DENTALİZM AĞIZ ve SAĞLIĞI MERKEZİ LTD. ŞTİ. olarak, Muayenehanemizin faaliyet alanı ile sınırlı olmak üzere, hukuki ilişki içerisinde olduğumuz; müşteriler, tedarikçiler, hizmet sağlayıcılarının yönetici ve çalışanları, çalışanlar, çalışan adayları, stajyerler, ortak ve çalışan yakınları, ziyaretçiler, kamu kurum ve kuruluşları, özel hukuk tüzel kişilerinin çalışanları ve ilgili üçüncü kişileri kapsayacak şekilde tüm şahıslara ait her türlü kişisel verilerin, 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK)’na uygun olarak işlenmesine, korunmasına büyük önem vermekteyiz. Bu amaçla, Muayenehanemiz yasal düzenleme ve alınan kararlar uyarınca, gerekli idari ve teknik tedbirleri almaktadır.
Telefon: 0232 369 70 79 |
E-posta: This email address is being protected from spambots. You need JavaScript enabled to view it. |
Adres: Bahriye Üçok Mah. Latife Hanım Sokak No:82/A Karşıyaka İzmir |
Mersis No: |
Vergi Dairesi: Karşıyaka Vergi Dairesi |
Vergi Numarası: 292 097 38 94 |
Ticaret Sicil No: 204 594 |
Yürürlük Tarihi: |
Güncelleme Tarihi: |
1. GİRİŞ
6698 sayılı Kişisel Verilerin Korunması Kanunu ve ilgili mevzuat kapsamında hazırlanan Kişisel Veri Saklama ve İmha Politikası; 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) ile Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik kapsamında, veri sorumlusu sıfatıyla DENTALİZM AĞIZ ve SAĞLIĞI MERKEZİ LTD. ŞTİ. tarafından hazırlanmıştır.
1.1. Amaç
Muayenehanemiz tarafından hazırlanmış olan bu politika metni ile DENTALİZM AĞIZ ve SAĞLIĞI MERKEZİ LTD. ŞTİ. Kanunda belirtilen ilkeler doğrultusunda; müşteriler, tedarikçiler, hizmet sağlayıcılarının yönetici ve çalışanları, çalışanlar, çalışan adayları, stajyerler, ziyaretçiler, kamu kurum ve kuruluşları, özel hukuk tüzel kişilerinin çalışanları ve ilgili üçüncü kişilere ait kişisel verilerin; KVK Kurumu’nun yayınladığı kararlar, belirlediği ilkeler, T.C. Anayasası, Uluslararası Sözleşmeler, 6698 sayılı Kişisel Verilerin Korunması Kanunu ve ilgili mevzuata uygun olarak işlenmesi ve ilgili kişilerin haklarını etkin bir şekilde kullanması amaçlanmıştır. Kişisel verilerin saklanması ve imhasına ilişkin iş ve işlemler, işbu politikaya uygun olarak yapılmaktadır.
1.2. Kapsam
Müşteriler, tedarikçiler, hizmet sağlayıcılarının yönetici ve çalışanları, çalışanlar, çalışan adayları, stajyerler, ziyaretçiler, kamu kurum ve kuruluşları, özel hukuk tüzel kişilerinin çalışanları ve ilgili üçüncü kişilere ait kişisel veriler; hazırlanmış olan bu politika kapsamında olup, Muayenehanemiz nezdinde otomatik yöntemlerle veya otomatik olmayan yollarla işlenen kişisel verilerin işlendiği tüm kayıt ortamları ve kişisel veri işlenmesine yönelik Muayenehane faaliyetlerinde bu politika uygulanmaktadır.
