GİRİŞ
Dr. Çiğdem Ünal Gülmeden muayenehanesi, özel hayatın gizliliği ve veri güvenliği hakkının korunmasını esas almak üzere kişilerin temel hak ve özgürlüklerini korumaya azami önem atfetmektedir. Bu çerçevede faaliyet ve hizmet amaçlarımızla bağlantılı şekilde sağlık hizmeti sunduğumuz siz değerli hastalarımıza ve hasta yakınlarına, çalışanlarımıza ve bizimle ilişkili tüm üçüncü şahıslara ait her türlü kişisel verinin, 6698 sayılı Kişisel Verilerin Korunması Kanunu’na (KVKK) uygun olarak işlenmesi ve saklanması anlayışıyla hareket edilmektedir.
Kişisel Verilerinin güvenli şekilde işlenmesi ve bu verilere hukuka aykırı biçimde gerçekleşebilecek her türlü erişimin veya sızıntının engellenmesi amacıyla, yürürlükteki mevzuatlara uyumlu olarak gerekli güvenlik tedbirleri Dr. Çiğdem Ünal Gülmeden tarafından muayenehane politikası olarak uygulamaya alınmaktadır.
AMAÇ
Kişisel Verilerin Korunması ve İşlenmesi Politikası’nın (“Politika”) amacı, KVKK’ya, Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik’e (Yönetmelik) ve ilgili mevzuat hükümlerine uygun olarak tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin korunması, silinmesi, yok edilmesi, anonim hale getirilmesine ilişkin imha süreçlerinde Dr. Çiğdem Ünal Gülmeden’in yükümlülükleri ile uyacağı usul ve esaslar hakkında kişisel veri sahiplerini bilgilendirmektir.
KAPSAM
Bu Politika; hastalarımızın, web sitesi kullanıcılarımızın, çalışanlarımızın, çalışan adaylarımızın, ziyaretçilerimizin, müşterilerimizin, tedarikçilerimizin ve üçüncü kişilerin otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen tüm kişisel verilerine ilişkindir. Bu kapsamda yukarıda belirtilen kişisel veri sahipleri gruplarına, işbu Politika’nın tamamı uygulanabileceği gibi sadece birtakım hükümleri de uygulanabilecektir.
POLİTİKA VE İLGİLİ MEVZUATIN UYGULANMASI
Politika, KVKK, Yönetmelik ve 30286 sayılı Veri Sorumluları Sicili Hakkında Yönetmelik vb. ilgili düzenlemeler dayanak alınarak hazırlanmıştır.
TANIMLAR
Bu Politika’nın uygulanmasında kullanılan tanımlar aşağıda yer almaktadır:
Açık Rıza |
Belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rıza. |
Çalışanlar |
Dr. Çiğdem Ünal Gülmeden ile İş Kanunu uyarınca iş ilişkisinde bulunanlar ile staj eğitimi gören öğrenciler veya mezunlar. |
İlgili Kişi |
Kişisel verisi işlenen gerçek kişi. |
İmha |
Kişisel verilerin geri getirilemeyecek bir şekilde silinmesi, yok edilmesi veya anonim hale getirilmesi işlemi. |
Periyodik İmha |
Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri işleme, saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi. |
Silme |
Kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemi. |
Yok Etme |
Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemi. |
Anonim Hale Getirme |
Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi işlemi. |
Kayıt Ortamı |
Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortamı ifade eder. |
Kişisel Veri |
Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade eder. |
Özel Nitelikli Kişisel Veri |
Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileridir. |
Kişisel Verilerin İşlenmesi |
Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemdir. |
Kişisel Veri İşleme Envanteri |
Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanterdir. |
Kurul |
Kişisel Verileri Koruma Kurulu. |
Kurum |
Kişisel Verileri Koruma Kurumu. |
Politika |
Dr. Çiğdem Ünal Gülmeden tarafından kişisel verilerin işlenmesi, saklanması ve imhasında benimsenen ilkelerin düzenlendiği işbu Kişisel Verilerin Korunması, İşlenmesi ve İmhası Politikasını ifade eder. |
Veri İşleyen |
Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel veri işleyen gerçek ve tüzel kişidir. |
Veri Sorumlusu |
Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir. |
Veri Kayıt Sistemi |
Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemidir. |
Veri Sorumluları Sicil Bilgi Sistemi (Verbis) |
Veri sorumlularının Sicile başvuruda ve Sicile ilişkin ilgili diğer işlemlerde kullanacakları, internet üzerinden erişilebilen, Başkanlık tarafından oluşturulan ve yönetilen bilişim sistemidir. |
Yönetmelik |
28 Ekim 2017 tarihli Resmi Gazetede yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik’i ifade eder. |
Bu Politika’da yer almayan tanımlar için KVKK tanımları geçerlidir.
