İMHA POLİTİKASI
AVİCENNA HASTANELER GRUBU KİŞİSEL VERİ SAKLAMA ve
İMHA POLİTİKASI
İçindekiler
1 .
Amaç……………………………………………………………………………………...
…2
2 .
Dayanak………………………………………………………………………………...….
.2
3 .
Kapsam…………………………………………………………………………………….
.2
4 . K ı s a l t m a l a r v e Tanımlar 2
5 . P o l i t i k a H a z ı r l a n ı r k e n E s a s A l ı n a n U s u l v e
İlkeler 4
6 . K i ş i s e l V e r i l e r i K o r u m a K o m i t e s i , G ö r e v l e r i v e Yetkileri 5
7 . S a k l a m a y a v e İ m h a y a İ l i ş k i n Açıklamalar 5
8 . S a k l a m a y a İ l i ş k i n D e t a y l ı Açıklamalar 5
9 . Saklamayı Gerektiren ve Saklama Süresini Belirleyen Hukuki Sebepler 6
1 0 . S a k l a m a y ı G e r e k t i r e n V e r i İ ş l e m e Amaçları 6
1 1 . K i ş i s e l V e r i l e r i n M u h a f a z a E d i l d i ğ i K a y ı t Ortamları 7
1 2 . K i ş i s e l V e r i l e r i n İ m h a E d i l m e s i n i G e r e k t i r e n Sebepler 7
1 3 . K i ş i s e l V e r i l e r i n İ m h a Teknikleri 7
1 4 . K i ş i s e l V e r i l e r i n Silinmesi 8
1 5 . K i ş i s e l V e r i l e r i n Y o k Edilmesi 8
1 6 . K i ş i s e l V e r i l e r i n A n o n i m H a l e Getirilmesi 9
1 7 . T e k n i k
Tedbirler 9
1 8 . İ d a r i
Tedbirler 10
1 9 . S a k l a m a v e İ m h a Süreleri 11
2 0 . P e r i y o d i k İ m h a Süresi 11
2 1 . İ m h a S ü r e l e r i Tablosu 11
22. Politikanın Yayınlanması ve Saklanması 12
23. Politikanın Güncellenmesi 12
24. Politikanın Yürürlüğü ve Yürürlükten Kaldırılması 12
1. Amaç
İşbu kişisel veri saklama ve imha politikasının (bundan sonra “Politika” olarak anılacaktır) amacı, Avicenna Hastaneler Grubu Ltd. Şti. (bundan sonra “Hastane” olarak anılacaktır) tarafından 6698 sayılı Kişisel Verileri Koruma Kanunu (bundan sonra “KVKK” olarak anılacaktır) ve 30224 sayılı Resmi Gazete’de 28.10.2017 tarihinde yayınlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik (bundan sonra “Yönetmelik” olarak anılacaktır) kapsamında gerçekleştirilmekte olan kişisel verilerin saklanması ve imhası faaliyetlerine ilişkin iş ve işlemlerle ilgili kural, yöntem, usul ve esasların belirlenmesidir.
1. Dayanak
Politika, 6698 sayılı KVKK ve 30224 sayılı Resmi Gazete’de yayımlanarak yürürlüğe giren Yönetmelik’in 5. ve 6. maddelerinin bir gereği olarak hazırlanmıştır.
1. Kapsam
Politika, Hastane çalışanlarını, çalışan adaylarını, hastaları, stajyerleri, ürün veya hizmet alıcılarını, potansiyel ürün veya hizmet alıcılarını, ziyaretçilerini, hizmet sağlayıcılarını, tedarikçi yetkilisi, tedarikçi çalışanı ve Hastane ile hukuki ilişki içerisinde bulunan her türlü gerçek ve tüzel kişiyi ayrıcasayılan kişilere ait olan ve tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak şartıyla otomatik olmayan yollarla işlenen her türlü kişisel verilerini kapsamaktadır.
Politika’da aksi açıkça belirtilmediği takdirde “Kişisel Veri” kavramı, genel nitelikli kişisel veriler ile özel nitelikli kişisel verilerin her ikisini de kapsamaktadır.
1. Kısaltmalar ve Tanımlar
Alıcı Grubu :Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisi.
Xxxx Xxxx :Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.
Anonim Hale Getirme :Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir
surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi.
Çalışan :Avicenna Hastaneler Grubu personeli.
