PROF. DR. EMEL KURTOĞLU ÖZDEŞ KLİNİĞİ
6698 SAYILI KVKK KAPSAMINDA
KİŞİSEL VERİ SAKLAMA VE İMHA POLİTİKASI
1.
BÖLÜM: İMHA POLİTİKASI’NIN NİTELİĞİ VE AMACI
GİRİŞ
Bu imha
politikası Prof. Dr. Emel Kurtoğlu Özdeş
Kliniği olarak, veri sorumlusu
sıfatıyla elde ettiğimiz kişisel verilerin 6698 sayılı Kişisel Verilerin Korunması Kanunu
ve ilgili mevzuat gereğince
kişisel verilerin silinmesi,
yok edilmesi ve/veya
anonim hale getirilmesine
ilişkin uygulanacak usul ve esasların belirlenmesi amacıyla hazırlanmıştır.
Bu kapsamda,
çalışanlarımızın, çalışan adaylarımızın,
stajyerlerimizin, hastalarımızın, ziyaretçilerimizin ve herhangi bir nedenle Prof. Dr. Emel Kurtoğlu Özdeş Kliniği
bünyesinde kişisel verisi bulunan tüm gerçek
kişilerin kişisel verileri Kişisel Verilerin İşlenmesi ve Korunması Politikası ve bu Kişisel Veri Saklama ve İmha
Politikası çerçevesinde kanunlara uygun olarak
yürütülmektedir.
TANIMLAR
Veri Sorumlusu |
Kişisel verilerin işleme amaçlarını ve
vasıtalarını belirleyen, veri
kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi |
İlgili kişi
|
Kişisel verisi işlenen gerçek kişiyi,
|
İmha |
Kişisel verilerin silinmesi, yok edilmesi veya
anonim hale getirilmesini |
Kanun
|
07.04.2016 tarih ve 29677 sayılı Resmi Gazetede
yayımlanan 6698 sayılı Kişisel
Verilerin Korunması Kanununu,
|
Yönetmelik |
28.10.2017 tarihli ve 30224 sayılı Resmi Gazetede
yayımlanan Kişisel Verilerin
Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında
Yönetmeliğini |
Kurul
|
Kişisel Verileri Koruma Kurulunu
|
Kayıt ortamı |
Tamamen veya kısmen otomatik olan ya da herhangi
bir veri kayıt sisteminin
parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her
türlü ortamı |
Kişisel Verilerin İşlenmesi ve Korunması
Politikası
|
Klinikin kişisel verilerin yönetilmesine ilişkin
usul ve esasları belirleyen
politikayı
|
Veri kayıt sistemi |
Kişisel verilerin belirli kriterlere göre
yapılandırılarak işlendiği kayıt
sistemini |
ifade eder
2.
BÖLÜM: ORTAMLAR VE GÜVENLİK TEDBİRLERİ
KİŞİSEL VERİLERİN SAKLANDIĞI ORTAMLAR
Prof. Dr. Emel Kurtoğlu Özdeş Kliniği
nezdinde saklanan kişisel veriler, ilgili verinin niteliğine ve hukuki yükümlülüklerimize uygun şartlarda ve
uygun bir kayıt ortamında tutulur.
Kişisel verilerin saklanması için kullanılan kayıt ortamları genel itibariyle aşağıda
sayılanlardır. Ancak, bir kısım veriler sahip
oldukları özel nitelikler ya da hukuki yükümlülüklerimiz nedeniyle burada gösterilen ortamlardan farklı bir ortamda
tutulabilir. Şirket her durumda veri sorumlusu
sıfatıyla hareket etmekte ve Kişisel Verileri Koruma Kanununa, Kişisel Verilerin
İşlenmesi ve Korunması Politikasına ve bu Kişisel
Veri Saklama ve İmha Politikasına uygun olarak işlemek ve
korumaktadır.
ELEKTRONİK ORTAMLAR |
ELEKTRONİK OLMAYAN ORTAMLAR |
●
Sunucular
( Yedekleme, e-posta, web,
dosya paylaşımı)
●
Yazılımlar ( Klinik
Yönetim yazılımları, portal, VERBİS, CRM, ERP)
●
Bilgi
Güvenliği Cihazları ( Anti-virüs
programı, Günlük Kayıt Dosyaları)
●
Kişisel
Bilgisayarlar (Masaüstü,
Dizüstü)
●
Mobil Cihazlar (Telefon,
Tablet)
●
Optik Diskler (CD,
DVD)
●
Çıkartılabilir Bellekler
(USB, Hafıza Kart)
●
Yazıcı, Tarayıcı, Fotokopi
Makinası
●
Kapalı Sistem Kamera Kayıt
Ortamı
●
Tıbbi
Görüntüleme Cihazları
|
●
●
●
Kağıt
Manuel Veri Kayıt Sistemleri ( Formlar, Ziyaretçi
Giriş Defteri, Hasta Kayıt
Defteri Vb.)