İŞLENEN KİŞİSEL VERİ KATEGORİLERİ, İLGİLİ KİŞİ KATEGORİLERİ, VERİLERİN VERİ KONUSU KİŞİ GRUBUNA GÖRE SINIFLANDIRILMASI VE AKTARILDIĞI ALICI GRUPLARI
Kişisel Veri Kategorileri
Dr. Çiğdem Ünal Gülmeden tarafından yürütülen kişisel veri işleme faaliyetleri kapsamında, işlenen kişisel veri kategorileri ve açıklamaları aşağıda düzenlenmiştir:
Kişisel Veri Kategorisi |
Açıklaması |
Kimlik |
Ad, soyad, T.C. kimlik numarası, pasaport sureti veya geçici T.C. kimlik numarası ve medeni halinize ilişkin kimlik verileridir. |
İletişim |
Telefon numarası, elektronik posta adresiniz, sosyal medya hesaplarınız ile elektronik posta veya sair vasıtalar aracılığı ile tarafımızla iletişime geçtiğinizde elde edilen kişisel verilerdir. |
Özlük |
Muayenehanemiz ile çalışma ilişkisi içerisinde olmanız kapsamında, gerçek kişilerin özlük haklarının oluşmasına temel olan bilgilerin elde edilmesine yönelik işlenen kişisel verilerdir. Çalışanların işe başlama tarihi, ücret, aylık çalışma gün sayısı gibi özlük işlemlerine dair yasa veya iş sözleşmesi gereği alınan veriler v.b. tüm verilerdir. |
Fiziksel Mekan |
Muayenehanede alınmakta olan fiziksel mekâna giriş ve mekânda kalış sırasındaki görüntü verileri. |
İşlem Güvenliği |
IP adresi bilgileri, tarayıcı bilgileri, çerez bilgileri, internet sitesi giriş çıkış bilgileri, şifre ve parola bilgileri ile kullanım sırasında elde edilen gezinme verileridir. |
Finans |
Kişilere ait her türlü finansal sonucu gösteren bilgi, belge ve kayıtlara ilişkin işlenen kişisel veriler. |
Görsel Ve İşitsel Veriler |
Kişisel veri sahiplerinin fiziksel mekan güvenliği kapsamı dışında alınan fotoğraf, kamera ve ses kayıtları verileridir. |
Irk ve Etnik Köken Verileri |
Irk ve etnik kökene ilişkin verilerdir. |
Sağlık Bilgileri |
1. Kan grubu bilgisi, kişisel sağlık bilgileri, kullanılan cihaz ve protez bilgileri, sağlık raporu, tıbbi geçmiş, daha önce geçirmiş olduğunuz ameliyatlara/operasyonlara ilişkin veriler, laboratuvar sonuçları, test sonuçları, muayene verileri, reçete bilgileri, sürekli olarak kullandığınız ilaçlar, ameliyat öncesi ve sonrası görsel veriler ve sair sağlık verileridir. |
Cinsel Hayat |
Cinsel hayata ilişkin verilerdir. |
Ceza Mahkumiyeti ve Güvenlik Tedbirleri |
Ceza mahkumiyetine ilişkin adli sicil kaydı vb. verilerdir. |
Genetik |
Genetiğe ilişkin verilerdir. |
İlgili Kişi Kategorileri
İşbu Politika kapsamında yer alan hastalarımız, platform kullanıcılarımız, çalışanlarımız, çalışan adaylarımız ve üçüncü kişiler (tedarikçi ve benzeri iş ilişkisinde bulunduğumuz kurumların yetkili veya çalışanlarının) hakkında açıklamalara yer verilmektedir.
