1.     AMAÇ. 3

2.     KAPSAM.. 4

3.     TERİMLER VE TANIMLAR. 4

4.     ROL VE SORUMLUKLAR. 7

4.1    ŞİRKET. 7

4.2    Yönetim Kurulu. 8

4.3    ŞİRKET Kişisel Verileri Koruma Komitesi 8

4.4    Saklama ve imha süreçleri görev dağılımı 8

5.     Kayıt Ortamları 10

6.     SAKLAMA VE İMHAYA İLİŞKİN AÇIKLAMALAR. 10

6.1    Saklamaya İlişkin Açıklamalar 10

6.1.1  Saklamayı Gerektiren Hukuki Sebepler 11

6.1.2  Saklamayı Gerektiren İşleme Amaçları 11

6.2    İmhayı Gerektiren Sebepler 12

7.     Teknik ve İdari Tedbirler 13

7.1    Teknik Tedbirler 13

7.2    İdari Tedbirler 14

8.     KİŞİSEL VERİLERİ İMHA TENİKLERİ 14

8.1    Kişisel Verilerin Silinmesi 15

8.2    Kişisel Verilerin Yok Edilmesi 15

8.3    Kişisel Verilerin Anonim Hale Getirilmesi 16

9.     SAKLAMA VE İMHA SÜRELERİ 16

10.        PERİYODİK İMHA SÜRESİ 19

11.        POLİTİKA’NIN YAYINLANMASI VE SAKLANMASI 19

12.        GÜNCELLEME PERİYODU.. 19

13.        YÜRÜRLÜK. 19

14.        GÜNCELLEME VE UYUM.. 19

15.        YÜRÜRLÜKTEN KALDIRILMASI 19

16.        DEĞİŞİKLİK NOTLARI 20

 

 

 

 

 

 

 

 

 

 

 

 

OPERATÖR DOKTOR

TAHİR ŞEN KLİNİĞİ KİŞİSEL VERİLERİ SAKLAMA VE İMHA POLİTİKASI

 

1.   AMAÇ

 

İşbu politika Tuna Mah 1717 sokakNo:110/1 Karşıyaka/İzmir adresinde mukim Dr.Deniz Şen Kliniği olarak veri sorumlusu sıfatıyla elimizde bulundurduğumuz kişisel verilerin Türkiye Cumhuriyeti Anayasası ve insan haklarına ilişkin ülkemizin tarafı olduğu uluslararası sözleşmeler ile 07.04.2016 tarih ve 29677 sayılı Resmi Gazetede yayımlanan 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) başta olmak üzere 28 Ekim 2017 tarihli Resmi Gazetede yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik(“Yönetmelik”), Kişisel Verileri Koruma Kurulu(“Kurul”) Kararları ve Tebliğleri ve diğer ilgili mevzuat uyarınca kişisel verilerin saklanma ve imhasına ilişkin Klinik tarafından uygulanacak usul ve esaslar ile verisi işlenen ilgili kişilerin haklarını etkin şekilde kullanılmasının belirlenmesi ve izlediğimiz yöntemleri açıklamak amacıyla hazırlanmıştır.

 

Bu nedenle, klinik yetkilileri,  iş ortakları, çalışan ve çalışan adayları, ziyaretçiler, klinik müşterileri, potansiyel müşteriler ve üçüncü kişiler, tedarikçiler ve internet sitemizi ziyaret eden kullanıcılar, kısacası Klinik nezdinde kişisel verisi bulunan tüm gerçek kişilerin kişisel verileri, işbu Kişisel Veri Saklama ve İmha Politikası çerçevesinde hukuka uygun olarak işlenmekte, saklanmakta, aktarılmakta, silinmekte, yok edilmekte ve anonimleştirilmekte, tüm iş ve işlemler bu kapsamda yönetilmektedir. Kişisel verilerin korunması ve kişisel verileri toplanan gerçek kişilerin temel hak ve hürriyetlerinin gözetilmesi kişisel verilerin işlenmesine ilişkin politikamızın temel prensibidir. Bu nedenle kişisel verinin işlendiği tüm faaliyetlerimizi, özel hayatın gizliliğinin korunması, haberleşmenin gizliliği, düşünce ve inanç özgürlüğü, etkili kanun yollarını kullanma haklarını gözeterek sürdürmekteyiz. Kişisel verilerin korunması için mevzuat ve güncel teknolojiye uygun şekilde ilgili verinin niteliğinin gerektirdiği tüm idari ve teknik koruma tedbirlerini almaktayız.

2.   KAPSAM

 

Bu Politikanın kapsamı, otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla Klinik tarafından işlenen kişisel verilerin Klinik içerisinde saklanması ve imha edilmesine yönelik prosedür ve politikaların belirlenmesidir.

 

Politikamız, Klinik tarafından yönetilen, tüm kişisel verilerin işlenmesine yönelik faaliyetlerde uygulanmakta olup KVKK ve kişisel verilere ilişkin ilgili diğer mevzuat ve bu alandaki uluslararası standartlar gözetilerek ele alınmış ve hazırlanmıştır.

 

Klinik bu Politikayı internet sitesinde yayımlamak suretiyle bahse konu İlgili Kişileri Kanun hakkında bilgilendirmektedir.

