Kişisel Verilerin Korunması Ve İşlenmesi Politikası

1. GİRİŞ

Veri sorumlusu olarak Tuna Mah 1717sokak No:110/3 Karşıyaka/ İzmir adresinde mukim Dr.Deniz Şen Kliniği için çalışanları ve ilişki içinde olduğu diğer gerçek kişilere ait kişisel verilerin korunması büyük önem arz etmektedir. Kişisel verilerin işlenmesi ve korunması süreçleri için işbu Politika ve Klinik  bünyesindeki diğer yazılı politikalar ile yönetilen süreç ve hedeflenen gaye; çalışanlarımızın, çalışan adaylarımızın, stajyerlerimizin, ziyaretçilerimizin, iş birliği içinde olduğumuz kurum çalışanlarının ve üçüncü kişilerin kişisel verilerinin hukuka uygun biçimde işlenmesi ve korunmasıdır.

Bu kapsamda, 6698 sayılı Kanun ve ilgili mevzuat gereğince kişisel verilerin işlenmesi ve korunması için Klinik tarafından gereken idari ve teknik tedbirler alınmaktadır.

Bu politika kapsamında kişisel verisi işlenen gerçek kişiler, İlgili Kişi olarak ifade edilmiştir.

Bu Politika’ da kişisel verilerin işlenmesi süreçleri için KVKK md. 4’te de yer aldığı üzere Kliniğin benimsediği, aşağıda belirtilen temel prensipler açıklanacaktır:

2. POLİTİKA’NIN AMACI

Bu Politika’ nın temel amacı, Klinik tarafından hukuka uygun bir biçimde yürütülen kişisel veri işleme faaliyeti ve kişisel verilerin korunmasına yönelik benimsenen sistemler konusunda açıklamalarda bulunmak, bu kapsamda çalışanlarımızı, çalışan adaylarımızı, hissedar/ortak, potansiyel ürün veya hizmet alıcısı, stajyer, tedarikçi çalışanı, tedarikçi yetkilisi,  ürün veya hizmet alan kişi, veli / vasi / temsilci, ziyaretçi ve iş birliği içinde olduğumuz diğer kişileri bilgilendirerek şeffaflık sağlamaktır.

3. POLİTİKA’NIN KAPSAMI

Bu Politika; müşterilerimizin, çalışanlarımızın, çalışanlarımızı, çalışan adaylarımızı, stajyerlerimizi, ziyaretçilerimizi ve iş birliği içinde olduğumuz kurumların hissedar ve çalışanlarını ve üçüncü kişilerin otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen tüm kişisel verilerine ilişkindir.

İLGİLİ KİŞİ KATEGORİLERİ

AÇIKLAMA

Hissedar/Ortak

Klinik’in Paydaşı gerçek kişilerdir.

Potansiyel Ürün veya Hizmet Alıcısı / Yetkilisi

Klinik’in iş ilişkisi içerisinde bulunma potansiyeli taşıdığı gerçek ve tüzel kişilerin paydaşları ve yetkilileri dâhil olmak üzere tüm gerçek kişilerdir

Potansiyel Ürün veya Hizmet Alıcısı Çalışanı

Klinik’in iş ilişkisi içerisinde bulunma potansiyeli taşıdığı gerçek ve tüzel kişiler bünyesinde çalışan gerçek kişilerdir.

Ürün veya Hizmet Alıcısı / Yetkilisi

Klinik’in her türlü iş ilişkisi içerisinde bulunduğu gerçek ve tüzel kişilerin paydaşları ve yetkilileri dâhil olmak üzere tüm gerçek kişilerdir

Ürün veya Hizmet Alıcısı Çalışanı

Klinik’in her türlü iş ilişkisi içerisinde bulunduğu gerçek ve tüzel kişiler bünyesinde çalışan gerçek kişilerdir.

Tedarikçi Yetkilisi

Klinik’in ticari faaliyetlerini yürütürken, Şirket  emir ve talimatlarına uygun olarak, sözleşme temelli olarak, Klinik’e hizmet sunan taraflar. Klinik’in tedarik hizmetini gören gerçek ve tüzel kişiler, bunların paydaşları ve yetkilileri gerçek kişilerdir.

Tedarikçi Çalışanı

Klinik’in tedarik hizmetini gören gerçek ve tüzel kişiler bünyesinde çalışan gerçek kişilerdir.

Çalışan/Stajyer

Klinikte iş sözleşmesi ile hizmet ifa eden gerçek kişilerdir.

Çalışan Adayı

Klinik’e herhangi bir yolla iş başvurusunda bulunmuş ya da özgeçmiş ve ilgili bilgilerini Şirket’in incelemesine açmış olan gerçek kişilerdir.

Ziyaretçi

Klinik’in sahip olduğu fiziksel yerleşkelere çeşitli amaçlarla giren veya internet sitelerini herhangi bir amaç ile ziyaret eden tüm gerçek kişilerdir.

Üçüncü Kişi

Yukarıda yer verilen İlgili Kişi kategorileri ile Klinik çalışanları hariç gerçek kişilerdir.

Veli/ Vasi

Klinik’in her türlü iş ilişkisinde bulunduğu gerçek ve tüzel kişilerin velisi yahut vasisi konumunda bulunan gerçek kişilerdir.

KlinikYetkilisi

Opr Dr Tahir Şen

İşbu Politika’da yer verilen kavramlar aşağıda belirtilen anlamları ifade eder:

TERİM

TANIM

Alıcı Grubu

Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisi

Açık Rıza

Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza

Anonim hâle getirme

Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesi

Aydınlatma

 Veri sorumlusu ve varsa temsilcisinin kimliği, kişisel verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi ile ilgili kişinin diğer haklarının neler olduğu konusunda kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi tarafından ilgili kişiye yapılan bilgilendirme

Aydınlatma Yükümlülüğü

Kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi, ilgili kişilere;

·         Veri sorumlusunun ve varsa temsilcisinin kimliği,

·         Kişisel verilerin hangi amaçla işleneceği,

·         İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,

·         Kişisel veri toplamanın yöntemi ve hukuki sebebi,

·         Kanun’un 11 inci maddesinde sayılan diğer hakları,

konusunda bilgi verme yükümlülüğü

EBYS

Elektronik Belge Yönetim Sistemi

Elektronik Ortam

Kişisel verilerin elektronik aygıtlar ile oluşturulabildiği, okunabildiği, değiştirilebildiği ve yazılabildiği ortamlar

