1. GİRİŞ
Veri sorumlusu olarak Tuna Mah Yalı Blv No:160/1 Karşıyaka/ İzmir adresinde mukim Op. Dr. Tahir Şen Kliniği için çalışanları ve ilişki içinde olduğu diğer gerçek kişilere ait kişisel verilerin korunması büyük önem arz etmektedir. Kişisel verilerin işlenmesi ve korunması süreçleri için işbu Politika ve Klinik bünyesindeki diğer yazılı politikalar ile yönetilen süreç ve hedeflenen gaye; çalışanlarımızın, çalışan adaylarımızın, stajyerlerimizin, ziyaretçilerimizin, iş birliği içinde olduğumuz kurum çalışanlarının ve üçüncü kişilerin kişisel verilerinin hukuka uygun biçimde işlenmesi ve korunmasıdır.
Bu kapsamda, 6698 sayılı Kanun ve ilgili mevzuat gereğince kişisel verilerin işlenmesi ve korunması için Klinik tarafından gereken idari ve teknik tedbirler alınmaktadır.
Bu politika kapsamında kişisel verisi işlenen gerçek kişiler, İlgili Kişi olarak ifade edilmiştir.
Bu Politika’ da kişisel verilerin işlenmesi süreçleri için KVKK md. 4’te de yer aldığı üzere Kliniğin benimsediği, aşağıda belirtilen temel prensipler açıklanacaktır:
2. POLİTİKA’NIN AMACI
Bu Politika’ nın temel amacı, Klinik tarafından hukuka uygun bir biçimde yürütülen kişisel veri işleme faaliyeti ve kişisel verilerin korunmasına yönelik benimsenen sistemler konusunda açıklamalarda bulunmak, bu kapsamda çalışanlarımızı, çalışan adaylarımızı, hissedar/ortak, potansiyel ürün veya hizmet alıcısı, stajyer, tedarikçi çalışanı, tedarikçi yetkilisi, ürün veya hizmet alan kişi, veli / vasi / temsilci, ziyaretçi ve iş birliği içinde olduğumuz diğer kişileri bilgilendirerek şeffaflık sağlamaktır.
3. POLİTİKA’NIN KAPSAMI
Bu Politika; müşterilerimizin, çalışanlarımızın, çalışanlarımızı, çalışan adaylarımızı, stajyerlerimizi, ziyaretçilerimizi ve iş birliği içinde olduğumuz kurumların hissedar ve çalışanlarını ve üçüncü kişilerin otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen tüm kişisel verilerine ilişkindir.
İLGİLİ KİŞİ KATEGORİLERİ |
AÇIKLAMA |
Hissedar/Ortak |
Klinik’in Paydaşı gerçek kişilerdir. |
Potansiyel Ürün veya Hizmet Alıcısı / Yetkilisi |
Klinik’in iş ilişkisi içerisinde bulunma potansiyeli taşıdığı gerçek ve tüzel kişilerin paydaşları ve yetkilileri dâhil olmak üzere tüm gerçek kişilerdir |
Potansiyel Ürün veya Hizmet Alıcısı Çalışanı |
Klinik’in iş ilişkisi içerisinde bulunma potansiyeli taşıdığı gerçek ve tüzel kişiler bünyesinde çalışan gerçek kişilerdir. |
Ürün veya Hizmet Alıcısı / Yetkilisi |
Klinik’in her türlü iş ilişkisi içerisinde bulunduğu gerçek ve tüzel kişilerin paydaşları ve yetkilileri dâhil olmak üzere tüm gerçek kişilerdir |
Ürün veya Hizmet Alıcısı Çalışanı |
Klinik’in her türlü iş ilişkisi içerisinde bulunduğu gerçek ve tüzel kişiler bünyesinde çalışan gerçek kişilerdir. |
Tedarikçi Yetkilisi |
Klinik’in ticari faaliyetlerini yürütürken, Şirket emir ve talimatlarına uygun olarak, sözleşme temelli olarak, Klinik’e hizmet sunan taraflar. Klinik’in tedarik hizmetini gören gerçek ve tüzel kişiler, bunların paydaşları ve yetkilileri gerçek kişilerdir. |
Tedarikçi Çalışanı |
Klinik’in tedarik hizmetini gören gerçek ve tüzel kişiler bünyesinde çalışan gerçek kişilerdir. |
Çalışan/Stajyer |
Klinikte iş sözleşmesi ile hizmet ifa eden gerçek kişilerdir. |
Çalışan Adayı |
Klinik’e herhangi bir yolla iş başvurusunda bulunmuş ya da özgeçmiş ve ilgili bilgilerini Şirket’in incelemesine açmış olan gerçek kişilerdir. |
Ziyaretçi |
Klinik’in sahip olduğu fiziksel yerleşkelere çeşitli amaçlarla giren veya internet sitelerini herhangi bir amaç ile ziyaret eden tüm gerçek kişilerdir. |
Üçüncü Kişi |
Yukarıda yer verilen İlgili Kişi kategorileri ile Klinik çalışanları hariç gerçek kişilerdir. |
Veli/ Vasi |
Klinik’in her türlü iş ilişkisinde bulunduğu gerçek ve tüzel kişilerin velisi yahut vasisi konumunda bulunan gerçek kişilerdir. |
KlinikYetkilisi |
Opr Dr Tahir Şen |
İşbu Politika’da yer verilen kavramlar aşağıda belirtilen anlamları ifade eder:
TERİM |
TANIM |
Alıcı Grubu |
Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisi |
Açık Rıza |
Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza |
Anonim hâle getirme |
Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesi |
Aydınlatma |
Veri sorumlusu ve varsa temsilcisinin kimliği, kişisel verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi ile ilgili kişinin diğer haklarının neler olduğu konusunda kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi tarafından ilgili kişiye yapılan bilgilendirme |
Aydınlatma Yükümlülüğü |
Kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi, ilgili kişilere; · Veri sorumlusunun ve varsa temsilcisinin kimliği, · Kişisel verilerin hangi amaçla işleneceği, · İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, · Kişisel veri toplamanın yöntemi ve hukuki sebebi, · Kanun’un 11 inci maddesinde sayılan diğer hakları, konusunda bilgi verme yükümlülüğü |
