenme şartlarını düzenlemektedir. Bu kapsamda kanunun 5. maddesi özel nitelikli sayılmayan kişisel verilerin işlenmesini, kanunun 6. maddesi ise özel nitelikli kişisel verilerin işlenmesini düzenlemektedir. KVKK kapsamında veri ilgisi kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek vakıf veya sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkumiyeti verileri, biyometrik ve genetik verileri özel nitelikli kişisel verilerdir. Bu verilerin açık rıza olmaksızın işlenmesi yasaktır. Örneğin; sağlık raporları, din, kan grubu, sakatlık durumu gibi veriler özel nitelikli verilerdir. Ancak sağlık ve cinsel hayat dışındaki verilerin kanunlarda öngörülen hallerde işlenmesi durumunda rıza alınmasına gerek bulunmamaktadır. Klinik tarafından çalışanların özel nitelikli kişisel verileri; hukuka ve dürüstlük kuralının öngördüğü biçimde, doğru ve güncel olarak, belirli, açık ve meşru amaçlar için ve de işlenme amaçları ile bağlantılı, sınırlı ve ölçülü olarak, açık rıza alınmak suretiyle işlenecektir.
Bu doğrultuda:
• Ceza Mahkumiyeti: Personellerin arşivli sicil kayıtları başta olmak üzere, elektronik ortamdan veya fiziksel ortamdan temin edilmiş olan adli sicil kayıtlarının ilgili sair mevzuatlar uyarınca tutulması gerekmektedir. Bu kapsamda ilgili amaç doğrultusunda kişisel verileriniz özlük dosyasınca kaydedilmektedir.
• Sağlık Bilgisi Veriler; Personelin sunulan ve yetkili kurumlardan alınan sağlık belgesi ve raporları ile Adli Tıp Kurumu raporları vasıtasıyla mevzuattan kaynaklanan yükümlülüklerin yerine getirilmesi, iş ve insan kaynakları süreçlerinin yürütülmesi, yan hakların tanınması, periyodik sağlık taramalarının yapılması, ilgili mevzuat uyarınca düzenlenmesi öngörülen iş görmezlik raporlarının hazırlanması, hukuken yetkili kuruluşlara mevzuattan kaynaklı bilgi verilmesi , hastalar içinse kliniğimizin hizmetlerinden faydalanabilmek adına özel sağlık kurumlarının mevzuatlar kapsamında ilgili yükümlülüklerini yerine getirebilmesi sebebiyle; Hasta takip sistemi aracılığıyla kan grubunuz, muayene bilgileri, doktorlarımız tarafından konulan tanılarınız, laboratuvar tarafından edinilen önemli tetkik bilgileriniz, panoramik diş röntgeni bilginiz, periodontolojik tıbbi bilgileriniz ve verilen tedaviyi kapsayacak şekilde tıbbi dökümanların işlenmesi, hastalarımız ve kliniğimiz arasında akdedilen sözleşmelerin ve işbu sözleşmeden doğan bedel karşılığında tarafınıza bildirilecek olan fatura bilgilerinin düzenlenmesini kontrol altına almak, Sağlık Bakanlığı ve kişisel sağlık verilerinin korunması bağlamında ilgili mevzuatlar uyarınca hasta ve/veya hastalık verisi talep eden kamu kurum ve kuruluşlarının; talep ettikleri belgelerin kamu sağlığı ve kamu yararı başta olmak üzere istenilen kişisel verilerinin iletilmesini sağlamak, hastalarımızın tedavilerini en doğru şekilde takip edebilmek amacıyla klinik iç işleyişinde alınacak hizmet faaliyetlerini sağlayabilmek ve ilgili klinik yönetim faaliyetlerinin sizlere verilecek tıbbi hizmetin belirlenmesini kontrol altında tutmak, kliniğimiz tarafından gerçekleştirilen tıbbi muayene ve tetkiklerin devamında hastalığın araştırmasını sağlamak ve sizlere hastalıkla ilgili olarak kişisel iletişim bilgilerinizi kullanmak suretiyle tarafınıza doğru bilgi sağlayabilmek amacıyla,
işlenecektir.
