KİŞİSEL VERİLERİN SAKLANMASI, İMHASI VE ANANONİMLEŞTİRİLMESİ POLİTİKASI
1. AMAÇ VE KAPSAM
Kişisel Verileri Saklama ve İmha Politikası “Politika” olarak anılacaktır. Bu politika Veri sorumlusu tarafından gerçekleştirilmekte olan saklama ve imha faaliyetlerine ilişkin iş ve işlemler konusunda usul ve esasları belirlemek amacıyla hazırlanmıştır.
Veri sorumlusu olarak temel prensibimiz; ürün hizmet alan kişiler/ hastalar, çalışanları, potansiyel hasta ve ürün hizmet alan kişiler, hizmet sağlayıcıları, ziyaretçileri ve diğer üçüncü kişilere ait kişisel verilerin T.C. Anayasası, uluslararası sözleşmeler ve 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) ve diğer ilgili mevzuatlara uygun olarak işlenmesidir. Bu kapsamda ilgili kişilerin hak kaybına uğramaması ve haklarına etkin bir şekilde kullanması öncelik olarak belirlenmiştir.
İşbu hazırlanan Kişisel Verileri Saklama ve İmha Politikası, 6698 Sayılı Kişisel Verilerin Korunması Kanunu, 28.10.2017 tarih ve 30224 Sayılı Resmi Gazetede yürürlüğe giren Kişisel Verilerin Silinmesi, Yok Edilmesi Veya Anonim Hale Getirilmesi Hakkında Yönetmelik (“Yönetmelik”) ve diğer mevzuat hükümlerine uyumlu şekilde hazırlanmıştır.
2. TANIMLAR:
Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisi. |
|
Açık Rıza |
Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza. |
Anonim Hale Getirme |
Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi. |
Müşteri/ Hasta/ Potansiyel hasta |
Ürün veya hizmet alan kişi/ Potansiyel ürün veya hizmet alan kişi/ herhangi bir sözleşmesel ilişkisi olup olmadığına bakılmaksızın kliniğimizin sunmuş olduğu hizmetleri kullanan veya kullanmış olan gerçek kişiler. Hizmetlerimizi kullanma talebinde veya ilgisinde bulunmuş veya bu ilgiye sahip olabileceği ticari teamül ve dürüstlük kurallarına uygun olarak değerlendirilmiş gerçek kişiler |
Çalışan |
Veri sorumlusu nezdindeki personel. |
Çalışan adayı |
Özgeçmişleri alınan stajyer veya çalışan adayları |
Elektronik Ortam |
Kişisel verilerin elektronik aygıtlar ile oluşturulabildiği, okunabildiği, değiştirilebildiği ve yazılabildiği ortamlar |
Elektronik Olmayan Ortam |
Elektronik ortamların dışında kalan tüm yazılı, basılı, görsel vb. diğer ortamlar. |
Hizmet Sağlayıcı |
Kişisel Verileri Koruma Kurumu ile belirli bir sözleşme çerçevesinde hizmet sağlayan gerçek veya tüzel kişi. |
İlgili Kişi |
Kişisel verisi işlenen gerçek kişi. Örneğin; hastalar ve çalışanlar. |
İlgili Kullanıcı |
Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişiler |
İmha |
Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi. |
Kanun |
6698 Sayılı Kişisel Verilerin Korunması Kanunu. |
Kayıt Ortamı |
Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam. |
Kişisel Veri |
Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi. Dolayısıyla tüzel kişilere ilişkin bilgilerin işlenmesi Kanun kapsamında değildir. Örneğin; ad-soyad, TCKN, e-posta,adres, doğum tarihi, banka bilgileri vb. |
Kişisel Veri İşleme Envanteri |
Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter |
Kişisel Verilerin İşlenmesi |
Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, saklanması, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem. |
Kurul |
Kişisel Verileri Koruma Kurulu |
Özel Nitelikli Kişisel Veri |
Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri. |
Periyodik İmha |
Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla re ’sen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi. |
Politika |
Kişisel Verileri Saklama ve İmha Politikası |
Veri İşleyen |
Veri sorumlusunun verdiği yetkiye dayanarak veri sorumlusu adına kişisel verileri işleyen gerçek veya tüzel kişi. |
Veri Kayıt Sistemi |
Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi. |
Veri Sorumlusu |
Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasında ve yönetilmesinden sorumlu gerçek veya tüzel kişi. Muayene sahibi Op. Dr. Aslı YÜCETÜRK |
Veri Sorumluları Sicil Bilgi Sistemi |
Veri sorumlularının Sicile başvuruda ve Sicile ilişkin ilgili diğer işlemlerde kullanacakları, internet üzerinden erişilebilen, Başkanlık tarafından oluşturulan ve yönetilen bilişim sistemi. |
VERBİS |
Veri Sorumluları Sicil Bilgi Sistemi |
Yönetmelik |
28 Ekim 2017 tarihli Resmi Gazetede yayımlanan Kişisel Verilerin Silinmesi, |
Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik. |
3. KAYIT ORTAMLARI
Aşağıdaki tablo, Veri Sorumlusu tarafından saklanan kişisel verilerin hangi ortamlarda kayıt altına alındığını göstermektedir. Şirketimiz tarafından saklanan kişisel veriler niteliğine ve hukuki durumuna göre en uygun kayıt ortamında saklanır.