Yazılı, Basılı, Görsel Ortamlar
|
ORTAMLARIN GÜVENLİĞİNİN SAĞLANMASI
Prof. Dr. Emel Kurtoğlu Özdeş Kliniği,
kişisel verilerin güvenli bir şekilde saklanması ile hukuka aykırı
olarak işlenmesi ve
erişilmesinin önlenmesi için
ilgili kişisel veri
ile tutulduğu ortamın
niteliklerine uygun olarak
gerekli tüm teknik
ve idari tedbirleri
almakta ayrıca bu
konudaki gelişmeleri takip etmektedir.
Bu tedbirler, bunlarla kısıtlı olmamak üzere, ilgili kişisel verinin ve tutulduğu ortamın
niteliğine uygun düştüğü ölçüde aşağıdaki idari ve
teknik tedbirleri kapsar.
Teknik Tedbirler
Prof. Dr. Emel Kurtoğlu Özdeş Kliniği
kişisel verilerin saklandığı tüm ortamların ilgili verinin ve verinin tutulduğu ortamın niteliklerine uygun
olarak aşağıdaki teknik tedbirleri almaktadır:
•
Kişisel
verilerin tutulduğu ortamlarda
yalnızca teknolojik gelişmelere
uygun güncel ve
güvenli sistemler kullanılmaktadır.
•
Kişisel verilerin tutulduğu ortamlara yönelik
güvenlik sistemleri kullanılmaktadır.
•
Bilişim sistemleri üzerindeki güvenlik
zafiyetlerinin tespitine yönelik güvenlik testleri ve
araştırmaları yapılmakta, yapılan test ve araştırmaların sonucunda tespit edilen
mevcut ya da muhtemel risk teşkil eden
hususlar giderilmektedir.
•
Log kayıtları kullanıcı
müdahalesi olmayacak şekilde
tutulmaktadır.
•
Kişisel veri içeren
fiziksel ortamların dış risklere (yangın, sel vb.) karşı güvenliği sağlanmaktadır.
•
Kişisel
verilerin güvenli olarak
saklanmasını sağlayan veri
yedekleme programları kullanılmaktadır.
•
Gerektiğinde sağlık
verilerine ilişkin olarak
veri maskeleme uygulanmaktadır.
•
Elektronik olan
veya olmayan ortamlarda
saklanan kişisel verilere
erişim, erişim prensiplerine göre sınırlandırılmaktadır.
•
Kişisel verilerin işlendiği elektronik
ortamlarda güçlü parolalar kullanılmaktadır.
•
Kişisel verilerin tutulduğu ortamlara veriye
erişim kısıtlanarak yalnızca yetkili kişilerin,
kişisel verinin saklanma
amacı ile sınırlı
olarak bu verilere
erişmesine izin verilmekte
ve tüm erişimler kayıt altına
alınmaktadır.
•
Özel nitelikli kişisel verilere yazılım
aracılığıyla erişildiği durumlarda yazılıma ait kullanıcı yetkilendirmeleri yapılmakta, kullanılan
yazılımların güvenlik testleri yazılım sahibi olan
kişi veya şirket tarafından düzenli olarak yaptırılmakta, bu durum periyodik olarak
takib edilmektedir.
•
Kişisel verilerin fiziki olarak tutulduğu
ortamların güvenliğine ilişkin (kilit kullanımı, şifreli kasa kullanımı vb.) gerekli tedbirler
alınmaktadır.
•
Özeli nitelikli kişisel veriler fiziki olarak
yalnızca kilit vasfını haiz ve erişimin yalnızca
hekimde olduğu ortamlarda tutulmaktadır.
İdari Tedbirler
Prof. Dr. Emel Kurtoğlu Özdeş Kliniği
kişisel verilerin saklandığı tüm
ortamların ilgili verinin ve
verinin tutulduğu ortamın niteliklerine uygun olarak aşağıdaki idari tedbirleri
almaktadır:
•
Kişisel verilere erişimi olan Prof. Dr. Emel Kurtoğlu Özdeş Kliniği tüm çalışanlarının bilgi
güvenliği, kişisel veriler
ve özel hayatın
gizliliği konularında farkındalıklarının artırılması ve bilinçlendirilmesi için
çalışmalar yapılmaktadır.
•
Bilgi güvenliği, özel hayatın gizliliği ve
kişisel verilerin korunması alanındaki gelişmeleri
takip etmek ve
gerekli aksiyonları almak
üzere hukuki ve
teknik danışmanlık hizmeti
alınmaktadır.
