ÖZEL ATABEK AĞIZ VE DİŞ SAĞLIĞI MERKEZİ

Kişisel verilerin korunması,Xxxx Xxxxxx Sağlık Hiz.Ltd.Şti.’nin en önemli öncelikleri arasında olup, bu hususta yürürlükte bulunan tüm mevzuata uygun davranmak için azami gayret göstermektedir.

Xxxx Xxxxxx Sağlık Hiz.Ltd.Şti. Kişisel Verilerin Korunması ve İşlenmesi Politikası (“Politika”) çerçevesinde Merkezimiz tarafından gerçekleştirilen kişisel veri işleme faaliyetlerinin yürütülmesinde benimsenen ilkeler ve M er k e zi mi zi n veri işleme faaliyetlerinin 6698 sayılı Kişisel Verilerin Korunması Kanunu‟nda (“Kanun”) yer alan düzenlemelere uyumu bakımından benimsenen temel prensipler açıklanmakta ve böylelikle Merkezimiz, kişisel veri sahiplerini bilgilendirerek gerekli ş effaflığı sağlamaktadır. Bu kapsamdaki sorumluluğumuzun tam bilinci ile kişisel verileriniz işbu Politika kapsamında işlenmekte ve korunmaktadır.

1.1 Amaç ‌

07.04.2016 tarihli ve 29677 sayılı Resmi Gazete‟de yayımlanan 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”), 20.10.2016 tarihli ve 29863 sayılı Resmî Gazete‟de yayımlanan Kişisel Sağlık Verilerinin işlenmesi ve Mahremiyetinin Sağlanması Hakkında Yönetmeliği(“Yönetmelik”) kapsamında, Xxxx Xxxxxx Ağız ve Diş Sağlığı Merkezi tarafından uygulanacak olan usul ve esaslar, veri sorumlusunun aydınlatma yükümlülüğü, teknik ve idari tedbirleri bildirmek amacıyla, Kişisel Verilerin işlenmesi, Korunması ve imha Politikası (“Politika”) hazırlanmıştır.

1.2 Kapsam ‌

Xxxx Xxxxxx Ağız ve Diş Sağlığı Merkezi çalışanları, çalışan adayları, hastalarımızı, hizmet sağlayıcıları, ziyaretçiler ve diğer üçüncü kişilere ait kişisel verilerini otomatik yollarla ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen tüm kişisel verileri bu politika kapsamındadır.

Xxxx Xxxxxx Sağlık Hiz.Ltd.Şti’nin sahip olduğu ya da Xxxx Xxxxxx Sağlık Hiz.Ltd.Şti olarak yönetilen kişisel verilerin işlendiği tüm kayıt ortamları, kişisel veri işlenmesine yönelik işlemler, çalışanlarının kişisel verilerinin korunması ve işlenmesine ilişkin hususlar bu politika kapsamına girer. Tüm süreçler, bu politikaya uygun olarak gerçekleştirilir.

1.3 Kısaltmalar ve Tanımlar ‌

Xxxx xxxxxx verisi: Xxxx xxxx haline getirilen sağlık verisini,

Xxxx xxxx: Ücretsiz olarak veya hazırlanma maliyetini geçmeyecek şekilde internet üzerinden herkesin eriĢimine sunulan, üzerinde herhangi bir fikri mülkiyet hakkı bulunmayan ve herhangi bir amaçla serbestçe kullanılabilen, makineler tarafından okunabilen ve böylelikle diğer veriler ve sistemlerle birlikte çalışabilen, anonim halegetirilmiş veriyi,

Alıcı Grubu: Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisi.

Anonim hale getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini,

Bakanlık: Sağlık Bakanlığını,

Çalışan Aday: Merkezimize herhangi bir yolla iş başvurusunda bulunmuş ya da özgeçmiş ve ilgili bilgilerini Merkezimizin incelemesine açmış olan gerçek kişiler.

Çalışan: Xxxx Xxxxxx Sağlık Hiz.Ltd.Şti personeli.

Elektronik Olmayan Ortam: Elektronik ortamların dışında kalan tüm yazılı, basılı, görsel vb. diğer

ortamlar.

Elektronik Ortam: Kişisel verilerin elektronik aygıtlar ile oluşturulabildiği, okunabildiği, değiştirilebildiği ve yazılabildiği ortamlar.

e-Nabız: İlgili kişilerin sağlık verilerine kendilerinin, hekimlerin veya yetki verdikleri üçüncü kişilerin erişimini sağlayan, e-Devlet uygulamalarına uygun olarak Bakanlıkça kurulan sistemi,

Merkez Yetkilisi: Merkezimizin yönetim kurulu üyesi ve diğer yetkili gerçek kişiler.

MBYS: Merkez Bilgi Yönetim Sistemi

Hizmet Sağlayıcı: Xxxx Xxxxxx Sağlık Hiz.Ltd.Şti ile belirli bir sözleşme çerçevesinde hizmet

sağlayan gerçek veya tüzel kişiyi ifade eder

İlgilikişi: Kişisel verisi işlenengerçek kişiyi,

İlgili kullanıcı: Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişileri,

İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi.

İşbirliği İçerisinde Olduğumuz Kurumların Çalışanları, Hissedarları ve Yetkilileri: Merkezimizin her türlü iş ilişkisi içerisinde bulunduğu kurumlarda (iş ortağı, tedarikçi gibi, ancak bunlarla sınırlı olmaksınız) çalışan, bu kurumların hissedarları ve yetkilileri dâhil olmak üzere, gerçek kişiler

KamuNET: Kamu kurum ve kuruluşları arasındaki veri iletişiminin sağlanması, bu veri iletişiminin internete kapalı, fiziksel ve siber saldırılara karşı daha güvenli sanal bir ağ üzerinden yapılması, siber güvenlik risklerinin minimize edilmesi, mevcut ve kurulacak olan güvenli kapalı devre çözümlere standart sağlanması, ortak uygulamalar için uygun alt yapının tesis edilmesi amaçlarıyla Ulaştırma ve Altyapı Bakanlığı tarafından geliştirilen projeyi,

Kanun: 24.3.2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanununu,

Kayıt Ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası

olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam.

Kimliksizleştirme: Kişisel verilerin; kimliği belirli veya belirlenebilir gerçek kişiyle ilişkilendirilememesi için teknik ve idari tedbirlerin alınması şartıyla ve farklı bir ortamda muhafaza edilen diğer verilerle bir araya getirilmeksizin ilgili kişiyle ilişkilendirilemeyecek şekilde işlenmesini,

Kişisel sağlık verisi: Kimliği belirli ya da belirlenebilir gerçek kişinin fiziksel ve ruhsal sağlığına

ilişkin her türlü bilgi ile kişiye sunulan sağlık hizmetiyle ilgili bilgileri,

Kişisel Veri İşleme Envanteri: Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter.

Kişisel veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi,

Kişisel verilerin imha edilmesi: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesini,

Kişisel verilerin işlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi sağlıkverileri üzerinde gerçekleştirilen her türlü işlemi,

Kişisel verilerin silinmesi: Kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar

kullanılamaz hâle getirilmesi işlemini,

Kişisel verilerin yok edilmesi: Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hâle getirilmesi iŞlemini,

Kişisel Veri İşleme: Veri sorumlularının iş süreçlerine bağlı olarak Envanteri gerçekleştirmekte oldukları kişiselverileri işleme faaliyetlerini; kişisel verileri işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel

verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter.

Kurul: Kişisel Verileri Koruma Kurulunu,

Kurum: Kişisel Verileri Koruma Kurumunu,

Maskeleme: Kişisel verilerin belirli alanlarının, kimliği belirli veya belirlenebilir bir gerçek kiŞiyle ilişkilendirilemeyecek ş ekilde silinmesi, üstlerinin çizilmesi, boyanması ve yıldızlanması gibi işlemleri,

Merkezi sağlık veri sistemi: Bakanlık tarafından oluşturulan kişisel sağlık verilerinin toplandığı veri sistemini,

Müşteri: Merkezimizle herhangi bir sözleşmesel ilişkisi olup olmadığına bakılmaksızın Merkezimizin sunmuş olduğu ürün ve hizmetleri kullanan veya kullanmış olan gerçek kişiler.

Özel Nitelikli Kişisel Veri: Kişilerin ırkı, etnik kökeni, siyasi düŞüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri

Özel Nitelikli Kişisel Veri: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.

Periyodik İmha: Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla re‟sen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi.

Politika: Kişisel Verileri Saklama ve imha Politikası

Potansiyel Müşteri: Ürün ve hizmetlerimize kullanma talebinde veya ilgisinde bulunmuş veya bu ilgiye sahip olabileceği ticari teamül ve dürüstlük kurallarına uygun olarak değerlendirilmiş gerçek kişiler.