 

3.   TERİMLER VE TANIMLAR

 

Tablo 1: Terimler ve Tanımlar

TERİM

TANIM

Alıcı Grubu

Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisi

Açık Rıza

Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza

Anonim hâle getirme

Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesi

Aydınlatma

 Veri sorumlusu ve varsa temsilcisinin kimliği, kişisel verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi ile ilgili kişinin diğer haklarının neler olduğu konusunda kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi tarafından ilgili kişiye yapılan bilgilendirme

Aydınlatma Yükümlülüğü

Kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi, ilgili kişilere;

·         Veri sorumlusunun ve varsa temsilcisinin kimliği,

·         Kişisel verilerin hangi amaçla işleneceği,

·         İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,

·         Kişisel veri toplamanın yöntemi ve hukuki sebebi,

·         Kanun’un 11 inci maddesinde sayılan diğer hakları,

konusunda bilgi verme yükümlülüğü

EBYS

Elektronik Belge Yönetim Sistemi

Elektronik Ortam

Kişisel verilerin elektronik aygıtlar ile oluşturulabildiği, okunabildiği, değiştirilebildiği ve yazılabildiği ortamlar

Elektronik Olmayan Ortam

Elektronik ortamların dışında kalan tüm yazılı, basılı, görsel vb. diğer ortamlar

Hizmet Sağlayıcı

ŞİRKET ile belirli bir sözleşme çerçevesinde hizmet sağlayan gerçek veya tüzel kişi

İlgili Kişi

Kişisel verisi işlenen gerçek kişi

İlgili Kullanıcı

Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen gerçek veya tüzel kişi

İmha

Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi

İrtibat Kişisi

Türkiye’de yerleşik olan gerçek ve tüzel kişiler için veri sorumlusu tarafından, Türkiye’de yerleşik olmayan gerçek ve tüzel kişiler için de veri sorumlusu temsilcisi tarafından, Kanun ve bu Kanuna dayalı olarak çıkarılacak ikincil düzenlemeler kapsamındaki yükümlülükleriyle ilgili olarak, Kurum ile iletişimi sağlamak amacıyla Sicile kayıt esnasında bildirilen gerçek kişi

Kanun

6698 sayılı Kişisel Verilerin Korunması Kanunu

Kayıt Ortamı

Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam

Kişisel Veri

Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi

Kişisel Veri İşleme Envanteri

Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel veri işleme faaliyetlerini; kişisel veri işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanteri

Kişisel Verilerin İşlenmesi

Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, saklanması, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem

Kurul

Kişisel Verileri Koruma Kurulu

Kurum

Kişisel Verileri Koruma Kurumu

KVKK

6698 sayılı Kişisel Verilerin Korunması Kanunu

KVK Komitesi

Klinik Kişisel Verileri Koruma Komitesi

Özel Nitelikli Kişisel Veri

Kişilerin, ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri

Periyodik İmha

Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla re’sen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi

Politikalar

Kilinik Kişisel Verileri Saklama ve İmha Politikası, Klinik Kişisel Verilerin Korunması ve İşlenmesi Politikası ve Özel Nitelikli Kişisel Verilerin Korunması ve İşlenmesi Politikası

KLİNİK

OPR DR TAHİR ŞEN KLİNİĞİ

Veri İşleyen

Veri sorumlusunun verdiği yetkiye dayanarak veri sorumlusu adına kişisel verileri işleyen gerçek veya tüzel kişi

Veri kayıt sistemi

Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini

Veri Sorumlusu

Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu gerçek veya tüzel kişi

Veri Sorumluları Sicil Bilgi Sistemi

Veri sorumlularının Sicile başvuruda ve Sicile ilişkin ilgili diğer işlemlerde kullanacakları, internet üzerinden erişilebilen, Başkanlık tarafından oluşturulan ve yönetilen bilişim sistemi

VERBİS

Veri Sorumluları Sicil Bilgi Sistemi

YÖNETMELİK

28 Ekim 2017 tarihli Resmi Gazetede yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik

 

4.   ROL VE SORUMLUKLAR

 

4.1    KLİNİK

Klinik  tüm birimleri ve çalışanları, sorumlu birimlerce Politika kapsamında alınmakta olan teknik ve idari tedbirlerin gereği gibi uygulanması, birim çalışanlarının eğitimi ve farkındalığının arttırılması, izlenmesi ve sürekli denetimi ile kişisel verilerin hukuka aykırı olarak işlenmesinin önlenmesi, kişisel verilere hukuka aykırı olarak erişilmesinin önlenmesi ve kişisel verilerin hukuka uygun saklanmasının sağlanması amacıyla kişisel veri işlenen tüm ortamlarda veri güvenliğini sağlamaya yönelik teknik ve idari tedbirlerin alınması konularında sorumlu birimlere aktif olarak destek verir.

 

4.2    Yönetim Kurulu

Yönetim Kurulu, Politika'ya, kural ve düzenlemelere uyulmaması durumunda bildirim, inceleme ve yaptırım mekanizmalarının belirlenmesi ve işletilmesinin üst gözetiminden sorumludur.

 

Kişisel Verileri Saklama ve İmha Politikası Yönetim Kurulu tarafından onaylanmıştır. Politikanın oluşturulmasının, uygulanmasının ve gerektiğinde güncellenmesinin sağlanması konusunda yetkili onay mekanizmasıdır.