İlgili Kişi Kategorileri |
Açıklama |
Hizmet Alan Kişiler |
Muayenehanemizde sunulan hizmetleri satın alan gerçek kişilerdir. |
Çalışanlar |
Muayenehanemiz ile çalışma ilişkisinde olan gerçek kişilerdir. |
Çalışan Adayları |
Muayenehanemize herhangi bir yolla iş başvurusunda bulunup öz geçmiş veya iş başvuru formu ile ilgili bilgilerini Muayenehanemizin incelemesine sunmuş olan gerçek kişilerdir. |
İnternet Sitesi ve Sosyal Medya Kullanıcıları |
Muayenehanemize ait www.drcigdemunal.com internet sitemizi, sosyal medya hesaplarımızı herhangi bir amaç ile ziyaret eden ve kullanan kişilerdir. |
İş Bağlantıları (Gerçek kişi tedarikçiler, tüzel kişilerin gerçek kişi temsilcileri ) |
Muayenehanemizin faaliyetlerini yürütürken iş ilişkisi içerisinde olduğu gerçek kişiler, tüzel kişilerin gerçek kişi temsilcileri, işbu kişiler nezdinde bulunan çalışanlar vb. tüm gerçek kişilerdir. |
Kişisel Verilerin Veri Konusu Kişi Grubuna Göre Sınıflandırılması
Aşağıdaki tabloda kişisel veri kategorileri ve ilgili kişi kategorileri eşleştirilerek açıklanmaktadır:
Kişisel Veri Kategorileri |
Veri Konusu Kişi Grubu |
Kimlik Verileri |
Hizmet Alan Kişiler,Veli/Vasi yada Temsilci, İnternet Sitesi ve Sosyal Medya Kullanıcıları, Çalışanlar, Çalışan Adayları ve Tedarikçiler. |
İletişim Verileri |
Hizmet Alan Kişiler, Veli/Vasi yada Temsilci, İnternet Sitesi ve Sosyal Medya Kullanıcıları, Çalışanlar, Çalışan Adayları ve Tedarikçiler. |
Özlük Verileri |
Çalışanlar ve Çalışan Adayları. |
Fiziksel Mekan Verileri |
Hizmet Alan Kişiler, Çalışanlar ve Çalışan Adayları. |
İşlem Güvenliği Verileri |
Hizmet Alan Kişiler, İnternet Sitesi ve Sosyal Medya Kullanıcıları ile Çalışanlar. |
Finansal Veriler |
Hizmet Alan Kişiler, Çalışanlar ve Tedarikçiler. |
Görsel Ve İşitsel Veriler |
Hizmet Alan Kişiler. |
Irk ve Etnik Köken Verileri |
Hizmet Alan Kişiler. |
Sağlık Verileri |
Hizmet Alan Kişiler, Potansiyel Hizmet Alıcısı ve Çalışanlar. |
Cinsel Hayat Verileri |
Hizmet Alan Kişiler. |
Ceza Mahkûmiyeti Ve Güvenlik Tedbirleri |
Çalışan, Çalışan Adayları. |
Genetik Veriler |
Hizmet Alan Kişiler. |
Kişisel Verilerin Aktarıldığı Alıcı Grupları
Politika kapsamında yer alan kişisel veriler, Dr. Çiğdem Ünal Gülmeden tarafından aşağıda sıralanan alıcı gruplarına belirtilen amaçlar doğrultusunda aktarılabilmektedir.
Alıcı Grupları |
Kişisel Veri Aktarım Amaçları |
Tedarikçiler |
Muayenehanemizin faaliyetlerini yerine getirebilmesi ve gerekli hizmetlerin sunulması amaçlarıyla sınırlı olarak. |
Hukuken Yetkili Kamu Kurum ve Kuruluşları |
Yetkili kamu kurum ve kuruluşlarının hukuki yetkisi dâhilinde talep ettiği amaçla sınırlı olarak. |
Hukuken Yetkili Gerçek Kişiler veya Özel Hukuk Tüzel Kişileri |
Yetkili gerçek veya özel hukuk kişilerinin hukuki yetkisi dahilinde talep ettiği amaçla sınırlı olarak. |
KAYIT ORTAMLARI
Kişisel veriler, aşağıda belirtilen ortamlarda hukuka uygun olarak güvenli bir şekilde kaydedilir ve saklanır.
Elektronik ortamlar:
- Sunucular: Merkezi sunucu, veri merkezi sunucuları, yedekleme, e-posta, web, dosya paylaşımı vb.
- Yazılımlar: Ofis yazılımları vb.
- Bilgi güvenliği cihazları: Güvenlik duvarı, saldırı tespit ve önleme, antivürüs vb.
- Elektronik cihazlar: Ağ cihazları, bilgisayarlar, taşınabilir cihazlar (USB, sabit disk, hafıza kart vb.), yazıcılar, tarayıcılar, fotokopi makinesi, mobil cihazlardır. (Telefon, tablet vb.)
Fiziksel ortamlar:
- Birim dolapları, arşiv,
- Manuel veri kayıt sistemleri, (formlar, defterler vb.),
- Yazılı, basılı ve görsel ortamlardır.
KİŞİSEL VERİLERİN KORUNMASINA DAİR HUSUSLAR
Dr. Çiğdem Ünal Gülmeden , KVKK’nın 12. maddesine uygun olarak, kişisel verilerin hukuka aykırı olarak işlenmesi ile verilere hukuka aykırı olarak erişilmesini önlemek için korunacak verinin niteliğine uygun güvenlik düzeyini temin etmeye yönelik gerekli idari ve teknik tedbirleri almakta, bu kapsamda gerekli denetimleri yapmaktadır.
İdari Tedbirler
Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, verilere hukuka aykırı olarak erişilmesini önlemek ve verilerin muhafazasını sağlamak için alınan başlıca idari tedbirler aşağıda listelenmiştir:
- Çiğdem Ünal Gülmeden tarafından yürütülen kişisel veri işleme faaliyetleri belirlenerek, düzenli olarak güncellenen kişisel veri envanteri hazırlanmıştır.