Veri Kayıt Ortamı |
Açıklama |
Elektronik Ortamlar |
· Sunucular (Yedekleme, E-posta, Web, vb.) · Bilgi Güvenliği Cihazı (Güvenlik Duvarı, Saldırı Tespit Ve Engelleme, Antivirüs, vb.) · Veri Sorumlusu Bilgisayarları (Masaüstü, vb.) · Veri Sorumlusuna Ait Mobil Cihazlar (Telefon, vb.) |
Elektronik Olmayan Ortamlar |
· Kağıt · Yazılı, basılı, görsel ortamlar |
4. SORUMLULUK
Yönetmeliğin 6. maddesinin f bendi uyarınca kişisel verilerin saklanmasında ve imha süreçlerinde yer alan kişilerin görevlerinin belirtilmesi gerektiği düzenleme altına alınmıştır. Bu kapsamda kişisel verilerin hukuka aykırı olarak işlenmesinin ve erişilmesinin önlenmesi, kişisel verilerin hukuka uygun saklanmasının sağlanması amacıyla veri güvenliği, saklama ve imha süreçlerinin yönetimi, teknik ve idari tedbirlerini alınması konularında veri sorumlusu bünyesinde bulunan çalışanlara ait görev dağılımı, Kişisel Veri Saklama ve İmha Politikası ve düzenlenen diğer politika ve prosedürler uyarınca yürütülmesi gereken süreçleri yönetmek ve ilgili kişilerce gelen talepleri karara bağlamak veri sorumlusu yükümlülüğündedir.
5. SAKLAMA VE İMHAYA İLİŞKİN AÇIKLAMALAR
Veri sorumlusu bünyesinde, hizmet verilen kişilere ait kişisel veriler, Kanunun belirtmiş olduğu hususlara uygun olarak işlenmekte ve işbu politikada belirtilen kayıt ortamlarında saklanmakla beraber yine bu politikada belirtilen şekilde imha edilmektedir. Ayrıca personele ilişkin kişisel verileri saklamakta ve imha etmektedir.
Kişisel Veriler, Kanun’un 5. ve 6. maddelerinde belirtilen kişisel veri işleme şartlarından birine veya birkaçına dayalı olarak saklanmakta ve bu kapsamda, kişisel verilerin işlenmesi için belirtilen şartların geçerliliği süresince kişisel veriler saklanmakta, söz konusu işleme şartları sona erdiğinde veya ilgili kişinin veri sorumlusuna başvurusu üzerine, talep üzerine saklanmakta olan kişisel veriler silinmekte, imha edilmekte veya anonim hale getirilmektedir.