1.3. Kısaltma ve Tanımlar
Açık Rıza |
Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza |
Alıcı Grubu |
Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisi |
Anonim Hale Getirme |
Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi |
Çalışan |
DENTALİZM AĞIZ ve SAĞLIĞI MERKEZİ LTD. ŞTİ. Çalışanlarını kapsamaktadır |
Çalışan Adayı |
İnternet sayfasını kullanarak, internet ortamında iş arama platformları aracılığıyla veya işyerine bizzat gelerek iş başvuru formunu doldurup, iş başvurusu yapanlar |
Elektronik Ortam |
Kişisel verilerin elektronik aygıtlar ile oluşturulabildiği, okunabildiği, değiştirilebildiği ve yazılabildiği ortamlar |
Elektronik Olmayan Ortam |
Elektronik ortamların dışında kalan tüm yazılı, basılı, görsel vb. diğer ortamlar |
Hizmet Sağlayıcı |
Muayenehane ile belirli bir sözleşme çerçevesinde hizmet sağlayan gerçek veya tüzel kişi |
İlgili Kullanıcı |
Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişiler |
İlgili Kişi |
Kişisel verisi işlenen gerçek kişi |
Kayıt Ortamı |
Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam |
Kişisel Veri |
Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi |
Kişisel Veri |
Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetleri, kişisel verileri işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresi, yabancı ülkelere aktarımı öngörülen kişisel veriler ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanterdir |
Kişisel Verilerin İşlenmesi |
Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, saklanması, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem |
Kanun |
6698 sayılı Kişisel Verilerin Korunması Kanunu |
Kurul |
Kişisel Verileri Koruma Kurulu |
Kurum |
Kişisel Verileri Koruma Kurumu |
Kişisel Verileri Koruma Komitesi |
Muayenehane Yönetim Kurulu kararı ile oluşturulan, kişisel verilerin korunması ve işlenmesinde, denetim ve gözetimle sorumlu birden fazla üyeden oluşan birim |
Kişisel Veri İrtibat Kişisi |
Türkiye’de yerleşik olan gerçek ve tüzel kişiler için veri sorumlusu tarafından, Türkiye’de yerleşik olmayan gerçek ve tüzel kişiler için de veri sorumlusu temsilcisi tarafından, Kanun ve bu Kanuna dayalı olarak çıkarılacak ikincil düzenlemeler kapsamındaki yükümlülükleriyle ilgili olarak, Kurum ile iletişimi sağlamak amacıyla Sicile kayıt esnasında bildirilen gerçek kişiyi |
Kişisel Verilerin İmha Edilmesi |
Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesini |
Kişisel Verilerin Silinmesi |
Kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemini |
Kişisel Verilerin Yok Edilmesi |
Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemini |
Özel Nitelikli Kişisel Veri |
Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri |
Periyodik İmha |
Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme |
Politika |
Kişisel Veri İşleme, Saklama ve İmha Genel Politikasını |
Stajyerler |
Uygulamalı meslek eğitimi alan ve Muayenehanede bu amaçla çalışan öğrenciler |
Stajyer Adayları |
Staj için Muayenehaneye başvuru yapan öğrenciler |
Muayenehane |
DENTALİZM AĞIZ ve SAĞLIĞI MERKEZİ LTD. ŞTİ. |
Veri İşleyen |
Veri sorumlusunun verdiği yetkiye dayanarak veri sorumlusu adına kişisel verileri işleyen gerçek veya tüzel kişi |
Veri Kayıt Sistemi |
Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi. |
Veri Sorumlusu |
Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasında ve yönetilmesinden sorumlu gerçek veya tüzel kişi |
Veri Sorumluları Sicil Bilgi Sistemi |
Veri sorumlularının Sicile başvuruda ve Sicile ilişkin ilgili diğer işlemlerde kullanacakları, internet üzerinden erişilebilen, Başkanlık tarafından oluşturulan ve yönetilen bilişim sistemi. |
VERBİS |
Veri Sorumluları Sicil Bilgi Sistemi |
Yönetim Kurulu |
Muayenehane Yönetim Kurulunu |
Yönetmelik |
28 Ekim 2017 tarihli Resmi Gazetede yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik |
2. SORUMLULUK VE GÖREV DAĞILIMI
6698 sayılı Kanun ve ilgili mevzuat uyarınca, kişisel verilerin korunması mevzuatına uygunluğun sağlanması, muhafazası ve sürdürülmesi kapsamında, Muayenehane bünyesinde gerekli koordinasyonu sağlamak amacıyla “Muayenehane KVK Komitesi (Komite)” belirlenmiştir. Kişisel verilerin saklama ve imha süreçlerinde görev alanların unvanları, birimleri ve görev tanımlarına ait dağılımı Tablo- 1’de gösterilmiştir.
TABLO 1- Sorumluluk ve Görev Dağılımı
PERSONEL |
GÖREV |
SORUMLULUK |
Doktor |
Kişisel Veri İrtibat Kişisi, KVKK uygulama sorumlusu |
Veri Sorumlusu adına irtibat kişisi olarak KVKK sürecini yürütmek, gerekli kontrolleri yapmak, birimler arasında eşgüdümü sağlamak, saklama ve imha süreçlerinin yönetmek, bilişim sistemini teknik olarak KVKK’ ya uyumlu hale getirmek, denetim ve eğitim faaliyetlerinin yapılmasıdır. |
Hemşire/Sekreter |
KVKK uygulama sorumlusu |
Veri Sorumlusu, irtibat kişisinin denetim ve gözetiminde KVKK süreçlerini yürütmek, irtibat kişisinin herhangi bir sebeple bu görevini sürdürmesinin mümkün olmadığı hallerde yerine bu görevi yürütmek, verilerin saklama süre ve yöntemine uygunluğunun sağlanması ile kişisel verilerin imhası sürecini yürütülmesidir. |
İşbu politika kapsamında alınan teknik ve idari tedbirlerin gerektiği şekilde uygulanması, ilgili birim çalışanlarının eğitimi ve farkındalığının arttırılması, denetimi ile kişisel verilerin hukuka aykırı olarak işlenmesinin ve erişilmesinin önlenmesi ayrıca kişisel verilerin hukuka uygun saklanmasının sağlanması amacıyla, kişisel veri işlenen tüm ortamlarda veri güvenliğini sağlamaya yönelik teknik ve idari tedbirler sorumlu birimlerce yerine getirilmektedir.