•
Klinik
tarafından yürütülen faaliyetlere ilişkin
çalışanlara gizlilik sözleşmeleri imzalanmaktadır.
•
Kişisel veri
güvenliğine ilişkin olarak
politika ve prosedürleri belirlenmiştir
•
Kişisel veriler
mümkün olduğunca azaltılmaktadır.
•
Kişisel veri işleme envanteri hazırlanmıştır.
•
Kişisel verilerin teknik ya da hukuki
gereklilikler nedeniyle üçüncü kişilere aktarılması
halinde ilgili üçüncü kişilerle kişisel verilerin korunması amacıyla Gizlilik
Sözleşmeleri imzalanmakta, ilgili
üçüncü kişilerin bu
protokollerdeki yükümlülüklerine uyması
için gerekli tüm özen gösterilmektedir.
Kurum İçi Denetimi
Prof. Dr. Emel Kurtoğlu Özdeş Kliniği,
Kanunun 12. maddesi uyarınca Kanun hükümlerinin ve
bu Kişisel Veri Saklama ve İmha Politikası ile Kişisel Verilerin İşlenmesi ve Korunması
Politikası hükümlerinin uygulanmasına ilişkin
düzenli olarak kurum içi denetimler yapmaktadır.
Kurum içi denetimler sonucunda bu hükümlerin uygulanmasına ilişkin eksiklik veya kusurların tespit edilmesi halinde bu eksiklik ya da kusurlar
en kısa zamanda giderilir.
Denetim sırasında ya
da bir
şekilde Prof. Dr. Emel Kurtoğlu Özdeş
Kliniği
sorumluluğunda bulunan kişisel
verilerin kanuni olmayan yollarla başkaları tarafından elde edildiğinin anlaşılması hâlinde, bu durumu en kısa sürede ilgilisine ve KVK
Kuruluna (72 saat içerisinde) bildirir.
3.
BÖLÜM: KİŞİSEL VERİLERİN İMHASI Saklama Ve
İmhaya İlişkin Açıklamalar
Prof. Dr. Emel Kurtoğlu Özdeş Kliniği
bünyesinde tutulan kişisel
veriler Kanun ve
ikincil mevzuat uyarınca, burada belirtilen
amaç ve nedenlerle saklanmakta ve imha edilmektedir.
Saklama Nedenleri
Kanunun 3 üncü maddesinde kişisel verilerin işlenmesi
kavramı tanımlanmış, 4 üncü maddesinde
işlenen kişisel verinin işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması
ve ilgili mevzuatta öngörülen veya
işlendikleri amaç için gerekli süre kadar muhafaza edilmesi gerektiği belirtilmiş,
5 ve 6 ncı maddelerde ise kişisel verilerin
işleme şartları sayılmıştır.
Buna göre,
Prof. Dr. Emel Kurtoğlu Özdeş
Kliniği faaliyetleri çerçevesinde
kişisel veriler, ilgili
mevzuatta öngörülen veya işleme amaçlarımıza uygun süre kadar saklanır.
Saklamayı Gerektiren Hukuki Sebepler
Kurumda, faaliyetleri çerçevesinde işlenen kişisel veriler, ilgili mevzuatta öngörülen süre
kadar muhafaza edilir. Bu kapsamda kişisel veriler;
•
6698 sayılı Kişisel Verilerin Korunması Kanunu,
•
6098 sayılı Türk Borçlar Kanunu,
•
6102 sayılı Türk Ticaret Kanunu,
•
213 Sayılı Vergi Usul Kanunu
•
6502 sayılı Tüketicinin Korunması Hakkında
Kanun,
•
5510 sayılı Sosyal Sigortalar ve Genel Sağlık
Sigortası Kanunu,
•
6361 sayılı İş Sağlığı ve Güvenliği Kanunu,
•
4982 Sayılı Bilgi Edinme Kanunu,
•
3359 sayılı Sağlık Hizmetleri Temel Kanunu
•
663 sayılı Sağlık Bakanlığı ve Bağlı
Kuruluşlarının Teşkilat ve Görevleri Hakkında Kanun
Hükmünde Kararname,
•
3071 sayılı Dilekçe Hakkının Kullanılmasına
Dair Kanun,
•
4857 sayılı İş Kanunu,
•
2828 sayılı Sosyal Hizmetler Kanunu
•
1774 Sayılı Kimlik Bildirme Kanunu
•
1219 Sayılı Tababe Ve Şubatı Sanatlarının Tarzı
İcrasına Daire Kanun
•
İşyeri Bina ve Eklentilerinde Alınacak Sağlık
ve Güvenlik Önlemlerine İlişkin Yönetmelik,
•
Kişisel Sağlık Verileri Hakkında
Yönetmelik,
•
Tıbbi Laboratuvarlar Yönetmeliği,
•
Sağlıkta Kalitenin Geliştirilmesi ve
Değerlendirilmesine Dair Yönetmelik
•
Yataklı Tedavi Kurumları İşletme Yönetmeliği
•
Ayakta Teşhis Ve Tedavi Yapılan Sağlık
Kuruluşları Hakkında Yönetmelik
Bu kanunlar uyarınca yürürlükte olan diğer ikincil düzenlemeler çerçevesinde öngörülen
saklama süreleri kadar saklanmaktadır.
