Skip links

Kişisel Verileri Saklama Ve İmha Politikası

Kişisel Verileri Saklama Ve İmha Politikası

  1. GİRİŞ

    1. Amaç

Kişisel Verileri Saklama ve İmha Politikası (“Politika”), 

Veri sorumlusu unvanı                                : Healco Sağlık, Eğitim, Bilişim ve Danışmanlık Ticaret Limited Şirketi 

Veri sorumlusu adresi                                 : Çeliktepe Mah. İsmet İnönü Cad. Yıldırımlar iş merkezi No:11 İç Kapı No: 501 Kağıthane/İstanbul

Veri sorumlusu telefo                                 : (0538) 6841918


 
Veri sorumlusu e-posta           : [email protected]


 
Veri sorumlusu web sitesi     : https://onurseyrek.com

Veri sorumlusu tarafından gerçekleştirilmekte olan kişisel veri saklama ve imha faaliyetlerine ilişkin iş ve işlemler konusunda usul ve esasları belirlemek amacıyla hazırlanmıştır.

İşletmemiz; Hukuka uygun misyon, vizyon ve temel ilkeler doğrultusunda işlediğimiz kişisel verilerin T.C. Anayasası, uluslararası sözleşmeler, 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) ve diğer ilgili mevzuata uygun olarak işlenmesini ve ilgili kişilerin haklarını etkin bir şekilde kullanmasının sağlanmasını öncelik olarak belirlemiştir.

Kişisel verilerin saklanması ve imhasına ilişkin iş ve işlemler, bu doğrultuda hazırlanmış olan Politikaya uygun olarak gerçekleştirilir.

  1. Kapsam

Hastalar, refakatçiler, personeller, personel adayları ve hizmet verenlere ait kişisel veriler bu Politika kapsamında olup işletmemizin yönettiği kişisel verilerin işlendiği tüm kayıt ortamları ve kişisel veri işlenmesine yönelik faaliyetlerde bu Politika uygulanır.

  1. Kısaltmalar ve Tanımlar

Bu Politikada yer verilen hukuki ve teknik terimlerden;

Alıcı Grubu

Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisi

Açık Rıza

Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı,

Anonim Hale Getirme

Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi işlemini,

Çalışan

İşletme personelini,

EBYS

Elektronik Belge Yönetim Sistemini,

Elektronik Ortam

Kişisel verilerin elektronik aygıtlar ile oluşturulabildiği, okunabildiği, değiştirilebildiği ve yazılabildiği ortamlar

Elektronik Olmayan Ortam

Elektronik ortamların dışında kalan tüm yazılı, basılı, görsel vb. diğer ortamları,

Hizmet Sağlayıcı

İşletmemiz ile belirli bir sözleşme çerçevesinde hizmet sağlayan gerçek veya tüzel kişi

İlgili Kişi

Kişisel verisi işlenen gerçek kişiyi,

İlgili Kullanıcı

Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişileri,

İmha

Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesini,

Kanun

24.3.2016 Tarihli ve 6698 Sayılı Kişisel Verilerin Korunması Kanununu,

Kayıt ortamı

Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortamı,

Kişisel Veri

Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi,

Kişisel    Veri İşleme Envanteri

Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanteri,

Kişisel Verilerin

İşlenmesi

Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi,

Kurul

Kişisel Verileri Koruma Kurulunu,

Özel Nitelikli Kişisel

Veri

Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri,

Periyodik İmha

Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemini,

Politika

Kişisel Verileri Saklama ve İmha Politikasını,

Veri İşleyen

Veri sorumlusunun verdiği yetkiye dayanarak veri sorumlusu adına kişisel verileri işleyen gerçek veya tüzel kişiyi,

Veri Kayıt Sistemi

Kişisel    verilerin belirli     kriterlere              göre yapılandırılarak işlendiği kayıt sistemini,

VERBİS

Veri Sorumluları Sicil Bilgi Sistemini,

Veri Sorumlusu

Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi, 

Yönetmelik

28 Ekim 2017 tarihli Resmi Gazete’de yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmeliği,

 

İfade eder. 

