1. GİRİŞ
Veri sorumlusu olarak Tuna Mah 1717sokak No:110/3 Karşıyaka/ İzmir adresinde mukim Dr.Deniz Şen Kliniği için çalışanları ve ilişki içinde olduğu diğer gerçek
kişilere ait kişisel verilerin korunması büyük önem arz etmektedir. Kişisel
verilerin işlenmesi ve korunması süreçleri için işbu Politika ve Klinik bünyesindeki diğer yazılı politikalar ile
yönetilen süreç ve hedeflenen gaye; çalışanlarımızın, çalışan adaylarımızın,
stajyerlerimizin, ziyaretçilerimizin, iş birliği içinde olduğumuz kurum
çalışanlarının ve üçüncü kişilerin kişisel verilerinin hukuka uygun biçimde
işlenmesi ve korunmasıdır.
Bu kapsamda, 6698 sayılı Kanun ve ilgili mevzuat gereğince kişisel
verilerin işlenmesi ve korunması için Klinik tarafından gereken idari ve teknik
tedbirler alınmaktadır.
Bu politika kapsamında kişisel verisi işlenen gerçek kişiler, İlgili Kişi
olarak ifade edilmiştir.
Bu Politika’ da kişisel verilerin işlenmesi süreçleri için KVKK md. 4’te
de yer aldığı üzere Kliniğin benimsediği, aşağıda belirtilen temel prensipler
açıklanacaktır:
2. POLİTİKA’NIN AMACI
Bu Politika’ nın temel amacı, Klinik tarafından hukuka uygun bir biçimde
yürütülen kişisel veri işleme faaliyeti ve kişisel verilerin korunmasına
yönelik benimsenen sistemler konusunda açıklamalarda bulunmak, bu kapsamda
çalışanlarımızı, çalışan adaylarımızı, hissedar/ortak, potansiyel ürün veya
hizmet alıcısı, stajyer, tedarikçi çalışanı, tedarikçi yetkilisi, ürün veya hizmet alan kişi, veli / vasi /
temsilci, ziyaretçi ve iş birliği içinde olduğumuz diğer kişileri
bilgilendirerek şeffaflık sağlamaktır.
3. POLİTİKA’NIN
KAPSAMI
Bu Politika; müşterilerimizin, çalışanlarımızın, çalışanlarımızı, çalışan
adaylarımızı, stajyerlerimizi, ziyaretçilerimizi ve iş birliği içinde olduğumuz
kurumların hissedar ve çalışanlarını ve üçüncü kişilerin otomatik olan ya da
herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan
yollarla işlenen tüm kişisel verilerine ilişkindir.
İLGİLİ KİŞİ KATEGORİLERİ |
AÇIKLAMA |
Hissedar/Ortak |
Klinik’in Paydaşı gerçek
kişilerdir. |
Potansiyel Ürün veya
Hizmet Alıcısı / Yetkilisi |
Klinik’in iş ilişkisi
içerisinde bulunma potansiyeli taşıdığı gerçek ve tüzel kişilerin paydaşları
ve yetkilileri dâhil olmak üzere tüm gerçek kişilerdir |
Potansiyel Ürün veya
Hizmet Alıcısı Çalışanı |
Klinik’in iş ilişkisi
içerisinde bulunma potansiyeli taşıdığı gerçek ve tüzel kişiler bünyesinde
çalışan gerçek kişilerdir. |
Ürün veya Hizmet Alıcısı
/ Yetkilisi |
Klinik’in her türlü iş
ilişkisi içerisinde bulunduğu gerçek ve tüzel kişilerin paydaşları ve
yetkilileri dâhil olmak üzere tüm gerçek kişilerdir |
Ürün veya Hizmet Alıcısı
Çalışanı |
Klinik’in her türlü iş
ilişkisi içerisinde bulunduğu gerçek ve tüzel kişiler bünyesinde çalışan
gerçek kişilerdir. |
Tedarikçi Yetkilisi |
Klinik’in ticari
faaliyetlerini yürütürken, Şirket emir
ve talimatlarına uygun olarak, sözleşme temelli olarak, Klinik’e hizmet sunan
taraflar. Klinik’in tedarik hizmetini gören gerçek ve tüzel kişiler, bunların
paydaşları ve yetkilileri gerçek kişilerdir. |
Tedarikçi Çalışanı |
Klinik’in tedarik
hizmetini gören gerçek ve tüzel kişiler bünyesinde çalışan gerçek kişilerdir. |
Çalışan/Stajyer |
Klinikte iş sözleşmesi ile
hizmet ifa eden gerçek kişilerdir. |
Çalışan Adayı |
Klinik’e herhangi bir
yolla iş başvurusunda bulunmuş ya da özgeçmiş ve ilgili bilgilerini Şirket’in
incelemesine açmış olan gerçek kişilerdir. |
Ziyaretçi |
Klinik’in sahip olduğu
fiziksel yerleşkelere çeşitli amaçlarla giren veya internet sitelerini
herhangi bir amaç ile ziyaret eden tüm gerçek kişilerdir. |
Üçüncü Kişi |
Yukarıda yer verilen
İlgili Kişi kategorileri ile Klinik çalışanları hariç gerçek kişilerdir. |
Veli/ Vasi |
Klinik’in her türlü iş
ilişkisinde bulunduğu gerçek ve tüzel kişilerin velisi yahut vasisi konumunda
bulunan gerçek kişilerdir. |
KlinikYetkilisi |
Opr Dr Tahir Şen |
İşbu Politika’da yer verilen kavramlar aşağıda belirtilen anlamları ifade
eder:
TERİM |
TANIM |
Alıcı
Grubu |
Veri
sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi
kategorisi |
Açık
Rıza |
Belirli bir konuya
ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza |
Anonim
hâle getirme |
Kişisel
verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli
veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle
getirilmesi |
Aydınlatma |
Veri
sorumlusu ve varsa temsilcisinin kimliği, kişisel verilerin hangi amaçla
işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla
aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi ile ilgili
kişinin diğer haklarının neler olduğu konusunda kişisel verilerin elde
edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi tarafından ilgili
kişiye yapılan bilgilendirme |
Aydınlatma Yükümlülüğü |
Kişisel verilerin elde edilmesi sırasında veri
sorumlusu veya yetkilendirdiği kişi, ilgili kişilere; ·
Veri sorumlusunun ve varsa temsilcisinin kimliği, ·
Kişisel verilerin hangi amaçla işleneceği, ·
İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, ·
Kişisel veri toplamanın yöntemi ve hukuki sebebi, ·
Kanun’un 11 inci maddesinde sayılan diğer hakları, konusunda bilgi verme yükümlülüğü |
EBYS |
Elektronik Belge
Yönetim Sistemi |
Elektronik
Ortam |
Kişisel
verilerin elektronik aygıtlar ile oluşturulabildiği, okunabildiği,
değiştirilebildiği ve yazılabildiği ortamlar |
Elektronik
Olmayan Ortam |
Elektronik
ortamların dışında kalan tüm yazılı, basılı, görsel vb. diğer ortamlar |
Hizmet
Sağlayıcı |
ŞİRKET
ile belirli bir sözleşme çerçevesinde hizmet sağlayan gerçek veya tüzel kişi |
