KİŞİSEL VERİLERİN SAKLANMASI VE İMHASI POLİTİKASI

Prof. Dr. Dilek Erer(“Hekim”), 6698 sayılı Kişisel Verilerin Korunması Kanunu ve Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik uyarınca Veri Sorumlusu sıfatı ile işbu Kişisel Veri Saklama ve İmha Politikasını(“Politika”) düzenlemiştir. Kişisel Veri Saklama ve İmha Politikası, Prof. Dr. Dilek Erer tarafından işlenen her türlü Kişisel Verinin saklanması ve gerekli hallerde imhasına ilişkin süreçlerinin belirlenmesine yönelik olarak hazırlanmıştır.

  1. Tanımlar

“Açık Rıza”

Belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rıza anlamına gelmektedir.

 

“Çalışan”

Prof. Dr. Dilek Erer ile iş sözleşmesi veya vekalet sözleşmesine bağlı olarak işçi-işveren benzeri ilişkisi olan gerçek kişi anlamına gelmektedir.

 

“Kanun” veya “KVKK”

6698 sayılı Kişisel Verilerin Korunması Kanunu anlamına gelmektedir.

 

“Kişisel Veri”

Kimliği belirli veya belirlenebilir gerçek kişilere ilişkin her türlü bilgi anlamına gelmektedir.

 

“Kişisel Verinin Anonim Hale Getirilmesi”

İşbu Politika kapsamında kişisel verinin anonim hale getirilmesi, zaman zaman Yönetmelik’te yapılabilecek değişiklikleri de kapsayacak şekilde kişisel verinin başka verilerle eşleştirilmesi dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi işlemi anlamına gelmektedir.

 

“Kişisel Verinin İşlenmesi”

Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem anlamına gelmektedir.

 

“Kişisel Verinin Silinmesi”

İşbu Politika kapsamında kişisel verinin silinmesi, zaman zaman Yönetmelik’te yapılabilecek değişiklikleri de kapsayacak şekilde kişisel verinin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemi anlamına gelmektedir.

 

“Kişisel Verinin Yok Edilmesi”

İşbu Politika kapsamında kişisel verinin yok edilmesi, zaman zaman Yönetmelik’te yapılabilecek değişiklikleri de kapsayacak şekilde kişisel verinin hiçbir kimse tarafından, hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemi anlamına gelmektedir.

 

“Kurul”

Kişisel Verileri Koruma Kanunu anlamına gelmektedir.

 

“Özel Nitelikli Kişisel Veri”

 

 

 

 

 

Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri anlamına gelmektedir.

“Periyodik İmha”

Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla (imha şartları gerçekleştikten sonraki 6 (altı) ayda bir) re’sen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi anlamına gelmektedir.

 

“Politika”

İşbu Kişisel Veri Saklama ve İmha Politikası ve ileride bu kapsamda kabul edilebilecek diğer politikaların tamamı anlamına gelmektedir.

 

 

“Yönetmelik”

28.10.2017 tarihli Resmî Gazete’de yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik anlamına gelmektedir.

 

 

  1. Kapsam ve Amaç

Prof. Dr. Dilek Erer; Kanun, Yönetmelik ve sair mevzuat hükümleri uyarınca Veri Sorumlusu sıfatı ile işbu Politika’yı düzenlemiştir. Bu Politika, Prof. Dr. Dilek Erer tarafından işlenen her türlü Kişisel Verinin saklanması ve gerekli hallerde imhasına ilişkin süreçlerinin belirlenmesine yönelik olarak hazırlanmıştır. Resmi makam ve mercilerin bilgi edinme taleplerinin olması durumunda, konu ilgili mevzuat kapsamında değerlendirilecektir.

İşbu Politika veri sahiplerinin Prof. Dr. Dilek Erer tarafından işlenmekte olan bütün Kişisel Verilerini kapsamaktadır.

 İşbu Politika’nın kapsamı dahilinde Kişisel Verileri işlenen veri sahipleri aşağıdaki şekilde kategorize edilmektedir:

-          Çalışan Adayları

-          Çalışanlar/Yetkililer/Danışmanlar

-            Ziyaretçi

-            Hasta/Danışan

-            Hasta Yakını, Veli, Vasi

-          İş Ortakları, Tedarikçiler,

-           Hekim’in İç ve Dış Paydaşları,

İşlenecek Kişisel Verinin içeriği ve amacı Türkiye Cumhuriyeti Anayasası, Kanun, Yönetmelik, İş Kanunu ve Türkiye’deki diğer uygulanabilir mevzuata uygun olarak belirlenecektir. Kişisel veriler, gizli bilgi kategorisine girmektedir ve bu tür verilere erişim mevcut Türk yasaları ile sınırlandırılmıştır.