  1. SAKLAMA VE İMHAYA İLİŞKİN AÇIKLAMALAR

İşletmemiz tarafından işlenen kişisel veriler Kanun’a uygun olarak saklanır ve saklama süresi sonunda imha edilir.

  1. Saklamaya İlişkin Açıklamalar

Kanunun 3. maddesinde kişisel verilerin işlenmesi kavramı tanımlanmış, 4. maddesinde işlenen kişisel verinin işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli süre kadar muhafaza edilmesi gerektiği belirtilmiş, 5. ve 6. maddelerde ise kişisel verilerin işleme şartları sayılmıştır.

Buna göre, kişisel veriler, ilgili mevzuatta öngörülen veya işleme amaçlarımıza uygun süre kadar saklanır.

  1. Kişisel Veri Saklamayı Gerektiren Hukuki Sebepler

İşlenen kişisel veriler aşağıda belirtilen hukuki sebeplerden en az birinin varlığı halinde işlenir ve saklanır.

  • Kanunlarda açıkça öngörülmesi
  • Sözleşmenin ifası için tarafların verilerinin işlenmesinin gerekli olması
  • Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması
  • Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması
  • İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması
  • Koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi
  • Açık Rıza
    1. Saklamayı Gerektiren İşleme Amaçları

Kişisel veriler aşağıda belirtilen amaçlar doğrultusunda işlenir ve saklanır.

  • Çalışan adaylarının başvuru süreçlerinin yürütülmesi
  • Çalışanlar için iş akdi ve mevzuattan kaynaklı yükümlülüklerin yerine getirilmesi
  • Çalışanlar için yan haklar ve menfaatleri süreçlerinin yürütülmesi
  • Eğitim faaliyetlerinin yürütülmesi
  • Erişim yetkilerinin yürütülmesi
  • Faaliyetlerin mevzuata uygun yürütülmesi
  • Finans ve muhasebe işlerini yürütülmesi
  • Fiziksel mekân güvenliğinin temini
  • Görevlendirme süreçlerinin yürütülmesi
  • Hukuki işlerin takibi ve yürütülmesi 
  • İletişim faaliyetlerinin yürütülmesi
  • İnsan kaynakları süreçlerinin planlanması
  • İş sağlığı ve güvenliği faaliyetlerinin yürütülmesi
  • İş süreçlerinin iyileştirilmesine yönelik önerilerin alınması ve değerlendirilmesi
  • Performans değerlendirme süreçlerini yürütülmesi
  • Saklama ve arşiv faaliyetlerini yürütülmesi
  • Sözleşme süreçlerinin yürütülmesi
  • Talep ve şikayetlerin takibi
  • Taşınır mal ve kaynakların güvenliğinin temini
  • Veri sorumlusu operasyonlarının güvenliğinin temini
  • Yetkili kişi, kurum ve kuruluşlara bilgi verilmesi
  • Tanıtım faaliyetlerinin yürütülmesi

 

  1. İmhayı Gerektiren Sebepler

Kişisel veriler;

 

  • İşlenmesine esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası,
  • İşlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,
  • Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin açık rızasını geri alması,
  • Kanunun 11. maddesi gereği ilgili kişinin hakları çerçevesinde kişisel verilerinin silinmesi ve yok edilmesine ilişkin yaptığı başvurunun işletmemiz tarafından kabul edilmesi,
  • İşletmemizin, ilgili kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabı yetersiz bulması veya Kanunda öngörülen süre içinde cevap vermemesi hallerinde; Kurula şikâyette bulunması ve bu talebin Kurul tarafından uygun bulunması,
  • Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olması ve kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması,

 

durumlarında, işletmemiz   tarafından ilgili kişinin talebi üzerine silinir, yok edilir ya da re’sen silinir, yok edilir veya anonim hale getirilir.