Sağlık hizmeti sunucusu: Sağlık hizmetini sunan veya üreten gerçek kişiler ile kamu hukuku ve özel hukuk tüzel kişilerini,

Sicil: Kişisel Verileri Koruma Kurumu BaŞkanlığı tarafından tutulan veri sorumluları sicili (VERBİS)

Üçüncü Kişi: Kurumumuzun yukarıda bahsi geçen taraflarla arasındaki ticari işlem güvenliğini sağlamak veya bahsi geçen kişilerin haklarını korumak ve menfaat temin etmek üzere bu kişilerle ilişkili olan üçüncü taraf gerçek kişiler (Örneğin hizmet alınan firma çalışan veya yetkilileri, Refakatçi vb)

VERBİS: Veri Sorumluları Sicil Bilgi Sistemi

Veri İşleyen: Veri sorumlusunun verdiği yetkiye dayanarak veri sorumlusu adına kişisel verileri işleyen gerçek veya tüzel kişi.

Veri Kayıt Sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi.

Veri Sorumluları Sicil Bilgi Sistemi: Veri sorumlularının Sicile başvuruda ve Sicile ilişkin ilgili diğer işlemlerde kullanacakları, internet üzerinden erişilebilen, Başkanlık tarafından oluşturulan ve yönetilen bilişim sistemi.

Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin

kurulmasında ve yönetilmesinden sorumlu gerçek veya tüzel kişi.

Yönetmelik: 28 Ekim 2017 tarihli Resmi Gazetede yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik ve 21 Haziran 2019 tarihli Resmi Gazetede yayımlanan Kişisel Sağlık Verileri Hakkında Yönetmelik.

Ziyaretçi: Merkezimizin sahip olduğu fiziksel alanlara çeşitli amaçlarla girmiş olan veya internet sitelerimizi ziyaret eden gerçek kişiler.

2 SORUMLULUK VE GÖREV DAĞILIMLARI ‌

2.1. Xxxx Xxxxxx Sağlık Hiz.Ltd.Şti. „Veri Sorumlusu‟ sıfatıyla, bu politikanın uygulatılmasından

sorumludur.

2.2. Politikanın hazırlanması, uygulanması ve güncellenmesinden, Xxxx Xxxxxx Sağlık Hiz.Ltd.Şti

Veri Sorumlusu yetkili ve sorumlu olacaktır.

2.3. Xxxx Xxxxxx Sağlık Hiz.Ltd.Şti. tüm Bölüm/Birimleri ile ilgili kiŞiler(çalıŞan, stajyer adayı, çalışan adayı, ziyaretçi, iş ortakları/tedarikçi/alt işveren yetkilileri ve çalışanları) Politika hükümlerine uygun hareket etmek, bu hükümlere uyulmasını sağlamak ve aykırı hareketin tespiti halinde durumu Xxxx Xxxxxx Sağlık Hiz.Ltd.Şti. Veri Sorumlusuna bildirmekle yükümlüdür.

2.4. Politika,xxxxx://xxxxxxxxx.xxx internet sitesinde yayınlanmış olup, ayrıca intranet ortamda tüm

çalışanların erişimine açıktır.

2.5. Politikada yapılan güncellemeler “Veri Sorumlusu” tarafından, gerek m e r k e z web adresinde, gerekse de intranet ortamda yüklenmek suretiyle erişime açık hale getirilecektir.

2.6. Politika ile mevcut kanun hükümleri arasında çelişki olması halinde, kanun hükümleri geçerli olacak ve Veri Sorumlusu politikanın kanun hükümlerine uygun hale getirilmesi için gerekli güncellemeyi yaparak erişime açık hale getirecektir. Politikanın yürürlükten kaldırılmasına karar verme yetkisi Başhekim/Mesul Müdüre aittir.

2.7. Merkezin tüm birimleri ve çalışanları, sorumlu birimlerce Politika kapsamında alınmakta olan teknik ve idari tedbirlerin gereği gibi uygulanması, birim çalışanlarının eğitimi ve farkındalığının arttırılması, izlenmesi ve sürekli denetimi ile kişisel verilerin hukuka aykırı olarak işlenmesinin önlenmesi, kişisel verilere hukuka aykırı olarak erişilmesinin önlenmesi ve kişisel verilerin hukuka uygun saklanmasının sağlanması amacıyla kişisel veri işlenen tüm ortamlarda veri güvenliğini sağlamaya yönelik teknik ve idari tedbirlerin alınması konularında sorumlu birimlere aktif olarak destek verir.

2.8. Kişisel verilerin saklama ve imha süreçlerinde görev alanların unvanları, birimleri ve görev

tanımlarına ait dağılım Tablo 1‟de verilmiŞtir.

Tablo 1: Saklama ve imha süreçleri görev dağılımı

UNVAN	GÖREV
Başhekim/Mesul Müdür	Çalışanların politikaya uygun hareket etmesinden sorumludur.
Kalite Yönetim Birimi	Politika‟nın hazırlanması, geliştirilmesi, yürütülmesi, ilgili ortamlarda yayınlanması ve güncellenmesinden sorumludur.
Bilgi İşlem Birimi	Politika‟nın uygulanmasında ihtiyaç duyulan teknik çözümlerin sunulmasından sorumludur.
Hemşire,İnsan Kaynakları, İdari İşler Müdürü, Eğitim birimi	Görevlerine uygun Politikanın yürütülmesinden sorumludurlar.

3 KİŞİSEL VERİLERİN İŞLENMESİ İLKELERİ

Xxxx Xxxxxx Sağlık Hiz.Ltd.Şti , kişisel verilerin işlenmesine ilişkin usul ve esasları düzenleyen, KVKK‟nın 4. maddesi uyarınca aşağıda sayılan ilke ve esaslar çerçevesinde kişisel veri işleme faaliyetlerini gerçekleŞtirmektedir.

3.1 Hukuka ve Dürüstlük Kuralına Uygunluk:‌

Xxxx Xxxxxx Sağlık Hiz.Ltd.Şti , kişisel verilerinizi, KVKK ve yapılan iş gereği uyulması

zorunlu olan diğer kanun ve düzenlemelere uygun olarak işlemektedir.

3.2 Doğru ve Güncel Olma:‌

Xxxx Xxxxxx Sağlık Hiz.Ltd.Şti. , veri sahibi tarafından sağlanan kişisel verilerin izinsiz ve gerçeğe aykırı olarak değiştirilmemesi ve işlenen veriler ile ilgili bir değişiklik olduğunda veri sahibi tarafından talep edilmesi halinde, kişisel verinin güncellenmesi için gerekli işlemleri yerine getirmekte, teknik ve idari tedbirleri almaktadır.

3.3 Belirli, Açık ve Meşru Amaçlar İçin İşlenme:‌

Xxxx Xxxxxx Sağlık Hiz.Ltd.Şti. tarafından işlenen kişisel verileriniz, size bildirilen işleme

amacına uygun olarak ve bildirilen çerçevede işlenmektedir.

3.4 İşleme Amacıyla Bağlantılı, Sınırlı ve Ölçülü Olma:‌

Xxxx Xxxxxx Sağlık Hiz.Ltd.Şti.faaliyetleriyle örtüşmeyen, ş irket faaliyetleri çerçevesinde gerek duyulmayan ve işleme amacını aşacak nitelikteki kişisel verileri işlememektedir.

3.5 İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç için Gerekli Olan Süre Kadar Muhafaza Edilme:‌

KVKK, ilgili diğer kanunlar ve düzenlemeler çerçevesinde işlenen verileriniz, ilgili mevzuatta öngörülen veya işlenen kişisel verinin niteliği gereği saklanması gereken süreler kadar muhafaza edilmektedir.

4 KİŞİSEL VERİLERİN İŞLENME ŞARTLARI

KVK Kanunu ile kişisel verilerin işlenme koşulları düzenlenmiş olup, Xxxx Xxxxxx Sağlık Hiz.Ltd.Şti tarafından kişisel veriler aşağıda belirtilen söz konusu koşullara uygun olarak işlenmektedir.

4.1 Kişisel Verilerin İşlenmesi Şartları:‌

KVK Kanunu‟nda sayılan istisnalar dışında, Xxxx Xxxxxx Sağlık Hiz.Ltd.Şti ancak veri sahiplerinin açık rızasını temin etmek suretiyle kişisel veri işlemektedir. Kanun‟da sayılan aşağıdaki hallerin varlığı durumunda ise, veri sahibinin açık rızası olmasa dahi kişisel veriler işlenebilmektedir:

4.1.1. Kanunlarda açıkça öngörülmesi,

4.1.2. Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,

4.1.3. Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla sözleşmenin

taraflarına ait kişisel verilerin işlenmesinin gerekli olması.

4.1.4. Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,

4.1.5. Veri sahibinin kendisi tarafından alenileştirilmiş olması,

4.1.6. Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,

4.1.7. Veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

4.2 Özel Nitelikli Kişisel Verilerin İşlenmesi Şartları:‌

Veri sahipleri açısından korunmasının çeşitli açılardan daha kritik önem teşkil ettiğine inanılan özel nitelikli kişisel verilerin işlenmesinde ise Xxxx Xxxxxx Sağlık Hiz.Ltd.Şti. tarafından özel hassasiyet gösterilmektedir. Bu kapsamda, Kurul tarafından belirlenen yeterli önlemlerin alınması ş artıyla bu tür veriler, veri sahiplerinin açık rızası olmaksızın işlenmemektedir. Ancak, sağlık ve cinsel hayat ile ilgili veriler dışındaki özel nitelikli kişisel veriler, kanunlarda öngörülen hallerde veri sahibinin açık rızası olmaksızın da işlenebilmektedir. Bununla beraber, sağlık ve cinsel hayata ilişkin veriler ise yeterli önlemlerin alınması şartıyla ve aşağıda sayılan sebeplerin varlığı halinde açık rızası alınmaksızın işlenebilmektedir:

• Kamu sağlığının korunması,

• Koruyucu hekimlik,

• Tıbbî teşhis,

• Tedavi ve bakım hizmetlerinin yürütülmesi,

• Sağlık hizmetleri ile finansmanının planlanması ve yönetimi.

