Kişisel Verileri Saklama ve İmha Politikası (“Politika”),
Veri sorumlusu unvanı : Nişantaşı Ortopedi
Veri sorumlusu adresi : Dikilitaş Mahallesi, Hakkı Yeten Caddesi, Süleyman Seba Kompleksi, 10D Fulya/Beşiktaş/İstanbul
Veri sorumlusu telefon : (0212) 215 55 95
Veri sorumlusu e-posta : nisantasiortopedi@gmail.com
Veri sorumlusu web sitesi : https://nisantasiortopedi.net/
veri sorumlusu tarafından gerçekleştirilmekte olan kişisel veri saklama ve imha faaliyetlerine ilişkin iş ve işlemler konusunda usul ve esasları belirlemek amacıyla hazırlanmıştır.
İşletmemiz; Hukuka uygun misyon, vizyon ve temel ilkeler doğrultusunda işlediğimiz kişisel verilerin T.C. Anayasası, uluslararası sözleşmeler, 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) ve diğer ilgili mevzuata uygun olarak işlenmesini ve ilgili kişilerin haklarını etkin bir şekilde kullanmasının sağlanmasını öncelik olarak belirlemiştir.
Kişisel verilerin saklanması ve imhasına ilişkin iş ve işlemler, bu doğrultuda hazırlanmış olan Politikaya uygun olarak gerçekleştirilir.
Hastalar, refakatçiler, personeller, personel adayları ve hizmet verenlere ait kişisel veriler bu Politika kapsamında olup işletmemizin yönettiği kişisel verilerin işlendiği tüm kayıt ortamları ve kişisel veri işlenmesine yönelik faaliyetlerde bu Politika uygulanır.
Bu Politikada yer verilen hukuki ve teknik terimlerden;
Alıcı Grubu | Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisi |
Açık Rıza | Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı, |
Anonim Hale Getirme | Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi işlemini, |
Çalışan | İşletme personelini, |
EBYS | Elektronik Belge Yönetim Sistemini, |
Elektronik Ortam | Kişisel verilerin elektronik aygıtlar ile oluşturulabildiği, okunabildiği, değiştirilebildiği ve yazılabildiği ortamlar |
Elektronik Olmayan Ortam | Elektronik ortamların dışında kalan tüm yazılı, basılı, görsel vb. diğer ortamları, |
Hizmet Sağlayıcı | İşletmemiz ile belirli bir sözleşme çerçevesinde hizmet sağlayan gerçek veya tüzel kişi |
İlgili Kişi | Kişisel verisi işlenen gerçek kişiyi, |
İlgili Kullanıcı | Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişileri, |
İmha | Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesini, |
Kanun | 24.3.2016 Tarihli ve 6698 Sayılı Kişisel Verilerin Korunması Kanununu, |
Kayıt ortamı | Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortamı, |
Kişisel Veri | Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi, |
Kişisel Veri İşleme Envanteri | Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak
detaylandırdıkları envanteri, |
Kişisel Verilerin
İşlenmesi |
Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi, |
Kurul | Kişisel Verileri Koruma Kurulunu, |
Özel Nitelikli Kişisel
Veri |
Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri, |
Periyodik İmha | Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemini, |
Politika | Kişisel Verileri Saklama ve İmha Politikasını, |
Veri İşleyen | Veri sorumlusunun verdiği yetkiye dayanarak veri sorumlusu adına kişisel verileri işleyen gerçek veya tüzel kişiyi, |
Veri Kayıt Sistemi | Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini, |
VERBİS | Veri Sorumluları Sicil Bilgi Sistemini, |
Veri Sorumlusu | Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi, |
Yönetmelik | 28 Ekim 2017 tarihli Resmi Gazete’de yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmeliği, |
İfade eder.
İşletmemiz tarafından işlenen kişisel veriler Kanun’a uygun olarak saklanır ve saklama süresi sonunda imha edilir.
Kanunun 3. maddesinde kişisel verilerin işlenmesi kavramı tanımlanmış, 4. maddesinde işlenen kişisel verinin işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli süre kadar muhafaza edilmesi gerektiği belirtilmiş, 5. ve 6. maddelerde ise kişisel verilerin işleme şartları sayılmıştır.