Saklamayı Gerektiren Hukuki Sebepler
Veri sorumlusu, faaliyetleri çerçevesinde işlenen kişisel veriler, ilgili mevzuatta öngörülen süre kadar muhafaza edilir. Bu kapsamda kişisel veriler;
6698 sayılı Kişisel Verilerin Korunması Kanunu,
6098 sayılı Türk Borçlar Kanunu,
5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu,
5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mü cadele Edilmesi Hakkında Kanun,
6361 sayılı İş Sağlığı ve Güvenliği Kanunu,
4857 sayılı İş Kanunu,
2828 sayılı Sosyal Hizmetler Kanunu,
4632 sayılı Bireysel Emeklilik Tasarruf ve Yatırım Sistemi Kanunu,
İşyeri Bina ve Eklentilerinde Alınacak Sağlık ve Güvenlik Önlemlerine İlişkin Yönetmelik,
Devlet Arşiv Hizmetleri Hakkında Yönetmelik,
İş Sağlığı Ve Güvenliği Hizmetleri Yönetmeliği,
3359 sayılı Sağlık Hizmetleri Temel Kanunu,
663 sayılı Sağlık Bakanlığı ve Bağlı Kuruluşlarının Teşkilat ve Görevleri Hakkında Kanun Hükmünde Kararname,
Bu kanunlar uyarınca yürürlükte olan diğer ikincil düzenlemeler, çerçevesinde öngörülen saklama süreleri kadar saklanmakta ve işlenmektedir.
Saklamayı Gerektiren İşleme Amaçları
Veri sorumlusu, faaliyetleri çerçevesinde işlemekte olduğu kişisel verileri belirli amaçlar doğrultusunda saklamaktadır. Bu kapsamda amaçlar aşağıda sayılmıştır.
Acil Durum Yönetimi Süreçlerinin Yürütülmesi
Bilgi Güvenliği Süreçlerinin Yürütülmesi
Çalışanlar İçin İş Akdi Ve Mevzuattan Kaynaklı Yükümlülüklerin Yerine Getirilmesi
Çalışanlar İçin Yan Haklar Ve Menfaatleri Süreçlerinin Yürütülmesi
Denetim / Etik Faaliyetlerinin Yürütülmesi
Eğitim Faaliyetlerinin Yürütülmesi
Erişim Yetkilerinin Yürütülmesi
Faaliyetlerin Mevzuata Uygun Yürütülmesi
Finans Ve Muhasebe İşlerinin Yürütülmesi
Firma/ ürün/ Hizmetlere bağlılık süreçlerinin yürütülmesi
Görevlendirme Süreçlerinin Yürütülmesi
Hukuk İşlerinin Takibi Ve Yürütülmesi
İletişim Faaliyetlerinin Yürütülmesi
İnsan Kaynakları Süreçlerinin Planlanması
İş Faaliyetlerinin Yürütülmesi / Denetimi
İş Sağlığı / Güvenliği Faaliyetlerinin Yürütülmesi
Mal / Hizmet Satın Alım Süreçlerinin Yürütülmesi
Mal/ hizmet satış süreçlerinin yürütülmesi
Müşteri ilişkileri yönetim süreçlerinin yürütülmesi
Müşteri memnuniyetine yönelik aktivitelerin yürütülmesi
Saklama Ve Arşiv Faaliyetlerinin Yürütülmesi
Sözleşme Süreçlerinin Yürütülmesi
Talep / Şikayetlerin Takibi
Ücret Politikasının Yürütülmesi
Ürün/ hizmetlerin pazarlama süreçlerinin yürütülmesi
Veri Sorumlusu Operasyonlarının Güvenliğinin Temini
Yetkili Kişi, Kurum Ve Kuruluşlara Bilgi Verilmesi
Teşhis, tıbbi tanı ve tedai süreçlerinin yönetilmesi, hekimlik ve tedavi süreç ve hizmetlerinin yürütülmesi
KİŞİSEL VERİLERİN MEVZUATTA ÖNGÖRÜLEN İLKELERE UYGUN OLARAK İŞLENMESİ
Veri sorumlusu; kişisel verilerin işlenmesinde hukuksal düzenlemelerle getirilen ilkeler ile genel güven ve dürüstlük kuralına uygun hareket etmektedir. Bu kapsamda veri sorumlusu, kişisel verilerin işlenmesinde orantılılık gerekliliklerini dikkate almakta, kişisel verileri amaç dışı kullanmamaktadır.