 

4.3    Klinik Kişisel Verileri Koruma Komitesi

Klinik, bünyesinde bir Klinik Kişisel Verileri Koruma Komitesi (“KVK Komitesi”) kurar. İşbu Politikanın hazırlanması, geliştirilmesi, yürütülmesi ve güncellenmesinden, ilgili kişilerin verilerinin hukuka, Kişisel Veri Saklama ve İmha Politikasına uygun olarak saklanması ve işlenmesi için gerekli işlemleri yapmak ve yaptırmak, süreçleri denetlemekle KVK Komitesi sorumlu, yetkili ve görevlidir.

 

KVK Komitesi, Politika’nın ilgili iş birimlerine duyurulmasından ve gereklerinin yerine getirilmesinin takibinden sorumludur. KVK Komitesi kişisel verilerin korunmasına ilişkin mevzuat değişiklikleri, Kurulun düzenleyici işlemleri ile kararları, mahkeme kararları veya süreç, uygulama ve sistemlerdeki değişiklikler gibi durumları ilgili iş birimlerinin takip etmesi ve gerekiyorsa iş süreçlerini güncellemeleri için gerekli duyuruları ve bildirimleri yapar ve Kanun ve ikincil düzenlemeleri ile Kurulun kararları ve düzenlemeleri, mahkeme kararları ve sair yetkili makamların kararlarının ve/veya taleplerinin incelenmesi, değerlendirilmesi, takibi ve sonuçlandırılmasına yönelik süreçleri belirler ve ilgili birimlere duyurur.

 

Politika, Komite Başkanı’nın önderliğinde, Komite tarafından takip edilir, yürütümü sağlanır ve güncellenir.

 

Klinik KVK Komitesi; Başkan Yardımcısı, İnsan Kaynakları Direktörü, Bilgi İşlem Müdürü, ve Kalite Sistem Müdürü’ nden oluşur.

 

 

4.4  Saklama ve imha süreçleri görev dağılımı

 

Kişisel verilerin saklama ve imha süreçlerinde görev alanların unvanları, birimleri ve görev tanımlarına ait dağılım Tablo 2’de verilmiştir.

 

Tablo 2: Saklama ve imha süreçleri görev dağılımı

ÜNVAN

BİRİM

SORUMLULUK

Başkan Yardımcısı

Üst Yönetim

Politika'ya, kural ve düzenlemelere uyulmaması durumunda bildirim, inceleme ve yaptırım mekanizmalarının belirlenmesi ve işletilmesinin üst gözetiminden sorumludur.

Politikanın oluşturulmasının, uygulanmasının ve gerektiğinde güncellenmesinin sağlanması konusunda yetkili onay mekanizmasıdır.

ŞİRKET KVK Komitesi

Üst Yönetim

Politika’nın hazırlanması, geliştirilmesi, yürütülmesi, ilgili ortamlarda yayınlanması, güncellenmesi ve çalışanların politikaya uygun hareket etmesinden sorumludur.

 Başkan Yardımcısı

 

(Komite Başkanı)

Üst Yönetim

·         Komite Başkanı olarak Komite’nin görevlerinin yürütümünden,

·         Görevlerine uygun olarak politikanın yürütülmesinden,

·         Diğer birim sorumlularını ve çalışanları denetlemekle sorumludur.

 

……

(Komite Başkan Yardımcısı)

 

Üst Yönetim

·         Komite Başkan Yardımcısı olarak Komite’nin görevlerinin yürütümünden,

·         Görevlerine uygun olarak politikanın yürütülmesinden,

·         Diğer birim sorumlularını ve çalışanları denetlemekle sorumludur.

İnsan Kaynakları Direktörü

İnsan Kaynakları Direktörlüğü

·         Kişisel verilerin korunmasına ilişkin mevzuat değişikliklerinin, Kurulun düzenleyici işlemleri ile kararlarının, mahkeme kararlarının takibi ve ilgili iş birimlerine bu konularda gerekli bildirim ve duyuruların yapılması

Bilgi İşlem Müdürü

Bilgi İşlem Müdürlüğü

·         Politika’nın uygulanmasında ihtiyaç duyulan teknik çözümlerin sunulmasından ve gerekli yatırımların sağlanması için yönetimin bilgilendirilmesinden,

·         Elektronik kayıt ortamlarında gerçekleştirilen silme, yok etme, anonimleştirme işlemleri bakımından yürütüm ve iç denetimlerden sorumludur

Kalite Sistem Müdürü

Kalite Direktörlüğü

·         Komite görevlerinin gerçekleştirilmesinden, bu kapsamdaki görevlerine uygun olarak politikanın yürütülmesinden sorumludur.

 

 

5.   Kayıt Ortamları

 

Kişisel veriler, Klinik  tarafından Tablo.3’de listelenen ortamlarda hukuka uygun olarak güvenli bir şekilde saklanır.

 

Tablo 3: Kayıt Ortamları

Elektronik Ortamlar

Elektronik Olmayan Ortamlar

·         Sunucular (etki alanı, yedekleme, e‐posta veri tabanı, web, dosya paylaşım vb.)

·         Yazılımlar (MS Office yazılımları, portal, CRM, ERP)

·         Bilgi Güvenliği Cihazları (güvenlik duvarı, saldırı tespit ve engelleme, günlük kayıt dosyası, anti‐virüs vb.)

·         Kişisel bilgisayarlar (masaüstü, dizüstü)

·         Mobil cihazlar (telefon, tablet vb.)

·         Kapalı sistem kamera kayıt ortamı,

·         Optik diskler (CD, DVD,vb.)

·         Çıkartılabilir bellekler (USB, Hafıza Kart vb.)