Çalışanların özgeçmişleri aracılığı ile kendi rızaları doğrultusunda tarafımıza ilettikleri özel nitelikli kişisel veriler ise KVKK’ya uygun bir biçimde saklanmaktadır. Klinik tarafından Kanun kapsamında özel nitelikli kişisel veri olarak değerlendirilen herhangi bir verinin işlenmesinin gerekmesi halinde tarafınıza açık rıza verilmesi için başvurulacaktır. Tarafınızca açık rıza verilmemesi ve söz konusu özel nitelikli verinin işlenebileceğinin kanun kapsamında istisnasının öngörülmemesi halinde ilgili veri Klinik tarafından hiçbir şekilde işlenmeyecektir.
Özel nitelikli kişisel veriler yalnızca belirtilen toplanma amaçları doğrultusunda toplanacak, Politika’da ve sair mevzuat uyarınca belirtilen işlenme amaçlarının gerektirdiği süreler boyunca saklanabilecek, kanunda belirtilen kuralları aşar şekilde işlenmeyecek ve işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde, yürürlükteki diğer mevzuattan doğan saklama mecburiyeti bulunan haller saklı olmak üzere, resen veya ilgili kişi olarak talebiniz üzerine silinecek, yok edilecek veya anonim hale getirilecektir.
Kişisel veriler, ilgili mevzuatta belirtilen veya işlendikleri amaç için gerekli olan azami süre ve herhalde kanuni zamanaşımı süreleri kadar muhafaza edilecektir.
5.4 Kişisel Verileri Koruma Uyarınca Kliniğimizce Alınan Güvenlik Tedbirleri
5.4.1 CCTV Aydınlatma Metni
Klinik tarafından yerleşkelerimizin genel iç ve dış alanlarında, bina giriş ve çıkışlarında ve gerekli görülen tüm lokasyonlarda alınan kapalı devre kamera kayıt sistemleri, sadece siz ziyaretçilerimizin ve Klinik personellerinin güvenlikleri açısından amaca uygun olarak kayıt altına alınmakta, kişisel verileri koruma kapsamında getirilen teknik tedbirler ile sürekli denetim ve koruma altına alınmaktadır.
Bu kapsamda gerek Kişisel Verileri Koruma Kanunu gerekse de güvenlik tedbirlerini sağlamak için Özel Güvenlik Hizmetlerine Dair Kanun ve ilgili diğer tüm sair mevzuatlar uyarınca kamera kaydı sağlanmaktadır. CCTV diğer bir deyişle kamera kayıtlarınız kanunun ön gördüğü şekilde güncellik ilkesine uygun olarak kliniğimizce kayıt altına alınmış olup, idari ve teknik olarak koruma altına alınmış olup, sistematik olarak tarafımızca denetim altında tutulmaktadır. Öncelikle 6698 sayılı mevzuatın 11.ve 12. Maddeleri uyarınca ve bununla beraber tüm sair mevzuatlar kapsamında teknik araçlar vasıtasıyla kamera kayıtlarınız kayıt altında tutulmakta olup gerekli tüm tedbirler alınarak veri kayıt sistemine işlenmektedir.
