KİŞİSEL VERİLERİN İŞLENMESİ VE KORUNMASI POLİTİKASI

KİŞİSEL VERİLERİN İŞLENMESİ VE

KORUNMASI POLİTİKASI

İçindekiler

1. POLİTİKANIN AMACI VE KAPSAMI 2

2. TANIMLAR 2

3. KİŞİSEL VERİLERİN İŞLENMESİ 3

3.1 Kişisel Verilerin İşlenmesinde Uyulan Temel İlkeler 3

3.2 Kişisel Verilerin İşlenme Şartları 3

3.3 Özel Nitelikli Kişisel Verilerin İşlenmesi 3

3.4 Kişisel Veri Sahibi İlgili Kişinin Aydınlatılması 4

4. KİŞİSEL VERİLERİN İŞLENME AMAÇLARI 4

5. KİŞİSEL VERİLERİN SAKLANMA SÜRESİ VE İMHASI 5

6. KİŞİSEL VERİLERİN AKTARILMASI 7

6.1 Kişisel Verilerin Yurt İçine Aktarılması 7

7. KİŞİSEL VERİLERİN KORUNMASI 8

7.1 Kişisel Verilerin Korunması İçin Alınan Tedbirler 9

1.1 İdari Tedbirler 9

1.2 Teknik Tedbirler 9

7.2 Veri Xxxxxx Xxxxxxxxx Alınacak Tedbirler 10

8. KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ SÜREÇLERİ KOORDİNASYONU 11

9. POLİTİKADA YAPILAN GÜNCELLEMELER 11

1. POLİTİKANIN AMACI VE KAPSAMI

Kişisel verilerin hukuka uygun olarak işlenmesi ve korunması, Kurtköy Dializ Hiz. A.Ş.

Şirketi için büyük önem arz etmektedir. Kişisel veri işleme faaliyetlerinin 6698 sayılı Kişisel Verilerin Korunması Kanunu ve bu kanun kapsamında çıkarılan yönetmelik, genelge, yönergelere uygunluğunu sağlamak, şirketi bir bütün olarak KVKK mevzuatına uyumlu hale getirmek amacıyla işbu Kişisel Verilerin İşlenmesi ve Korunması Politikası (“Politika”) hazırlanmıştır. Ayrıca işbu Politika ile kişisel veri işleme, saklama ve güvenliğini sağlama süreçlerinin ilke, usul ve esasları belirlenmiştir.

2. TANIMLAR

Bu Politikada yer verilen hukuki ve teknik terimlerden;

Xxxx Xxxx	Xxxxxxx bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı,
İlgili Kullanıcı	Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişileri,
İmha	Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesini,
Kanun	24.3.2016 Tarihli ve 6698 Sayılı Kişisel Verilerin Korunması Kanununu,
Kayıt ortamı	Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortamı,
Kişisel Veri	Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi,
Kişisel Verilerin İşlenmesi	Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi,
Kişisel Verilerin Silinmesi	Kişisel verilerin silinmesi; kişisel verilerin İlgili Kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesini,
Kişisel Verilerin Yok Edilmesi	Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemini,
Kurul	Kişisel Verileri Koruma Kurulunu,
Özel Nitelikli Kişisel Veri	Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri,
Periyodik İmha	Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemini,
İlgili Kişi / Veri Sahibi	Kişisel verisi işlenen gerçek kişiyi,
Veri Sorumlusu	Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi

İfade eder

3. KİŞİSEL VERİLERİN İŞLENMESİ

   1. Kişisel Verilerin İşlenmesinde Uyulan Temel İlkeler

Kanunda belirtilen temel ilkelere uygun şekilde kişisel veri işlenecektir. Bu kapsamda Kişisel veriler;

• Hukuka ve dürüstlük kuralına uygun işlenecektir.

• Kişisel verilerin doğru ve gerektiğinde güncel olması sağlanacaktır.

• Belirli, açık ve meşru amaçlar için işlenecektir.

• İşlendikleri yasal amaçla bağlantılı, sınırlı ve ölçülü olarak kullanılacak ve açıklanacaktır.

• İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilecektir.