Elektronik Olmayan Ortam

Elektronik ortamların dışında kalan tüm yazılı, basılı, görsel vb. diğer ortamlar

Hizmet Sağlayıcı

ŞİRKET ile belirli bir sözleşme çerçevesinde hizmet sağlayan gerçek veya tüzel kişi

İlgili Kişi

Kişisel verisi işlenen gerçek kişi

İlgili Kullanıcı

Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen gerçek veya tüzel kişi

İmha

Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi

İrtibat Kişisi

Türkiye’de yerleşik olan gerçek ve tüzel kişiler için veri sorumlusu tarafından, Türkiye’de yerleşik olmayan gerçek ve tüzel kişiler için de veri sorumlusu temsilcisi tarafından, Kanun ve bu Kanuna dayalı olarak çıkarılacak ikincil düzenlemeler kapsamındaki yükümlülükleriyle ilgili olarak, Kurum ile iletişimi sağlamak amacıyla Sicile kayıt esnasında bildirilen gerçek kişi

Kanun

6698 sayılı Kişisel Verilerin Korunması Kanunu

Kayıt Ortamı

Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam

Kişisel Veri

Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi

Kişisel Veri İşleme Envanteri

Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel veri işleme faaliyetlerini; kişisel veri işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanteri

Kişisel Verilerin İşlenmesi

Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, saklanması, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem

Kurul

Kişisel Verileri Koruma Kurulu

Kurum

Kişisel Verileri Koruma Kurumu

KVKK

6698 sayılı Kişisel Verilerin Korunması Kanunu

KVK Komitesi

Klinik Kişisel Verileri Koruma Komitesi

Özel Nitelikli Kişisel Veri

Kişilerin, ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri

Periyodik İmha

Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla re’sen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi

Politikalar

Klinik Kişisel Verileri Saklama ve İmha Politikası, Klinik Kişisel Verilerin Korunması ve İşlenmesi Politikası ve Özel Nitelikli Kişisel Verilerin Korunması ve İşlenmesi Politikası

KLİNİK

Dr. Deniz Şen Kliniği

Veri İşleyen

Veri sorumlusunun verdiği yetkiye dayanarak veri sorumlusu adına kişisel verileri işleyen gerçek veya tüzel kişi

Veri kayıt sistemi

Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini

Veri Sorumlusu

Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu gerçek veya tüzel kişi

Veri Sorumluları Sicil Bilgi Sistemi

Veri sorumlularının Sicile başvuruda ve Sicile ilişkin ilgili diğer işlemlerde kullanacakları, internet üzerinden erişilebilen, Başkanlık tarafından oluşturulan ve yönetilen bilişim sistemi

VERBİS

Veri Sorumluları Sicil Bilgi Sistemi

YÖNETMELİK

28 Ekim 2017 tarihli Resmi Gazetede yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik

4. İLGİLİ KİŞİLERİN AYDINLATILMASI VE BİLGİLENDİRİLMESİ

Klinik; KVKK’ nun 10. maddesine uygun olarak, kişisel verilerin elde edilmesi sırasında kişisel veri sahiplerini aydınlatmaktadır. Bu kapsamda Klinik, veri sorumlusunun kimliği, varsa temsilcisinin kimliği, kişisel verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplama yöntemi ve hukuki sebebi ile ilgili kişinin sahip olduğu haklar konusunda ilgili kişinin niteliğine ve veri işleme sürecine göre aydınlatma yapmaktadır. Bu kapsamda Klinik yerleşkesinde ziyaretçilerin görebilecekleri alanlara Aydınlatma Metinleri yerleştirilmiştir. Klinik web sitesinde bu Politika ile birlikte aydınlatma metinleri ve başvuru formu da yayınlanmıştır.

5. KİŞİSEL VERİLERİN KORUNMASINA İLİŞKİN HUSUSLAR

Klinik  nezdinde,  meşru ve hukuka uygun kişisel veri işleme amaçları doğrultusunda, KVKK’nun 5. maddesinde belirtilen kişisel veri işleme şartlarından bir veya birkaçına dayalı ve bunlarla sınırlı olarak, başta kişisel verilerin işlenmesine ilişkin 4. maddede belirtilen ilkeler olmak üzere, KVKK’nda belirtilen genel ilkelere ve KVKK’nda düzenlenen tüm yükümlülüklere uyularak ve işbu Politika kapsamındaki ilgili kişilerle sınırlı olarak aşağıda belirtilen kategorilerdeki kişisel veriler, ilgili kişiler bilgilendirilmek suretiyle işlenmektedir.

Klinik, Kişisel Verileri Koruma Kurumu tarafından çıkarılan Veri Sorumluları Sicili Yönetmeliği uyarınca kişisel veri envanteri oluşturmuştur. Bu veri envanterinde veri kategorileri, verinin kaynağı, veri işleme amaçları, veri işleme süreci, verilerin aktarıldığı alıcı grupları ve saklama süreleri yer almaktadır. Bu kapsamda Şirketimiz kişisel veri envanteri içerisinde aşağıda sayılanlarla sınırlı olmamak kaydıyla belirtilen veri kategorileri bulunmaktadır.

KİŞİSEL VERİ KATEGORİZASYONU

KİŞİSEL VERİ KATEGORİZASYONU AÇIKLAMASI

Kimlik

ad soyad, anne - baba adı, anne kızlık soyadı, doğum tarihi, doğum yeri, medeni hali, nüfus cüzdanı seri sıra no, tc kimlik no gibi

İletişim

adres no, e-posta adresi, iletişim adresi, kayıtlı elektronik posta adresi (KEP), telefon no gibi

Lokasyon

bulunduğu yerin konum bilgileri

Özlük

bordro bilgileri, disiplin soruşturması, işe giriş-çıkış belgesi kayıtları, mal bildirimi bilgileri, özgeçmiş bilgileri, performans değerlendirme raporları gibi

Hukuki İşlem

adli makamlarla yazışmalardaki bilgiler, dava dosyasındaki bilgiler gibi

Müşteri İşlem

çağrı merkezi kayıtları, fatura, senet, çek bilgileri, gişe dekontlarındaki bilgiler, sipariş bilgisi, talep bilgisi gibi

Fiziksel Mekan Güvenliği 

çalışan giriş çıkış kayıt bilgileri, kamera kayıtları gibi

İşlem Güvenliği 

IP adresi bilgileri, internet sitesi giriş çıkış bilgileri, şifre ve parola bilgileri gibi