·         Yazıcı, tarayıcı, fotokopi makinesi

·         Kağıt

·         Manuel veri kayıt sistemleri (katılımcı formları, ziyaretçi kayıt defteri, anket formları, yetkili satıcı formları, İnsan Kaynakları form ve dilekçe örnekleri vb.)

·         Yazılı, basılı, görsel ortamlar

·         Birim dolapları

·         Arşiv alanları

 

 

6.   SAKLAMA VE İMHAYA İLİŞKİN AÇIKLAMALAR

 

Klinik tarafından; hissedar/ ortak, potansiyel ürün veya hizmet alıcısı, potansiyel ürün veya hizmet alıcısı çalışanı, ürün veya hizmet alıcısı, ürün veya hizmet alıcısı çalışanı, müşteri, tedarikçi, tedarikçi yetkilisi/çalışanı, çalışan, çalışan adayı, stajyer, veli/vasi/temsilci, ziyaretçi ve diğer üçüncü kişi verileri ve hizmet sağlayıcı olarak ilişkide bulunulan üçüncü kişilerin, kurumların veya kuruluşların çalışanlarına ait kişisel veriler Kanuna uygun olarak saklanır ve imha edilir.

 

Bu kapsamda saklama ve imhaya ilişkin detaylı açıklamalara aşağıda sırasıyla yer verilmiştir.

 

6.1    Saklamaya İlişkin Açıklamalar

 

Kanunun 3 üncü maddesinde kişisel verilerin işlenmesi kavramı tanımlanmış, 4 üncü maddesinde işlenen kişisel verinin işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli süre kadar muhafaza edilmesi gerektiği belirtilmiş, 5 ve 6 ncı maddelerde ise kişisel verilerin işleme şartları sayılmıştır.

 

Buna göre, Klinik faaliyetleri çerçevesinde kişisel veriler, ilgili mevzuatta öngörülen veya işleme amaçlarımıza uygun süre kadar saklanır.

 

6.1.1      Saklamayı Gerektiren Hukuki Sebepler

 

Saklamayı gerektiren sebepler aşağıdaki gibidir:

• Kişisel verilerin sözleşmelerin kurulması ve ifası ile doğrudan doğruya ilgili olması nedeniyle saklanması,

• Kişisel verilerin bir hakkın tesisi, kullanılması veya korunması amacıyla saklanması,

• Kişisel verilerin kişilerin temel hak ve özgürlüklerine zarar vermemek kaydıyla Şirket’in meşru menfaatleri için saklanmasının zorunlu olması,

• Kişisel verilerin Şirket’in herhangi bir hukuki yükümlülüğünü yerine getirmesi amacıyla saklanması,

• Mevzuatta kişisel verilerin saklanmasının açıkça öngörülmesi,

• Veri sahiplerinin açık rızasının alınmasını gerektiren saklama faaliyetleri açısından veri sahiplerinin açık rızasının bulunması.

 

 

6.1.2      Saklamayı Gerektiren İşleme Amaçları

 

Klinik, faaliyetleri çerçevesinde işlemekte olduğu kişisel verileri aşağıdaki amaçlar doğrultusunda saklar.

KV İŞLEME AMAÇLARI

1. Acil Durum Yönetimi Süreçlerinin Yürütülmesi

2. Bilgi Güvenliği Süreçlerinin Yürütülmesi

3. Çalışan Adayı / Stajyer / Öğrenci Seçme Ve Yerleştirme Süreçlerinin Yürütülmesi

4. Çalışan Adaylarının Başvuru Süreçlerinin Yürütülmesi

5. Çalışan Memnuniyeti Ve Bağlılığı Süreçlerinin Yürütülmesi

6. Çalışanlar İçin İş Akdi Ve Mevzuattan Kaynaklı Yükümlülüklerin Yerine Getirilmesi

7. Çalışanlar İçin Yan Haklar Ve Menfaatleri Süreçlerinin Yürütülmesi

8. Denetim / Etik Faaliyetlerinin Yürütülmesi

9. Eğitim Faaliyetlerinin Yürütülmesi

10. Erişim Yetkilerinin Yürütülmesi

11. Faaliyetlerin Mevzuata Uygun Yürütülmesi

12. Finans Ve Muhasebe İşlerinin Yürütülmesi

13. Firma / Ürün / Hizmetlere Bağlılık Süreçlerinin Yürütülmesi

14. Fiziksel Mekan Güvenliğinin Temini

15. Görevlendirme Süreçlerinin Yürütülmesi

16. Hukuk İşlerinin Takibi Ve Yürütülmesi

17. İç Denetim/ Soruşturma / İstihbarat Faaliyetlerinin Yürütülmesi

18. İletişim Faaliyetlerinin Yürütülmesi

19. İnsan Kaynakları Süreçlerinin Planlanması ve Yürütülmesi

20. İş Faaliyetlerinin Yürütülmesi / Denetimi

21. İş Sağlığı / Güvenliği Faaliyetlerinin Yürütülmesi

22. İş Süreçlerinin İyileştirilmesine Yönelik Önerilerin Alınması Ve Değerlendirilmesi

