KİŞİSEL VERİLERİN KORUNMASI, SAKLANMASI VE İMHASI POLİTİKASI
GİRİŞ
Kulak Burun Boğaz Baş ve Boyun Cerrahisi Uzmanı Operatör Doktor Samet Ağcayazı Muayenehanesi olarak faaliyet ve hizmet amaçlarımızla bağlantılı şekilde sağlık hizmeti sunduğumuz siz değerli hastalarımıza ve hasta yakınlarına, çalışanlarımıza ve bizimle ilişkili tüm üçüncü şahıslara ait her türlü kişisel verinin, 6698 sayılı Kişisel Verilerin Korunması Kanunu’na (KVKK) uygun olarak işlenmesi ve saklanmasına önem veriyoruz.
İşbu “Kişisel Verilerin Korunması, Saklanması ve İmhası Politikası” (Politika) ile Op. Dr. Samet Ağcayazı tarafından kişisel verilerin işlenme amaçları doğrultusunda gereken sürede silinmesi, yok edilmesi ve anonimleştirmesine ilişkin yöntem ve sorumluluklar belirlenerek, temel prensipler düzenlenmektedir.
AMAÇ
Politikanın amacı Op. Dr. Samet Ağcayazı tarafından; KVKK’ya, Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik’e (Yönetmelik) ve ilgili mevzuat hükümlerine uygun bir biçimde yürütülen kişisel verilerin saklanması ile işlenen kişisel verilerin silinmesi, yok edilmesi, anonim hale getirilmesine ilişkin imha süreçlerinin esaslarını belirlemek ve verileri işlenen gerçek kişileri bu hususta bilgilendirmektir.
KAPSAM
Politika; hastalarımızı, web sitesi ve sosyal medya hesapları kullanıcılarımızı, çalışanlarımızı, çalışan adaylarımızı, ziyaretçilerimizi, tedarikçi ve benzeri iş ilişkisinde bulunduğumuz kurumların yetkili ve çalışanları ile bizimle ilişkili tüm üçüncü şahısları kapsamakta olup, kişisel verilerin işlendiği tüm kayıt ortamları ve kişisel veri işlenmesine yönelik tüm faaliyetlerde uygulanmaktadır.
POLİTİKA VE İLGİLİ MEVZUATIN UYGULANMASI
Politika, KVKK, Yönetmelik ve 30286 sayılı Veri Sorumluları Sicili Hakkında Yönetmelik vb. ilgili düzenlemeler dayanak alınarak hazırlanmıştır.
TANIMLAR
Bu politikanın uygulanmasında kullanılan tanımlar aşağıda yer almaktadır:
İlgili Kişi Kategorileri | Açıklama |
Açık Rıza | Belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rıza. |
Çalışanlar | Op. Dr. Samet Ağcayazı ile İş Kanunu uyarınca iş ilişkisinde bulunanlar ile staj eğitimi gören öğrenciler veya mezunlar. |
İlgili Kişi | Kişisel verisi işlenen gerçek kişi. |
İmha | Kişisel verilerin geri getirilemeyecek bir şekilde silinmesi, yok edilmesi veya anonim hale getirilmesi işlemi. |
Periyodik İmha | Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri işleme, saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi. |
Silme | Kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemi. |
Yok Etme | Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemi. |
Anonim Hale Getirme | Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi işlemi |
Kayıt Ortamı | Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortamı ifade eder. |
Kişisel Veri | Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade eder. |
Özel Nitelikli Kişisel Veri | Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileridir. |
Kişisel Verilerin İşlenmesi | Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemdir. |
Kişisel Veri İşleme Envanteri | Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanterdir. |
Kurul | Kişisel Verileri Koruma Kurulu |
Kurum | Kişisel Verileri Koruma Kurumu |
Politika | Op. Dr. Samet Ağcayazı tarafından kişisel verilerin işlenmesi, saklanması ve imhasında benimsenen ilkelerin düzenlendiği işbu Kişisel Verilerin Korunması, İşlenmesi ve İmhası Politikasını ifade eder. |
Veri İşleyen | Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel veri işleyen gerçek ve tüzel kişidir. |
Veri Sorumlusu | Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir. |
Veri Kayıt Sistemi | Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemidir. |
Veri Sorumluları Sicil Bilgi Sistemi (Verbis) | Veri sorumlularının Sicile başvuruda ve Sicile ilişkin ilgili diğer işlemlerde kullanacakları, internet üzerinden erişilebilen, Başkanlık tarafından oluşturulan ve yönetilen bilişim sistemidir. |
Yönetmelik | 28 Ekim 2017 tarihli Resmi Gazetede yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik’i ifade eder. |
Bu politikada yer almayan tanımlar için KVKK tanımları geçerlidir.