5 KİŞİSEL VERİLERİN TOPLANMASI VE İŞ LENMESİ YÖNTEMLERİ ‌

Xxxx Xxxxxx Sağlık Hiz.Ltd.Şti.olarak; KVK Kanunu‟nun 10. maddesi uyarınca ilgili kişiler bilgilendirilerek, Merkezimizin meşru ve hukuka uygun kişisel veri işleme amaçları doğrultusunda KVK Kanunu‟nun 5. maddesinde belirtilen kişisel veri işleme şartlarından bir veya birkaçına dayalı ve sınırlı olarak KVK Kanunu‟nda başta kişisel verilerin işlenmesine ilişkin 4. maddede belirtilen ilkeler olmak üzere KVK Kanunu‟nda belirtilen genel ilkelere ve KVK Kanunu‟nda düzenlenen bütün yükümlülüklere uyarak, politika kapsamındaki sürelerle sınırlı olarak aşağıda belirtilen kategorilerdeki kişisel veriler işlenmektedir.

Xxxx Xxxxxx Sağlık Hiz.Ltd.Şti. KVK Kanunu‟na uygun olarak ve Yönetmeliğin 5‟inci,7‟inci, 9‟uncu ve 10‟uncu maddesi kapsamında düzenlenmesi ve aşağıda yer alan bilgileri içermesi zorunlu olan Kişisel Veri İşleme Envanteri‟ne dayalı olarak gerçek kişilere ait kişisel verileri işlemektedir.

Ayrıca; Kişisel Veri İşleme envanteri başlığına yer verilmemiş olsa da işbu başlık ve takip eden başlıklarda aşağıdaki bilgilerin yer alması halinde ilgili maddeler “Kişisel Veri İşleme Envanteri” hükmünde sayılacaktır.

• Kişisel veri işleme amaçları,

• Veri kategorisi

• Verilerin aktarıldığı alıcı grubu veya alıcı grupları

• Veri konusu kişi grupları

• Veri kategorisi ile veri konusu kişi gruplarının ilişkilendirilmesi

• Yabancı ülkelere aktarımı öngörülen kişisel veriler

• Veri güvenliğine ilişkin alınan tedbirler

• Kişisel verilerin işlendikleri amaçlar için gerekli olan azami süre

5.1 Kişisel Veri Konusu Kişi Grupları ‌

Tablo -2 Kişisel Veri Konusu Kişi Grupları

Veri Kategorisi

Veri Konusu Kişi Grubu

1-Kimlik

Çalışan Adayı Çalışan Hissedar/Ortak

Potansiyel Ürün veya Hizmet Alıcısı

Stajyer

Tedarikçi Çalışanı

Tedarikçi Yetkilisi

Ürün veya Hizmet Alan Kişi Veli / Vasi / Temsilci Ziyaretçi

2-iletişim

Çalışan Adayı Çalışan Hissedar/Ortak

Potansiyel Ürün veya Hizmet Alıcısı

Stajyer

Tedarikçi Çalışanı

Tedarikçi Yetkilisi

Ürün veya Hizmet Xxxx XxXx Veli / Vasi / Temsilci

Ziyaretçi

3-Lokasyon

Çalışan

Potansiyel Ürün veya Hizmet Alıcısı

4-Özlük

Çalışan Adayı Çalışan

Haberekonu kişi Stajyer

Tedarikçi Çalışanı

5-Hukuki işlem

Çalışan Adayı Çalışan

Haberekonu kişi Hissedar/Ortak

Potansiyel Ürün veya Hizmet Alıcısı

Stajyer

Tedarikçi Yetkilisi

Ürün veya Hizmet Alan Kişi Veli / Vasi / Temsilci Ziyaretçi

6-Müşteri işlem

Potansiyel Ürün veya Hizmet Alıcısı

Tedarikçi Yetkilisi

Ürün veya Hizmet Xxxx Xxxx

Veli / Vasi / Temsilci Ziyaretçi

7-Fiziksel Mekân

Güvenliği

Çalışan Adayı Çalışan

Haberekonu kişi Hissedar/Ortak

Potansiyel Ürün veya Hizmet Alıcısı

Stajyer

Tedarikçi Çalışanı

Tedarikçi Yetkilisi Ürün veya Hizmet Alan Kişi Veli / Vasi / Temsilci Ziyaretçi
8-işlem Güvenliği	Çalışan Adayı Çalışan Haberekonu kişi Hissedar/Ortak Potansiyel Ürün veya Hizmet Alıcısı Stajyer Veli / Vasi / Temsilci Ziyaretçi
11-Mesleki Deneyim	Çalışan Adayı Çalışan Stajyer Tedarikçi Çalışanı
	Çalışan Adayı
	Çalışan
	Haberekonu kişi
	Potansiyel Ürün veya Hizmet Alıcısı
13-Görsel Ve işitsel Kayıtlar	Stajyer Tedarikçi Çalışanı
	Tedarikçi Yetkilisi
	Ürün veya Hizmet Alan Kişi
	Veli / Vasi / Temsilci
	Ziyaretçi
21-Sağlık Bilgileri	Çalışan Adayı Çalışan Haberekonu kişi Potansiyel Ürün veya Hizmet Alıcısı Stajyer Tedarikçi Çalışanı Ürün veya Hizmet Alan KiŞi Veli / Vasi / Temsilci Ziyaretçi
22-Cinsel Hayat	Potansiyel Ürün veya Hizmet Alıcısı Ürün veya Hizmet Alan Kişi
24-Biyometrik Veri	Çalışan Potansiyel Ürün veya Hizmet Alıcısı Ürün veya Hizmet Xxxx Xxxx
25-Genetik Veri	Potansiyel Ürün veya Hizmet Alıcısı Ürün veya Hizmet Alan Kişi

5.2 Veri Kategorizasyonu:‌

Xxxx Xxxxxx Sağlık Hiz.Ltd.Şti., KVK Kanunu‟nun 10. maddesine uygun olarak aydınlatma yükümlülüğü kapsamında hangi kişisel veri sahibi gruplarının kişisel verilerini işlediğini, kişisel veri sahibinin kişisel verilerinin işlenme amaçlarını ve saklama sürelerini kişisel veri sahibine talep ettiği takdirde bildirmektedir. Xxxx Xxxxxx Sağlık Hiz.Ltd.Şti.’nde işlenen kişisel veri kategorileri;

Tablo-3 Veri Kategorizasyonu

Veri Kategorisi

Veri Konusu Kişi Grubu

1-Kimlik

Çalışan Adayı

Çalışan Hissedar/Ortak

Potansiyel Ürün veya Hizmet Alıcısı

Stajyer

Tedarikçi Çalışanı

Tedarikçi Yetkilisi

Ürün veya Hizmet Alan Kişi

Veli / Vasi / Temsilci Ziyaretçi

2-iletişim

Çalışan Adayı Çalışan Hissedar/Ortak

Potansiyel Ürün veya Hizmet Alıcısı

Stajyer

Tedarikçi Çalışanı

Tedarikçi Yetkilisi

Ürün veya Hizmet Xxxx Xxxx

Xxxx / Vasi / Temsilci Ziyaretçi

3-Lokasyon

Çalışan

Potansiyel Ürün veya Hizmet Alıcısı

4-Özlük

Çalışan Adayı Çalışan

Haberekonu kişi Stajyer

Tedarikçi Çalışanı

5-Hukuki işlem

Çalışan Adayı Çalışan

Haberekonu kişi Hissedar/Ortak

Potansiyel Ürün veya Hizmet Alıcısı

Stajyer

Tedarikçi Yetkilisi

Ürün veya Hizmet Alan KiŞi

Veli / Vasi / Temsilci Ziyaretçi

6-MüŞteri İşlem

Potansiyel Ürün veya Hizmet Alıcısı

Tedarikçi Yetkilisi

Ürün veya Hizmet Alan Kişi Veli / Vasi / Temsilci

Ziyaretçi

7-Fiziksel Mekân Güvenliği

Çalışan Adayı Çalışan

Haberekonu kişi Hissedar/Ortak

Potansiyel Ürün veya Hizmet Alıcısı

Stajyer

Tedarikçi Çalışanı

Tedarikçi Yetkilisi

Ürün veya Hizmet Xxxx Xxxx

Veli / Vasi / Temsilci Ziyaretçi
8-işlem Güvenliği	Çalışan Adayı Çalışan Haberekonu kişi Hissedar/Ortak Potansiyel Ürün veya Hizmet Alıcısı Stajyer Veli / Vasi / Temsilci Ziyaretçi
11-Mesleki Deneyim	Çalışan Adayı Çalışan Stajyer Tedarikçi Çalışanı
	Çalışan Adayı
	Çalışan
	Haberekonu kişi
	Potansiyel Ürün veya Hizmet Alıcısı
13-Görsel Ve işitsel Kayıtlar	Stajyer Tedarikçi Çalışanı
	Tedarikçi Yetkilisi
	Ürün veya Hizmet Alan Kişi
	Veli / Vasi / Temsilci
	Ziyaretçi
21-Sağlık Bilgileri	Çalışan Adayı Çalışan Haberekonu kişi Potansiyel Ürün veya Hizmet Alıcısı Stajyer Tedarikçi Çalışanı Ürün veya Hizmet Alan Kişi Veli / Vasi / Temsilci Ziyaretçi
22-Cinsel Hayat	Potansiyel Ürün veya Hizmet Alıcısı Ürün veya Hizmet Alan Kişi
24-Biyometrik Veri	Çalışan Potansiyel Ürün veya Hizmet Alıcısı Ürün veya Hizmet Xxxx Xxxx
25-Genetik Veri	Potansiyel Ürün veya Hizmet Alıcısı Ürün veya Hizmet Alan Kişi