Risk Yönetimi

ticari, teknik, idari risklerin yönetilmesi için işlenen bilgiler gibi

Finans

bilanço bilgileri, finansal performans bilgileri, kredi ve risk bilgileri, malvarlığı bilgileri, banka bilgileri

Mesleki Deneyim

diploma bilgileri, gidilen kurslar, meslek içi eğitim bilgileri, sertifikalar, transkript bilgileri gibi

Görsel ve İşitsel Kayıtlar

görsel ve işitsel kayıtlar

Kılık ve Kıyafet

kılık ve kıyafete ilişkin bilgiler

Sağlık Bilgileri

Sakatlık Durumu/Tanımı/Yüzdesi, Sakatlık İndiriminden Faydalanıyorsa Gelir İdaresi Başkanlığından Alınan İndirim Yazısı, Sakatlık Durumu/Tanımı/Yüzdesi, Sakatlık İndiriminden Faydalanıyorsa Gelir İdaresi Başkanlığından Alınan İndirim Yazısı,  Kan Grubu, Sağlık Raporları, İşbaşı Sağlık Raporu, Akciğer Filmi, Odyo Testi, Solunum Fonksiyon Testi, Boğaz Kültürü, Yemekhane çalışanı iseniz Gayta Testi Kan Grubu, Hekiminin İmzalattığı İşe Giriş Ve Periyodik Muayene Formları, Hamilelik Durumu, Hamilelik Raporu, Sağlık Ve Doğum İzni Bilgileri, İş Kazası Raporları ve Belgeleri

Biyometrik Veri

Parmak izi, Yüz Okuma

Diğer

Askerlik Durumu Bilgisi, Eş ve Çocuk Bilgisi, Araç Plaka Kaydı

Pazarlama

alışveriş geçmişi bilgileri, anket, çerez kayıtları, kampanya çalışmasıyla elde edilen bilgiler

Klinik veri işleme faaliyetleri kapsamında ve Klinik içinde kullanılan veri türlerini esas alarak oluşturduğu Klinik Kişisel Veri Envanteri’nde; yukarıda gösterilen tabloda gösterilmiştir.

Ayrıca  HTR-IS01-BGYS Varlık Yönetimi Standardı, HTR-IS19- Şirketimiz Veri Saklama ve İmha Standardı ve HTR-IS20-Şirketimiz Veri Sınıflandırması ve Koruması Standardı doğrultusunda veri sınıflandırmalarını tamamlamış ve IS07-F-16-Veri Süre Cetvelinde saklama sürelerini, gerekçeleriyle tespit etmiştir

6. KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN HUSUSLAR

6.1. Kişisel Veri Toplama Yöntemi ve Hukuki Sebebi Klinik ile İlgili Kişi arasındaki ticari, hukuki, sözleşmesel veya bir başka surette kurulan ilişki kapsamında; aşağıda detaylı olarak belirtilen amaçlar çerçevesinde ve 6698 sayılı Kanun’un 5. Maddesinin 2. Fıkrası ve devamındaki hukuka uygunluk sebeplerine istinaden veya böyle bir sebep bulunmaması halinde açık rızaya istinaden; Kişisel Veriler, Klinik tarafından doğrudan ilgili kişiden elektronik veya fiziksel ortamlarda toplanmakta ve işlenebilmektedir. Bu hususta gerekli detaylar her bir İlgili Kişi için ayrıca hazırlanmış olan aydınlatma metinlerinde belirtilmiş ve İlgili Kişilere fiziki ve elektronik ortamlarda sunulmuştur (Tedarikçi aydınlatma metni, Müşteri Aydınlatma Metni, Çalışan / Stajyer/ Çalışan Adayı aydınlatma metni, Ziyaretçi Aydınlatma metni vb). veri işlemenin hukuki dayanağı olarak aşağıdaki hususlardan en az biri kabul edilmektedir.

İlgili kişinin açık rıza vermesi, kişisel verilerin hukuka uygun olarak işlenmesini mümkün kılan hukuki dayanaklardan yalnızca biridir. Açık rıza dışında, kanunda belirtilen şartlardan birinin varlığı durumunda da kişisel veriler işlenebilir. Kişisel veri işleme faaliyetinin dayanağı aşağıda belirtilen şartlardan yalnızca biri olabildiği gibi bu şartlardan birden fazlası da aynı kişisel veri işleme faaliyetinin dayanağı olabilir.

İşlenme Şartları

Kapsamı

Örnek

Kanun Hükmü

Vergi Mevzuatı, İş Mevzuatı, Ticaret Mevzuatı vb.

Çalışana ait özlük bilgilerinin mevzuat gereği tutulması gerekir.

Sözleşmenin İfası

İş Akdi, Satış Sözleşmesi, Taşıma Sözleşmesi, Eser Sözleşmesi vb.

Teslimat yapılması için şirketin adres bilgilerinin kaydedilmesi.

Fiili İmkânsızlık

Fiili imkânsızlık nedeniyle rıza veremeyecek olan ya da ayırt etme gücü olmayan kişi.

Bilinci kapalı kişinin iletişim veya adres bilgisi. Kaçırılan bir kişinin konum bilgisi.

Veri Sorumlusunun Hukuki Sorumluluğu

Mali Denetimler, Güvenlik Mevzuatı, Sektör Odaklı Regülâsyonlarla Uyum.

Bankacılık, Enerji, Sermaye Piyasaları gibi alanlara özel denetimlerde bilgi paylaşımı yapılması.

Aleniyet Kazandırma

İlgili kişinin kendisine ait bilgileri umumun bilgisine sunması.

Kişinin, acil durumlarda ulaşılması için iletişim bilgisini ilan etmesi.

Hakkın Tesisi, Korunması, Kullanılması

Dava açılması, tescil işlemleri, her türlü tapu işlemi vb. işlerde kullanılması zorunlu veriler.

İşten ayrılan bir çalışana ait gerekli bilgilerin dava zaman aşımı boyunca saklanması.

Meşru Menfaat

İlgili Kişinin temel haklarına zarar gelmemek kaydıyla, veri sorumlusunun meşru menfaati için zorunlu olması halinde veri işlenebilir.

Çalışan bağlılığını artıran ödül ve primler uygulanması amacıyla veri işlenmesi.