İŞLENEN KİŞİSEL VERİ KATEGORİLERİ, İLGİLİ KİŞİ KATEGORİLERİ, VERİLERİN VERİ KONUSU KİŞİ GRUBUNA GÖRE SINIFLANDIRILMASI VE AKTARILDIĞI ALICI GRUPLARI
Kişisel Veri Kategorileri
Op. Dr. Samet Ağcayazı tarafından yürütülen kişisel veri işleme faaliyetleri kapsamında, işlenen kişisel veri kategorileri ve açıklamaları aşağıda düzenlenmiştir:
Kişisel Veri Kategorisi | Açıklaması |
Kimlik | Ad, soyad, T.C. kimlik numarası, pasaport sureti veya geçici T.C. kimlik numarası, doğum tarihi ve sizi tanımlayabileceğimiz diğer kimlik verileridir. |
İletişim | Telefon numarası (bildirdiğiniz sabit veya mobil telefon numaraları), elektronik posta adresiniz, sosyal medya hesaplarınız, danışma hattı ile yapılan görüşme kayıtlarınız ile elektronik posta veya sair vasıtalar aracılığı ile tarafımızla iletişime geçtiğinizde elde edilen kişisel verilerdir. |
Özlük | Muayenehanemiz ile çalışma ilişkisi içerisinde olmanız kapsamında, gerçek kişilerin özlük haklarının oluşmasına temel olan bilgilerin elde edilmesine yönelik işlenen kişisel verilerdir. Çalışanların işe başlama tarihi, ücret, aylık çalışma gün sayısı gibi özlük işlemlerine dair yasa veya iş sözleşmesi gereği alınan veriler, aile bireyleri veya yakınlarına ait iletişim bilgisi, daha önce çalıştığı yerler v.b. tüm verilerdir. |
İşlem Güvenliği | IP adresi bilgileri, tarayıcı bilgileri, çerez bilgileri, internet sitesi giriş çıkış bilgileri, şifre ve parola bilgileri ile kullanım sırasında elde edilen gezinme verileridir. |
Finans | Kişilere ait her türlü finansal sonucu gösteren bilgi, belge ve kayıtlara ilişkin işlenen kişisel veriler ile kredi kartı bilgisi, banka hesap numarası, IBAN numarası ve fatura bilgileriniz gibi verilerdir. |
Görsel Veriler | Fotoğraf kaydı verileridir. |
Sağlık Bilgileri | Kan grubu bilgisi, kişisel sağlık bilgileri, kullanılan cihaz ve protez bilgileri, sağlık raporu, işe giriş periyodik muayene formu, tıbbi geçmiş, daha önce geçirmiş olduğunuz ameliyatlara/operasyonlara ilişkin veriler, cilt analiz bilgileri, laboratuvar sonuçları, test sonuçları, muayene verileri, reçete bilgileri, sürekli olarak kullandığınız ilaçlar, ameliyat öncesi ve sonrası görsel veriler ve sair sağlık verileridir |
Cinsel Hayat | Cinsel hayata ilişkin verilerdir. |
İletişim ve Şikâyet Yönetimi | Muayenehanemize yönelik her türlü talep veya şikâyetin alınması ve değerlendirilmesi süreçlerinde elde edilen kişisel verilerdir. |
İlgili Kişi Kategoriler
İşbu Politika kapsamında yer alan hastalarımız, platform kullanıcılarımız, çalışanlarımız, çalışan adaylarımız ve üçüncü kişiler (tedarikçi ve benzeri iş ilişkisinde bulunduğumuz kurumların yetkili veya çalışanlarının) hakkında açıklamalara yer verilmektedir.