EBYS |
Elektronik Belge Yönetim Sistemi |
Elektronik Ortam |
Kişisel verilerin elektronik aygıtlar ile oluşturulabildiği, okunabildiği, değiştirilebildiği ve yazılabildiği ortamlar |
Elektronik Olmayan Ortam |
Elektronik ortamların dışında kalan tüm yazılı, basılı, görsel vb. diğer ortamlar |
Hizmet Sağlayıcı |
ŞİRKET ile belirli bir sözleşme çerçevesinde hizmet sağlayan gerçek veya tüzel kişi |
İlgili Kişi |
Kişisel verisi işlenen gerçek kişi |
İlgili Kullanıcı |
Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen gerçek veya tüzel kişi |
İmha |
Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi |
İrtibat Kişisi |
Türkiye’de yerleşik olan gerçek ve tüzel kişiler için veri sorumlusu tarafından, Türkiye’de yerleşik olmayan gerçek ve tüzel kişiler için de veri sorumlusu temsilcisi tarafından, Kanun ve bu Kanuna dayalı olarak çıkarılacak ikincil düzenlemeler kapsamındaki yükümlülükleriyle ilgili olarak, Kurum ile iletişimi sağlamak amacıyla Sicile kayıt esnasında bildirilen gerçek kişi |
Kanun |
6698 sayılı Kişisel Verilerin Korunması Kanunu |
Kayıt Ortamı |
Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam |
Kişisel Veri |
Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi |
Kişisel Veri İşleme Envanteri |
Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel veri işleme faaliyetlerini; kişisel veri işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanteri |
Kişisel Verilerin İşlenmesi |
Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, saklanması, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem |
Kurul |
Kişisel Verileri Koruma Kurulu |
Kurum |
Kişisel Verileri Koruma Kurumu |
KVKK |
6698 sayılı Kişisel Verilerin Korunması Kanunu |
KVK Komitesi |
Klinik Kişisel Verileri Koruma Komitesi |
Özel Nitelikli Kişisel Veri |
Kişilerin, ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri |
Periyodik İmha |
Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla re’sen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi |
Politikalar |
Klinik Kişisel Verileri Saklama ve İmha Politikası, Klinik Kişisel Verilerin Korunması ve İşlenmesi Politikası ve Özel Nitelikli Kişisel Verilerin Korunması ve İşlenmesi Politikası |
KLİNİK |
Op. Dr. Tahir Şen Kliniği |
Veri İşleyen |
Veri sorumlusunun verdiği yetkiye dayanarak veri sorumlusu adına kişisel verileri işleyen gerçek veya tüzel kişi |
Veri kayıt sistemi |
Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini |
Veri Sorumlusu |
Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu gerçek veya tüzel kişi |
Veri Sorumluları Sicil Bilgi Sistemi |
Veri sorumlularının Sicile başvuruda ve Sicile ilişkin ilgili diğer işlemlerde kullanacakları, internet üzerinden erişilebilen, Başkanlık tarafından oluşturulan ve yönetilen bilişim sistemi |
VERBİS |
Veri Sorumluları Sicil Bilgi Sistemi |
YÖNETMELİK |
28 Ekim 2017 tarihli Resmi Gazetede yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik |
4. İLGİLİ KİŞİLERİN AYDINLATILMASI VE BİLGİLENDİRİLMESİ
Klinik; KVKK’ nun 10. maddesine uygun olarak, kişisel verilerin elde edilmesi sırasında kişisel veri sahiplerini aydınlatmaktadır. Bu kapsamda Klinik, veri sorumlusunun kimliği, varsa temsilcisinin kimliği, kişisel verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplama yöntemi ve hukuki sebebi ile ilgili kişinin sahip olduğu haklar konusunda ilgili kişinin niteliğine ve veri işleme sürecine göre aydınlatma yapmaktadır. Bu kapsamda Klinik yerleşkesinde ziyaretçilerin görebilecekleri alanlara Aydınlatma Metinleri yerleştirilmiştir. Klinik web sitesinde bu Politika ile birlikte aydınlatma metinleri ve başvuru formu da yayınlanmıştır.
5. KİŞİSEL VERİLERİN KORUNMASINA İLİŞKİN HUSUSLAR
Klinik nezdinde, meşru ve hukuka uygun kişisel veri işleme amaçları doğrultusunda, KVKK’nun 5. maddesinde belirtilen kişisel veri işleme şartlarından bir veya birkaçına dayalı ve bunlarla sınırlı olarak, başta kişisel verilerin işlenmesine ilişkin 4. maddede belirtilen ilkeler olmak üzere, KVKK’nda belirtilen genel ilkelere ve KVKK’nda düzenlenen tüm yükümlülüklere uyularak ve işbu Politika kapsamındaki ilgili kişilerle sınırlı olarak aşağıda belirtilen kategorilerdeki kişisel veriler, ilgili kişiler bilgilendirilmek suretiyle işlenmektedir.
Klinik, Kişisel Verileri Koruma Kurumu tarafından çıkarılan Veri Sorumluları Sicili Yönetmeliği uyarınca kişisel veri envanteri oluşturmuştur. Bu veri envanterinde veri kategorileri, verinin kaynağı, veri işleme amaçları, veri işleme süreci, verilerin aktarıldığı alıcı grupları ve saklama süreleri yer almaktadır. Bu kapsamda Şirketimiz kişisel veri envanteri içerisinde aşağıda sayılanlarla sınırlı olmamak kaydıyla belirtilen veri kategorileri bulunmaktadır.