23. İş Sürekliliğinin Sağlanması Faaliyetlerinin Yürütülmesi

24. Lojistik Faaliyetlerinin Yürütülmesi

25. Mal / Hizmet Satın Alım Süreçlerinin Yürütülmesi

26. Mal / Hizmet Satış Sonrası Destek Hizmetlerinin Yürütülmesi

27. Mal / Hizmet Satış Süreçlerinin Yürütülmesi

28. Mal / Hizmet Üretim Ve Operasyon Süreçlerinin Yürütülmesi

29. Müşteri İlişkileri Yönetimi Süreçlerinin Yürütülmesi

30. Müşteri Memnuniyetine Yönelik Aktivitelerin Yürütülmesi

31. Organizasyon Ve Etkinlik Yönetimi

32. Pazarlama Analiz Çalışmalarının Yürütülmesi

33. Performans Değerlendirme Süreçlerinin Yürütülmesi

34. Reklam / Kampanya / Promosyon Süreçlerinin Yürütülmesi

35. Risk Yönetimi Süreçlerinin Yürütülmesi

36. Saklama Ve Arşiv Faaliyetlerinin Yürütülmesi

37. Sosyal Sorumluluk Ve Sivil Toplum Aktivitelerinin Yürütülmesi

38. Sözleşme Süreçlerinin Yürütülmesi

39. Sponsorluk Faaliyetlerinin Yürütülmesi

40. Stratejik Planlama Faaliyetlerinin Yürütülmesi

41. Talep / Şikayetlerin Takibi

42. Taşınır Mal Ve Kaynakların Güvenliğinin Temini

43. Tedarik Zinciri Yönetimi Süreçlerinin Yürütülmesi

44. Ücret Politikasının Yürütülmesi

45. Ürün / Hizmetlerin Pazarlama Süreçlerinin Yürütülmesi

46. Veri Sorumlusu Operasyonlarının Güvenliğinin Temini

47. Yabancı Personel Çalışma Ve Oturma İzni İşlemleri

48. Yatırım Süreçlerinin Yürütülmesi

49. Yetenek / Kariyer Gelişimi Faaliyetlerinin Yürütülmesi

50. Yetkili Kişi, Kurum Ve Kuruluşlara Bilgi Verilmesi

51. Yönetim Faaliyetlerinin Yürütülmesi52. Ziyaretçi Kayıtlarının Oluşturulması Ve Takibi

 

 

 

6.2    İmhayı Gerektiren Sebepler

 

Kişisel veriler; 

·         İşlenmesine esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası,

·         İşlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,

·         Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde ilgili kişinin açık rızasını geri alması, 

·         Kanunun 11 inci maddesi gereği ilgili kişinin hakları çerçevesinde kişisel verilerinin silinmesi ve yok edilmesine ilişkin yaptığı başvurunun ŞİRKET tarafından kabul edilmesi, 

·         ŞİRKET’İN, ilgili kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabı yetersiz bulması veya Kanunda öngörülen süre içinde cevap vermemesi hallerinde; Kurula şikâyette bulunması ve bu talebin Kurul tarafından uygun bulunması,

·         Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olması ve kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması,

 

durumlarında, Klinik tarafından ilgili kişinin talebi üzerine ya da re’sen silinir, yok edilir veya anonim hale getirilir.

7.   Teknik ve İdari Tedbirler

 

Kişisel verilerin güvenli bir şekilde saklanması, hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi ile kişisel verilerin hukuka uygun olarak imha edilmesi için Kanunun 12 nci maddesiyle Kanunun 6 ncı maddesi dördüncü fıkrası gereği özel nitelikli kişisel veriler için Kurul tarafından belirlenerek ilan edilen yeterli önlemler çerçevesinde Klinik tarafından teknik ve idari tedbirler alınır.

 

7.1       Teknik Tedbirler

           Sızma (Penetrasyon) testleri ile Klinik bilişim sistemlerine yönelik risk, tehdit, zafiyet ve varsa açıklıklar ortaya çıkarılarak gerekli önlemler alınmaktadır. 

           Bilgi güvenliği olay yönetimi ile gerçek zamanlı yapılan analizler sonucunda bilişim sistemlerinin sürekliliğini etkileyecek riskler ve tehditler sürekli olarak izlenmektedir.

           Bilişim sistemlerine erişim ve kullanıcıların yetkilendirilmesi, erişim ve yetki matrisi ile kurumsal aktif dizin üzerinden güvenlik politikaları aracılığı ile yapılmaktadır. 

           Klinik  bilişim sistemleri teçhizatı, yazılım ve verilerin fiziksel güvenliği için gerekli önlemler alınmaktadır. 

           Çevresel tehditlere karşı bilişim sistemleri güvenliğinin sağlanması için, donanımsal (sistem odasına sadece yetkili personelin girişini sağlayan erişim kontrol sistemi, 7/24 çalışan izleme sistemi, yerel alan ağını oluşturan kenar anahtarların fiziksel güvenliğinin sağlanması, yangın söndürme sistemi, iklimlendirme sistemi vb.) ve yazılımsal (güvenlik duvarları, atak önleme sistemleri, ağ erişim kontrolü, zararlı yazılımları engelleyen sistemler vb.) önlemler alınmaktadır. 

           Kişisel verilerin hukuka aykırı işlenmesini önlemeye yönelik riskler belirlenmekte, bu risklere uygun teknik tedbirlerin alınması sağlanmakta ve alınan tedbirlere yönelik teknik kontroller yapılmaktadır. 

           Klinik içerisinde erişim prosedürleri oluşturularak kişisel verilere erişim ile ilgili raporlama ve analiz çalışmaları yapılmaktadır. 

           Kişisel verilerin bulunduğu saklama alanlarına erişimler kayıt altına alınarak uygunsuz erişimler veya erişim denemeleri kontrol altında tutulmaktadır. 