İlgili Kişi Kategorileri | Açıklama |
Hizmet Alan Kişiler | Muayenehanemizde sunulan hizmetleri satın alan gerçek kişilerdir. |
Çalışanlar | Muayenehanemiz ile çalışma ilişkisinde olan gerçek kişilerdir. |
Çalışan Adayları | Muayenehanemize herhangi bir yolla iş başvurusunda bulunup öz geçmiş veya iş başvuru formu ile ilgili bilgilerini Muayenehanemizin incelemesine sunmuş olan gerçek kişilerdir. |
İnternet Sitesi ve Sosyal Medya Kullanıcıları | Muayenehanemize ait www.sametgcayazi.com internet sitemizi, sosyal medya hesaplarımızı herhangi bir amaç ile ziyaret eden ve kullanan kişilerdir. |
İş Bağlantıları (Gerçek kişi tedarikçiler, tüzel kişilerin gerçek kişi temsilcileri). | Muayenehanemizin faaliyetlerini yürütürken iş ilişkisi içerisinde olduğu gerçek kişiler, tüzel kişilerin gerçek kişi temsilcileri, işbu kişiler nezdinde bulunan çalışanlar vb. tüm gerçek kişilerdir. |
Kişisel Verilerin Veri Konusu Kişi Grubuna Göre Sınıflandırılması
Aşağıdaki tabloda kişisel veri kategorileri ve ilgili kişi kategorileri eşleştirilerek açıklanmaktadır:
Kişisel Veri Kategorileri | Veri Konusu Kişi Grubu |
Kimlik Verileri | Hizmet Alan Kişiler,Veli/Vasi yada Temsilci, İnternet Sitesi ve Sosyal Medya Kullanıcıları, Çalışanlar, Çalışan Adayları ve Tedarikçiler. |
İletişim Verileri | Hizmet Alan Kişiler, Veli/Vasi yada Temsilci, İnternet Sitesi ve Sosyal Medya Kullanıcıları, Çalışanlar, Çalışan Adayları ve Tedarikçiler |
Özlük Verileri | Çalışanlar ve Çalışan Adayları |
İşlem Güvenliği Verileri | Hizmet Alan Kişiler, İnternet Sitesi ve Sosyal Medya Kullanıcıları ile Çalışanlar. |
Finansal Veriler | Hizmet Alan Kişiler, Çalışanlar ve Tedarikçiler |
Görsel Veriler | Hizmet Alan Kişiler. |
Sağlık Verileri | Hizmet Alan Kişiler, Potansiyel Hizmet Alıcısı ve Çalışanlar. |
Cinsel Hayat Verileri | Hizmet Alan Kişiler. |
İletişim ve Şikâyet Yönetimi Verileri | Hizmet Alan Kişiler, İnternet Sitesi ve Sosyal Medya Kullanıcıları ile Çalışanlar. |
Kişisel Verilerin Aktarıldığı Alıcı Grupları
Politika kapsamında yer alan kişisel veriler, Op. Dr. Samet Ağcayazı tarafından aşağıda sıralanan alıcı gruplarına belirtilen amaçlar doğrultusunda aktarılabilmektedir.
Alıcı Grupları | Kişisel Veri Aktarım Amaçları |
Tedarikçiler | Muayenehanemizin faaliyetlerini yerine getirebilmesi ve gerekli hizmetlerin sunulması amaçlarıyla sınırlı olarak. |
Hukuken Yetkili Kamu Kurum ve Kuruluşları | Yetkili kamu kurum ve kuruluşlarının hukuki yetkisi dâhilinde talep ettiği amaçla sınırlı olarak. |
Hukuken Yetkili Gerçek Kişiler veya Özel Hukuk Tüzel Kişileri | Yetkili özel hukuk kişilerinin hukuki yetkisi dahilinde talep ettiği amaçla sınırlı olarak. |
KAYIT ORTAMLARI
Kişisel veriler, aşağıda belirtilen ortamlarda hukuka uygun olarak güvenli bir şekilde kaydedilir ve saklanır.
Elektronik ortamlar:
Sunucular: Merkezi sunucu, veri merkezi sunucuları, yedekleme, e-posta, web, dosya paylaşımı vb.
Yazılımlar: Ofis yazılımları vb.
Bilgi güvenliği cihazları: Güvenlik duvarı, saldırı tespit ve önleme, antivürüs vb.
Elektronik cihazlar: Ağ cihazları, masaüstü ve dizüstü bilgisayarlar, taşınabilir cihazlar (USB, hard disk, hafıza kart vb.), yazıcılar, tarayıcılar, fotokopi makinesi, mobil cihazlar (Telefon, tablet vb.) ve optik disklerdir (CD vb.).
Fiziksel ortamlar:
Birim dolapları, arşiv,
Manuel veri kayıt sistemleri, (formlar, defterler vb.), Yazılı, basılı ve görsel ortamlardır.
KİŞİSEL VERİLERİN KORUNMASINA DAİR HUSUSLAR
Op. Dr. Samet Ağcayazı, KVKK’nın 12. maddesine uygun olarak, kişisel verilerin hukuka aykırı olarak işlenmesi ile verilere hukuka aykırı olarak erişilmesini önlemek için korunacak verinin niteliğine uygun güvenlik düzeyini temin etmeye yönelik gerekli idari ve teknik tedbirleri almakta, bu kapsamda gerekli denetimleri yapmaktadır.
İdari Tedbirler
Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, verilere hukuka aykırı olarak erişilmesini önlemek ve verilerin muhafazasını sağlamak için alınan başlıca idari tedbirler aşağıda listelenmiştir:
Op. Dr. Samet Ağcayazı tarafından yürütülen kişisel veri işleme faaliyetleri belirlenerek, düzenli olarak güncellenen kişisel veri envanteri hazırlanmıştır.
Kişisel veri işlemeye başlamadan önce ilgili kişileri aydınlatma yükümlülüğü yerine getirilmektedir.
Çalışanların kişisel veri güvenliğine ilişkin sorumlulukları, görev tanımlarında belirlenmiş ve bu konudaki sorumluluklarının farkında olmaları sağlanmıştır.
