KİŞİSEL VERİ POLİTİKASI

A.    ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASI

 

AMAÇ VE KAPSAM

 

Özel Nitelikli Kişisel Verilerin Korunması, ÖZEL DEMİDERM POLİKLİNİĞİ (DEMİDERM )için en önemli önceliklerinden olup, yürürlükte olan tüm mevzuata uygun davranmak için azami gayret göstermektedir. Özel Nitelikli Kişisel Verileri Koruması Politikası çerçevesinde Özel Nitelikli Kişisel Veri işleme faaliyetlerinin yürütülmesinde benimsenen ilkeler ve 6698 sayılı Kişisel Verilerin Korunması Kanununda ve ilgili mevzuatta yer alan düzenlemeler ile Kişisel Verileri Koruma Kurumu kararlarına uyum bakımından benimsenen temel prensipler açıklanmakta ve böylelikle Polikliniğimiz kişisel veri sahiplerini bilgilendirerek gerekli şeffaflığı sağlamaktadır. Özel Nitelikli Kişisel Verileriniz bu politika kapsamında işlenmekte ve korunmaktadır.

 

TANIM

Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri Kanunda özel nitelikli kişisel veri (hassas veri) olarak belirtilmiştir. Tanımdan da anlaşıldığı üzere Kanun özel nitelikli kişisel verileri saymak suretiyle sınırlı olarak belirlemiştir. Özel nitelikli kişisel veriyi diğer kişisel verilerden ayıran en önemli özellik bu verilerin hukuka aykırı bir şekilde işlenmesi halinde kişilerin mağduriyetine veya ayrımcılığa sebep olma riski taşıyan kişisel veriler olmalarıdır.

ÖZEL NİTELİKLİ KİŞİSEL VERİNİN İŞLENMESİ

 

  • Kişisel Verilerin Korunması Kanunu

 

Şirket, sağlık sektöründe hizmet vermekte olup kişilere ait kritik önemi haiz özel nitelikli kişisel verileri işlerken görev bilinci ve kanuni yükümlülükleri uyarınca azami özeni göstermektedir. Şirket özel nitelikli kişisel verileri Kanuna uygun olarak işlemektedir. Kanunun 6. maddesinin 4. fıkrasının göndermesiyle Kurul tarafından belirlenen yeterli önlemleri ihtiva eden Kişisel Verileri Koruma Kurulunun 31.01.2018 Tarihli ve 2018/10 Sayılı Kararı ile belirlenen tedbirleri Şirketimiz almış olup bu kurallar doğrultusunda kişilere ait özel nitelikli kişisel verileri işlemektedir.

Kural olarak özel nitelikli kişisel verilerin ilgilinin açık rızası olmaksızın işlenmesi yasaktır. Özel nitelikli kişisel veriler Şirketimiz tarafından, bu Politikada belirtilen ilkelere uygun olarak ve KVK Kurumunun belirleyeceği yöntemler de dâhil olmak üzere gerekli her türlü idari ve teknik tedbirler alınarak ve aşağıdaki şartların varlığı halinde işlenmektedir.

  • Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler, kanunlarda açıkça öngörülmesi diğer bir ifade ile ilgili faaliyetin tabi olduğu kanunda kişisel verilerin işlenmesine ilişkin açıkça bir hüküm olması halinde veri sahibinin açık rızası aranmaksızın işlenebilecektir. Aksi durumda söz konusu özel nitelikli kişisel verilerin işlenebilmesi için veri sahibinin açık rızası alınacaktır.
  • Sağlık ve cinsel hayata ilişkin özel nitelikli kişisel veriler, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından açık rıza aranmaksızın işlenebilecektir. Aksi durumda söz konusu özel nitelikli kişisel verilerin işlenebilmesi için veri sahibinin açık rızası alınacaktır.

 

 

 

VERİ GÜVENLİĞİ ÖNLEMLERİ

Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler ile ilgili Kişisel Verileri Koruma Kurulunun 31.01.2018 Tarihli ve 2018/10 Sayılı Kararı uyarınca belirlenen tedbirler Şirketçe alınmıştır. Mezkûr tedbirler aşağıda belirtilmiştir:

1- Özel nitelikli kişisel verilerin güvenliğine yönelik sistemli, kuralları net bir şekilde belli, yönetilebilir ve sürdürülebilir ayrı bir Özel Nitelikli Kişisel Verileri Koruma Politikası belirlenmiştir.

2- Özel nitelikli kişisel verilerin işlenmesi süreçlerinde yer alan çalışanlara yönelik,

  1. a) Kanun ve buna bağlı yönetmelikler ile özel nitelikli kişisel veri güvenliği konularında düzenli olarak eğitimler verilmektedir.
  2. b) Çalışanlar ile gizlilik sözleşmeleri yapılmaktadır. Yine hizmet alınan kurumlarla da Kurumsal Gizlilik Sözleşmesi akdedilmektedir.
  3. c) Periyodik olarak yetki kontrolleri yapılmaktadır.

ç) Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkilerinin işten ayrıldığı anda İdari İşler birimi tarafından sistem üzerinden derhal yetkisi kaldırılmakta, sisteme erişimi engellenmektedir. Bu kapsamda, şirket tarafından kendisine tahsis edilen envanter iade alınmaktadır.

3- Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, fiziksel ortam ise

  1. a) Özel nitelikli kişisel verilerin bulunduğu ortamın niteliğine göre yeterli güvenlik önlemleri (elektrik kaçağı, yangın, su baskını, hırsızlık vb. durumlara karşı) alınmakta,
  2. b) Bu ortamların fiziksel güvenliğinin sağlanarak yetkisiz giriş çıkışların engellenmesi sağlanmaktadır.

4-Yukarıda belirtilen önlemlerin yanı sıra Kişisel Verileri Koruma Kurumunun internet sitesinde yayımlanan Kişisel Veri Güvenliği Rehberinde belirtilen uygun güvenlik düzeyini temin etmeye yönelik teknik ve idari tedbirler de Şirketçe sağlanmaktadır.

 

ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN AKTARILMASI

Özel nitelikli kişisel veriler Şirketimiz tarafından, bu Politikada belirtilen ilkelere uygun olarak ve Kurul’un belirleyeceği yöntemler de dâhil olmak üzere gerekli her türlü idari ve teknik tedbirler alınarak ve aşağıdaki şartların varlığı halinde aktarılabilecektir:

– Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler, kanunlarda açıkça öngörülmesi diğer bir ifade ile ilgili kanunda kişisel verilerin işlenmesine ilişkin açıkça bir hüküm olması halinde veri sahibinin açık rıza aranmaksızın işlenebilecektir. Aksi halde veri sahibinin açık rızası alınacaktır.

– Sağlık ve cinsel hayata ilişkin özel nitelikli kişisel veriler, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından açık rıza aranmaksızın işlenebilecektir. Aksi halde veri sahibinin açık rızası alınacaktır.

Yukarıdakilere ek olarak özel nitelikli  kişisel veriler, yabancı ülkelere aktarılmamaktadır.

Polikliniğimizde hasta randevu iletişim  ve hasta kayıt işlemlerine ait verilerin aktarıldığı ESTESOFT yazılım programı kullanılmaktadır. Bu program ile  Polikliniğimizde  arasında gerekli KVKK ve gizlilik sözleşmesi mevcuttur.

Uygulanacak tedavi için gerekli olması durumunda laboratuar faaliyetleri hizmet alınan laboratuvar şirketi aracılığıyla yapılmaktadır. Bu şirket ile  Polikliniğimizde  arasında gerekli KVKK ve gizlilik sözleşmesi mevcuttur.

Bu faaliyetler dışında ancak ve ancak  zorunluluk içeren bir durum karşısında kamusal yetki  ile talepte bulunan gerekli kamu kurum ve kuruluşuna aktarım yapılması mümkündür.

 

 

KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VE ANONİMLEŞTİRİLMESİ ŞARTLARI 

 

Kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde şirketimiz ilgili prosedürlerine istinaden veya kişisel veri sahibinin talebi üzerine kişisel veriler silinir, yok edilir veya anonim hâle getirilir.

Bu kapsamda şirketimiz ilgili yükümlülüğünü yerine getirmek üzere ilgili iş birimlerini eğitmekte, görevlendirmekte ve farkındalıklarını arttırmaktadır.

Şirketimiz binalarına gelen kişilerin kişisel ve özel nitelikli kişisel verileri usulüne uygun olarak elde edilirken Şirketimizde görülebilir şekilde sergilenen ya da diğer şekillerde (internet sitemizde) erişime sunulan metinler aracılığıyla söz konusu kişisel veri sahipleri bu kapsamda aydınlatılmaktadır.