6.1 Kişisel Verilerin Yurt İçindeki Üçüncü Kişilere Aktarılması
Kişisel verilerin, kanunda ve işbu Aydınlatma Metni’nde belirtilen amaçlar dahilinde, yürürlükteki mevzuata uygun olarak, kişisel veri işleme amaçları doğrultusunda gerekli güvenlik önlemlerini de almak sureti ile üçüncü kişilere, iş ortaklarımıza, ifa yardımcılarımıza, mevzuat hükümleri izin verdiği ve gerektirdiği ölçüde ilgili kurum veya kuruluşlara, kamu tüzel kişileri ile ve ayrıca, seyahat ve eğitim, toplu e-posta gönderimi gibi sebeplerle yurtiçindeki ve/veya yurt dışındaki üçüncü kişilere; mal / hizmet üretim ve operasyon süreçlerinin yürütülmesi, mal / hizmet satış süreçlerinin yürütülmesi ve mal / hizmet satın alım süreçlerinin yürütülmesi amaçlarıyla ilgili iş ortaklarımıza, müşterilerimize/ziyaretçilerimize, tedarikçilerimize, danışmanlarımız ve hizmet sağlayıcılarımıza, bilişim altyapımızı sağlayan, işleten veya hizmet sunan iş ortaklarımıza ve hizmet sağlayıcılarımıza; bağımsız denetim, gümrük, mali müşavir/muhasebe hizmeti sunan iş ortaklarımıza, kanunen yetkili kamu kurumları ve özel kişi veya kuruluşlar ile üçüncü kişilere, hukuki yükümlülüklerin yerine getirilmesi kapsamında avukatlar, denetçiler, adli bilişim uzmanları, siber güvenlik danışmanları, vergi danışmanları ile düzenleyici ve denetleyici kurumlar ile mahkeme ve icra müdürlükleri gibi sair resmi kurumlara, kişisel verilerinizi talep etmeye yetkili olan diğer kamu kurum veya kuruluşlarla, maaş ödemelerini gerçekleştirmek için bankalara, acil tıbbi müdahaleler ve iş sağlığı ve güvenliği yükümlülüklerini yerine getirmek amacıyla iş sağlığı ve güvenliği uzmanlarına, iş yeri hekimine, hastaneler ve sağlık kuruluşlarına, fiziki ve elektronik çalışan verilerinin saklanması amacıyla altyapı sağlayıcılarına, klinik yerleşkelerinin güvenliğinin sağlanması amacıyla kamera kayıtları gibi verilerin güvenlik şirketlerine, personelin taşınması amacıyla hizmet sunan personel taşıma şirketlerine, mesleki yeterliliğin ispatı amacıyla saha ziyareti yapılacak müşteriye ve/veya denetçisine işbu aydınlatma metninde belirtilen amaçlarla sınırlı olarak aktarılabilecek, yurt içinde veya yurt dışında işlenecektir. Bu doğrultuda İş Kanunu, İşçi Sağlığı ve İş Güvenliği Kanunu, Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu, Türk Ticaret Kanunu, 6698 Sayılı Kişisel Verilerin Korunması Kanunu, Kimlik Bildirme Kanunu ve fakat bununla sınırlı olmamak üzere sair mevzuat hükümleri izin verdiği ve gerektirdiği ölçüde ilgili kurum veya kuruluşlara; Kişisel Verileri Koruma Kurumu, Maliye Bakanlığı, Aile, Çalışma ve Sosyal Hizmetler Bakanlığı, Türkiye İş Kurumu (İş-Kur), SGK gibi kamu tüzel kişilerine aktarılması söz konusudur.
6.2 Kişisel Verilerin Yurt Dışındaki Üçüncü Kişilere Aktarılması
Kişisel veriler, halihazırda yurt dışındaki üçüncü kişilerle paylaşılmamaktadır. Kanunda ve işbu Politika’da belirtilen amaçlar dahilinde, yürürlükteki mevzuata uygun olarak, kişisel veri işleme amaçları doğrultusunda verilerin aktarıldığı ülkede yeterli koruma bulunması ve verilerin aktarıldığı ülkede yeterli koruma bulunmaması durumunda ilgili yabancı ülkedeki veri sorumlusu ile birlikte yeterli korumayı yazılı olarak taahhüt etmesi ve Kişisel Verileri Koruma Kurulu’nun izninin alınması kaydı ile yurt dışındaki üçüncü kişilere aktarılabilir. Kişisel verilerinizin yurt dışına aktarılması halinde Klinik tarafından veri ilgilisine bilgilendirme yapılacaktır.