Saklamayı Gerektiren İşleme Araçları
•
İnsan kaynakları süreçlerini yürütmek
•
Klinikin ürün ve hizmetlerin sunulması
•
Tıbbi teşhis ve tedavinin yürütülmesi
•
Koruyucu hekimlik faaliyetinin yürütülmesi
•
Sağlık hizmetleri ile finansmanın sağlanması
•
Klinikin hukuki, ticari ve fiziksel güvenliğini
sağlamak
•
İç denetim faaliyetlerinin yürütülmesi
•
Saklama ve arşiv faaliyetlerinin yürütülmesi
•
Klinikin kurumsal işleyişini sağlamak
•
Ürün ve hizmete ilişkin iletişim kurmak
•
İmzalanan sözleşmeler ve protokoller
neticesinde iş ve işlemleri ifa edebilmek
•
Yasal
düzenlemelerin gerektirdiği veya zorunlu
kıldığı şekilde, hukuki
yükümlülüklerin yerine getirilmesini sağlamak
•
Yetkili kişi, kurum ve kuruluşlara bilgi
verilmesi
•
İstatiksel çalışmalar yapabilmek
•
İleride doğabilecek hukuki uyuşmazlıklarda
delil olarak ispat yükümlülüğü
•
Yasal raporlamalar yapmak
•
Finans ve muhasebe işlerinin yürütülmesi
•
İletişim faaliyetlerinin yürütülmesi
•
Hizmet alım ve satım ile operasyonlarının
yürütülmesi
İmhayı Gerektiren Sebepler
Kişisel Veriler;
•
İşlenmesine esas teşkil eden ilgili mevzuat
hükümlerinin değiştirilmesi veya ilgası,
•
İşlenmesini veya saklanmasını gerektiren amacın
ortadan kalkması,
•
Kişisel verileri işlemenin sadece açık rıza
şartına istinaden gerçekleştirdiği hallerde, ilgili kişinin açık rızasını geri alması
•
Kanunun 11 inci maddesi gereği ilgili kişinin
hakları çerçevesinde kişisel verilerinin silinmesi ve
yok edilmesine ilişkin yaptığı başvurunun Kurum tarafından kabul edilmesi,
•
Kurumun, ilgili kişi tarafından kişisel
verilerinin silinmesi, yok edilmesi veya anonim hale
getirilmesi talebi ile kendine yapılan başvuruyu reddetmesi, verdiği cevabı yetersiz
bulması veya Kanunda öngörülen süre içinde
cevap vermemesi hallerinde; Kurula şikayette bulunması ve bu talebin Kurul tarafından uygun bulunması,
•
Kişisel verilerin saklanmasını gerektiren azami
sürenin geçmiş olması ve kişisel verileri daha
uzun süre saklamaya haklı kılacak herhangi bir şartın mevcut olmaması,
durumlarında, Kurum tarafından ilgili kişinin talebi üzerine silinir, yok edilir ya da re’sen
silinir, yok edilir veya anonim hale getirilir.
İMHA YÖNTEMLERİ
Prof. Dr. Emel Kurtoğlu Özdeş Kliniği Kanuna
ve ilgili mevzuat ile Kişisel Verilerin İşlenmesi
ve Korunması Politikasına uygun olarak sakladığı kişisel verileri, verilerin işlenmesini
gerektiren sebeplerin ortadan
kalkması hâlinde ilgili
kişinin talebi doğrultusunda
ya da
bu Kişisel Veri
Saklama ve İmha Politikasında belirtilen süreler içinde re’sen siler, yok eder veya
anonim hale getirir.