3. KİŞİSEL VERİLERİN KAYDEDİLDİĞİ ORTAMLAR
Muayenehanemizce tutulan kişisel veriler, Tablo-2 de belirtilen ortamlarda, 6698 sayılı Kanun ve ilgili mevzuata, uluslararası veri güvenliği prensiplerine uygun olarak güvenli bir şekilde saklanmaktadır. Kişisel verileriniz, tamamen veya kısmen, otomatik olarak veyahut herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilerek, kaydedilerek, depolanarak, değiştirilerek, yeniden düzenlenerek, kişisel verileriniz üzerinde gerçekleştirilen her türlü işleme konu olarak Muayenehanemiz tarafından işlenmektedir.
TABLO 2- Kişisel Verilerin Kaydedildiği Ortamlar
Elektronik Ortamlar |
Elektronik Olmayan (Fiziksel) Ortamlar |
Kişisel bilgisayarlar (Masaüstü, dizüstü) |
Kâğıt olarak tutulan kişisel veriler |
Yazıcı, tarayıcı, fotokopi makinesi vb. |
İş Başvuru Formları |
Muayenehane ile üçüncü kişiler arasında yapılan sözleşmeler |
|
Manuel veri kayıt sistemleri (anket formları, ziyaretçi giriş defteri vb.) |
|
Yazılı, basılı, görsel ortamlarda tutulan kişisel veriler |
|
Birim Dolapları |
|
Arşiv Odaları |
|
Reçeteler |
4. KİŞİSEL VERİLERİN İŞLENMESİ VE GENEL İLKELER
4.1. Gizlilik İlkesi
İşbu politikada açıklandığı üzere gerek çalışanlar ve gerekse muayenehanemiz ile irtibatlı kişisel veri sahibi olan ilgili tüm kişilerin verileri gizlidir. Bu politika ve alınan tedbirler kapsamında, kanunda belirtilen haller dışında, hiç kimse kişilerin verilerini başka amaçla kullanamaz, çoğaltamaz, kopyalayamaz, başkalarına aktaramaz ve politikalarla belirlenen amaçlar dışında kullanamaz.
4.2. Temel İlkeler
Muayenehanemiz tarafından işlenmekte olan Kişisel Veriler, 6698 sayılı Kanunu’nun 4 üncü maddesinde belirtilen ilkelere uygun olarak işlenmektedir. Muayenehane kişisel verileri; verilerin işlenmesi, korunması, silinmesi ve imha süreçlerinde aşağıda yazılı ilkelere göre, kanunda öngörülen usul ve esaslara uygun olarak işlemektedir.
- Hukuka ve dürüstlük kurallarına uygun olması,
- Doğru ve gerektiğinde güncel olması,
- Belirli, açık ve meşru amaçlar için işlenmesi,
- İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması,
- Mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmesi.
4.3. Kişisel Verilerin İşlenme Şartları
Muayenehanemiz tarafından işlenen kişisel veriler, 6698 sayılı Kanunun 5 inci maddesine uygun olarak işlenmektedir. Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez. Ancak, aşağıda belirtmiş olduğumuz ilkelerden birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür.
- (Kanunilik ilkesi) Kanunlarda açıkça öngörülmesi,
- (Fiili imkânsızlık) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
- (Sözleşmenin ifası) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
- (Hukuki yükümlülük) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
- (Aleniyet) Kişisel verilerin ilgili kişinin kendisi tarafından alenileştirilmiş olması,
- (Zorunluluk) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
- (Meşru menfaat) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.
4.4. Özel Nitelikli Kişisel Verilerin İşlenmesi Şartları
Muayenehanemiz tarafından işlenen Özel Nitelikli Kişisel Veriler, 6698 sayılı Kanunun 6 ncı maddesine uygun olarak işlenmektedir. Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.
Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesinin yasak olduğu kanun maddesi ile düzenlenmiştir. Buna göre, ilgili kişinin açık rızası olmaksızın Özel Nitelikli Kişisel Veriler işlenemez. Ancak, kanun maddesinde yazılı olduğu üzere; kanunun 6 ncı maddesinin birinci fıkrasında sayılan sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir.
Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak; Kamu sağlığının korunması, Koruyucu hekimlik, Tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, Sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, Sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından,
İlgilinin açık rızası aranmaksızın işlenebilir. Muayenehanemiz Özel nitelikli kişisel verilerin işlenmesinde, 6698 sayılı kanun ve ilgili mevzuata uygun olarak ve ayrıca Kurul tarafından belirlenen yeterli önlemler alınarak işlenmektedir.
5. KİŞİSEL VERİ SAKLAMA VE İMHASINA İLİŞKİN AÇIKLAMALAR
Muayenehanemiz tarafından oluşturulan bu politika ile müşteriler, tedarikçiler, hizmet sağlayıcılarının yönetici ve çalışanları, çalışanlar, çalışan adayları, stajyerler, ziyaretçiler, kamu kurum ve kuruluşları ile özel hukuk tüzel kişilerinin çalışanları ve ilgili üçüncü kişilere ait kişisel veriler; kanunlara ve ilgili mevzuata uygun olarak saklanır ve imha edilir. Saklama ve imhaya ilişkin ayrıntılı açıklamalar aşağıda belirlenmiştir.