5.3 Kişisel Veri Konusu Kişi Gruplarında Yer Alan Kişisel Veri Sahiplerinin Kişisel Verilerinin Toplanması Ve İşlenmesinin Amaçları ‌

Tablo-4 Kişisel Veri İşleme Amaçları

Veri Kategorisi

Veri Konusu Kişi Grubu

1-Kimlik

Çalışan Adayı

Çalışan Hissedar/Ortak

Potansiyel Ürün veya Hizmet Alıcısı

Stajyer

Tedarikçi Çalışanı

Tedarikçi Yetkilisi

Ürün veya Hizmet Alan Kişi Veli / Vasi / Temsilci

Ziyaretçi

2-iletişim

Çalışan Adayı Çalışan Hissedar/Ortak

Potansiyel Ürün veya Hizmet Alıcısı

Stajyer

Tedarikçi Çalışanı

Tedarikçi Yetkilisi

Ürün veya Hizmet Xxxx Xxxx Xxxx / Vasi / Temsilci Ziyaretçi

3-Lokasyon

Çalışan

Potansiyel Ürün veya Hizmet Alıcısı

4-Özlük

Çalışan Adayı Çalışan

Haberekonu kişi Stajyer

Tedarikçi Çalışanı

5-Hukuki işlem

Çalışan Adayı Çalışan

Haberekonu kişi Hissedar/Ortak

Potansiyel Ürün veya Hizmet Alıcısı

Stajyer

Tedarikçi Yetkilisi

Ürün veya Hizmet Alan Kişi

Veli / Vasi / Temsilci Ziyaretçi

6-Müşteri işlem

Potansiyel Ürün veya Hizmet Alıcısı

Tedarikçi Yetkilisi

Ürün veya Hizmet Alan Kişi Veli / Vasi / Temsilci

Ziyaretçi

7-Fiziksel Mekan Güvenliği

Çalışan Adayı Çalışan

Haberekonu kişi Hissedar/Ortak

Potansiyel Ürün veya Hizmet Alıcısı

Stajyer

Tedarikçi Çalışanı

Tedarikçi Yetkilisi

Ürün veya Hizmet Alan Kişi Veli / Vasi / Temsilci Ziyaretçi

8-işlem Güvenliği

Çalışan Adayı Çalışan

Haberekonu kişi Hissedar/Ortak

Potansiyel Ürün veya Hizmet Alıcısı

Stajyer

Veli / Vasi / Temsilci Ziyaretçi

11-Mesleki Deneyim

Çalışan Adayı Çalışan Stajyer

Tedarikçi Çalışanı

13-Görsel Ve işitsel Kayıtlar

Çalışan Adayı Çalışan

Haberekonu kişi

Potansiyel Ürün veya Hizmet Alıcısı

Stajyer

Tedarikçi Çalışanı

Tedarikçi Yetkilisi

Ürün veya Hizmet Alan Kişi

Veli / Vasi / Temsilci Ziyaretçi

21-Sağlık Bilgileri

Çalışan Adayı Çalışan

Haberekonu kişi

Potansiyel Ürün veya Hizmet Alıcısı

Stajyer

Tedarikçi Çalışanı

Ürün veya Hizmet Xxxx Xxxx Xxxx / Vasi / Temsilci Ziyaretçi

22-Cinsel Hayat

Potansiyel Ürün veya Hizmet Alıcısı

Ürün veya Hizmet Alan Kişi

24-Biyometrik Veri

Çalışan

Potansiyel Ürün veya Hizmet Alıcısı

Ürün veya Hizmet Xxxx Xxxx

25-Genetik Veri

Potansiyel Ürün veya Hizmet Alıcısı

Ürün veya Hizmet Alan Kişi

5.4 Verileri aktarım yaptığı alıcı gruplar:‌

Tablo-6 Alıcı grubu

ALICI GRUBU

1. Gerçek kişiler veya özel hukuk tüzel kişileri

2. iş Ortakları

3. Tedarikçiler

4. Yetkili Kamu Kurum ve Kuruluşları

6 KİŞİSEL VERİLERİN AKTARILMASI İLKELERİ

Xxxx Xxxxxx Sağlık Hiz.Ltd.Şti. veri sahiplerinin kişisel verilerini, 6698 sayılı KVK Kanunu‟nun

5. ve 6. maddelerinde belirtilen kişisel veri işleme Şartları kapsamında ve politika‟da belirtilmiş amaçlarla sınırlı olarak, KVK Kanunu‟nun 8. ve 9. maddelerine uygun olmak suretiyle 3. kişi ve kurumlara aktarabilecektir.

Kişisel Sağlık Verilerinin iş lenmesi Ve Mahremiyetinin Sağlanması Hakkında Yönetmelik Madde 8‟e göre;

(1) Kişisel sağlık verileri; kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, Kurul tarafından belirlenen önlemlerin de alınması ve üçüncü fıkrada öngörülen şartların sağlanması suretiyle, kanunlarında açıkça öngörülmüş olması hâlinde ilgili kamu kurum ve kuruluşlarına aktarılabilir.

(2) Kişisel sağlık verileri; birinci fıkrada öngörülen haller dışında ancak anonim hale getirilmek suretiyle aktarılabilir.

(3) Kanun ile belirlenmiş olan görev ve sorumluluklarını yerine getirmek üzere veri talebinde bulunan kamu kurum ve kuruluşları ile Bakanlık veya bağlı kurum ve kuruluşları arasında yapılacak veri aktarımı; aktarımın usulünü ve diğer gerekli hususları belirleyen bir protokol aracılığı ile yapılır.

(4) Kişisel sağlık verilerinin uluslararası aktarımına ilişkin her türlü talep ile bu maddede sayılanlar dışındaki veri aktarımı talepleri, Kanunda öngörülen hükümler çerçevesinde, genetik verilerin hassasiyeti hususu da dikkate alınarak Komisyon tarafından değerlendirilir.

7 KİŞİSEL VERİLERİN YURTDIŞINA AKTARILMASI

Xxxx Xxxxxx Sağlık Hiz.Ltd.Şti, Kişisel verileri Koruma Kanunun 5 inci maddenin ikinci fıkrasında, kişisel veriler, ilgili kişinin açık rızası olmaksızın yurt dışına aktarılmaz. Ancak kanunda görülen yeterli önlemler alınmak kaydıyla ve 6 ncı maddenin üçüncü fıkrasında, belirtilen şartlardan birinin bulunması hâlinde, ilgili kişinin açık rızası aranmaksızın aktarılabilir. KVK Kurulu tarafından yeterli korumaya sahip olduğu ilan edilen yabancı ülkelere (“Yeterli Korumaya Sahip Yabancı Ülke”) veya yeterli korumanın bulunmaması durumunda, Türkiye‟deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt ettiği ve KVK Kurulu‟nun izninin bulunduğu yabancı ülkelere “Yeterli Korumayı Taahhüt Eden Veri Sorumlusunun Bulunduğu Yabancı Ülke” kişisel verileri aktarabilmektedir. Aktarım süreçleri Kişisel Verileri Koruma Kanunun 9‟uncu madde de öngörülen düzenlemeler göre hareket eder.