2. Kişisel Verilerin İşlenme Şartları

Özel nitelikli olmayan Kişisel veriler aşağıdaki hukuki sebeplerin en az birinin varlığı halinde veya ilgili kişinin açık rızası alınarak işlenebilecektir.

• Kanunlarda açıkça öngörülmesi

• Sözleşmenin ifası için tarafların verilerinin işlenmesinin gerekli olması

• Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması

• Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması

• İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması

3. Özel Nitelikli Kişisel Verilerin İşlenmesi

Özel nitelikli kişisel veriler işlenirken uyulacak usul ve esaslar işletmemiz tarafından hazırlanarak yayınlanan Özel Nitelikli Kişisel Verilerin İşlenmesi Politikası’nda ayrıntılı olarak açıklanmıştır. Özel Nitelikli Kişisel Verilerin İşlenmesi Politikası’nı danışmadan edinebilirsiniz.

4. Kişisel Veri Sahibi İlgili Kişinin Aydınlatılması

Kişisel veri sahipleri Kanun’a uygun olarak aydınlatılmaktadır. Bu kapsamda veri sorumlusunun kimliği, kişisel verinin hangi amaçlarla işleneceği, kimlere aktarılacağı, hangi yöntemle toplandığı ve hukuki sebebi ve ilgili kişinin aşağıda belirtilen hakları konusunda ilgili kişiler bilgilendirilmektedir.

İlgili Kişilerin Hakları;

• Kişisel veri işlenip işlenmediğini öğrenme,

• Kişisel veriler işlenmişse buna ilişkin bilgi talep etme,

• Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,

• Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,

• Kişisel verilerin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini isteme,

• Kanun’un 7. Maddesinde öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme,

• Kişisel verilerle ilgili yapılan güncellemeler veya silme işlemlerinin aktarılan üçüncü kişilere bildirilmesini isteme,

• İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,

• Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması halinde zararın giderilmesini talep etme.

Kanunun 11. maddesinde belirtilen haklarınız kapsamındaki taleplerinizi, yazılı ve ıslak imzalı olarak Xxxxxxxxx xxx. Xxxxxx xxxxxxx Xx: 000/0 Xxxxxx/XXXXXXXX adresimize göndermeniz ya da tarafımıza önceden bildirdiğiniz ve sistemimizde kayıtlı bulunan elektronik posta adresiniz üzerinden xxxx@xxxxxxxxxxxxxx.xxx adresimize iletmeniz gerekmektedir.

Başvurulara en kısa sürede ve en geç 30 (otuz) gün içerisinde ücretsiz olarak yanıt verilecektir.

4. KİŞİSEL VERİLERİN İŞLENME AMAÇLARI

Kanun’un 4. maddesinde düzenlenen temel ilkelere uygun olarak ve Kanun’un 5. Ve 6. Maddelerinde belirtilen kişisel veri ve özel nitelikteki kişisel veri işleme şartlarından en az birine dayanarak aşağıda sayılan amaçlarla işlenmektedir.

• Acil durum yönetimi süreçlerinin yürütülmesi

• Bilgi güvenliği süreçlerinin yürütülmesi

• Çalışan adaylarının başvuru süreçlerinin yürütülmesi

• Çalışanlar için iş akdi ve mevzuattan kaynaklı yükümlülüklerin yerine getirilmesi

• Çalışanlar için yan haklar ve menfaatleri süreçlerinin yürütülmesi

• Eğitim faaliyetlerinin yürütülmesi

• Erişim yetkilerinin yürütülmesi

• Faaliyetlerin mevzuata uygun yürütülmesi

• Finans ve muhasebe işlerini yürütülmesi

• Fiziksel mekân güvenliğinin temini

• Görevlendirme süreçlerinin yürütülmesi

• Hukuki işlerin takibi ve yürütülmesi

• İletişim faaliyetlerinin yürütülmesi

• İnsan kaynakları süreçlerinin planlanması

• İş sağlığı ve güvenliği faaliyetlerinin yürütülmesi

• İş süreçlerinin iyileştirilmesine yönelik önerilerin alınması ve değerlendirilmesi

