6698 SAYILI KİŞİSEL VERİLERİN KORUNMASI KANUNU UYARINCA KİŞİSEL VERİLERİN KORUNMASI HAKKINDA
AYDINLATMA METNİ
Türkiye’de Kurulu HEKİMBEY İş Sağlığı ve Güvenliği Ltd. Şti. ("Şirket") olarak; veri sorumlusu sıfatıyla, duruma göre aşağıda belirtilen şekillerde elde ettiğimiz kişisel verilerinizin, ticari ilişkilerimiz kapsamında veya sizlerle olan iş ilişkimiz dahilinde; İşlenmelerini gerektiren amaç çerçevesinde ve bu amaç ile bağlantılı, sınırlı ve ölçülü şekilde, tarafımıza bildirdiğiniz veya bildirildiği şekliyle kişisel verilerin doğruluğunu ve en güncel halini koruyarak, kaydedileceğini, depolanacağını, muhafaza edileceğini, yeniden düzenleneceğini, kanunen bu kişisel verileri talep etmeye yetkili olan kurumlar ile paylaşılacağını ve KVKK'nın öngördüğü şartlarda, yurtiçi veya yurtdışı üçüncü kişilere aktarılacağını, devredileceğini, sınıflandırılabileceğini ve KVKK'da sayılan sair şekillerde işlenebileceğini bildiririz.
Kişisel Veri nedir?
KVKK Kapsamında kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi (“Kişisel Veri”) ve bunun bir özel türü olan Özel Nitelikli Kişisel Veri ise, ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileriniz ile biyometrik ve genetik verilerinizi (“Özel Nitelikli Kişisel Veri”) ifade eder. Bu Aydınlatma Metni kapsamında Kişisel Verileriniz için yapılan açıklamalar Özel Nitelikli Kişisel Verilerinizi de kapsamaktadır.
KİŞİSEL VERİLERİNİZİN İŞLENME AMAÇLARI
Kişisel verileriniz, veri sorumlusu tarafından ve açık rıza halinde açık rıza halinde özel nitelikli kişisel verileriniz aşağıda belirtilen amaç ve hukuki sebepler doğrultusunda ve ancak bunlarla sınırlı olmayan ve gerektiği takdirde benzer amaç ve sebeplerle KVKK m.5 ve m.6’da belirtilen kişisel veri işleme şartları içerisinde ve Firmamız VERBİS kaydında belirtilen ilkelere ve sürelere uygun amaçlarla ve koşullarla sınırlı olarak işlenmektedir. Bu kapsamda kişisel verilerinizin işlenme amacı:
Hukuki yükümlülüklerimizi yerine getirme, Firmamız tarafından sağlanan hizmet gerekliliği kimliğinizi teyit etme,kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi,İlgili mevzuat uyarınca Sağlık Bakanlığı ve diğer kamu kurum ve kuruluşları ile talep edilen bilgilerin paylaşılması, firmanin iç işleyişi ile günlük operasyonların planlanması ve yönetilmesi, hasta memnuniyetinin ölçülmesi, arttırılması ve araştırılması,ilaç ve tıbbi cihaz temini,randevu almanız halinde randevu hakkında sizi haberdar edebilme,sağlık hizmetlerini geliştirme amacıyla analiz yapma, araştırma yapılması,Firmamız tarafından kampanyalara katılım ve kampanya bilgisi verilmesi,Web ve mobil kanallarda özel içeriklerin, somut ve soyut faydaların tasarlanması ve iletilebilmesi, faturalandırma yapılabilmesi başlıkları altında sayılabilir.
KİŞİSEL VERİLERİNİZİN TOPLANMA YÖNTEMİ VE HUKUKİ SEBEBİ
Kişisel verileriniz, Bilgi Teknolojilerine dayalı çeşitli yöntemlerle, çağrı merkezi, internet sitesi, sosyal medya mecraları, mobil uygulamalar ve benzeri vasıtalarla sözlü, yazılı ya da GSM teknolojileri de dahil olmak üzere elektronik olarak toplanabilmektedir. Ayrıca, kişisel verilerin işlenmesi amaçları doğrultusunda, Kanun’un 5. ve 6. maddelerinde hüküm altına alınmış kişisel veri işleme şartlarından en az birine dayalı ve sınırlı olarak, başta Kanun’un 4. maddesinde belirtilen ilkeler olmak üzere Kanun’da ve şirketimiz VERBİS kaydında belirtilen genel ilkelere ve sürelere uygun bir şekilde kişisel veriler işlenmektedir.