Klinik, Anayasa’nın 20. maddesine ve KVKK’nun 4. Maddesine uygun olarak, kişisel verilerin işlenmesi konusunda; hukuka ve dürüstlük kurallarına uygun, doğru ve gerektiğinde güncel, belirli, açık ve meşru amaçlar güderek, amaçla bağlantılı, sınırlı ve ölçülü bir biçimde kişisel veri işleme faaliyetinde bulunmaktadır. Şirketimiz, kanunlarda öngörülen veya kişisel veri işleme amacının gerektirdiği süre kadar kişisel verileri muhafaza etmektedir.

6.2. Kişisel Veri İşleme Kriterleri

Klinik, KVKK’nun 10. Maddesine uygun olarak ilgili kişileri aydınlatmakta ve rıza alınması gereken durumlarda veri ilgililerinden rızalarını talep etmekte, bu kişisel verileri aşağıda belirtilen kriterleri esas alarak işlemektedir.

a. Hukuka ve Dürüstlük Kuralına Uygun İşleme

Klinik, kişisel verilerin işlenmesinde hukuksal düzenlemelerle getirilen ilkeler ile genel güven ve dürüstlük kuralına uygun hareket etmektedir. Dürüstlük kuralına uygun olma ilkesi uyarınca Klinik veri işlemedeki hedeflerine ulaşmaya çalışırken, ilgili kişilerin çıkarlarını ve makul beklentilerini dikkate almaktadır.

b. Kişisel Verilerin Doğru ve Gerektiğinde Güncel Olmasını Sağlama

Kişisel verilerin doğru ve güncel bir şekilde tutulması, Klinik açısından ilgili kişinin temel hak ve özgürlüklerinin korunması açısından gereklidir. Kişisel verilerin doğru ve gerektiğinde güncel olmasının sağlanması noktasında Klinik’in aktif özen yükümlülüğü bulunmaktadır. Bu sebeple Klinik tarafından ilgili kişinin bilgilerinin doğru ve güncel olarak tutulması için bütün iletişim kanalları açıktır.

c. Belirli, Açık ve Meşru Amaçlarla İşleme

Klinik, meşru ve hukuka uygun olan kişisel veri işleme amacını açık ve kesin olarak belirlemektedir. Şirketimiz, yürütmekte olduğu ticari faaliyet ile bağlantılı ve bunlar için gerekli olan kadar kişisel veriyi işlemektedir.

ç. İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma

Klinik kişisel verileri, iştigal konusu ile ilgili ve işinin yürütülmesi için gerekli olan amaçlar dahilinde işlemektedir. Bu sebeple Klinik , kişisel verileri belirlenen amaçların gerçekleştirilebilmesine elverişli bir biçimde işlemekte ve amacın gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınmaktadır. Örneğin, sonradan ortaya çıkması muhtemel ihtiyaçların karşılanmasına yönelik kişisel veri işleme faaliyeti yürütülmemektedir.

d. İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç için Gerekli Olan Süre Kadar Muhafaza Etme

Klinik, kişisel verileri ancak ilgili mevzuatta belirtildiği veya işlendikleri amaç için gerekli olan süre kadar muhafaza etmektedir. Bu kapsamda; Klinik öncelikle ilgili mevzuatta kişisel verilerin saklanması için bir süre öngörülüp öngörülmediğini tespit etmekte, bir süre belirlenmişse bu süreye uygun davranmakta, bir süre belirlenmemişse kişisel verileri işlendikleri amaç için gerekli olan ve  şirketler topluluğunun yayınladığı Küresel Saklama Politikasında belirtilen süre kadar saklamaktadır. Klinik kişisel veri envanterindeki saklama sürelerini esas almakta olup, burada belirtilen süreler sonunda Kanun kapsamındaki yükümlülükler çerçevesinde kişisel veriler, verinin niteliğine ve kullanım amacına göre silinmekte, yok edilmekte veya anonimleştirilmektedir.

7. KLİNİK BİNASI GİRİŞLERİ İLE BİNA İÇERİSİNDE YAPILAN KİŞİSEL VERİ İŞLEME FAALİYETLERİ

Klinik tarafından güvenliğin sağlanması amacıyla, Klinik binasında güvenlik kamerasıyla izleme faaliyeti ile misafir giriş çıkışlarının takibine yönelik kişisel veri işleme faaliyetinde bulunulmaktadır.

Güvenlik kameraları kullanılması ve misafir giriş çıkışlarının kayıt altına alınması suretiyle Klinik tarafından kişisel veri işleme faaliyeti yapılmaktadır. Her iki faaliyetin de dayanağı, Kanun’un 5. Maddesinin 2. Fıkrasında belirtilen Meşru Menfaat ilkesidir.

Klinik, güvenlik kamerası ile izleme faaliyeti kapsamında; Kliniğin ve diğer kişilerin güvenliğini sağlamaya ilişkin menfaatlerini korumak gibi amaçlar taşımaktadır. Bu izleme faaliyeti, KVKK ve Özel Güvenlik Hizmetlerine Dair Kanun ve ilgili mevzuata uygun olarak sürdürülmektedir. Bu kapsamda kamera ile izleme yapıldığı bilgisi, tüm çalışan ve ziyaretçilere duyurulmakta ve kişiler aydınlatılmaktadır. Bildirim yazıları izleme yapılan alanların girişlerine asılmaktadır. Klinik tarafından KVKK’nun 12. maddesine uygun olarak, kamera ile izleme faaliyeti sonucunda elde edilen kişisel verilerin güvenliğinin sağlanması için gerekli teknik ve idari tedbirler alınmaktadır.

8.1. Şirketimiz Binasında, Tesis Girişlerinde ve İçerisinde Yürütülen Misafir Giriş Çıkışlarının Takibi

Klinik  tarafından fiziksel mekân güvenliğinin sağlanması amacı ve bu Politika’ da belirtilen diğer amaçlarla, Şirketimiz binalarında ve tesislerinde misafir giriş çıkışlarının takibine yönelik kişisel veri işleme faaliyetinde bulunulmaktadır. Misafir olarak Şirketimiz binalarına gelen kişilerin adı ve soyadı, iletişim bilgisi elde edilirken ya da Şirketimiz nezdinde asılan ya da diğer şekillerde misafirlerin erişimine sunulan metinler aracılığıyla söz konusu kişisel veri sahipleri bu kapsamda aydınlatılmaktadırlar. Misafir giriş-çıkış takibi yapılması amacıyla elde edilen veriler yalnızca bu amaçla işlenmekte ve ilgili kişisel veriler fiziki ortamda veri kayıt sistemine kaydedilmektedir.