İlgili
Kişi |
Kişisel verisi
işlenen gerçek kişi |
İlgili
Kullanıcı |
Verilerin
teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya
da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri
sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen
gerçek veya tüzel kişi |
İmha |
Kişisel
verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi |
İrtibat
Kişisi |
Türkiye’de
yerleşik olan gerçek ve tüzel kişiler için veri sorumlusu tarafından,
Türkiye’de yerleşik olmayan gerçek ve tüzel kişiler için de veri sorumlusu
temsilcisi tarafından, Kanun ve bu Kanuna dayalı olarak çıkarılacak ikincil
düzenlemeler kapsamındaki yükümlülükleriyle ilgili olarak, Kurum ile
iletişimi sağlamak amacıyla Sicile kayıt esnasında bildirilen gerçek kişi |
Kanun |
6698 sayılı
Kişisel Verilerin Korunması Kanunu |
Kayıt
Ortamı |
Tamamen
veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası
olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu
her türlü ortam |
Kişisel
Veri |
Kimliği belirli
veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi |
Kişisel
Veri İşleme Envanteri |
Veri
sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları
kişisel veri işleme faaliyetlerini; kişisel veri işleme amaçları ve hukuki
sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla
ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar
için gerekli olan azami muhafaza edilme süresini, yabancı ülkelere aktarımı
öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri
açıklayarak detaylandırdıkları envanteri |
Kişisel
Verilerin İşlenmesi |
Kişisel verilerin
tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin
parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi,
depolanması, saklanması, değiştirilmesi, yeniden düzenlenmesi, açıklanması,
aktarılması, devralınması, elde edilebilir hale getirilmesi,
sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde
gerçekleştirilen her türlü işlem |
Kurul |
Kişisel
Verileri Koruma Kurulu |
Kurum |
Kişisel Verileri
Koruma Kurumu |
KVKK |
6698
sayılı Kişisel Verilerin Korunması Kanunu |
KVK Komitesi |
Klinik Kişisel Verileri Koruma Komitesi |
Özel
Nitelikli Kişisel Veri |
Kişilerin,
ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya
diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği,
sağlığı, cinsel hayatı, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili
verileri ile biyometrik ve genetik verileri |
Periyodik
İmha |
Kanunda yer alan
kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda
kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden
aralıklarla re’sen gerçekleştirilecek silme, yok etme veya anonim hale
getirme işlemi |
Politikalar |
Klinik
Kişisel Verileri Saklama ve İmha Politikası, Klinik Kişisel Verilerin
Korunması ve İşlenmesi Politikası ve Özel Nitelikli Kişisel Verilerin
Korunması ve İşlenmesi Politikası |
KLİNİK |
Dr. Deniz Şen
Kliniği |
Veri
İşleyen |
Veri
sorumlusunun verdiği yetkiye dayanarak veri sorumlusu adına kişisel verileri
işleyen gerçek veya tüzel kişi |
Veri
kayıt sistemi |
Kişisel verilerin
belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini |
Veri
Sorumlusu |
Kişisel
verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin
kurulmasından ve yönetilmesinden sorumlu gerçek veya tüzel kişi |
Veri
Sorumluları Sicil Bilgi Sistemi |
Veri
sorumlularının Sicile başvuruda ve Sicile ilişkin ilgili diğer işlemlerde
kullanacakları, internet üzerinden erişilebilen, Başkanlık tarafından
oluşturulan ve yönetilen bilişim sistemi |
VERBİS |
Veri
Sorumluları Sicil Bilgi Sistemi |
YÖNETMELİK |
28
Ekim 2017 tarihli Resmi Gazetede yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi
veya Anonim Hale Getirilmesi Hakkında Yönetmelik |
4. İLGİLİ KİŞİLERİN
AYDINLATILMASI VE BİLGİLENDİRİLMESİ
Klinik; KVKK’ nun 10. maddesine uygun olarak, kişisel verilerin elde
edilmesi sırasında kişisel veri sahiplerini aydınlatmaktadır. Bu kapsamda Klinik,
veri sorumlusunun kimliği, varsa temsilcisinin kimliği, kişisel verilerin hangi
amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla
aktarılabileceği, kişisel veri toplama yöntemi ve hukuki sebebi ile ilgili
kişinin sahip olduğu haklar konusunda ilgili kişinin niteliğine ve veri işleme
sürecine göre aydınlatma yapmaktadır. Bu kapsamda Klinik yerleşkesinde
ziyaretçilerin görebilecekleri alanlara Aydınlatma Metinleri yerleştirilmiştir.
Klinik web sitesinde bu Politika ile birlikte aydınlatma metinleri ve başvuru
formu da yayınlanmıştır.
5. KİŞİSEL VERİLERİN
KORUNMASINA İLİŞKİN HUSUSLAR
Klinik nezdinde, meşru ve hukuka uygun kişisel veri işleme
amaçları doğrultusunda, KVKK’nun 5. maddesinde belirtilen kişisel veri işleme
şartlarından bir veya birkaçına dayalı ve bunlarla sınırlı olarak, başta
kişisel verilerin işlenmesine ilişkin 4. maddede belirtilen ilkeler olmak
üzere, KVKK’nda belirtilen genel ilkelere ve KVKK’nda düzenlenen tüm
yükümlülüklere uyularak ve işbu Politika kapsamındaki ilgili kişilerle sınırlı
olarak aşağıda belirtilen kategorilerdeki kişisel veriler, ilgili kişiler
bilgilendirilmek suretiyle işlenmektedir.
Klinik, Kişisel Verileri Koruma Kurumu tarafından çıkarılan Veri
Sorumluları Sicili Yönetmeliği uyarınca kişisel veri envanteri oluşturmuştur.
Bu veri envanterinde veri kategorileri, verinin kaynağı, veri işleme amaçları,
veri işleme süreci, verilerin aktarıldığı alıcı grupları ve saklama süreleri
yer almaktadır. Bu kapsamda Şirketimiz kişisel veri envanteri içerisinde
aşağıda sayılanlarla sınırlı olmamak kaydıyla belirtilen veri kategorileri
bulunmaktadır.