- Kişisel veri işlemeye başlamadan önce ilgili kişileri aydınlatma yükümlülüğü yerine getirilmektedir.
- Çalışanların kişisel veri güvenliğine ilişkin sorumlulukları, görev tanımlarında belirlenmiş ve bu konudaki sorumluluklarının farkında olmaları sağlanmıştır.
- Çalışanların niteliğinin geliştirilmesine yönelik olarak, kişisel verilerin korunması, hukuka uygun olarak işlenmesi, kişisel verilerin hukuka aykırı olarak işlenmesinin ve verilere hukuka aykırı olarak erişilmesinin önlenmesi, iletişim teknikleri, teknik bilgi beceri, bilgi güvenliği eğitimleri ile 657 sayılı Kanun ve ilgili diğer mevzuat hakkında eğitimler verilmektedir.
- Çalışanlara yürütülen faaliyetlere ilişkin kişisel verilerin korunması mevzuatı ve veri güvenliği kapsamında gizlilik taahhütnameleri imzalatılmaktadır.
- İşlenen kişisel verilerin hukuka aykırı yollarla başkaları tarafından elde edilmesi hâlinde, bu durum en kısa sürede ilgilisine ve Kurul’a bildirilecektir.
Teknik Tedbirler
Kişisel verilerin hukuka aykırı olarak işlenmesini, verilere hukuka aykırı olarak erişilmesini önlemek ve verilerin muhafazasını sağlamak adına teknolojinin imkân verdiği ölçüde önlemler alınmakta ve alınan önlemler güncellenmektedir, başlıca teknik tedbirler aşağıda listelenmiştir:
- Kişisel verilerin hukuka aykırı olarak işlenmesini önlemeye yönelik riskler belirlenmekte, bu risklere uygun teknik tedbirlerin alınması sağlanmakta ve alınan tedbirlere yönelik kontroller yapılmaktadır.
- Erişim prosedürleri oluşturularak kişisel verilere erişim ile ilgili raporlama ve analiz çalışmaları yapılmaktadır.
- Elektronik olan veya olmayan ortamlarda saklanan kişisel verilere erişim kısıtlanarak yalnızca yetkili kişilerin, kişisel verinin saklanma amacı ile sınırlı olarak bu verilere erişmesine izin verilmektedir, uygunsuz erişimler veya erişim denemeleri kontrol altında tutulmaktadır.
- Bilişim sistemlerine erişim ve kullanıcıların yetkilendirilmesi, erişim ve yetki matrisi ile güvenlik politikaları aracılığı ile yapılmaktadır.
- Güncel anti-virüs sistemleri kullanılmaktadır.
- Güvenlik duvarları kullanılmaktadır.
- Log kayıtları kullanıcı müdahalesi olmayacak şekilde tutulmaktadır.
- Gerektiğinde veri maskeleme önlemi uygulanmaktadır.
- Bilişim sistemleri teçhizatı, yazılım ve verilerin fiziksel güvenliği için gerekli önlemler alınmaktadır.
- Bilişim sistemleri üzerindeki güvenlik zafiyetlerinin tespitine yönelik güvenlik testleri ve araştırmaları yapılmakta, yapılan test ve araştırmalar sonucunda tespit edilen mevcut ya da muhtemel risk teşkil eden hususlar giderilmektedir.
- Muayenehane tarafından hizmet sunulan internet sayfası HTTPS yöntemi kullanılarak SHA 256 Bit RSA algoritmasıyla şifrelenmektedir.
- Kişisel verilerin işlendiği elektronik ortamlarda güçlü parolalar kullanılmaktadır.
- Silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması için gerekli tedbirleri alınmaktadır.
- Güvenlik açıkları takip edilerek uygun güvenlik yamaları yüklenmekte ve bilgi sistemleri güncel halde tutulmaktadır.
- Çevresel tehditlere karşı bilişim sistemleri güvenliğinin sağlanması için, donanımsal (sistem odasına sadece yetkili personelin girişini sağlayan erişim kontrol sistemi, yangın söndürme sistemi, iklimlendirme sistemi vb.) ve yazılımsal (ağ erişim kontrolü, zararlı yazılımları engelleyen sistemler vb.) önlemler alınmaktadır.