  1. TEKNİK VE İDARİ TEDBİRLER

Kişisel verilerin güvenli bir şekilde saklanması, hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi ile kişisel verilerin hukuka uygun olarak imha edilmesi için Kanunun 12. maddesiyle Kanunun 6. maddesi dördüncü fıkrası gereği özel nitelikli kişisel veriler için Kurul tarafından belirlenerek ilan edilen yeterli önlemler çerçevesinde teknik ve idari tedbirler alınır.

  1. Teknik Tedbirler

İşlenen kişisel verilerle ilgili olarak alınan teknik tedbirler aşağıda sayılmıştır:

  • Ağ güvenliği ve uygulama güvenliği sağlanmaktadır.
  • Bilgi teknolojileri sistemleri tedarik, geliştirme ve bakımı kapsamındaki güvenlik önlemleri alınmaktadır.
  • Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır. 
  • Güncel anti-virüs sistemleri kullanılmaktadır.
  • Güvenlik duvarları kullanılmaktadır.
  • Özel nitelikli kişisel verilere erişimi olan çalışanların periyodik olarak yetki kontrolleri gerçekleştirilmektedir. 
  • Verilerin bulunduğu ortamlara ait güvenlik güncellemeleri sürekli takip edilmekte, gerekli güvenlik testleri düzenli olarak yapılmakta veya yaptırılmakta ve test sonuçları kayıt altına alınmaktadır. 
  • Özel nitelikli kişisel verilere erişim yapılan yazılımların güvenlik testleri düzenli olarak yaptırılmaktadır ve test sonuçları kayıt altına alınmaktadır. 
  • Dijital ortamda saklanan kişisel veriler için periyodik aralıklarla silme, yok etme veya anonim hale getirme işlemleri yapılmaktadır.
    1. İdari Tedbirler

İşlenen kişisel verilerle ilgili olarak alınan idari tedbirler aşağıda sayılmıştır:

 

  • Çalışanlar için veri güvenliği hükümleri içeren disiplin düzenlemeleri mevcuttur.
  • Çalışanlar için veri güvenliği konusunda belli aralıklarla eğitim ve farkındalık çalışmaları yapılmaktadır.
  • Erişim, bilgi güvenliği, kullanım, saklama ve imha konularında kurumsal politikalar hazırlanmış ve uygulamaya başlanmıştır.
  • Gizlilik taahhütnameleri yapılmaktadır. 
  • İmzalanan sözleşmeler veri güvenliği hükümleri içermektedir. 
  • Kâğıt yoluyla aktarılan kişisel veriler için ekstra güvenlik tedbirleri alınmakta ve ilgili evrak gizlilik dereceli belge formatında gönderilmektedir.
  • Kişisel veri güvenliği politika ve prosedürleri belirlenmiştir.
  • Kişisel veri güvenliği sorunları hızlı bir şekilde raporlanmaktadır.
  • Kişisel veri güvenliğinin takibi yapılmaktadır.
  • Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmaktadır.
  • Kişisel veri içeren fiziksel ortamların dış risklere (yangın, sel vb.) karşı güvenliği sağlanmaktadır.
  • Kişisel veri içeren ortamların güvenliği sağlanmaktadır.
  • Kişisel veriler mümkün olduğunca azaltılmaktadır.
  • Kurum içi periyodik ve/veya rastgele denetimler yapılmakta ve yaptırılmaktadır.
  • Özel nitelikli kişisel veri güvenliğine yönelik protokol ve prosedürler belirlenmiş ve uygulanmaktadır.
  • Özel nitelikli kişisel veriler elektronik posta yoluyla gönderilecekse mutlaka şifreli olarak ve KEP veya kurumsal posta hesabı kullanılarak gönderilmektedir.
  • Özel nitelikli kişisel verilere erişim yetkisine sahip kullanıcıların, yetki kapsamları ve süreleri net olarak tanımlanmaktadır. 
  • Görev değişikliği olan ya da işten ayrılan çalışanların kendisine tahsis edilmiş envanter iade alınmaktadır. 
  • Kişisel veri envanteri hazırlanmıştır.
  • Periyodik aralıklarla silme, yok etme veya anonim hale getirme işlemleri yapılmaktadır. 
  1. SAKLAMA VE İMHA SÜRELERİ

İşletmemiz   tarafından, faaliyetleri kapsamında işlenmekte olan kişisel verilerle ilgili olarak; saklama süreleri Kişisel Veri Saklama ve İmha Politikasında yer alır.