8.2. Klinik Tesislerinde Ziyaretçilere Sağlanan İnternet Erişimlerine İlişkin Kayıtların Saklanması

Klinik tarafından güvenliğin sağlanması amacı ve bu Politika’ da belirtilen diğer amaçlarla, bina ve tesisler içerisinde kalınan süre boyunca talep eden ziyaretçilere internet erişimi sağlanabilmektedir. Bu durumda internet erişimlerine ilişkin logo kayıtları 5651 Sayılı Kanun ve bu Kanuna göre düzenlenmiş olan mevzuatın amir hükümlerine göre tutulmakta, bu kayıtlar ancak yetkili kamu kurum ve kuruluşları tarafından talep edilmesi halinde veya Klinik içinde gerçekleştirilecek denetim süreçlerinde ilgili hukuki yükümlülüğü yerine getirmek amacıyla işlenmektedir.

9. KİŞİSEL VERİLERİN İŞLENME AMAÇLARI

KV İŞLEME AMAÇLARI

1. Acil Durum Yönetimi Süreçlerinin Yürütülmesi

2. Bilgi Güvenliği Süreçlerinin Yürütülmesi

3. Çalışan Adayı / Stajyer / Öğrenci Seçme Ve Yerleştirme Süreçlerinin Yürütülmesi

4. Çalışan Adaylarının Başvuru Süreçlerinin Yürütülmesi

5. Çalışan Memnuniyeti Ve Bağlılığı Süreçlerinin Yürütülmesi

6. Çalışanlar İçin İş Akdi Ve Mevzuattan Kaynaklı Yükümlülüklerin Yerine Getirilmesi

7. Çalışanlar İçin Yan Haklar Ve Menfaatleri Süreçlerinin Yürütülmesi

8. Denetim / Etik Faaliyetlerinin Yürütülmesi

9. Eğitim Faaliyetlerinin Yürütülmesi

10. Erişim Yetkilerinin Yürütülmesi

11. Faaliyetlerin Mevzuata Uygun Yürütülmesi

12. Finans Ve Muhasebe İşlerinin Yürütülmesi

13. Firma / Ürün / Hizmetlere Bağlılık Süreçlerinin Yürütülmesi

14. Fiziksel Mekan Güvenliğinin Temini

15. Görevlendirme Süreçlerinin Yürütülmesi

16. Hukuk İşlerinin Takibi Ve Yürütülmesi

17. İç Denetim/ Soruşturma / İstihbarat Faaliyetlerinin Yürütülmesi

18. İletişim Faaliyetlerinin Yürütülmesi

19. İnsan Kaynakları Süreçlerinin Planlanması ve Yürütülmesi

20. İş Faaliyetlerinin Yürütülmesi / Denetimi

21. İş Sağlığı / Güvenliği Faaliyetlerinin Yürütülmesi

22. İş Süreçlerinin İyileştirilmesine Yönelik Önerilerin Alınması Ve Değerlendirilmesi

23. İş Sürekliliğinin Sağlanması Faaliyetlerinin Yürütülmesi

24. Lojistik Faaliyetlerinin Yürütülmesi

25. Mal / Hizmet Satın Alım Süreçlerinin Yürütülmesi

26. Mal / Hizmet Satış Sonrası Destek Hizmetlerinin Yürütülmesi

27. Mal / Hizmet Satış Süreçlerinin Yürütülmesi

28. Mal / Hizmet Üretim Ve Operasyon Süreçlerinin Yürütülmesi

29. Müşteri İlişkileri Yönetimi Süreçlerinin Yürütülmesi

30. Müşteri Memnuniyetine Yönelik Aktivitelerin Yürütülmesi

31. Organizasyon Ve Etkinlik Yönetimi

32. Pazarlama Analiz Çalışmalarının Yürütülmesi

33. Performans Değerlendirme Süreçlerinin Yürütülmesi

34. Reklam / Kampanya / Promosyon Süreçlerinin Yürütülmesi

35. Risk Yönetimi Süreçlerinin Yürütülmesi

36. Saklama Ve Arşiv Faaliyetlerinin Yürütülmesi

37. Sosyal Sorumluluk Ve Sivil Toplum Aktivitelerinin Yürütülmesi

38. Sözleşme Süreçlerinin Yürütülmesi

39. Sponsorluk Faaliyetlerinin Yürütülmesi

40. Stratejik Planlama Faaliyetlerinin Yürütülmesi

41. Talep / Şikayetlerin Takibi

42. Taşınır Mal Ve Kaynakların Güvenliğinin Temini

43. Tedarik Zinciri Yönetimi Süreçlerinin Yürütülmesi

44. Ücret Politikasının Yürütülmesi

45. Ürün / Hizmetlerin Pazarlama Süreçlerinin Yürütülmesi

46. Veri Sorumlusu Operasyonlarının Güvenliğinin Temini

47. Yabancı Personel Çalışma Ve Oturma İzni İşlemleri

48. Yatırım Süreçlerinin Yürütülmesi

49. Yetenek / Kariyer Gelişimi Faaliyetlerinin Yürütülmesi

50. Yetkili Kişi, Kurum Ve Kuruluşlara Bilgi Verilmesi

51. Yönetim Faaliyetlerinin Yürütülmesi52. Ziyaretçi Kayıtlarının Oluşturulması Ve Takibi

10. KİŞİSEL VERİLERİN AKTARILMASI​

Klinik, hukuka uygun olan kişisel veri işleme amaçları doğrultusunda, gerekli güvenlik önlemlerini alarak, kişisel ilgili kişinin kişisel verilerini üçüncü kişilere aktarabilmektedir. Aktarım sebepleri aşağıda açıklanmıştır:

11. KLİNİK TARAFINDAN KİŞİSEL VERİLERİN AKTARILDIĞI ÜÇÜNCÜ KİŞİLER VE AKTARILMA AMAÇLARI

Klinik, KVKK’nun 10. maddesine uygun olarak kişisel verilerin aktarıldığı kişi gruplarını ilgili kişiye bildirmektedir.

Klinik, KVKK’nun 8. ve 9. maddelerine uygun olarak işbu Politika ile yönetilen veri sahiplerinin kişisel verilerini aşağıda sıralanan paydaş kategorilerine aktarılabilir:

VERİ AKTARIMI YAPILABİLECEK KİŞİLER​

TANIMI

VERİ AKTARIM AMACI

İş Ortağı

Klinik’in, ticari faaliyetlerinin yürütülmesi gibi amaçlarla iş ortaklığı kurduğu taraflar

İş ortaklığının kurulma amaçlarının yerine getirilmesini temin etmek amacıyla sınırlı olarak kullanabilir.