KİŞİSEL VERİ KATEGORİZASYONU |
KİŞİSEL VERİ KATEGORİZASYONU AÇIKLAMASI |
Kimlik |
ad soyad, anne - baba adı, anne kızlık
soyadı, doğum tarihi, doğum yeri, medeni hali, nüfus cüzdanı seri sıra no,
tc kimlik no gibi |
İletişim |
adres no, e-posta adresi, iletişim
adresi, kayıtlı elektronik posta adresi (KEP), telefon no gibi |
Lokasyon |
bulunduğu yerin konum bilgileri |
Özlük |
bordro bilgileri, disiplin soruşturması,
işe giriş-çıkış belgesi kayıtları, mal bildirimi bilgileri, özgeçmiş
bilgileri, performans değerlendirme raporları gibi |
Hukuki İşlem |
adli makamlarla yazışmalardaki bilgiler,
dava dosyasındaki bilgiler gibi |
Müşteri İşlem |
çağrı merkezi kayıtları, fatura, senet,
çek bilgileri, gişe dekontlarındaki bilgiler, sipariş bilgisi, talep bilgisi
gibi |
Fiziksel Mekan Güvenliği |
çalışan giriş çıkış kayıt bilgileri,
kamera kayıtları gibi |
İşlem Güvenliği |
IP adresi bilgileri, internet sitesi
giriş çıkış bilgileri, şifre ve parola bilgileri gibi |
Risk Yönetimi |
ticari, teknik, idari risklerin
yönetilmesi için işlenen bilgiler gibi |
Finans |
bilanço bilgileri, finansal performans
bilgileri, kredi ve risk bilgileri, malvarlığı bilgileri, banka bilgileri |
Mesleki Deneyim |
diploma bilgileri, gidilen kurslar,
meslek içi eğitim bilgileri, sertifikalar, transkript bilgileri gibi |
Görsel ve İşitsel Kayıtlar |
görsel ve işitsel kayıtlar |
Kılık ve Kıyafet |
kılık ve kıyafete ilişkin bilgiler |
Sağlık Bilgileri |
Sakatlık Durumu/Tanımı/Yüzdesi,
Sakatlık İndiriminden Faydalanıyorsa Gelir İdaresi Başkanlığından Alınan
İndirim Yazısı, Sakatlık Durumu/Tanımı/Yüzdesi, Sakatlık İndiriminden
Faydalanıyorsa Gelir İdaresi Başkanlığından Alınan İndirim Yazısı, Kan Grubu, Sağlık Raporları, İşbaşı Sağlık
Raporu, Akciğer Filmi, Odyo Testi, Solunum Fonksiyon Testi, Boğaz Kültürü,
Yemekhane çalışanı iseniz Gayta Testi Kan Grubu, Hekiminin İmzalattığı İşe
Giriş Ve Periyodik Muayene Formları, Hamilelik Durumu, Hamilelik Raporu, Sağlık
Ve Doğum İzni Bilgileri, İş Kazası Raporları ve Belgeleri |
Biyometrik Veri |
Parmak izi, Yüz Okuma |
Diğer |
Askerlik Durumu Bilgisi, Eş ve Çocuk
Bilgisi, Araç Plaka Kaydı |
Pazarlama |
alışveriş geçmişi bilgileri,
anket, çerez kayıtları, kampanya çalışmasıyla elde edilen bilgiler |
Klinik veri işleme faaliyetleri kapsamında ve Klinik içinde kullanılan
veri türlerini esas alarak oluşturduğu Klinik Kişisel Veri Envanteri’nde;
yukarıda gösterilen tabloda gösterilmiştir.
Ayrıca
HTR-IS01-BGYS Varlık Yönetimi Standardı, HTR-IS19- Şirketimiz Veri
Saklama ve İmha Standardı ve HTR-IS20-Şirketimiz Veri Sınıflandırması ve
Koruması Standardı doğrultusunda veri sınıflandırmalarını tamamlamış ve
IS07-F-16-Veri Süre Cetvelinde saklama sürelerini, gerekçeleriyle tespit
etmiştir
6. KİŞİSEL VERİLERİN
İŞLENMESİNE İLİŞKİN HUSUSLAR
6.1. Kişisel Veri
Toplama Yöntemi ve Hukuki Sebebi Klinik
ile İlgili Kişi arasındaki ticari, hukuki, sözleşmesel veya bir başka surette
kurulan ilişki kapsamında; aşağıda detaylı olarak belirtilen amaçlar
çerçevesinde ve 6698 sayılı Kanun’un 5. Maddesinin 2. Fıkrası ve devamındaki
hukuka uygunluk sebeplerine istinaden veya böyle bir sebep bulunmaması halinde
açık rızaya istinaden; Kişisel Veriler, Klinik tarafından doğrudan ilgili
kişiden elektronik veya fiziksel ortamlarda toplanmakta ve işlenebilmektedir.
Bu hususta gerekli detaylar her bir İlgili Kişi için ayrıca hazırlanmış olan
aydınlatma metinlerinde belirtilmiş ve İlgili Kişilere fiziki ve elektronik
ortamlarda sunulmuştur (Tedarikçi aydınlatma metni, Müşteri Aydınlatma Metni,
Çalışan / Stajyer/ Çalışan Adayı aydınlatma metni, Ziyaretçi Aydınlatma metni
vb). veri işlemenin hukuki dayanağı olarak aşağıdaki hususlardan en az biri
kabul edilmektedir.
İlgili kişinin açık rıza vermesi, kişisel verilerin hukuka uygun olarak
işlenmesini mümkün kılan hukuki dayanaklardan yalnızca biridir. Açık rıza
dışında, kanunda belirtilen şartlardan birinin varlığı durumunda da kişisel
veriler işlenebilir. Kişisel veri işleme faaliyetinin dayanağı aşağıda
belirtilen şartlardan yalnızca biri olabildiği gibi bu şartlardan birden
fazlası da aynı kişisel veri işleme faaliyetinin dayanağı olabilir.
İşlenme
Şartları |
Kapsamı |
Örnek |
Kanun Hükmü |
Vergi Mevzuatı, İş Mevzuatı,
Ticaret Mevzuatı vb. |
Çalışana ait özlük
bilgilerinin mevzuat gereği tutulması gerekir. |
Sözleşmenin İfası |
İş Akdi, Satış Sözleşmesi,
Taşıma Sözleşmesi, Eser Sözleşmesi vb. |
Teslimat yapılması için
şirketin adres bilgilerinin kaydedilmesi. |
Fiili İmkânsızlık |
Fiili imkânsızlık
nedeniyle rıza veremeyecek olan ya da ayırt etme gücü olmayan kişi. |
Bilinci kapalı kişinin
iletişim veya adres bilgisi. Kaçırılan bir kişinin konum bilgisi. |
Veri Sorumlusunun Hukuki Sorumluluğu |
Mali Denetimler, Güvenlik
Mevzuatı, Sektör Odaklı Regülâsyonlarla Uyum. |
Bankacılık, Enerji,
Sermaye Piyasaları gibi alanlara özel denetimlerde bilgi paylaşımı yapılması. |
Aleniyet Kazandırma |
İlgili kişinin kendisine
ait bilgileri umumun bilgisine sunması. |
Kişinin, acil durumlarda ulaşılması
için iletişim bilgisini ilan etmesi. |
Hakkın Tesisi, Korunması, Kullanılması |
Dava açılması, tescil
işlemleri, her türlü tapu işlemi vb. işlerde kullanılması zorunlu veriler. |
İşten ayrılan bir çalışana
ait gerekli bilgilerin dava zaman aşımı boyunca saklanması. |
Meşru Menfaat |
İlgili Kişinin temel
haklarına zarar gelmemek kaydıyla, veri sorumlusunun meşru menfaati için
zorunlu olması halinde veri işlenebilir. |
Çalışan bağlılığını
artıran ödül ve primler uygulanması amacıyla veri işlenmesi. |
Klinik, Anayasa’nın 20. maddesine ve KVKK’nun 4. Maddesine uygun olarak,
kişisel verilerin işlenmesi konusunda; hukuka ve dürüstlük kurallarına uygun,
doğru ve gerektiğinde güncel, belirli, açık ve meşru amaçlar güderek, amaçla
bağlantılı, sınırlı ve ölçülü bir biçimde kişisel veri işleme faaliyetinde
bulunmaktadır. Şirketimiz, kanunlarda öngörülen veya kişisel veri işleme
amacının gerektirdiği süre kadar kişisel verileri muhafaza etmektedir.