EBYS : Elektronik Belge Yönetim Sistemi
Elektronik Ortam :Kişisel verilerin elektronik aygıtlar ile oluşturulabildiği,
okunabildiği, değiştirilebildiği ve yazılabildiği ortamlar.
Elektronik Olmayan Ortam :Elektronik ortamların dışında kalan tüm yazılı, basılı,
görsel vb. diğer ortamlar.
Hizmet Sağlayıcı :Avicenna Hastaneler Grubu Ltd. Şti. ile belirli bir sözleşme
çerçevesinde hizmet sağlayan gerçek veya tüzel kişi.
İlgili Kişi :Kişisel verisi işlenen gerçek kişi.
İlgili Kullanıcı : Verilerin teknik olarak depolanması, korunması ve
yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişiler.
İmha :Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi.
KVKK :6698 Sayılı Kişisel Verilerin Korunması Kanunu.
Kayıt Ortamı :Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt
sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam.
Kişisel Veri :Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.
Kişisel Veri İşleme Envanteri:Veri sorumlularının iş süreçlerine bağlı olarak
gerçekleştirmekte oldukları kişisel veri işleme faaliyetlerini; kişisel veri işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter.
Kişisel Verilerin İşlenmesi :Kişisel verilerin tamamen veya kısmen otomatik olan ya da
herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, saklanması, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.
Kurul :Kişisel Verileri Koruma Kurulu
Kurum : Kişisel Verileri Koruma Kurumu
Özel Nitelikli Kişisel Veri :Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı,
dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel
hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri.
Periyodik İmha :Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının
ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla re’sen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi.
Politika :Kişisel Verileri Saklama ve İmha Politikası
Veri İşleyen :Veri sorumlusunun verdiği yetkiye dayanarak veri sorumlusu adına kişisel
verileri işleyen ve veri sorumlusunun organizasyonu dışındaki gerçek veya tüzel kişi.
Veri Kayıt Sistemi :Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği
kayıt sistemi.
Veri Sorumlusu :Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri
kayıt sisteminin kurulmasında ve yönetilmesinden sorumlu gerçek veya tüzel kişi.
Veri Sorumluları Sicili (VERBİS) :Veri sorumlularının Sicile başvuruda ve Sicile
ilişkin ilgili diğer işlemlerde kullanacakları, internet üzerinden erişilebilen, Başkanlık tarafından oluşturulan ve yönetilen bilişim sistemi.
Yönetmelik :30224 sayılı Resmi Gazete’de 28.10.2017 tarihinde yayınlanan Kişisel
Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik.
1. Politika Hazırlanırxxx Xxxx Xxınan Usul ve Xxxxxxx
Hastane, kişisel verilerin işlenmesi, saklanması ve imha edilmesi işlemlerinde aşağıda yer alan usul ve ilkeler çerçevesinde hareket etmektedir.
⁃ Hukuka ve dürüstlük kurallarına uygun olma
⁃ Doğru ve gerektiğinde güncel olma
⁃ Belirli, açık ve meşru amaçlar için işlenme
⁃ İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma
⁃ İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme
Ayrıca kişisel veriler, 6698 sayılı KVKK’da ve ilgili diğer mevzuatta öngörülen usul ve esaslara uygun olarak işlenmektedir.
1. Kişisel Verileri Koruma Komitesi, Görevleri ve Yetkileri
Avicenna Hastaneler Grubu Kişisel Verileri Koruma Komitesi; (bundan sonra “Komite” olarak anılacaktır) bir başkan, bir başkan yardımcısı ve üç üyeden oluşur.
Komite Görevi | Unvan | Birim | Politika Kapsamında Görevi |
Başkan | Personelin Politika’ya uygun hareket etmesini sağlamak. | ||
Başkan Yardımcısı | Politikanın hazırlanması, geliştirilmesi, güncellenmesi ve yayınlanmasını sağlamak. | ||
Üyeler | Politika’nın yürütülmesini sağlamak. |
Komite, aşağıda açıklanan görev ve yetkilere sahiptir.
⁃ Komite, işbu Politika’nın ilgili iş birimlerine duyurulmasından vegereklerinin Hastane birimlerince yerine getirilmesinin takibinden sorumludur.