KAMERA İZLEME POLİTİKASI

 

1- Video Kamera İzleme Politikası’nın Amacı ve Kapsamı

Özel DEMİDERM Polikliniği (“DEMİDERM”) , güvenlik kamerası ile izleme faaliyeti kapsamında; şirketin ve diğer kişilerin güvenliğini sağlamaya ilişkin menfaatlerini korumak gibi amaçlar taşımaktadır. Bu izleme faaliyeti, Kişisel Verilerin Korunması Kanunu (“KVKK veya Kanun”) ve Özel Güvenlik Hizmetlerine Dair Kanun ve ilgili mevzuata uygun olarak sürdürülmektedir. Bu kapsamda kamera ile izleme yapıldığı bilgisi, tüm çalışan ve ziyaretçilere duyurulmakta ve kişiler aydınlatılmaktadır. Bildirim yazıları izleme yapılan alanların girişlerine asılmaktadır. DEMİDERM tarafından Kanunu’nun 12. maddesine uygun olarak, kamera ile izleme faaliyeti sonucunda elde edilen kişisel verilerin güvenliğinin sağlanması için gerekli teknik ve idari tedbirler alınmaktadır.

 

2- Hangi Alanlarda Kamera ile İzleme Faaliyeti Yürüttüğünün Belirlenmesi

DEMİDERM tarafından güvenliğin sağlanması ve iş faaliyetlerinin denetlenmesi amacı ve bu Politika ’da belirtilen diğer amaçlarla, DEMİDERM binasında fiziksel mekan güvenliğinin sağlanması amacıyla kişisel veri işleme faaliyetinde bulunulmaktadır. Çalışan olarak DEMİDERM binalarına gelen kişilerin kimlik verileri elde edilirken ya da DEMİDERM nezdinde asılan ya da diğer şekillerde çalışanların erişimine sunulan metinler aracılığıyla söz konusu kişisel veri sahipleri bu kapsamda aydınlatılmaktadırlar. Misafir giriş-çıkış takibi yapılması amacıyla elde edilen veriler yalnızca bu amaçla işlenmektedir.

DEMİDERM tarafından güvenliğin sağlanması ve amacı ve bu Politika ’da belirtilen diğer amaçlarla, DEMİDERM binalarında ve tesislerinde misafir giriş çıkışlarının takibine yönelik kişisel veri işleme faaliyetinde bulunulmaktadır. Misafir olarak DEMİDERM binalarına gelen kişiler DEMİDERM nezdinde asılan ya da diğer şekillerde misafirlerin erişimine sunulan metinler aracılığıyla söz konusu kişisel veri sahipleri bu kapsamda aydınlatılmaktadırlar. Fiziksel mekan güvenliğinin sağlanması  amacıyla elde edilen veriler yalnızca bu amaçla işlenmekte ve ilgili kişisel veriler fiziki ortamda veri kayıt sistemine kaydedilmektedir.

 

3-Video Kamera ile İzleme ve Depolama Yapmasının Amacı

DEMİDERM tarafından 7 gün 24 saat boyunca güvenliğin sağlanması, denetim amacıyla, DEMİDERM binasında (bina girişi ve açık alanlar ) güvenlik kamerasıyla izleme faaliyeti ile misafir giriş çıkışlarının takibi ve fiziksel mekan güvenliğinin sağlanmasına yönelik yönelik kişisel veri işleme faaliyetinde bulunulmaktadır.

 

4- İzleme Sonucunda Elde Edilen Bilgilere Kimlerin Erişebildiği ve Bu Bilgilerin Kimlere Aktarıldığı         

Dijital ortamda kaydedilen ve muhafaza edilen kayıtlara yalnızca sınırlı sayıda DEMİDERM çalışanının erişimi bulunmaktadır. Kamera kayıtları üçüncü kişilere aktarılmamakla birlikte , ancak zorunluluk içeren durumlarda talep eden hukuken yetkili kamu kurum ve kuruluşları ile paylaşılması mümkündür.

 

5- Video Kamera İzleme Faaliyeti ile Elde Ettiği Verilerin Güvenliğini Sağlaması

 

DEMİDERM elde ettiği kamera kayıtlarını belirlediği veri güvenlik politikası çerçevesinde saklamaktadır Bu tedbirler;

  • Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır.
  • Güncel anti-virüs sistemleri kullanılmaktadır.
  • Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmaktadır.
  • Özel nitelikli kişisel veriler elektronik posta yoluyla gönderilecekse mutlaka şifreli olarak ve KEP veya kurumsal posta hesabı kullanılarak gönderilmektedir.
  • Şifreleme yapılmaktadır.

 

6- Video Kamera İzleme Faaliyeti ile Elde Ettiği Verileri Muhafaza Süresi

Kamera izleme faaliyeti ile elde edilen görüntü kayıtları DEMİDERM tarafından çalışanların yer aldığı birimlerin önemi sebebiyle 30 gün süreyle saklanmaktadır. 30 günün geçmesiyle veriler imha politikaları çerçevesinde ortadan kaldırılmaktadır.

 

7- İzleme Politikası Hakkında İlgililerin Bilgilendirilmesi

DEMİDERM’nin video kameralar ile izleme faaliyeti, personellerine aydınlatma politikası ve ön aydınlatma bildirimler çerçevesinde bildirilmektedir. Bunun yanı sıra, bina ve tesis girişlerinde video kamera ile izleme yapıldığı hususunda bilgilendirme yapılmaktadır.

VERİ SAKLAMA VE İMHA POLİTİKASI

 1 – POLİTİKANIN AMACI

İşbu Kişisel Verileri Saklama, Anonimleştirme ve İmha Politikası (“Politika”) ile 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”), 28 Ekim 2018 tarih ve 30224 sayılı Resmi Gazete ’de yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik (“Yönetmelik”) ve diğer ikincil mevzuat çerçevesinde (“Poliklinik”veya ‘’DEMİDERM ‘’ olarak anılacaktır.) olarak  polikliniğimiz tarafından tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin usul ve esasları düzenlemektedir.

2 – POLİTİKANIN KAPSAMI

KVKK madde 7 uyarınca veri sorumlusu olarak tanımlanan polikliniğimiz tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin yükümlülüklerini kapsamaktadır.

3 – TANIMLAR

Açık rıza Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı ifade etmektedir.

 
Alıcı grubu Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisini ifade etmektedir.

 
Anonim hâle getirme

 

 Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesi anlamına gelmektedir.
İlgili kişi Kişisel verisi işlenen gerçek kişiyi ifade etmektedir.

 
İlgili kullanıcı

 

 Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişileri ifade etmektedir.

 
İmha Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesini ifade etmektedir.

 
Karartma

 

 Kişisel verilerin bütününün, kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek şekilde üstlerinin çizilmesi, boyanması ve buzlanması gibi işlemler anlamına gelmektedir.

 
Kayıt ortamı Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortamı anlamına gelmektedir.

 
Kişisel Veri Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi (işbu örneklerle sınırlı olmamak üzere: ad-Soyad, TC, e-posta, adres, doğum tarihi, kredi kartı numarası vb.) ifade etmektedir.

 
Kişisel Veri İşleme Envanteri Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanterini ifade etmektedir.

 
Kişisel Verilerin İşlenmesi Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi ifade etmektedir.

 
Kişisel Veri Sahibi / İlgili Kişi Kişisel verisi işlenen gerçek kişileri (müşteriler, tedarikçiler, çalışanlar, ziyaretçiler vb.) ifade etmektedir.
Kişisel Verilerin Silinmesi

 

 Kişisel verilerin silinmesi; kişisel verilerin İlgili Kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi anlamına gelmektedir.

 
Kişisel Verilerin Yok Edilmesi

 

 Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemi anlamına gelmektedir.
Kurul Kişisel Verileri Koruma Kurumu/Kurulu’ ifade etmektedir.

 
Maskeleme Kişisel verilerin belli alanlarının, kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek şekilde silinmesi, üstlerinin çizilmesi, boyanması ve yıldızlanması gibi işlemleri ifade etmektedir.

 
Özel Nitelikli Kişisel Veri Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.

 
Periyodik İmha Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemini ifade etmektedir.

 
Veri İşleyen Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi ifade etmektedir. Örneğin, çalışan adaylarının bilgilerini göndermiş olduğu tedarikçi Polikliniklar.

 
Veri Kayıt Sistemi Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini ifade etmektedir.

 
Veri Sorumluları Sicili Kişisel Verileri Koruma Kurumu Başkanlığı tarafından tutulan Veri Sorumluları Sicili anlamına gelmektedir.

 
Veri Sorumlusu Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade etmektedir. Polikliniğimiz bu kapsamda veri sorumlusu olarak addedilmektedir.