KVKK'nın 11. Maddesi Gereği Bize Şahsen, Kimliğinizi İspat Etmeniz Kaydıyla, Kişisel Verileriniz İle İlgili Haklarınız
Şirket'in hakkınızda kişisel veri işleyip işlemediğini öğrenmek, eğer işlemişse, buna ilişkin bilgi talep etmek, kişisel verilerinizin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığı öğrenmek, kişisel verilerin yurtiçi veya yurtdışına aktarılıp aktarılmadığı ve kimlere aktarıldığını öğrenmek haklarına sahipsiniz.Ayrıca, şirketten yanlış ve eksik kişisel verilerinizin düzeltilmesini ve verilerinin aktarıldığı veya aktarılmış olabileceği alıcıların bilgilendirilmesini talep etme hakkınız vardır. Kişisel verilerinizin KVKK madde 7'de öngörülen şartlar çerçevesinde verilerinizin imha edilmesini (silinmesini, yok edilmesini veya anonim hale getirilmesini) şirketten talep edebilirsiniz. Aynı zamanda verilerin aktarıldığı veya aktarılabileceği 3. kişilerin söz konusu imha talebiniz ile ilgili bilgilendirilmesini talep edebilirsiniz. Ancak imha talebinizi değerlendirerek hangi yöntemin uygun olduğu somut olayın koşullarına göre tarafımızca değerlendirilecektir. Bu bağlamda seçtiğimiz imha yöntemini neden seçtiğimiz ile ilgili bizden her zaman bilgi talep edebilirsiniz. Başvurunuzda yer alan talepleriniz, talebin niteliğine göre en geç otuz gün içinde ücretsiz olarak sonuçlandırılacaktır. Ancak, işlemin Şirket için ayrıca bir maliyeti gerektirmesi hâlinde, Kişisel Verileri Koruma Kurulu tarafından Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ'de belirlenen tarifedeki ücret alınabilir. Kişisel verilerinizin işlenmesi ile ilgili hususlarda başvurunuzu Şirketin insan kaynakları (muhasebe) departmanına teslim etmeniz gerekmektedir. Şirket tarafından talebinizin mahiyetine ve başvuru yönteminize göre Şirket tarafından başvurunun size ait olup olmadığının belirlenmesi ve böylece haklarınızı koruyabilmek amacıyla ek doğrulamalar (kayıtlı telefonunuza mesaj gönderilmesi, aranmanız gibi) istenebilir. Örneğin Şirkette kayıtlı olan e-posta adresiniz aracılığıyla başvuru yapmanız halinde şirkette kayıtlı başka bir iletişim yöntemini kullanarak size ulaşabilir ve başvurunun size ait olup olmadığının teyidini isteyebiliriz.
İŞLENEN KİŞİSEL VERİLER
Veri sorumlusu tarafından işlenecek kişisel verileriniz, KVKK’da tanımlandığı şekliyle “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” anlamına gelen verilerinizdir. Yine aynı kanun kapsamında özel nitelikli kişisel veri ise “kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verilerini” ifade etmektedir. Firmamız, hastaların/ziyaretçilerin onayı ile kişisel veya özel nitelikli kişisel verileri tamamen veya kısmen elde edebilir, sınıflandırabilir, kaydedebilir ve kişisel verilerin elde ediliş amacına göre ya da ilgili kanun hükümlerinin öngördüğü süre boyunca muhafaza edebilir. Bu doğrultuda, aşağıda yer alanlar dahil ve bunlarla sınırlı olmaksızın işlenen kişisel veri kategorileriniz ile içerikleri şu şekildedir:
Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi
Kanun’un 7’nci maddesine göre, bu Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hâle getirilir. Bu kapsamda Firmamız, kişisel verileri ancak ilgili mevzuatta belirtildiği veya işlendikleri amaç için zorunlu ve gerekli olan süre kadar muhafaza etmektedir. Sürenin bitimi veya işlenmesini gerektiren sebeplerin ortadan kalkması durumunda kişisel veriler periyodik imha sürelerine veya veri sahibi ilgili kişinin varsa başvurusuna uygun olarak belirlenen imha yöntemleri (silme ve/veya yok etme ve/veya anonimleştirme) ile imha edilecektir. Kişisel veri işleme faaliyetinde 6698 sayılı Kanun’un 4. maddesinde belirtilen genel ilkelere uygun olarak hareket edilmektedir.
Kişisel Verilerin Aktarılması
Kişisel verilerin aktarılması konusunda Kanun’da Kişisel Verilerin İşlenmesi’ne ilişkin düzenlemelere paralel düzenlemeler hüküm altına alınmıştır. Kanun’un 8. maddesine göre:
Kişisel veriler, ilgili kişinin açık rızası olmaksızın aktarılamaz. Kişisel veri sahibinin açık rızası olmasa dahi aşağıda belirtilen şartlardan bir ya da birkaçının mevcut olması halinde Firmamız tarafından gerekli özen gösterilerek ve Kurul tarafından öngörülen yöntemlerle gerekli tüm güvenlik önlemleri alınarak kişisel veriler üçüncü kişilere aktarılabilecektir. Kişisel verilerin aktarılmasına ilişkin ilgili faaliyetlerin kanunlarda açıkça öngörülmesi, Kişisel verilerin Firmamız tarafından aktarılmasının bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili ve gerekli olması, Kişisel verilerin aktarılmasının Firmamızin hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,Kişisel verilerin veri sahibi tarafından alenileştirilmiş olması şartıyla, alenileştirme amacıyla sınırlı bir şekilde Firmamız tarafından aktarılması,Kişisel verilerin Firmamız tarafından aktarılmasının Firmamızin veya veri sahibinin veya üçüncü kişilerin haklarının tesisi, kullanılması veya korunması için zorunlu olması,Veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla Firmamız meşru menfaatleri için kişisel veri aktarımı faaliyetinde bulunulmasının zorunlu olması, Fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünü koruması için zorunlu olması. Kanun’un 9. maddesine göre; Kişisel veriler, ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamaz.