⁃ Komite, kişisel verilerin korunmasına ilişkin mevzuat değişiklikleri, Kurul’un düzenleyici işlemleri ile kararları, mahkeme kararları veyasüreç, uygulama ve sistemlerdeki değişiklikler gibi durumları ilgili iş birimlerinin takip etmesi ve gerekiyorsa iş süreçlerini güncellemeleri için gerekli duyuruları ve bildirimleri yapar.
⁃ Komite,KVKK ve ikincil düzenlemeler ile Kurul’un kararları ve düzenlemeleri, mahkeme kararları ve sair yetkili makamların kararlarının ve taleplerinin incelenmesi, değerlendirilmesi, takibi ve sonuçlandırılmasına yönelik süreçleri belirler veilgili birimlere duyurur.
1. Saklama ve İmhaya İlişkin Açıklamalar
Hastane çalışanlarına, çalışan adaylarına, hastalarına, stajyerlerine, ürün veya hizmet alıcılarına, potansiyel ürün veya hizmet alıcılarına, ziyaretçilerine, hizmet sağlayıcılarına, tedarikçi yetkilisine, tedarikçi çalışanına ve Hastane ile hukuki ilişki içerisinde bulunan her türlü gerçek ve tüzel kişiye ait kişisel veriler, Hastane tarafından KVKK’ya uygun bir şekilde işlenmekte ve imha edilmektedir.
1. Saklamaya İlişkin Detaylı Açıklamalar
Kanunun 3. maddesinde kişisel verilerin işlenmesi kavramı tanımlanmış, 4. maddesinde işlenen kişisel verinin işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli süre kadar muhafaza edilmesi gerektiği belirtilmiş, 5. ve 6. maddelerde ise kişisel verilerin işleme şartları sayılmıştır.
Buna göre, Hastane faaliyetleri çerçevesinde işlenmekte olan kişisel veriler, ilgili mevzuatta öngörülen veya işleme amaçlarımıza uygun süre kadar saklanmaktadır.
1. Saklamayı Gerektiren ve Saklama Süresini Belirleyen Hukuki Sebepler
Hastane tarafından işlenmekte olan kişisel veriler, aşağıda yer alan mevzuatlarda öngörülen süreler kadar muhafaza edilmektedir.
⁃ 6698 sayılı Kişisel Verilerin Korunması Kanunu
⁃ 6098 sayılı Türk Borçlar Kanunu
⁃ 4734 sayılı Kamu İhale Kanunu
⁃ 657 sayılı Devlet Memurları Kanunu
⁃ 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu
⁃ 5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun
⁃ 5018 sayılı Kamu Mali Yönetimi Kanunu
⁃ 6331 sayılı İş Sağlığı ve Güvenliği Kanunu
⁃ 4982 Sayılı Bilgi Edinme Kanunu
⁃ 3071 sayılı Dilekçe Hakkının Kullanılmasına Dair Kanun
⁃ 4857 sayılı İş Kanunu
⁃ 2547 sayılı Yükseköğretim Kanunu
⁃ 5434 sayılı Emekli Sağlığı Kanunu
⁃ 2828 sayılı Sosyal Hizmetler Kanunu
⁃ İşyeri Bina ve Eklentilerinde Alınacak Sağlık ve Güvenlik Önlemlerine İlişkin Yönetmelik
⁃ Arşiv Hizmetleri Hakkında Yönetmelik
⁃ Bu kanunlar uyarınca yürürlükte olan diğer ulusal ve uluslararası mevzuat hükümleri
1. Saklamayı Gerektiren Veri İşleme Amaçları
Hastane tarafından işlenmekte olan kişisel veriler, aşağıda yer alan amaçların gerçekleştirilebilmesi amacıyla muhafaza edilmektedir.
⁃ İnsan kaynakları süreçlerini yürütmek.
⁃ Kurumsal iletişimi sağlamak.
⁃ Kurum güvenliğini sağlamak.
⁃ İstatistiksel çalışmalar yapabilmek.
⁃ İmzalanan sözleşmeler ve protokoller neticesinde iş ve işlemleri ifa edebilmek.
⁃ VERBİS kapsamında, çalışanlar, veri sorumluları, irtibat kişileri, veri sorumlusu temsilcileri ve veri işleyenlerin tercih ve ihtiyaçlarını tespit etmek, verilen hizmetleri buna göre düzenlemek ve gerekmesi halinde güncellemek.