6.3 Özel Nitelikli Kişisel Verilerin Yurt İçindeki Üçüncü Kişilere Aktarımı
Çalışanların özel nitelikli kişisel verileri, kanunda ve işbu Politika’da belirtilen amaçlar dahilinde, yürürlükteki mevzuata ve açık rızanıza uygun olarak, kişisel veri işleme amaçları doğrultusunda ve Kişisel Verileri Koruma Kurulu’nun 30.01.2018 Tarihli, 2018/10 Karar No’lu, 2018/3 Toplantı Sıra Sayılı kararı ile belirtilen “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler’e” riayet edilmek suretiyle gerekli güvenlik önlemlerini alarak mevzuat hükümleri izin verdiği ve gerektirdiği ölçüde ilgili kurum veya kuruluşlara ve kamu ve özel tüzel kişilerine, gerçek şahıs üçüncü kişilere; kaydedilmemek suretiyle bağımsız denetçilere, özel hukuk tüzel kişisi denetçilerine, düzenleyici ve denetleyici kurumlar ile mahkeme ve icra müdürlükleri gibi sair resmi kurumlara; kişisel verilerinizi talep etmeye yetkili olan diğer kamu kurum veya kuruluşlarla aktarılacaktır. Bu kapsamda Klinik tarafından işlenen çalışanların özel nitelikli kişisel verileri; İş Kanunu, İşçi Sağlığı ve İş Güvenliği Kanunu, Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu, Türk Ticaret Kanunu, Kişisel Verilerin Korunması Kanunu, Kimlik Bildirme Kanunu, Türk Ceza Kanunu, Ceza Muhakemesi Kanunu ve fakat bununla sınırlı olmamak üzere sair mevzuat hükümleri izin verdiği ve gerektirdiği ölçüde ilgili ya da yetkili kurum veya kuruluşlara, kamu ve özel hukuk tüzel kişilerine ve gerçek kişilere aktarılacaktır.
Bu doğrultuda özel nitelikli veri olarak işlenen biyometrik veriler ile sağlık bilgisi verileri;
• Acil tıbbi müdahaleler ve iş sağlığı ve güvenliği yükümlülüklerini yerine getirmek amacıyla iş sağlığı ve güvenliği uzmanlarına/şirketlerine, hastaneler ve sağlık kuruluşlarına, iş yeri hekimine
• Bilgi güvenliğinin temini, hukuki ve teknik yükümlülüklerin yerine getirilmesi amacıyla bu alanda hizmet veren iş ortaklarına, adli bilişim uzmanlarına ve danışmanlara,
• İş görmezlik raporlarının hazırlanması, periyodik sağlık taramalarının yapılması, özel sağlık sigortası ile ferdi kaza sigortası gibi sigortalama işlemlerinin yapılması amaçlarıyla özel sigorta şirketlerine ve bu alandaki ilgili hizmet sağlayıcılara,
• Mevzuattan kaynaklı yükümlülüklerin ve hukuki sorumlulukların yerine getirilmesi, Mahkemeler ve İcra Müdürlüklerine,
• Mevzuattan kaynaklı yükümlülüklerin yerine getirilmesi amacıyla iş yeri hekimi ile ve iş sağlığı ve güvenliği uzmanına,
• Kişisel Verileri Koruma Kurumu, Maliye Bakanlığı, Aile, Çalışma ve Sosyal Hizmetler Bakanlığı, Türkiye İş Kurumu (İş-Kur), SGK, EGM gibi kamu tüzel kişilerine
aktarılacaktır.