Veri sorumlusu; kişisel veri sahiplerinin temel haklarını ve kendi meşru menfaatlerini dikkate alarak işlediği kişisel verilerin doğru ve güncel olmasını sağlamaktadır. Bu doğrultuda gerekli tedbirleri almaktadır.
Veri sorumlusu, meşru ve hukuka uygun olan kişisel veri işleme amacını açık ve kesin olarak belirlemektedir. Veri sorumlusu, kişisel verileri sunmakta olduğu hizmetle bağlantılı ve bunlar için gerekli olan kadar işlemektedir. Veri sorumlusu tarafından kişisel verilerin hangi amaçla işleneceği henüz kişisel veri işleme faaliyeti başlamadan ortaya konulmaktadır.
Veri sorumlusu, kişisel verileri belirlenen amaçların gerçekleştirilebilmesine elverişli bir biçimde işlemekte ve amacın gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınmaktadır.
Veri sorumlusu, kişisel verileri ancak ilgili mevzuatta belirtildiği veya işlendikleri amaç için gerekli olan süre kadar muhafaza etmektedir. Bu kapsamda, Veri sorumlusu öncelikle ilgili mevzuatta kişisel verilerin saklanması için bir süre öngörülüp öngörülmediğini tespit etmekte, bir süre belirlenmişse bu süreye uygun davranmakta, bir süre belirlenmemişse kişisel verileri işlendikleri amaç için gerekli olan süre kadar saklamaktadır. Sürenin bitimi veya işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel veriler Veri sorumlusu tarafından silinmekte, yok edilmekte veya anonim hale getirilmektedir.
Kişisel verilerin korunması Anayasal bir haktır. Temel hak ve hürriyetler, özlerine dokunulmaksızın yalnızca Anaya- sa’nın ilgili maddelerinde belirtilen sebeplere bağlı olarak ve ancak kanunla sınırlanabilir. Anayasa’nın 20. maddesinin üçüncü fıkrası gereğince, kişisel veriler ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilecektir. Kliniğimiz bu doğrultuda ve Anayasa’ya uygun bir biçimde; kişisel verileri, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlemektedir.
Veri sorumlusu , Kanun’un 10. maddesine uygun olarak kişisel verilerin elde edilmesi sırasında kişisel veri sahiplerini aydınlatmaktadır. Bu kapsamda Veri Sorumlusu ve varsa temsilcisinin kimliğini, kişisel verilerin hangi amaçla işleneceğini, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi ile kişisel veri sahibinin sahip olduğu hakları konusunda aydınlatma yapmaktadır.
Anayasa’nın 20. maddesinde herkesin, kendisiyle ilgili kişisel veriler hakkında bilgilendirilme hakkına sahip olduğu ortaya konulmuştur. Bu doğrultuda Kanun’un 11. maddesinde kişisel veri sahibinin hakları arasında “bilgi talep etme” de sayılmıştır. Veri sorumlusu bu kapsamda, Anayasa’nın 20. ve Kanun’un 11. maddelerine uygun olarak kişisel veri sahibinin bilgi talep etmesi durumunda gerekli bilgilendirmeyi yapmaktadır.
Veri sorumlusu tarafından, Kanun ile “özel nitelikli” olarak belirlenen kişisel verilerin işlenmesinde, Kanun’da öngörülen düzenlemelere hassasiyetle uygun davranılmaktadır.
Kanun’un 6. maddesinde, hukuka aykırı olarak işlendiğinde kişilerin mağduriyetine veya ayrımcılığa sebep olma riski taşıyan bir takım kişisel veri “özel nitelikli” olarak belirlenmiştir. Bu veriler; ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir.
Kanun’a uygun bir biçimde Veri sorumlusu tarafından; özel nitelikli kişisel veriler, işbu Politika’da belirtilen ilkelere uygun olarak ve Kurul’un belirleyeceği yöntemler de dâhil olmak üzere, KVK Kurulu’nun “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler” ile ilgili Kişisel Verileri Koruma Kurulunun 31/01/2018 Tarihli ve 2018/10 Sayılı Kararı çerçevesinde ve ayrıca gerekli idari ve teknik tedbirler alınarak ve aşağıdaki şartların varlığı halinde işlenmektedir:
Kişisel veri sahibinin açık rızası var ise veya
Kişisel veri sahibinin açık rızası yok ise;
Kişisel veri sahibinin sağlığı ve cinsel hayatı dışındaki özel nitelikli kişisel veriler, kanunlarda açıkça öngörülen hallerde, bir diğer ifadeyle kanunda kişisel verilerin işlenmesine ilişkin açıkça bir hüküm olması halinde,
Kişisel veri sahibinin sağlığına ve cinsel hayatına ilişkin özel nitelikli kişisel verileri ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenmektedir. Aksi halde veri sahibinin açık rızası alınacaktır.