4 – KAYIT ORTAMLARI

İşbu Politika madde 3 uyarınca kayıt ortamı, tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortamı anlamına gelmektedir. Kişisel veriler Polikliniğimizde veri güvenliği hususu gözetilerek KVKK ve diğer ilgili mevzuat hükümleri çerçevesinde aşağıdaki kayıt ortamlarında güvenli olarak tutulmaktadır:

 

4.1 Fiziksel ortamlar:

Fiziksel ortamlar, herhangi bir kişisel veri içerir bilgi veya belgenin basılı kâğıt ortamında dosyalama yöntemi ile tutulması anlamında gelmektedir. Hukuka uygun olarak işlenen bu veriler aşağıdaki fiziksel ortamlarda muhafaza edilmektedir:

●      Birim dolapları

●      Arşiv

●      Kâğıt

●      Yazılı, basılı, görsel ortamlar
 

4.2 Elektronik ortamlar:

Elektronik ortamlar, verilerin sayısallaştırılarak aktarıldığı kapalı ve açık bilgisayar ağları başta olmak üzere her türlü ortamı (bilgisayar, cep telefonu, tablet vb.) ifade etmektedir.

ESTESOFT KLİNİK YÖNETİM SİSTEMİ

Bilgisayarlar (Masaüstü, dizüstü)

Mobil cihazlar (telefon, tablet vb.)

Optik diskler (CD, DVD vb.)

Çıkartılabilir bellekler (USB, Hafıza Kart vb.)

Yazıcı, tarayıcı, fotokopi makinesi

E posta , web

5 – KİŞİSEL VERİLERİN SAKLANMASINI, ANONİMLEŞTİRİLMESİNİ VE İMHASINI GEREKTİREN SEBEPLER

KVKK madde 4’te, işlenen kişisel verinin “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli süre kadar muhafaza edilmesi” gerektiği belirtilmiş; madde 5 ve 6 da ise kişisel verilerin işleme şartları sayılmıştır. Buna göre, Poliklinik faaliyetlerimiz çerçevesinde işlenen kişisel veriler, ilgili mevzuatta öngörülen veya işleme amaçlarımıza uygun süre kadar saklanır.

5.1. Kişisel Verilerin Saklanmasını Gerektiren Hukuki Sebepler

Kurumda, faaliyetleri çerçevesinde işlenen kişisel veriler, ilgili mevzuatta öngörülen süre kadar muhafaza edilir. Bu kapsamda kişisel veriler;

  • 213 Sayılı Vergi Usul Kanun’u,
  • 2004 Sayılı İcra İflas Kanun’u,
  • 4857 Sayılı İş Kanun’u,
  • 5237 Sayılı Türk Ceza Kanun’u,
  • 5510 Sayılı SSGSK Kanun’u,
  • 5651 Sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun,
  • 6201 Sayılı Türk Ticaret Kanun’u,
  • 6098 Sayılı Borçlar Kanun’u,
  • 6331 Sayılı İş Sağlığı ve Güvenliği Kanun’u,
  • 6698 Sayılı Kişisel Verilerin Korunması Kanun’u, ilgili yönetmelikleri gereği ve bunlarla sınırlı olmamak üzere yayınlanan diğer mevzuat hükümleri, İşyeri Bina ve Eklentilerinde Alınacak Sağlık ve Güvenlik Önlemlerine İlişkin Yönetmelik,
  • Çalışma Bakanlığı ve SGK müfettişlerince yapılan denetimlerde,
  • Ayrıca mahkeme ve bilirkişi incelemelerinde sunmak üzere,
  • Yerel kolluk kuvvetleri ve organize sanayi müdürlüklerince istenmesi durumunda,
  • Bu kanunlar uyarınca yürürlükte olan diğer ikincil düzenlemeler

 

Çerçevesinde öngörülen saklama süreleri kadar saklanmaktadır.

Kişiler veriler HASTALARIMIZ ile sözleşmesel yükümlülüklerin yerine getirilmesi suretiyle ticari ilişkilerimizi sürdürülebilmek ve ticari faaliyetlerimizi yönetebilmek, istihdam sağlanmak, Poliklinik çalışanlarımız ile kurduğumuz iş ilişkisi çerçevesinde hukuki, kanuni ve sözleşme gereklerini yerine getirmek; gibi başlıca amaçlara istinaden polikliniğimiz tarafından fiziki veya elektronik ortamlarda hukuka uygun olarak muhafaza edilmektedir. Bu kapsamda, kişisel verilerin muhafaza edilmesini gerektiren başlıca hukuki sebepler aşağıda yer almaktadır:

  1. İş veya işlem ile ilgili olarak talep edilen kişisel verinin kanun veya mevzuat gereği açıkça öngörülmesi,
  2. Polikliniğimize yüklenen hukuki bir yükümlülüğün yerine getirilmesi
  • Sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin muhafaza edilmesinin gerekli olması
  1. Kişisel veri sahibine ilişkin hakkın tesisi, kullanılması veya korunması amacıyla Polikliniğimiz bünyesinde saklanmasının zorunlu olması,
  2. İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, Polikliniğin meşru menfaatleri için kişisel verilerin saklanmasının zorunlu olması.
  3. Kişisel veri sahiplerinin muhafaza faaliyetine ilişkin açık rızasının bulunması

 

5.2. Kişisel Verilerin Saklanmasını Gerektiren İşleme Amaçları

Kurum, faaliyetleri çerçevesinde işlemekte olduğu kişisel verileri aşağıdaki amaçlar doğrultusunda saklar.

Acil Durum Yönetimi Süreçlerinin Yürütülmesi İç Denetim/ Soruşturma / İstihbarat Faaliyetlerinin Yürütülmesi
Bilgi Güvenliği Süreçlerinin Yürütülmesi İletişim Faaliyetlerinin Yürütülmesi
Çalışan Adayı / Stajyer seçme Süreçlerinin Yürütülmesi İnsan Kaynakları Süreçlerinin Planlanması
Çalışan Adaylarının Başvuru Süreçlerinin Yürütülmesi İş Faaliyetlerinin Yürütülmesi / Denetimi
Çalışan Memnuniyeti ve Bağlılığı Süreçlerinin Yürütülmesi İş Sağlığı / Güvenliği Faaliyetlerinin Yürütülmesi
Çalışanlar İçin İş Akdi ve Mevzuattan Kaynaklı Yükümlülüklerin Yerine Getirilmesi İş Süreçlerinin İyileştirilmesine Yönelik Önerilerin Alınması ve Değerlendirilmesi
Çalışanlar İçin Yan Haklar ve Menfaatleri Süreçlerinin Yürütülmesi İş Sürekliliğinin Sağlanması Faaliyetlerinin Yürütülmesi
Denetim / Etik Faaliyetlerinin Yürütülmesi Lojistik Faaliyetlerinin Yürütülmesi
Eğitim Faaliyetlerinin Yürütülmesi Mal / Hizmet Satış Sonrası Destek Hizmetlerinin Yürütülmesi
Erişim Yetkilerinin Yürütülmesi Mal / Hizmet Satış Süreçlerinin Yürütülmesi
Faaliyetlerin Mevzuata Uygun Yürütülmesi Mal / Hizmet Üretim ve Operasyon Süreçlerinin Yürütülmesi
Finans ve Muhasebe İşlerinin Yürütülmesi Müşteri İlişkileri Yönetimi Süreçlerinin Yürütülmesi
Fiziksel Mekân Güvenliğinin Temini Organizasyon ve Etkinlik Yönetimi
Görevlendirme Süreçlerinin Yürütülmesi Performans Değerlendirme Süreçlerinin Yürütülmesi
Hukuk İşlerinin Takibi ve Yürütülmesi Risk Yönetimi Süreçlerinin Yürütülmesi
Talep / Şikayetlerin Takibi Saklama ve Arşiv Faaliyetlerinin Yürütülmesi
Taşınır Mal ve Kaynakların Güvenliğinin Temini Sözleşme Süreçlerinin Yürütülmesi
Tedarik Zinciri Yönetimi Süreçlerinin Yürütülmesi Yetkili Kişi, Kurum ve Kuruluşlara Bilgi Verilmesi
Ücret Politikasının Yürütülmesi Yönetim Faaliyetlerinin Yürütülmesi
Ürün / Hizmetlerin Pazarlama Süreçlerinin Yürütülmesi Ziyaretçi Kayıtlarının Oluşturulması ve Takibi
Veri Sorumlusu Operasyonlarının Güvenliğinin Temini Yetenek / Kariyer Gelişimi Faaliyetlerinin Yürütülmesi

 

5.3. Kişisel Verilerin İmha Edilmesini Gerektiren Sebepler

Kişisel verilerin saklanma ve işlenme sebep veya şartlarının ortadan kalkması durumunda kişisel verilerin imha edilmesine yönelik meşru sebepler ortaya çıkmaktadır. Bu şekilde imha sebeplerinin oluşması ile kişisel veriler Polikliniğimiz tarafından re ’sen veya İlgili kişinin KVKK madde 7/1 uyarınca talebi üzerine silinir, yok edilir veya anonim hale getirilir:

  1. Kişisel verileri işlemenin hukuka veya dürüstlük kuralına aykırı olduğunun tespit edilmesi,
  2. KVKK madde 5 ve 6 uyarınca kişisel veri işlenmesini gerektiren amacın ve şartların ortadan kalkması,
  • İşbu Politika madde 5.1. kapsamındaki amaçların ve sebeplerin ortadan kalkması,
  1. Taraflar arasındaki sözleşmenin hiç kurulmamış olması, sözleşmenin geçerli olmaması, sözleşmenin kendiliğinden sona ermesi, sözleşmenin feshi veya sözleşmeden dönülmesi,
  2. Kişisel verilerin işlenmesine esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilga edilmesi,
  3. Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin rızasını geri alması,
  • Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olmasına rağmen, kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması;
  • İlgili kişinin KVKK madde 11/2 (e) ve (f) bentlerinde yer alan haklar gereğince kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin yaptığı başvurunun Polikliniğimiz tarafından kabul edilmesi;
  1. Kişisel veri sahibi tarafından Kurula şikâyette bulunulması ve bu talebin Kurul tarafından uygun bulunması,
  2. İlgili kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan başvurunun reddi, verilen cevabın yetersizliği veya Kanun’da öngörülen süre içinde cevap vermemesi hallerinde; İlgili Kişinin Kurul’a şikâyette bulunması ve bu talebin Kurul tarafından uygun bulunması.

 

6 – KİŞİSEL VERİLERİN GÜVENLİ ŞEKİLDE SAKLANMASI İLE HUKUKA AYKIRI İŞLENMESİ VE ERİŞİLMESİNİN ÖNLENMESİNE VE İMHA EDİLMESİNE YÖNELİK TEKNİK VE İDARİ TEDBİRLER

Polikliniğimiz , Kişisel verilerin düzgün şekilde saklanabilmesi ve güvenliğini sağlamak adına, kişisel verilerin niteliğini ve durumunu gözeterek, yetkisiz değiştirilmeyi, kaybolmayı muhtemel hasarı, izinsiz işleme veya erişimi, insan eylemi veya doğal veya fiziksel ortamın etkilerine maruz kalmak suretiyle ortaya çıkacak riskleri ve benzeri diğer zararları önlemek için fiziksel, teknik ve idari önlemler alır. Bunlara ek olarak;

  • Kişisel verilerin hukuka aykırı işlenmesini önlemeye yönelik riskler belirlenmekte, bu risklere uygun teknik tedbirlerin alınması sağlanmakta ve alınan tedbirlere yönelik teknik kontroller yapılmaktadır.
  • Poliklinik, silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması için gerekli tedbirleri almaktadır.
  • Kişisel verilerin hukuka aykırı olarak başkaları tarafından elde edilmesi halinde bu durumu ilgili kişiye ve Kurul’a bildirmek için Kurum tarafından buna uygun bir yöntem oluşturulmuştur.
  • Kişisel verilerin işlendiği elektronik ortamlarda güçlü parolalar kullanılmaktadır.
  • Kişisel verilerin güvenli olarak saklanmasını sağlayan veri yedekleme programları kullanılmaktadır.
  • Elektronik olan veya olmayan ortamlarda saklanan kişisel verilere erişim, erişim prensiplerine göre sınırlandırılmaktadır.
  • Özel nitelikli kişisel veri işleme süreçlerinde yer alan çalışanlara yönelik özel nitelikli kişisel veri güvenliği konusunda eğitimler verilmiş, gizlilik sözleşmeleri yapılmış, verilere erişim yetkisine sahip kullanıcıların yetkileri tanımlanmıştır.
  • Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği fiziksel ortamlar için güvenlik önlemleri alınmakta, yetkisiz giriş çıkışlar engellenmektedir.
  • Asgari olarak Poliklinik politikalarına ve Polikliniğin faaliyet gösterdiği alanda uygulanan teamüllere uygun güvenlik önlemleri alınır.
  • Tüm çalışanlar, işledikleri bütün Kişisel verilerin güvenli şekilde tutulmasını temin etmekle yükümlüdürler. Kişisel veriler, kazaen veya başka bir şekilde de olsa herhangi yetkisiz bir üçüncü kişiyle sözlü, yazılı veya başka şekilde paylaşılamaz, ifşa edilemez.
  • Çalışanların, Kişisel Verileri yetkisiz olarak paylaşmaları ve bu Politika ’da geçen gerekliliklere aykırı hareket etmeleri halinde bu durumun derhal Veri Sorumlusu İrtibat Kişisi ’ne bildirilmesi gerekmektedir. Bu durum genellikle bir disiplin cezası gerektirebilir ve/veya duruma göre çalışanın İş Kanunu’nun 25. maddesi uyarınca iş akdinin haklı sebeple feshine neden olabilir.
  • Kişisel Veri içeren fiziksel kopyalar kilitli dolaplarda veya kilitli çekmecelerde muhafaza edilmelidir. Kişisel Veriler elektronik veya fiziksel kopya olsun personelin evinde, dizüstü bilgisayarlarda veya diğer kişisel taşınabilir cihazlarda ve işyeri dışındaki diğer sahalarda tutulamaz.
  • Normal şartlar altında, Kişisel verilerin personelin evinde, dizüstü bilgisayarlarda veya diğer kişisel taşınabilir cihazlarda veya diğer uzak yerlerde tutulmayacak olmasına rağmen, işyeri sahası dışında tutmanın gerekli veya uygun olduğuna Poliklinik yönetimi tarafından onay verilirse, çalışanlar bu politikada yer alan tüm güvenlik kriterlerine uymalıdır.
  • Taşınabilir elektronik cihazlarda veya silinebilir ortamlarda depolanan verilerden söz konusu ekipmanı yöneten çalışan sorumludur. Bu kişi, aynı zamanda aşağıdaki unsurları sağlamakla yükümlüdür:
    • İlgili cihazlarda ve ortamlarda yer alan verilerin zarara uğrama ihtimallerine karşılık bu verilerin yeterli güvenlik önlemlerinin alındığı ortamlarda saklanan yedeklerinin olması,
    • Özel nitelikli kişisel verilerin ve diğer hassas verilerin uygun şekilde şifrelenmiş olması,
    • Özel nitelikli kişisel verileri ve diğer hassas verileri içeren dizüstü bilgisayar, mobil cihazlar ve bilgisayar bazlı kayıt ortamlarının (USB cihazları, CD’ler gibi) ofiste gözetimsiz bırakılmaması.
    • Çalışanlar, güvenli Polikliniğimiz programları üzerinde kayıtlı olan, kişisel veri içeren belgeleri gerekmedikçe kullandığı bilgisayara kopyalayamaz ve/veya indiremez, indirdiği ve/veya kopyaladığı takdirde ise işleme amacı bittiğinde, düzenlediği belge Poliklinik tarafından kullanılacaksa Poliklinik sunucularına ve/veya ilgili programlara kaydedildiğinden emin olduktan sonra söz konusu elektronik kopyayı derhal siler.

7 – SAKLAMA, ANONİMLEŞTİRME VE İMHA SÜREÇLERİNDE YER ALAN ÇALIŞANLAR

Kişisel verileri saklama ve imha süreçlerinde Polikliniğimiz bünyesinde rol oynayan çalışanlara ilişkin bilgiler EK 1: Kişisel Verileri Saklama ve İmha Süreçlerinde Yer Alan Çalışanların Bilgileri Tablosu başlığı altında yer almaktadır.

8 – KİŞİSEL VERİLERİ ANONİMLEŞTİRME VE İMHA ETME YÖNTEMLERİ

Polikliniğimiz kişisel verileri imha ederken (i) silme ve (ii) yok etme yöntemlerini kullanmakta ve (iii) anonimleştirme yöntemi ile de işlenen verilerin kime ait olduğunun tespit edilmesini engellemektedir.

8.1. Kişisel Verilerin Silinmesi Yöntemleri

Polikliniğimizde kişisel verilerin işlenme sebeplerinin ve şartlarının ortadan kalkması sonucunda silinmektedir. Kişisel verilerin silinmesi, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Kişisel verilerin erişilemez ve kullanılamaz hale getirilebilmesi için muhafaza edildikleri çeşitli kayıt ortamlarına uygun yöntemler ile silinmeleri gerekmektedir. Bu doğrultuda Polikliniğimiz aşağıda yer alan kayıt ortamlarına uygun olarak silme işlemini gerçekleştirmektedir:

a. Hizmet olarak uygulama türü bulut çözümleri (Estesoft Yazılım Uygulaması Üzerinden )

Bulut sisteminde veriler silme komutu verilerek silinmeli ve silme işlemi gerçekleştirilirken ilgili kullanıcının bulut sistemi üzerinde silinmiş verileri geri getirme yetkisi olmamalıdır.

b. Kâğıt ortamında bulunan kişisel veriler

Kâğıt ortamında bulunan kişisel veriler mümkün olan durumlarda kesilmesi, mümkün olmayan durumlarda ise geri döndürülemeyecek ve teknolojik çözümlerle okunamayacak şekilde sabit mürekkep kullanılarak ilgili kullanıcılara görünemez hale getirilmesi şeklinde yapılır.