6.4 Özel Nitelikli Kişisel Verilerin Yurt Dışındaki Üçüncü Kişilere Aktarımı
Klinik tarafından işlenen çalışanların özel nitelikli kişisel verileri yurt dışındaki üçüncü kişilere aktarılmamaktadır. Kanunda ve işbu Politika’da belirtilen amaçlar dahilinde, yürürlükteki mevzuata uygun olarak, kişisel veri işleme amaçları doğrultusunda verilerin aktarıldığı ülkede yeterli koruma bulunması ve verilerin aktarıldığı ülkede yeterli koruma bulunmaması durumunda ilgili yabancı ülkedeki veri sorumlusu ile birlikte yeterli korumayı yazılı olarak taahhüt etmesi ve Kişisel Verileri Koruma Kurulu’nun izninin alınması kaydı ile yurt dışındaki üçüncü kişilere aktarılabilecektir. Kişisel verilerinizin yurt dışına aktarılması halinde veri sahibine Klinik tarafından bilgilendirme yapılacak olup açık rızasına başvurulacaktır.
Kişisel veri sahibi olan veri ilgililerinin, KVKK’nın 11. maddesi gereğince, kişisel verilerinizin işlenip işlenmediğinin sorgulama, işlenmişse bu konuda bilgi talep etme, kişisel verilerinizin işlenme amacını ve amacına uygun kullanılıp kullanılmadığını, yurt içi veya yurtdışına aktarılıp aktarılmadığını öğrenme, eksik veya yanlış işlenmişse düzeltilmesini isteme, kişisel verilerinizin kanuna aykırı işlenmesi nedeniyle zarara uğramanız halinde zararınızı giderilmesini isteme ve KVKK’nın 7. Maddesi gereğince, kişisel verilerinizin silinmesini, yok edilmesini veya anonim hale getirilmesini talep etme hakkı bulunmaktadır. Bu doğrultuda veri ilgililerinin Klinik tarafından işlenen Kişisel Veri İşleme Envanterini incelemeyi talep etme hakkı bulunmaktadır.
Veri ilgililerinin Belirtilen bu hakları kullanmak için, bu yöndeki talebini KVKK’nın 13. maddesi doğrultusunda, Klinik’e, aşağıda belirtilen şekillerde, kimliğini tespite yarayan gerekli bilgi ve belgeleri de eklemek sureti ile yazılı olarak başvuruda bulunmaları gerekmektedir. Başvurular, Klinik tarafından değerlendirilecek ve otuz gün içinde ücretsiz olarak sonuçlandırılacaktır.
Başvuru Yönetmi | Başvurunun Yapılacağı Adresler |
Başvuru sahibi Klinik’e bizzat gelerek kimliğinizi tespite yarayan gerekli bilgi ve belgeler ile yazılı olarak başvuruda bulunabilir. | Harbiye Mah. Harbiye Bulvarı Ardapark Konutları 289/B, 31060 Defne/HATAY |
Başvuru sahibi Klinik’e noter marifeti ile veya iadeli taahhütlü olarak şahsen veya kendisini temsile yetkili bir vekil ile başvuruda bulunabilir. | Harbiye Mah. Harbiye Bulvarı Ardapark Konutları 289/B, 31060 Defne/HATAY |
Başvuru sahibi güvenli elektronik imza ile kayıtlı elektronik posta marifeti ile başvuruda bulunabilir. | monursengezer@gmail.com |
7.1 Başvuru Hakkının İstisnaları
KVKK’nın 28. maddesi gereğince kişisel veri sahiplerinin, kişisel verilerin resmi istatistik ile anonim hale getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi; kişisel verilerin milli savunmayı, milli güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi; kişisel verilerin milli savunmayı, milli güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi; kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi durumlarında haklarını ileri sürmeleri mümkün olmayacaktır.
KVKK’nın 28/2 maddesi gereğince kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması; kişisel veri sahibinin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi; Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma ve kovuşturması için gerekli olması; kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak devletin ekonomik ve mali çıkarlarının korunması için gerekli olması durumlarında zararın giderilmesini talep etme hariç olmak üzere, kişisel veri sahiplerinin haklarını ileri sürmeleri mümkün olmayacaktır.