Prof. Dr. Emel Kurtoğlu Özdeş
Kliniği
tarafından
en çok kullanılan
silme, yok etme
ve anonim hale getirme teknikleri aşağıda
sıralanmaktadır:
Silme Yöntemleri
VERİ KAYIT ORTAMI |
AÇIKLAMA |
Sunucularda Yer Alan Kişisel
Verileri
|
Sunucularda
yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler için sistem yöneticisi tarafından ilgili kullanıcıların
erişim yetkisi kaldırılarak
silme işlemi yapılır
|
Elektronik
Ortamlarda Yer Alan Kişisel Veriler |
Elektronik
ortamda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, veritabanı yönetici hariç diğer çalışanlar (ilgili kullanıcılar) için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. |
Fiziksel
Ortamda Yer Alan Kişisel Veriler
|
Fiziksel ortamda tutulan kişisel verilerden
saklanmasını gerektiren süre
sona erenler için evrak arşivinden sorumlu birim yöneticisi hariç diğer
çalışanlar için hiçbir şekilde
erişilemez ve tekrar kullanılamaz hale getirilir. Ayrıca, üzeri okunamayacak şekilde
çizilerek/boyanarak/silinerek
karartma işlemi de uygulanır
|
Taşınabilir Medyada Bulunan Kişisel Veriler |
Flash
tabanlı saklama ortamlarında tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler, sistem yöneticisi tarafından şifrelenerek ve erişim yetkisi sadece sistem yöneticisine verilerek şifreleme anahtarlarıyla güvenli
ortamlarda saklanır |
Yok Etme Yöntemleri
VERİ KAYIT ORTAMI |
AÇIKLAMA |
|||||||
Fiziksel
Ortamda Yer
|
Kişisel
|
veri
|
barındıran
|
optik
|
ve
|
manyetik
|
medyanın
|
eritilmesi,
|
Alan Kişisel Veriler
|
yakılması veya toz haline getirilmesi gibi fiziksel olarak yok edilmesi
|
|||||||
|
işlemidir. Optik veya manyetik medyayı eritmek, yakmak, toz haline
|
|
getirmek
ya da bir metal öğütücüden geçirmek gibi işlemlerle verilerin erişilmez kılınması
sağlanır.
|
|
Optik medya
ve manyetik medyada yer
alan kişisel verilerden |
Optik/Manyetik Medyada Yer Alan Kişisel
Verilerin Yok Edilmesi
|
saklanmasını gerektiren süre sona erenlerin eritilmesi, yakılması veya toz haline getirilmesi gibi fiziksel olarak yok edilmesi işlemi uygulanır.
Ayrıca,
manyetik medya özel bir cihazdan geçirilerek yüksek değerde manyetik
alana maruz
bırakılması suretiyle
üzerindeki veriler |
|
okunamaz hale getirilir. |
Anonimleştirme Yöntemleri
Anonimleştirme, kişisel verilerin başka
verilerle eşleştirilerek dahi
hiçbir surette kimliği
belirli veya belirlenebilir bir gerçek
kişiyle ilişkilendirilemeyecek hâle getirilmesidir.
Değişkenleri çıkarma |
İlgili kişiye ait kişisel verilerin içerisinde
yer alan ve ilgili kişiyi
herhangi bir şekilde tespit etmeye yarayacak doğrudan
tanımlayıcıların bir ya da bir
kaçının çıkarılmasıdır.
Bu yöntem kişisel verinin anonim hale getirilmesi
için kullanılabileceği gibi,
kişisel veri içerisinde veri işleme amacına uygun düşmeyen bilgilerin bulunması halinde bu
bilgilerin silinmesi amacıyla da
kullanılabilir. |
Bölgesel gizleme
|
Kişisel verilerin toplu olarak anonim şekilde
bulunduğu veri tablosu içinde
istisna durumda olan veriye ilişkin ayırt edici nitelikte olabilecek bilgilerin silinmesi
işlemidir.
|
Genelleştirme |
Birçok kişiye ait kişisel verinin bir araya
getirilip, ayırt edici bilgileri
kaldırılarak istatistiki veri haline getirilmesi işlemidir. |
Alt ve üst sınır kodlama / Global
kodlama
|
Belli bir değişken için o değişkene ait aralıklar
tanımlanarak
kategorilendirilir. Değişken sayısal bir değer içermiyorsa bu
halde değişken içindeki
birbirine yakın veriler kategorilendirilir.