KİŞİSEL VERİLERİNİZİN YURT İÇİNDEKİ ÜÇÜNCÜ KİŞİLERLE PAYLAŞILMASI
KVKK ve ilgili sağlık mevzuatı uyarınca uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirlerin alınmasını sağlayarak, Kişisel Veri/Kişisel Verilerinizi II. Bölüm’de yer alan amaçlar doğrultusunda; 3359 sayılı Sağlık Hizmetleri Temel Kanunu, 663 sayılı Sağlık Bakanlığı ve Bağlı Kuruluşlarının Teşkilat ve Görevleri Hakkında Kanun Hükmünde Kararname 6698 Sayılı Kişisel Verilerin Korunması Kanunu, Kişisel Sağlık Verilerinin İşlenmesi ve Mahremiyetinin Sağlanması Hakkında Yönetmelik ve ilgili diğer mevzuat hükümlerinin izin verdiği kişi/kurum ve/veya kuruluşlar; bankalar, sandıklar, vakıflar; doğrudan/dolaylı yurtiçi/yurtdışı hissedarlarımız, bağlı ortaklıklarımız ve/veya iştiraklerimiz; grup şirketlerimiz; denetçiler; danışmanlar; iş ortakları; faaliyetlerimizi yürütmek üzere sözleşmesel olarak hizmet aldığımız ve/veya hizmet verdiğimiz, işbirliği yaptığımız, yurt içi/yurt dışı kuruluşlar ile diğer gerçek ve/veya tüzel üçüncü kişilere aktarabiliriz.
Ayrıca kişisel verilerinizi;
4.1. İş Kanunu, İş Sağlığı ve Güvenliği Kanunu, Sosyal Güvenlik Kanunu ve ilgili mevzuat ile diğer kanunlar ve mevzuat kapsamında gereklilikleri yerine getirmek amacıyla özellikle;
Sağlık verilerinizi, tedavi ve sağlık kontrolü yapabilmesi için işyeri hekimimiz ile paylaşabiliyoruz.
4.2. Şirket içerisinde güvenliğin sağlanması amacıyla özellikle;
İşyeri güvenliği amacıyla giriş-çıkışların denetlenmesi için işyeri yönetimine aktarabiliyoruz.
4.3. Hukuki yükümlülüklerimizi yerine getirmek nedeniyle özellikle;
Savunma hakkımızı kullanabilmemiz için avukatlarımıza ve hukuka ve usule uygun olması koşuluyla mahkeme kararı veya delil talebi gibi hukuki talepleri yerine getirme yükümlülüğümüz çerçevesinde ilgili kurumlarla paylaşılabiliyoruz.
4.4. Şirketin idaresi, işin yürütülmesi, şirket politikalarının uygulanması amacıyla, özellikle;
Ticari ilişkimiz olan veya olması muhtemel (hizmet verdiğimiz veya verebileceğimiz) şirketler ile çalışmalarımızı sağlamak açısından söz konusu şirketlere kişisel verilerinizi aktarabiliyoruz.
Kişisel verilerinizden gerekli olanlar, ulaşım, araç tedariki, kartvizit basımı, otopark kaydı gibi sebeplerle ilgili konuda çalıştığımız firmalara aktarılabilmektedir.
KVKK uyarınca Kişisel Veri/Kişisel Verilerin Açık Rıza Olmaksızın İşleyebileceği Haller:
KVKK’nın 5. maddesi ve Yönetmelik’in 7. Maddesi uyarınca, aşağıdaki hallerde açık rızanız aranmaksızın aşağıda belirtilen Kişisel Veri/Kişisel Verileriniz işlenebilir:
KİŞİSEL VERİLERİN KORUNMASI İÇİN ALINAN TEDBİRLER
Kişisel verilerin korunması, şirketimiz için önemli bir konudur. Şirketimiz, kişisel verilere yetkisiz erişim veya bu bilgilerin kaybı, hatalı kullanımı, ifşa edilmesi, değiştirilmesi veya imha edilmesine karşı korumak için gerekli teknik ve idari tedbirleri almaktadır. Şirketimiz, kişisel verilerinizi gizli tutmayı, gizliliğin sağlanması ve güvenliği için gerekli teknik ve idari her türlü tedbiri almayı ve gerekli özeni göstermeyi taahhüt etmektedir.
Şirketimizin gerekli bilgi güvenliği önlemlerini almasına karşın, web sitesine ve sisteme yapılan saldırılar sonucunda kişisel verilerin zarar görmesi veya üçüncü kişilerin eline geçmesi durumunda, Şirketimiz bu durumu derhal sizlere ve Kişisel Verileri Koruma Kurulu’na bildirir.
Firmamız kişisel verilerinizin korunmasına ve güvenliğine en üst düzeyde önem vermekte, bilgi güvenliği standartları ve prosedürleri gereğince alınması gereken tüm teknik ve idari güvenlik kontrollerine tam uygunlukla korumakta olduğumuzu, sizlere sunduğumuz tüm ürün ve hizmetlerimizde, kişisel veri güvenliğinin ön planda olduğu bilinciyle hareket ettiğimizi, söz konusu güvenlik tedbirlerinin, teknolojik imkânlar da göz önünde bulundurularak her türlü muhtemel risk dikkate alınmak suretiyle uygulandığını, bu konuda gerekli tüm hassasiyetin gösterilmekte olduğunu belirtmek isteriz. Ayrıca;
HEKİMBEY İŞ SAĞLIĞI VE GÜVENLİĞİ LTD. ŞTİ. KİŞİSEL VERİ SAKLAMA VE İMHA POLİTİKASI
BİRİNCİ BÖLÜM
KİŞİSEL VERİ SAKLAMA VE İMHA POLİTİKASI'NIN NİTELİĞİ VE AMACI
1.1 GİRİŞ
İşbu Kişisel Veri Saklama ve İmha Politikası (“Politika”), 6698 Sayılı Kişisel Verilerin Korunması Kanunu (“KVKK” ya da “Kanun”) ve Kanun’un ikincil düzenlemesini teşkil eden 28 Ekim 2017 tarihli Resmi Gazete’de yayımlanarak yürürlüğe giren Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik (“Yönetmelik”) uyarınca Hekimbey İŞ SAĞLIĞI VE GÜVENLİĞİ LTD. ŞTİ. olarak veri sorumlusu sıfatıyla elimizde bulundurduğumuz kişisel verilerin KVKK ve sair mevzuatı gereği, yükümlülüklerimizi yerine getirmek ve ilgili kişileri kişisel verilerinizin işlendikleri amaç için gerekli olan azami saklama süresinin belirlenmesi esasları ile kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin şirketimiz tarafından uygulanacak usul ve esasların belirlenmesi amacıyla hazırlanmıştır.