  1. Kayıt Ortamları

 

Faaliyetlerimizi yerine getirirken işlediğimiz ve sakladığımız kişisel verileri KVKK’ya uygun olarak aşağıda belirtilen kayıt ortamlarını kullanmaktayız.

 

Elektronik Ortamlar

Elektronik Olmayan Ortamlar

·       Bilgisayarlar (Masaüstü, Dizüstü)

·       Mobil Cihazlar (Telefon, Tablet)

·       Veri Tabanları (e-posta veri tabanı, dosya paylaşım, web, yedekleme vb.)

·       Yazılımlar

·       Taşınabilir Cihazlar (hard disk, USB bellekler, vs)

·       Google Drive

·       G-mail

·       Uygulama otomasyonları

·       Klinik Yönetim Sistemi Yazılımı

·       Whatsapp

 

·       Fiziki Dosyalama

·       Ofis ve Arşiv

 

  1. Saklamaya ve İmhaya İlişkin Açıklamalar

İşbu bölüm altında Prof. Dr. Dilek Erer tarafından işlenen Kişisel Veriler kaynaklarına göre sınıflandırılacak, bunların saklama koşulları açıklanacaktır.

Prof. Dr. Dilek Erer, kişisel veri sahibinin açık rızası ile veya Kanun’un 5. maddesinde öngörülen ve aşağıda sıralanmış olan hallerde açık rıza olmaksızın kişisel verileri işleyebilmektedir:

- Kanunlarda açıkça öngörülmesi.

- Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.

- Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.

- Prof. Dr. Dilek Erer’in hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.

- Kişisel veri sahibinin kendisi tarafından alenileştirilmiş olması.

- Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.

- Kişisel veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, meşru menfaatler için veri işlenmesinin zorunlu olması.

Özel nitelikli kişisel verilere ilişkin veri sahibinin açık rızası ile veya Kanun’un 6. maddesinde öngörülen ve aşağıda sıralanmış olan hallerde işleyebilmektedir:

- İlgili kişinin açık rızasının olması,

- Kanunlarda açıkça öngörülmesi,

- Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin, kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,

- İlgili kişinin alenileştirdiği kişisel verilere ilişkin ve alenileştirme iradesine uygun olması,

- Bir hakkın tesisi, kullanılması veya korunması için zorunlu olması,

- Sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlarca, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması, yönetimi ve finansmanı amacıyla gerekli olması,

- İstihdam, iş sağlığı ve güvenliği, sosyal güvenlik, sosyal hizmetler ve sosyal yardım alanlarındaki hukuki yükümlülüklerin yerine getirilmesi için zorunlu olması,

-  Siyasi, felsefi, dini veya sendikal amaçlarla kurulan vakıf, dernek ve diğer kâr amacı gütmeyen kuruluş ya da oluşumların, tâbi oldukları mevzuata ve amaçlarına uygun olmak, faaliyet alanlarıyla sınırlı olmak ve üçüncü kişilere açıklanmamak kaydıyla; mevcut veya eski üyelerine ve mensuplarına veyahut bu kuruluş ve oluşumlarla düzenli olarak temasta olan kişilere yönelik olması,

Kişisel Verilerin saklanması için ilgili mevzuatta belli bir süre öngörülüp öngörülmediğini tespit edilerek, Türk Ceza Kanunu’nun 138. maddesi ve Kanun’un 4 ve 7. maddelerine uygun olarak; işlenilen Kişisel Verilerin, yalnızca ilgili mevzuatta öngörülmüş bir süre olması halinde bu süre boyunca veya ilgili mevzuatta bir süre öngörülmemiş ise Kişisel Veri işleme amacının gerektirdiği süre kadar muhafaza edilmesi sağlanmaktadır.

Kişisel Verilerin işlenme amacı sona ermiş; ilgili mevzuat ve belirlenen saklama sürelerinin de sonuna gelinmişse; Kişisel Veriler yalnızca olası hukuki uyuşmazlıklarda delil teşkil etmesi veya Kişisel Veriye bağlı ilgili hakkın ileri sürülebilmesi veya savunmanın tesis edilmesi amacıyla kanunen öngörülen zamanaşımı süresi kadar saklanabilir. Kullanım amacı sonlanan ve yasal saklama süresi sona eren Kişisel Veriler ise, Kanun’un uyarınca Prof. Dr. Dilek Erer tarafından silinmekte, yok edilmekte veya anonim hale getirilmektedir.

  1. Kayıtların Saklanması

Kayıtları ve ilgili kişisel verileri, daha uzun süre saklamayı haklı gösteren yasal bir dayanak olmadığı sürece, hukuki yükümlülüklerin ifasına uygun süre boyunca saklamaktayız. İlgili saklama süresinin sona ermesinin ardından daha fazla saklamak için kanunen öngörülen bir nedenin olduğu durumlarda, bu tür bilgilerin imha edilmesi ertelenmeli ve bu tür bilgiler belirlenen, onaylanan ve yazılı olarak kaydedilen süre boyunca saklanmaya devam edilmelidir.