Çalışanların niteliğinin geliştirilmesine yönelik olarak, kişisel verilerin korunması, hukuka uygun olarak işlenmesi, kişisel verilerin hukuka aykırı olarak işlenmesinin ve verilere hukuka aykırı olarak erişilmesinin önlenmesi, iletişim teknikleri, teknik bilgi beceri, bilgi güvenliği eğitimleri ile 657 sayılı Kanun ve ilgili diğer mevzuat hakkında eğitimler verilmektedir.
Uyum gerekliliklerinin sağlanması hususunda uygulama kuralları belirlenmekte, bu hususların ve uygulamanın sürekliliğini sağlamak için Muayenehane içi politikalar hayata geçirilerek denetimler yapılmaktadır.
Çalışanlara yürütülen faaliyetlere ilişkin kişisel verilerin korunması mevzuatı ve veri güvenliği kapsamında gizlilik taahhütnameleri imzalatılmaktadır.
Hizmet alan kişiler. tedarikçiler ve üçüncü şahıslar ile imzalanan sözleşme ve belgelere, kişisel verilerin hukuka uygun olarak işlenmesi, korunması ve veri gizliliğini sağlamak amacıyla hükümler eklenmiş, tarafların sorumlulukları açıkça düzenlenerek hukuka ve sözleşmeye aykırı veri işleme faaliyetleri için yaptırım getiren hükümler düzenlenmiştir. İşlenen kişisel verilerin hukuka aykırı yollarla başkaları tarafından elde edilmesi hâlinde, bu durum en kısa sürede ilgilisine ve Kurul’a bildirilecektir.
Teknik Tedbirler
Kişisel verilerin hukuka aykırı olarak işlenmesini, verilere hukuka aykırı olarak erişilmesini önlemek ve verilerin muhafazasını sağlamak adına teknolojinin imkân verdiği ölçüde önlemler alınmakta ve alınan önlemler güncellenmektedir, başlıca teknik tedbirler aşağıda listelenmiştir:
Kişisel verilerin hukuka aykırı olarak işlenmesini önlemeye yönelik riskler belirlenmekte, bu risklere uygun teknik tedbirlerin alınması sağlanmakta ve alınan tedbirlere yönelik kontroller yapılmaktadır.
Erişim prosedürleri oluşturularak kişisel verilere erişim ile ilgili raporlama ve analiz çalışmaları yapılmaktadır.
Elektronik olan veya olmayan ortamlarda saklanan kişisel verilere erişim kısıtlanarak yalnızca yetkili kişilerin, kişisel verinin saklanma amacı ile sınırlı olarak bu verilere erişmesine izin verilmektedir, uygunsuz erişimler veya erişim denemeleri kontrol altında tutulmaktadır.
Bilişim sistemlerine erişim ve kullanıcıların yetkilendirilmesi, erişim ve yetki matrisi ile güvenlik politikaları aracılığı ile yapılmaktadır.
Bilişim sistemleri teçhizatı, yazılım ve verilerin fiziksel güvenliği için gerekli önlemler alınmaktadır.
Bilişim sistemleri üzerindeki güvenlik zafiyetlerinin tespitine yönelik güvenlik testleri ve araştırmaları yapılmakta, yapılan test ve araştırmalar sonucunda tespit edilen mevcut ya da muhtemel risk teşkil eden hususlar giderilmektedir.
Muayenehane tarafından hizmet sunulan internet sayfası HTTPS yöntemi kullanılarak SHA 256 Bit RSA algoritmasıyla şifrelenmektedir.
Kişisel verilerin işlendiği elektronik ortamlarda güçlü parolalar kullanılmaktadır.
Silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması için gerekli tedbirleri alınmaktadır.
Güvenlik açıkları takip edilerek uygun güvenlik yamaları yüklenmekte ve bilgi sistemleri güncel halde tutulmaktadır.
Çevresel tehditlere karşı bilişim sistemleri güvenliğinin sağlanması için, donanımsal (sistem odasına sadece yetkili personelin girişini sağlayan erişim kontrol sistemi, yangın söndürme sistemi, iklimlendirme sistemi vb.) ve yazılımsal (virüs koruma programları, güvenlik duvarları, ağ erişim kontrolü, zararlı yazılımları engelleyen sistemler vb.) önlemler alınmaktadır.
Mevzuat tarafından birtakım kişisel verilere, hukuka aykırı olarak işlendiğinde kişilerin mağduriyetine ve ayrımcılığa sebep olma riskleri nedeniyle özel önem verilmiştir. Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler” ile ilgili Kurulun 31.01.2018 tarih ve 2018/10 sayılı kararı uyarınca; Op. Dr. Samet Ağcayazı tarafından Muayenehane bünyesinde azami hassasiyet gösterilerek özel nitelikli kişisel verilerin güvenliğine yönelik olarak kuralları net bir şekilde belli, yönetilebilir ve sürdürülebilir ayrı bir politika belirlenmiştir.