Bu kapsamda, çalışanlarımızın, çalışan adaylarımızın, müşterilerimizin ve herhangi bir nedenle şirketimiz nezdinde kişisel verisi bulunan tüm gerçek kişilerin kişisel verileri Kişisel Verilerin İşlenmesi ve Korunması Politikası ve işbu Kişisel Veri Saklama ve İmha Politikası çerçevesinde kanunlara uygun olarak yönetilmektedir.
1.2 KAPSAM
Kurum çalışanları, çalışan adayları, hizmet sağlayıcıları, ziyaretçiler ve diğer üçüncü kişilere ait kişisel veriler bu Politika kapsamında olup Kurumun sahip olduğu ya da Kurumca yönetilen kişisel verilerin işlendiği tüm kayıt ortamları ve kişisel veri işlenmesine yönelik faaliyetlerde bu Politika uygulanır.
1.3.TANIMLAR
Açık Rıza | Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızadır. |
İlgili Kullanıcı | Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişilerdir. |
Kişisel Veri/Veriler | Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgidir. |
Özel Nitelikteki Kişisel Veri/Veriler | Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık kıyafet, dernek vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir. |
Kişisel Verilerin İşlenmesi | Kişisel Verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemdir. |
Doğrudan Tanımlayıcılar | Tek başlarına, ilişki içinde oldukları kişiyi doğrudan açığa çıkaran, ifşa eden ve ayırt edilebilir kılan tanımlayıcılarıdır. |
Dolaylı Tanımlayıcılar | Diğer tanımlayıcılar ile bir araya gelerek ilişki içinde oldukları kişiyi açığa çıkaran, ifşa eden ve ayırt edilebilir kılan tanımlayıcılarıdır. |
Kişisel Veri Sahibi/İlgili Kişi | Şirket iç ve dış paydaşları, Şirket yetkilileri, şirket iş ortakları, tedarikçiler, danışmanlarımız, çalışanlarımız ve çalışan adaylarımız, ziyaretçilerimiz, müşterilerimiz, potansiyel müşteriler ve üçüncü kişiler, resmi kurumlar, bankalar, bağımsız denetim kuruluşları gibi kişisel verisi şirket tarafından işlenen gerçek kişileri ifade eder. |
Veri Sorumlusu | Kişisel verilerin işleme amaçlarını ve yöntemlerini belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan tüzel kişidir. |
Veri İşleyen | Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel veri işleyen gerçek ve tüzel kişidir. |
Kanun | 6698 sayılı Kişisel Verilerin Korunması Kanunu’nu ifade eder. |
Yönetmelik | 28 Ekim 2017 tarihinde Resmi Gazete’de yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmeliktir. |
KVK Kurulu | Kişisel Verileri Koruma Kurulu’dur. |
Kayıt Ortamı | Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortamdır. |
Kişisel Verilerin İşlenmesi, Korunması ve Gizlilik Politikası | https://hekimbey.com.tr/ adresinden ulaşılabilecek, şirket elinde bulunan kişisel verilerin yönetilmesine ilişkin usul ve esasları belirleyen politikayı ifade eder. |
Veri Kayıt Sistemi | Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği
Kayıt sistemini ifade eder. |
İmha | Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesidir. |
Anonim Hale Getirme | Daha öncesinde bir kişiyle ilişkilendirilmiş olan verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir. |
Kişisel Verilerin Silinmesi | Kişisel verilerin silinmesi; kişisel verilerin İlgili Kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesidir. |
Kişisel Verilerin Yok Edilmesi | Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. |
Periyodik İmha | Kanun’da yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla re’sen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemidir. |
İKİNCİ BÖLÜM
ORTAMLAR VE GÜVENLİK TEDBİRLERİ
2.1. KİŞİSEL VERİLERİN SAKLANDIĞI ORTAMLAR
Şirketimiz nezdinde saklanan kişisel veriler, ilgili verinin niteliğine ve hukuki yükümlülüklerimize uygun bir kayıt ortamında tutulur. Kişisel verilerin saklanması için kullanılan kayıt ortamları genel itibariyle aşağıda sayılanlardır. Ancak, bir kısım veriler sahip oldukları özel nitelikler ya da hukuki yükümlülüklerimiz nedeniyle burada gösterilen ortamlardan farklı bir ortamda tutulabilir. Şirketimiz her halde veri sorumlusu sıfatıyla hareket etmekte ve kişisel verileri Kanun’a, Kişisel Verilerin İşlenmesi, Korunması ve Gizlilik Politikası’na ve işbu Kişisel Veri Saklama ve İmha Politikası’na uygun olarak işlemek ve korumaktadır.