Klinik tarafından kişisel veriler elektronik ortamlarda ve/veya elektronik olmayan ortamlarda işlenmektedir. Buna göre;
8.1 Kişisel Verilerin İşlendiği Elektronik Ortamlar: Sunucular (etki alanı, yedekleme, e-posta, veritabanı, web, dosya paylaşım, vb.), yazılımlar (ofis yazılımları, portal,verbis.), bilgi güvenliği cihazları (güvenlik duvarı, saldırı tespit ve engelleme, günlük kayıt dosyası, antivirüs vb. ), kişisel bilgisayarlar (masaüstü, dizüstü) mobil cihazlar (telefon, tablet vb.), optik diskler (cd, dvd vb.), çıkartılabilir bellekler (usb, hafıza kart vb.).
8.2 Kişisel Verilerin İşlendiği Elektronik Olmayan Ortamlar: Kağıt, manuel veri kayıt sistemler (dosya arşivleri), yazılı, basılı, görsel ortamlar.
Klinik tarafından işlenen kişisel verilerin korunması ve saklanması, hukuka aykırı olarak işlenmesinin, erişilmesinin ve paylaşılmasının engellenmesi, kişisel verilerin hukuka uygun olarak imha edilmesi için Kanun’un 12. maddesi uyarınca ve Politika kapsamında alınacak tüm tedbirler doğrultusunda, Klinik tarafından teknik ve idari tedbirler alınır.
9.1 Teknik Tedbirler
• Ağ yoluyla kişisel veri aktarımlarında kapalı sistem ağ kullanılmaktadır.
• Bilgi sistemleri güncel halde tutulmaktadır.
• Bilgi teknolojileri sistemleri tedarik, gelistirme ve bakımı kapsamındaki güvenlik önlemleri alınmaktadır
• Bilgisayarlarda güncel anti-virüs sistemi uygulanmaktadır.
• Bilişim sistemleri teçhizatı, yazılım ve verilerin fiziksel güvenliği için gerekli önlemler alınmaktadır.
• Çalışanlara ve ziyaretçiler ayrı internet ağı özgülenmektedir.
• Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır.
• Güvenlik açıkları takip edilerek uygun güvenlik yamaları yüklenmektedir.
• Güvenlik duvarları kullanılmaktadır.
• Kişisel veri güvenliği sorunları hızlı bir şekilde raporlanmaktadır.
• Kişisel veri güvenliğinin takibi yapılmaktadır.
• Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmaktadır.
• Kişisel veri içeren fiziksel ortamların dış risklere (yangın, sel vb.) karşı güvenliği sağlanmaktadır.
• Kişisel veri içeren ortamların güvenliği sağlanmaktadır.
• Kişisel verilerin güvenli olarak saklanmasını sağlayan yedekleme programları kullanılmaktadır.
• Kişisel verilerin işlendiği elektronik ortamlarda güçlü parolalar kullanılmakta ve güvenli kayıt tutma (loglama) sistemleri kullanılmaktadır.
• Klinik Kişisel Verilerin Korunması, İşenmesi ve İmha Politikası’na uygun imha süreçleri tanımlanmakta ve uygulanmakta,
• Siber güvenlik önlemleri alınmış olup uygulanması sürekli takip edilmektedir.
• Şifreleme yapılmaktadır.
• Veri sorumlusu bünyesinde ağ güvenliği ve uygulama güvenliği sağlanmakta,
9.2 İdari Tedbirler
Klinik tarafından işlenen kişisel verilerin korunmasına ilişkin olarak alınan idari tedbirler aşağıda sayılmıştır:
• Çalışanlar için veri güvenliği konusunda belli aralıklarla eğitim ve farkındalık çalışmaları yapılmaktadır.
• Çalışanlara Gizlilik Sözleşmeleri ve Kişisel Verilerin Korunması İlişkin Belirli/Belirsiz Süresi İş Sözleşmesine Ek Sözleşme imzalatılmaktadır.