           Klinik, silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması için gerekli tedbirleri almaktadır. 

           Kişisel verilerin hukuka aykırı olarak başkaları tarafından elde edilmesi halinde bu durumu ilgili kişiye ve Kurula bildirmek için Klinik tarafından buna uygun bir sistem ve altyapı oluşturulmuştur.

 

           Güvenlik açıkları takip edilerek uygun güvenlik yamaları yüklenmekte ve bilgi sistemleri güncel halde tutulmaktadır. 

           Kişisel verilerin işlendiği elektronik ortamlarda güçlü parolalar kullanılmaktadır.

           Kişisel verilerin işlendiği elektronik ortamlarda güvenli kayıt tutma (loglama) sistemleri kullanılmaktadır. 

           Kişisel verilerin güvenli olarak saklanmasını sağlayan veri yedekleme programları kullanılmaktadır. 

           Elektronik olan veya olmayan ortamlarda saklanan kişisel verilere erişim, erişim prensiplerine göre sınırlandırılmaktadır. 

           Klinik internet sayfasına erişimde güvenli protokol (HTTPS) kullanılarak SHA 256 Bit RSA algoritmasıyla şifrelenmektedir.

           Özel nitelikli kişisel verilerin güvenliğine yönelik ayrı politika belirlenmiştir.

           Özel nitelikli kişisel veri işleme süreçlerinde yer alan çalışanlara yönelik özel nitelikli kişisel veri güvenliği konusunda eğitimler verilmiş, gizlilik sözleşmeleri yapılmış, verilere erişim yetkisine sahip kullanıcıların yetkileri tanımlanmıştır. 

           Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği elektronik ortamlar kriptografik yöntemler kullanılarak muhafaza edilmekte, kriptografik anahtarlar güvenli ortamlarda tutulmakta, tüm işlem kayıtları loglanmakta, ortamların güvenlik güncellemeleri sürekli takip edilmekte, gerekli güvenlik testlerinin düzenli olarak yapılması/yaptırılması, test sonuçlarının kayıt altına alınması,

           Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği fiziksel ortamların yeterli güvenlik önlemleri alınmakta, fiziksel güvenliği sağlanarak yetkisiz giriş çıkışlar engellenmektedir. 

           Özel nitelikli kişisel veriler e-posta yoluyla aktarılması gerekiyorsa şifreli olarak kurumsal e-posta adresiyle veya KEP hesabı kullanılarak aktarılmaktadır. Taşınabilir bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerekiyorsa kriptografik yöntemlerle şifrelenmekte ve kriptografik anahtar farklı ortamda tutulmaktadır. Farklı fiziksel ortamlardaki sunucular arasında aktarma gerçekleştiriliyorsa, sunucular arasında VPN kurularak veya sFTP yöntemiyle veri aktarımı gerçekleştirilmektedir. Kağıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemler alınmakta ve evrak “gizli” formatta gönderilmektedir.

 

7.2    İdari Tedbirler

 

Klinik  tarafından kişisel verilerin hukuka uygun işlenmesi ve korunması için alınan idari tedbirler:

 

           Klinik  çalışanları kişisel verilerin korunması hukuku ve kişisel verilerin hukuka uygun olarak işlenmesi konusunda bilgilendirilmekte ve eğitilmektedir.

           Klinik yürütmekte olduğu tüm kişisel veri işleme faaliyetleri; detaylı olarak tüm iş birimlerinin analiz edilmesi suretiyle oluşturulmuş kişisel veri envanteri ve eklerine uygun olarak yürütülmektedir.

           Klinik  bünyesindeki ilgili bölümlerin yürütmekte olduğu kişisel veri işleme faaliyetleri; bu faaliyetlerin KVKK’nın aradığı kişisel veri işleme şartlarına uygunluğunun sağlanması için yerine getirilecek olan yükümlülükler, Şirketimiz tarafından yazılı politika ve prosedürlere bağlanmış olup her bir iş birimi bu konu ile ilgili bilgilendirilmiş ve yürütmekte olduğu faaliyet özelinde dikkat edilmesi gereken hususlar belirlenmiştir.

           Çalışanlar için veri güvenliği hükümleri içeren disiplin düzenlemeleri mevcuttur

           Klinik  bünyesindeki bölümlerin kişisel veri güvenliği ile ilgili denetim ve yönetimi, Bilgi Güvenliği / KVK Komiteleri tarafından organize edilmektedir. İş birimi bazında belirlenen hukuksal gerekliliklerin sağlanması için farkındalık yaratılmakta, bu hususların denetimini ve uygulamanın sürekliliğini sağlamak için gerekli idari tedbirler şirket içi politika, prosedürler ve eğitimler yoluyla hayata geçirilmektedir.

           Klinik ile çalışanlar arasındaki hizmet sözleşmeleri ve ilgili belgelere, kişisel veriler ile ilgili bilgilendirme ve veri güvenliğini içerir kayıtlar konulmakta ve ek protokoller yapılmaktadır. Bu konuda çalışanlar için gerekli farkındalığı yaratmaya yönelik çalışmalar yapılmıştır.

           Kişisel veri barındıran fiziksel ortamlara erişim yetkileri sınırlandırılmaktadır.

           Özel Nitelikli kişisel veriler, Klinik bünyesinde mevcut sağlık ekibine ayrılmış fiziksel alanda saklanmakta ve erişime kapatılmaktadır.