Aynı kategori içinde kalan değerler
birleştirilir.
|
Mikro birleştirilme |
Bu yöntem ile veri kümesindeki bütün kayıtlar
öncelikle anlamlı bir sıraya
göre dizilip sonrasında bütün küme belirli bir sayıda alt kümelere ayrılır. Daha sonra her alt
kümenin belirlenen değişkene ait değerinin ortalaması alınarak alt kümenin
o değişkenine ait değeri ortalama değer ile değiştirilir. Bu sayede
veri içerisinde bulunan dolaylı tanımlayıcılar bozulmuş olacağından, verinin
ilgili kişiyle ilişkilendirilmesi
zorlaştırılır. |
Veri karma ve bozma
|
Kişisel veri içerisindeki doğrudan ya da dolaylı
tanımlayıcılar başka değerlerle
karıştırılarak ya da bozularak ilgili kişi ile ilişkisi koparılır ve tanımlayıcı niteliklerini
kaybetmeleri sağlanır.
|
SAKLAMA VE İMHA SÜRELERİ
Saklama Süreleri
VERİ SAHİBİ |
VERİ KATEGORİSİ |
VERİ SAKLAMA SÜRESİ |
Çalışan
|
İşe alım evrakları ile Sosyal Güvenlik Kurumuna
gerçekleştirilen hizmet süresine ve ücrete dair bildirimlere
esas özlük verileri
|
Hizmet akdinin sona ermesinden itibaren 10 yıl, hukuki bir
süreç işliyorsa süreç sona
erene kadar muhafaza
edilir.
|
Çalışan |
İşe alım evrakları ile Sosyal Güvenlik Kurumuna gerçekleştirilen; hizmet süresine ve ücrete dair
bildirimlere esas özlük verileri dışında kalan özlük verileri
|
Hizmet akdinin sona ermesinden itibaren 10 yıl, hukuki bir
süreç işliyorsa süreç sona
erene kadar muhafaza edilir
|
Çalışan
|
İşyeri Kişisel Sağlık Dosyası İçeriğindeki
Veriler
|
Hizmet akdinin sona ermesinden itibaren 10 yıl, hukuki bir
süreç işliyorsa süreç sona
erene kadar muhafaza
edilir
|
İş Ortağı/Çözüm Ortağı/Danışman |
İş Ortağı/Çözüm
Ortağı/Danışman ile Şirket arasındaki ticari ilişkinin
yürütümüne dair kimlik bilgisi, iletişim bilgisi, finansal bilgiler, telefon aramalarında
alınan ses kayıtları, İş Ortağı/Çözüm
Ortağı/Danışman çalışanı verileri |
10 yıl süre ile saklanır. |
Çalışan Adayı
|
Çalışan Adayına ait özgeçmiş ve işe başvuru formunda yer alan bilgiler
|
En fazla 3 yıl saklanır.
|
Stajyer(öğrenci) |
Stajyer’e ait staj dosyasında yer alan bilgiler |
Stajın sona ermesinden itibaren 10 yıl, hukuki bir süreç
işliyorsa süreç sona erene
kadar muhafaza edilir |
Ürün ve Hizmet Alıcısı
(Hasta)
|
Ad, soyad, T.C. kimlik numarası, TC vatandaşı olmayanların pasaport numarası veya geçici T.C. kimlik numarası, doğum
yeri, doğum tarihi, medeni
hal,
cinsiyet, anne baba adı, nüfus cüzdanı seri no, sıra no,
aile sıra no vb. gibi kimlik
verileri, telefon numarası,
adres gibi iletişim verileri,
kan grubu gibi sağlık
verileri, avuç içi gibi
biyometrik verileri, sigorta
|
Özel Hastaneler Yönetmeliği gereği en az 20 yıl süre
ile saklanır. Hukuki bir
süreç işliyorsa süreç sona
erene kadar muhafaza
edilir.
|
|
bilgisi gibi müşteri işlem bilgileri, sağlık
verileri
|
|
Müşteri/Hasta/Ziyaretçi/Çalışa n vs. |
Kamera görüntüleri |
3 ay süre ile muhafaza edilir. |
Şirketin İşbirliği İçinde Olduğu Kurum/Firmalar (Tedarikçi, Hizmet Alımı
vs.)
|
Şirketin İşbirliği İçinde Olduğu Kurum/Firmalar ile
Şirket
arasındaki ticari ilişkinin yürütümüne dair kimlik
bilgisi, iletişim bilgisi,
finansal bilgiler, Şirketin
İşbirliği
İçinde Olduğu Kurum/Firma çalışanı verileri
|
Sözleşmenin sona ermesinden itibaren 10 yıl süre ile
saklanır.
Hukuki bir süreç işliyorsa süreç sona erene kadar muhafaza edilir.
|
NOT: Kanun ve diğer mevzuat uyarınca daha uzun bir süre düzenlenmiş olması ya da mevzuat uyarınca zamanaşımı, hak düşürücü süre, saklama
süreleri vb. için daha uzun bir süre öngörülmüş
olması halinde, mevzuat hükümlerindeki süreler azami saklama süresi olarak kabul edilir.