8.2. Kişisel Verilerin Yok Edilmesi Yöntemleri

Kişisel verilerin yok edilmesi, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Polikliniğimiz, kişisel verilerin yok edilme işlemine ilişkin gerekli her türlü teknik ve idari tedbirleri almaktadır.

Polikliniğimiz kişisel verilerin yok edilebilmesi için, verilerin bulunduğu tüm kopyaların tespit ederek ve verilerin bulunduğu sistemlerin türüne göre işlem yapılmaktadır.

Söz konusu ortamlardaki kişisel veriler, kalıcı ve fiziksel olarak ortam üzerine yazılı olduğundan ana ortamın yok edilmesi gerekir. Bu işlem gerçekleştirilirken  anlaşılmaz boyutta, mümkünse yatay ve dikey olarak, geri birleştirilemeyecek şekilde küçük parçalara bölmek gerekmektedir.

CD, DVD ,Flash bellek  gibi veri saklama ortamları  yakma, küçük parçalara ayırma, eritme gibi fiziksel yok etme yöntemleriyle yok edilmesi gerekir.

Veri kayıt ortamındaki sistemlerin çoğunda silme komutu bulunmakta, ancak yok etme komutu bulunmamaktadır. Fiziksel yok etme ve/veya üzerine yazma yöntemleri kullanılmak suretiyle yok edilmesi gerekir.

Arızalanan ya da bakıma gönderilen cihazlar

Yukarıdaki ortamlara ek olarak; arızalanan ya da bakıma gönderilen cihazlarda yer alan kişisel verilerin yok edilmesi işlemleri ise aşağıdaki şekilde gerçekleştirilir:

  1. İlgili cihazların bakım, onarım işlemi için üretici, satıcı, servis gibi üçüncü kurumlara aktarılmadan önce içinde yer alan kişisel verilerin yerel sistemlerde belirtilen uygun yöntemlerin bir ya da birkaçı kullanılmak suretiyle yok edilmesi,
  2. Yok etmenin mümkün ya da uygun olmadığı durumlarda, veri saklama ortamının sökülerek saklanması, arızalı diğer parçaların üretici, satıcı, servis gibi üçüncü kurumlara gönderilmesi,
  • Dışarıdan bakım, onarım gibi amaçlarla gelen personelin, kişisel verileri kopyalayarak kurum dışına çıkartmasının engellenmesi için gerekli önlemlerin alınması, gerekir.

 

8.3. Kişisel Verilerin Anonim Hale Getirilmesi Yöntemleri

Anonim hale getirme işlemi kişisel verilerin, veri sorumlusu, alıcı veya alıcı grupları tarafından geri döndürme ve verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi anlamına gelmektedir. Anonim hale getirmedeki asıl amaç, veri ile bu verinin tanımladığı kişi arasındaki bağın kopartılmasıdır. Bu minvalde, kişisel veriler başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek olsa da veriler belli bir ölçüde kullanılabiliyor olacaktır. Tüm bu açıklamalar ışığında Polikliniğimiz, kişisel verileri anonim hale getirme işlemini gerçekleştirdiği zamanlarda; üçüncü kişiler tarafından geri döndürülmesi ve/veya verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesine özen göstermektedir.

Polikliniğimiz , kişisel verileri imha ederken ister silme ister yok etme ister anonim hale getirme yöntemini kullanmış olsun her hâlükârda gerekli her türlü teknik ve idari tedbirleri almaktadır.

9 – KİŞİSEL VERİLERİ SAKLAMA VE İMHA SÜRELERİ

9.1. Periyodik İmha

Kişisel verilerin işlenmesini ve saklanması gerektiren hukuki, teknik veya herhangi bir başka sebebin ortadan kalkmış olması durumunda işbu Politika madde 5 kapsamında Polikliniğimiz bünyesinde tutulan kişisel veriler imha edilmektedir. Bu kapsamda Yönetmelik madde 11 uyarınca Polikliniğimiz, kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde, açık rızası alınmayan yahut yasal saklama süresi sona eren veya diğer hukuki veya teknik sebeplerin ortadan kalkması ile artık Polikliniğimiz bünyesinde saklanmasında hiçbir menfaat bulunmayan kişisel verileri silmiş , yok etmiş veya anonim hale getirmiştir. Polikliniğimizda saklanmasında hiçbir menfaat bulunmayan kişisel veriler, her 6 (altı) ayda bir periyodik  imha işlemine tabi tutulmaktadır.

Kişisel verilerin imha edilmesine ilişkin yapılan bütün işlemler kayıt altına alınmakta olup söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az 3 (üç) yıl süre ile saklanmaktadır.

9.2. İlgili Kişinin Talebi Üzerine İmha

İlgili kişi, KVKK madde 13 uyarınca Polikliniğimize başvurarak kendisine ait kişisel verilerin imha edilmesi talebinde bulunabilir. Polikliniğimiz irtibat kişisine iletilen bu talep öncelikle ilgili birimlere yönlendirilir. Ardından Polikliniğimiz tarafından bu talebe ilişkin gerekli idari denetimler yapılarak işleme şartlarının tamamen ortadan kalkıp kalkmadığına ilişkin bir değerlendirmeye alınır ve:

  • Talep konusu kişisel verinin işleme şartları tamamen ortadan kalkmışsa; Polikliniğimiz talebe konu kişisel verileri imha etmektedir.
  • Talep konusu kişisel verinin işleme şartları tamamen ortadan kalkmış ve talebe konu olan kişisel veriler üçüncü kişilere aktarılmış olması halinde Polikliniğimiz bu durumu aktarılan üçüncü kişiye bildirir ve üçüncü kişi nezdinde Yönetmelik ve işbu Politika kapsamında gerekli işlemlerin yapılmasını temin etmektedir.
  • Şayet talep konusu kişisel verinin işleme şartları ortadan kalkmamışsa, iletilen bu talep Polikliniğimizce KVKK madde 13/3 uyarınca gerekçesi açıklanarak reddedilebilir.

Polikliniğimiz ilgili kişinin talebini en geç 30 (otuz) gün içinde sonuçlandırarak iletilen talebin yöntemine göre yazılı olarak veya elektronik posta ile bilgilendirme yapmaktadır.

Polikliniğimiz bünyesinde işlenen kişisel verilerin yasal saklama sürelerinin sona ermesi ve işlenme koşullarının tamamen ortadan kalkması ile birlikte ilgili verilerin belli bir süre içerisinde imha edilmesi gerekmekte olup bahsi geçen yasal saklama ve imha süreleri, EK 2: Kişisel Verileri Saklama ve İmha Süreleri başlığı altında yer almaktadır.

10 – POLİTİKANIN VE İLGİLİ MEVZUATIN UYGULANMASI

Kişisel verilerin işlenmesi ve korunmasına konusunda mevcut kanun, ikincil düzenlemeler ve ilgili diğer mevzuat ile işbu Politika, Poliklinik bünyesinde uygulanacaktır. Ancak, yürürlükte bulunan mevzuat ile işbu Politika arasında herhangi bir uyumsuzluk veya uyuşmazlık bulunduğu takdirde, Polikliniğimiz yürürlükteki mevzuatın uygulama alanı bulacağını kabul etmektedir.

İşbu Politika, yürürlükte bulunan ilgili mevzuat tarafından belirlenen kuralların Poliklinik uygulamaları çerçevesinde somutlaştırılmış olup Polikliniğimiz KVKK kapsamında öngörülen yürürlük sürelerine uygun hareket etmek üzere gerekli sistem ve hazırlıklarını yürütmektedir.

12 – POLİTİKANIN VE İLGİLİ MEVZUATIN UYGULANMASI

Kişisel verilerin işlenmesi ve korunmasına konusunda mevcut kanun, ikincil düzenlemeler ve ilgili diğer mevzuat ile işbu Politika, Poliklinik bünyesinde uygulanacaktır. Ancak, yürürlükte bulunan mevzuat ile işbu Politika arasında herhangi bir uyumsuzluk veya uyuşmazlık bulunduğu takdirde, Polikliniğimiz yürürlükteki mevzuatın uygulama alanı bulacağını kabul etmektedir.