Mevzuat tarafından birtakım kişisel verilere, hukuka aykırı olarak işlendiğinde kişilerin mağduriyetine ve ayrımcılığa sebep olma riskleri nedeniyle özel önem verilmiştir. Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler” ile ilgili Kurulun 31.01.2018 tarih ve 2018/10 sayılı kararı uyarınca; Dr. Çiğdem Ünal Gülmeden tarafından muayenehane bünyesinde azami hassasiyet gösterilerek özel nitelikli kişisel verilerin güvenliğine yönelik olarak kuralları net bir şekilde belli, yönetilebilir ve sürdürülebilir ayrı bir politika belirlenmiştir:
- Özel nitelikli kişisel veri işleme süreçlerinde yer alan çalışana yönelik özel nitelikli kişisel veri güvenliği konusunda eğitimler verilmiş, gizlilik sözleşmeleri yapılmış, verilere erişim yetkisine sahip kullanıcıların yetki kapsamı ve süreleri net olarak tanımlanmıştır.
- Verilerin bulunduğu ortamlara ait güvenlik güncellemeleri takip edilerek, gerekli güvenlik testleri yapılıp, test sonuçları kayıt altına alınmaktadır.
- Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği veya erişildiği fiziksel ortamların yeterli güvenlik önlemleri (elektrik kaçağı, yangın, su baskını, hırsızlık vb. durumlara karşı) alınmakta, fiziksel güvenliği sağlanarak yetkisiz giriş çıkışlar engellenmektedir.
- Özel nitelikli kişisel verilerin e-posta yoluyla aktarılması gerekiyorsa şifreli olarak kurumsal e-posta adresiyle veya KEP hesabı kullanılarak aktarılmaktadır. Farklı fiziksel ortamlardaki sunucular arasında aktarma gerçekleştiriliyorsa, FTP yöntemiyle veya plesk control paneli üzerinden online olarak veri aktarımı gerçekleştirilmektedir. Kağıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemler alınmaktadır.
Kişisel Verilerin Yetkisiz Bir Şekilde İfşası Durumunda Alınacak Tedbirler
KVKK’nın 12. maddesine uygun olarak işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde, bu durumun en kısa sürede ilgili kişisel veri sahibine ve KVK Kurulu’na bildirilmesi sağlanacaktır. Bu kapsamda Dr. Çiğdem Ünal Gülmeden tarafından bu durumun öğrenildiği tarihten itibaren gecikmeksizin ve en geç 72 saat içinde Kurula bildirimde bulunularak, veri ihlalinden etkilenen kişilerin belirlenmesini müteakip ilgili kişilere de makul olan en kısa süre içerisinde, ilgili kişinin iletişim adresine ulaşılabiliyorsa doğrudan, ulaşılamıyorsa veri sorumlusunun kendi web sitesi üzerinden yayımlanması gibi uygun yöntemlerle bildirim yapılacaktır.
KİŞİSEL VERİLERİN SAKLANMASINA VE İMHASINA DAİR HUSUSLAR
Kişisel Verilerin Saklanması ve İmha Edilmesi
Dr. Çiğdem Ünal Gülmeden tarafından elde edilen kişisel veriler, verinin niteliği, işlenme amaçları ve kullanım sıklığı gibi esaslara bağlı olarak farklı ortamlarda başta KVKK hükümleri olmak üzere ilgili mevzuata uygun olarak güvenli bir şekilde kaydedilir, saklanır ve imha edilir.
Kişisel Verilerin Saklanma ve İmha Süreleri
Dr. Çiğdem Ünal Gülmeden, faaliyetleri kapsamında işlemekte olduğu kişisel verileri ilgili mevzuatta belirtildiği ya da işlendikleri amaç için gerekli olan süre kadar muhafaza etmektedir. Bu çerçevede öncelikle ilgili mevzuatta kişisel verilerinin ne kadar süre saklanması gerektiği ifade edilmiş ise bu süreye uygun davranılmakta, ifade edilmemiş ise o veriyi işlerken sunulan hizmetlere bağlı olarak işlenmesini gerektiren süre dikkate alınmaktadır. Sürenin bitimi, veri sahibinin talebi veya verinin işlenmesini gerektiren amacın ortadan kalkması halinde, kişisel veriler Dr. Çiğdem Ünal Gülmeden tarafından silinmekte, yok edilmekte veya anonim hale getirilmektedir. İşlenen kişisel verilerin saklama süreleri ile ilgili detaylı bilgi, işbu Politika’nın Ek.2’sinde yer almaktadır.
Kişisel Verilerin İmhasını Gerektiren Sebepler
Dr. Çiğdem Ünal Gülmeden tarafından, faaliyetleri çerçevesinde işlenmiş olan kişisel veriler aşağıdaki sebepler doğrultusunda ilgili kişinin talebi üzerine ya da re’sen silinir, yok edilir veya anonim hale getirilir.