⁃ Yasal düzenlemelerin gerektirdiği veya zorunlu kıldığı şekilde, hukuki yükümlülüklerin yerine getirilmesini sağlamak.
⁃ Kurum ile iş ilişkisinde bulunan gerçek / tüzel kişilerle irtibat sağlamak.
⁃ Yasal raporlamalar yapmak.
⁃ Çağrı merkezi süreçlerini yönetmek.
⁃ Web sitesi hizmetlerini yönetmek.
⁃ İleride doğabilecek hukuki uyuşmazlıklarda delil olarak ispat yükümlülüğü.
1. Kişisel Verilerin Muhafaza Edildiği Kayıt Ortamları
Kayıt ortamları kapsamına, tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam girmektedir. Hastane tarafından hukuka uygun olarak işlenmekte olan kişisel veriler, aşağıda yer alan ortamlarda güvenli bir şekilde saklanmaktadır.
Elektronik Ortamlar:
⁃ Sunucular (Etki alanı, yedekleme, e posta, veri tabanı, web, dosya paylaşım vb.)
⁃ Yazılımlar (Ofis yazılımları, portal, EBYS, VERBİS vb.)
⁃ Bilgi güvenliği cihazları (Güvenlik duvarı, saldırı tespit ve engelleme, günlük kayıt dosyası, antivirüs programları vb.)
⁃ Kişisel bilgisayarlar (Masaüstü, dizüstü vb.)
⁃ Mobil cihazlar (telefon, tablet vb.)
⁃ Optik diskler (CD, DVD vb.)
⁃ Harici depolama alanları (USB, hafıza kartı, harici diskler vb.)
⁃ İşlemciye sahip her türlü sair cihaz (Yazıcı, tarayıcı, fotokopi makinesi vb.) Elektronik Olmayan Ortamlar:
⁃ Kağıt
⁃ Manuel veri kayıt sistemleri (Anketler, formlar, ziyaretçi defteri, giriş-çıkış defteri, yemekhane defteri vb.)
⁃ Yazılı, basılı, görsel vb. her türlü ortam
1. Kişisel Verilerin İmha Edilmesini Gerektiren Sebepler
Hastane tarafından KVKK kapsamında işlenmekte olan kişisel veriler, aşağıda yer alan durumlarda ilgili kişinin talebi üzerine veya Hastane tarafındanre’sen silinir, yok edilir veya anonim hale getirilir.
⁃ İşlenmesine esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası.
⁃ İşlenmesini veya saklanmasını gerektiren amacın ortadan kalkması.
⁃ Kişisel verileri işlemenin sadece xxxx xxxx şartına istinaden gerçekleştiği hallerde, ilgili kişinin açık rızasını geri alması.
⁃ KVKK’nın 11. maddesi gereği ilgili kişinin hakları çerçevesinde kişisel verilerinin silinmesi ve yok edilmesine ilişkin yaptığı başvurunun Hastane tarafından kabul edilmesi.
⁃ Hastanenin, ilgili kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabı yetersiz bulması veya KVKK’da öngörülen süre içinde cevap vermemesi hallerinde; Kurula şikâyette bulunması ve bu talebin Kurul tarafından uygun bulunması.
⁃ Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olması ve kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması.
1. Kişisel Verilerin İmha Teknikleri
Hastane tarafından işlenmekte olan kişisel veriler,re’sen veya ilgili kişinin başvurusu üzerine işbu Politika’nın14. maddesinde belirtilen tekniklerle imha edilmektedir.