• Performans değerlendirme süreçlerini yürütülmesi

• Saklama ve arşiv faaliyetlerini yürütülmesi

• Sözleşme süreçlerinin yürütülmesi

• Talep ve şikayetlerin takibi

• Taşınır mal ve kaynakların güvenliğinin temini

• Veri sorumlusu operasyonlarının güvenliğinin temini

• Yetenek ve kariyer gelişimi faaliyetlerini yürütülmesi

• Yetkili kişi, kurum ve kuruluşlara bilgi verilmesi

• Tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi

• Tanıtım faaliyetlerinin yürütülmesi, amaçlarıyla sınırlı olarak işlenmektedir.

5. KİŞİSEL VERİLERİN SAKLANMA SÜRESİ VE İMHASI

Kanun ve Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik hükümlerine uygun olarak, kişisel verileri işlendikleri amaç için gerekli olan süre ve ilgili faaliyetin tabi olduğu yasal mevzuatta öngörülen sürelere uygun olarak saklanmaktadır.

Öncelikle ilgili mevzuatta kişisel verilerin saklanması için bir süre öngörülüp öngörülmediğini tespit edilmekte, mevzuatta bir süre belirlenmişse bu süreye kadar, yasal bir süre mevcut değil ise işlendikleri amaç için gerekli olan süre kadar saklanmaktadır.

Belirtilen kriterlere uygun olarak her bir kişisel veri kategorisi için ayrı olarak belirlenmiş saklama süreleri aşağıda tablo halinde gösterilmiştir. Kişisel veriler bu sürelerin sonundan itibaren altı aylık periyodik imha sürelerinde veya ilgili kişinin başvurması durumunda en geç otuz gün içinde belirlenen imha yöntemleri ile imha etmektedir.

Kişisel verilerin saklanma süreleri;

İŞLENEN VERİ	İLGİLİ KİŞİ KATEGORİSİ	SAKLAMA SÜRESİ
Kimlik Bilgileri	Çalışan		Aktif istihdam ilişkisi sonlandıktan sonra 15 yıl
	Çalışan Adayı		İş başvurusu olumsuz sonuçlanması halinde saklanmaz
	Hasta		Tedavi bitimi itibariyle 20 yıl
	Refakatçi		Hizmet süresince
	Dışardan Hizmet Veren Gerçek Kişiler		Hizmet bitiminden itibaren 10 yıl
İletişim Bilgileri	Çalışan		Aktif istihdam ilişkisi sonlandıktan sonra 15 yıl
	Çalışan Adayı		İş başvurusu olumsuz sonuçlanması halinde saklanmaz
	Hasta		Tedavi bitimi itibariyle 20 yıl
	Refakatçi		Hizmet süresince
	Dışardan Hizmet Veren Gerçek Kişiler		Hizmet bitiminden itibaren 10 yıl
Kişisel Sağlık Verisi	Çalışan		Aktif istihdam ilişkisi sonlandıktan sonra 15 yıl
	Çalışan Adayı		İş başvurusu olumsuz sonuçlanması halinde saklanmaz
	Hasta		Tedavi bitimi itibariyle 20 yıl
Biyometrik Veri	Hasta		20 yıl
Ceza Mahkûmiyeti ve Güvenlik Tedbirleri Bilgileri	Çalışan		Aktif istihdam ilişkisi sonlandıktan sonra 10 yıl
	Çalışan Adayı		İş başvurusu olumsuz sonuçlanması halinde saklanmaz
Özlük	Çalışan		Aktif istihdam ilişkisi sonlandıktan sonra 10 yıl
	Çalışan Adayı		İş başvurusu olumsuz sonuçlanması halinde saklanmaz
Hukuki İşlem	Çalışan ve Hasta		Hukuki sürecin sonlanmasından itibaren 10 yıl
Lokasyon	Çalışan ve Hasta		6 ay
İşlem Güvenliği	Çalışan ve Hasta		2 yıl
Müşteri İşlem	Hasta		20 yıl
	Dışardan Hizmet Veren Gerçek Kişiler		Hizmet bitiminden itibaren 10 yıl
Finans	Çalışan		Aktif istihdam ilişkisi sonlandıktan sonra 10 yıl
Kamera Kayıtları	Bütün Kişi Grupları İçin		2 ay
Mesleki Deneyim	Çalışan		Aktif istihdam ilişkisi sonlandıktan sonra 10 yıl
	Çalışan Adayı		İş başvuru süreci olumsuzsa saklanmaz
Görsel ve İşitsel Kayıtlar	Çalışan		Aktif istihdam ilişkisi sonlandıktan sonra 15 yıl
	Çalışan Adayı		İş başvuru süreci olumsuzsa saklanmaz
Referans Bilgisi	Çalışan Adayı		İş başvuru süreci olumsuzsa saklanmaz
Sigara Kullanım Bilgisi	Çalışan Adayı		İş başvuru süreci olumsuzsa saklanmaz
Aile bilgisi	Çalışan		Aktif istihdam ilişkisi sonlandıktan sonra 10 yıl