Buna göre, kişisel veriler, ilgili mevzuatta öngörülen veya işleme amaçlarımıza uygun süre kadar saklanır.
İşlenen kişisel veriler aşağıda belirtilen hukuki sebeplerden en az birinin varlığı halinde işlenir ve saklanır.
Kişisel veriler aşağıda belirtilen amaçlar doğrultusunda işlenir ve saklanır.
Kişisel veriler;
kişinin açık rızasını geri alması,
durumlarında, işletmemiz tarafından ilgili kişinin talebi üzerine silinir, yok edilir ya da re’sen silinir, yok edilir veya anonim hale getirilir.
Kişisel verilerin güvenli bir şekilde saklanması, hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi ile kişisel verilerin hukuka uygun olarak imha edilmesi için Kanunun 12. maddesiyle Kanunun 6. maddesi dördüncü fıkrası gereği özel nitelikli kişisel veriler için Kurul tarafından belirlenerek ilan edilen yeterli önlemler çerçevesinde teknik ve idari tedbirler alınır.
İşlenen kişisel verilerle ilgili olarak alınan teknik tedbirler aşağıda sayılmıştır:
İşlenen kişisel verilerle ilgili olarak alınan idari tedbirler aşağıda sayılmıştır:
İşletmemiz tarafından, faaliyetleri kapsamında işlenmekte olan kişisel verilerle ilgili olarak; saklama süreleri Kişisel Veri Saklama ve İmha Politikasında yer alır.
Söz konusu saklama süreleri üzerinde, gerekmesi halinde güncellemeler yapılır.
Saklama süreleri sona eren kişisel veriler için saklama süresinin bitimini takip eden ilk periyodik imha süresinde re’sen silme, yok etme veya anonim hale getirme işlemi yerine getirilir.
İŞLENEN VERİ | İLGİLİ KİŞİ KATEGORİSİ | SAKLAMA SÜRESİ |
Kimlik Bilgileri | Çalışan | Aktif istihdam ilişkisi sonlandıktan sonra 15 yıl |
Çalışan Adayı | İş başvurusu olumsuz sonuçlanması halinde saklanmaz | |
Hasta | Tedavi bitimi itibariyle 20 yıl | |
Refakatçi | Hizmet süresince | |
Dışardan Hizmet Veren Gerçek Kişiler | Hizmet bitiminden itibaren 10 yıl | |
İletişim Bilgileri | Çalışan | Aktif istihdam ilişkisi sonlandıktan sonra 15 yıl |
Çalışan Adayı | İş başvurusu olumsuz sonuçlanması halinde saklanmaz | |
Hasta | Tedavi bitimi itibariyle 20 yıl | |
Refakatçi | Hizmet süresince | |
Dışardan Hizmet Veren Gerçek Kişiler | Hizmet bitiminden itibaren 10 yıl | |
Kişisel Sağlık Verisi | Çalışan | Aktif istihdam ilişkisi sonlandıktan sonra 15 yıl |
Çalışan Adayı | İş başvurusu olumsuz sonuçlanması halinde saklanmaz | |
Hasta | Tedavi bitimi itibariyle 20 yıl | |
Ceza Mahkûmiyeti ve Güvenlik Tedbirleri Bilgileri | Çalışan | Aktif istihdam ilişkisi sonlandıktan sonra 10 yıl |
Çalışan Adayı | İş başvurusu olumsuz sonuçlanması halinde saklanmaz | |
Özlük | Çalışan | Aktif istihdam ilişkisi sonlandıktan sonra 10 yıl |
Çalışan Adayı | İş başvurusu olumsuz sonuçlanması halinde saklanmaz | |
Hukuki İşlem | Çalışan ve Hasta | Hukuki sürecin sonlanmasından itibaren 10 yıl |
İşlem Güvenliği | Çalışan ve Hasta | 2 yıl |
Müşteri İşlem | Hasta | 20 yıl |
Dışardan Hizmet Veren Gerçek Kişiler | Hizmet bitiminden itibaren 10 yıl | |
Finans | Hasta | 20 yıl |
Çalışan | 10 yıl | |
Kamera Kayıtları | Bütün Kişi Grupları İçin | 2 ay |
Mesleki Deneyim | Çalışan | Aktif istihdam ilişkisi sonlandıktan sonra 10 yıl |
Çalışan Adayı | İş başvuru süreci olumsuzsa saklanmaz | |
Görsel ve İşitsel Kayıtlar
|
Çalışan | Aktif istihdam ilişkisi sonlandıktan sonra 15 yıl |
Hasta | Tedavi bitimi itibarıyla 20 yıl | |
Çalışan Adayı | İş başvuru süreci olumsuzsa saklanmaz |
İşletmemiz, Kanun ve Yönetmelik hükümlerince kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde, işbu Politikada belirlenen esas ve usullere uygun olarak kişisel verileri resen siler, yok eder veya anonim hale getirir.