 

  1. Saklamayı Gerektiren İşleme Amaçları

Prof. Dr. Dilek Erer, faaliyetleri çerçevesinde işlemekte olduğu Kişisel Verileri aşağıdaki amaçlar doğrultusunda saklar:

  • Acil durum yönetimi süreçlerinin yürütülmesi.
  • Bilgi güvenliği süreçlerinin yürütülmesi.
  • Çalışan adayı/Stajyer yerleştirme süreçlerinin yürütülmesi.
  • Çalışan adaylarım başvuru süreçlerinin yürütülmesi.
  • Çalışan memnuniyeti ve bağlılığı süreçlerinin yürütülmesi.
  • Çalışanlar için iş akdi ve mevzuatlardan kaynaklı yükümlülüklerin yerine getirilmesi.
  • Çalışanlar için yeni haklar ve menfaatleri süreçlerinin yürütülmesi.
  • Denetim/Etik faaliyetlerin yürütülmesi.
  • Eğitim faaliyetlerinin yürütülmesi.
  • Erişim yetkilerinin yürütülmesi.
  • Faaliyetlerin mevzuata uygun yürütülmesi.
  • Finans ve muhasebe işlerinin yürütülmesi.
  • Firma ürün hizmetlerin bağlılık süreçlerinin yürütülmesi.
  • Fiziksel mekan güvenliği temini.
  • Görevlendirme süreçlerinin yürütülmesi.
  • Hukuk işlerinin takibi ve yürütülmesi.
  • İç denetim, soruşturma, istihbarat faaliyetlerinin yürütülmesi.
  • İletişim faaliyetlerinin yürütülmesi.
  • Mal, hizmet, üretim ve operasyon süreçlerinin yürütülmesi.
  • Müşteri ilişkileri yönetim süreçlerinin yönetilmesi.
  • Müşteri memnuniyetine yönelik aktivitelerin yürütülmesi
  • Organizasyon ve etkinlik yönetimi.
  • Pazarlama ve analiz çalışmalarımın yürütülmesi.
  • Performans değerlendirme süreçlerinin yürütülmesi.
  • Kampanya promosyon süreçlerinin yürütülmesi.
  • Reklam
  • Risk yönetimi süreçlerinin yürütülmesi.
  • Saklama ve arşiv faaliyetlerinin yürütülmesi.
  • Sözleşme süreçlerinin yürütülmesi
  • Stratejik planlama faaliyetlerinin yürütülmesi.
  • Talep ve şikayetlerin takibi
  • Tedarik zinciri yönetim süreçlerinin yürütülmesi.
  • Ücret politikasının yürütülmesi.
  • Ürün ve hizmetlerin pazarlama süreçlerinin yürütülmesi.
  • Veri sorumlusu operasyonlarının güvenliğinin temini.
  • Yetenek, kariyer gelişimi faaliyetlerinin yürütülmesi.
  • Yetkili kişi, kurum ve kuruluşlara bilgi verilmesi.
  • Yönetim faaliyetlerinin yürütülmesi.

 

  1. Kayıtların İmha Edilmesi, İmhayı Gerektiren Sebepler ve İmha Teknikleri

Kişisel veriler:

 

  • İşlenmesine esas teşkil eden mevzuat hükümlerinin değiştirilmesi veya ilgası
  • İşlenmesini veya saklanmasını gerektiren amacın ortadan kalkması
  • Kişisel Verileri işlemenin açık rıza şartına istinaden gerçekleştiği hallerde ilgili kişinin açık rızasını geri alması
  • KVKK’nın 11. Maddesi uyarınca ilgili kişinin kişisel verilerinin silinmesi ve yok edilmesine ilişkin yaptığı başvurunun kabul edilmesi
  • İlgili kişi tarafından kişisel verilerin silinmesi veya yok edilmesi talebi ile yapılan başvuruyu reddetmesi, verdiği cevabı yetersiz bulması veya KVKK’da öngörülen süre içerisinde cevap vermemesi hallerinde; Kurul’a şikayette bulunması ve bu talebin Kurul tarafından uygun bulunması
  • İlgili Kişi’nin talebi (mevzuatta veya veri envanterinde belirlenen şartların sağlanması koşuluyla)
  • Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olması ve kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması

hallerinde Prof. Dr. Dilek Erer tarafından silinir, yok edilir veya anonim hale getirilir.

Fiziki kayıtlar, yok edilme yöntemi ile imha edilmektedir.

Elektronik kayıtlar ise silinerek imha edilecektir. Elektronik ortamda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, veritabanı yöneticisi hariç diğer çalışanlar (ilgili kullanıcılar) için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir.