KİŞİSEL VERİ KATEGORİZASYONU |
KİŞİSEL VERİ KATEGORİZASYONU AÇIKLAMASI |
Kimlik |
ad soyad, anne - baba adı, anne kızlık soyadı, doğum tarihi, doğum yeri, medeni hali, nüfus cüzdanı seri sıra no, tc kimlik no gibi |
İletişim |
adres no, e-posta adresi, iletişim adresi, kayıtlı elektronik posta adresi (KEP), telefon no gibi |
Lokasyon |
bulunduğu yerin konum bilgileri |
Özlük |
bordro bilgileri, disiplin soruşturması, işe giriş-çıkış belgesi kayıtları, mal bildirimi bilgileri, özgeçmiş bilgileri, performans değerlendirme raporları gibi |
Hukuki İşlem |
adli makamlarla yazışmalardaki bilgiler, dava dosyasındaki bilgiler gibi |
Müşteri İşlem |
çağrı merkezi kayıtları, fatura, senet, çek bilgileri, gişe dekontlarındaki bilgiler, sipariş bilgisi, talep bilgisi gibi |
Fiziksel Mekan Güvenliği |
çalışan giriş çıkış kayıt bilgileri, kamera kayıtları gibi |
İşlem Güvenliği |
IP adresi bilgileri, internet sitesi giriş çıkış bilgileri, şifre ve parola bilgileri gibi |
Risk Yönetimi |
ticari, teknik, idari risklerin yönetilmesi için işlenen bilgiler gibi |
Finans |
bilanço bilgileri, finansal performans bilgileri, kredi ve risk bilgileri, malvarlığı bilgileri, banka bilgileri |
Mesleki Deneyim |
diploma bilgileri, gidilen kurslar, meslek içi eğitim bilgileri, sertifikalar, transkript bilgileri gibi |
Görsel ve İşitsel Kayıtlar |
görsel ve işitsel kayıtlar |
Kılık ve Kıyafet |
kılık ve kıyafete ilişkin bilgiler |
Sağlık Bilgileri |
Sakatlık Durumu/Tanımı/Yüzdesi, Sakatlık İndiriminden Faydalanıyorsa Gelir İdaresi Başkanlığından Alınan İndirim Yazısı, Sakatlık Durumu/Tanımı/Yüzdesi, Sakatlık İndiriminden Faydalanıyorsa Gelir İdaresi Başkanlığından Alınan İndirim Yazısı, Kan Grubu, Sağlık Raporları, İşbaşı Sağlık Raporu, Akciğer Filmi, Odyo Testi, Solunum Fonksiyon Testi, Boğaz Kültürü, Yemekhane çalışanı iseniz Gayta Testi Kan Grubu, Hekiminin İmzalattığı İşe Giriş Ve Periyodik Muayene Formları, Hamilelik Durumu, Hamilelik Raporu, Sağlık Ve Doğum İzni Bilgileri, İş Kazası Raporları ve Belgeleri |
Biyometrik Veri |
Parmak izi, Yüz Okuma |
Diğer |
Askerlik Durumu Bilgisi, Eş ve Çocuk Bilgisi, Araç Plaka Kaydı |
Pazarlama |
alışveriş geçmişi bilgileri, anket, çerez kayıtları, kampanya çalışmasıyla elde edilen bilgiler |
Klinik veri işleme faaliyetleri kapsamında ve Klinik içinde kullanılan veri türlerini esas alarak oluşturduğu Klinik Kişisel Veri Envanteri’nde; yukarıda gösterilen tabloda gösterilmiştir.
Ayrıca HTR-IS01-BGYS Varlık Yönetimi Standardı, HTR-IS19- Şirketimiz Veri Saklama ve İmha Standardı ve HTR-IS20-Şirketimiz Veri Sınıflandırması ve Koruması Standardı doğrultusunda veri sınıflandırmalarını tamamlamış ve IS07-F-16-Veri Süre Cetvelinde saklama sürelerini, gerekçeleriyle tespit etmiştir
6. KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN HUSUSLAR
6.1. Kişisel Veri Toplama Yöntemi ve Hukuki Sebebi Klinik ile İlgili Kişi arasındaki ticari, hukuki, sözleşmesel veya bir başka surette kurulan ilişki kapsamında; aşağıda detaylı olarak belirtilen amaçlar çerçevesinde ve 6698 sayılı Kanun’un 5. Maddesinin 2. Fıkrası ve devamındaki hukuka uygunluk sebeplerine istinaden veya böyle bir sebep bulunmaması halinde açık rızaya istinaden; Kişisel Veriler, Klinik tarafından doğrudan ilgili kişiden elektronik veya fiziksel ortamlarda toplanmakta ve işlenebilmektedir. Bu hususta gerekli detaylar her bir İlgili Kişi için ayrıca hazırlanmış olan aydınlatma metinlerinde belirtilmiş ve İlgili Kişilere fiziki ve elektronik ortamlarda sunulmuştur (Tedarikçi aydınlatma metni, Müşteri Aydınlatma Metni, Çalışan / Stajyer/ Çalışan Adayı aydınlatma metni, Ziyaretçi Aydınlatma metni vb). veri işlemenin hukuki dayanağı olarak aşağıdaki hususlardan en az biri kabul edilmektedir.
İlgili kişinin açık rıza vermesi, kişisel verilerin hukuka uygun olarak işlenmesini mümkün kılan hukuki dayanaklardan yalnızca biridir. Açık rıza dışında, kanunda belirtilen şartlardan birinin varlığı durumunda da kişisel veriler işlenebilir. Kişisel veri işleme faaliyetinin dayanağı aşağıda belirtilen şartlardan yalnızca biri olabildiği gibi bu şartlardan birden fazlası da aynı kişisel veri işleme faaliyetinin dayanağı olabilir.
İşlenme Şartları |
Kapsamı |
Örnek |
Kanun Hükmü |
Vergi Mevzuatı, İş Mevzuatı, Ticaret Mevzuatı vb. |
Çalışana ait özlük bilgilerinin mevzuat gereği tutulması gerekir. |
Sözleşmenin İfası |
İş Akdi, Satış Sözleşmesi, Taşıma Sözleşmesi, Eser Sözleşmesi vb. |
Teslimat yapılması için şirketin adres bilgilerinin kaydedilmesi. |
Fiili İmkânsızlık |
Fiili imkânsızlık nedeniyle rıza veremeyecek olan ya da ayırt etme gücü olmayan kişi. |
Bilinci kapalı kişinin iletişim veya adres bilgisi. Kaçırılan bir kişinin konum bilgisi. |
Veri Sorumlusunun Hukuki Sorumluluğu |
Mali Denetimler, Güvenlik Mevzuatı, Sektör Odaklı Regülâsyonlarla Uyum. |
Bankacılık, Enerji, Sermaye Piyasaları gibi alanlara özel denetimlerde bilgi paylaşımı yapılması. |
Aleniyet Kazandırma |
İlgili kişinin kendisine ait bilgileri umumun bilgisine sunması. |
Kişinin, acil durumlarda ulaşılması için iletişim bilgisini ilan etmesi. |
Hakkın Tesisi, Korunması, Kullanılması |
Dava açılması, tescil işlemleri, her türlü tapu işlemi vb. işlerde kullanılması zorunlu veriler. |
İşten ayrılan bir çalışana ait gerekli bilgilerin dava zaman aşımı boyunca saklanması. |
Meşru Menfaat |
İlgili Kişinin temel haklarına zarar gelmemek kaydıyla, veri sorumlusunun meşru menfaati için zorunlu olması halinde veri işlenebilir. |
Çalışan bağlılığını artıran ödül ve primler uygulanması amacıyla veri işlenmesi. |
Klinik, Anayasa’nın 20. maddesine ve KVKK’nun 4. Maddesine uygun olarak, kişisel verilerin işlenmesi konusunda; hukuka ve dürüstlük kurallarına uygun, doğru ve gerektiğinde güncel, belirli, açık ve meşru amaçlar güderek, amaçla bağlantılı, sınırlı ve ölçülü bir biçimde kişisel veri işleme faaliyetinde bulunmaktadır. Şirketimiz, kanunlarda öngörülen veya kişisel veri işleme amacının gerektirdiği süre kadar kişisel verileri muhafaza etmektedir.