İmha Süreleri
Prof. Dr. Emel Kurtoğlu Özdeş Kliniği Kanun,
ilgili diğer mevzuat, Kişisel Verilerin İşlenmesi
ve Korunması Politikası ve bu Kişisel Verileri Saklama ve İmha Politikası uyarınca
sorumlu olduğu kişisel verileri silme, yok etme
veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde, kişisel verileri
siler, yok eder veya anonim hale getirir.
İlgili kişi, Kanunun
11. ve 13.
maddesine istinaden Prof. Dr. Emel Kurtoğlu Özdeş Kliniği
başvurarak kendisine ait kişisel verilerin silinmesini veya yok edilmesini talep ettiğinde;
Kişisel verileri işleme
şartlarının tamamı ortadan
kalkmışsa; Prof. Dr. Emel Kurtoğlu Özdeş Kliniği
talebe konu kişisel
verileri talebi aldığı
günden itibaren 30
(otuz) gün içinde
gerekçesini açıklayarak uygun imha yöntemi ile siler, yok eder veya anonim hale getirir.
Prof. Dr. Emel Kurtoğlu Özdeş Kliniği talebi
almış sayılması için ilgili kişinin talebini Kişisel Verilerin İşlenmesi ve Korunması Politikasına uygun olarak
yapmış olması gerekir. Prof. Dr. Emel Kurtoğlu Özdeş
Kliniği, her halde yapılan işlemle ilgili ilgili kişiye bilgi verir.
Kişisel verileri işleme şartlarının tamamı ortadan kalkmamışsa, bu talep Prof. Dr. Emel Kurtoğlu Özdeş Kliniği
tarafından Kanunun 13. maddesinin üçüncü fıkrası uyarınca gerekçesi açıklanarak ret edilebilir ve ret cevabı ilgili kişiye en geç 30
(otuz) gün içinde yazılı olarak ya da uygun
yöntemlerle bildirilir.
PERİYODİK İMHA
Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması
durumunda; Prof. Dr. Emel Kurtoğlu Özdeş
Kliniği işleme şartları ortadan kalkmış olan kişisel verileri bu Kişisel
Verileri Saklama ve
İmha Politikasında belirtilen
ve tekrar eden
aralıklarla re’sen gerçekleştirilecek bir işlemle siler, yok eder veya
anonim hale getirir. Yönetmeliğin 11 inci maddesi
gereğince Prof. Dr. Emel Kurtoğlu Özdeş Kliniği
periyodik imha süresini
6 ay
olarak belirlemiştir. Buna göre Prof. Dr. Emel Kurtoğlu Özdeş Kliniği’nde her
yıl Haziran ve Aralık aylarında periyodik imha
işlemleri yapılacaktır.
İMHA İŞLEMİNİN HUKUKA UYGUNLUĞUNUN DENETİMİ
Prof. Dr. Emel Kurtoğlu Özdeş Kliniği gerek
talep üzerine gerekse periyodik imha süreçlerinde
re’sen gerçekleştirdiği imha
işlemlerini Kanuna, sair
mevzuata, Kişisel Verilerin
İşlenmesi ve Korunması Politikasına ve bu Kişisel Veri Saklama
ve İmha Politikasına uygun olarak yapar.
Prof. Dr. Emel Kurtoğlu Özdeş Kliniği imha
işlemlerinin bu düzenlemelere
uygun olarak yapıldığını temin etmek amacıyla bir takım idari ve
teknik tedbirler almaktadır.
Teknik Tedbirler
Prof. Dr. Emel Kurtoğlu Özdeş Kliniği;
•
Bu politikada yer alan her bir imha yöntemine
uygun teknik araç ve ekipman bulundurur.
•
İmha işlemlerinin yapıldığı yerin güvenliğini
sağlar.
•
İmha işlemini yapan kişilerin erişim
kayıtlarını tutar.
•
İmha
işlemini yapacak yetkin
ve tecrübeli elemanlar
istihdam eder veya
gerektiğinde yetkin üçüncü kişilerden hizmet alır.
İdari Tedbirler
Prof. Dr. Emel Kurtoğlu Özdeş
Kliniği
•
İmha işlemini yapacak çalışanlarının bilgi
güvenliği, kişisel veriler ve özel hayatın gizliliği
konularında farkındalıklarının artırılması ve bilinçlendirilmesi için çalışmalar
yapar.
•
Bilgi güvenliği, özel hayatın gizliliği,
kişisel verilerin korunması ve güvenli imha teknikleri
alanındaki gelişmeleri takip etmek ve gerekli aksiyonları almak üzere hukuki ve
teknik danışmanlık hizmeti alır.
•
Teknik
ya da hukuki
gereklilikler nedeniyle imha
işlemini üçüncü kişilere
yaptırdığı durumlarda ilgili üçüncü
kişilerle kişisel verilerin korunması amacıyla protokoller imzalar, ilgili üçüncü kişilerin bu protokollerdeki
yükümlülüklerine uyması için gerekli tüm özeni
gösterir.