5.1. Kişisel Verilerin Saklanması
6698 Sayılı kanunun 3 üncü maddesinde kişisel verilerin işlenmesi tanımlanmış, 4 üncü maddesinde işlenen kişisel verinin işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli süre kadar muhafaza edilmesi gerektiği düzenlenmiştir. 6698 sayılı kanunun 5 inci ve 6 ncı maddelerinde kişisel verilerin işleme şartları sayılmıştır. Buna göre Muayenehane faaliyetleri kapsamında kişisel veriler, ilgili mevzuatta öngörülen veya işleme amaçlarımıza uygun olarak; gerekli süre kadar idari ve teknik tedbirler alınmak suretiyle saklanmaktadır.
5.2. Kişisel Verileri Saklamayı Gerektiren İşleme Amaçları
Muayenehane, işlemekte olduğu kişisel verileri aşağıdaki amaçlar doğrultusunda, muayenehane faaliyetleri ile sınırlı olmak üzere ilgili mevzuata uygun olarak saklamaktadır. Buna göre; kişisel verileri saklamayı gerektiren işleme amaçları aşağıda maddeler halinde belirlenmiştir.
- Muayenehanenin ürün ve hizmetlerini geliştirmek, büyüme ve gelişim faaliyetlerini sürdürmek,
- Muayenehanenin finans ve muhasebe işlerini sürdürmek,
- Muayenehanenin üçüncü kişilerle olan ticari faaliyetlerini, hizmet alım işlemlerini sürdürmek,
- Muayenehane faaliyetleri kapsamındaki yasal yükümlülükleri yerine getirmek,
- İnsan kaynakları süreçlerinin planlanması ve icra edilmesi, çalışma ve staj başvuru süreçlerini yerine getirmek,
- Personel özlük dosyalarını oluşturmak, mali yükümlülüklerini yerine getirmek,
- Muayenehanenin müşterileri, tedarikçileri, çalışanları ve hukuki ilişki içinde bulunduğu ilgili üçüncü kişiler ile yapmış olduğu veya yapacağı sözleşmeler ve protokollerini yapmak ve ifasının sağlamak,
- Pazarlama faaliyetlerini sürdürmek,
- Muayenehane ile kurumsal iletişimi sağlamak,
- Muayenehanenin kurumsal kalitesini sağlamak, irtibatlı olduğu ilgili kişilerin güvenliğini sağlamak,
- KVK Kanunu kapsamında KVK Kurumu nezdindeki iş ve işlemleri, süreçleri yürütmek,
- Muayenehane faaliyetleri kapsamında hukuki ilişki içerisinde olduğu gerçek ve tüzel kişilerle irtibat sağlamak,
- Mevzuat gereği; ilgili kamu kurum ve kuruluşlara gerekli yasal bildirimlerde bulunmak,
- Muayenehanenin üçüncü kişilerle olan hukuki uyuşmazlıklarda delil olarak ispat yükümlülüğü yerine getirmek,
- Muayenehanenin kurumsal ve kişisel gelişimi sağlamak amacıyla düzenlediği eğitim, seminer veya organizasyonlara katılmak,
- Muayenehanemiz ile olan irtibatınız, Muayenehane faaliyetleri ile ilgili internet sayfamızı kullanmanız, Muayenehane iletişim bilgileri ile irtibat sağlamanız, web sayfamızdaki formları doldurmanız için gerekli süreçleri sürdürmek,
- Müşteriler, tedarikçiler, hizmet sağlayıcılarının yönetici ve çalışanları, çalışanlar, çalışan adayları, stajyerler, ziyaretçiler, kamu kurum ve kuruluşları ile özel hukuk tüzel kişilerinin çalışanları ve ilgili üçüncü kişilerin, muayenehaneye ait bina ve eklentilerinin, güvenliğini ayrıca muayenehane bina giriş-çıkışlarının kontrolünü sağlamak,
Amaçlarıyla kişisel verileriniz Kanun’un 5 inci ve 6 ncı maddelerine uygun olarak belirlenen şartlar ve amaçlar doğrultusunda işlenmektedir. Kişisel verileriniz, veri sorumlusu olan Muayenehanemizin faaliyetleri dışında başka bir amaçla kullanılmamakta, politikalarla belirlenen durumlar dışında üçüncü kişilerle paylaşılmamaktadır,
5.3. Kişisel Verileri Saklamayı Gerektiren Sebepler
Kişisel verileriniz, Muayenehanenin faaliyetleri çerçevesinde muhafaza edilir. Bu kapsamda Kişisel veriler;