Tedarikçi

Klinik’in ticari faaliyetlerinin yürütülmesi kapsamında, Klinik’in emir ve talimatlarına uygun ve sözleşme temelli olarak Klinik’e hizmet sunan taraflar

Klinik’in tedarikçiden dış kaynaklı olarak temin ettiği ve Klinik’in ticari faaliyetlerini yerine getirmek için gerekli hizmetlerin Klinik’e sunulmasını sağlamak amacıyla sınırlı olarak kullanabilir. Banka, Sigorta şirketi, Seyahat Acentası, Etkinlik Ajansı, Servis, Kargo, Eğitim Firmaları gibi

 

 

 

Klinik Yetkilileri

Klinik’in imzaya yetkili gerçek kişileri

Klinik’in ticari faaliyetlerine ilişkin stratejilerin tasarlanması, en üst düzeyde yönetiminin sağlanması ve denetim amaçlarıyla sınırlı olarak kullanılabilir.

Hukuken Yetkili Kamu Kurum ve Kuruluşları

İlgili mevzuat hükümlerine göre Şirket’in bilgi ve belge almaya yetkili kamu kurum ve kuruluşları

İlgili kamu kurum ve kuruluşlarının hukuki yetkisi dahilinde talep ettiği amaçla sınırlı olarak kullanılabilir.

Hukuken Yetkili Özel Hukuk Kişileri

İlgili mevzuat hükümlerine göre Şirket’ten bilgi ve belge almaya yetkili özel hukuk kişileri

İlgili özel hukuk kişilerinin hukuki yetkisi dahilinde talep ettiği amaçla sınırlı olarak kullanılabilir.

12. KİŞİSEL VERİLERİN KORUNMASINA İLİŞKİN HUSUSLAR​

Klinik, KVKK’nun 12. maddesine uygun olarak, işlemekte olduğu kişisel verilerin hukuka aykırı olarak işlenmesini, verilere hukuka aykırı olarak erişilmesini önlemek ve verilerin muhafazasını sağlamak için uygun güvenlik düzeyini sağlamaya yönelik gerekli teknik ve idari tedbirleri almakta, bu kapsamda gerekli denetimleri yapmakta veya yaptırmaktadır.

12.1. Kişisel Verilerin Hukuka Uygun İşlenmesini ve Korunmasını Sağlamak için Alınan Tedbirler

Şirketimiz, kişisel verilerin hukuka uygun işlenmesini ve korunmasını sağlamak için, teknolojik imkânlar ve uygulama maliyetine göre teknik ve idari tedbirler almaktadır.

12.1.1. Teknik Tedbirler

Şirketimiz tarafından kişisel verilerin hukuka uygun işlenmesini sağlamak için alınan başlıca teknik tedbirler aşağıda sıralanmaktadır:

          Elektronik olan veya olmayan ortamlarda saklanan kişisel verilere erişim, erişim prensiplerine göre sınırlandırılmaktadır. 

          Klinik internet sayfasına erişimde güvenli protokol (HTTPS) kullanılarak SHA 256 Bit RSA algoritmasıyla şifrelenmektedir.

          Özel nitelikli kişisel verilerin güvenliğine yönelik ayrı politika belirlenmiştir.

          Özel nitelikli kişisel veri işleme süreçlerinde yer alan çalışanlara yönelik özel nitelikli kişisel veri güvenliği konusunda eğitimler verilmiş, gizlilik sözleşmeleri yapılmış, verilere erişim yetkisine sahip kullanıcıların yetkileri tanımlanmıştır. 

          Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği elektronik ortamlar kriptografik yöntemler kullanılarak muhafaza edilmekte, kriptografik anahtarlar güvenli ortamlarda tutulmakta, tüm işlem kayıtları loglanmakta, ortamların güvenlik güncellemeleri sürekli takip edilmekte, gerekli güvenlik testlerinin düzenli olarak yapılması/yaptırılması, test sonuçlarının kayıt altına alınması,

          Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği fiziksel ortamların yeterli güvenlik önlemleri alınmakta, fiziksel güvenliği sağlanarak yetkisiz giriş çıkışlar engellenmektedir. 

          Özel nitelikli kişisel veriler e-posta yoluyla aktarılması gerekiyorsa şifreli olarak kurumsal e-posta adresiyle veya KEP hesabı kullanılarak aktarılmaktadır. Taşınabilir bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerekiyorsa kriptografik yöntemlerle şifrelenmekte ve kriptografik anahtar farklı ortamda tutulmaktadır. Farklı fiziksel ortamlardaki sunucular arasında aktarma gerçekleştiriliyorsa, sunucular arasında VPN kurularak veya sFTP yöntemiyle veri aktarımı gerçekleştirilmektedir. Kağıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemler alınmakta ve evrak “gizli” formatta gönderilmektedir.

12.1.2. İdari Tedbirler

Klinik tarafından kişisel verilerin hukuka uygun işlenmesi ve korunması için alınan idari tedbirler:

          Sızma (Penetrasyon) testleri ile Klinik bilişim sistemlerine yönelik risk, tehdit, zafiyet ve varsa açıklıklar ortaya çıkarılarak gerekli önlemler alınmaktadır. 

          Bilgi güvenliği olay yönetimi ile gerçek zamanlı yapılan analizler sonucunda bilişim sistemlerinin sürekliliğini etkileyecek riskler ve tehditler sürekli olarak izlenmektedir.

          Bilişim sistemlerine erişim ve kullanıcıların yetkilendirilmesi, erişim ve yetki matrisi ile kurumsal aktif dizin üzerinden güvenlik politikaları aracılığı ile yapılmaktadır. 

          Klinik’in bilişim sistemleri teçhizatı, yazılım ve verilerin fiziksel güvenliği için gerekli önlemler alınmaktadır. 

          Çevresel tehditlere karşı bilişim sistemleri güvenliğinin sağlanması için, donanımsal (sistem odasına sadece yetkili personelin girişini sağlayan erişim kontrol sistemi, 7/24 çalışan izleme sistemi, yerel alan ağını oluşturan kenar anahtarların fiziksel güvenliğinin sağlanması, yangın söndürme sistemi, iklimlendirme sistemi vb.) ve yazılımsal (güvenlik duvarları, atak önleme sistemleri, ağ erişim kontrolü, zararlı yazılımları engelleyen sistemler vb.) önlemler alınmaktadır. 