6.2. Kişisel Veri
İşleme Kriterleri
Klinik, KVKK’nun 10. Maddesine uygun olarak ilgili kişileri aydınlatmakta
ve rıza alınması gereken durumlarda veri ilgililerinden rızalarını talep
etmekte, bu kişisel verileri aşağıda belirtilen kriterleri esas alarak
işlemektedir.
a. Hukuka ve
Dürüstlük Kuralına Uygun İşleme
Klinik, kişisel verilerin işlenmesinde hukuksal düzenlemelerle getirilen
ilkeler ile genel güven ve dürüstlük kuralına uygun hareket etmektedir.
Dürüstlük kuralına uygun olma ilkesi uyarınca Klinik veri işlemedeki
hedeflerine ulaşmaya çalışırken, ilgili kişilerin çıkarlarını ve makul
beklentilerini dikkate almaktadır.
b. Kişisel Verilerin
Doğru ve Gerektiğinde Güncel Olmasını Sağlama
Kişisel verilerin doğru ve güncel bir şekilde tutulması, Klinik açısından
ilgili kişinin temel hak ve özgürlüklerinin korunması açısından gereklidir.
Kişisel verilerin doğru ve gerektiğinde güncel olmasının sağlanması noktasında Klinik’in
aktif özen yükümlülüğü bulunmaktadır. Bu sebeple Klinik tarafından ilgili
kişinin bilgilerinin doğru ve güncel olarak tutulması için bütün iletişim kanalları
açıktır.
c. Belirli, Açık ve
Meşru Amaçlarla İşleme
Klinik, meşru ve hukuka uygun olan kişisel veri işleme amacını açık ve
kesin olarak belirlemektedir. Şirketimiz, yürütmekte olduğu ticari faaliyet ile
bağlantılı ve bunlar için gerekli olan kadar kişisel veriyi işlemektedir.
ç. İşlendikleri
Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma
Klinik kişisel verileri, iştigal konusu ile ilgili ve işinin yürütülmesi
için gerekli olan amaçlar dahilinde işlemektedir. Bu sebeple Klinik , kişisel
verileri belirlenen amaçların gerçekleştirilebilmesine elverişli bir biçimde
işlemekte ve amacın gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç
duyulmayan kişisel verilerin işlenmesinden kaçınmaktadır. Örneğin, sonradan
ortaya çıkması muhtemel ihtiyaçların karşılanmasına yönelik kişisel veri işleme
faaliyeti yürütülmemektedir.
d. İlgili Mevzuatta
Öngörülen veya İşlendikleri Amaç için Gerekli Olan Süre Kadar Muhafaza Etme
Klinik, kişisel verileri ancak ilgili mevzuatta belirtildiği veya
işlendikleri amaç için gerekli olan süre kadar muhafaza etmektedir. Bu
kapsamda; Klinik öncelikle ilgili mevzuatta kişisel verilerin saklanması için
bir süre öngörülüp öngörülmediğini tespit etmekte, bir süre belirlenmişse bu
süreye uygun davranmakta, bir süre belirlenmemişse kişisel verileri
işlendikleri amaç için gerekli olan ve
şirketler topluluğunun yayınladığı Küresel Saklama Politikasında
belirtilen süre kadar saklamaktadır. Klinik kişisel veri envanterindeki saklama
sürelerini esas almakta olup, burada belirtilen süreler sonunda Kanun
kapsamındaki yükümlülükler çerçevesinde kişisel veriler, verinin niteliğine ve
kullanım amacına göre silinmekte, yok edilmekte veya anonimleştirilmektedir.
7. KLİNİK BİNASI GİRİŞLERİ
İLE BİNA İÇERİSİNDE YAPILAN KİŞİSEL VERİ İŞLEME FAALİYETLERİ
Klinik tarafından güvenliğin sağlanması amacıyla, Klinik binasında
güvenlik kamerasıyla izleme faaliyeti ile misafir giriş çıkışlarının takibine
yönelik kişisel veri işleme faaliyetinde bulunulmaktadır.
Güvenlik kameraları kullanılması ve misafir giriş çıkışlarının kayıt
altına alınması suretiyle Klinik tarafından kişisel veri işleme faaliyeti
yapılmaktadır. Her iki faaliyetin de dayanağı, Kanun’un 5. Maddesinin 2.
Fıkrasında belirtilen Meşru Menfaat ilkesidir.
Klinik, güvenlik kamerası ile izleme faaliyeti kapsamında; Kliniğin ve
diğer kişilerin güvenliğini sağlamaya ilişkin menfaatlerini korumak gibi
amaçlar taşımaktadır. Bu izleme faaliyeti, KVKK ve Özel Güvenlik Hizmetlerine
Dair Kanun ve ilgili mevzuata uygun olarak sürdürülmektedir. Bu kapsamda kamera
ile izleme yapıldığı bilgisi, tüm çalışan ve ziyaretçilere duyurulmakta ve
kişiler aydınlatılmaktadır. Bildirim yazıları izleme yapılan alanların
girişlerine asılmaktadır. Klinik tarafından KVKK’nun 12. maddesine uygun
olarak, kamera ile izleme faaliyeti sonucunda elde edilen kişisel verilerin
güvenliğinin sağlanması için gerekli teknik ve idari tedbirler alınmaktadır.
8.1. Şirketimiz
Binasında, Tesis Girişlerinde ve İçerisinde Yürütülen Misafir Giriş Çıkışlarının
Takibi
Klinik tarafından fiziksel mekân
güvenliğinin sağlanması amacı ve bu Politika’ da belirtilen diğer amaçlarla, Şirketimiz
binalarında ve tesislerinde misafir giriş çıkışlarının takibine yönelik kişisel
veri işleme faaliyetinde bulunulmaktadır. Misafir olarak Şirketimiz binalarına
gelen kişilerin adı ve soyadı, iletişim bilgisi elde edilirken ya da Şirketimiz
nezdinde asılan ya da diğer şekillerde misafirlerin erişimine sunulan metinler
aracılığıyla söz konusu kişisel veri sahipleri bu kapsamda
aydınlatılmaktadırlar. Misafir giriş-çıkış takibi yapılması amacıyla elde
edilen veriler yalnızca bu amaçla işlenmekte ve ilgili kişisel veriler fiziki
ortamda veri kayıt sistemine kaydedilmektedir.