Özel nitelikli kişisel veri işleme süreçlerinde yer alan çalışana yönelik özel nitelikli kişisel veri güvenliği konusunda eğitimler verilmiş, gizlilik sözleşmeleri yapılmış, verilere erişim yetkisine sahip kullanıcıların yetki kapsamı ve süreleri net olarak tanımlanmıştır.
Verilerin bulunduğu ortamlara ait güvenlik güncellemeleri takip edilerek, gerekli güvenlik testleri yapılıp, test sonuçları kayıt altına alınmaktadır.
Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği veya erişildiği fiziksel ortamların yeterli güvenlik önlemleri (elektrik kaçağı, yangın, su baskını, hırsızlık vb. durumlara karşı) alınmakta, fiziksel güvenliği sağlanarak yetkisiz giriş çıkışlar engellenmektedir.
Özel nitelikli kişisel verilerin e-posta yoluyla aktarılması gerekiyorsa şifreli olarak kurumsal e-posta adresiyle veya KEP hesabı kullanılarak aktarılmaktadır. Farklı fiziksel ortamlardaki sunucular arasında aktarma gerçekleştiriliyorsa, FTP yöntemiyle veya plesk control paneli üzerinden online olarak veri aktarımı gerçekleştirilmektedir. Kağıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemler alınmakta ve evrak gizli formatta gönderilmektedir.
Kişisel Verilerin Yetkisiz Bir Şekilde İfşası Durumunda Alınacak Tedbirler
KVKK’nun 12. maddesine uygun olarak işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde, bu durumun en kısa sürede ilgili kişisel veri sahibine ve KVK Kurulu’na bildirilmesi sağlanacaktır. Bu kapsamda Op. Dr. Samet Ağcayazı tarafından bu durumun öğrenildiği tarihten itibaren gecikmeksizin ve en geç 72 saat içinde Kurula bildirimde bulunularak, veri ihlalinden etkilenen kişilerin belirlenmesini müteakip ilgili kişilere de makul olan en kısa süre içerisinde, ilgili kişinin iletişim adresine ulaşılabiliyorsa doğrudan, ulaşılamıyorsa veri sorumlusunun kendi web sitesi üzerinden yayımlanması gibi uygun yöntemlerle bildirim yapılacaktır. Veri ihlal bildirimlerinde, Kurula ve ihlalden etkilenmiş kişilere bildirim yapılmasındaki amaç, ihlal nedeniyle bu kişiler hakkında ortaya çıkabilecek olumsuz sonuçların bir an önce önüne geçilmesi veya en aza indirilmesine imkan verecek önlemler alınmasını sağlamaktır.
KİŞİSEL VERİLERİN SAKLANMASINA VE İMHASINA DAİR HUSUSLAR
Kişisel Verilerin Saklanması ve İmha Edilmesi
Op. Dr. Samet Ağcayazı tarafından elde edilen kişisel veriler, verinin niteliği, işlenme amaçları ve kullanım sıklığı gibi esaslara bağlı olarak farklı ortamlarda başta KVKK hükümleri olmak üzere ilgili mevzuata uygun olarak güvenli bir şekilde kaydedilir, saklanır ve imha edilir.
Kişisel Verilerin Saklanma ve İmha Süreleri
Op. Dr. Samet Ağcayazı, faaliyetleri kapsamında işlemekte olduğu kişisel verileri ilgili mevzuatta belirtildiği ya da işlendikleri amaç için gerekli olan süre kadar muhafaza etmektedir. Bu çerçevede öncelikle ilgili mevzuatta kişisel verilerinin ne kadar süre saklanması gerektiği ifade edilmiş ise bu süreye uygun davranılmakta, ifade edilmemiş ise o veriyi işlerken sunulan hizmetlere bağlı olarak işlenmesini gerektiren süre dikkate alınmaktadır. Sürenin bitimi, veri sahibinin talebi veya verinin işlenmesini gerektiren amacın ortadan kalkması halinde, kişisel veriler Op. Dr. Samet Ağcayazı tarafından silinmekte, yok edilmekte veya anonim hale getirilmektedir. İşlenen kişisel verilerin saklama süreleri ile ilgili detaylı bilgi, işbu Politika’nın Ek.2’sinde yer almaktadır.
Kişisel Verilerin İmhasını Gerektiren Sebepler
Op. Dr. Samet Ağcayazı tarafından, faaliyetleri çerçevesinde işlenmiş olan kişisel veriler aşağıdaki sebepler doğrultusunda ilgili kişinin talebi üzerine ya da re’sen silinir, yok edilir veya anonim hale getirilir.