           Klinik  bünyesinde gerçekleştirilen kişisel veri işleme faaliyetleri düzenli olarak denetlenmektedir.

           İmzalanan sözleşmeler veri güvenliği hükümleri içermektedir. Gizlilik taahhütnameleri yapılmaktadır.

           Kağıt yoluyla aktarılan kişisel veriler için ekstra güvenlik tedbirleri alınmakta ve ilgili evrak gizlilik dereceli belge formatında gönderilmektedir.

           Kurum içi periyodik ve/veya rastgele denetimler yapılmakta ve yaptırılmaktadır.

           Kişisel veri içeren fiziksel ortamların dış risklere (yangın, sel vb.) karşı güvenliği sağlanmaktadır.

           Kişisel veri güvenliği politika ve prosedürleri belirlenmiştir.

           Kişisel veri güvenliği sorunları hızlı bir şekilde raporlanmaktadır.

           Kişisel veri güvenliğinin takibi yapılmaktadır.

           Mevcut risk ve tehditler belirlenmiştir.

           Özel nitelikli kişisel veri güvenliğine yönelik protokol ve prosedürler belirlenmiş ve uygulanmaktadır.

 

Klinik  aşağıdaki durumlarda Gizlilik Etki Analizi değerlendirmesi yapmaktadır:

           Kişisel veri içeren yeni projelerde,

           Kişisel veri aktarılan tedarikçi seçiminden önce,

           Pazarlama faaliyetleri kapsamında yapılacak aktiviteler öncesinde,

           Yukarıda belirtilen faaliyetlerdeki herhangi bir değişiklik söz konusu olduğunda,

           Gizlilik Etki Analizi, Klinik  KVKK Komitesi onayına tabidir.

 

 

8      KİŞİSEL VERİLERİ İMHA TENİKLERİ

 

İlgili mevzuatta öngörülen süre ya da işlendikleri amaç için gerekli olan saklama süresinin sonunda kişisel veriler, Klinik  tarafından re’sen veya ilgili kişinin başvurusu üzerine yine ilgili mevzuat hükümlerine uygun olarak aşağıda belirtilen tekniklerle imha edilir.

 

8.1    Kişisel Verilerin Silinmesi

 

Kişisel veriler Tablo.4’te verilen yöntemlerle silinir.

 

Tablo 4: Kişisel Verilerin Silinmesi

Veri Kayıt Ortamı

Açıklama

Sunucularda Yer Alan Kişisel Veriler

Sunucularda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler için sistem yöneticisi tarafından ilgili kullanıcıların erişim yetkisi kaldırılarak silme işlemi yapılır

Hizmet Olarak Uygulama Türü Bulut

Çözümleri (Office 365 gibi)

Bulut sisteminde verileri silme komutu vererek silinir.  Anılan işlem gerçekleştirirken ilgili kullanıcının bulut sistemi üzerinde silinmiş verileri geri getirme yetkisinin olmadığına özellikle dikkat edilecektir

Elektronik Ortamda Yer Alan Kişisel Veriler

Elektronik ortamda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, veritabanı yöneticisi hariç diğer çalışanlar (ilgili kullanıcılar) için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir

Fiziksel Ortamda Yer Alan Kişisel Veriler

Fiziksel ortamda tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler için evrak arşivinden sorumlu birim yöneticisi hariç diğer çalışanlar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. Ayrıca, üzeri okunamayacak şekilde çizilerek/boyanarak/silinerek karartma işlemi de uygulanır

Taşınabilir Medyada Bulunan Kişisel Veriler

Flash tabanlı saklama ortamlarında tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler, sistem yöneticisi tarafından şifrelenerek ve erişim yetkisi sadece sistem yöneticisine verilerek şifreleme anahtarlarıyla güvenli ortamlarda saklanır

 

8.2    Kişisel Verilerin Yok Edilmesi

 

Kişisel veriler, Klinik  tarafından Tablo.5’te verilen yöntemlerle yok edilir.

 

Tablo 5: Kişisel Verilerin Yok Edilmesi

Veri Kayıt Ortamı

Açıklama

Fiziksel Ortamda Yer Alan Kişisel Veriler

Kâğıt ortamında yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, kâğıt kırpma makinelerinde geri döndürülemeyecek şekilde yok edilir

 

8.3    Kişisel Verilerin Anonim Hale Getirilmesi

 

Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.

 

Kişisel verilerin anonim hale getirilmiş olması için; kişisel verilerin, veri sorumlusu veya üçüncü kişiler tarafından geri döndürülmesi ve/veya verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekir.

9     SAKLAMA VE İMHA SÜRELERİ

 

Klinik  tarafından, faaliyetleri kapsamında işlenmekte olan kişisel verilerle ilgili olarak;

 

·         Süreçlere bağlı olarak gerçekleştirilen faaliyetler kapsamındaki tüm kişisel verilerle ilgili kişisel veri bazında saklama süreleri Kişisel Veri İşleme Envanterinde; 

·         Veri kategorileri bazında saklama süreleri VERBİS’e kayıtta;

·         Süreç bazında saklama süreleri ise Kişisel Veri Saklama ve İmha Politikasında Tablo 6’da

yer alır.

 

Söz konusu saklama süreleri üzerinde, gerekmesi halinde Klinik  KVK Komitesi tarafından güncellemeler yapılır. Saklama süreleri sona eren kişisel veriler için re’sen silme, yok etme veya anonim hale getirme işlemi Bilgi İşlem Müdürlüğü tarafından yerine getirilir. Aşağıda verilen süreler kategori bazındaki azami sürelerdir.