6. KİŞİSEL VERİLERİN AKTARILMASI

   1. Kişisel Verilerin Yurt İçine Aktarılması

İşlenen kişisel veriler aşağıda belirtilen 3. kişilere aktarılabilecektir.

Bünyemizde çalışan personelin kişisel verileri;

• Hukuki uyuşmazlık durumunda talep halinde talep edilen kişisel verilerle sınırlı olarak adli makamlar ve taraf avukatlarına

• Kimlik ve iletişim bilgileri hukuki yükümlülüklerin takibi amacıyla yetkili mali müşavire

• Kimlik ve finans bilgileri maaş ödemesi yapılması amacıyla anlaşmalı bankaya

• Kimlik bilgileri Bireysel Emeklilik Sistemi için özel sigorta şirketine

• Kimlik, iletişim, sağlık, fotoğraf, diploma ve ceza mahkumiyeti verileri personel çalışma belgesi başvurusu amacıyla ilçe/il sağlık müdürlüğüne

• Kimlik ve unvan bilgileri Sağlık Bakanlığı bünyesindeki Sağlık Personeli Takip Sistemine

• Kimlik bilgileri, işe giriş bildirgesi amacıyla Sosyal Güvenlik Kurumu’na

• Aylık işgücü çizelgesi için İŞKUR’a

• Kimlik, iletişim ve sağlık verileri iş sağlığı ve güvenliği hizmet amacıyla koruyucu hekimlik gereği anlaşmalı iş sağlığı ve güvenliği firmasına

• Kimlik, iletişim ve sağlık verileri tehlikeli madde güvenlik danışmanına ve çevre danışmanına

• Kimlik, görev ve unvan bilgileri Hasta Hakları Yönetmeliği gereği talep halinde hastaya

• Xxxxxx ve finans bilgileri vergi beyannamesi için vergi dairesine

• Kimlik ve aile bilgileri asgari geçim indirimi için vergi dairesine

• Arşivleme amacıyla işyeri bilgisayar programlarının geliştiricisi olan yazılım firmasına

Hizmet alan hastaların kişisel verileri;

• Hukuki uyuşmazlık durumunda talep halinde talep edilen kişisel verilerle sınırlı olarak adli makamlar ve taraf avukatlarına

• Kimlik ve sağlık bilgileri Sağlık Hizmetleri Temel Kanunu gereği E-Nabız sistemine

• Kimlik, iletişim, sağlık ve sigorta bilgileri Sosyal Güvenlik Kurumu Kanunu gereği MEDULA sistemine

• Kimlik, iletişim, sağlık ve refakatçi bilgileri Diyaliz Merkezleri Hakkında Yönetmelik gereği TDİS aracılığıyla Türkiye Diyaliz Veri Sistemine

• Özel sigorta kapsamında hizmet alanların kimlik, sağlık ve sigorta bilgileri özel sigorta şirketlerine

• Kimlik, iletişim ve sağlık verileri tedavi süreci için laboratuvar firması ve radyoloji firmasına

• Kimlik, iletişim, sağlık ve refakatçi bilgileri hastanın sevki durumunda sevk edilecek sağlık kuruluşuna