• Çalışanların niteliği ile teknik bilgi ve becerisinin geliştirilmesi, kişisel verilerin hukuka aykırı işlenmenin önlenmesi, kişisel verilere hukuka aykırı erişilmesinin önlenmesi, kişisel verilerin muhafazasının sağlanması, iletişim teknikleri ve ilgili mevzuatlar hakkında eğitimler verilmektedir.
• Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır.
• İlgili kişileri aydınlatma yükümlülüğü yerine getirilmektedir.
• İmzalanan sözleşmeler kişisel veriler mevzuatı hakkında hüküm içermektedir.
• İmzalanan sözleşmeler veri güvenliği hükümleri içermektedir.
• Kağıt yoluyla aktarılan kişisel veriler için ekstra güvenlik tedbirleri alınmakta
• Kişisel veri içeren fiziksel ortamların güvenliği sağlanmakta, kişisel veriler mümkün olduğunca azaltılmaktadır.
• Kişisel veriler mümkün olduğunca azaltılmaktadır.
• Kurum içi periyodik ve/veya rastgele denetimler yapılmakta ve yaptırılmaktadır.
• KVKK’ya ve Politika’ya uymayan çalışanlara yönelik Klinik disiplin prosedürü uygulanmaktadır.
• Klinik Kişisel Verilerin Korunması, İşenmesi Ve İmha Politikası oluşturulmuştur.
• Veri aktarımı halinde üçüncü kişilerle “Gizlilik Sözleşmesi” imzalatılmaktadır.
Klinik tarafından, kişisel veriler işlendikleri ama için gerekli olan saklama süresi kadar ve ilgili mevzuat ile öngörülen asgari saklama sürelerine uygun olarak saklanmaktadır. Bu doğrultuda, Klinik, öncelikle ilgili mevzuatta kişisel verilerin saklanması için bir süre öngörülüp öngörülmediğini tespit etmekte, bir süre belirlenmişse bu süreye uygun davranmaktadır. Yasal bir süre mevcut değil ise kişisel veriler işlendikleri amaç için gerekli olan süre kadar saklanmaktadır. İlgili mevzuatta öngörülen süre ya da işlendikleri amaç için gerekli olan saklama süresinin sonunda kişisel veriler, Klinik tarafından re’sen veya ilgili kişinin başvurusu üzerine yine ilgili mevzuat hükümlerine uygun olarak işbu Politika’da belirtilen tekniklerle imha edilir.
10.1 İmhayı Gerektiren Nedenler
Kişisel veriler; işlenmesine esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası, işlenmesini veya saklanmasını gerektiren amacın ortadan kalkması, kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin açık rızasını geri alması, Kanun’un 11. maddesi gereği ilgili kişinin hakları çerçevesinde kişisel verilerinin silinmesi ve yok edilmesine ilişkin yaptığı başvurunun Kurum tarafından kabul edilmesi, Klinik’in, ilgili kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabı yetersiz bulması veya kanunda öngörülen süre içinde cevap vermemesi hallerinde Kurula şikâyette bulunması ve bu talebin kurul tarafından uygun bulunması, kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olması ve kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması, durumlarında, Klinik tarafından ilgili kişinin talebi üzerine silinir, yok edilir ya da re’sen silinir veya anonim hale getirilir.
10.2 Kişisel Verilerin Silinmesi
Kişisel veriler aşağıdaki tabloda belirtilen yöntemler ile silinir.