7.1 Kişisel Verilerin Yurtdışına Aktarılması ‌

Xxxx Xxxxxx Sağlık Hiz.Ltd.Şti, Kişisel verilerin aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklı kalmak kaydıyla kanunu 9‟uncu maddesinde öngörülen hükümlere göre hareket eder. Kişisel veri sahibinin açık rızası var ise veya kişisel veri sahibinin açık rızası yok ise; kanunun 5 inci maddenin ikinci fıkrası ile 6 ncı maddenin üçüncü fıkrasında belirtilen ş artlardan birinin varlığı ve kişisel verinin aktarılacağı yabancı ülkede;

• Yeterli korumanın bulunması,

• Yeterli korumanın bulunmaması durumunda Türkiye‟deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması, kaydıyla ilgili kiŞinin açık rızası aranmaksızın yurt dıŞına aktarılabilmektedir. Yeterli korumanın bulunduğu ülkeler Kurul tarafından ilan edilmektedir. Bu bağlamda;

• Kanunlarda kişisel verinin aktarılacağına ilişkin açık bir düzenleme var ise,

• Kişisel veri sahibinin veya başkasının hayatı veya beden bütünlüğünün korunması için zorunlu ise ve kişisel veri sahibi fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda ise veya rızasına hukuki geçerlilik tanınmıyorsa;

• Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olmak kaydıyla sözleşmenin taraflarına ait kişisel verinin aktarılması gerekli ise,

• Xxxx Xxxxxx Sağlık Hiz.Ltd.Şti. ‟nin hukuki yükümlülüğünü yerine getirmesi için kişisel veri

aktarımı zorunlu ise,

• Kişisel veriler, kişisel veri sahibi tarafından alenileştirilmiş ise,

• Kişisel veri aktarımı bir hakkın tesisi, kullanılması veya korunması için zorunlu ise,

• Kişisel veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla yurt dışına aktarımı yapılmaktadır. Bunun dışındaki hallerde yurtdışına veri aktarımı yapılmamaktadır.

7.2 Özel Nitelikli Kişisel Verilerin Yurtdışına Aktarılması ‌

Xxxx Xxxxxx Sağlık Hiz.Ltd.Şti., KVK Kanunu‟nun 8. ve 9. Maddelerin hükümlerine uygun olmak suretiyle ve KVK Kurulu tarafından öngörülen yeterli önlemleri alınmasına bağlı olarak; meşru ve hukuka uygun kişisel veri işleme amaçları doğrultusunda kişisel veri sahibinin özel nitelikli verilerini aşağıdaki durumlarda Yeterli Korumaya Sahip veya Yeterli Korumayı Taahhüt Eden Veri Sorumlusunun Bulunduğu Yabancı Ülkelere aktarabilmektedir. Kişisel veri sahibinin açık rızası var ise veya kişisel veri sahibinin açık rızası yok ise;

a. Kişisel veri sahibinin sağlığı ve cinsel hayatı dışındaki özel nitelikli kişisel verileri (ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir), kanunlarda öngörülen hallerde,

b. Kişisel veri sahibinin sağlığına ve cinsel hayatına ilişkin özel nitelikli kişisel verileri ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenmesi kapsamında,

c. Xxxx Xxxxxx Sağlık Hiz.Ltd.Şti.’nin elde etmiş olduğu kişisel veriler kural olarak yurtdışı ile paylaşılmamaktadır. Yabancı uyruklu kişilerin, Türk uyruklu olup da yurt dışında yaşayanların veya yabancı ülkede kurulu ş irketler aracılığıyla Xxxx Xxxxxx Sağlık Hiz.Ltd.Şti ‟ne gelen kişilerin kişisel verileri ilgili kamu kurumu, sigorta şirketi veya aracı kurum ve kuruluşlar ile paylaşılabilmektedir.

8 VERİ SORUMLUSUNUN XXXXXXXXXX YÜKÜMLÜLÜĞÜ ‌

Xxxx Xxxxxx Sağlık Hiz.Ltd.Şti., KVK Kanunu‟nun 10. maddesine uygun olarak, kişisel verilerin elde edilmesi sırasında kişisel veri sahiplerini aydınlatmaktadır. Bu kapsamda Xxxx Xxxxxx Sağlık Hiz.Ltd.Şti. ve varsa temsilcisinin kimliğini, kişisel verilerin hangi amaçla işleneceğini, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi ile kişisel veri sahibinin sahip olduğu hakları konusunda aydınlatma yapmaktadır. Bu konu ile ilgili ayrıntılı bilgiye web sayfamızda bulunan “Kişisel Verilerin Korunması Kanunu Kapsamında Aydınlatma Metni” de yer verilmiştir. Anayasa‟nın 20. maddesinde herkesin, kendisiyle ilgili kişisel veriler hakkında bilgilendirilme hakkına sahip olduğu ortaya konulmuştur. Bu doğrultuda KVK Kanunu‟nun 11. maddesinde kişisel veri sahibinin hakları arasında “bilgi talep etme” de sayılmıştır. Xxxx Xxxxxx Sağlık Hiz.Ltd.Şti.bu kapsamda, Anayasa‟nın 20. ve KVK Kanunu‟nun 11. maddelerine uygun olarak kişisel veri sahibinin bilgi talep etmesi durumunda gerekli bilgilendirmeyi yapmaktadır. Bu kapsamda, KVK Kanunun 10‟uncu maddesine göre; Kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi, ilgili kişilere;

a) Veri sorumlusunun ve varsa temsilcisinin kimliği,

b) Kişisel verilerin hangi amaçla işleneceği,

c) İşlenen kişisel verilerin kimlere ve hangi amaçlaaktarılabileceği, ç) Kişisel veri toplamanın yöntemi ve hukuki sebebi,

d) 11 inci maddede sayılan diğer hakları, konusunda bilgi vermekle yükümlüdür. Konusunda bilgilendirme yapılmaktadır.

9 VERİ SAHİBNİN HAKLARI VE BU HAKLARINI KULLANMASI ‌

9.1 Kişisel Veri Sahibinin Haklarını İleri Süremeyeceği Haller ‌

Kişisel veri sahipleri, KVK Kanunu‟nun 28. maddesi gereğince aşağıdaki haller KVK Kanunu kapsamı dışında tutulduğundan, kişisel veri sahiplerinin bu konularda 9.2‟de sayılan haklarını ileri süremezler:

a. Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi.

b. Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi.

c. Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi.

d. Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi.

KVK Kanunu‟nun 28/2 maddesi gereğince; aşağıda sıralanan hallerde kişisel veri sahipleri zararın

giderilmesini talep etme hakkı hariç, 9.2‟de sayılan diğer haklarını ileri süremezler:

a. Kişisel veri işlemeninsuç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması.

b. Kişisel veri sahibi tarafından kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi.

c. Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması.

d. Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali

çıkarlarının korunması için gerekli olması.

9.2 Kişisel Veri Sahibinin Haklarını Kullanması ‌

Kişisel Verileri Koruma Kanunun Madde-11 göre; (1) Herkes, veri sorumlusuna başvurarak kendisiyle ilgili;

a) Kişisel veri işlenip işlenmediğini öğrenme,

b) Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,

c) Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,

ç) Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,

d) Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,

e) 7 nci maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme,

f) (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,

g) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,

ğ) Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın

giderilmesini talep etme, haklarına sahiptir.

9.3 Kişisel Veri Sahibinin KVK Kurulu’na Şikâyette Bulunma Hakkı ‌

Kişisel Verileri Koruma Kanunun Madde-14 göre; Başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hâllerinde; ilgili kişi, veri sorumlusunun cevabını öğrendiği tarihten itibaren otuz ve her hâlde başvuru tarihinden itibaren altmış gün içinde Kurula şikâyette bulunabilir.

9.4 Xxxx Xxxxxx Sağlık Hiz.Ltd.Şti ’nin Başvurulara Cevap Vermesi ‌

Kişisel veri sahibi, ilgili taleplerini yazılı olarak veya KVK Kurulun belirleyeceği diğer yöntemlerle veri Merkezimize iletmesi durumda, Merkezimiz talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandırır. Ancak, işlemin ayrıca bir maliyeti gerektirmesi hâlinde, Kurulca belirlenen tarifedeki ücret alınacaktır. Merkezimiz, kişisel veri sahibinin talebi kabul eder veya gerekçesini açıklayarak reddeder ve cevabını ilgili kişiye yazılı olarak veya elektronik ortamda bildirir. Başvuruda yer alan talebin kabul edilmesi hâlinde Merkezimiz gereğini en kısa sürede yerine getirir. Merkezimiz kaynaklı oluşacak hata durumlarında veri sahibinde alınan ücret ilgiliye iade edilir.

9.5 Xxxx Xxxxxx Sağlık Hiz.Ltd.Şti.’nin Başvurulara Cevap Verme Usulü ve Süresi

Kişisel veri sahibi, kanun ve yönetmeliklerin usule uygun olarak talebini Merkezimize iletmesi durumunda, Merkezimiz talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ilgili talebi ücretsiz olarak sonuçlandırır. i lave süre gerektiği durumlarda ise baivuru yapan ilgili kişiye konu hakkında bilgi verir.

9.6 Xxxx Xxxxxx Sağlık Hiz.Ltd.Şti. ’nin Başvuruda Bulunan Kişisel Veri Sahibinden Talep Edebileceği Bilgiler

Merkezimiz, başvuruda bulunan kişinin kişisel veri sahibi olup olmadığını tespit etmek adına ilgili kişiden bilgi talep edebilir.

9.7 Xxxx Xxxxxx Sağlık Hiz.Ltd.Şti.’nin Kişisel Veri Sahibinin Başvurusunu Reddetme Hakkı

Kişisel Veri Sahibi tarafından yapılan başvuru, Merkezimiz(Veri Sorumlusu) tarafından değerlendirilir. Yapılan talebi kabul eder veya gerekçesini açıklayarak reddedebilir.

10 KAYIT ORTAMLARI ‌

Kişisel veriler, Kurum tarafından Tablo 2‟de listelenen ortamlarda hukuka uygun olarak güvenli bir şekilde saklanır.