•
İmha işlemlerinin hukuka ve işbu Kişisel Veri
Saklama ve İmha Politikasında belirtilen şart
ve yükümlülüklere uygun
olarak yapılıp yapılmadığını düzenli
olarak denetler, gereken
aksiyonları alır.
•
Kişisel verilerin silinmesi, yok edilmesi ve
anonim hale getirilmesiyle ilgili yapılan bütün
işlemleri kayıt altına alır ve söz konusu kayıtları, diğer hukuki yükümlülükler hariç
olmak üzere süresiz saklar.
4.
BÖLÜM: SORUMLULUKLAR VE GÖREV DAĞILIMI
Prof. Dr. Emel Kurtoğlu Özdeş Kliniği tüm
birimleri ve çalışanları, sorumlu birimlerce Politika
kapsamında alınmakta olan teknik ve idari tedbirlerin gereği gibi uygulanması, birim
çalışanlarının eğitimi ve farkındalığının
arttırılması, izlenmesi ve sürekli denetimi ile kişisel verilerin hukuka aykırı olarak işlenmesinin önlenmesi, kişisel
verilere hukuka aykırı olarak erişilmesinin önlenmesi
ve kişisel verilerin
hukuka uygun saklanmasının
sağlanması amacıyla kişisel
veri işlenen tüm
ortamlarda veri güvenliğini sağlamaya yönelik teknik ve idari tedbirlerin alınması
konularında sorumlu birimlere aktif olarak destek
verir.
Bu bağlamda görevli
Prof. Dr. Emel Kurtoğlu Özdeş Kliniği
çalışanlarının unvanları ve görev
tanımları aşağıda belirtilmiştir:
Unvan |
Görev Tanımı |
Mesul
Müdür(Doktor)
|
Kanuna uyumluluk sürecinde yürütülen projelerde her
türlü planlama, analiz, araştırma,
risk belirleme çalışmalarını
yapmak/yaptırmak/yönlendirmek; Kanun, Kişisel Verilerin
İşlenmesi ve Korunması Politikası ve Kişisel Veri
Saklama ve İmha Politikası uyarınca
yürütülmesi gereken süreçleri yönetmek ve ilgili kişilerce gelen talepleri karara
bağlamakla yükümlüdür.
|
Personel |
İlgili kişilerin taleplerinin incelenmesi ve
değerlendirilmek üzere Veri
Sorumlusu doktora raporlanmasından; Doktor tarafından değerlendirilen ve karara bağlanan
ilgili kişi taleplerine ilişkin
işlemlerin Doktor kararı uyarınca yerine
getirilmesinden; saklama ve imha
süreçlerinin denetiminin yapılmasından ve bu denetimlerin
Doktora raporlanmasından; saklama ve imha
süreçlerinin yürütülmesinden
sorumludur. |
5.
BÖLÜM: GÜNCELLEME VE UYUM
Prof. Dr. Emel Kurtoğlu Özdeş Kliniği, Kanunda
yapılan değişiklikler nedeniyle,
Kurum kararları uyarınca
veya sektöründeki veya
bilişim alanındaki gelişmeler
doğrultusunda Kişisel Verilerin İşlenmesi ve Korunması Politikasında veya bu
Kişisel Veri Saklama ve İmha Politikasında değişiklik
yapma hakkını saklı tutar.
Bu Kişisel
Veri Saklama ve
İmha Politikasında yapılan
değişiklikler derhal metne
işlenir ve
değişiklikler yayınlandığı tarihte yürürlüğe girer. Bu Politika ıslak imzalı şekilde 2 nüsha
olarak Prof. Dr. Emel Kurtoğlu Özdeş Kliniği
arşivlerinde saklanır. Politikanın
değiştirilmesi durumunda yeni politika imza
edilmesiyle birlikte yürürlüğe girmiş kabul edilir. Politika’nın ıslak imzalı eski
nüshaları Prof. Dr. Emel Kurtoğlu Özdeş
Kliniği arşivlerinde en az 5 yıl süreyle
saklanır.
Bu web sitesi, web sitemizin kalitesini artırmak için istatistikler oluşturmak amacıyla veri toplamak için
tanımlama bilgileri kullanır.
Aşağıdaki butonlara tıklayarak veya Çerez
Politikası sayfasını ziyaret ederek
çerezlerimizi kabul edebilir veya reddedebilirsiniz. Herhangi bir seçim yapılmaması durumunda varsayılan "izin
yok" seçeneği geçerlidir ve reddetme kullanıcı deneyiminizi sınırlamaz.