Söz konusu saklama süreleri üzerinde, gerekmesi halinde güncellemeler yapılır.

Saklama süreleri sona eren kişisel veriler için saklama süresinin bitimini takip eden ilk periyodik imha süresinde re’sen silme, yok etme veya anonim hale getirme işlemi yerine getirilir.

  1. Saklama Süreleri Tablosu

İŞLENEN VERİ 

İLGİLİ KİŞİ KATEGORİSİ

SAKLAMA SÜRESİ

Kimlik Bilgileri

Çalışan

Aktif istihdam ilişkisi sonlandıktan sonra 15 yıl

Çalışan Adayı

İş başvurusu olumsuz sonuçlanması halinde saklanmaz

Hasta

Tedavi bitimi itibariyle 20 yıl

Refakatçi

Hizmet süresince

Dışardan Hizmet Veren Gerçek Kişiler

Hizmet bitiminden itibaren 10 yıl 

İletişim Bilgileri

Çalışan

Aktif istihdam ilişkisi sonlandıktan sonra 15 yıl

Çalışan Adayı

İş başvurusu olumsuz sonuçlanması halinde saklanmaz

Hasta

Tedavi bitimi itibariyle 20 yıl

Refakatçi

Hizmet süresince

Dışardan Hizmet Veren Gerçek Kişiler

Hizmet bitiminden itibaren 10 yıl 

Kişisel Sağlık Verisi

Çalışan

Aktif istihdam ilişkisi sonlandıktan sonra 15 yıl

Çalışan Adayı

İş başvurusu olumsuz sonuçlanması halinde saklanmaz

Hasta

Tedavi bitimi itibariyle 20 yıl

Ceza Mahkûmiyeti ve Güvenlik Tedbirleri Bilgileri

Çalışan

Aktif istihdam ilişkisi sonlandıktan sonra 10 yıl

Çalışan Adayı

İş başvurusu olumsuz sonuçlanması halinde saklanmaz

Özlük

Çalışan

Aktif istihdam ilişkisi sonlandıktan sonra 10 yıl

Çalışan Adayı

İş başvurusu olumsuz sonuçlanması halinde saklanmaz

Hukuki İşlem

Çalışan ve Hasta

Hukuki sürecin sonlanmasından itibaren 10 yıl

İşlem Güvenliği

Çalışan ve Hasta

2 yıl

Müşteri İşlem

Hasta 

20 yıl

Dışardan Hizmet Veren Gerçek Kişiler

Hizmet bitiminden itibaren 10 yıl 

Finans 

Hasta

20 yıl

 

Çalışan

10 yıl

Kamera Kayıtları

Bütün Kişi Grupları İçin

2 ay

Mesleki Deneyim

Çalışan

Aktif istihdam ilişkisi sonlandıktan sonra 10 yıl

Çalışan Adayı

İş başvuru süreci olumsuzsa saklanmaz

Görsel ve İşitsel Kayıtlar

 

Çalışan

Aktif istihdam ilişkisi sonlandıktan sonra 15 yıl 

Hasta

Tedavi bitimi itibarıyla 20 yıl

Çalışan Adayı

İş başvuru süreci olumsuzsa saklanmaz

  1. İmha Süreleri

İşletmemiz, Kanun ve Yönetmelik hükümlerince kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde, işbu Politikada belirlenen esas ve usullere uygun olarak kişisel verileri resen siler, yok eder veya anonim hale getirir.