2.1.1 SAKLAMA VE İMHAYA İLİŞKİN AÇIKLAMALAR
Kurum tarafından; çalışanlar, çalışan adayları, ziyaretçiler ve hizmet sağlayıcı olarak ilişkide bulunulan üçüncü kişilerin, kurumların veya kuruluşların çalışanlarına ait kişisel veriler Kanuna uygun olarak saklanır ve imha edilir.
Kanunun 3’üncü maddesinde “kişisel verilerin işlenmesi” kavramı tanımlanmış, 4’üncü maddesinde işlenen kişisel verinin işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli süre kadar muhafaza edilmesi gerektiği belirtilmiş, 5 ve 6’ncı maddelerde ise kişisel verilerin işleme şartları sayılmıştır.
Buna göre, Kurumumuz faaliyetleri çerçevesinde kişisel veriler, ilgili mevzuatta öngörülen veya işleme amaçlarımıza uygun süre kadar saklanır.
2.1.2 SAKLAMAYI GEREKTİREN HUKUKİ SEBEPLER
Kurumda, faaliyetleri çerçevesinde işlenen kişisel veriler, ilgili mevzuatta öngörülen süre kadar muhafaza edilir. Bu kapsamda kişisel veriler;
2.1.3 SAKLAMAYI GEREKTİREN İŞLEME AMAÇLARI
2.1.4 İMHAYI GEREKTİREN SEBEPLER
Kişisel veriler;
durumlarında, Kurum tarafından ilgili kişinin talebi üzerine silinir, yok edilir ya da re’sen silinir, yok edilir veya anonim hale getirilir
Şirketimiz, kişisel verilerin saklandığı tüm ortamların ilgili verinin ve verinin tutulduğu ortamın niteliklerine uygun olarak başlıca aşağıdaki teknik tedbirleri almaktadır:
2.2. ORTAMLARIN GÜVENLİĞİNİN SAĞLANMASI
Kişisel verilerinizin güvenli bir şekilde saklanması, hukuka aykırı olarak işlenmesi, erişilmesinin önlenmesi ve verilerin hukuka uygun olarak imha edilmesi amacıyla KVKK’nın 12. Maddesindeki ilkeler çerçevesinde Şirketimiz, kişisel verilerin güvenli bir şekilde saklanması ile hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi için ilgili kişisel veri ile tutulduğu ortamın niteliklerine uygun olarak gerekli teknik ve idari tedbirleri almaktadır.
İşbu tedbirler, bunlarla kısıtlı olmamak üzere, ilgili kişisel verinin ve tutulduğu ortamın niteliğine uygun düştüğü ölçüde aşağıdaki idari ve teknik tedbirleri kapsar.
Şirketimiz tarafından alınmış olan idari ve teknik tedbirler aşağıda sayılmıştır:
Şirketimiz tarafından alınmış olan idari ve teknik tedbirler aşağıda sayılmıştır:
2.2.1.Teknik Tedbirler
Şirketimiz, kişisel verilerin saklandığı tüm ortamların ilgili verinin ve verinin tutulduğu ortamın niteliklerine uygun olarak başlıca aşağıdaki teknik tedbirleri almaktadır:
Kanun’un 12. maddesi uyarınca, kişisel verilerin saklandığı her türlü dijital ortam, bilgi güvenliği gereksinimlerini sağlayacak şekilde şifreli veyahut kriptografik yöntemler ile korunmaktadır.
2.2.2. İdari Tedbirler
Şirketimiz, kişisel verilerin saklandığı tüm ortamların ilgili verinin ve verinin tutulduğu ortamın niteliklerine uygun olarak başlıca aşağıdaki idari tedbirleri almaktadır:
2.2.3. Şirket İçi Denetim
Şirketimiz, Kanun’un 12’nci maddesi uyarınca Kanun hükümlerinin ve işbu Kişisel Veri Saklama ve İmha Politikası ile Kişisel Verilerin İşlenmesi ve Korunması Politikası hükümlerinin uygulanmasına ilişkin şirket içi denetimler yapmaktadır.
Şirket içi denetimler sonucunda bu hükümlerin uygulanmasına ilişkin eksiklik ya da kusurların tespit edilmesi halinde bu eksiklik ya da kusurlar derhal giderilir.
Denetim sırasında ya da sair bir şekilde Şirketimiz sorumluluğunda bulunan kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edildiğinin anlaşılması hâlinde, şirketimiz bu durumu en kısa sürede ilgilisine ve Kurula bildirir.
ÜÇÜNCÜ BÖLÜM
KİŞİSEL VERİLERİN İMHASI
3.1. SAKLAMA VE İMHA NEDENLERİ
3.1.2. İmha Nedenleri
Şirketimiz bünyesinde bulunan kişisel veriler ilgili kişinin talebi halinde ya da Kanun’un 5’nci ve 6’ncı maddelerinde sayılan nedenlerin ortadan kalkması halinde re’sen işbu imha politikası uyarınca silinir, yok edilir veya anonim hale getirilir.
Kanun’un 5’nci ve 6’ncı maddelerinde sayılan nedenler aşağıdakilerden ibarettir:
3.2. İMHA YÖNTEMLERİ
Şirketimiz, Kanuna ve sair mevzuatı ile Kişisel Verilerin İşlenmesi ve Korunması Politikası’na uygun olarak sakladığı kişisel verileri, verilerin işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde ilgili kişinin talebi doğrultusunda ya da işbu Kişisel Veri Saklama ve İmha Politikasında belirtilen süreler içinde re’sen siler, yok eder veya anonim hale getirir.