İşlenmesine esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası,
Kişisel verilerin işlenmesini gerektiren tüm amaçların ve saklanmasını gerektiren sebeplerin ortadan kalkması,
Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, veri sahibinin rızasını geri alması,
Veri sahibinin KVKK kapsamında yer alan haklarını kullanarak kişisel verilerinin imha edilmesini talep etmesi ve yapılan başvurunun Op. Dr. Samet Ağcayazı tarafından reddedilmesi, verilen cevabın yetersiz bulunması veya Kanunda öngörülen süre içinde cevap verilmemesi hallerinde; Kurula şikâyette bulunması ve bu talebin Kurul tarafından uygun bulunması, Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olmasına rağmen, kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması durumlarıdır.
Kişisel Verilerin Hukuka Uygun Olarak İmha Edilmesi
Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, kişisel verilerin işlenmesini ve saklanmasını gerektiren amacın ortadan kalkması hâlinde kişisel veriler, re’sen veya veri sahibinin talebi üzerine Op. Dr. Samet Ağcayazı tarafından silme, yok etme veya anonim hâle getirme suretiyle imha edilir.
Op. Dr. Samet Ağcayazı, kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesinde yukarıda belirtilen teknik ve idari tedbirlere, ilgili mevzuat hükümlerine, Kurul kararlarına ve işbu Politika’ya uygun olarak hareket etmektedir. Bu kapsamda yapılan bütün işlemler kayıt altına alınır ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az üç yıl süreyle saklanır.
Kurul tarafından aksine bir karar alınmadıkça, kişisel verilerin imhasına ilişkin silme, yok etme veya anonim hale getirme yöntemlerinden uygun olan seçilmekle birlikte, ilgili kişinin talebi halinde ise uygun yöntem gerekçesi açıklanmak suretiyle seçilerek uygulanmaktadır.
Kişisel verilerin imhasına yönelik, Op. Dr. Samet Ağcayazı tarafından alınan başlıca teknik ve idari tedbirler aşağıda listelenmiştir:
Op. Dr. Samet Ağcayazı, çalışanlarına kişisel verilerin periyodik ve usulüne uygun imha edilmesi konusunda bilgilendirmekte ve eğitim vermektedir.
Kişisel veri imha işlemi, Op. Dr. Samet Ağcayazı tarafından gerçekleştirilmektedir.
Op. Dr. Samet Ağcayazı, saklama ve veri imha süreleri bazında kişisel veri envanterini değerlendirip takip ederek denetimler yapmaktadır.
Üçüncü kişiler ile imzalanan sözleşme ve belgelere, kişisel verilerin hukuka uygun olarak işlenmesi, saklanması ve işleme amacının ortadan kalkması, saklama süresinin bitmesi veya veri sahibinin talep etmesi üzerine imha edilmesine ilişkin hükümler eklenmiştir.
Kişisel Verilerin İmha Edilme Yöntemleri
1-Kişisel Verilerin Silinmesi
Kişisel verilerin silinmesi, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Op. Dr. Samet Ağcayazı, kişisel verileri silmek için verilerin kaydedildiği ortama bağlı olarak aşağıda belirtilen yöntemleri kullanabilmektedir:
Kayıt Ortamı | Veri İmha Yöntemi |
Yazılımdan güvenli olarak silme | Tamamen veya kısmen otomatik olan yollarla işlenen ve dijital ortamlarda muhafaza edilen veriler silinirken; ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilecek biçimde verinin ilgili yazılımdan silinmesine ilişkin yöntemler kullanılır. |
Fiziksel ortamda yer alan kişisel veriler | İlgili kişisel verilerin fiziksel olarak kesilerek belgeden çıkartılması veya geri döndürülemeyecek ve teknolojik çözümlerle okunamayacak şekilde sabit mürekkep kullanılarak görünmeyecek hale getirilmesi, üzeri okunamayacak şekilde çizilerek, boyanarak, silinerek karartma işlemi uygulanmasıdır. |
2-Kişisel Verilerin Yok Edilmesi
Kişisel verilerin yok edilmesi, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Op. Dr. Samet Ağcayazı, kişisel verileri silmek için verilerin kaydedildiği ortama bağlı olarak aşağıda belirtilen yöntemlerden bir veya birkaçını kullanabilmektedir:
Kayıt Ortamı | Veri İmha Yöntemi |
FTP veya plesk control paneli içine online sunucu da kayıt olan veriler | Kişisel verilerden saklanmasını gerektiren süre sona erenlerin yazılım panelinden silinerek yok edilmesi işlemidir. |
Fiziksel ortamda yer alan kişisel veriler | Kâğıt ortamında yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, kâğıt kırpma makinelerinde veya yakma yöntemi ile geri döndürülemeyecek şekilde yok edilir. Orijinal kâğıt formattan tarama yoluyla, elektronik ortama aktarılan kişisel veriler ise bulundukları ortama göre uygun yöntemlerle yok edilirler. |
3-Kişisel Verilerin Anonim Hale Getirilmesi
Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir şekilde kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir. Kişisel verilerin anonim hale getirilmiş olması için; kişisel verilerin, veri sorumlusu, alıcı veya alıcı grupları tarafından geri döndürme ve verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi ilişkilendirilememesi gerekmektedir. KVKK’nın 28. maddesine uygun olarak; anonim hale getirilmiş olan kişisel veriler araştırma, planlama ve istatistik gibi amaçlarla işlenebilir. Bu tür işlemeler KVKK kapsamı dışında olacağından veri sahibinin açık rızası aranmayacak ve başvuru hakları bu veriler için geçerli olmayacaktır. Op. Dr. Samet Ağcayazı, kişisel verileri anonim hale getirmek için aşağıda belirtilen yöntemlerin bir veya birkaçını kullanabilmektedir:
Değişkenleri Çıkartma: Betimleyici nitelikteki verilerin çıkartılması yöntemi ile toplanılan verilerin bir araya getirilmesinden sonra oluşturulan veri setindeki değişkenlerden yüksek dereceli betimleyici olanlardan bir yada bir kaçının çıkarılarak mevcut veri seti anonim hale getirilmektedir.