Yönetmelik uyarınca kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesiyle ilgili yapılan bütün işlemler Hekim tarafından kayıt altına alınır ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az 3 (üç) yıl süreyle saklanır.

 

  1. Periyodik İmha Süresi

Yönetmeliğin 11 inci maddesi gereğince Hekim, periyodik imha süresini 6 ay olarak belirlemiştir. Buna göre, Hekim her yıl Haziran ve Aralık aylarında periyodik imha işlemi gerçekleştirilir.

 

  • Kişisel Verilerin Güvenli Bir Şekilde Saklanması ile Hukuka Aykırı Olarak İşlenmesi ve Erişilmesinin Önlenmesi ile Hukuka Uygun Olarak İmha Edilmesi için Alınmış Teknik ve İdari Tedbirler

Kişisel Verilerin güvenli bir şekilde saklanması, hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi ile Kişisel Verilerin hukuka uygun olarak imha edilmesi için Kanunun 12 nci maddesiyle Kanunun 6 ncı maddesi dördüncü fıkrası gereği Özel Nitelikli Kişisel Veriler için Kurul tarafından belirlenerek ilan edilen yeterli önlemler çerçevesinde Hekim tarafından teknik ve idari tedbirler alınmaktadır.

Bu tedbirler aşağıda belirtilmiştir:

  • Yetki Matrisi
  • Yetki Kontrol
  • Erişim Logları
  • Kullanıcı Hesap Yönetimi
  • Ağ Güvenliği
  • Uygulama Güvenliği
  • Şifreleme
  • Sızma Testi
  • Saldırı Tespit ve Önleme Sistemleri
  • Log Kayıtları
  • Veri Maskeleme
  • Veri Kaybı Önleme Yazılımları
  • Yedekleme
  • Güvenlik Duvarları
  • Güncel Anti-Virüs Sistemleri Silme, Yok Etme veya Anonim Hale Getirme
  • Anahtar Yönetimi
  • Kişisel Veri İşleme Envanteri Hazırlanması
  • Kurumsal Politikalar (Erişim, Bilgi Güvenliği, Kullanım, Saklama ve İmha vb.)
  • Sözleşmeler (Veri Sorumlusu - Veri Sorumlusu, Veri Sorumlusu - Veri İşleyen Arasında )
  • Gizlilik Taahhütnameleri
  • Risk Analizleri
  • İş Sözleşmesi, Disiplin Yönetmeliği (Kanuna Uygun Hükümler İlave Edilmesi)
  • Kurumsal İletişim (Kriz Yönetimi, Kurul ve İlgili Kişiyi Bilgilendirme Süreçleri, İtibar Yönetimi vb.)
  • Eğitim ve Farkındalık Faaliyetleri (Bilgi Güvenliği ve Kanun)
  • Silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması için gerekli tedbirleri alınmaktadır
  • Özel nitelikli kişisel verilerin güvenliğine yönelik ayrı politika belirlenmiştir.
  • Özel nitelikli kişisel veri işleme süreçlerinde yer alan çalışanlara yönelik özel nitelikli kişisel veri güvenliği konusunda eğitimler verilmiş, gizlilik sözleşmeleri yapılmış, verilere erişim yetkisine sahip kullanıcıların yetkileri tanımlanmıştır.
  • Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği elektronik ortamlar kriptografik yöntemler kullanılarak muhafaza edilmekte, kriptografik anahtarlar güvenli ortamlarda tutulmakta, tüm işlem kayıtları loglanmakta, ortamların güvenlik güncellemeleri sürekli takip edilmekte, gerekli güvenlik testlerinin düzenli olarak yapılması/yaptırılması, test sonuçlarının kayıt altına alınması,
  • Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği fiziksel ortamların yeterli güvenlik önlemleri alınmakta, fiziksel güvenliği sağlanarak yetkisiz giriş çıkışlar engellenmektedir. 
  • Özel nitelikli kişisel veriler e-posta yoluyla aktarılması gerekiyorsa şifreli olarak kurumsal e-posta adresiyle veya KEP hesabı kullanılarak aktarılmaktadır.
  • Taşınabilir bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerekiyorsa kriptografik yöntemlerle şifrelenmekte ve kriptografik anahtar farklı ortamda tutulmaktadır. Farklı fiziksel ortamlardaki sunucular arasında aktarma gerçekleştiriliyorsa, sunucular arasında VPN kurularak veya sFTP yöntemiyle veri aktarımı gerçekleştirilmektedir.
  • Kağıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemler alınmakta ve evrak “gizli” formatta gönderilmektedir.

 

  1. Yürürlük

İşbu Politika’nın yürürlük tarihi [●] olup, işbu Politika önceki dönem boyunca gelişmiş olabilecek yeni veya güncellenmiş politikaları da içerecek şekilde her yıl gözden geçirecek ve gerektiğinde revize edecektir.