3.2.1. Kişisel Verilerin Silinmesi
Şirketimiz tarafından kişisel veriler aşağıda belirtilen yöntemlerle silinebilir.
Veri Kayıt Ortamı | Açıklama |
Sunucularda Yer Alan Kişisel Veriler | Sunucularda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler için sistem yöneticisi tarafından ilgili kullanıcıların erişim yetkisi kaldırılarak silme işlemi yapılır. |
Elektronik Ortamda Yer Alan Kişisel Veriler | Elektronik ortamda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, veri tabanı yöneticisi hariç diğer çalışanlar (ilgili kullanıcılar) için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. |
Fiziksel Ortamda Yer Alan Kişisel Veriler | Fiziksel ortamda tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler için evrak arşivinden sorumlu birim yöneticisi hariç diğer çalışanlar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. Ayrıca, üzeri okunamayacak şekilde çizilerek/boyanarak/silinerek karartma işlemi de uygulanır. |
Taşınabilir Medyada Bulunan Kişisel Veriler | Flash tabanlı saklama ortamlarında tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler, sistem yöneticisi tarafından şifrelenerek ve erişim yetkisi sadece sistem yöneticisine verilerek şifreleme anahtarlarıyla güvenli ortamlarda saklanır. |
3.2.2. Kişisel Verilerin Yok Edilmesi
Şirketimiz tarafından kişisel veriler aşağıda belirtilen yöntemlerle yok edilebilir.
Veri Kayıt Ortamı | Açıklama |
Fiziksel Ortamda Yer Alan Kişisel Veriler | Kâğıt ortamında yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, kağıt kırpma makinelerinde geri döndürülemeyecek şekilde yok edilir. |
Optik Manyetik Medyada Yer Alan Kişisel Veriler | Optik medya ve manyetik medyada yer alan kişisel verilerden saklanmasını gerektiren süre sona erenlerin eritilmesi, yakılması veya toz haline getirilmesi gibi fiziksel olarak yok edilmesi işlemi uygulanır. Ayrıca, manyetik medya özel bir cihazdan geçirilerek yüksek değerde manyetik alana maruz bırakılması suretiyle üzerindeki veriler okunamaz hale getirilir. |
3.2.3. Kişisel Verilerin Anonim Hale Getirilmesi
Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir. Kişisel verilerin anonim hale getirilmiş olması için; kişisel verilerin, veri sorumlusu veya üçüncü kişiler tarafından geri döndürülmesi ve/veya verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekir.
Kurumumuz, hukuka uygun olarak işlenen kişisel verilerin işlenmesini gerektiren sebepler ortadan kalktığında kişisel verileri anonimleştirebilmektedir. KVK Kanunu‟nun 28. maddesine uygun olarak; anonim hale getirilmiş olan kişisel veriler araştırma, planlama ve istatistik gibi amaçlarla işlenebilir. Bu tür işlemeler KVK Kanunu kapsamı dışında olup, kişisel veri sahibinin açık rızası aranmayacaktır. Anonim hale getirilerek işlenen kişisel veriler KVK Kanunu kapsamı dışında olacağından kanunda düzenlenen haklar bu veriler için geçerli olmayacaktır. Anonimleştirme teknikleri;
3.3. SAKLAMA VE İMHA SÜRELERİ
3.3.1. Saklama Süreleri
SÜREÇ | SAKLAMA SÜRESİ | İMHA SÜRESİ |
İnsan Kaynakları Süreçlerinin Yönetilmesi | Faaliyetin Sona Ermesini Takiben 10 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Satın Alma ve Pazarlama Süreçlerinin Yönetilmesi | Faaliyetin Sona Ermesini Takiben 10 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Sözleşmelerin Hazırlanması | Sözleşmenin Sona Ermesini Takiben 10 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
İletişim Faaliyetlerinin İcrası | Faaliyetin Sona Ermesini Takiben 10 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Log Kayıt Takip Sistemleri | 10 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Donanım ve Yazılıma Erişim Süreçlerinin Yürütülmesi | 2 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Ziyaretçi | Faaliyetin Sona Ermesini Takiben 30 Gün | Faaliyetin Sona Ermesini Takiben 30 Gün |
Kamera Kayıtları | Faaliyetin Sona Ermesini Takiben 30 Gün | Faaliyetin Sona Ermesini Takiben 30 Gün |
İşe Giriş Muayane Formu(EK2) | Faaliyetin Sona Ermesini Takiben 30 Gün | Faaliyetin Sona Ermesini Takiben 30 Gün |
3.3.2. İmha Süreleri
Şirketimiz, Kanun, ilgili mevzuat, Kişisel Verilerin İşlenmesi ve Korunması Politikası ve işbu Kişisel Verileri Saklama ve İmha Politikası uyarınca sorumlu olduğu kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde, kişisel verileri siler, yok eder veya anonim hale getirir.