İşbu Politika, yürürlükte bulunan ilgili mevzuat tarafından belirlenen kuralların Poliklinik uygulamaları çerçevesinde somutlaştırılmış olup Polikliniğimiz KVKK kapsamında öngörülen yürürlük sürelerine uygun hareket etmek üzere gerekli sistem ve hazırlıklarını yürütmektedir. İşbu Politika, yürürlükte bulunan ilgili mevzuat tarafından belirlenen kuralların POLİKLİNİK uygulamaları çerçevesinde somutlaştırılmış olup Polikliniğimiz KVKK kapsamında öngörülen sürelere uygun hareket etmek üzere gerekli sistem ve hazırlıklarını yürütmektedir.

 

 

EK 1: KİŞİSEL VERİLERİ SAKLAMA VE İMHA SÜRELERİ

Polikliniğimiz tarafından işlenen kişisel verilere dair saklama ve imha süreleri aşağıda yer almaktadır:

 

SÜREÇ SAKLAMA SÜRESİ İMHA SÜRESİ
Sözleşmelerin hazırlanması Sözleşmenin sona ermesini takiben 10 yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Hasta kayıt 10 yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Çalışan Özlük Dosyası Oluşturma İşten ayrılmasından itibaren 10 yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Randevu kayıt ve iletişim 10 yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Kamera Kayıtları 30 gün Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Maaş Ödemeleri İşten ayrılmasından itibaren 10 yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Hasta öneri ve şikayet 10 yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Poliklinik Defterinin Oluşturulması 10 yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Enjeksiyon Defterinin Oluşturulması 10 yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
İş Başvurusu süreçlerinin yürütülmesi Adayın iş staj başvurusunu yaptığı tarihten itibaren 1 yıl. Saklama süresinin bitimini takip eden ilk periyodik imha süresinde

 

 

 

 

 

 

 

 

B.    VERİ SAHİBİNİN HAKLARI VE BAŞVURU İSTEMİ

VERİ KORUMA GÖREVLİSİ VE İRTİBAT KİŞİSİ

Polikliniğimiz KVKK kapsamındaki yükümlülükleri daha hızlı ve daha doğru yerine getirebilmek için karar merci olarak bir Veri Koruma Görevlisi ve Polikliniğimizin İlgili Kişiler ve KVKK ile daha iyi bir iletişim kurmasını sağlamak amacıyla bir İrtibat Kişisi atanmıştır. İrtibat kişisinin bilgileri politikanın son kısmında yer almaktadır.

 İLGİLİ KİŞİLERİN BAŞVURMA HAKKI

Polikliniğimiz bünyesinde işlenen kişisel verileri ile ilgili kişisel veri sahipleri, veri sorumlusu olan Polikliniğimize başvurarak KVKK madde 11 kapsamında öngörülen bazı haklardan yararlanabilecektirler. Bu çerçevede, İlgili Kişiler aşağıdaki haklara sahiptir:

  • Kişisel veri işlenip işlenmediğini öğrenme,
  • Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
  • Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
  • Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
  • Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
  • Kişisel verilerin silinmesini veya yok edilmesini isteme,
  • Yapılan işlemlerin ve kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
  • İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
  • Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme.

 

Yukarıda sıralanan haklarınıza yönelik başvurularınızı, https://demiderm.com/iletisim/ adresinden ulaşabileceğiniz Özel DEMİDERM Polikliniği Veri Sahibi Başvuru Formu’ nu doldurarak Polikliniğimize iletebilirsiniz. Talebinizin niteliğine göre en kısa sürede ve en geç otuz gün içinde başvurularınız ücretsiz olarak sonuçlandırılacaktır; ancak işlemin ayrıca bir maliyet gerektirmesi halinde Kişisel Verileri Koruma Kurulu tarafından belirlenecek tarifeye göre tarafınızdan ücret talep edilebilecektir.

Polikliniğimiz, aşağıdaki durumlarda başvuruda bulunan kişinin başvurusunu gerekçesi ile reddedebilir:

 

  • Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi.
  • Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi.
  • Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbarı faaliyetler kapsamında işlenmesi.
  • Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi.
  • Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması.
  • Kişisel veri sahibi tarafından kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi.
  • Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması.
  • Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması.
  • Kişisel veri sahibinin talebinin diğer kişilerin hak ve özgürlüklerini engelleme ihtimali olması.
  • Orantısız çaba gerektiren taleplerde bulunulmuş olması.
  • Talep edilen bilginin kamuya açık bir bilgi olması.

 

C.    KİŞİSEL VERİ GÜVENLİĞİ İHLALİ OLAY YÖNETİMİ PROSEDÜRÜ

1 – AMAÇ

Bu prosedürün amacı,  ÖZEL DEMİDERM POLİKLİNİĞİ (“POLİKLİNİK” ) bünyesinde işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde olumsuz sonuçların bir an önce önüne geçilmesi veya en aza indirilmesine imkan verecek önlemler alınması için ihlal olayının tespit edilmesi ve bildirilmesine yönelik usul ve esaslarını düzenlemektir.

2 – KAPSAM

Bu prosedür  Özel Demiderm Polikliniği kişisel veri güvenliği ile ilgili olay ihlallerini kapsamaktadır. Olay yönetimi, kişisel veri güvenliği olayının mümkün olan en kısa sürede tespit edilerek güvenlik ihlâllerine zamanında cevaplar verilmesini sağlar. Kişisel verilerin güvenliğine yönelik alınan teknik önlemler çerçevesinde, daha önce denenen ve başarılı olan güvenlik kırılmaları, güvenlik yöneticisinin güvenlik faaliyetlerinin beklenen biçimde çalışıp çalışmadığının belirlenebilmesi, güvenlik önlemlerinin alınarak güvenlik ihlallerinin önlenmesi, bir güvenlik kırılmasını önlemek için alınan önlemlerin etkili olup olmadığına karar verilir.

3 – TANIMLAR

Bilgi İşlem Görevlisi  ÖZEL DEMİDERM POLİKLİNİĞİ tarafından bilgi işlem sistemleri yazılımsal ve donanımsal işlemlerin gerçekleştirilmesi ve yönetilmesinden sorumlu personeldir.
Bilgi İşlem Tedarikçisi  ÖZEL DEMİDERM POLİKLİNİĞİ ile bilgi işlem sistemlerinin kurulmasına, çalıştırılmasına, yönetilmesine, düzeltilmesine vb. işlemleri gerçekleştirilmesinden ya da organize edilmesinden sorumlu tedarikçidir.
Güvenlik İhlali Türkiye Cumhuriyeti yasalarına,  ÖZEL DEMİDERM POLİKLİNİĞİ politika ve prosedürleri ile uygulanan kontrollere aykırı olduğu tespit edilen durumlar, faaliyetler anlamına gelmektedir.
İrtibat Kişisi  ÖZEL DEMİDERM POLİKLİNİĞİ ile Kişisel Veri Sahibi ve KVKK arasında iletişimin sağlanması amacıyla Yönetim Kurulu kararı ile atanan personeldir.
Kişisel Veri Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi (ad-soyad, T.C. Kimlik, pasaport, e-posta, adres, doğum tarihi, IBAN no, kredi kartı numarası vb.) ifade etmektedir.
Kişisel Veri Sahibi/ İlgili Kişi (ler)

 

 Kişisel verisi işlenen gerçek kişileri ifade etmektedir. Bu kişiler,  Özel DEMİDERM Polikliniği’nin ticari ilişki içinde bulunduğu çalışanları, müşterileri, iş ortakları, hissedarları, yetkilileri, potansiyel müşterileri, aday çalışanları, stajyerleri, ziyaretçileri, tedarikçileri, iş birliği içinde çalıştığı kurumların çalışanları, üçüncü kişiler ve burada sayılanlarla sınırlı olmamak üzere diğer kişiler gibi kişisel verisi işlenen gerçek kişiler olabilir.
 Kurum / Kurul Kişisel Verileri Koruma Kurumu’nu ifade etmektedir.
KVKK 7 Nisan 2016 tarihli ve 29677 sayılı Resmi Gazete’de yayımlanan 6698 sayılı Kişisel Verilerin Korunması Kanunu’dur.
Tehdit Güvenlik zafiyetleri kullanarak zarar verilmesine ya da olumsuzlukların oluşmasına neden olan durumlar anlamına gelmektedir.
Üçüncü kişiler

 

  ÖZEL DEMİDERM POLİKLİNİĞİ sözleşme ile hizmet ilişkisi bulunan tedarikçiler, müşteriler ve bunların çalışanlarını ifade etmektedir.
Veri Koruma Görevlisi  ÖZEL DEMİDERM POLİKLİNİĞİ bünyesinde kişisel verilerin korunması ile ilgili işlemlerin yürürlüğünü sağlayan, denetleyen ve veri güvenliği ihlallerine yönelik karar alma yetkisi bulunan ve Yönetim Kurulu Kararı ile atanan kişidir.