          Kişisel verilerin hukuka aykırı işlenmesini önlemeye yönelik riskler belirlenmekte, bu risklere uygun teknik tedbirlerin alınması sağlanmakta ve alınan tedbirlere yönelik teknik kontroller yapılmaktadır. 

          Klinik içerisinde erişim prosedürleri oluşturularak kişisel verilere erişim ile ilgili raporlama ve analiz çalışmaları yapılmaktadır. 

          Kişisel verilerin bulunduğu saklama alanlarına erişimler kayıt altına alınarak uygunsuz erişimler veya erişim denemeleri kontrol altında tutulmaktadır. 

          Klinik, silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması için gerekli tedbirleri almaktadır. 

          Kişisel verilerin hukuka aykırı olarak başkaları tarafından elde edilmesi halinde bu durumu ilgili kişiye ve Kurula bildirmek için Klinik tarafından buna uygun bir sistem ve altyapı oluşturulmuştur.

          Güvenlik açıkları takip edilerek uygun güvenlik yamaları yüklenmekte ve bilgi sistemleri güncel halde tutulmaktadır. 

          Kişisel verilerin işlendiği elektronik ortamlarda güçlü parolalar kullanılmaktadır.

          Kişisel verilerin işlendiği elektronik ortamlarda güvenli kayıt tutma (loglama) sistemleri kullanılmaktadır. 

          Kişisel verilerin güvenli olarak saklanmasını sağlayan veri yedekleme programları kullanılmaktadır. 

·         Özel Nitelikli kişisel veriler, Klinik bünyesinde mevcut sağlık ekibine ayrılmış fiziksel alanda saklanmakta ve erişime kapatılmaktadır.

 

Klinik aşağıdaki durumlarda Gizlilik Etki Analizi değerlendirmesi yapmaktadır:

          Kişisel veri içeren yeni projelerde,

          Kişisel veri aktarılan tedarikçi seçiminden önce,

          Pazarlama faaliyetleri kapsamında yapılacak aktiviteler öncesinde,

          Yukarıda belirtilen faaliyetlerdeki herhangi bir değişiklik söz konusu olduğunda,

          Gizlilik Etki Analizi, Klinik KVKK Komitesi onayına tabidir.

12.1.3. Kişisel Verilere Hukuka Aykırı Erişimin Engellenmesi için Alınan Teknik ve İdari Tedbirler

Klinik , kişisel verilerin tedbirsizlikle veya yetkisiz kişiler tarafından açıklanmasını, erişimini, aktarılmasını, Şirketimiz sistemleri nezdinde veri sızıntıları olmasını veya başka şekillerdeki tüm hukuka aykırı erişimi önlemek için; korunacak verinin sınıfı, niteliği, teknolojik imkânlar ve uygulama maliyetine göre teknik ve idari tedbirler almaktadır.

12.2. Kişisel Verilerin Korunması Konusunda Alınan Tedbirlerin Denetimi

Klinik  bünyesinde KVKK Komitesi bulunmaktadır. KVKK Komitesi, veri sorumlusu olan klinik  adına, Kanun’un 12. maddesinden kaynaklanan görevi gereği, kendi kurum veya kuruluşunda Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri bizzat yapmakta ve ihtiyaç halinde yetkin kuruluşlardan destek almak suretiyle yaptırmaktadır. Bu denetim sonuçlarına göre, tespit edilen ihlaller, olumsuzluklar ve uygunsuzluklar gerekli birimlere bildirilmekte ve bu birimler, bu hususlar nezdinde gereken tedbirleri aldırmaktadır. Klinik  tarafından kişisel verilerin saklanması konusunda teknik gereklilikler sebebiyle dışarıdan bir hizmet alınması durumunda, kişisel verilerin hukuka uygun olarak aktarıldığı ilgili firmalar ile kişisel verilerin aktarıldığı kişilerin, kişisel verilerin korunması amacıyla gerekli güvenlik tedbirlerini alacağına ve kendi kuruluşlarında bu tedbirlere uyulmasını sağlayacağına ilişkin hükümler içeren ek sözleşmeler yapılmaktadır.

13. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN KORUNMASI

KVKK ile birtakım kişisel verilere, hukuka aykırı olarak işlendiğinde kişilerin mağduriyetine veya ayrımcılığa sebep olma riski nedeniyle özel önem atfedilmiştir. Bu veriler; ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir.

Klinik tarafından, KVKK ile “özel nitelikli” olarak belirlenen ve hukuka uygun olarak işlenen özel nitelikli kişisel verilerin korunmasında hassasiyetle davranılmaktadır. Bu kapsamda, Şirketimiz tarafından, kişisel verilerin korunması için alınan teknik ve idari tedbirler, özel nitelikli kişisel veriler bakımından özenle uygulanmakta ve Şirketimiz bünyesinde gerekli denetimler sağlanmaktadır.

Bu kapsamda, klinik bünyesinde verilen iş yeri hekimliği hizmeti sebebiyle çalışanların sağlık verileri işlenmekte olup bu özel nitelikli kişisel verilere erişebilen personele gerekli eğitimler verilmekte, bu personelin erişim yetkisi kapsam ve süreleri belirlenmekte ve periyodik olarak denetimler yapılmakta ve gizlilik sözleşmeleri imzalanmaktadır. İlgili personelin işten ayrılması durumunda erişim yetkisi derhal kaldırılmaktadır.

Çalışanların sağlık dosyalarında fiziki olarak saklanan kişisel sağlık verilerinin bulunduğu fiziki dosyalar kilitli ve sadece revir personelinin erişebildiği alanlarda saklanmaktadır. Çalışanların sağlık verilerine revir personeli dışında hiçbir birim erişememektedir.

14. KLİNİK ÇALIŞANLARININ KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ KONUSUNDAKİ EĞİTİMLERİ

Klinik, kişisel verilerin hukuka aykırı olarak işlenmesini, verilere hukuka aykırı olarak erişilmesini önlemeye ve verilerin muhafazasını sağlamaya yönelik farkındalığın artırılması için çalışanlarına, bayi ve yetkili servislerine gerekli eğitimlerin düzenlenmesini sağlamaktadır.