Veri sorumlusu, kişisel verilerin güvenli bir şekilde saklanması ile hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi için ilgili kişisel veri ile tutulduğu ortamın niteliklerine uygun olarak gerekli tüm teknik ve idari tedbirleri almaktadır. Ayrıca şirketimiz Kanunun 12. Maddesiyle Kanunun 6‘ncı maddesi dördüncü fıkrası gereği özel nitelikli kişisel veriler için Kişisel Verileri Koruma Kurumu tarafından belirlenerek ilan edilen yeterli önlemler çerçevesinde teknik ve idari tedbirler de almaktadır.
İşbu tedbirler, bunlarla kısıtlı olmamak üzere, ilgili kişisel verinin ve tutulduğu ortamın niteliğine uygun düştüğü ölçüde aşağıdaki idari ve teknik tedbirleri kapsar.
Teknik ve idari Tedbirler
Veri sorumlusu, kişisel verilerin saklandığı tüm ortamların ilgili verinin ve verinin tutulduğu ortamın niteliklerine uygun olarak aşağıdaki teknik tedbirleri almaktadır:
Çalışanlar için veri güvenliği konusunda belli aralıklarla eğitim ve farkındalık çalışmaları yapılmaktadır.
Gizlilik taahhütnameleri yapılmaktadır.
Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır.
Güncel anti-virüs sistemleri kullanılmaktadır.
İmzalanan sözleşmeler veri güvenliği hükümleri içermektedir.
Kişisel veri güvenliği ve prosedürleri belirlenmiştir.
Kişisel veri güvenliğinin takibi yapılmaktadır.
Kişisel veriler mümkün olduğunca azaltılmaktadır.
Kişisel veriler yedeklenmekte ve yedeklenen kişisel verilerin güvenliği de sağlanmaktadır.
Mevcut risk ve tehditler belirlenmiştir.
Özel nitelikli kişisel veri güvenliğine yönelik protokol ve prosedürler belirlenmiş ve uygulanmaktadır.
Veri işleyen hizmet sağlayıcılarının, veri güvenliği konusunda farkındalığı sağlanmaktadır.
Veri Sorumlusu, hukuka uygun olan kişisel veri işleme amaçları doğrultusunda gerekli güvenlik önlemlerini alarak kişisel veri sahibinin kişisel verilerini ve özel nitelikli kişisel verilerini üçüncü kişilere (üçüncü kişi şirketlere, grup şirketlerine, üçüncü gerçek kişilere) aktarabilmektedir. Veri Sorumlusu bu doğrultuda Kanun’un 8. maddesinde öngörülen düzenlemelere uygun hareket etmektedir. Veri Sorumlusu , meşru ve hukuka uygun kişisel veri işleme amaçları doğrultusunda aşağıda sayılan Kanun’un 5. maddesinde belirtilen kişisel veri işleme şartlarından bir veya birkaçına dayalı ve sınırlı olarak kişisel verileri üçüncü kişilere aktarabilmektedir:
Kişisel veri sahibinin açık rızası var ise,
Kişisel verilerin aktarılmasına ilişkin ilgili faaliyetlerin kanunlarda açıkça öngörülmesi,
Kişisel verilerin Veri Sorumlusu tarafından aktarılmasının bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili ve gerekli olması,
Kişisel verilerin aktarılmasının Veri Sorumlusu’nun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
Kişisel verilerin veri sahibi tarafından alenileştirilmiş olması şartıyla, alenileştirme amacıyla sınırlı bir şekilde Veri Sorumlusu tarafından aktarılması,
Kişisel verilerin Veri Sorumlusu tarafından aktarılmasının Veri Sorumlusu’nun veya veri sahibinin veya üçüncü kişilerin haklarının tesisi, kullanılması veya korunması için zorunlu olması,
Veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla Veri Sorumlusu meşru menfaatleri için kişisel veri aktarımı faaliyetinde bulunulmasının zorunlu olması,
Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınma yan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünü koruması için zorunlu olması. Yukarıdakilere ek olarak kişisel veriler, Kurul tarafından yeterli korumaya sahip olduğu ilan edilen yabancı ülkelere yukarıdaki şartlardan herhangi birinin varlığı halinde aktarılabilecektir. Yeterli korumanın bulunmaması durumunda ise mevzuatta öngörülen veri aktarım şartları doğrultusunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt ettiği ve Kurul’un izninin bulunduğu yabancı ülkelere aktarılabilecektir.