Tablo 7: Kişisel veri saklama ortamları

ELEKTRONİK ORTAMLAR

ELEKTRONİK OLMAYAN ORTAMLAR

• Sunucular (Etki alanı, yedekleme, e- posta, veritabanı, web, dosya paylaŞım, vb.)

• Yazılımlar (ofis yazılımları, Web portal, HBYS, MedData-e-Nabız K3DS, Sağlık Bakanlığı diğer yazılımları, SGK, Yazılım ve diğer yazılımlar)

• Bilgi güvenliği cihazları (güvenlik duvarı, saldırı tespit ve engelleme,

günlük kayıt dosyası, antivirüs vb. )

• Kişiselbilgisayarlar (Masaüstü, dizüstü)

• Mobil cihazlar (telefon, tablet vb.)

• Güvenlik kameraları

• Optik diskler (CD, DVD vb.)

• Çıkartılabilir bellekler (USB, Hafıza Kart vb.)

• Yazıcı, tarayıcı, fotokopi makinesi

• Kağıt

• Manüel veri kayıt sistemleri (anket

formları, ziyaretçi giriŞ defteri)

• Yazılı, basılı, görsel ortamlar

11 SAKLAMA VE İMHAYA İLİŞKİN AÇIKLAMALAR ‌

Xxxx Xxxxxx Sağlık Hiz.Ltd.Şti.tarafından; çalışanlar, çalışan adayları, hastalar ziyaretçiler ve hizmet sağlayıcı olarak ilişkide bulunulan üçüncü kişilerin, kurumların veya kuruluşların çalışanlarına ait kişisel veriler Kanuna uygun olarak saklanır ve imha edilir.

Bu kapsamda saklama ve imhaya ilişkin detaylı açıklamalara aşağıda sırasıyla yer verilmiştir.

11.1 Saklamaya İlişkin Açıklamalar ‌

Kanunun 3‟üncü maddesinde kişisel verilerin işlenmesi kavramı tanımlanmış, 4‟üncü maddesinde işlenen kişisel verinin işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli süre kadar muhafaza edilmesi gerektiği belirtilmiş, 5 ve 6 ncı maddelerde ise kişisel verilerin işleme şartları sayılmıştır.

Buna göre, Merkezimizin faaliyetleri çerçevesinde kişisel veriler, ilgili mevzuatta öngörülen veya işleme amaçlarımıza uygun süre kadar saklanır.

11.2 Saklamayı Gerektiren Hukuki Sebepler ‌

Merkezimiz, faaliyetleri çerçevesinde işlenen kişisel veriler, ilgili mevzuatta öngörülen süre kadar muhafaza edilir. Bu kapsamda kişisel veriler;

• Kişisel Verilerin Korunması Kanunu,

• Özel Hastaneler Yönetmeliği

• Sağlık Uygulama Tebliği

• Umumi Hıfzıssıhha Kanunu

• Sağlık Hizmetleri Temel Kanunu

• Yataklı Tedavi Kurumları İşletme Yönetmeliği

• Türk Borçlar Kanunu,

• Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu,

• İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun,

• İş Sağlığı ve Güvenliği Kanunu,

• Bilgi Edinme Kanunu,

• Dilekçe Hakkının Kullanılmasına Dair Kanun,

• İş Kanunu,

• Emekli Sağlığı Kanunu,

• İşyeri Bina ve Eklentilerinde Alınacak Sağlık ve Güvenlik Önlemlerine İlişkin Yönetmelik,

• Arşiv Hizmetleri Hakkında Yönetmelik

Bu kanunlar uyarınca yürürlükte olan diğer ikincil düzenlemeler çerçevesinde öngörülen saklama süreleri kadar saklanmaktadır.

11.3 Saklamayı Gerektiren İşleme Amaçları ‌

Kurum, faaliyetleri çerçevesinde işlemekte olduğu kişisel verileri aşağıdaki amaçlar doğrultusunda

saklar.

• İnsan kaynakları süreçlerini yürütmek.

• Kurumsal iletişimisağlamak.

• Kurum güvenliğini sağlamak,

• İstatistiksel çalışmalar yapabilmek.

• İmzalanansözleşmeler ve protokoller neticesinde iş ve işlemleriifaedebilmek.

• Yasal düzenlemelerin gerektirdiği veya zorunlu kıldığı şekilde, hukuki yükümlülüklerin yerine getirilmesini sağlamak.

• Kurum ile iş ilişkisinde bulunan gerçek / tüzel kişilerle irtibat sağlamak.

• İmhayı Gerektiren Sebepler Yasal raporlamalar yapmak.

• Çağrı merkezi süreçlerini yönetmek.

• İleride doğabilecek hukuki uyuşmazlıklarda delil olarak ispat yükümlülüğü.

11.4 İmhayı Gerektiren Sebepler ‌

Kişisel veriler;

• İşlenmesine esas teşkil edenilgili mevzuat hükümlerinindeğiştirilmesi veya ilgası,

• İşlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,

• Kişisel verileri işlemenin sadece xxxx xxxx şartına istinaden gerçekleştiği hallerde, ilgili kişinin

açık rızasını geri alması,

• Kanunun 11 inci maddesi gereği ilgili kişinin hakları çerçevesinde kişisel verilerinin silinmesi ve yok edilmesine ilişkin yaptığı başvurunun Kurum tarafından kabul edilmesi,

• Kurumun, ilgili kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabı yetersiz bulması veya Kanunda öngörülen süre içinde cevap vermemesi hallerinde; Kurula şikâyette bulunması ve bu talebin Kurul tarafından uygun bulunması,

• Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olması ve kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması durumlarında, ilgili kişinin talebi üzerine silinir, yok edilir ya da re‟sen silinir, yok edilir veya anonim hale getirilir.

12 KİŞİSEL VERİLERİN GÜVENLİĞİNİN SAĞLANMASININ TEKNİK VE İDARİ ‌

TEDBİRLER

Xxxx Xxxxxx Sağlık Hiz.Ltd.Şti., Kanun‟un 12. maddesine uygun olarak, kişisel verilerin hukuka aykırı olarak açıklanmasını, erişimini, aktarılmasını veya başka ş ekillerde meydana gelebilecek güvenlik eksikliklerini önlemek için, korunacak verinin niteliğine göre gerekli tedbirlerini almaktadır. Bu kapsamda Merkezimiz, Kişisel Verileri Koruma Kurulu (“Kurul”) tarafından yayımlanmış olan rehberlere uygun olarak gerekli güvenlik düzeyini sağlamaya yönelik ve idari tedbirleri almakta, denetimleri yapmakta veya yaptırmaktadır.

12.1 Teknik Tedbirler ‌

Xxxx Xxxxxx Sağlık Hiz.Ltd.Şti., kişisel verilerin hukuka uygun işlenmesini sağlamak için, teknolojik imkânlar ve uygulama maliyetine göre teknik tedbirler almaktadır. Merkezimiz kişisel veri işleme faaliyetleri kurulan teknik sistemlerle denetlenmektedir. Teknik önlemler periyodik olarak iç denetim mekanizması gereği ilgilisine raporlanmaktadır. Teknik konularda bilgili personel istihdam edilmektedir. Diğer teknik tedbirler;

Tablo 8: Veri Güvenliği Tedbiri

Veri Güvenliği Tedbiri

Ağ güvenliği ve uygulama güvenliği sağlanmaktadır.

Ağ yoluyla kişisel veri aktarımlarında kapalı sistem ağ kullanılmaktadır.

Anahtar yönetimi uygulanmaktadır.

Bilgi teknolojileri sistemleri tedarik, geliştirme ve bakımı kapsamındaki güvenlik önlemleri

alınmaktadır.

Çalışanlar için veri güvenliği hükümleri içeren disiplin düzenlemeleri mevcuttur.

Çalışanlar için veri güvenliği konusunda belli aralıklarla eğitim ve farkındalık çalışmaları

yapılmaktadır.

Çalışanlar için yetki matrisi oluşturulmuştur.

Erişim logları düzenli olarak tutulmaktadır.

Erişim, bilgi güvenliği, kullanım, saklama ve imha konularında kurumsal politikalar hazırlanmış ve

uygulamaya başlanmıştır.

Gerektiğinde veri maskeleme önlemi uygulanmaktadır.

Gizlilik taahhütnameleri yapılmaktadır.

Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır.

Güncel anti-virüs sistemleri kullanılmaktadır.

Güvenlik duvarları kullanılmaktadır.

İmzalanan sözleşmeler veri güvenliği hükümleri içermektedir.

Kağıt yoluyla aktarılan kişisel veriler için ekstra güvenlik tedbirleri alınmakta ve ilgili evrak gizlilik

dereceli belge formatında gönderilmektedir.

Kişisel veri güvenliği politika ve prosedürleri belirlenmiştir.

Kişisel veri güvenliği sorunları hızlı bir şekilde raporlanmaktadır.

Kişisel veri güvenliğinin takibi yapılmaktadır.

Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmaktadır.

Kişisel veri içeren fiziksel ortamların dış risklere (yangın, sel vb.) karşı güvenliği sağlanmaktadır.