Veri sorumlusu, Kanunun 13. maddesinde belirtilen kişisel verilerin silinmesini talep etme hakkını kullanarak tarafımıza usulüne uygun şekilde başvurması durumunda;
İlgili mevzuatta öngörülen süre ya da işlendikleri amaç için gerekli olan saklama süresinin sonunda kişisel veriler, re’sen veya ilgili kişinin başvurusu üzerine yine ilgili mevzuat hükümlerine uygun olarak aşağıda belirtilen tekniklerle imha edilir.
Kişisel veriler aşağıda verilen yöntemlerle silinir.
Veri Kayıt Ortamı | Açıklama |
Sunucularda Yer Alan Kişisel Veriler | Sunucularda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler için sistem yöneticisi tarafından ilgili kullanıcıların erişim yetkisi kaldırılarak silme işlemi yapılır. |
Elektronik Ortamda Yer Alan Kişisel Veriler | Elektronik ortamda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, veri tabanı yöneticisi hariç diğer çalışanlar (ilgili kullanıcılar) için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. |
Fiziksel Ortamda Yer Alan Kişisel Veriler | Fiziksel ortamda tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler için evrak arşivinden sorumlu birim yöneticisi hariç diğer çalışanlar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. Ayrıca, üzeri okunamayacak şekilde çizilerek/boyanarak/silinerek karartma işlemi de uygulanır. |
Taşınabilir Medyada Bulunan Kişisel Veriler | Flash tabanlı saklama ortamlarında tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler, sistem yöneticisi tarafından şifrelenerek ve erişim yetkisi sadece sistem yöneticisine verilerek şifreleme anahtarlarıyla güvenli ortamlarda saklanır. |
Kişisel veriler aşağıda verilen yöntemlerle yok edilir.
Veri Kayıt Ortamı | Açıklama |
Fiziksel Ortamda Yer Alan Kişisel Veriler | Kâğıt ortamında yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, kâğıt kırpma makinelerinde geri döndürülemeyecek şekilde yok edilir. |
Optik / Manyetik Medyada Yer Alan Kişisel Veriler | Optik medya ve manyetik medyada yer alan kişisel verilerden saklanmasını gerektiren süre sona erenlerin eritilmesi, yakılması veya toz haline getirilmesi gibi fiziksel olarak yok edilmesi işlemi uygulanır. Ayrıca, manyetik medya özel bir cihazdan geçirilerek yüksek değerde manyetik alana maruz bırakılması suretiyle üzerindeki veriler okunamaz hale getirilir. |
Dijital Ortamda Yer Alan Kişisel Veriler |
Dijital ortamda yer alan kişisel verilerden saklama süresi sona erenler tüm log ve arka plan işlem kayıtları ve yedekleri ile birlikte geri döndürülemeyecek bir şekilde imha edilir. |
Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.
Kişisel verilerin anonim hale getirilmiş olması için; kişisel verilerin, veri sorumlusu veya üçüncü kişiler tarafından geri döndürülmesi ve/veya verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekir.
İşletmemiz kişisel verileri anonim hale getirirken yukarıda belirtilen standartlara uygun şekilde anonim hale getirme işlemi yapmaktadır. Kişisel verilerin anonim hale getirilmesi işlemi sonrasında kişisel veriler hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale gelmektedir.
Talep üzerine ve periyodik imha süreçlerinde resen gerçekleştirilen imha işlemleri Kanun’a, Yönetmeliğe ve işbu Politikaya uygun olarak yapılır. Bu kapsamda alınmış teknik ve idari tedbirler aşağıda ayrı ayrı gösterilmiştir.