Veri Sorumlusu gerekli özeni göstererek, gerekli her türlü idari ve teknik güvenlik tedbirlerini ve KVK Kurulu tarafından öngörülecek yeterli önlemleri alarak; meşru ve hukuka uygun kişisel veri işleme amaçları doğrultusunda kişisel veri sahibinin özel nitelikli verilerini aşağıdaki durumlarda üçüncü kişilere aktarabilmektedir.
Kişisel veri sahibinin açık rızası var ise veya
Kişisel veri sahibinin açık rızası yok ise;
Kişisel veri sahibinin sağlığı ve cinsel hayatı dışındaki özel nitelikli kişisel verileri (ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir), kanunlarda öngörülen hallerde,
“Kişisel veri sahibinin sağlığına ve cinsel hayatına ilişkin özel nitelikli kişisel verileri ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından.” Aksi halde veri sahibinin açık rızası alınacaktır.
Yukarıdakilere ek olarak kişisel veriler, Kurul tarafından yeterli korumaya sahip olduğu ilan edilen yabancı ülkelere yukarıdaki şartlardan herhangi birinin varlığı halinde aktarılabilecektir. Yeterli korumanın bulunmaması durumunda ise mevzuatta öngörülen veri aktarım şartları doğrultusunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt ettiği ve Kurul’un izninin bulunduğu yabancı ülkelere aktarılabilecektir.
İLGİLİ KİŞİNİN HAKLARI:
İlgili kişinin hakları veri sorumlusunun internet sitesinden yayınlanan aydınlatma metninde açıklanmıştır. Ayrıca 6698 sayılı yasanın 11. Maddesi aşağıda belirtilmiştir.
İlgili kişinin hakları
MADDE 11-
(1) Herkes, veri sorumlusuna başvurarak kendisiyle ilgili;
a) Kişisel veri işlenip işlenmediğini öğrenme,
b) Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
c) Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
ç) Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
d) Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
e) 7 nci maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme,
f) (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
g) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
ğ) Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme, haklarına sahiptir.
https://www.drasliyuceturk.com/ adresinde bulunan bavuru formu, Veri Sorumlusuna Başvuru Usul Ve Esasları Hakkında Tebliğ’de yer alan usul ve esaslarına uygun olarak Veri Sahibi, kimliğini gösteren belgeler ile birlikte “Mustafa Kemal Mah. Dumlupınar Bulvarı, No:274/2, Mahall Ankara C2 Blok, Kat:5 No:17 Çankaya/Ankara” adresine ıslak imzalı olarak; ya da info@drasliyuceturk.com adresine elektronik posta adresini kullanmak suretiyle başvurabilir. Başvuruda yer alan talepler en geç 30 gün içerisinde ücretsiz olarak sonlandırılacaktır.
Kişisel veriler;
İşlenmesine esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası,
İşlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,
Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin açık rızasını geri alması,
Kanunun 11‘inci maddesi gereği ilgili kişinin hakları çerçevesinde kişisel verilerinin silinmesi ve yok edilmesine ilişkin yaptığı başvurunun Şirket tarafından kabul edilmesi,
Şirketin, ilgili kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabı yetersiz bulması veya Kanunda öngörülen süre içinde cevap vermemesi hallerinde; Kişisel Verileri Koruma Kurumuna şikâyette bulunması ve bu talebin Kurum tarafından uygun bulunması,
Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olması ve kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması,
İlgili mevzuatlarda yer alan saklama sürelerinin sona ermesi,
durumlarında, Veri sorumlusu tarafından ilgili kişinin talebi üzerine silinir, yok edilir ya da re ’sen silinir, yok edilir veya anonim hale getirilir.