- İşlenmesine esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası,
- Kişisel verilerin işlenmesini gerektiren tüm amaçların ve saklanmasını gerektiren sebeplerin ortadan kalkması,
- Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, veri sahibinin rızasını geri alması,
- Veri sahibinin KVKK kapsamında yer alan haklarını kullanarak kişisel verilerinin imha edilmesini talep etmesi ve yapılan başvurunun Çiğdem Ünal Gülmeden tarafından reddedilmesi, verilen cevabın yetersiz bulunması veya Kanunda öngörülen süre içinde cevap verilmemesi hallerinde; Kurula şikâyette bulunması ve bu talebin Kurul tarafından uygun bulunması,
- Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olmasına rağmen, kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması durumlarıdır.
Kişisel Verilerin Hukuka Uygun Olarak İmha Edilmesi
Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, kişisel verilerin işlenmesini ve saklanmasını gerektiren amacın ortadan kalkması hâlinde kişisel veriler, re’sen veya veri sahibinin talebi üzerine Dr. Çiğdem Ünal Gülmeden tarafından silme, yok etme veya anonim hâle getirme suretiyle imha edilir.
Dr. Çiğdem Ünal Gülmeden, kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesinde yukarıda belirtilen teknik ve idari tedbirlere, ilgili mevzuat hükümlerine, Kurul kararlarına ve işbu Politika’ya uygun olarak hareket etmektedir. Bu kapsamda yapılan bütün işlemler kayıt altına alınır ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az üç yıl süreyle saklanır.
Kurul tarafından aksine bir karar alınmadıkça, kişisel verilerin imhasına ilişkin silme, yok etme veya anonim hale getirme yöntemlerinden uygun olan seçilmekle birlikte, ilgili kişinin talebi halinde ise uygun yöntem gerekçesi açıklanmak suretiyle seçilerek uygulanmaktadır.
Kişisel verilerin imhasına yönelik, Dr. Çiğdem Ünal Gülmeden tarafından alınan başlıca teknik ve idari tedbirler aşağıda listelenmiştir:
- Çiğdem Ünal Gülmeden , çalışanlarına kişisel verilerin periyodik ve usulüne uygun imha edilmesi konusunda bilgilendirmekte ve eğitim vermektedir.
- Kişisel veri imha işlemi, Çiğdem Ünal Gülmeden tarafından gerçekleştirilmektedir.
- Çiğdem Ünal Gülmeden , saklama ve veri imha süreleri bazında kişisel veri envanterini değerlendirip takip ederek denetimler yapmaktadır.
Kişisel Verilerin İmha Edilme Yöntemleri
1-Kişisel Verilerin Silinmesi
Kişisel verilerin silinmesi, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Dr. Çiğdem Ünal Gülmeden, kişisel verileri silmek için verilerin kaydedildiği ortama bağlı olarak aşağıda belirtilen yöntemleri kullanabilmektedir:
Kayıt Ortamı |
Veri İmha Yöntemi |
Bulut altyapısında üçüncü taraf yazılımları, veri işleme amaçlarına göre farklı yazılımlar |
Silme Komutu Verme |
Yazılımdan güvenli olarak silme |
Tamamen veya kısmen otomatik olan yollarla işlenen ve dijital ortamlarda muhafaza edilen veriler silinirken; ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilecek biçimde verinin ilgili yazılımdan silinmesine ilişkin yöntemler kullanılır. |
Fiziksel ortamda yer alan kişisel veriler |
İlgili kişisel verilerin fiziksel olarak kesilerek belgeden çıkartılması veya geri döndürülemeyecek ve teknolojik çözümlerle okunamayacak şekilde sabit mürekkep kullanılarak görünmeyecek hale getirilmesi, üzeri okunamayacak şekilde çizilerek, boyanarak, silinerek karartma işlemi uygulanmasıdır. |
2-Kişisel Verilerin Yok Edilmesi
Kişisel verilerin yok edilmesi, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Dr. Çiğdem Ünal Gülmeden, kişisel verileri silmek için verilerin kaydedildiği ortama bağlı olarak aşağıda belirtilen yöntemlerden bir veya birkaçını kullanabilmektedir:
Kayıt Ortamı |
Veri İmha Yöntemi |
Bulut altyapısında üçüncü taraf yazılımları |
Kayıt ortamının şifreli tutulması ve silme işlemi sonucunda şifreleme anahtarlarının tüm kopyalarını yok etme |
FTP veya plesk control paneli içine online sunucu da kayıt olan veriler |
Kişisel verilerden saklanmasını gerektiren süre sona erenlerin yazılım panelinden silinerek yok edilmesi işlemidir. |
Fiziksel ortamda yer alan kişisel veriler |
Kâğıt ortamında yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, kâğıt kırpma makinelerinde veya yakma yöntemi ile geri döndürülemeyecek şekilde yok edilir. Orijinal kâğıt formattan tarama yoluyla, elektronik ortama aktarılan kişisel veriler ise bulundukları ortama göre uygun yöntemlerle yok edilirler. |
3-Kişisel Verilerin Anonim Hale Getirilmesi
Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir şekilde kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir. Kişisel verilerin anonim hale getirilmiş olması için; kişisel verilerin, veri sorumlusu, alıcı veya alıcı grupları tarafından geri döndürme ve verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi ilişkilendirilememesi gerekmektedir. KVKK’nın 28. maddesine uygun olarak; anonim hale getirilmiş olan kişisel veriler araştırma, planlama ve istatistik gibi amaçlarla işlenebilir. Bu tür işlemeler KVKK kapsamı dışında olacağından veri sahibinin açık rızası aranmayacak ve başvuru hakları bu veriler için geçerli olmayacaktır. Dr. Çiğdem Ünal Gülmeden, kişisel verileri anonim hale getirmek için aşağıda belirtilen yöntemi kullanabilecektir:
- Toplulaştırma:Veri toplulaştırma yöntemi ile birçok veri toplulaştırılmakta ve kişisel veriler herhangi bir kişiyle ilişkilendirilemeyecek hale getirilmektedir. Örneğin, hastaların doğum yıllarını tek tek göstermeksizin, 1982 yılında doğan 50 hizmet alan kişinin bulunduğunun ortaya konulmasıdır.