Veri sorumlusu, Kanunun 13. maddesinde belirtilen kişisel verilerin silinmesini talep etme hakkını kullanarak tarafımıza usulüne uygun şekilde başvurması durumunda; 

  • Kişisel verileri işleme şartlarının tamamı ortadan kalkmışsa; Talebe konu kişisel veriler, talebin alındığı günden itibaren 30 (otuz) gün içinde uygun imha yöntemi ile silinir, yok edilir veya anonim hale getirilir.
  • Kişisel verileri işleme şartlarının tamamı ortadan kalkmamışsa, Kanunun 13. maddesinin üçüncü fıkrası uyarınca talep gerekçesi açıklanarak reddedilebilir ve ret cevabı ilgili kişiye en geç 30 (otuz) gün içinde yazılı olarak ya da elektronik ortamda bildirilir.
  1. PERİYODİK İMHA SÜRELERİ

Yönetmeliğin 11. maddesi gereğince, periyodik imha süresi 6 ay olarak belirlenmiştir. Buna göre, her yıl 1 Şubat  ve 1 Temmuz tarihlerinde periyodik imha işlemi gerçekleştirilir.

 

İMHA YÖNTEMLERİ

 

İlgili mevzuatta öngörülen süre ya da işlendikleri amaç için gerekli olan saklama süresinin sonunda kişisel veriler, re’sen veya ilgili kişinin başvurusu üzerine yine ilgili mevzuat hükümlerine uygun olarak aşağıda belirtilen tekniklerle imha edilir.

  1. Kişisel Verilerin Silinmesi

Kişisel veriler aşağıda verilen yöntemlerle silinir.

 

Veri Kayıt Ortamı

Açıklama

Sunucularda Yer Alan Kişisel Veriler

Sunucularda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler için sistem yöneticisi tarafından ilgili kullanıcıların erişim yetkisi kaldırılarak silme işlemi yapılır.

Elektronik Ortamda Yer Alan Kişisel Veriler

Elektronik ortamda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, veri tabanı yöneticisi hariç diğer çalışanlar (ilgili kullanıcılar) için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir.

Fiziksel Ortamda Yer Alan Kişisel Veriler

Fiziksel ortamda tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler için evrak arşivinden sorumlu birim yöneticisi hariç diğer çalışanlar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. Ayrıca, üzeri okunamayacak şekilde çizilerek/boyanarak/silinerek karartma işlemi de uygulanır.

Taşınabilir Medyada Bulunan Kişisel Veriler

Flash tabanlı saklama ortamlarında tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler, sistem yöneticisi tarafından şifrelenerek ve erişim yetkisi sadece sistem yöneticisine verilerek şifreleme anahtarlarıyla güvenli ortamlarda saklanır.

 

  1. Kişisel Verilerin Yok Edilmesi

Kişisel veriler aşağıda verilen yöntemlerle yok edilir.

Veri Kayıt Ortamı

Açıklama

Fiziksel Ortamda Yer Alan Kişisel Veriler

Kâğıt ortamında yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, kâğıt kırpma makinelerinde geri döndürülemeyecek şekilde yok edilir.

Optik / Manyetik Medyada Yer Alan Kişisel Veriler

Optik medya ve manyetik medyada yer alan kişisel verilerden saklanmasını gerektiren süre sona erenlerin eritilmesi, yakılması veya toz haline getirilmesi gibi fiziksel olarak yok edilmesi işlemi uygulanır. Ayrıca, manyetik medya özel bir cihazdan geçirilerek yüksek değerde manyetik alana maruz bırakılması suretiyle üzerindeki veriler okunamaz hale getirilir.

Dijital Ortamda Yer Alan Kişisel Veriler

 

Dijital ortamda yer alan kişisel verilerden saklama süresi sona erenler tüm log ve arka plan işlem kayıtları ve yedekleri ile birlikte geri döndürülemeyecek bir şekilde imha edilir.

 

  1. Kişisel Verilerin Anonim Hale Getirilmesi

Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.