• Hastanın kendisi yerine bir başkasının bilgilendirilmesini talep etmesi halinde, bu talep kişinin imzası ile yazılı olarak kayıt altına alınmak kaydıyla sadece bilgilendirilmesi istenilen kişilere

• Hastanın ölümü halinde veraset ilamını ibraz eden yasal mirasçılarına

• Özel Hastaneler Yönetmeliği gereği hasta dosyalarının arşivlenmesi amacıyla hasta kayıt programının geliştiricisi olan yazılım firmasına

• Avuç içi ve parmak izi verileri Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu gereği kimlik doğrulama amacıyla Sosyal Güvenlik Kurumuna

Diyaliz Merkezine hizmet veren gerçek kişilerden elde edilen kişisel veriler;

• Hukuki uyuşmazlık durumunda talep halinde adli makamlar ve taraf avukatları

• Kanuni yükümlülükler gereği yetkili mali müşavir,

• Ödemeler için anlaşmalı banka

• Arşivleme için işyeri bilgisayar programlarının geliştiricisi olan yazılım firması

Diğer kişi gruplarından elde edilen kişisel veriler;

Hukuki uyuşmazlık durumunda talep halinde adli makamlar ve taraf avukatlarına aktarılabilecektir.

7. KİŞİSEL VERİLERİN KORUNMASI

İşletmemiz, Xxxxx’xx 12. Maddesinde belirtildiği gibi;

• Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,

• Kişisel verilerin hukuka aykırı olarak erişilmesini önlemek,

• Kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirleri almakta ve alınan tedbirlerin uygulanması için gerekli denetimleri yapmakta veya yaptırmaktadır.

1. Kişisel Verilerin Korunması İçin Alınan Tedbirler

1. İdari Tedbirler

• Çalışanlar için veri güvenliği hükümleri içeren disiplin düzenlemeleri mevcuttur.

• Çalışanlar için veri güvenliği konusunda belli aralıklarla eğitim ve farkındalık çalışmaları yapılmaktadır.

• Erişim, bilgi güvenliği, kullanım, saklama ve imha konularında kurumsal politikalar hazırlanmış ve uygulamaya başlanmıştır.

• Gizlilik taahhütnameleri yapılmaktadır.

• İmzalanan sözleşmeler veri güvenliği hükümleri içermektedir.

• Kâğıt yoluyla aktarılan kişisel veriler için ekstra güvenlik tedbirleri alınmakta ve ilgili evrak gizlilik dereceli belge formatında gönderilmektedir.

• Kişisel veri güvenliği politika ve prosedürleri belirlenmiştir.

• Kişisel veri güvenliği sorunları hızlı bir şekilde raporlanmaktadır.

• Kişisel veri güvenliğinin takibi yapılmaktadır.

• Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmaktadır.

• Kişisel veri içeren fiziksel ortamların dış risklere (yangın, sel vb.) karşı güvenliği sağlanmaktadır.

• Kişisel veri içeren ortamların güvenliği sağlanmaktadır.

• Kişisel veriler mümkün olduğunca azaltılmaktadır.

• Kurum içi periyodik ve/veya rastgele denetimler yapılmakta ve yaptırılmaktadır.

• Özel nitelikli kişisel veri güvenliğine yönelik protokol ve prosedürler belirlenmiş ve uygulanmaktadır.

• Özel nitelikli kişisel veriler elektronik posta yoluyla gönderilecekse mutlaka şifreli olarak ve KEP veya kurumsal posta hesabı kullanılarak gönderilmektedir.

• Özel nitelikli kişisel verilere erişim yetkisine sahip kullanıcıların, yetki kapsamları ve süreleri net olarak tanımlanmaktadır.

• Görev değişikliği olan ya da işten ayrılan çalışanların kendisine tahsis edilmiş envanter iade alınmaktadır.

• Kişisel veri envanteri hazırlanmıştır.

• Periyodik aralıklarla silme, yok etme veya anonim hale getirme işlemleri yapılmaktadır.

1. Teknik Tedbirler

• Ağ güvenliği ve uygulama güvenliği sağlanmaktadır.