1. Kişisel Verilerin Silinmesi
Kişisel Veri Muhafaza Ortamı | Yöntem | |||
Sunucularda Bulunan Kişisel Veriler | Saklanmasını gerektiren süresi sona eren kişisel veriler için sistem yöneticisi tarafından ilgili kullanıcıların erişim yetkisi kaldırılarak silme işlemi yapılmaktadır. | |||
Elektronik Veriler | Ortamda | Bulunan | Kişisel | Saklanmasını gerektiren süresi sona eren kişisel veriler,veritabanı yöneticisi hariç diğer çalışanlar (ilgili kullanıcılar) için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmektedir. |
Fiziki Ortamda Bulunan Kişisel Veriler | Saklanmasını gerektiren süresi sona eren kişisel veriler için evrak arşivinden sorumlu birim yöneticisi hariç diğer çalışanlar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. Ayrıca, üzeri okunamayacak bir biçimde çizilerek/boyanarak/silinerek karartma işlemi de uygulanmaktadır. | |||
Taşınabilir Veriler | Medyada | Bulunan | Kişisel | Saklanmasını gerektiren süresi sona eren kişisel veriler, sistem yöneticisi tarafından şifrelenerek ve erişim yetkisi sadece sistem yöneticisine verilerek şifreleme anahtarlarıyla güvenli ortamlarda saklanmaktadır. |
1. Kişisel Verilerin Yok Edilmesi
Kişisel Veri Muhafaza Ortamı | Yöntem |
Fiziksel Ortamda Bulunan Kişisel Veriler | Kâğıt ortamında yer alan kişisel verilerden saklanmasını gerektiren süresi sona eren kişisel veriler, kâğıt kırpma makinelerinde geri döndürülemeyecek şekilde yok edilmektedir. |
Optik medya ve manyetik medyada yer | |
alan kişisel verilerden saklanmasını | |
gerektiren süresi sona eren kişisel | |
verilerin eritilmesi, yakılması veya toz | |
Optik ve Manyetik Medyada Bulunan Kişisel Veriler | haline getirilmesi gibi fiziksel olarak yok edilmesi işlemi uygulanmaktadır. Ayrıca, manyetik medya özel bir cihazdan |
geçirilerek yüksek değerde manyetik | |
alana maruz bırakılması suretiyle | |
üzerindeki veriler okunamaz hale | |
getirilmektedir. |
1. Kişisel Verilerin Anonim Xxxx Getirilmesi
Hastane tarafından işlenmekte olan kişisel verilerin kimliği belirlemeye yönelik kısımları (örneğin isim, soy isim vb.) silinir. Böylelikle kalan bilgiler gerçek bir kişi ile ilişkilendirilemez.
1. Teknik Tedbirler
Hastane tarafından işlenmekte olan kişisel verilerin işlenmesi, silinmesi, yok edilmesi ve anonim hale getirilmesi ile ilgili olarak alınan teknik tedbirler aşağıda açıklanmaktadır.
Ağ güvenliği ve uygulama güvenliği sağlanmaktadır. |
Ağ yoluyla kişisel veri aktarımlarında kapalı sistem ağ kullanılmaktadır. |
Bilgi teknolojileri sistemleri tedarik, gelistirme ve bakımı kapsamındaki güvenlik önlemleri alınmaktadır. |
Çalışanlar için veri güvenliği hükümleri içeren disiplin düzenlemeleri mevcuttur. |
Çalışanlar için veri güvenliği konusunda belli aralıklarla eğitim ve farkındalık çalışmaları yapılmaktadır. |
Çalışanlar için yetki matrisi oluşturulmuştur. |
Erişim logları düzenli olarak tutulmaktadır. |
Erişim, bilgi güvenliği, kullanım, saklama ve imha konularında kurumsal politikalar hazırlanmış ve uygulamaya başlanmıştır. |
Gerektiğinde veri maskeleme önlemi uygulanmaktadır. |
Gizlilik taahhütnameleri yapılmaktadır. |
Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır. |
Güncel anti-virüs sistemleri kullanılmaktadır. |
Güvenlik duvarları kullanılmaktadır. |
İmzalanan sözleşmeler veri güvenliği hükümleri içermektedir. |
Kişisel veri güvenliği politika ve prosedürleri belirlenmiştir. |
Kişisel veri güvenliği sorunları hızlı bir şekilde raporlanmaktadır. |
Kişisel veri güvenliğinin takibi yapılmaktadır. |
Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmaktadır. |
Kişisel veri içeren ortamların güvenliği sağlanmaktadır. |
Kişisel veriler mümkün olduğunca azaltılmaktadır. |
Kişisel veriler yedeklenmekte ve yedeklenen kişisel verilerin güvenliği de sağlanmaktadır. |
Kullanıcı hesap yönetimi ve yetki kontrol sistemi uygulanmakta olup bunların takibi de yapılmaktadır. |
Kurum içi periyodik ve/veya rastgele denetimler yapılmakta ve yaptırılmaktadır. |
Log kayıtları kullanıcı müdahalesi olmayacak şekilde tutulmaktadır. |
Özel nitelikli kişisel veri güvenliğine yönelik protokol ve prosedürler belirlenmiş ve uygulanmaktadır. |
Saldırı tespit ve önleme sistemleri kullanılmaktadır. |
1. İdari Tedbirler
Hastane tarafından işlenmekte olan kişisel verilerin işlenmesi, silinmesi, yok edilmesi ve anonim hale getirilmesi ile ilgili olarak alınan idari tedbirler aşağıda açıklanmaktadır.