Kişisel verilerin anonim hale getirilmiş olması için; kişisel verilerin, veri sorumlusu veya üçüncü kişiler tarafından geri döndürülmesi ve/veya verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekir.

İşletmemiz kişisel verileri anonim hale getirirken yukarıda belirtilen standartlara uygun şekilde anonim hale getirme işlemi yapmaktadır. Kişisel verilerin anonim hale getirilmesi işlemi sonrasında kişisel veriler hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale gelmektedir. 

  1. İMHA İŞLEMİNİN HUKUKA UYGUNLUĞUNU SAĞLAMAK İÇİN ALINAN TEDBİRLER

Talep üzerine ve periyodik imha süreçlerinde resen gerçekleştirilen imha işlemleri Kanun’a, Yönetmeliğe ve işbu Politikaya uygun olarak yapılır. Bu kapsamda alınmış teknik ve idari tedbirler aşağıda ayrı ayrı gösterilmiştir.  

  1. Teknik Tedbirler

  • Bilgi teknolojileri birimlerinde çalışanların kişisel verilere erişim yetkileri kontrol altında tutulur.
  • Kişisel verilerin yok edilmesi işlemi, verilerin geri dönüştürülemeyecek ve denetim izi bırakmayacak şekilde yapılmasının sağlanır.
    1. İdari Tedbirler

  • Personele Kişisel verilerin korunması mevzuatı, veri güvenliği ve imha konusunda eğitim verilir. 
  • Yapılan imha süreçleri düzenli aralıklarla denetlenir. Tespit edilen güvenlik açıklarının giderilmesi için gereken önlemler alınır.  
  1. KAYIT ORTAMLARI

Kişisel veriler, kanun, yönetmelik ve ilgili diğer mevzuat hükümlerine uygun olacak şekilde saklamaktadır. Bu kapsamda saklanan kişisel verilerin kayıt ortamları aşağıdaki tabloda gösterilmiştir. 

Elektronik Ortamlar

Elektronik Olmayan Ortamlar

Sunucular (Etki alanı, yedekleme, e-posta, veritabanı, web, dosya paylaşım, vb.)

  • Yazılımlar (Meddata Yazılımı, ofis yazılımları, portal.)
  • Bilgi güvenliği cihazları (güvenlik duvarı, saldırı tespit ve engelleme, günlük kayıt dosyası, antivirüs vb. )
  • Bilgisayarlar (Masaüstü, dizüstü)
  • Mobil cihazlar (telefon, tablet vb.)
  • Optik diskler (CD, DVD vb.)
  • Çıkartılabilir bellekler (USB, Hafıza Kart vb.)
  • Yazıcı, tarayıcı, fotokopi makinesi, Tıbbi cihazlar
  • Kağıt
  • Manuel veri kayıt sistemleri 
  • Yazılı, basılı ve görsel ortamlar

 

 

  1. KİŞİSEL VERİ GÜVENLİĞİ İÇİN ALINAN TEDBİRLER

Kişisel verilerin güvenli bir şekilde saklanması, hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi ile kişisel verilerin hukuka uygun olarak imha edilmesi için Kanunun 12. maddesiyle Kanunun 6. maddesi dördüncü fıkrası gereği özel nitelikli kişisel veriler için Kurul tarafından belirlenerek ilan edilen yeterli önlemler çerçevesinde teknik ve idari tedbirler alınır.

  1. Teknik Tedbirler

İşlenen kişisel verilerle ilgili olarak alınan teknik tedbirler aşağıda sayılmıştır:

  • Ağ güvenliği ve uygulama güvenliği sağlanmaktadır.
  • Bilgi teknolojileri sistemleri tedarik, geliştirme ve bakımı kapsamındaki güvenlik önlemleri alınmaktadır.
  • Güncel anti-virüs sistemleri kullanılmaktadır.
  • Güvenlik duvarları kullanılmaktadır.
  • Silme, yok etme veya anonim hale getirme yapılmaktadır
  • Veri kaybı önleme yazılımları kullanılmaktadır.
    1. İdari Tedbirler