6.2. Kişisel Veri İşleme Kriterleri
Klinik, KVKK’nun 10. Maddesine uygun olarak ilgili kişileri aydınlatmakta ve rıza alınması gereken durumlarda veri ilgililerinden rızalarını talep etmekte, bu kişisel verileri aşağıda belirtilen kriterleri esas alarak işlemektedir.
a. Hukuka ve Dürüstlük Kuralına Uygun İşleme
Klinik, kişisel verilerin işlenmesinde hukuksal düzenlemelerle getirilen ilkeler ile genel güven ve dürüstlük kuralına uygun hareket etmektedir. Dürüstlük kuralına uygun olma ilkesi uyarınca Klinik veri işlemedeki hedeflerine ulaşmaya çalışırken, ilgili kişilerin çıkarlarını ve makul beklentilerini dikkate almaktadır.
b. Kişisel Verilerin Doğru ve Gerektiğinde Güncel Olmasını Sağlama
Kişisel verilerin doğru ve güncel bir şekilde tutulması, Klinik açısından ilgili kişinin temel hak ve özgürlüklerinin korunması açısından gereklidir. Kişisel verilerin doğru ve gerektiğinde güncel olmasının sağlanması noktasında Klinik’in aktif özen yükümlülüğü bulunmaktadır. Bu sebeple Klinik tarafından ilgili kişinin bilgilerinin doğru ve güncel olarak tutulması için bütün iletişim kanalları açıktır.
c. Belirli, Açık ve Meşru Amaçlarla İşleme
Klinik, meşru ve hukuka uygun olan kişisel veri işleme amacını açık ve kesin olarak belirlemektedir. Şirketimiz, yürütmekte olduğu ticari faaliyet ile bağlantılı ve bunlar için gerekli olan kadar kişisel veriyi işlemektedir.
ç. İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma
Klinik kişisel verileri, iştigal konusu ile ilgili ve işinin yürütülmesi için gerekli olan amaçlar dahilinde işlemektedir. Bu sebeple Klinik , kişisel verileri belirlenen amaçların gerçekleştirilebilmesine elverişli bir biçimde işlemekte ve amacın gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınmaktadır. Örneğin, sonradan ortaya çıkması muhtemel ihtiyaçların karşılanmasına yönelik kişisel veri işleme faaliyeti yürütülmemektedir.
d. İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç için Gerekli Olan Süre Kadar Muhafaza Etme
Klinik, kişisel verileri ancak ilgili mevzuatta belirtildiği veya işlendikleri amaç için gerekli olan süre kadar muhafaza etmektedir. Bu kapsamda; Klinik öncelikle ilgili mevzuatta kişisel verilerin saklanması için bir süre öngörülüp öngörülmediğini tespit etmekte, bir süre belirlenmişse bu süreye uygun davranmakta, bir süre belirlenmemişse kişisel verileri işlendikleri amaç için gerekli olan ve şirketler topluluğunun yayınladığı Küresel Saklama Politikasında belirtilen süre kadar saklamaktadır. Klinik kişisel veri envanterindeki saklama sürelerini esas almakta olup, burada belirtilen süreler sonunda Kanun kapsamındaki yükümlülükler çerçevesinde kişisel veriler, verinin niteliğine ve kullanım amacına göre silinmekte, yok edilmekte veya anonimleştirilmektedir.
7. KLİNİK BİNASI GİRİŞLERİ İLE BİNA İÇERİSİNDE YAPILAN KİŞİSEL VERİ İŞLEME FAALİYETLERİ
Klinik tarafından güvenliğin sağlanması amacıyla, Klinik binasında güvenlik kamerasıyla izleme faaliyeti ile misafir giriş çıkışlarının takibine yönelik kişisel veri işleme faaliyetinde bulunulmaktadır.
Güvenlik kameraları kullanılması ve misafir giriş çıkışlarının kayıt altına alınması suretiyle Klinik tarafından kişisel veri işleme faaliyeti yapılmaktadır. Her iki faaliyetin de dayanağı, Kanun’un 5. Maddesinin 2. Fıkrasında belirtilen Meşru Menfaat ilkesidir.
Klinik, güvenlik kamerası ile izleme faaliyeti kapsamında; Kliniğin ve diğer kişilerin güvenliğini sağlamaya ilişkin menfaatlerini korumak gibi amaçlar taşımaktadır. Bu izleme faaliyeti, KVKK ve Özel Güvenlik Hizmetlerine Dair Kanun ve ilgili mevzuata uygun olarak sürdürülmektedir. Bu kapsamda kamera ile izleme yapıldığı bilgisi, tüm çalışan ve ziyaretçilere duyurulmakta ve kişiler aydınlatılmaktadır. Bildirim yazıları izleme yapılan alanların girişlerine asılmaktadır. Klinik tarafından KVKK’nun 12. maddesine uygun olarak, kamera ile izleme faaliyeti sonucunda elde edilen kişisel verilerin güvenliğinin sağlanması için gerekli teknik ve idari tedbirler alınmaktadır.
8.1. Şirketimiz Binasında, Tesis Girişlerinde ve İçerisinde Yürütülen Misafir Giriş Çıkışlarının Takibi
Klinik tarafından fiziksel mekân güvenliğinin sağlanması amacı ve bu Politika’ da belirtilen diğer amaçlarla, Şirketimiz binalarında ve tesislerinde misafir giriş çıkışlarının takibine yönelik kişisel veri işleme faaliyetinde bulunulmaktadır. Misafir olarak Şirketimiz binalarına gelen kişilerin adı ve soyadı, iletişim bilgisi elde edilirken ya da Şirketimiz nezdinde asılan ya da diğer şekillerde misafirlerin erişimine sunulan metinler aracılığıyla söz konusu kişisel veri sahipleri bu kapsamda aydınlatılmaktadırlar. Misafir giriş-çıkış takibi yapılması amacıyla elde edilen veriler yalnızca bu amaçla işlenmekte ve ilgili kişisel veriler fiziki ortamda veri kayıt sistemine kaydedilmektedir.