• Bilgi teknolojileri sistemleri tedarik, geliştirme ve bakımı kapsamındaki güvenlik önlemleri alınmaktadır.

• Çalışanlar için yetki matrisi oluşturulmuştur.

• Erişim logları düzenli olarak tutulmaktadır.

• Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır.

• Güncel anti-virüs sistemleri kullanılmaktadır.

• Güvenlik duvarları kullanılmaktadır.

• Kullanıcı hesap yönetimi ve yetki kontrol sistemi uygulanmakta olup bunların takibi de yapılmaktadır.

• Log kayıtları kullanıcı müdahalesi olmayacak şekilde tutulmaktadır.

• Özel nitelikli kişisel veriler için güvenli şifreleme / kriptografik anahtarlar kullanılmakta ve farklı birimlerce yönetilmektedir.

• Siber güvenlik önlemleri alınmış olup uygulanması sürekli takip edilmektedir.

• Taşınabilir bellek, CD, DVD ortamında aktarılan özel nitelikli kişiler veriler şifrelenerek aktarılmaktadır.

• Özel nitelikli kişisel verilere erişimi olan çalışanların periyodik olarak yetki kontrolleri gerçekleştirilmektedir.

• Verilerin bulunduğu ortamlara ait güvenlik güncellemeleri sürekli takip edilmekte, gerekli güvenlik testleri düzenli olarak yapılmakta veya yaptırılmakta ve test sonuçları kayıt altına alınmaktadır.

• Özel nitelikli kişisel verilere erişim yapılan yazılımların güvenlik testleri düzenli olarak yaptırılmaktadır ve test sonuçları kayıt altına alınmaktadır.

• Özel nitelikli kişisel verilere uzaktan erişimlerde iki kademeli kimlik doğrulama sistemi kullanılmaktadır.

• Farklı fiziksel ortamlardaki sunucular arasında kişisel sağlık verisi aktarımı yapılacaksa sunucular arasında VPN kurularak veya sFTP yöntemleriyle aktarım yapılmaktadır.

• Dijital ortamda saklanan kişisel veriler için periyodik aralıklarla silme, yok etme veya anonim hale getirme işlemleri yapılmaktadır.

2. Veri Xxxxxx Xxxxxxxxx Alınacak Tedbirler

İşletmemiz tarafından işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde işletmemiz ihlali öğrenmesinden itibaren bu durumu en kısa süre içerisinde veri sahibine ve Kurul’a bildirecektir.

İşletmemiz tarafından söz konusu ihlalden etkilenen kişilerin belirlenmesine müteakip ilgili kişilere de makul olan en kısa süre içerisinde, ilgili kişinin iletişim adresine ulaşılabiliyorsa doğrudan bildirilecektir.

İlgili kişiye yapılacak olan ihlal bildiriminde;

• İhlalin ne zaman gerçekleştiği,

• Hangi kişisel verilerin ihlalden etkilendiği,

• İhlalin olası sonuçları,

• İhlalin etkilerinin azaltılması için alınan veya alınması önerilen tedbirler,

• İlgili kişinin veri ihlali ile ilgili bilgi almasını sağlayacak irtibat kişisinin isim ve iletişim detaylarına yer verilecektir.

8. KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ SÜREÇLERİ KOORDİNASYONU

Kişisel verilerin korunması ve işlenmesi süreçlerinin koordinasyonunu Kalite Yönetim Direktörü yapar.

9. POLİTİKADA YAPILAN GÜNCELLEMELER

İşletmemiz, mevzuatın değişmesi sebebiyle, Kurul kararları uyarınca ya da sektördeki ya da bilişim alanındaki gelişmeler doğrultusunda işbu Kişisel Verilerin İşlenmesi ve Korunması Politikasında değişiklik yapma hakkına sahiptir. Bu kapsamda yapılan değişiklikler derhal metne işlenir ve değişikliklere ilişkin açıklamalar aşağıda düzenlenen güncellemeler tablosuna eklenir.

Güncellemeler Tablosu

07.03.2018 Kişisel Verilerin İşlenmesi ve Korunması Politikası yürürlüğe girmiştir.