Kayıtları Çıkartma: Kişisel veri kümesinde yer alan tekillik ihtiva eden bir veri satırının çıkartılması ile saklanan veriler anonim hale getirilmektedir.
Toplulaştırma:Veri toplulaştırma yöntemi ile birçok veri toplulaştırılmakta ve kişisel veriler herhangi bir kişiyle ilişkilendirilemeyecek hale getirilmektedir. Örneğin, hastaların doğum yıllarını tek tek göstermeksizin, 1982 yılında doğan 50 hizmet alan kişinin bulunduğunun ortaya konulmasıdır.
Veri Değiş Tokuşu: Veri değiş tokuşu yöntemi, kayıtlar içinden seçilen çiftlerin arasındaki bir değişken alt kümeye ait değerlerin değiş tokuş edilmesiyle elde edilen kayıt değişiklikleridir. Genel olarak kategorize edilebilen veriler için kullanılan bu yöntemde amaç veri sahiplerine ait verilerin birbirleri ile değiştirilerek veri tabanının dönüştürülmesidir.
Kişisel Verileri Saklama ve İmha Süreçlerinde Yer Alanların Unvanları, Birimleri ve Görev Tanımları
Kişisel veri saklama ve imha sürecinde yer alan personelin unvanlarına ve görev tanımlarına işbu Politika’nın Ek-1’inde yer alan listeden ulaşabilirsiniz.
Kişisel Verilerin Periyodik İmha Süreleri
Op. Dr. Samet Ağcayazı, kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde, kişisel verileri silmekte, yok etmekte veya anonim hale getirmektedir.
Yönetmeliğin 11. maddesi gereğince, periyodik imha süresini 6 ay olarak belirlemiştir; ancak telafisi güç veya imkânsız zararların doğması ve açıkça hukuka aykırılık olması halinde Kurul’un bu madde ve imha süreleri tablosunda belirlenen süreleri kısaltabileceği kabul edilmektedir. Buna göre, her yıl Haziran ve Aralık aylarında periyodik imha işlemi gerçekleştirilir.
KİŞİSEL VERİLERİN SAKLANMASINA VE İMHASINA DAİR GÖREVLER
Op. Dr. Samet Ağcayazı tarafından kişisel verilerin korunması mevzuatına uygunluğun sağlanması, muhafazası, sürdürülmesi, yönetilmesi ve geliştirilmesine önem verilmektedir.
Bu kapsamda aşağıdaki görevler yerine getirilmektedir:
Kişisel verilerin işlenmesi, saklanması, korunması ve imhası ile ilgili temel politikaları hazırlamak, politikaların uygulanmasını sağlamak, mevzuata ve Muayenehane politikasına uyumluluk sürecini koordine etmek ve yönetmek,
Op. Dr. Samet Ağcayazı’ın veri sorumlusu sıfatıyla yürütmüş olduğu faaliyetler kapsamında ilgili veri sahipleri ile iletişimi koordine etmek,
Kurul’un talep, istek, şikâyet ve bildirimleri ile ilgili Muayenehane bünyesinde gerekli faaliyet ve düzenlemeleri yapmak, süreçleri organize etmek,
İlgili kişilerden gelecek talep, istek, şikâyet ve bildirimleri ile ilgili Muayenehane bünyesinde gerekli faaliyet ve düzenlemeleri yapmak,
Kişisel veri işleme envanterini güncellemek ve veri işleme faaliyetlerini takip etmek, raporlamak ve değişiklik olması halinde Verbis’de gerekli güncellemeleri yapmak,
Çalışanların farkındalığı için eğitimler organize etmek ve verimliliği ölçmek, İş birliği içerisinde olduğu kurumlar nezdinde bilgilendirmeler yapmak,
Kişisel veri işleme faaliyetlerine ilişkin denetimin ne şekilde yerine getirileceğine karar vermek ve bu kapsamda gerekli koordinasyonu sağlamak,
KVKK uyumluluğu kapsamında kişisel veri işleme faaliyetlerinde oluşabilecek riskleri tespit ederek gerekli önlemlerin alınmasını temin etmek,
Data gizliliği ihlali durumları ile ilgili süreçleri ve düzeltici faaliyetleri yönetmek,
Kurul duyuruları ve mevzuata ilişkin gelişmeleri takip etmek, ilgili yerlerde uygulamaya alınmasını sağlamak ve gerekli bildirimlerde bulunmaktır.