Uluslararası düzenlemeler, Anayasa, Kişisel Verileri Koruma Kanunu, Borçlar Kanunu, İş Kanunu, Türk Ceza Kanunu, Türk Ceza Muhakemesi Kanunu, Vergi Usul Kanunu ve ilgili mali mevzuat, İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun, İnternet Ortamında Yapılan Yayınların Düzenlenmesine Dair Usul ve Esaslar Hakkında Yönetmelik, Kişisel Sağlık Verilerinin İşlenmesi ve Mahremiyetinin Sağlanması Hakkında Yönetmelik, Elektronik Ticaretin Düzenlenmesi Hakkında Kanun, Elektronik İmza Kanunu, Elektronik Haberleşme Kanunu, Elektronik Haberleşme Sektöründe Tüketici Hakları Yönetmeliği, Elektronik Haberleşme Sektöründe Kişisel Verilerin İşlenmesi ve Gizliliğin Korunması Hakkında Yönetmelik, Elektronik Ticarette Hizmet Sağlayıcı ve Aracı Hizmet Sağlayıcılar Hakkında Yönetmelik, Ticari İletişim ve Ticari Elektronik İletiler Hakkında Yönetmelik, Polis Vazife ve Salahiyet Kanunu, Türkiye İstatistik Kanunu, Sosyal Güvenlik Kurumu Kanunu, Suç Gelirlerinin Aklanmasının Önlenmesi Hakkında Kanun, Anonim Şirketlerin Genel Kurullarında Uygulanacak Elektronik Genel Kurul Sistemi Hakkında Tebliğ, Ticaret Sicil Yönetmeliği, Özel İstihdam Büroları Yönetmeliği, Sermaye Şirketlerinin Açacakları İnternet Sitelerine Dair Yönetmelik, Kayıtlı Elektronik Posta Sistemi ile İlgili Süreçlere ve Teknik Kriterlere İlişkin Tebliğ, Hasta Hakları Yönetmeliği, Bankaların İç Sistemleri Hakkında Yönetmelik, ilgili diğer kanunlar, yönetmelikler ve tebliğler uyarınca saklanmaktadır.
Yukarıda belirtilen amaçlar doğrultusunda, açık rızanıza istinaden ve yalnızca bu amaçlar ile sınırlı olmak üzere mevzuattan kaynaklanan yasal yükümlülük, Muayenehanemiz ile yapılan sözleşmelerin yapılması, ifası, kişisel verilerin alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması, ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri çerçevesinde toplanmakta, işlenmekte ve saklanmaktadır.
5.4. Kişisel Verilerin İmhasını Gerektiren Sebepler
Kişisel veriler; aşağıda belirtilen sebeplerle ilgili kişinin talebi üzerine, başvuru formunu doldurmak suretiyle, Muayenehane tarafından politika, kanun ve yönetmelikte öngörülen usul ve esaslara uygun olarak silinir, yok edilir veya anonim hale getirilir. Buna göre;
- Muayenehane tarafından kişisel verilerin işlenmesini veya saklanmasını gerektiren amacın ortadan kalkması halinde,
- Kişisel verilerin işlenmesine esas olan ilgili mevzuat hükümlerinin değiştirilmesi veya yürürlükten kalkması,
- Muayenehane tarafından kişisel verileri işlemenin sadece açık rıza şartına bağlı olarak yapıldığı hallerde, ilgili kişinin açık rızasını geri alması,
- 6698 sayılı Kanununun 11 inci maddesi uyarınca ilgili kişinin muayenehaneye başvuru hakları kapsamında kişisel verilerinin silinmesi ve yok edilmesine ilişkin yaptığı başvurunun KVK Kurumunca kabul edilmesi,
- KVK Kurumunun, ilgili kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabı yetersiz bulması veya 6698 sayılı Kanunda öngörülen süre içinde cevap vermemesi hallerinde; KVK Kurumuna şikâyette bulunması ve bu talebin KVK Kurulunca uygun bulunması halinde,
- İlgili yasal düzenleme uyarınca, kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olması ve kişisel verileri saklamayı gerektirecek herhangi bir sebebin bulunmaması,
Durumlarında, Muayenehane tarafından ilgili kişinin talebi üzerine silinir, yok edilir ya da re’sen silinir, yok edilir veya anonim hale getirilir.
6. KİŞİSEL VERİLERİ SAKLAMA VE İMHASINA İLİŞKİN TEKNİK VE İDARİ TEDBİRLER
Politika ile belirlenen düzenlemeler kapsamında, kişisel verilerin güvenli ve usulüne uygun bir şekilde saklanması, hukuka aykırı olarak işlenmesinin, erişilmesinin önlenmesi ve veri sızıntılarının önlenmesi ile kişisel verilerin hukuka uygun olarak imha edilmesi için, 6698 sayılı Kanunun 6 ncı maddesinde düzenlenen “Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır.” hükmü ile aynı kanunun 12 nci maddesinde belirtilen kişisel verilerin güvenliğini sağlamak amacıyla Kurul tarafından belirlenen ve ilan edilen gerekli yeterli önlemler çerçevesinde; veri sorumlusu olarak Muayenehane tarafından yazılı teknik ve idari tedbirler alınmaktadır.