15. İLGİLİ KİŞİLERİN HAKLARI VE TALEPLERİ

Klinik, KVKK’n 13. maddesi gereğince ilgili kişi taleplerine karşı veri sorumlusu olarak, kişisel veri envanterinin eki mahiyetindeki Kişisel Veri Başvuru ve Yanıt Prosedürü ve Kanunda belirtilen başvuru koşullarını taşımayan başvurular için yazılı şablona yönlendirme prosedürleri oluşturulmuştur. Bu prosedürlere uygun olarak gerekli işlemlerin yapılabilmesi adına teknik hazırlıklar yapılmıştır. Klinik  bünyesinde bu prosedürün uygulanmasını sağlayacak sistemsel altyapı mevcuttur.

Kişisel veri sahiplerinin aşağıda sıralanan haklarına ilişkin taleplerini; kimlik ibrazı ile şahsi başvuru ile, yazılı olarak veya kayıtlı elektronik posta (KEP) adresi, güvenli elektronik imza, mobil imza ya da ilgili kişi tarafından Kliniğe daha önce bildirilen ve klinik sisteminde kayıtlı bulunan elektronik posta adresini kullanmak suretiyle veya başvuru amacına yönelik geliştirilmiş bir yazılım ya da uygulama vasıtasıyla kliniğe kimlikleri teyit edilebilir bir biçimde iletmeleri durumunda klinik, talebin niteliğine göre talebi en geç otuz gün içinde ücretsiz olarak cevaplandıracaktır. Bu hususta detaylı açıklama aşağıda, bu Politikanın 16. maddesinde yapılmıştır.

Kişisel veri sahipleri, bu prosedüre uygun olarak yapacakları başvuru ile kendilerine ait kişisel verilerin tüm işlenme süreçleri, amaçları ve aktarım bilgileri de dahil Kanun’un ilgili maddesindeki tüm hakları talep edebileceklerdir.

16. İLGİLİ KİŞİLERİN HAKLARI; BU HAKLARIN KULLANILMASI

Klinik, KVKK’nun 10. maddesine uygun olarak ilgili kişinin haklarını kendisine bildirmekte ve 11. maddede düzenlenen bu hakların nasıl kullanılacağı konusunda ilgili kişiye yol göstermektedir. Klinik, kişisel veri sahiplerinin haklarının değerlendirilmesi ve kişisel veri sahiplerine gereken bilgilendirmenin yapılması için KVKK’nun 13. maddesine uygun olarak gerekli kanalları, iç işleyişi, idari ve teknik düzenlemeleri yürütmektedir.

16.1. İlgili Kişinin Hakları ve Bu Haklarını Kullanması

16.1.1. İlgili Kişinin Hakları

İlgili Kişiler aşağıda yer alan haklara sahiptirler:

a. Kişisel veri işlenip işlenmediğini öğrenme,
b. Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
c. Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
d. Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
e. Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
f. KVKK ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
g. İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkması halinde bu sonuca itiraz etme,
h. Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme.

16.1.2. İlgili Kişinin Haklarını Kullanması

6698 sayılı Kanun’un 11. maddesinde belirtilen haklardan kullanmayı talep ettiğiniz hakkınıza yönelik açıklamalarınızı içeren talebinizi, “Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğe” göre web sitemizde bulunan Başvuru Formunu doldurarak ve formda belirtildiği biçimde direkt elden, KEP, posta veya hali hazırda kayıtlarımızda bulunan e-posta adresiniz vasıtası ile tarafımıza iletmeniz halinde başvurularınız en kısa sürede ve en geç 30 (otuz) gün içerisinde değerlendirilerek sonuçlandırılacaktır.

Başvurularda, ad, soyad ve başvuru yazılı ise imza, Türkiye Cumhuriyeti vatandaşları için TC kimlik numarası, yabancılar için uyruğu, pasaport numarası/kimlik numarası, tebligata esas yerleşim yeri veya işyeri adresi, varsa bildirime esas elektronik posta adresi, telefon veya faks numarası ve talep konusu bulunması zorunludur.

Talebin niteliğine ve yöntemine göre şirket, başvurunun gerçekten size ait olup olmadığını anlayabilmek ve haklarınızı korumak adına ilave teyit talep edebilir.

17. KİŞİSEL VERİLERİN İMHASI (SİLİNMESİ, YOK EDİLMESİ VE ANONİMLEŞTİRİLMESİ) ŞARTLARI

Türk Ceza Kanunu’nun 138. maddesinde, KVKK’nun 7. maddesinde ve Kurul tarafından çıkarılan “Kişisel Verilerin Silinmesi, Yok Edilmesi ve Anonimleştirilmesi Hakkında Yönetmelik” uyarınca, ilgili kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde Klinik’in kendi kararına istinaden veya kişisel İlgili Kişinin talebi üzerine kişisel veriler silinir, yok edilir veya anonim hâle getirilir. Şirketimiz bu konuda yönetmelik hükümlerine göre bir politika oluşturmuş olup, bu politika uyarınca verinin niteliğine göre imha yapmaktadır. Bu yönetmelik uyarınca Klinik tarafından periyodik imha tarihleri belirlenmiş olup, yükümlülüğün başlaması ile beraber çeşitli aralıklarla gerçekleştirilecek periyodik imha için gerekli takvim oluşturulmuştur.

 

18. ŞİRKETİMİZ KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASI’NIN DİĞER POLİTİKALARLA OLAN İLİŞKİSİ

Klinik, iş bu belge ile ortaya koyulan esasları, Şirketimiz bünyesindeki diğer veri varlıklarına ilişkin politikalar ve kişisel verilerin korunması ve işlenmesi konusunda iç kullanıma yönelik alt prosedürleri temel alarak oluşturmuştur.

19. KLİNİK KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ SÜREÇLERİ KOORDİNASYONU

Klinik tarafından KVKK düzenlemelerine uygun hareket edilmesini ve Kişisel Verilerin Korunması ve İşlenmesi Politikası' nın yürürlüğünü sağlamak için yönetim yapısı kurulmuştur.

Bu Komite’nin kişisel verilerin korunması ile ilgili görevleri aşağıda belirtilmektedir:

20. POLİTİKA’NIN YÜRÜRLÜĞÜ ve GÜNCELLENMESİ

Klinik tarafından düzenlenen bu Politika 31/12/2021 tarihinde yürürlüğe konulmuştur.  Bu Politika, Klinik internet sitesinde ………………….. yayımlanır ve ilgili kişilerin erişimine sunulur.