8.2. Klinik Tesislerinde Ziyaretçilere Sağlanan İnternet Erişimlerine
İlişkin Kayıtların Saklanması
Klinik tarafından güvenliğin sağlanması amacı ve bu Politika’ da
belirtilen diğer amaçlarla, bina ve tesisler içerisinde kalınan süre boyunca
talep eden ziyaretçilere internet erişimi sağlanabilmektedir. Bu durumda
internet erişimlerine ilişkin logo kayıtları 5651 Sayılı Kanun ve bu Kanuna
göre düzenlenmiş olan mevzuatın amir hükümlerine göre tutulmakta, bu kayıtlar
ancak yetkili kamu kurum ve kuruluşları tarafından talep edilmesi halinde veya
Klinik içinde gerçekleştirilecek denetim süreçlerinde ilgili hukuki yükümlülüğü
yerine getirmek amacıyla işlenmektedir.
9. KİŞİSEL VERİLERİN
İŞLENME AMAÇLARI
KV İŞLEME AMAÇLARI |
|
1. Acil Durum Yönetimi
Süreçlerinin Yürütülmesi 2. Bilgi Güvenliği
Süreçlerinin Yürütülmesi 3. Çalışan Adayı /
Stajyer / Öğrenci Seçme Ve Yerleştirme Süreçlerinin Yürütülmesi 4. Çalışan Adaylarının
Başvuru Süreçlerinin Yürütülmesi 5. Çalışan Memnuniyeti
Ve Bağlılığı Süreçlerinin Yürütülmesi 6. Çalışanlar İçin İş
Akdi Ve Mevzuattan Kaynaklı Yükümlülüklerin Yerine Getirilmesi 7. Çalışanlar İçin Yan
Haklar Ve Menfaatleri Süreçlerinin Yürütülmesi 8. Denetim / Etik
Faaliyetlerinin Yürütülmesi 9. Eğitim
Faaliyetlerinin Yürütülmesi 10. Erişim Yetkilerinin
Yürütülmesi 11. Faaliyetlerin
Mevzuata Uygun Yürütülmesi 12. Finans Ve Muhasebe
İşlerinin Yürütülmesi 13. Firma / Ürün /
Hizmetlere Bağlılık Süreçlerinin Yürütülmesi 14. Fiziksel Mekan
Güvenliğinin Temini 15. Görevlendirme
Süreçlerinin Yürütülmesi 16. Hukuk İşlerinin
Takibi Ve Yürütülmesi 17. İç Denetim/
Soruşturma / İstihbarat Faaliyetlerinin Yürütülmesi 18. İletişim
Faaliyetlerinin Yürütülmesi 19. İnsan Kaynakları
Süreçlerinin Planlanması ve Yürütülmesi 20. İş Faaliyetlerinin
Yürütülmesi / Denetimi 21. İş Sağlığı /
Güvenliği Faaliyetlerinin Yürütülmesi 22. İş Süreçlerinin
İyileştirilmesine Yönelik Önerilerin Alınması Ve Değerlendirilmesi 23. İş Sürekliliğinin
Sağlanması Faaliyetlerinin Yürütülmesi 24. Lojistik
Faaliyetlerinin Yürütülmesi 25. Mal / Hizmet Satın
Alım Süreçlerinin Yürütülmesi 26. Mal / Hizmet Satış
Sonrası Destek Hizmetlerinin Yürütülmesi |
27. Mal / Hizmet Satış
Süreçlerinin Yürütülmesi 28. Mal / Hizmet Üretim
Ve Operasyon Süreçlerinin Yürütülmesi 29. Müşteri İlişkileri
Yönetimi Süreçlerinin Yürütülmesi 30. Müşteri
Memnuniyetine Yönelik Aktivitelerin Yürütülmesi 31. Organizasyon Ve
Etkinlik Yönetimi 32. Pazarlama Analiz
Çalışmalarının Yürütülmesi 33. Performans
Değerlendirme Süreçlerinin Yürütülmesi 34. Reklam / Kampanya /
Promosyon Süreçlerinin Yürütülmesi 35. Risk Yönetimi
Süreçlerinin Yürütülmesi 36. Saklama Ve Arşiv
Faaliyetlerinin Yürütülmesi 37. Sosyal Sorumluluk
Ve Sivil Toplum Aktivitelerinin Yürütülmesi 38. Sözleşme
Süreçlerinin Yürütülmesi 39. Sponsorluk
Faaliyetlerinin Yürütülmesi 40. Stratejik Planlama
Faaliyetlerinin Yürütülmesi 41. Talep /
Şikayetlerin Takibi 42. Taşınır Mal Ve
Kaynakların Güvenliğinin Temini 43. Tedarik Zinciri
Yönetimi Süreçlerinin Yürütülmesi 44. Ücret Politikasının
Yürütülmesi 45. Ürün / Hizmetlerin
Pazarlama Süreçlerinin Yürütülmesi 46. Veri Sorumlusu
Operasyonlarının Güvenliğinin Temini 47. Yabancı Personel
Çalışma Ve Oturma İzni İşlemleri 48. Yatırım
Süreçlerinin Yürütülmesi 49. Yetenek / Kariyer
Gelişimi Faaliyetlerinin Yürütülmesi 50. Yetkili Kişi, Kurum
Ve Kuruluşlara Bilgi Verilmesi 51. Yönetim
Faaliyetlerinin Yürütülmesi52. Ziyaretçi Kayıtlarının Oluşturulması Ve
Takibi |
10. KİŞİSEL VERİLERİN
AKTARILMASI
Klinik, hukuka uygun olan kişisel veri işleme amaçları doğrultusunda,
gerekli güvenlik önlemlerini alarak, kişisel ilgili kişinin kişisel verilerini
üçüncü kişilere aktarabilmektedir. Aktarım sebepleri aşağıda açıklanmıştır:
11. KLİNİK TARAFINDAN
KİŞİSEL VERİLERİN AKTARILDIĞI ÜÇÜNCÜ KİŞİLER VE AKTARILMA AMAÇLARI
Klinik, KVKK’nun 10. maddesine uygun olarak kişisel verilerin aktarıldığı
kişi gruplarını ilgili kişiye bildirmektedir.