Kurumun https://www.kvkk.gov.tr adresinde, belirlenmiş olan İdari ve Teknik Tedbirler belirlenerek ayrıntılı olarak duyurulmuştur. Bu tedbirler Tablo-3’te yer almaktadır.
TABLO 3 - Teknik ve İdari Tedbirler
Teknik Tedbirler |
İdari Tedbirler |
Yetki Matrisi |
ü Kişisel Veri İşleme Envanteri Hazırlanması |
Yetki Kontrolü |
ü Kurumsal Politikalar (Erişim, Bilgi Güvenliği, Kullanım, Saklama ve İmha vb.) |
Erişim Logları |
Sözleşmeler (Veri Sorumlusu-Veri Sorumlusu, Veri Sorumlusu-Veri İşleyen Arasında) |
Kullanıcı Hesap Yönetimi |
Gizlilik Taahhütnameleri |
Ağ Güvenliği |
Kurum İçi Periyodik ve/veya Rastgele Denetimler |
Uygulama Güvenliği |
Risk Analizleri |
Şifreleme |
İş Sözleşmeleri, İç Disiplin Yönergesi |
Sızma Testi |
Kurumsal İletişim (Kriz Yönetimi, Kurul ve İlgili Kişiyi Bilgilendirme Süreçleri, İtibar Yönetimi vb.) |
Saldırı Tespit ve Önleme Sistemleri |
Eğitim ve Farkındalık Faaliyetleri |
Log Kayıtları |
Veri Sorumluları Sicil Bilgi Sistemine (VERBİS) Bildirim |
Veri Maskeleme |
|
Veri Kaybı Önleme Yazılımları (DLP) |
|
Yedekleme |
|
Güvenlik Duvarları |
|
Güncel Anti-Virüs Sistemleri |
|
Silme, Yok Etme veya Anonim Hale Getirme |
|
ü Anahtar Yönetimi |
6.1. Teknik Tedbirler
Yukarıda tablo halinde belirtilen ve KVK Kurumunca ilan edilen teknik tedbirler ile ilgili, veri sorumlusu olarak Muayenehane tarafından aşağıda yazılı gerekli tedbirler alınmıştır.
- Kişisel verilerin hukuka aykırı olarak başkaları tarafından elde edilmesi halinde bu durumu ilgili kişiye ve Kurula bildirmek için Muayenehane tarafından buna uygun gerekli politikalar oluşturulmuştur,
6.2. İdari Tedbirler
Yukarıda tablo halinde belirtilen ve KVK Kurumunca ilan edilen idari tedbirler ile ilgili, veri sorumlusu olarak Muayenehane tarafından aşağıda yazılı gerekli tedbirler alınmıştır.
- Çalışanların niteliğinin geliştirilmesine yönelik, kişisel verilerin hukuka aykırı olarak işlenmenin önlenmesi, kişisel verilerin muhafazasının sağlanması ve farkındalığın arttırılması amacıyla gerekli eğitimler verilmekte ve kurum içi periyodik ve rastgele denetimler yapılmaktadır,
- Muayenehane tarafından yürütülen faaliyetlere ilişkin çalışanlara gizlilik sözleşmeleri imzalatılmaktadır,
- Kişisel veri işlemeye başlamadan önce Muayenehane tarafından, ilgili kişileri aydınlatma yükümlülüğü yerine getirilmektedir. Buna ilişkin politika oluşturulmuş ve ilgililere iletilmiştir,
- Veri sorumlusu sıfatıyla Muayenehane tarafından, kişisel veri işleme envanteri hazırlanmış, gerekli güncellemeler yapılmaktadır,
- Aydınlatma ve Bilgilendirme Metni oluşturulmuş, başvuru formu düzenlenerek internet sitesinde yayımlanmıştır,
- Kişisel veri koruma, işleme, saklama ve imha politikası belirlenmiş, Muayenehane içerisinde KVKK Komitesi tarafından uygulanması sağlanmaktadır,
- KVK Komitesinin oluşturulmuş, yetkileri, sorumlulukları belirlenmiş ve ilgililere tebliğ edilmiştir,
- İlgili kişi gruplarına göre ayrı ayrı açık rıza metinleri oluşturulmuştur,
- Kişisel verilere ilişkin saklama ve imha gereklerinin yerine getirilmesine ilişkin çalışmalar başlatılmıştır,
- KVK Kanununa uyumun sağlanması amacıyla gerekli aksiyonlar alınmış, Muayenehane sözleşmeleri ve kişisel veri barındıran metinler taranarak KVKK’ ya uyumlu hale getirilmiştir,
7. KİŞİSEL VERİLERİN İMHA TEKNİKLERİNE DAİR AÇIKLAMALAR
Muayenehanemizce oluşturulan politika ve kişisel veri envanterinde yazılı olduğu üzere, işlenmiş olan kişisel veri ile ilgili İlgili yasal mevzuatta öngörülen süre veya işlendikleri amaç için öngörülen gerekli saklama süresinin sonunda kişisel veriler; Muayenehane yetkili birimlerince kendiliğinden veya ilgili kişisel veri sahibinin Muayenehanemize başvurusu üzerine, 6698 sayılı Kanun ve ilgili mevzuata uygun olarak aşağıda belirtilen yöntem ve tekniklerle imha edilmektedir.