4 – KİŞİSEL VERİ GÜVENLİĞİ İHLAL OLAYLARI

  • Uygulama
  • Kişisel veri güvenliği olaylarına hızlı, etkili ve düzenli bir biçimde karşılık verebilmek için sorumluluklar belirlenmiş ve prosedürler oluşturulmuştur.
  • Bilgi sisteminin çökmesi, kötü niyetli yazılım, servis dışı bırakma saldırısı, eksik veya hatalı veri girişi, gizlilik ve bütünlüğü bozan ihlaller, bilgi sisteminin kötüye kullanılması gibi farklı olay tiplerini ele almak üzere Bilgi işlem görevlisi ve Bilgi İşlem tedarikçisi tarafından prosedürler geliştirilmiş olmalıdır.
  • Kişisel veri güvenliği ihlal olaylarında ihlal ister fiziken ister bilgi işlem sisteminden kaynaklansın İrtibat Kişisi’ne bildirim yapılmalıdır.
  • Durumun ivedilikle önlem alınmasını gerektirdiği hallerde ilk bilgilendirme telefon ve e-mail yolu üzerinden yapılmalıdır.
  • Akabinde gecikmeksizin İrtibat Kişisi’ne iletilmelidir.
  • İrtibat Kişisi, öncelikle bildirimin kişisel güvenliği ihlal olayı olup olmadığını tespit etmelidir.
  • Bildirim formu ile olayın kişisel veri güvenliği ihlali olduğu netleştirilince İrtibat Kişisi; olayın analizinin yapılması ve yayılmasını önlemek için alınması gereken acil eylem gerekli ise süreci başlatmalıdır.
  • İrtibat Kişisi; Veri Koruma Görevlisi’ni, Bilgi İşlem görevlisini ve gerekli gördüğü hallerde Bilgi İşlem tedarikçisini derhal bilgilendirmelidir.
  • Veri Koruma Görevlisi, İrtibat Kişisi, Bilgi İşlem Görevlisi ve Tedarikçisi ile olayın ciddiyeti değerlendirilip yasal işlem öngörülmekte ise, ilgili hukuki ya da güvenlik otoriteleri sürece dâhil etmek için faaliyetlere başlamalıdır.
  • Gerçekleştirilen değerlendirme sonucunda ihlal olayının çözümü için ilgili ivedi bir şekilde olayın çözümü için harekete geçilir.
  • Eğer kişisel veri güvenliği açığı bir bilgi işlem sisteminden kaynaklanıyorsa, bu açığı kapatmak ve hataları düzeltmek için gereken çalışmalar yapılırken canlı sisteme sadece yetkili personelin erişmesine, acil düzeltme çalışmalarının belgelendirilmesine, çalışmaların düzenli olarak Genel Müdür’e bildirilmesi ve Genel Müdür tarafından gözden geçirilmesine ve bilgi sistemlerinin bütünlüğünün asgari gecikme ile sağlanmasına dikkat edilmelidir.
  • Bildirilen kişisel veri ihlal olayının çözümü için atılan adımlar her bir ihlal olay kaydı için ayrı ayrı yazılarak olay kapatılır.
  • Bildirilen ihlal olayları çerçevesinde yapılan bildirimler sonucu çözümleri, herhangi bir maliyet gerektiriyor ise konu Genel Müdür’e ve gerekirse Yönetim Kurulu’na iletilecektir.

 

 

 

  • Olayların Kayıt Altına Alınması ve Raporlanması
  • Kişisel veri güvenliği olayları doğrudan İrtibat Kişisi tarafından kayıt altına alınmakta ve yönetilmektedir. Olaylar, işbu prosedürün ekinde yer alan Kişisel Veri İhlal Bildirim Formu ile kayıt altına alınmaktadır. Kayıt altına alınan bu veriler, İrtibat Kişisi veya yetkilendirdiği kişi tarafından takip edilecek ve arşivlenecektir.
  • Kişisel veri sistemi denetimi sonuçları ve delilleri toplanmalı ve güvenli biçimde saklanmalıdır.
  • ÖZEL DEMİDERM POLİKLİNİĞİ ’nin kişisel veri güvenlik olaylarının belirlenmesi, raporlanması ve kayıt altına alınmasına ilişkin süreçleri ayrıntılarıyla açıklayan net bir olay raporlama mekanizması bulunmaktadır. Tüm çalışanlar, ihlal olaylarının ele alınması için gerekli tespit, raporlama ve eylemin önemi hakkında İrtibat Kişisi ya da Bilgi İşlem Görevlisi tarafından sürekli olarak bilgilendirilir.
  • Kişisel veri güvenliği ihlal olayları doğrudan İrtibat Kişisi tarafından kayıt altına alınmakta ve Veri Koruma Görevlisi’ne raporlanmaktadır.
  • Bilgi işlem sisteminde yaşanan güvenlik olaylarını mümkün olduğunca hızlı bir şekilde raporlamak için resmi bir prosedür olmalıdır. Bu olaylardan kişisel veri gruplarının etkilendiğinin tespit edilmesi halinde, bahsi geçen bu raporlama hem İrtibat Kişisi hem de Veri Koruma Görevlisi ’ne yapılmalıdır.
  • Tüm personel ve üçüncü parti çalışanlarına karşılaştıkları bilgi güvenliği olaylarını hızla bildirme konusunda yükümlü oldukları açıklanmış olmalıdır.

 

  • Kanıt Toplama
  • Kişisel veri güvenliği ihlal olaylarında Genel Müdüre sunulan kişisel veri ihlal raporları kanıt olarak kullanılmaktadır.
  • Ayrıca uygulanabilmesi durumunda tutanaklar, ekran görüntüleri ve fotoğraflar kanıt olarak kullanılmaktadır. Kanıt toplama sorumluluğu İrtibat Kişisi ve Bilgi İşlem görevlisinde; takibi Veri Koruma Görevlisi’ndedir.
  • Toplanan bu kanıtlar Kişisel Verileri Koruma Kurumu’na ve gerektiğinde ya da talep edildiğinde yetkili yargı makamlarına sunulacaktır.

 

  • Kişisel Veri Güvenliği Olaylarında Değerlendirme ve Karar Verme

Kişisel veri güvenliği olaylarında değerlendirme ve karar verme doğrudan Veri Koruma Görevlisi tarafından sağlanmakta herhangi hukuki ve teknik destek ihtiyacı durumunda gerekli önlemler alınmak üzere danışmanlık hizmeti alabilecektir.

 

  • Kişisel Veri Güvenliği İhlal Olaylarına Yanıt Verme

Kişisel veri güvenliği ihlal olaylarında sorumluluk Veri Koruma Görevlisi ’ndedir. Kişisel veri güvenliği ihlal olayını mevcut ve olası etkileri değerlendirildikten sonra gerekli faaliyetler İrtibat Kişisi ve Bilgi İşlem Görevlisi tarafından gerçekleştirilmektedir.

 

  • KVKK’na Bildirim

KVK Kanunu ve KVKK’nun 24.01.2019 tarih ve 2019/10 sayılı Kararı uyarınca,

  • Kişisel veri güvenliğinin ihlali sonucunda, veri sorumlusu sıfatını haiz ÖZEL DEMİDERM POLİKLİNİĞİ İrtibat Kişisi aracılığıyla bu durumu öğrendiği tarihten itibaren gecikmeksizin ve en geç 72 saat içinde Kurul’a bildirmelidir. Kurula haklı bir gerekçe ile 72 saat içinde bildirim yapılamaması halinde, yapılacak bildirimle birlikte gecikmenin nedenleri de Kurula açıklanmalıdır.
  • Kurula yapılacak bildirimde, işbu Prosedürün ekinde yer alan “Kişisel Verileri Koruma Kurumu Kişisel Veri İhlali Bildirim Formu(EK-1)” kullanılmalıdır.
  • KVKK’ya iletilecek formda (EK-1) yer alan bilgilerin aynı anda sağlanmasının mümkün olmadığı hallerde, bu bilgilerin gecikmeye mahal verilmeksizin aşamalı olarak sağlanması gerekmektedir.
  • Veri ihlallerine ilişkin bilgilerin, etkilerinin ve alınan önlemlerin kayıt altına alınmalı ve KVKK’nun incelemesine hazır halde bulundurulmalıdır.

 

  • İlgili Kişiyi Bilgilendirme

KVK Kanunu ve KVKK’nun 24.01.2019 tarih ve 2019/10 sayılı Kararı uyarınca,

  • İrtibat Kişisi ya da yetkilendirdiği kişi ya da kişiler söz konusu veri ihlalinden etkilenen kişilerin belirlenmesini müteakip ilgili kişilere de makul olan en kısa süre içerisinde haber vermelidir.
  • İrtibat kişisi İlgili Kişinin iletişim adresine ulaşılabiliyorsa doğrudan ve mümkünse yazılı olarak durumu bildirmelidir. Eğer ilgili kişiye ulaşılamıyorsa, Özel DEMİDERM Polikliniği’nin internet sitesi üzerinden veri ihlaline yönelik bir duyuru yayımlanmalıdır.