İşlenen kişisel verilerle ilgili olarak alınan idari tedbirler aşağıda sayılmıştır:

 

 

  • Çalışanlar için veri güvenliği hükümleri içeren disiplin düzenlemeleri mevcuttur.
  • Çalışanlar için veri güvenliği konusunda belli aralıklarla eğitim ve farkındalık çalışmaları yapılmaktadır.
  • Erişim, bilgi güvenliği, kullanım, saklama ve imha konularında kurumsal politikalar hazırlanmış ve uygulamaya başlanmıştır.
  • Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır.
  • Kişisel veri güvenliği politika ve prosedürleri belirlenmiştir.
  • Kişisel veri güvenliğinin takibi yapılmaktadır.
  • Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmaktadır.
  • Kişisel veri içeren fiziksel ortamların dış risklere (yangın, sel vb.) karşı güvenliği sağlanmaktadır.
  • Kişisel veri içeren ortamların güvenliği sağlanmaktadır.
  • Kişisel veriler mümkün olduğunca azaltılmaktadır.
  • Kurum içi periyodik ve/veya rastgele denetimler yapılmakta ve yaptırılmaktadır.
  1. PERSONEL UNVAN, BİRİM VE GÖREV DAĞILIMI

Tüm birimler ve çalışanlar, sorumlu birimlerce Politika kapsamında alınmakta olan teknik ve idari tedbirlerin gereği gibi uygulanması, birim çalışanlarının eğitimi ve farkındalığının arttırılması, izlenmesi ve sürekli denetimi ile kişisel verilerin hukuka aykırı olarak işlenmesinin önlenmesi, kişisel verilere hukuka aykırı olarak erişilmesinin önlenmesi ve kişisel verilerin hukuka uygun saklanmasının sağlanması amacıyla kişisel veri işlenen tüm ortamlarda veri güvenliğini sağlamaya yönelik teknik ve idari tedbirlerin alınması konularında sorumlu birimlere aktif olarak destek verir.

Kişisel verilerin saklama ve imha süreçlerinde görev alanların unvanları ve görev tanımlarına ait dağılım aşağıda tablo halinde verilmiştir.

GÖREVLİ

GÖREV TANIMI

Muayenehane Sahibi Hekim

İşlenen Kişisel veri saklama ve imha süreçlerinin işbu politikaya uygun şekilde yapılmasını temin etmek, birimler arası koordinasyonu sağlamak, gerekli denetimleri yapmak, politikanın geliştirilmesi, ilgili ortamlarda yayınlanması ve güncellenmesinden sorumludur.

 

Sekreter/Asistan

Çalışanların          politikaya             uygun hareket etmesini sağlamak, gerekli denetimleri yapmak ve muayenehane sahibi hekim tarafından verilen diğer görevleri yerine getirmek.

 

Politika’nın uygulanmasında ihtiyaç duyulan teknik çözümlerin sunulmasından sorumludur.

  1. POLİTİKADA YAPILAN GÜNCELLEMELER

Mevzuatın değişmesi sebebiyle, Kurul kararları uyarınca ya da sektördeki ya da bilişim alanındaki gelişmeler doğrultusunda işbu Kişisel Veri Saklama ve İmha Politikasında değişiklik yapılabilir. Bu kapsamda yapılan değişiklikler derhal metne işlenir ve değişikliklere ilişkin açıklamalar aşağıda düzenlenen güncellemeler tablosuna eklenir.

Güncellemeler Tablosu

13/01/2023

Kişisel Veri İşleme ve İmha Politikası yürürlüğe girmiştir. 

…………………………………………………………………………………………………………………………………….

  1. SON HÜKÜMLER

İşbu Kişisel Veri Saklama ve İmha Politikası, veri sorumlusu tarafından hazırlanarak;

  • işletme içinde uygun yerlerde 
  • web sitemizden  

https://onurseyrek.com ilan edilerek ilgili kişilere duyurulmuştur.