Kişisel veri içeren ortamların güvenliği sağlanmaktadır.

Kişisel veriler mümkün olduğunca azaltılmaktadır.

Kişisel veriler yedeklenmekte ve yedeklenen kişisel verilerin güvenliği de sağlanmaktadır.

Kullanıcı hesap yönetimi ve yetki kontrol sistemi uygulanmakta olup bunların takibi de

yapılmaktadır.

Kurum içi periyodik ve/veya rastgele denetimler yapılmakta ve yaptırılmaktadır.

Log kayıtları kullanıcı müdahalesi olmayacak Şekilde tutulmaktadır.

Mevcut risk ve tehditler belirlenmiştir.

Özel nitelikli kişisel veri güvenliğine yönelik protokol ve prosedürler belirlenmiş ve

uygulanmaktadır.

Özel nitelikli kişisel veriler elektronik posta yoluyla gönderilecekse mutlaka şifreli olarak ve KEP

veya kurumsal posta hesabı kullanılarak gönderilmektedir.

Saldırı tespit ve önleme sistemleri kullanılmaktadır.

Sızma testi uygulanmaktadır.

Siber güvenlik önlemleri alınmış olup uygulanması sürekli takip edilmektedir.

Şifreleme yapılmaktadır.

Veri işleyen hizmet sağlayıcılarının veri güvenliği konusunda belli aralıklarla denetimi

sağlanmaktadır.

Veri işleyen hizmet sağlayıcılarının, veri güvenliği konusunda farkındalığı sağlanmaktadır.

Veri kaybı önleme yazılımları kullanılmaktadır.

12.2 İdari Tedbirler ‌

Xxxx Xxxxxx Sağlık Hiz.Ltd.Şti., kişisel verilerin hukuka uygun işlenmesini sağlamak için, teknolojik imkânlar ve uygulama maliyetine göre teknik tedbirler almaktadır.

12.2.1 Kişisel Verilerin Güvenli Ortamlarda Saklanması ‌

Xxxx Xxxxxx Sağlık Hiz.Ltd.Şti., kişisel verilerin güvenli ortamlarda saklanması ve hukuka aykırı amaçlarla yok edilmesini, kaybolmasını veya değiştirilmesini önlemek için teknolojik imkânlar ve uygulama maliyetine göre gerekli teknik ve idari tedbirleri almaktadır.

12.2.2 Kişisel Verilerin Korunması Konusunda Alınan Tedbirlerin Denetimi ‌

Xxxx Xxxxxx Sağlık Hiz.Ltd.Şti. , KVK Kanunu‟nun 12. maddesine uygun olarak, kendi bünyesinde gerekli denetimleri yapmakta veya yaptırmaktadır. Bu denetim sonuçları hastanenin iç işleyişi kapsamında konu ile ilgili bölüme raporlanmakta ve alınan tedbirlerin iyileştirilmesi için gerekli faaliyetler yürütülmektedir.

12.2.3 Kişisel Verilerin Yetkisiz Bir Şekilde İfşası Durumunda Alınacak Tedbirler ‌

KVK Kanunu‟nun 12. maddesine uygun olarak işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde bu durumu en kısa sürede ilgili kişisel veri sahibine ve KVK Kurulu‟na bildirilmesini sağlayan sistemi yürütmektedir. KVK Kurulu tarafından gerek görülmesi halinde, bu durum, KVK Kurulu‟nun internet sitesinde veya başka bir yöntemle ilan edilebilecektir.

12.2.4 Kişisel Verilerin Hukuka Uygun İşlenmesini Sağlamak için Alınan İdari Tedbirler ‌

Xxxx Xxxxxx Sağlık Hiz.Ltd.Şti.tarafından kişisel verilerin hukuka uygun işlenmesini sağlamak için

alınan başlıca idari tedbirler aşağıda sıralanmaktadır:

a. Çalışanlar, kişisel verilerin korunması hukuku ve kişisel verilerin hukuka uygun olarak işlenmesi konusunda tüm personel ve çalışanlar bilgilendirilmekte ve eğitilmektedir.

b. Merkezimizin iş birimlerinin yürütmüş olduğu kişisel veri işleme faaliyetleri; bu faaliyetlerin 6698 Sayılı Kanun‟un aradığı kişisel veri işleme şartlarına uygunluğun sağlanması için yerine getirilecek olan gereklilikler her bir iş birimi ve yürütmüş olduğu detaylar prosedür ve talimatlarda belirlenmektedir.

c. İş birimlerimiz bazlı belirlenen hukuksal uyum gerekliliklerinin sağlanması için ilgili iş birimleri özelinde farkındalık yaratılmakta ve uygulama kuralları belirlenmekte; bu hususların denetimini ve uygulamanın sürekliliğini sağlamak için gerekli idari tedbirler Hizmet içi eğitimler yapılmaktadır.

d. Merkezimiz ile çalışanlar arasındaki hukuki ilişkiyi yöneten sözleşme ve belgelere, Hastane talimatları ve kanunla getirilen istisnalar dışında, kişisel verileri işlememe, ifşa etmeme ve kullanmama yükümlülüğü getiren kayıtlar konulmakta ve bu konuda çalışanlarına farkındalığı için farkındalık eğitimleri yapılmaktadır.

12.2.5 Kişisel Verilerin Hukuka Aykırı Erişimini Engellemek için Alınan Teknik ve İdari Tedbirler

Xxxx Xxxxxx Sağlık Hiz.Ltd.Şti.,kişisel verilerin tedbirsizlikle veya yetkisiz olarak açıklanmasını, erişimini, aktarılmasını veya başka şekillerdeki tüm hukuka aykırı erişimi önlemek için korunacak verinin niteliği, teknolojik imkânlar ve uygulama maliyetine göre teknik ve idari tedbirler almaktadır.

12.3 KİŞİSEL VERİLERE İ MHA TEKNİKLERİ ‌

Xxxx Xxxxxx Sağlık Hiz.Ltd.Şti., KVK Kanunu‟nun 7. maddesinde düzenlendiği üzere ilgili kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde Merkezimizin kendi kararına istinaden veya kişisel veri sahibinin talebi üzerine kişisel veriler silinir, yok edilir veya anonim hâle getirilir. İ lgili mevzuatta öngörülen süre ya da işlendikleri amaç için gerekli olan saklama süresinin sonunda kişisel veriler, Xxxx Xxxxxx Sağlık

H i zm et l er i tarafından re‟sen veya ilgili kişinin başvurusu üzerine yine ilgili mevzuat hükümlerine uygun belirtilen tekniklerle imha edilir.

12.3.1 Kişisel Verilerin Silinmesi ve Kişisel Verilerin Yok Edilmesi ‌

Xxxx Xxxxxx ADSM,ilgili kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kendi kararına istinaden veya kişisel veri sahibinin talebi üzerine kişisel verileri silebilir veya yok edebilir. Merkezimiz tarafından en çok kullanılan silme veya yok etme teknikleri aşağıda sıralanmaktadır:

a. Fiziksel Olarak Yok Etme (Physical Destruction) : Kişisel veriler herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla da işlenebilmektedir. Bu tür veriler silinirken/yok edilirken kişisel verinin sonradan kullanılamayacak biçimde fiziksel olarak yok edilmesi sistemi uygulanmaktadır.

b. Yazılımdan Güvenli Olarak Silme (Secure Deletion Software) : Tamamen veya kısmen otomatik olan yollarla işlenen ve dijital ortamlarda muhafaza edilen veriler silinirken/yok edilirken; bir daha kurtarılamayacak biçimde verinin ilgili yazılımdan silinmesine ilişkin yöntemler kullanılır.

c. Uzman Tarafından Güvenli Olarak Silme (Sending to a Specialist for Secure Deletion) : Xxxx Xxxxxx ADSM,ilgili kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin bazı durumlarda kendisi adına kişisel verileri silmesi için bir uzman ile anlaşabilir. Bu durumda, kişisel veriler bu konuda uzman olan kişi tarafından bir daha kurtarılamayacak biçimde güvenli olarak silinir/yok edilir.