Veri Sorumlusu, yukarıda belirtildiği üzere Kanuna ve sair mevzuatı ile Kişisel Verilerin İşlenmesi ve Korunması Politikasına uygun olarak sakladığı kişisel verileri, verilerin işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde ilgili kişinin talebi doğrultusunda ya da işbu Kişisel Veri Saklama ve İmha Politikasında belirtilen süreler içinde re’sen siler, yok eder veya anonim hale getirir.
Veri sorumlusu, tarafından kullanılan silme, yok etme ve anonim hale getirme teknikleri aşağıda sıralanmaktadır:
Kişisel Verilerin Silinmesi ve Yok Edilmesi Teknikleri
Veri sorumlusu, ilgili hükümlere uygun olarak işlenmiş olmasına rağmen işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kendi kararına istinaden veya kişisel veri sahibinin talebi üzerine kişisel verileri silebilir veya yok edebilir. En çok kullanılan silme veya yok etme teknikleri aşağıda sıralanmaktadır:
Kişisel veriler belirli kriterlere göre yapılandırılarak işlenebilmektedir. Bu tür veriler silinirken/yok edilirken kişisel verinin sonradan kullanılamayacak biçimde fiziksel olarak yok edilmesi sistemi uygulanmaktadır.
Kişisel verilerin belirli kriterlere göre yapılandırılarak işlenen ve dijital ortamlarda muhafaza edilen veriler silinirken/ yok edilirken; bir daha kurtarılamayacak biçimde verinin ilgili yazılımdan silinmesine ilişkin yöntemler kullanılır.
Kişisel verilerin anonimleştirilmesi, kişisel verilerin başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini ifade eder. Veri sorumlusu, hukuka uygun olarak işlenen kişisel verilerin işlenmesini gerektiren sebepler ortadan kalktığında kişisel verileri anonimleştirebilmektedir.
Kanun’un 28. maddesine ve Yönetmelik’e uygun olarak; anonim hale getirilmiş olan kişisel veriler araştırma, planlama ve istatistik gibi amaçlarla işlenebilir. Bu tür işlemeler Kanun ve Yönetmelik kapsamı dışında olup, kişisel veri sahibinin açık rızası aranmayacaktır. Anonim hale getirilerek işlenen kişisel veriler Kanun ve Yönetmelik kapsamı dışında olacağından Politika’nın 10. Bölümü’nde düzenlenen haklar bu veriler için geçerli olmayacaktır.
Veri sorumlusu tarafından, faaliyetler kapsamında işlenmekte olan kişisel verilerle ilgili olarak;
Süreçler bağlı olarak gerçekleştirilen faaliyetler kapsamındaki tüm kişisel verilerle ilgili kişisel veri bazında saklama süreleri Veri sorumlusu Kişisel Veri İşleme Envanterinde;
Veri kategorileri bazında saklama süreleri VERBİS’e kayıtta;
Süreç bazında saklama süreleri ise Kişisel Veri Saklama ve İmha Politikasında yer alır.
Saklama ve İmha Süreleri
Veri Sorumlusu Kanun, ilgili mevzuat, Kişisel Verilerin İşlenmesi ve Korunması Politikası, diğer hazırladığı politikalar ve işbu Kişisel Verileri Saklama ve İmha Politikası uyarınca sorumlu olduğu kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde, kişisel verileri siler, yok eder veya anonim hale getirir.