Klinik, KVKK’nun 8. ve 9. maddelerine uygun olarak işbu Politika ile yönetilen
veri sahiplerinin kişisel verilerini aşağıda sıralanan paydaş kategorilerine
aktarılabilir:
VERİ AKTARIMI YAPILABİLECEK KİŞİLER |
TANIMI |
VERİ AKTARIM AMACI |
İş Ortağı |
Klinik’in, ticari
faaliyetlerinin yürütülmesi gibi amaçlarla iş ortaklığı kurduğu taraflar |
İş ortaklığının kurulma
amaçlarının yerine getirilmesini temin etmek amacıyla sınırlı olarak
kullanabilir. |
Tedarikçi |
Klinik’in ticari
faaliyetlerinin yürütülmesi kapsamında, Klinik’in emir ve talimatlarına uygun
ve sözleşme temelli olarak Klinik’e hizmet sunan taraflar |
Klinik’in tedarikçiden dış
kaynaklı olarak temin ettiği ve Klinik’in ticari faaliyetlerini yerine
getirmek için gerekli hizmetlerin Klinik’e sunulmasını sağlamak amacıyla
sınırlı olarak kullanabilir. Banka, Sigorta şirketi, Seyahat Acentası,
Etkinlik Ajansı, Servis, Kargo, Eğitim Firmaları gibi |
|
|
|
Klinik Yetkilileri |
Klinik’in imzaya yetkili
gerçek kişileri |
Klinik’in ticari
faaliyetlerine ilişkin stratejilerin tasarlanması, en üst düzeyde yönetiminin
sağlanması ve denetim amaçlarıyla sınırlı olarak kullanılabilir. |
Hukuken Yetkili Kamu Kurum ve Kuruluşları |
İlgili mevzuat hükümlerine
göre Şirket’in bilgi ve belge almaya yetkili kamu kurum ve kuruluşları |
İlgili kamu kurum ve
kuruluşlarının hukuki yetkisi dahilinde talep ettiği amaçla sınırlı olarak
kullanılabilir. |
Hukuken Yetkili Özel Hukuk Kişileri |
İlgili mevzuat hükümlerine
göre Şirket’ten bilgi ve belge almaya yetkili özel hukuk kişileri |
İlgili özel hukuk
kişilerinin hukuki yetkisi dahilinde talep ettiği amaçla sınırlı olarak
kullanılabilir. |
12. KİŞİSEL VERİLERİN
KORUNMASINA İLİŞKİN HUSUSLAR
Klinik, KVKK’nun 12. maddesine uygun olarak, işlemekte olduğu kişisel
verilerin hukuka aykırı olarak işlenmesini, verilere hukuka aykırı olarak
erişilmesini önlemek ve verilerin muhafazasını sağlamak için uygun güvenlik
düzeyini sağlamaya yönelik gerekli teknik ve idari tedbirleri almakta, bu
kapsamda gerekli denetimleri yapmakta veya yaptırmaktadır.
12.1. Kişisel
Verilerin Hukuka Uygun İşlenmesini ve Korunmasını Sağlamak için Alınan
Tedbirler
Şirketimiz, kişisel verilerin hukuka uygun işlenmesini ve korunmasını
sağlamak için, teknolojik imkânlar ve uygulama maliyetine göre teknik ve idari
tedbirler almaktadır.
12.1.1. Teknik
Tedbirler
Şirketimiz tarafından kişisel verilerin hukuka uygun işlenmesini sağlamak
için alınan başlıca teknik tedbirler aşağıda sıralanmaktadır:
• Elektronik olan veya olmayan
ortamlarda saklanan kişisel verilere erişim, erişim prensiplerine göre
sınırlandırılmaktadır.
• Klinik internet sayfasına erişimde
güvenli protokol (HTTPS) kullanılarak SHA 256 Bit RSA algoritmasıyla
şifrelenmektedir.
• Özel nitelikli kişisel verilerin
güvenliğine yönelik ayrı politika belirlenmiştir.
• Özel nitelikli kişisel veri işleme
süreçlerinde yer alan çalışanlara yönelik özel nitelikli kişisel veri güvenliği
konusunda eğitimler verilmiş, gizlilik sözleşmeleri yapılmış, verilere erişim
yetkisine sahip kullanıcıların yetkileri tanımlanmıştır.
• Özel nitelikli kişisel verilerin
işlendiği, muhafaza edildiği ve/veya erişildiği elektronik ortamlar
kriptografik yöntemler kullanılarak muhafaza edilmekte, kriptografik anahtarlar
güvenli ortamlarda tutulmakta, tüm işlem kayıtları loglanmakta, ortamların
güvenlik güncellemeleri sürekli takip edilmekte, gerekli güvenlik testlerinin
düzenli olarak yapılması/yaptırılması, test sonuçlarının kayıt altına alınması,
• Özel nitelikli kişisel verilerin
işlendiği, muhafaza edildiği ve/veya erişildiği fiziksel ortamların yeterli
güvenlik önlemleri alınmakta, fiziksel güvenliği sağlanarak yetkisiz giriş
çıkışlar engellenmektedir.
• Özel nitelikli kişisel veriler e-posta
yoluyla aktarılması gerekiyorsa şifreli olarak kurumsal e-posta adresiyle veya
KEP hesabı kullanılarak aktarılmaktadır. Taşınabilir bellek, CD, DVD gibi
ortamlar yoluyla aktarılması gerekiyorsa kriptografik yöntemlerle şifrelenmekte
ve kriptografik anahtar farklı ortamda tutulmaktadır. Farklı fiziksel
ortamlardaki sunucular arasında aktarma gerçekleştiriliyorsa, sunucular
arasında VPN kurularak veya sFTP yöntemiyle veri aktarımı
gerçekleştirilmektedir. Kağıt ortamı yoluyla aktarımı gerekiyorsa evrakın
çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere
karşı gerekli önlemler alınmakta ve evrak “gizli” formatta gönderilmektedir.
12.1.2. İdari
Tedbirler
Klinik tarafından kişisel verilerin hukuka uygun işlenmesi ve korunması
için alınan idari tedbirler:
• Sızma (Penetrasyon)
testleri ile Klinik bilişim sistemlerine yönelik risk, tehdit, zafiyet ve varsa
açıklıklar ortaya çıkarılarak gerekli önlemler alınmaktadır.
• Bilgi güvenliği olay
yönetimi ile gerçek zamanlı yapılan analizler sonucunda bilişim sistemlerinin
sürekliliğini etkileyecek riskler ve tehditler sürekli olarak izlenmektedir.
• Bilişim sistemlerine
erişim ve kullanıcıların yetkilendirilmesi, erişim ve yetki matrisi ile
kurumsal aktif dizin üzerinden güvenlik politikaları aracılığı ile yapılmaktadır.
• Klinik’in bilişim
sistemleri teçhizatı, yazılım ve verilerin fiziksel güvenliği için gerekli
önlemler alınmaktadır.
• Çevresel tehditlere karşı
bilişim sistemleri güvenliğinin sağlanması için, donanımsal (sistem odasına
sadece yetkili personelin girişini sağlayan erişim kontrol sistemi, 7/24
çalışan izleme sistemi, yerel alan ağını oluşturan kenar anahtarların fiziksel
güvenliğinin sağlanması, yangın söndürme sistemi, iklimlendirme sistemi vb.) ve
yazılımsal (güvenlik duvarları, atak önleme sistemleri, ağ erişim kontrolü,
zararlı yazılımları engelleyen sistemler vb.) önlemler alınmaktadır.