12.3.2 Kişisel Verilerin Anonim Hale Getirilmesi‌

Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir. Kişisel verilerin anonimleştirilmesi, kişisel verilerin başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini ifade eder. Merkezimiz, hukuka uygun olarak işlenen kişisel verilerin işlenmesini gerektiren sebepler ortadan kalktığında kişisel verileri anonimleştirebilmektedir. KVK Kanunu‟nun 28. maddesine uygun olarak; anonim hale getirilmiş olan kişisel veriler araştırma, planlama ve istatistik gibi amaçlarla işlenebilir. Bu tür işlemeler KVK Kanunu kapsamı dışında olup, kişisel veri sahibinin açık rızası aranmayacaktır. Anonim hale getirilerek işlenen kişisel veriler KVK Kanunu kapsamı dışında olacağından kanunda düzenlenen haklar bu veriler için geçerli olmayacaktır. Anonimleştirme teknikleri;

a. Maskeleme (Masking):Veri maskeleme ile kişisel verinin temel belirleyici bilgisini veri seti içerisinden çıkartılarak kişisel verinin anonim hale getirilmesi yöntemidir. Örnek: Kişisel veri sahibinin tanımlanmasını sağlayan isim, TC Kimlik No vb. bilginin çıkartılması yoluyla kişisel veri sahibinin tanımlanmasının imkânsız hale geldiği bir veri setine dönüştürülmesi.

b. Toplulaştırma (Aggregation):Veri toplulaştırma yöntemi ile birçok veri toplulaştırılmakta ve kişisel veriler herhangi bir kişiyle ilişkilendirilemeyecek hale getirilmektedir. Örnek: Müşterilerin yaşlarının tek tek göstermeksizin X yaşında Z kadar müşteri bulunduğunun ortaya konulması.

c. Veri Türetme (Data Derivation): Veri türetme yöntemi ile kişisel verinin içeriğinden daha genel bir içerik oluŞturulmakta ve kişisel verinin herhangi bir kişiyle ilişkilendirilemeyecek hale getirilmesi sağlanmaktadır. Örnek: Doğum tarihleri yerine yaşların belirtilmesi; açık adres yerine ikamet edilen bölgenin belirtilmesi.

d. Veri Karma (Data Shuffling, Permutation): Veri karma yöntemi ile kişisel veri seti içindeki değerlerinin karıştırılarak değerler ile kişiler arasındaki bağın kopartılması sağlanmaktadır. Örnek: Ses kayıtlarının niteliğinin değiştirilerek sesler ile veri sahibi kişinin ilişkilendirilemeyecek hale getirilmesi.

13 SAKLAMA VE İMHA SÜRELERİ ‌

Xxxx Xxxxxx ADSM , ilgili kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin, ilgili kanunlarda ve mevzuatlarda öngörülmesi durumunda kişisel verileri bu mevzuatlarda belirtilen süre boyunca saklanmaktadır. Kişisel verilerin ne kadar süre boyunca saklanması gerektiğine ilişkin mevzuatta bir süre düzenlenmemişse, kişisel veriler Merkezimizin o veriyi işlerken sunduğu hizmetlerle bağlı olarak Merkezimizin uygulamaları ve ticari yaşamının teamülleri uyarınca işlenmesini gerektiren süre kadar işlenmekte daha sonra silinmekte, yok edilmekte veya anonim hale getirilmektedir. Kişisel verilerin işlenme amacı sona ermiş; ilgili mevzuat ve hastanenin belirlediği saklama sürelerinin de sonuna gelinmişse; kişisel veriler yalnızca olası hukuki uyuşmazlıklarda delil teşkil etmesi veya kişisel veriye bağlı ilgili hakkın ileri sürülebilmesi veya savunmanın tesis edilmesi amacıyla saklanabilmektedir. Buradaki sürelerin tesisinde bahsi geçen hakkın ileri sürülebilmesine yönelik zaman aşımı süreleri ile zaman aşımı sürelerinin geçmesine rağmen daha önce aynı konularda Merkezimize yöneltilen taleplerdeki örnekler esas alınarak saklama süreleri belirlenmektedir.

Bu durumda saklanan kişisel verilere herhangi bir başka amaçla erişilmemekte ve ancak ilgili hukuki uyuşmazlıkta kullanılması gerektiği zaman ilgili kişisel verilere erişim sağlanmaktadır. Burada da bahsi geçen süre sona erdikten sonra kişisel veriler silinmekte, yok edilmekte veya anonim hale getirilmektedir.

Tablo-8 Saklama ve İmha Süreleri Tablosu

SAKLAMA VE İMHA SÜRELERİ TABLOSU
VERİ KATEGORİSİ	VERİ SAKLAMA SÜRESİ
1-Kimlik	10 Yıl
2-İletişim	10 Yıl
3-Lokasyon	1 Yıl
4-Özlük	Personel çalıştığı süre boyunca ve ilave olarak işten ayrıldıktan sonra 10 yıl
5-Hukuki İşlem	Faaliyet devam ettiği sürece ve ilave olarak 10 yıl
6-Müşteri İşlem	10 Yıl
7-Fiziksel Mekan Güvenliği	1 Yıl
8-İşlem Güvenliği	2 Yıl
11-Mesleki Deneyim	Personel çalıştığı süre boyunca ve ilave olarak işten ayrıldıktan sonra 10 yıl
13-Görsel Ve İşitsel Kayıtlar	1 Yıl
21-Sağlık Bilgileri	10 Yıl
24-Biyometrik Veri	10 Yıl

14 PERİYODİK İMHA SÜRESİ ‌

Xxxx Xxxxxx ADSM,ilgili kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin, Kişisel verileri mevzuatta öngörülen minimum süre kadar muhafaza etmektedir. Bu kapsamda, Merkezimiz öncelikle ilgili mevzuatta kişisel verilerin saklanması için bir süre öngörülüp öngörülmediğini tespit etmekte, bir süre belirlenmişse bu süreye uygun davranmaktadır. Yasal bir süre mevcut değil ise kişisel veriler işlendikleri amaç için gerekli olan süre kadar saklanmaktadır. Kişisel veriler belirlenen saklama sürelerinin sonunda periyodik imha sürelerine veya veri sahibi başvurusuna uygun olarak ve belirlenen imha yöntemleri (silme ve/veya yok etme ve/veya anonimleştirme) ile imha edilmektedir.

Merkezimiz, kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde, kişisel verileri siler, yok eder veya anonim hale getirir.

Merkezimiz, ilgili kişi, Kanunun 11 inci ve 13 üncü maddelerine istinaden veri sorumlusuna başvurarak kendisine ait kişisel verilerin silinmesini veya yok edilmesini talep ettiğinde;

a) Kişisel verileri işleme şartlarının tamamı ortadan kalkmışsa; veri sorumlusu talebe konu kişisel verileri siler, yok eder veya anonim hale getirir. Veri sorumlusu, ilgili kişinin talebini en geç otuz gün içinde sonuçlandırır ve ilgili kişiye bilgi verir.

b) Kişisel verileri işleme şartlarının tamamı ortadan kalkmış ve talebe konu olan kişisel veriler üçüncü kişilere aktarılmışsa veri sorumlusu bu durumu üçüncü kişiye bildirir; üçüncü kişi nezdinde bu kanun ve yönetmelik kapsamında gerekli işlemlerin yapılmasını temin eder.

c) Kişisel verileri işleme Şartlarının tamamı ortadan kalkmamışsa, bu talep veri sorumlusunca Kanunun 13 üncü maddesinin üçüncü fıkrası uyarınca gerekçesi açıklanarak reddedilebilir ve ret cevabı ilgili kiŞiye en geç otuz gün içinde yazılı olarak ya da elektronik ortamda bildirilir.

15 POLİTİKA’NIN YAYINLANMASI VE SAKLANMASI ‌

Politika, Başhekim/Mesul Müdür tarafından onaylandıktan sonra kurumun web sayfasından yayınlanır. Eşzamanlı olarak internet ortamında tüm Bölüm/Birimlerle paylaşılır. Politikanın yürürlükten kaldırılmasına karar verilmesi halinde, Politika‟nın ıslak imzalı eski nüshaları Başhekim/Mesul Müdürü tarafından iptal edilerek (iptal kaşesi vurularak) imzalanır ve kurum arşivinde saklanır.

16 POLİTİKA’NIN GÜNCELLENME PERİYODU ‌

Politika, ihtiyaç duyuldukça gözden geçirilir ve gerekli olan bölümler güncellenir.

17 POLİTİKANIN YÜRÜRLÜĞÜ ‌

İşbu Politika onaylandığı tarih itibari ile yürürlüğe girer. Yürürlüğe giren politika; başta kanun olmak üzere ve yürürlükteki mevzuat ile bu politika‟da yer verilen düzenlemelerin çelişmesi halinde mevzuat hükümleri uygulanır.

Xxxx Xxxxxx ADSM,ilgili kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin, yasal düzenlemelere paralel olarak Politika‟da değişiklik yapma hakkını saklı tutar. Politika‟nın güncel haline Xxxx Xxxxxx ADSM (xxxxx://xxxxxxxxx.xxx/) web sitesinden erişilebilirsiniz.

18 YÜRÜTME ‌

İşbu Politika‟nın yürütülmesinden veri sorumlusu ve veri sorumlusunun yükümlülüklerini yerine getirmekle yükümlü olan Xxxx Xxxxxx ADSM ‟nin yönetim kurulunun KVK Kanunu ve Veri Koruma Kurulu düzenlemeleri kapsamındaki tüm iş ve işlemlerin takibinden ve koordinasyonundan sorumlu olmak üzere tüm Bölüm/Birimler Sorumluları sorumludur.

19 POLİTiKA ONAY SAYFASI ‌

Xxxx Xxxxxx Sağlık Hiz.Ltd.Şti.6698 Sayılı Kişisel Verilerin Korunması Kanunu gereğince hazırlanan “Kişisel Verilerin İşlenmesi, Korunması ve Politikası” tarafımızca incelenerek, Xxxx Xxxxxx Sağlık Hiz.Ltd.Şti’nin web sayfası ve intranet ortamında yayınlanması uygun görülmüştür.

Document Metadata

Table of Contents

ÖZEL ATABEK AĞIZ VE DİŞ SAĞLIĞI MERKEZİ

Document Metadata