 

Tablo 6: Süreç bazında saklama ve imha süreleri tablosu

Süreç

Saklama Süresi (Azami Süreler)

İmha Süresi

Kimlik

Sözleşmenin feshinden itibaren 15 yıl

Saklama süresinin bitimini takip eden ilk periyodik imha süresinde

İletişim

Sözleşmenin feshinden itibaren 15 yıl

Saklama süresinin bitimini takip eden ilk periyodik imha süresinde

Özlük

Sözleşmenin feshinden itibaren 15 yıl

Saklama süresinin bitimini takip eden ilk periyodik imha süresinde

Hukuki İşlem

Sözleşmenin feshinden itibaren 15 yıl

Saklama süresinin bitimini takip eden ilk periyodik imha süresinde

Müşteri işlem

Sözleşmenin feshinden itibaren 10 yıl

Saklama süresinin bitimini takip eden ilk periyodik imha süresinde        

Fiziksel Mekan Güvenliği

1 ay

Saklama süresinin bitimini takip eden ilk periyodik imha süresinde

İşlem Güvenliği

Sözleşme feshinden itibaren 1 ay

Saklama süresinin bitimini takip eden ilk periyodik imha süresinde

Risk Yönetimi

Sözleşmenin feshinden itibaren 15 yıl

Saklama süresinin bitimini takip eden ilk periyodik imha süresinde

Finans

Sözleşmenin feshinden itibaren 15 yıl

Saklama süresinin bitimini takip eden ilk periyodik imha süresinde

Mesleki Deneyim

Sözleşmenin feshinden itibaren 15 yıl

Saklama süresinin bitimini takip eden ilk periyodik imha süresinde

Görsel ve İşitsel Kayıtlar

Sözleşmenin feshinden itibaren 15 yıl

Saklama süresinin bitimini takip eden ilk periyodik imha süresinde

Kılık ve Kıyafet

Sözleşmenin feshinden itibaren 15 yıl

Saklama süresinin bitimini takip eden ilk periyodik imha süresinde

Sağlık Bilgileri

Sözleşmenin feshinden itibaren 15 yıl

Saklama süresinin bitimini takip eden ilk periyodik imha süresinde

KVK Süreçleri (Aydınlatma, Açık Rıza, Başvuru ve Şikayetler)

İlgili sürecin tamamlanmasından itibaren 10 yıl

Saklama süresinin bitimini takip eden ilk periyodik imha süresinde

Silme Yok Etme Anonim Hale

Getirme Kayıt Süreci

İşlem tarihinden itibaren 3

yıl

Saklama süresinin bitimini takip eden ilk periyodik imha süresinde

Pazarlama

Sözleşmenin feshinden itibaren 10 yıl

Saklama süresinin bitimini takip eden ilk periyodik imha süresinde

Diğer (Askerlik Durumu Bilgisi)

Sözleşmenin feshinden itibaren 15 yıl

Saklama süresinin bitimini takip eden ilk periyodik imha süresinde

 

10 PERİYODİK İMHA SÜRESİ

 

Yönetmeliğin 11 inci maddesi gereğince Klinik, periyodik imha süresini 6 ay olarak belirlemiştir. Buna göre, Kinikte  her yıl Haziran ve Aralık aylarında periyodik imha işlemi gerçekleştirilir.

11 POLİTİKA’NIN YAYINLANMASI VE SAKLANMASI

 

İşbu Politika ıslak imzalı (basılı kağıt) ve elektronik ortamda olmak üzere iki farklı ortamda saklanır. Internet sayfasında kamuya açıklanır. Basılı kâğıt nüshası da İnsan Kaynakları Arşivinde saklanır.

 

12 GÜNCELLEME PERİYODU

 

İşbu Politika en az 3 yılda bir kez olmak üzere ihtiyaç duyuldukça gözden geçirilir ve gerekli olan bölümler güncellenir.

 

13 YÜRÜRLÜK

 

İş bu Politika Klinik Internet sitesinde yayınlanmasının ardından yürürlüğe girmiş kabul edilir.

 

14 GÜNCELLEME VE UYUM

 

Klinik, Kanun ve Yönetmelikte yapılan değişiklikler nedeniyle, Kurum kararları uyarınca ya da sektördeki ya da bilişim alanındaki gelişmeler doğrultusunda Kişisel Veri Saklama ve İmha Politikasında değişiklik yapma hakkını saklı tutar. İşbu Kişisel Veri Saklama ve İmha Politikasında yapılan değişiklikler derhal metne işlenir ve değişikliklere ilişkin açıklamalar politikanın sonunda açıklanır.

 

15 YÜRÜRLÜKTEN KALDIRILMASI

 

Politikanın yürürlükten kaldırılmasına karar verilmesi halinde, işbu Politika’nın ıslak imzalı eski nüshaları İnsan Kaynakları Direktörlüğü tarafından iptal edilerek (iptal kaşesi vurulurak veya iptal yazılarak) imzalanır ve 5 yıl süre ile İnsan Kaynakları Direktörlüğü tarafından saklanır.

 

16 DEĞİŞİKLİK NOTLARI

31.12.2021

:

Kişisel Veri Saklama ve İmha Politikası yayınlanmıştır.

*daha eski tarihli bir değişiklik bulunmamaktadır.*