8.2. Klinik Tesislerinde Ziyaretçilere Sağlanan İnternet Erişimlerine İlişkin Kayıtların Saklanması
Klinik tarafından güvenliğin sağlanması amacı ve bu Politika’ da belirtilen diğer amaçlarla, bina ve tesisler içerisinde kalınan süre boyunca talep eden ziyaretçilere internet erişimi sağlanabilmektedir. Bu durumda internet erişimlerine ilişkin logo kayıtları 5651 Sayılı Kanun ve bu Kanuna göre düzenlenmiş olan mevzuatın amir hükümlerine göre tutulmakta, bu kayıtlar ancak yetkili kamu kurum ve kuruluşları tarafından talep edilmesi halinde veya Klinik içinde gerçekleştirilecek denetim süreçlerinde ilgili hukuki yükümlülüğü yerine getirmek amacıyla işlenmektedir.
9. KİŞİSEL VERİLERİN İŞLENME AMAÇLARI
KV İŞLEME AMAÇLARI |
|
1. Acil Durum Yönetimi Süreçlerinin Yürütülmesi 2. Bilgi Güvenliği Süreçlerinin Yürütülmesi 3. Çalışan Adayı / Stajyer / Öğrenci Seçme Ve Yerleştirme Süreçlerinin Yürütülmesi 4. Çalışan Adaylarının Başvuru Süreçlerinin Yürütülmesi 5. Çalışan Memnuniyeti Ve Bağlılığı Süreçlerinin Yürütülmesi 6. Çalışanlar İçin İş Akdi Ve Mevzuattan Kaynaklı Yükümlülüklerin Yerine Getirilmesi 7. Çalışanlar İçin Yan Haklar Ve Menfaatleri Süreçlerinin Yürütülmesi 8. Denetim / Etik Faaliyetlerinin Yürütülmesi 9. Eğitim Faaliyetlerinin Yürütülmesi 10. Erişim Yetkilerinin Yürütülmesi 11. Faaliyetlerin Mevzuata Uygun Yürütülmesi 12. Finans Ve Muhasebe İşlerinin Yürütülmesi 13. Firma / Ürün / Hizmetlere Bağlılık Süreçlerinin Yürütülmesi 14. Fiziksel Mekan Güvenliğinin Temini 15. Görevlendirme Süreçlerinin Yürütülmesi 16. Hukuk İşlerinin Takibi Ve Yürütülmesi 17. İç Denetim/ Soruşturma / İstihbarat Faaliyetlerinin Yürütülmesi 18. İletişim Faaliyetlerinin Yürütülmesi 19. İnsan Kaynakları Süreçlerinin Planlanması ve Yürütülmesi 20. İş Faaliyetlerinin Yürütülmesi / Denetimi 21. İş Sağlığı / Güvenliği Faaliyetlerinin Yürütülmesi 22. İş Süreçlerinin İyileştirilmesine Yönelik Önerilerin Alınması Ve Değerlendirilmesi 23. İş Sürekliliğinin Sağlanması Faaliyetlerinin Yürütülmesi 24. Lojistik Faaliyetlerinin Yürütülmesi 25. Mal / Hizmet Satın Alım Süreçlerinin Yürütülmesi 26. Mal / Hizmet Satış Sonrası Destek Hizmetlerinin Yürütülmesi |
27. Mal / Hizmet Satış Süreçlerinin Yürütülmesi 28. Mal / Hizmet Üretim Ve Operasyon Süreçlerinin Yürütülmesi 29. Müşteri İlişkileri Yönetimi Süreçlerinin Yürütülmesi 30. Müşteri Memnuniyetine Yönelik Aktivitelerin Yürütülmesi 31. Organizasyon Ve Etkinlik Yönetimi 32. Pazarlama Analiz Çalışmalarının Yürütülmesi 33. Performans Değerlendirme Süreçlerinin Yürütülmesi 34. Reklam / Kampanya / Promosyon Süreçlerinin Yürütülmesi 35. Risk Yönetimi Süreçlerinin Yürütülmesi 36. Saklama Ve Arşiv Faaliyetlerinin Yürütülmesi 37. Sosyal Sorumluluk Ve Sivil Toplum Aktivitelerinin Yürütülmesi 38. Sözleşme Süreçlerinin Yürütülmesi 39. Sponsorluk Faaliyetlerinin Yürütülmesi 40. Stratejik Planlama Faaliyetlerinin Yürütülmesi 41. Talep / Şikayetlerin Takibi 42. Taşınır Mal Ve Kaynakların Güvenliğinin Temini 43. Tedarik Zinciri Yönetimi Süreçlerinin Yürütülmesi 44. Ücret Politikasının Yürütülmesi 45. Ürün / Hizmetlerin Pazarlama Süreçlerinin Yürütülmesi 46. Veri Sorumlusu Operasyonlarının Güvenliğinin Temini 47. Yabancı Personel Çalışma Ve Oturma İzni İşlemleri 48. Yatırım Süreçlerinin Yürütülmesi 49. Yetenek / Kariyer Gelişimi Faaliyetlerinin Yürütülmesi 50. Yetkili Kişi, Kurum Ve Kuruluşlara Bilgi Verilmesi 51. Yönetim Faaliyetlerinin Yürütülmesi52. Ziyaretçi Kayıtlarının Oluşturulması Ve Takibi |
10. KİŞİSEL VERİLERİN AKTARILMASI
Klinik, hukuka uygun olan kişisel veri işleme amaçları doğrultusunda, gerekli güvenlik önlemlerini alarak, kişisel ilgili kişinin kişisel verilerini üçüncü kişilere aktarabilmektedir. Aktarım sebepleri aşağıda açıklanmıştır:
11. KLİNİK TARAFINDAN KİŞİSEL VERİLERİN AKTARILDIĞI ÜÇÜNCÜ KİŞİLER VE AKTARILMA AMAÇLARI
Klinik, KVKK’nun 10. maddesine uygun olarak kişisel verilerin aktarıldığı kişi gruplarını ilgili kişiye bildirmektedir.