7.1. Kişisel Verilerin Silinmesi
Sunucularda Yer Alan Kişisel Veriler: Sunucularda yer alan kişisel verilerden, saklanmasını gerektiren süre sona erenler için sistem yöneticisi tarafından ilgili kullanıcıların erişim yetkisi kaldırılarak silme işlemi yapılır.
Elektronik Ortamda Yer Alan Kişisel Veriler: Elektronik ortamda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, veritabanı yöneticisi hariç diğer çalışanlar (ilgili kullanıcılar) için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir.
Fiziksel Ortamda Yer Alan Kişisel Veriler: Fiziksel ortamda tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler için evrak arşivinden sorumlu birim yöneticisi hariç diğer çalışanlar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. Ayrıca, üzeri okunamayacak şekilde çizilerek/boyanarak/silinerek karartma işlemi de uygulanır.
Taşınabilir Medyada Bulunan Kişisel Veriler: Flash tabanlı saklama ortamlarında tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler, sistem yöneticisi tarafından şifrelenerek ve erişim yetkisi sadece sistem yöneticisine verilerek şifreleme anahtarlarıyla güvenli ortamlarda saklanır.
7.2. Kişisel Verilerin Yok Edilmesi
Fiziksel Ortamda Yer Alan Kişisel Veriler: Kâğıt ortamında yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, kâğıt kırpma makinelerinde geri döndürülemeyecek şekilde yok edilir.
Optik / Manyetik Medyada Yer Alan Kişisel Veriler: Optik medya ve manyetik medyada yer alan kişisel verilerden saklanmasını gerektiren süre sona erenlerin eritilmesi, yakılması veya toz haline getirilmesi gibi fiziksel olarak yok edilmesi işlemi uygulanır. Ayrıca, manyetik medya özel bir cihazdan geçirilerek yüksek değerde manyetik alana maruz bırakılması suretiyle üzerindeki veriler okunamaz hale getirilir.
7.3. Kişisel Verilerin Anonim Hale Getirilmesi
Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilmesinde dahi, ilgili kişinin kimliği belirli veya belirlenebilir olmaktan çıkarılarak, bir gerçek kişiyle hiçbir surette irtibatlandırılamayacak hale getirilmesidir.
Kişisel verilerin anonim hale getirilmiş olması için; kişisel verilerin, veri sorumlusu veya üçüncü kişiler tarafından geri döndürülmesi ve/veya verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle irtibatlandırılamayacak/ilişkilendirilemeyecek hale getirilmesidir.
8. KİŞİSEL VERİLERİ SAKLAMA VE İMHA SÜRELERİ
Muayenehanenin, işbu politika ve ilgili yasal mevzuat kapsamında işlenmekte olan kişisel verilerle ilgili olarak,
- Süreçlere bağlı olarak gerçekleştirilen faaliyetler kapsamındaki tüm kişisel verilerle ilgili kişisel veri bazında saklama süreleri Kişisel Veri İşleme Envanterinde;
- Veri kategorileri bazında saklama süreleri VERBİS’e kayıtta;
- Süreç bazında saklama süreleri ise Kişisel Veri Saklama ve İmha Politikasında
yer alır.
Muayenehanenin, Kişisel Veri Saklama ve İmha Politikasında bu süreler tabloda gösterilmiştir. Muayenehanenin meşru menfaati ve ilgili veri sahibi ile yapılan, yapılacak sözleşmelerin kurulması ve ifası süreçleri, açılabilecek dava ve hukuki işlemler dikkate alınarak, kişisel verilerin saklama ve imha süreleri tabloda yer almaktadır.
TABLO 4- Süreç Bazında Kişisel Verileri Saklama ve İmha Süreleri
Süreç |
Saklama Süresi |
İmha Süresi |
Çalışanlara ilişkin bilgiler |
Sözleşmenin sona ermesinden itibaren 10 Yıl |
Saklama süresinin bitimini takiben ilk denetim döneminde, en geç 180 gün içerisinde |
Çalışan adayları, Stajyer adaylarına ait özgeçmiş, işe başvuru formlarındaki bilgiler |
Talebin sonuçlandırılmasından itibaren 1 yıl |
Talep tarihinden itibaren 30 gün ve Saklama süresinin bitimini takiben ilk denetim döneminde, en geç 180 gün içerisinde |
Stajyerler (öğrenci) |
Stajın sona ermesini takip eden takvim yılı yılbaşından itibaren 10 yıl |
Saklama süresinin bitimini takiben ilk denetim döneminde, en geç 180 gün içerisinde |
Hizmet Sağlayıcıları Tedarikçiler/Müşteriler |
Sözleşme ve iş ilişkisinin sona ermesinden itibaren 10 yıl |
Saklama süresinin bitimini takiben ilk denetim döneminde, en geç 180 gün içerisinde |
Ziyaretçiler |
1 Yıl |
Saklama süresinin bitimini takiben ilk denetim döneminde, en geç 180 gün içerisinde |
Müşteriler, Müşteri Yakınları |
Veri İşleme Amacının Sona Ermesinden İtibaren 10 Yıl |
Saklama süresinin bitimini takiben ilk denetim döneminde, en geç 180 gün içerisinde |
9. KİŞİSEL VERİLERİN PERİYODİK İMHA SÜRESİ
Yönetmeliğin 11 inci maddesi gereğince Muayenehane, periyodik imha süresini 6 ay olarak belirlemiştir. Buna göre, Muayenehanede her yıl Şubat ve Ağustos aylarında periyodik imha işlemi gerçekleştirilir.