VERİ SAHİBİ |
VERİ KATEGORİSİ |
VERİ SAKLAMA SÜRESİ |
İMHA SÜRESİ |
Çalışan |
İşlem güvenliği bilgisi, çalışan işlem bilgisi, çalışan performans, işe alım evrakları, ceza mahkûmiyeti ve güvenlik tedbirleri, İş Kanunu kapsamındaki belgeler |
Hizmet akdinin hitamından itibaren 10 (on) yıl |
Saklama süresinin bitimini takip eden 180 gün içerisinde |
Çalışan |
Kimlik verisi, imza, iletişim bilgisi, aile bireyleri ve yakın bilgisi, doğum tarihi, medeni hali, bordro bilgileri, yan haklar ve menfaatler bilgisi, işe giriş belgesi kayıtları, adli makamlarla yapılan yazışmalar, görsel bilgiler. |
Hizmet akdinin hitamından itibaren 10 (on) yıl |
Saklama süresinin bitimini takip eden 180 gün içerisinde |
Çalışan |
Özel Nitelikli kişisel veri, Sağlık verisi, İş sağlığı ve güvenliği mevzuatı kapsamında toplanan veriler (sağlık raporları vs.) |
Hizmet akdinin hitamından itibaren 15 (on beş) yıl |
Saklama süresinin bitimini takip eden 180 gün içerisinde |
Çalışan |
Özlük bilgisi (diğer) |
Hizmet akdinin hitamından itibaren 10 (on) yıl |
Saklama süresinin bitimini takip eden 180 gün içerisinde |
Hasta/ ürün hizmet alan kişi |
Özel nitelikli kişisel verileri, görsel işitsel kayıtlar, sağlık raporları, test sonuçları vs. |
Müşteri/ hasta ilişkisinin sona ermesinden itibaren 20 yıl yada mevzuatta öngörülen süre kadar |
Saklama süresinin bitimini takip eden 180 gün içerisinde |
Hasta/ ürün hizmet alan kişi |
Kimlik, ad soyad, tc, adres, e posta, telefon, banka bilgileri vs. |
Müşteri/ hasta ilişkisinin sona ermesinden itibaren 20 yıl yada mevzuatta öngörülen süre kadar |
Saklama süresinin bitimini takip eden 180 gün içerisinde |
Çalışan- Hasta/ ürün hizmet alan kişi |
İş kazası/meslek hastalığına ilişkin bir talepte/davada kullanılabilecek dökümanlar ile Sair ilgili mevzuat gereği toplanan veriler |
İlgili mevzuatta öngörülen süre kadar |
Saklama süresinin bitimini takip eden 180 gün içerisinde |
İlgili kişi, Kanunun 13’ncü maddesine istinaden veri sorumlusuna başvurarak kendisine ait kişisel verilerin silinmesini veya yok edilmesini talep ettiğinde;
Kişisel verileri işleme şartlarının tamamı ortadan kalkmışsa; veri sorumlusu talebe konu kişisel verileri talebi aldığı günden itibaren 30 (otuz) gün içinde gerekçesini açıklayarak uygun imha yöntemi ile siler, yok eder veya anonim hale getirir. Veri sorumlusunun talebi almış sayılması için ilgili kişinin talebini Kişisel Verilerin İşlenmesi ve Korunması Politikasına ve Kişisel Veri Başvuru ve Yanıt Prosedürü uygun olarak yapmış olması gerekir.
Veri sorumlusu her halde yapılan işlemle ilgili ilgili kişiye bilgi verir.
Kişisel verileri işleme şartlarının tamamı ortadan kalkmamışsa, bu talep veri sorumlusu tarafından Kanunun 13’ncü maddesinin üçüncü fıkrası uyarınca gerekçesi açıklanarak reddedilebilir ve ret cevabı ilgili kişiye en geç otuz gün içinde yazılı olarak ya da elektronik ortamda bildirilir.
Ayrıca, Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda; veri sorumlusu işleme şartları ortadan kalkmış olan kişisel verileri işbu Kişisel Verileri Saklama ve İmha Politikasında belirtilen ve tekrar eden aralıklarla politikada belirtilen periyodik imha sürelerine göre re’sen gerçekleştirilecek bir işlemle siler, yok eder veya anonim hale getirir.
Bu politika, veri sorumlusunu internet sayfasında kamuya açıklanır. Politika, ihtiyaç duyuldukça gözden geçirilir ve gerekli olan bölümler güncellenir. Veri sorumlusu Mevzuat hükümleri gereği ya da şirket politikası gereği kişisel verilerin saklanması ve imha politikasında değişiklik yapma hakkına sahiptir.