Kurumumuzla, ilgili kanunlarda ve mevzuatlarda öngörülmesi durumunda kişisel verileri bu mevzuatlarda belirtilen süre boyunca saklanmaktadır. Kişisel verilerin ne kadar süre boyunca saklanması gerektiğine ilişkin mevzuatta bir süre düzenlenmemişse, kişisel veriler kurumumuz o veriyi işlerken sunduğu hizmetlerle bağlı olarak kurumumuzun uygulamaları ve ticari yaşamının teamülleri uyarınca işlenmesini gerektiren süre kadar işlenmekte daha sonra silinmekte, yok edilmekte veya anonim hale getirilmektedir. Kişisel verilerin işlenme amacı sona ermiş; ilgili mevzuat ve kurumun belirlediği saklama sürelerinin de sonuna gelinmişse; kişisel veriler yalnızca olası hukuki uyuşmazlıklarda delil teşkil etmesi veya kişisel veriye bağlı ilgili hakkın ileri sürülebilmesi veya savunmanın tesis edilmesi amacıyla saklanabilmektedir. Buradaki sürelerin tesisinde bahsi geçen hakkın ileri sürülebilmesine yönelik zaman aşımı süreleri ile zaman aşımı sürelerinin geçmesine rağmen daha önce aynı konularda kurumumuza yöneltilen taleplerdeki örnekler esas alınarak saklama süreleri belirlenmektedir. Bu durumda saklanan kişisel verilere herhangi bir başka amaçla erişilmemekte ve ancak ilgili hukuki uyuşmazlıkta kullanılması gerektiği zaman ilgili kişisel verilere erişim sağlanmaktadır. Burada da bahsi geçen süre sona erdikten sonra kişisel veriler silinmekte, yok edilmekte veya anonim hale getirilmektedir.
3.4. PERİYODİK İMHA
Firmamız, Kişisel verileri mevzuatta öngörülen minimum süre kadar muhafaza etmektedir. Bu kapsamda, kurumumuz öncelikle ilgili mevzuatta kişisel verilerin saklanması için bir süre öngörülüp öngörülmediğini tespit etmekte, bir süre belirlenmişse bu süreye uygun davranmaktadır. Yasal bir süre mevcut değil ise kişisel veriler işlendikleri amaç için gerekli olan süre kadar saklanmaktadır. Kişisel veriler belirlenen saklama sürelerinin sonunda periyodik imha sürelerine veya veri sahibi başvurusuna uygun olarak ve belirlenen imha yöntemleri (silme ve/veya yok etme ve/veya anonimleştirme) ile imha edilmektedir. Kurumumuz, kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde, kişisel verileri siler, yok eder veya anonim hale getirir.
Kurumumuz, kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden üç ay içinde, kişisel verileri siler, yok eder veya anonim hale getirir.
Kurumumuz, ilgili kişi, Kanunun 11 inci ve 13 üncü maddelerine istinaden veri sorumlusuna başvurarak kendisine ait kişisel verilerin silinmesini veya yok edilmesini talep ettiğinde;
Kişisel verileri işleme şartlarının tamamı ortadan kalkmışsa; veri sorumlusu talebe konu kişisel verileri siler, yok eder veya anonim hale getirir. Veri sorumlusu, ilgili kişinin talebini en geç otuz gün içinde sonuçlandırır ve ilgili kişiye bilgi verir.
Kişisel verileri işleme şartlarının tamamı ortadan kalkmış ve talebe konu olan kişisel veriler üçüncü kişilere aktarılmışsa veri sorumlusu bu durumu üçüncü kişiye bildirir; üçüncü kişi nezdinde bu kanun ve yönetmelik kapsamında gerekli işlemlerin yapılmasını temin eder.
Kişisel verileri işleme şartlarının tamamı ortadan kalkmamışsa, bu talep veri sorumlusunca Kanunun 13 üncü maddesinin üçüncü fıkrası uyarınca gerekçesi açıklanarak reddedilebilir ve ret cevabı ilgili kişiye en geç otuz gün içinde yazılı olarak ya da elektronik ortamda bildirilir.
3.5. İMHA İŞLEMİNİN HUKUKA UYGUNLUĞUNUN DENETİMİ
Şirketimiz, gerek talep üzerine gerekse periyodik imha süreçlerinde resen gerçekleştirdiği imha işlemlerini Kanuna, sair mevzuata, Kişisel Verilerin İşlenmesi ve Korunması Politikasına ve işbu Kişisel Veri Saklama ve İmha Politikasına uygun olarak yapar. Şirketimiz, imha işlemlerinin bu düzenlemelere uygun olarak yapıldığını temin etmek amacıyla bir takım idari ve teknik tedbirler almaktadır.
3.5.1. Teknik Tedbirler
3.5.2. İdari Tedbirler
DÖRDÜNCÜ BÖLÜM
4.1. KİŞİSEL VERİ KOMİTESİ
Şirket bünyesinde bir Kişisel Veri Komitesi kurar. Kişisel Veri Komitesi, ilgili kişilerin verilerinin hukuka, Kişisel Verilerin İşlenmesi ve Korunması Politikasına ve Kişisel Veri Saklama ve İmha Politikasına uygun olarak saklanması ve işlenmesi için gerekli işlemleri yapmak/yaptırmak ve süreçleri denetlemekle yetkili ve görevlidir.
Kişisel Veri Komitesi bir yönetici, iki idari uzman ve iki teknik uzman olmak üzere beş kişiden oluşur.