Klinik, KVKK’nun 8. ve 9. maddelerine uygun olarak işbu Politika ile yönetilen veri sahiplerinin kişisel verilerini aşağıda sıralanan paydaş kategorilerine aktarılabilir:
VERİ AKTARIMI YAPILABİLECEK KİŞİLER |
TANIMI |
VERİ AKTARIM AMACI |
İş Ortağı |
Klinik’in, ticari faaliyetlerinin yürütülmesi gibi amaçlarla iş ortaklığı kurduğu taraflar |
İş ortaklığının kurulma amaçlarının yerine getirilmesini temin etmek amacıyla sınırlı olarak kullanabilir. |
Tedarikçi |
Klinik’in ticari faaliyetlerinin yürütülmesi kapsamında, Klinik’in emir ve talimatlarına uygun ve sözleşme temelli olarak Klinik’e hizmet sunan taraflar |
Klinik’in tedarikçiden dış kaynaklı olarak temin ettiği ve Klinik’in ticari faaliyetlerini yerine getirmek için gerekli hizmetlerin Klinik’e sunulmasını sağlamak amacıyla sınırlı olarak kullanabilir. Banka, Sigorta şirketi, Seyahat Acentası, Etkinlik Ajansı, Servis, Kargo, Eğitim Firmaları gibi |
|
|
|
Klinik Yetkilileri |
Klinik’in imzaya yetkili gerçek kişileri |
Klinik’in ticari faaliyetlerine ilişkin stratejilerin tasarlanması, en üst düzeyde yönetiminin sağlanması ve denetim amaçlarıyla sınırlı olarak kullanılabilir. |
Hukuken Yetkili Kamu Kurum ve Kuruluşları |
İlgili mevzuat hükümlerine göre Şirket’in bilgi ve belge almaya yetkili kamu kurum ve kuruluşları |
İlgili kamu kurum ve kuruluşlarının hukuki yetkisi dahilinde talep ettiği amaçla sınırlı olarak kullanılabilir. |
Hukuken Yetkili Özel Hukuk Kişileri |
İlgili mevzuat hükümlerine göre Şirket’ten bilgi ve belge almaya yetkili özel hukuk kişileri |
İlgili özel hukuk kişilerinin hukuki yetkisi dahilinde talep ettiği amaçla sınırlı olarak kullanılabilir. |
12. KİŞİSEL VERİLERİN KORUNMASINA İLİŞKİN HUSUSLAR
Klinik, KVKK’nun 12. maddesine uygun olarak, işlemekte olduğu kişisel verilerin hukuka aykırı olarak işlenmesini, verilere hukuka aykırı olarak erişilmesini önlemek ve verilerin muhafazasını sağlamak için uygun güvenlik düzeyini sağlamaya yönelik gerekli teknik ve idari tedbirleri almakta, bu kapsamda gerekli denetimleri yapmakta veya yaptırmaktadır.
12.1. Kişisel Verilerin Hukuka Uygun İşlenmesini ve Korunmasını Sağlamak için Alınan Tedbirler
Şirketimiz, kişisel verilerin hukuka uygun işlenmesini ve korunmasını sağlamak için, teknolojik imkânlar ve uygulama maliyetine göre teknik ve idari tedbirler almaktadır.
12.1.1. Teknik Tedbirler
Şirketimiz tarafından kişisel verilerin hukuka uygun işlenmesini sağlamak için alınan başlıca teknik tedbirler aşağıda sıralanmaktadır:
• Elektronik olan veya olmayan ortamlarda saklanan kişisel verilere erişim, erişim prensiplerine göre sınırlandırılmaktadır.
• Klinik internet sayfasına erişimde güvenli protokol (HTTPS) kullanılarak SHA 256 Bit RSA algoritmasıyla şifrelenmektedir.
• Özel nitelikli kişisel verilerin güvenliğine yönelik ayrı politika belirlenmiştir.
• Özel nitelikli kişisel veri işleme süreçlerinde yer alan çalışanlara yönelik özel nitelikli kişisel veri güvenliği konusunda eğitimler verilmiş, gizlilik sözleşmeleri yapılmış, verilere erişim yetkisine sahip kullanıcıların yetkileri tanımlanmıştır.
• Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği elektronik ortamlar kriptografik yöntemler kullanılarak muhafaza edilmekte, kriptografik anahtarlar güvenli ortamlarda tutulmakta, tüm işlem kayıtları loglanmakta, ortamların güvenlik güncellemeleri sürekli takip edilmekte, gerekli güvenlik testlerinin düzenli olarak yapılması/yaptırılması, test sonuçlarının kayıt altına alınması,
• Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği fiziksel ortamların yeterli güvenlik önlemleri alınmakta, fiziksel güvenliği sağlanarak yetkisiz giriş çıkışlar engellenmektedir.
• Özel nitelikli kişisel veriler e-posta yoluyla aktarılması gerekiyorsa şifreli olarak kurumsal e-posta adresiyle veya KEP hesabı kullanılarak aktarılmaktadır. Taşınabilir bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerekiyorsa kriptografik yöntemlerle şifrelenmekte ve kriptografik anahtar farklı ortamda tutulmaktadır. Farklı fiziksel ortamlardaki sunucular arasında aktarma gerçekleştiriliyorsa, sunucular arasında VPN kurularak veya sFTP yöntemiyle veri aktarımı gerçekleştirilmektedir. Kağıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemler alınmakta ve evrak “gizli” formatta gönderilmektedir.
12.1.2. İdari Tedbirler
Klinik tarafından kişisel verilerin hukuka uygun işlenmesi ve korunması için alınan idari tedbirler:
• Sızma (Penetrasyon) testleri ile Klinik bilişim sistemlerine yönelik risk, tehdit, zafiyet ve varsa açıklıklar ortaya çıkarılarak gerekli önlemler alınmaktadır.
• Bilgi güvenliği olay yönetimi ile gerçek zamanlı yapılan analizler sonucunda bilişim sistemlerinin sürekliliğini etkileyecek riskler ve tehditler sürekli olarak izlenmektedir.
• Bilişim sistemlerine erişim ve kullanıcıların yetkilendirilmesi, erişim ve yetki matrisi ile kurumsal aktif dizin üzerinden güvenlik politikaları aracılığı ile yapılmaktadır.
• Klinik’in bilişim sistemleri teçhizatı, yazılım ve verilerin fiziksel güvenliği için gerekli önlemler alınmaktadır.
• Çevresel tehditlere karşı bilişim sistemleri güvenliğinin sağlanması için, donanımsal (sistem odasına sadece yetkili personelin girişini sağlayan erişim kontrol sistemi, 7/24 çalışan izleme sistemi, yerel alan ağını oluşturan kenar anahtarların fiziksel güvenliğinin sağlanması, yangın söndürme sistemi, iklimlendirme sistemi vb.) ve yazılımsal (güvenlik duvarları, atak önleme sistemleri, ağ erişim kontrolü, zararlı yazılımları engelleyen sistemler vb.) önlemler alınmaktadır.