⁃ Çalışanların niteliğinin geliştirilmesine yönelik, kişisel verilerin hukuka aykırı olarak işlenmenin önlenmesi, kişisel verilerin hukuka aykırı olarak erişilmesinin önlenmesi, kişisel verilerin muhafazasının sağlanması, iletişim teknikleri, teknik bilgi beceri ve ilgili mevzuat hakkında eğitimler verilmektedir.
⁃ Kurum tarafından yürütülen faaliyetlere ilişkin çalışanlara gizlilik sözleşmeleri imzalatılmaktadır.
⁃ Güvenlik politika ve prosedürlerine uymayan çalışanlara yönelik uygulanacak disiplin prosedürü hazırlanmıştır.
⁃ Kişisel veri işlemeye başlamadan önce Kurum tarafından, ilgili kişileri aydınlatma yükümlülüğü yerine getirilmektedir.
⁃ Kişisel veri işleme envanteri hazırlanmıştır.
⁃ Kurum içi periyodik ve rastgele denetimler yapılmaktadır.
⁃ Çalışanlara yönelik bilgi güvenliği eğitimleri verilmektedir.
1. Saklanma ve İmha Süreleri
Hastane tarafından KVKK’ya uygun olarak işlenmekte olan kişisel veriler ile ilgili olarak
⁃ Veri kategorileri bazında saklama süreleri, VERBİS’te yer almaktadır.
⁃ Süreç bazında saklama süreleri, işbu Politika’da yer almaktadır.
Sözü edilen saklama sürelerinin değiştirilmesi, …. (yetkili biri) tarafından yapılmaktadır.
Saklama süreleri sona eren kişisel veriler için re’sen veya ilgili kişinin başvurusu üzerine silme, yok etme ve anonim hale getirme işlemi …. (yetkili biri) tarafından yapılmaktadır.
1. Periyodik İmha Süresi
Hastane, Yönetmelik’in 11. maddesi kapsamında periyodik imha süresini 6 ay olarak belirlemiştir. O nedenle her yılın haziran ve aralık aylarında, Hastane tarafından periyodik imha işlemi gerçekleştirilmektedir.
1. İmha Süreleri Tablosu
Süreç | Saklama Süresi | İmha Süresi |
Hastane İşlemleri | 20 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
S ö z l e ş m e l e r i n Hazırlanması | Sözleşmenin sona ermesi tarihinden itibaren 10 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
H a s t a n e İ l e t i ş i m Faaliyetleri | Faaliyetin sona ermesi tarihinden itibaren 20 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
İ n s a n K a y n a k l a r ı Süreçlerinin Yönetilmesi | Faaliyetin sona ermesi tarihinden itibaren 10 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Log Kayıt Takip Sistemleri | 10 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Donanım ve Yazılıma E r i ş i m S ü r e ç l e r i n i n Yürütülmesi | 2 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Ziyaretçi ve Toplantı Katılımcılarının Kaydı | Etkinliğin sona ermesi tarihinden itibaren 2 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Kamera Kayıtları | Kaydedildiği tarihten itibaren 2 ay | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
1. Politikanın Yayınlanması ve Saklanması
İşbu Politika, ıslak imzalı olarak kağıda basılır ve elektronik ortamda yayımlanır ayrıca Hastane’nin web sitesi aracılığıyla kamuya açıklanır.
1. Politikanın Güncellenmesi
Politika, ihtiyaç duyuldukça gözden geçirilir ve gerekli görüldüğü takdirde ilgili bölümler güncellenir.
1. Politikanın Yürürlüğü ve Yürürlükten Kaldırılması
İşbu Politika, Hastane’nin web sitesinde yayınlanmasından itibaren yürürlüğe girmiş kabul edilir.
Politika’nın yürürlükten kaldırılmasına karar verilmesi halinde, ıslak imzalı eski nüshaları Kurul Kararı ile … tarafından iptal edilerek (iptal kaşesi vurularak veya iptal yazılarak) imzalanır ve en az 5 yıl süre ile …tarafından saklanır.