Sunucularda Yer Alan Kişisel Veriler | Sunucularda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler için sistem yöneticisi tarafından ilgili kullanıcıların erişim yetkisi kaldırılarak silme işlemi yapılır. |
Elektronik Ortamda Yer Alan Kişisel Veriler | Elektronik ortamda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, veritabanı yöneticisi hariç diğer çalışanlar (ilgili kullanıcılar) için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. |
Fiziksel Ortamda Yer Alan Kişisel Veriler | Fiziksel ortamda tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler için evrak arşivinden sorumlu birim yöneticisi hariç diğer çalışanlar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. Ayrıca, üzeri okunamayacak şekilde çizilerek/boyanarak/silinerek karartma işlemi de uygulanır. |
Taşınabilir Medyada Bulunan Kişisel Veriler | Flash tabanlı saklama ortamlarında tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler, sistem yöneticisi tarafından şifrelenerek ve erişim yetkisi sadece sistem yöneticisine verilerek şifreleme anahtarlarıyla güvenli ortamlarda saklanır |
10.3 Kişisel Verilerin Yok Edilmesi
Klinik tarafından fiziksel ortamda yer alan kişisel veriler yönünden, kâğıt ortamında yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, kâğıt kırpma makinelerinde geri döndürülemeyecek şekilde yok edilir; optik ve/veya manyetik medyalarda yer alan kişisel veriler yönünden saklanmasını gerektiren süre sona erenlerin eritilmesi, yakılması veya toz haline getirilmesi gibi fiziksel olarak yok edilmesi işlemi uygulanır.
10.4 Kişisel Verilerin Anonim Hale Getirilmesi
Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir. Bu kapsamda kişisel veriler, veri sorumlusu veya üçüncü kişiler tarafından geri döndürülmesi ve/veya verilerin başka verilerle eşleştirilmesi gibi işlendiği ortam ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmektedir.
Klinik tarafından, kişisel veriler işlendikleri ama için gerekli olan saklama süresi kadar ve ilgili mevzuat ile öngörülen asgari saklama sürelerine uygun olarak saklanmaktadır. Bu doğrultuda, Klinik, öncelikle ilgili mevzuatta kişisel verilerin saklanması için bir süre öngörülüp öngörülmediğini tespit etmekte, bir süre belirlenmişse bu süreye uygun davranmaktadır. Yasal bir süre mevcut değil ise kişisel veriler işlendikleri amaç için gerekli olan süre kadar saklanmaktadır. İlgili mevzuatta öngörülen süre ya da işlendikleri amaç için gerekli olan saklama süresinin sonunda kişisel veriler, Klinik tarafından re’sen, periyodik imha sürelerine uyarak veya ilgili kişinin başvurusu üzerine yine ilgili mevzuat hükümlerine uygun olarak işbu Politika’da belirtilen tekniklerle imha edilir.
Klinik tarafından, faaliyetleri kapsamında işlenmekte olan kişisel verilerle ilgili olarak; süreçlere bağlı olarak gerçekleştirilen faaliyetler kapsamındaki tüm kişisel verilerle ilgili kişisel veri bazında saklama süreleri Kişisel Veri İşleme Envanterinde; veri kategorileri bazında saklama süreleri VERBİS kayıtlarında yer almaktadır.
11.1 Periyodik İmha Süresi
Yönetmeliğin 11 inci maddesi gereğince Klinik, periyodik imha süresini 6 ay olarak belirlemiştir. Buna göre, Klinik tarafından, her yıl Haziran ve Aralık aylarında periyodik imha işlemi gerçekleştirilir.
Politika, basılı kağıt ve elektronik ortamda olmak üzere iki farklı ortamda hazırlanır ve internet sayfasında kamuya açık olarak yayımlanır. Basılı kâğıt nüshası ise Klinik tarafından özlük veya muhasebe/insan kaynakları dosyasında saklanır.
Politika, gerekli olması halinde Klinik tarafından güncellenir ve internet sitesinde yayınlanır.
Politika, Klinik’in internet sitesinde yayınlanmasının ardından yürürlüğe girmiş kabul edilir. Yürürlükten kaldırılmasına karar verilmesi halinde, Politika’nın ıslak imzalı eski nüshaları Klinik tarafından iptal edilerek (iptal kaşesi vurularak veya iptal yazılarak) imzalanır ve en az 5 yıl süre ile Klinik özlük veya muhasebe/insan kaynakları birimi tarafından saklanır.