• Kişisel verilerin hukuka aykırı işlenmesini önlemeye yönelik riskler belirlenmekte, bu risklere uygun teknik tedbirlerin alınması sağlanmakta ve alınan tedbirlere yönelik teknik kontroller yapılmaktadır.
• Klinik içerisinde erişim prosedürleri oluşturularak kişisel verilere erişim ile ilgili raporlama ve analiz çalışmaları yapılmaktadır.
• Kişisel verilerin bulunduğu saklama alanlarına erişimler kayıt altına alınarak uygunsuz erişimler veya erişim denemeleri kontrol altında tutulmaktadır.
• Klinik, silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması için gerekli tedbirleri almaktadır.
• Kişisel verilerin hukuka aykırı olarak başkaları tarafından elde edilmesi halinde bu durumu ilgili kişiye ve Kurula bildirmek için Klinik tarafından buna uygun bir sistem ve altyapı oluşturulmuştur.
• Güvenlik açıkları takip edilerek uygun güvenlik yamaları yüklenmekte ve bilgi sistemleri güncel halde tutulmaktadır.
• Kişisel verilerin işlendiği elektronik ortamlarda güçlü parolalar kullanılmaktadır.
• Kişisel verilerin işlendiği elektronik ortamlarda güvenli kayıt tutma (loglama) sistemleri kullanılmaktadır.
• Kişisel verilerin güvenli olarak saklanmasını sağlayan veri yedekleme programları kullanılmaktadır.
· Özel Nitelikli kişisel veriler, Klinik bünyesinde mevcut sağlık ekibine ayrılmış fiziksel alanda saklanmakta ve erişime kapatılmaktadır.
Klinik aşağıdaki durumlarda Gizlilik Etki Analizi değerlendirmesi yapmaktadır:
• Kişisel veri içeren yeni projelerde,
• Kişisel veri aktarılan tedarikçi seçiminden önce,
• Pazarlama faaliyetleri kapsamında yapılacak aktiviteler öncesinde,
• Yukarıda belirtilen faaliyetlerdeki herhangi bir değişiklik söz konusu olduğunda,
• Gizlilik Etki Analizi, Klinik KVKK Komitesi onayına tabidir.
12.1.3. Kişisel Verilere Hukuka Aykırı Erişimin Engellenmesi için Alınan Teknik ve İdari Tedbirler
Klinik , kişisel verilerin tedbirsizlikle veya yetkisiz kişiler tarafından açıklanmasını, erişimini, aktarılmasını, Şirketimiz sistemleri nezdinde veri sızıntıları olmasını veya başka şekillerdeki tüm hukuka aykırı erişimi önlemek için; korunacak verinin sınıfı, niteliği, teknolojik imkânlar ve uygulama maliyetine göre teknik ve idari tedbirler almaktadır.
12.2. Kişisel Verilerin Korunması Konusunda Alınan Tedbirlerin Denetimi
Klinik bünyesinde KVKK Komitesi bulunmaktadır. KVKK Komitesi, veri sorumlusu olan klinik adına, Kanun’un 12. maddesinden kaynaklanan görevi gereği, kendi kurum veya kuruluşunda Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri bizzat yapmakta ve ihtiyaç halinde yetkin kuruluşlardan destek almak suretiyle yaptırmaktadır. Bu denetim sonuçlarına göre, tespit edilen ihlaller, olumsuzluklar ve uygunsuzluklar gerekli birimlere bildirilmekte ve bu birimler, bu hususlar nezdinde gereken tedbirleri aldırmaktadır. Klinik tarafından kişisel verilerin saklanması konusunda teknik gereklilikler sebebiyle dışarıdan bir hizmet alınması durumunda, kişisel verilerin hukuka uygun olarak aktarıldığı ilgili firmalar ile kişisel verilerin aktarıldığı kişilerin, kişisel verilerin korunması amacıyla gerekli güvenlik tedbirlerini alacağına ve kendi kuruluşlarında bu tedbirlere uyulmasını sağlayacağına ilişkin hükümler içeren ek sözleşmeler yapılmaktadır.
13. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN KORUNMASI
KVKK ile birtakım kişisel verilere, hukuka aykırı olarak işlendiğinde kişilerin mağduriyetine veya ayrımcılığa sebep olma riski nedeniyle özel önem atfedilmiştir. Bu veriler; ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir.
Klinik tarafından, KVKK ile “özel nitelikli” olarak belirlenen ve hukuka uygun olarak işlenen özel nitelikli kişisel verilerin korunmasında hassasiyetle davranılmaktadır. Bu kapsamda, Şirketimiz tarafından, kişisel verilerin korunması için alınan teknik ve idari tedbirler, özel nitelikli kişisel veriler bakımından özenle uygulanmakta ve Şirketimiz bünyesinde gerekli denetimler sağlanmaktadır.
Bu kapsamda, klinik bünyesinde verilen iş yeri hekimliği hizmeti sebebiyle çalışanların sağlık verileri işlenmekte olup bu özel nitelikli kişisel verilere erişebilen personele gerekli eğitimler verilmekte, bu personelin erişim yetkisi kapsam ve süreleri belirlenmekte ve periyodik olarak denetimler yapılmakta ve gizlilik sözleşmeleri imzalanmaktadır. İlgili personelin işten ayrılması durumunda erişim yetkisi derhal kaldırılmaktadır.
Çalışanların sağlık dosyalarında fiziki olarak saklanan kişisel sağlık verilerinin bulunduğu fiziki dosyalar kilitli ve sadece revir personelinin erişebildiği alanlarda saklanmaktadır. Çalışanların sağlık verilerine revir personeli dışında hiçbir birim erişememektedir.
14. KLİNİK ÇALIŞANLARININ KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ KONUSUNDAKİ EĞİTİMLERİ
Klinik, kişisel verilerin hukuka aykırı olarak işlenmesini, verilere hukuka aykırı olarak erişilmesini önlemeye ve verilerin muhafazasını sağlamaya yönelik farkındalığın artırılması için çalışanlarına, bayi ve yetkili servislerine gerekli eğitimlerin düzenlenmesini sağlamaktadır.