• Kişisel verilerin hukuka
aykırı işlenmesini önlemeye yönelik riskler belirlenmekte, bu risklere uygun
teknik tedbirlerin alınması sağlanmakta ve alınan tedbirlere yönelik teknik
kontroller yapılmaktadır.
• Klinik içerisinde erişim
prosedürleri oluşturularak kişisel verilere erişim ile ilgili raporlama ve
analiz çalışmaları yapılmaktadır.
• Kişisel verilerin
bulunduğu saklama alanlarına erişimler kayıt altına alınarak uygunsuz erişimler
veya erişim denemeleri kontrol altında tutulmaktadır.
• Klinik, silinen kişisel
verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması
için gerekli tedbirleri almaktadır.
• Kişisel verilerin hukuka
aykırı olarak başkaları tarafından elde edilmesi halinde bu durumu ilgili
kişiye ve Kurula bildirmek için Klinik tarafından buna uygun bir sistem ve
altyapı oluşturulmuştur.
• Güvenlik açıkları takip
edilerek uygun güvenlik yamaları yüklenmekte ve bilgi sistemleri güncel halde
tutulmaktadır.
• Kişisel verilerin
işlendiği elektronik ortamlarda güçlü parolalar kullanılmaktadır.
• Kişisel verilerin
işlendiği elektronik ortamlarda güvenli kayıt tutma (loglama) sistemleri
kullanılmaktadır.
• Kişisel verilerin güvenli
olarak saklanmasını sağlayan veri yedekleme programları kullanılmaktadır.
·
Özel Nitelikli kişisel veriler, Klinik bünyesinde mevcut sağlık ekibine
ayrılmış fiziksel alanda saklanmakta ve erişime kapatılmaktadır.
Klinik aşağıdaki durumlarda Gizlilik Etki Analizi
değerlendirmesi yapmaktadır:
• Kişisel
veri içeren yeni projelerde,
• Kişisel
veri aktarılan tedarikçi seçiminden önce,
• Pazarlama
faaliyetleri kapsamında yapılacak aktiviteler öncesinde,
• Yukarıda
belirtilen faaliyetlerdeki herhangi bir değişiklik söz konusu olduğunda,
• Gizlilik
Etki Analizi, Klinik KVKK Komitesi onayına tabidir.
12.1.3. Kişisel
Verilere Hukuka Aykırı Erişimin Engellenmesi için Alınan Teknik ve İdari
Tedbirler
Klinik , kişisel verilerin tedbirsizlikle veya yetkisiz kişiler
tarafından açıklanmasını, erişimini, aktarılmasını, Şirketimiz sistemleri
nezdinde veri sızıntıları olmasını veya başka şekillerdeki tüm hukuka aykırı
erişimi önlemek için; korunacak verinin sınıfı, niteliği, teknolojik imkânlar
ve uygulama maliyetine göre teknik ve idari tedbirler almaktadır.
12.2. Kişisel
Verilerin Korunması Konusunda Alınan Tedbirlerin Denetimi
Klinik bünyesinde KVKK Komitesi
bulunmaktadır. KVKK Komitesi, veri sorumlusu olan klinik adına, Kanun’un 12. maddesinden kaynaklanan
görevi gereği, kendi kurum veya kuruluşunda Kanun hükümlerinin uygulanmasını
sağlamak amacıyla gerekli denetimleri bizzat yapmakta ve ihtiyaç halinde yetkin
kuruluşlardan destek almak suretiyle yaptırmaktadır. Bu denetim sonuçlarına
göre, tespit edilen ihlaller, olumsuzluklar ve uygunsuzluklar gerekli birimlere
bildirilmekte ve bu birimler, bu hususlar nezdinde gereken tedbirleri
aldırmaktadır. Klinik tarafından kişisel
verilerin saklanması konusunda teknik gereklilikler sebebiyle dışarıdan bir
hizmet alınması durumunda, kişisel verilerin hukuka uygun olarak aktarıldığı
ilgili firmalar ile kişisel verilerin aktarıldığı kişilerin, kişisel verilerin
korunması amacıyla gerekli güvenlik tedbirlerini alacağına ve kendi kuruluşlarında
bu tedbirlere uyulmasını sağlayacağına ilişkin hükümler içeren ek sözleşmeler
yapılmaktadır.
13. ÖZEL NİTELİKLİ
KİŞİSEL VERİLERİN KORUNMASI
KVKK ile birtakım kişisel verilere, hukuka aykırı olarak işlendiğinde
kişilerin mağduriyetine veya ayrımcılığa sebep olma riski nedeniyle özel önem
atfedilmiştir. Bu veriler; ırk, etnik köken, siyasi düşünce, felsefi inanç,
din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika
üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle
ilgili veriler ile biyometrik ve genetik verilerdir.
Klinik tarafından, KVKK ile “özel nitelikli” olarak belirlenen ve hukuka
uygun olarak işlenen özel nitelikli kişisel verilerin korunmasında hassasiyetle
davranılmaktadır. Bu kapsamda, Şirketimiz tarafından, kişisel verilerin
korunması için alınan teknik ve idari tedbirler, özel nitelikli kişisel veriler
bakımından özenle uygulanmakta ve Şirketimiz bünyesinde gerekli denetimler
sağlanmaktadır.
Bu kapsamda, klinik bünyesinde verilen iş yeri hekimliği hizmeti
sebebiyle çalışanların sağlık verileri işlenmekte olup bu özel nitelikli
kişisel verilere erişebilen personele gerekli eğitimler verilmekte, bu
personelin erişim yetkisi kapsam ve süreleri belirlenmekte ve periyodik olarak
denetimler yapılmakta ve gizlilik sözleşmeleri imzalanmaktadır. İlgili
personelin işten ayrılması durumunda erişim yetkisi derhal kaldırılmaktadır.
Çalışanların sağlık dosyalarında fiziki olarak saklanan kişisel sağlık
verilerinin bulunduğu fiziki dosyalar kilitli ve sadece revir personelinin
erişebildiği alanlarda saklanmaktadır. Çalışanların sağlık verilerine revir
personeli dışında hiçbir birim erişememektedir.
14. KLİNİK ÇALIŞANLARININ KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ
KONUSUNDAKİ EĞİTİMLERİ
Klinik, kişisel verilerin hukuka aykırı olarak işlenmesini, verilere
hukuka aykırı olarak erişilmesini önlemeye ve verilerin muhafazasını sağlamaya
yönelik farkındalığın artırılması için çalışanlarına, bayi ve yetkili
servislerine gerekli eğitimlerin düzenlenmesini sağlamaktadır.