Kişisel Verileri Saklama ve İmha Süreçlerinde Yer Alanların Unvanları, Birimleri ve Görev Tanımları
Kişisel veri saklama ve imha sürecinde yer alan personelin unvanlarına ve görev tanımlarına işbu Politika’nın Ek-1’inde yer alan listeden ulaşabilirsiniz.
Kişisel Verilerin Periyodik İmha Süreleri
Dr. Çiğdem Ünal Gülmeden , kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde, kişisel verileri silmekte, yok etmekte veya anonim hale getirmektedir. Yönetmeliğin 11. maddesi gereğince, periyodik imha süresini 6 ay olarak belirlemiştir; ancak telafisi güç veya imkânsız zararların doğması ve açıkça hukuka aykırılık olması halinde, Kurul’un bu madde ve imha süreleri tablosunda belirlenen süreleri kısaltabileceği kabul edilmektedir. Buna göre, her yıl Haziran ve Aralık aylarında periyodik imha işlemi gerçekleştirilir.
KİŞİSEL VERİLERİN SAKLANMASINA VE İMHASINA DAİR GÖREVLER
Dr. Çiğdem Ünal Gülmeden tarafından kişisel verilerin korunması mevzuatına uygunluğun sağlanması, muhafazası, sürdürülmesi, yönetilmesi ve geliştirilmesine önem verilmektedir.
Bu kapsamda aşağıdaki görevler yerine getirilmektedir:
- Kişisel verilerin işlenmesi, saklanması, korunması ve imhası ile ilgili temel politikaları hazırlamak, politikaların uygulanmasını sağlamak, mevzuata ve Muayenehane politikasına uyumluluk sürecini koordine etmek ve yönetmek,
- Kurul’un talep, istek, şikâyet ve bildirimleri ile ilgili Muayenehane bünyesinde gerekli faaliyet ve düzenlemeleri yapmak,
- İlgili kişilerden gelecek talep, istek, şikâyet ve bildirimleri ile ilgili Muayenehane bünyesinde gerekli faaliyet ve düzenlemeleri yapmak,
- Kişisel veri işleme envanterini güncellemek ve veri işleme faaliyetlerini takip etmek, raporlamak ve değişiklik olması halinde Verbis’de gerekli güncellemeleri yapmak,
- Çalışanın farkındalığı için eğitim organize etmek ve verimliliği ölçmek,
- KVKK uyumluluğu kapsamında kişisel veri işleme faaliyetlerinde oluşabilecek riskleri tespit ederek gerekli önlemlerin alınmasını temin etmek,
- Veri gizliliği ihlali durumları ile ilgili süreçleri ve düzeltici faaliyetleri yönetmek,
- Kurul duyuruları ve mevzuata ilişkin gelişmeleri takip etmektir.
GÜNCELLEME VE DEĞİŞİKLİKLER
Dr. Çiğdem Ünal Gülmeden tarafından iş bu Politika, ihtiyaç duyuldukça gözden geçirilir ve gerekli olan bölümler güncellenir. Kanun’da yapılan değişiklikler nedeniyle, Kurul kararları uyarınca veya sektördeki ya da bilişim alanındaki gelişmeler doğrultusunda işbu Politika ve bu Politika’ya bağlı ve ilişkili diğer politikalarda değişiklik yapma hakkı saklı tutulmaktadır. Politika’da yapılan değişiklikler metne işlenmekte ve değişikliklere ilişkin açıklamalar Politika’nın sonunda açıklanmaktadır.