 

  • İhlal Olayı Sonrası

 

  • Raporlanmış olan kişisel veri güvenliği olayları Veri Koruma Görevlisi, İrtibat Kişisi ve Bilgi İşlem arasındaki toplantıda görüşülerek gerekli önlemler alınmaktadır ayrıca gerekli görülen düzeltici faaliyetler gerçekleştirilecektir.
  • Geçmiş bilgi güvenliği olaylarından sağlanan tecrübe tekrarlanan veya büyük hasar meydana getiren olayların tespit edilmesinde kullanılmalıdır.

5 – UYUMLULUK

  • ÖZEL DEMİDERM POLİKLİNİĞİ çalışanları, işbu Kişisel Veri Güvenliği İhlali Olay Yönetimi Prosedürü hükümlerine uygun davranmakla yükümlüdür, belirtilen hususlara uyulmadığı takdirde Disiplin Prosedürüne göre işlem yapılır.
  • KVK Kanunu veya ilgili ikincil mevzuatta meydana gelen değişiklikler ile işbu Kişisel Veri Güvenliği İhlali Olay Yönetimi Prosedürü’nde yer alan bazı hususlar geçersiz olduğu durumlarda, ilgili değişiklikler uyarınca kanun hükümleri geçerli sayılacaktır.

6 – MUHTELİF HÜKÜMLER

  • İrtibat Kişisi ve/veya Bilgi İşlem Görevlisi tarafından kaydedilen kişisel veri güvenliği ihlal olayları ile ilgili gerektiğinde faaliyet planları yapılır ve farkındalık e-postaları tüm ÖZEL DEMİDERM POLİKLİNİĞİ çalışanlarına gönderilir.
  • Bu prosedür, yılda en az 1 kere olmak üzere İrtibat Kişisi ve yetkilendirdiği kişiler tarafından gözden geçirilir. Gözden geçirilen ve güncellenen prosedür Veri Koruma Görevlisi tarafından onaylanır.
  • Bu prosedürün işletilmesinden öncelikle ÖZEL DEMİDERM POLİKLİNİĞİ Veri Koruma Görevlisi, İrtibat Kişisi, Bilgi İşlem görevlisi  ve diğer tüm personel, sorumludur.

 

EK 1: Kişisel Verileri Koruma Kurumu Kişisel Veri İhlali Bildirim Formu

D.    ÇEREZ POLİTİKASI

 

ÖZEL DEMİDERM POLİKLİNİĞİ (“veri sorumlusu”) olarak, kullanıcılarımızın internet (“web”) hizmetlerimizden güvenli ve eksiksiz şekilde yararlanmalarını sağlamak, kullanıcı deneyimini geliştirmek, istatistik bilgilerini derlemek ve ziyaretçilerimizin gizliliğini korumak için çeşitli çerez veri dosyaları kullanıyoruz. Veri sorumlusu sıfatıyla, çerezler vasıtasıyla kişisel veriler toplanmaktadır.

İnternet sayfamızı ziyaret ederek çerezlerin, bu İnternet Sitesi Çerez Politikası ile uyumlu bir şekilde çalışmasına onay vermiş olursunuz. Sitemizde çerezlerin devre dışı bırakılmasını istiyorsanız, tarayıcınızın ayarlarında düzenleme yapabilirsiniz. İnternet sitemizden ve uygulamadan tam anlamıyla yararlanmak için çerezlere izin vermenizi öneririz.

Veri sorumlusu, 6698 sayılı Kişisel Verileri Koruma Kanunu’nun (Kanun) 5/2. maddesinde belirtilen şartları (hukuki sebepler) karşılamak şartıyla veya veri sahibinin açık rızası ile çerezler vasıtasıyla toplanan kişisel verileri işleyebilir.

Veri sorumlusu olarak, web sitemizde ve uygulamalarımızda kullandığımız çerezleri yürürlükten kaldırabilir, türlerini veya işlevlerini değiştirebiliriz. Aydınlatma metnimiz üzerinde  olan her türlü güncelleme web sitemizde ve web uygulamalarımızda yayınlanmasıyla birlikte yürürlük kazanacaktır.

WEB SİTEMİZDE NE TÜR ÇEREZLER KULLANIYORUZ? 

  • İstatistik Çerezleri: Üyelerimizin ve konuklarımızın kullanım alışkanlıklarını analiz etmek ve uygulama istatistiklerini belirlemek için kullanılırlar.

KİŞİSEL VERİ SAHİBİ OLARAK KANUN’UN 11. MADDESİNDE SAYILAN HAKLARINIZ

Kanun’a göre veri sahiplerinin,

  • Kişisel veri işlenip işlenmediğini öğrenme,
  • İşlendiği bildirilen kişisel verilerinize ilişkin bilgi talep etme,
  • İşlenme amacını ve verilerin amacına uygun kullanılıp kullanılmadığını öğrenme,
  • Eksik veya yanlış işlenmiş verilerin düzeltilmesini isteme ve kişisel verilerin aktarıldığı kişiler var ise bu kapsamda yapılan işlemlerin de bu kişilere bildirilmesini isteme,
  • Yurt içinde ve yurt dışında kişisel verilerin varsa aktarıldığı üçüncü kişileri öğrenme,
  • Toplanan verilerin silinmesini veya yok edilmesini talep etme ve kişisel verilerin aktarıldığı kişiler var ise bu kapsamda yapılan işlemlerin de bu kişilere bildirilmesini isteme,
  • Yasaya aykırı işlenmiş veriler dolayısıyla oluşabilecek zararların giderilmesini talep etme,
  • İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme hakları bulunmaktadır.

Yukarıda sıralanan haklarınıza yönelik başvurularınızı, ………………………………(mail adresi)adresinden ulaşabileceğiniz Özel DEMİDERM Polikliniği  Veri Sahibi Başvuru Formu’ nu doldurarak yazılı olarak veya kayıtlı elektronik posta (KEP) adresi, güvenli elektronik imza, mobil imza ya da ilgili kişi tarafından veri sorumlusuna daha önce bildirilen ve veri sorumlusunun sisteminde kayıtlı bulunan elektronik posta adresini kullanmak suretiyle veri sorumlusuna iletebilirsiniz.

Talebinizin niteliğine göre en kısa sürede ve en geç otuz gün içinde başvurularınız ücretsiz olarak sonuçlandırılacaktır; ancak işlemin ayrıca bir maliyet gerektirmesi halinde Kişisel Verileri Koruma Kurulu tarafından belirlenecek tarifeye göre tarafınızdan ücret talep edilebilecektir.

 

 

E.    POLİTİKANIN VE İLGİLİ MEVZUATIN UYGULANMASI

 

İşbu Politika, KVKK ve diğer ilgili mevzuat tarafından öngörülen kuralları somutlaştırma amacını taşımakta olup söz konusu amaca hizmet edecek yöntemleri belirleyen ve yol gösterici bir nitelik taşıyan bir düzenlemedir. Bu kapsamda, Polikliniğimiz bu Politika ’yı rehber edinerek gerçekleştirilen veri işleme faaliyetlerini analiz edecek, gerekli tüm aksiyonları belirleyecek ve gerekli her türlü idari ve teknik önlemleri alacaktır. Aksiyonların uygulanmaya başlanması ile birlikte iç denetim sistemi işletilerek işbu Politika ’ya uyumluluk sağlanacak ve sağlanan bu uyumluluk korunacaktır. İç denetim uygulamasının yanı sıra, çalışanların farkındalığının sağlanması için çalışmalar yapılacak, Polikliniğimiz bünyesine yeni dahil olmuş çalışanlar için gerekli uyum süreçleri işletilecek ve Polikliniğimizin bağlı ortaklıkları ve iş ortakları ile ilişkilerinde gerekli düzenlemeler yapılacaktır.

Kişisel verilerin işlenmesi ve korunması konusunda yürürlükte bulunan kanuni düzenlemeler, POLİKLİNİK bünyesinde öncelikli olarak uygulanacaktır. Ancak, yürürlükte bulunan mevzuat ile işbu Politika arasında herhangi bir uyumsuzluk veya uyuşmazlık bulunduğu takdirde, Polikliniğimiz yürürlükteki mevzuatın uygulama alanı bulacağını kabul etmektedir.

İşbu Politika, yürürlükte bulunan ilgili mevzuat tarafından belirlenen kuralların POLİKLİNİK uygulamaları çerçevesinde somutlaştırılmış olup Polikliniğimiz KVKK kapsamında öngörülen sürelere uygun hareket etmek üzere gerekli sistem ve hazırlıklarını yürütmektedir.

ÖZEL  DEMİDERM POLİKLİNİĞİ

YAYIN TARİHİ            :

VERSİYON NO           :

İRTİBAT KİŞİSİBİLGİLERİ    :