GÜNCELLEME VE DEĞİŞİKLİKLER
Op. Dr. Samet Ağcayazı tarafından iş bu Politika, ihtiyaç duyuldukça gözden geçirilir ve gerekli olan bölümler güncellenir.
Kanun’da yapılan değişiklikler nedeniyle, Kurul kararları uyarınca veya sektördeki ya da bilişim alanındaki gelişmeler doğrultusunda işbu Politika ve bu Politika’ya bağlı ve ilişkili diğer politikalarda değişiklik yapma hakkı saklı tutulmaktadır.
Politika’da yapılan değişiklikler derhal metne işlenmekte ve değişikliklere ilişkin açıklamalar Politika’nın sonunda açıklanmaktadır.
POLİTİKANIN YAYINLANMASI VE SAKLANMASI
Politika, ıslak imzalı (basılı kâğıt) ve elektronik ortamda olmak üzere iki farklı ortamda yayımlanır, internet sayfasında kamuya açıklanır. Basılı kâğıt nüshası da dosyasında saklanır.
POLİTİKANIN YÜRÜRLÜĞÜ VE YÜRÜRLÜKTEN KALDIRILMASI
Politika, internet sitesinde yayınlanmasının ardından yürürlüğe girmiş kabul edilir. Yürürlükten kaldırılmasına karar verilmesi halinde, Politika’nın ıslak imzalı eski nüshaları iptal edilerek (iptal yazılarak) imzalanır ve en az 5 yıl süre ile saklanır.
Ekler:
Ek-1: Kişisel Verileri Saklama ve İmha Süreçlerinde Yer Alanların Unvanlarına, Birimlerine ve Görev Tanımlarına İlişkin Tablo
PERSONEL | GÖREV | SORUMLULUK |
Asistan | İnsan Kaynakları Departmanı | Özel nitelikli kişisel veriler haricindeki kişisel verilerin işlenmesi, korunması ve saklamasına ilişkin süreçlerin işlerliğinin denetlenmesi, süreçlerin saklama süresine uygunluğunun sağlanması ve periyodik imha sürecinin yönetimi. |
Asistan | Muhasebe Departmanı | Finans ve muhasebeye ilişkin süreçlerin yönetimi. |
Ek-2: Kişisel Verileri Saklama ve İmha Süreleri Tablosu
Kişisel veriler, aşağıdaki tabloda belirtilen süreler boyunca saklanacak, süre sonunda ise anonim hale getirilecek veya yok edilecektir.
VERİ KATEGORİSİ | VERİ SAKLAMA SÜRESİ | İMHA SÜRESİ |
Kimlik | Hizmet akdinin sona ermesinden itibaren 20 Yıl | Saklama süresinin bitimini takip eden 180 gün içerisinde. |
İletişim | Hizmet akdinin sona ermesinden itibaren 20 Yıl | Saklama süresinin bitimini takip eden 180 gün içerisinde |
Özlük | Hizmet akdinin sona ermesinden itibaren 10 Yıl | Saklama süresinin bitimini takip eden 180 gün içerisinde |
İşlem Güvenliği | Verilerin elde edilmesinden itibaren 2 Yıl | Saklama süresinin bitimini takip eden 180 gün içerisinde |
Muayenehanenin ilgili kişisel veriyi kullanma amacı sona ermedi ise, mevzuat gereği ilgili kişisel veri için öngörülen saklama süresi tabloda yer alan sürelerden fazla ise veya konuya ilişkin dava zaman aşımı süresi kişisel yerinin tabloda yer alan sürelerden fazla saklanmasını gerektiriyorsa, yukarıdaki tabloda yer alan süreler uygulanmayabilecektir. Bu halde kullanım amacı, özel mevzuat veya dava zaman aşımı süresinden hangisi daha sonra sona eriyor ise, o süre uygulama alanı bulacaktır.
Yukarıdaki süreler, çalışanlar için iş sözleşmesinin feshi tarihinden, tedarikçi ve hizmet alan kişiler için sözleşmenin sona erme tarihinden veya sözleşme yoksa son işlemin yapıldığı tarihten itibaren başlar.
Op. Dr. Samet Ağcayazı Muayenehanesi