15. İLGİLİ KİŞİLERİN
HAKLARI VE TALEPLERİ
Klinik, KVKK’n 13. maddesi gereğince ilgili kişi taleplerine karşı veri
sorumlusu olarak, kişisel veri envanterinin eki mahiyetindeki Kişisel Veri
Başvuru ve Yanıt Prosedürü ve Kanunda belirtilen başvuru koşullarını taşımayan
başvurular için yazılı şablona yönlendirme prosedürleri oluşturulmuştur. Bu
prosedürlere uygun olarak gerekli işlemlerin yapılabilmesi adına teknik
hazırlıklar yapılmıştır. Klinik bünyesinde bu prosedürün uygulanmasını
sağlayacak sistemsel altyapı mevcuttur.
Kişisel veri sahiplerinin aşağıda sıralanan haklarına ilişkin
taleplerini; kimlik ibrazı ile şahsi başvuru ile, yazılı olarak veya kayıtlı
elektronik posta (KEP) adresi, güvenli elektronik imza, mobil imza ya da ilgili
kişi tarafından Kliniğe daha önce bildirilen ve klinik sisteminde kayıtlı bulunan
elektronik posta adresini kullanmak suretiyle veya başvuru amacına yönelik
geliştirilmiş bir yazılım ya da uygulama vasıtasıyla kliniğe kimlikleri teyit
edilebilir bir biçimde iletmeleri durumunda klinik, talebin niteliğine göre
talebi en geç otuz gün içinde ücretsiz olarak cevaplandıracaktır. Bu hususta
detaylı açıklama aşağıda, bu Politikanın 16. maddesinde yapılmıştır.
Kişisel veri sahipleri, bu prosedüre uygun olarak yapacakları başvuru ile
kendilerine ait kişisel verilerin tüm işlenme süreçleri, amaçları ve aktarım
bilgileri de dahil Kanun’un ilgili maddesindeki tüm hakları talep
edebileceklerdir.
16. İLGİLİ KİŞİLERİN
HAKLARI; BU HAKLARIN KULLANILMASI
Klinik, KVKK’nun 10. maddesine uygun olarak ilgili kişinin haklarını
kendisine bildirmekte ve 11. maddede düzenlenen bu hakların nasıl kullanılacağı
konusunda ilgili kişiye yol göstermektedir. Klinik, kişisel veri sahiplerinin
haklarının değerlendirilmesi ve kişisel veri sahiplerine gereken
bilgilendirmenin yapılması için KVKK’nun 13. maddesine uygun olarak gerekli
kanalları, iç işleyişi, idari ve teknik düzenlemeleri yürütmektedir.
16.1. İlgili Kişinin
Hakları ve Bu Haklarını Kullanması
16.1.1. İlgili Kişinin
Hakları
İlgili Kişiler aşağıda yer alan haklara sahiptirler:
a. Kişisel veri işlenip işlenmediğini
öğrenme,
b. Kişisel verileri
işlenmişse buna ilişkin bilgi talep etme,
c. Kişisel verilerin
işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
d. Yurt içinde veya yurt
dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
e. Kişisel verilerin eksik
veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme ve bu
kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere
bildirilmesini isteme,
f. KVKK ve ilgili diğer
kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren
sebeplerin ortadan kalkması hâlinde kişisel verilerin silinmesini veya yok
edilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı
üçüncü kişilere bildirilmesini isteme,
g. İşlenen verilerin
münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin
kendisi aleyhine bir sonucun ortaya çıkması halinde bu sonuca itiraz etme,
h. Kişisel verilerin kanuna
aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini
talep etme.
16.1.2. İlgili Kişinin
Haklarını Kullanması
6698 sayılı Kanun’un 11. maddesinde belirtilen haklardan kullanmayı talep ettiğiniz hakkınıza yönelik açıklamalarınızı içeren talebinizi, “Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğe” göre web sitemizde bulunan Başvuru Formunu doldurarak ve formda belirtildiği biçimde direkt elden, KEP, posta veya hali hazırda kayıtlarımızda bulunan e-posta adresiniz vasıtası ile tarafımıza iletmeniz halinde başvurularınız en kısa sürede ve en geç 30 (otuz) gün içerisinde değerlendirilerek sonuçlandırılacaktır.
Başvurularda, ad, soyad ve başvuru yazılı ise imza, Türkiye Cumhuriyeti vatandaşları için TC kimlik numarası, yabancılar için uyruğu, pasaport numarası/kimlik numarası, tebligata esas yerleşim yeri veya işyeri adresi, varsa bildirime esas elektronik posta adresi, telefon veya faks numarası ve talep konusu bulunması zorunludur.
Talebin niteliğine ve yöntemine göre şirket, başvurunun gerçekten size ait olup olmadığını anlayabilmek ve haklarınızı korumak adına ilave teyit talep edebilir.
17. KİŞİSEL VERİLERİN
İMHASI (SİLİNMESİ, YOK EDİLMESİ VE ANONİMLEŞTİRİLMESİ) ŞARTLARI
Türk Ceza Kanunu’nun 138. maddesinde, KVKK’nun 7. maddesinde ve Kurul
tarafından çıkarılan “Kişisel Verilerin Silinmesi, Yok Edilmesi ve
Anonimleştirilmesi Hakkında Yönetmelik” uyarınca, ilgili kanun hükümlerine
uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin
ortadan kalkması hâlinde Klinik’in kendi kararına istinaden veya kişisel İlgili
Kişinin talebi üzerine kişisel veriler silinir, yok edilir veya anonim hâle
getirilir. Şirketimiz bu konuda yönetmelik hükümlerine göre bir politika
oluşturmuş olup, bu politika uyarınca verinin niteliğine göre imha yapmaktadır.
Bu yönetmelik uyarınca Klinik tarafından periyodik imha tarihleri belirlenmiş
olup, yükümlülüğün başlaması ile beraber çeşitli aralıklarla gerçekleştirilecek
periyodik imha için gerekli takvim oluşturulmuştur.
18. ŞİRKETİMİZ
KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASI’NIN DİĞER POLİTİKALARLA
OLAN İLİŞKİSİ
Klinik, iş bu belge ile ortaya koyulan esasları, Şirketimiz bünyesindeki
diğer veri varlıklarına ilişkin politikalar ve kişisel verilerin korunması ve
işlenmesi konusunda iç kullanıma yönelik alt prosedürleri temel alarak
oluşturmuştur.
19. KLİNİK KİŞİSEL
VERİLERİN KORUNMASI VE İŞLENMESİ SÜREÇLERİ KOORDİNASYONU
Klinik tarafından KVKK düzenlemelerine uygun hareket edilmesini ve
Kişisel Verilerin Korunması ve İşlenmesi Politikası' nın yürürlüğünü sağlamak
için yönetim yapısı kurulmuştur.
Bu Komite’nin kişisel verilerin korunması ile ilgili görevleri aşağıda
belirtilmektedir:
20. POLİTİKA’NIN
YÜRÜRLÜĞÜ ve GÜNCELLENMESİ
Klinik tarafından düzenlenen bu Politika 31/12/2021 tarihinde yürürlüğe
konulmuştur. Bu Politika, Klinik
internet sitesinde ………………….. yayımlanır ve ilgili kişilerin erişimine sunulur.