Kişisel veriler, kanun, yönetmelik ve ilgili diğer mevzuat hükümlerine uygun olacak şekilde saklamaktadır. Bu kapsamda saklanan kişisel verilerin kayıt ortamları aşağıdaki tabloda gösterilmiştir.
Elektronik Ortamlar | Elektronik Olmayan Ortamlar |
Sunucular (Etki alanı, yedekleme, e-posta, veritabanı, web, dosya paylaşım, vb.)
ü Yazılımlar (Meddata Yazılımı, ofis yazılımları, portal.) ü Bilgi güvenliği cihazları (güvenlik duvarı, saldırı tespit ve engelleme, günlük kayıt dosyası, antivirüs vb. ) ü Bilgisayarlar (Masaüstü, dizüstü) ü Mobil cihazlar (telefon, tablet vb.) ü Optik diskler (CD, DVD vb.) ü Çıkartılabilir bellekler (USB, Hafıza Kart vb.) ü Yazıcı, tarayıcı, fotokopi makinesi, Tıbbi cihazlar |
ü Kağıt
ü Manuel veri kayıt sistemleri ü Yazılı, basılı ve görsel ortamlar
|
Kişisel verilerin güvenli bir şekilde saklanması, hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi ile kişisel verilerin hukuka uygun olarak imha edilmesi için Kanunun 12. maddesiyle Kanunun 6. maddesi dördüncü fıkrası gereği özel nitelikli kişisel veriler için Kurul tarafından belirlenerek ilan edilen yeterli önlemler çerçevesinde teknik ve idari tedbirler alınır.
İşlenen kişisel verilerle ilgili olarak alınan teknik tedbirler aşağıda sayılmıştır:
İşlenen kişisel verilerle ilgili olarak alınan idari tedbirler aşağıda sayılmıştır:
Tüm birimler ve çalışanlar, sorumlu birimlerce Politika kapsamında alınmakta olan teknik ve idari tedbirlerin gereği gibi uygulanması, birim çalışanlarının eğitimi ve farkındalığının arttırılması, izlenmesi ve sürekli denetimi ile kişisel verilerin hukuka aykırı olarak işlenmesinin önlenmesi, kişisel verilere hukuka aykırı olarak erişilmesinin önlenmesi ve kişisel verilerin hukuka uygun saklanmasının sağlanması amacıyla kişisel veri işlenen tüm ortamlarda veri güvenliğini sağlamaya yönelik teknik ve idari tedbirlerin alınması konularında sorumlu birimlere aktif olarak destek verir.
Kişisel verilerin saklama ve imha süreçlerinde görev alanların unvanları ve görev tanımlarına ait dağılım aşağıda tablo halinde verilmiştir.
GÖREVLİ | GÖREV TANIMI |
Muayenehane Sahibi Hekim | İşlenen Kişisel veri saklama ve imha süreçlerinin işbu politikaya uygun şekilde yapılmasını temin etmek, birimler arası koordinasyonu sağlamak, gerekli denetimleri yapmak, politikanın geliştirilmesi, ilgili ortamlarda yayınlanması ve güncellenmesinden sorumludur.
|
Sekreter/Asistan | Çalışanların politikaya uygun hareket etmesini sağlamak, gerekli denetimleri yapmak ve muayenehane sahibi hekim tarafından verilen diğer görevleri yerine getirmek.
Politika’nın uygulanmasında ihtiyaç duyulan teknik çözümlerin sunulmasından sorumludur. |
Mevzuatın değişmesi sebebiyle, Kurul kararları uyarınca ya da sektördeki ya da bilişim alanındaki gelişmeler doğrultusunda işbu Kişisel Veri Saklama ve İmha Politikasında değişiklik yapılabilir. Bu kapsamda yapılan değişiklikler derhal metne işlenir ve değişikliklere ilişkin açıklamalar aşağıda düzenlenen güncellemeler tablosuna eklenir.
Güncellemeler Tablosu
…………………………. | Kişisel Veri İşleme ve İmha Politikası yürürlüğe girmiştir. |
İşbu Kişisel Veri Saklama ve İmha Politikası, veri sorumlusu tarafından hazırlanarak;
ilan edilerek ilgili kişilere duyurulmuştur.