15. İLGİLİ KİŞİLERİN HAKLARI VE TALEPLERİ
Klinik, KVKK’n 13. maddesi gereğince ilgili kişi taleplerine karşı veri sorumlusu olarak, kişisel veri envanterinin eki mahiyetindeki Kişisel Veri Başvuru ve Yanıt Prosedürü ve Kanunda belirtilen başvuru koşullarını taşımayan başvurular için yazılı şablona yönlendirme prosedürleri oluşturulmuştur. Bu prosedürlere uygun olarak gerekli işlemlerin yapılabilmesi adına teknik hazırlıklar yapılmıştır. Klinik bünyesinde bu prosedürün uygulanmasını sağlayacak sistemsel altyapı mevcuttur.
Kişisel veri sahiplerinin aşağıda sıralanan haklarına ilişkin taleplerini; kimlik ibrazı ile şahsi başvuru ile, yazılı olarak veya kayıtlı elektronik posta (KEP) adresi, güvenli elektronik imza, mobil imza ya da ilgili kişi tarafından Kliniğe daha önce bildirilen ve klinik sisteminde kayıtlı bulunan elektronik posta adresini kullanmak suretiyle veya başvuru amacına yönelik geliştirilmiş bir yazılım ya da uygulama vasıtasıyla kliniğe kimlikleri teyit edilebilir bir biçimde iletmeleri durumunda klinik, talebin niteliğine göre talebi en geç otuz gün içinde ücretsiz olarak cevaplandıracaktır. Bu hususta detaylı açıklama aşağıda, bu Politikanın 16. maddesinde yapılmıştır.
Kişisel veri sahipleri, bu prosedüre uygun olarak yapacakları başvuru ile kendilerine ait kişisel verilerin tüm işlenme süreçleri, amaçları ve aktarım bilgileri de dahil Kanun’un ilgili maddesindeki tüm hakları talep edebileceklerdir.
16. İLGİLİ KİŞİLERİN HAKLARI; BU HAKLARIN KULLANILMASI
Klinik, KVKK’nun 10. maddesine uygun olarak ilgili kişinin haklarını kendisine bildirmekte ve 11. maddede düzenlenen bu hakların nasıl kullanılacağı konusunda ilgili kişiye yol göstermektedir. Klinik, kişisel veri sahiplerinin haklarının değerlendirilmesi ve kişisel veri sahiplerine gereken bilgilendirmenin yapılması için KVKK’nun 13. maddesine uygun olarak gerekli kanalları, iç işleyişi, idari ve teknik düzenlemeleri yürütmektedir.
16.1. İlgili Kişinin Hakları ve Bu Haklarını Kullanması
16.1.1. İlgili Kişinin Hakları
İlgili Kişiler aşağıda yer alan haklara sahiptirler:
a. Kişisel veri işlenip işlenmediğini öğrenme,
b. Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
c. Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp
kullanılmadığını öğrenme,
d. Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri
bilme,
e. Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların
düzeltilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin
aktarıldığı üçüncü kişilere bildirilmesini isteme,
f. KVKK ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına
rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel
verilerin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemin
kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
g. İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz
edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkması halinde
bu sonuca itiraz etme,
h. Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara
uğraması hâlinde zararın giderilmesini talep etme.
16.1.2. İlgili Kişinin Haklarını Kullanması
6698 sayılı Kanun’un 11. maddesinde belirtilen haklardan kullanmayı talep ettiğiniz hakkınıza yönelik açıklamalarınızı içeren talebinizi, “Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğe” göre web sitemizde bulunan Başvuru Formunu doldurarak ve formda belirtildiği biçimde direkt elden, KEP, posta veya hali hazırda kayıtlarımızda bulunan e-posta adresiniz vasıtası ile tarafımıza iletmeniz halinde başvurularınız en kısa sürede ve en geç 30 (otuz) gün içerisinde değerlendirilerek sonuçlandırılacaktır.
Başvurularda, ad, soyad ve başvuru yazılı ise imza, Türkiye Cumhuriyeti vatandaşları için TC kimlik numarası, yabancılar için uyruğu, pasaport numarası/kimlik numarası, tebligata esas yerleşim yeri veya işyeri adresi, varsa bildirime esas elektronik posta adresi, telefon veya faks numarası ve talep konusu bulunması zorunludur.
Talebin niteliğine ve yöntemine göre şirket, başvurunun gerçekten size ait olup olmadığını anlayabilmek ve haklarınızı korumak adına ilave teyit talep edebilir.
17. KİŞİSEL VERİLERİN İMHASI (SİLİNMESİ, YOK EDİLMESİ VE ANONİMLEŞTİRİLMESİ) ŞARTLARI
Türk Ceza Kanunu’nun 138. maddesinde, KVKK’nun 7. maddesinde ve Kurul tarafından çıkarılan “Kişisel Verilerin Silinmesi, Yok Edilmesi ve Anonimleştirilmesi Hakkında Yönetmelik” uyarınca, ilgili kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde Klinik’in kendi kararına istinaden veya kişisel İlgili Kişinin talebi üzerine kişisel veriler silinir, yok edilir veya anonim hâle getirilir. Şirketimiz bu konuda yönetmelik hükümlerine göre bir politika oluşturmuş olup, bu politika uyarınca verinin niteliğine göre imha yapmaktadır. Bu yönetmelik uyarınca Klinik tarafından periyodik imha tarihleri belirlenmiş olup, yükümlülüğün başlaması ile beraber çeşitli aralıklarla gerçekleştirilecek periyodik imha için gerekli takvim oluşturulmuştur.
18. ŞİRKETİMİZ KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASI’NIN DİĞER POLİTİKALARLA OLAN İLİŞKİSİ
Klinik, iş bu belge ile ortaya koyulan esasları, Şirketimiz bünyesindeki diğer veri varlıklarına ilişkin politikalar ve kişisel verilerin korunması ve işlenmesi konusunda iç kullanıma yönelik alt prosedürleri temel alarak oluşturmuştur.
19. KLİNİK KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ SÜREÇLERİ KOORDİNASYONU
Klinik tarafından KVKK düzenlemelerine uygun hareket edilmesini ve Kişisel Verilerin Korunması ve İşlenmesi Politikası' nın yürürlüğünü sağlamak için yönetim yapısı kurulmuştur.
Bu Komite’nin kişisel verilerin korunması ile ilgili görevleri aşağıda belirtilmektedir:
20. POLİTİKA’NIN YÜRÜRLÜĞÜ ve GÜNCELLENMESİ
Klinik tarafından düzenlenen bu Politika 31/12/2021 tarihinde yürürlüğe konulmuştur. Bu Politika, Klinik internet sitesinde ………………….. yayımlanır ve ilgili kişilerin erişimine sunulur.