POLİTİKANIN YAYINLANMASI VE SAKLANMASI
Politika, ıslak imzalı (basılı kâğıt) ve elektronik ortamda olmak üzere iki farklı ortamda yayımlanır, internet sayfasında kamuya açıklanır. Basılı kâğıt nüshası da dosyasında saklanır.
POLİTİKANIN YÜRÜRLÜĞÜ VE YÜRÜRLÜKTEN KALDIRILMASI
Politika, internet sitesinde yayınlanmasının ardından yürürlüğe girmiş kabul edilir. Yürürlükten kaldırılmasına karar verilmesi halinde, Politika’nın ıslak imzalı eski nüshaları iptal edilerek (iptal yazılarak) imzalanır ve en az 5 yıl süre ile saklanır.
Ekler:
Ek-1: Kişisel Verileri Saklama ve İmha Süreçlerinde Yer Alanların Unvanlarına, Birimlerine ve Görev Tanımlarına İlişkin Tablo
PERSONEL |
GÖREV |
SORUMLULUK |
Asistan |
İnsan Kaynakları Departmanı |
Özel nitelikli kişisel veriler haricindeki kişisel verilerin işlenmesi, korunması ve saklamasına ilişkin süreçlerin işlerliğinin denetlenmesi, süreçlerin saklama süresine uygunluğunun sağlanması ve periyodik imha sürecinin yönetimi. |
Asistan |
Muhasebe Departmanı |
Finans ve muhasebeye ilişkin süreçlerin yönetimi. |
Ek-2: Kişisel Verileri Saklama ve İmha Süreleri Tablosu
Kişisel veriler, aşağıdaki tabloda belirtilen süreler boyunca saklanacak, süre sonunda ise anonim hale getirilecek veya yok edilecektir.
VERİ KATEGORİSİ |
VERİ SAKLAMA SÜRESİ |
İMHA SÜRESİ |
Kimlik |
Hizmet akdinin sona ermesinden itibaren 20 Yıl |
Saklama süresinin bitimini takip eden 180 gün içerisinde. |
İletişim |
Hizmet akdinin sona ermesinden itibaren 20 Yıl |
Saklama süresinin bitimini takip eden 180 gün içerisinde |
Özlük |
Hizmet akdinin sona ermesinden itibaren 10 Yıl |
Saklama süresinin bitimini takip eden 180 gün içerisinde |
Fiziksel Mekan Verileri |
Kaydın Alınmasını Müteakip 3 ay |
Saklama süresinin bitimini takip eden 180 gün içerisinde |
İşlem Güvenliği |
Verilerin elde edilmesinden itibaren 2 Yıl |
Saklama süresinin bitimini takip eden 180 gün içerisinde |
Finans |
Hizmet akdinin sona ermesinden itibaren 10 Yıl |
Saklama süresinin bitimini takip eden 180 gün içerisinde |
Görsel Ve İşitsel Veriler |
Hizmet akdinin sona ermesinden itibaren 20 Yıl |
Saklama süresinin bitimini takip eden 180 gün içerisinde |
Irk ve Etnik Köken Verileri |
Hizmet akdinin sona ermesinden itibaren 20 Yıl |
Saklama süresinin bitimini takip eden 180 gün içerisinde |
Sağlık Verileri |
Hizmet akdinin sona ermesinden itibaren 20 Yıl |
Saklama süresinin bitimini takip eden 180 gün içerisinde |
Cinsel Hayat |
Hizmet akdinin sona ermesinden itibaren 20 Yıl |
Saklama süresinin bitimini takip eden 180 gün içerisinde |
Ceza Mahkumiyeti ve Güvenlik Tedbirleri |
Hizmet akdinin sona ermesinden itibaren 10 Yıl |
Saklama süresinin bitimini takip eden 180 gün içerisinde |
Genetik |
Hizmet akdinin sona ermesinden itibaren 20 Yıl |
Saklama süresinin bitimini takip eden 180 gün içerisinde |
Muayenehanenin ilgili kişisel veriyi kullanma amacı sona ermedi ise, mevzuat gereği ilgili kişisel veri için öngörülen saklama süresi tabloda yer alan sürelerden fazla ise veya konuya ilişkin dava zaman aşımı süresi kişisel yerinin tabloda yer alan sürelerden fazla saklanmasını gerektiriyorsa, yukarıdaki tabloda yer alan süreler uygulanmayabilecektir. Bu halde kullanım amacı, özel mevzuat veya dava zaman aşımı süresinden hangisi daha sonra sona eriyor ise o süre uygulama alanı bulacaktır. Bahse konu süreler, çalışanlar için iş sözleşmesinin feshi tarihinden, tedarikçi ve hizmet alan kişiler için sözleşmenin sona erme tarihinden veya sözleşme yoksa son işlemin yapıldığı tarihten itibaren başlar.
Dr. Çiğdem Ünal Gülmeden Muayenehanesi