10. İLGİLİ KİŞİNİN BAŞVURUSU ÜZERİNE SİLME VE YOK ETME SÜRELERİ
İlgili kişinin başvurusu üzerine kişisel verinin silinmesi, yok edilmesi süreleri Yönetmeliğin 12 nci maddesinde aşağıda yazılı olduğu şekilde düzenlenmiştir.
Buna göre; kişisel verileri işleme şartlarının tamamı ortadan kalkmışsa; veri sorumlusu talebe konu kişisel verileri siler, yok eder veya anonim hale getirir. Veri sorumlusu, ilgili kişinin talebini en geç otuz gün içinde sonuçlandırır ve ilgili kişiye bilgi verir. Kişisel verileri işleme şartlarının tamamı ortadan kalkmış ve talebe konu olan kişisel veriler üçüncü kişilere aktarılmışsa veri sorumlusu bu durumu üçüncü kişiye bildirir; üçüncü kişi nezdinde bu Yönetmelik kapsamında gerekli işlemlerin yapılmasını temin eder. Kişisel verileri işleme şartlarının tamamı ortadan kalkmamışsa, bu talep veri sorumlusunca Kanunun 13 üncü maddesinin üçüncü fıkrası uyarınca gerekçesi açıklanarak reddedilebilir ve ret cevabı ilgili kişiye en geç otuz gün içinde yazılı olarak ya da elektronik ortamda bildirilir.
11. KİŞİSEL VERİ SAHİBİNİN HAKLARINI İLERİ SÜREMEYECEĞİ HALLER
6698 Sayılı Kanunu’nun 28 inci maddesinin birinci fıkrası uyarınca, aşağıda yazılı hususlar kanunun uygulama kapsamı dışında (istisnalar) tutulmuştur olup, kişisel veri sahipleri kanunda sayılan haklarını ileri süremezler.
- Kişisel verilerin, üçüncü kişilere verilmemek ve veri güvenliğine ilişkin yükümlülüklere uyulmak kaydıyla gerçek kişiler tarafından tamamen kendisiyle veya aynı konutta yaşayan aile fertleriyle ilgili faaliyetler kapsamında işlenmesi,
- Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi,
- Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi,
- Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbarı faaliyetler kapsamında işlenmesi,
- Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi,
6698 Sayılı Kanunu’nun 28 inci maddesinin ikinci fıkrası uyarınca, bu kanunun amacına ve temel ilkelerine uygun ve orantılı olmak kaydıyla, veri sorumlusunun aydınlatma yükümlülüğünü düzenleyen 10 uncu maddesi, zararın giderilmesini talep etme hakkı hariç, ilgili kişinin haklarını düzenleyen 11 inci maddesi ve veri sorumluları siciline kayıt yükümlülüğünü düzenleyen 16 ncı maddesinde belirtilen haklar bakımından aşağıdaki hâllerde uygulanmaz:
- Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması,
- İlgili kişinin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi,
- Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması,
- Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması.
12. POLİTİKANIN YAYINLANMASI, SAKLANMASI VE GÜNCELLENMESİ
Muayenehane tarafından hazırlanan işbu politika, ıslak imzalı olarak (basılı kâğıt) ortamında Muayenehanenin içerinde ve https://dentalizm.com.tr/ internet sitesinde yayımlanır. Politikanın yayımlanması ile kamuya açıklanmış sayılacaktır. Basılı kâğıt nüshası KVK dosyasında saklanır. Oluşturulan bu politika, belirlenen komite üyeleri tarafından yetki ve sorumlulukları kapsamında, ihtiyaç duyuldukça gözden geçirilir ve gerekli olduğu şekilde ilgili bölümler güncellenecektir.
13. POLİTİKANIN YÜRÜRLÜĞE GİRMESİ VE YÜRÜRLÜKTEN KALKMASI
Yukarıda maddeler halinde yazılı işbu politika, 31.12.2021 tarihinde yürürlüğe girmiş kabul edilecektir.
Veri sorumlusunun onayı ve kişisel veri komitesinin kararı ile politikanın yürürlükten kaldırılmasına karar verilmesi halinde, politikanın ıslak imzalı eski nüshaları komite tarafından iptal edilerek (iptal kaşesi vurularak veya iptal yazılarak) imzalanır ve en az 5 yıl süre ile komite tarafından “Muhasebe Biriminde/Departmanında” veri irtibat kişisi tarafından saklanır.