Kişisel Veri Komitesinde görevli şirket çalışanlarının unvanları ve görev tanımları aşağıda belirtilmiştir:
UNVAN | GÖREV TANIMI |
Kişisel Veri Komitesi Yöneticisi | Kanuna uyumluluk sürecinde yürütülen projelerde her türlü planlama, analiz, araştırma, risk belirleme çalışmalarını yönlendirmek; Kanun, Kişisel Verilerin İşlenmesi ve Korunması Politikası ve Kişisel Veri Saklama ve İmha Politikası uyarınca yürütülmesi gereken süreçleri yönetmek ve ilgili kişilerce gelen talepleri karara bağlamakla yükümlüdür. |
KVK Uzmanı (Teknik, İdari) | İlgili kişilerin taleplerinin incelenmesi ve değerlendirilmek (Hukuk, Teknik ve İdari) üzere Kişisel Veri Komitesi Yöneticisine raporlanmasından; Kişisel Veri Komitesi Yöneticisi tarafından değerlendirilen ve karara bağlanan ilgili kişi taleplerine ilişkin işlemlerin Kişisel Veri Komitesi Yöneticisinin kararı uyarınca yerine getirilmesinden; saklama ve imha süreçlerinin denetiminin yapılmasından ve bu denetimlerin Kişisel Veri Komitesi Yöneticisine raporlanmasından; saklama ve imha süreçlerinin yürütülmesinden sorumludur. |
KVK VERİ KOMİTESİ
GENEL MÜDÜR | KİŞİSEL VERİ KOMİTESİ YÖNETİCİSİ |
GENEL MÜDÜR YARDIMCISI | KVK UZMANI ( TEKNİK, İDARİ) |
GENEL MÜDÜR YARDIMCISI | |
GENEL MÜDÜR YARDIMCISI | |
GENEL MÜDÜR YARDIMCISI |
4.2 KİŞİSEL VERİ İMHA KOMİSYONU
Şirket bünyesinde bir Kişisel Veri İmha Komisyonu kurar. Kişisel Veri İmha Komisyonu, ilgili kişilerin verilerinin hukuka, Kişisel Verilerin İşlenmesi ve Korunması Politikasına ve Kişisel Veri Saklama ve İmha Politikasına uygun olarak saklanması, silinmesi ve anonimleştirilmesi için gerekli işlemleri yapmak/yaptırmak yetkili ve görevlidir. İmha Komisyonu, kullanılmasına ve muhafazasına lüzum görülmeyen her türlü malzemenin imhası, ayıklama ve imha komisyonlarının nihai kararı ile yapılır.
Komisyon her bir birim için bir imha listesi ve imhanın yapıldığına dair imha tutanağı tutulur. İkişer nüsha olarak hazırlanan imha listeleri ve tutanakları, bunlarla ilgili yazışma ve onaylar, aidiyetleri göz önüne alınarak gruplandırılır. Bu nüshalardan birincisi birim, ikincisi şirket arşivinde muhafaza edilir. Listeler, denetime hazır vaziyette en az 3 yıl süre ile saklanır.
Kişisel Veri İmha Komisyonu bir başkan, 3 üye olmak üzere 4 kişiden oluşur.
Kişisel Veri İmha Komisyonu görevli şirket çalışanlarının unvanları ve görev tanımları aşağıda belirtilmiştir:
UNVAN | GÖREV TANIMI |
BAŞKAN | İmha işleminden sorumlu yetkili |
ÜYE | İmha işleminden sorumlu personel |
KİŞİSEL VERİ İMHA KOMİSYONU
GENEL MÜDÜR YARDIMCISI | BAŞKAN |
MUHASEBE UZMANI | ÜYE |
SAĞLIK MÜDÜRÜ | |
MALİ MÜŞAVİR |
BEŞİNCİ BÖLÜM
POLİTİKA’NIN YAYINLANMASI VE SAKLANMASI
Politika, Mesul Müdür tarafından onaylandıktan sonra kurumun web sayfasından yayınlanır. Eşzamanlı olarak internet ortamında tüm Bölüm/Birimlerle paylaşılır. Politikanın yürürlükten kaldırılmasına karar verilmesi halinde, Politika‟nın ıslak imzalı eski nüshaları Mesul Müdürü tarafından iptal edilerek (iptal kaşesi vurularak) imzalanır ve kurum arşivinde saklanır.
5.1 GÜNCELLEME VE UYUM
Şirketimiz, Kanunda yapılan değişiklikler nedeniyle, Kurum kararları uyarınca ya da sektördeki ya da bilişim alanındaki gelişmeler doğrultusunda Kişisel Verilerin İşlenmesi ve Korunması Politikasında ya da işbu Kişisel Veri Saklama ve İmha Politikasında değişiklik yapma hakkını saklı tutar.
İşbu Kişisel Veri Saklama ve İmha Politikasında yapılan değişiklikler derhal metne işlenir ve değişikliklere ilişkin açıklamalar politikanın sonunda açıklanır.
KVKK ve ilgili diğer mevzuat hükümleri ile işbu Politika arasında uyumsuzluk olması halinde, öncelikle KVKK ve ilgili diğer mevzuat hükümleri uygulanacaktır.
5.2 POLİTİKA’NIN GÜNCELLENME PERİYODU
Politika, ihtiyaç duyuldukça gözden geçirilir ve gerekli olan bölümler güncellenir.
5.3 POLİTİKANIN YÜRÜRLÜĞÜ
İşbu Politika onaylandığı tarih (29/03/2021) itibari ile yürürlüğe girer. Yürürlüğe giren politika; başta kanun olmak üzere ve yürürlükteki mevzuat ile bu politika‟da yer verilen düzenlemelerin çelişmesi halinde mevzuat hükümleri uygulanır. Firmamız, yasal düzenlemelere paralel olarak Politika‟da değişiklik yapma hakkını saklı tutar. Politika‟nın güncel haline firmamız (https://hekimbey.com.tr/) web sitesinden erişilebilirsiniz.
5.4 YÜRÜTME
İşbu Politika‟nın yürütülmesinden veri sorumlusu ve veri sorumlusunun yükümlülüklerini yerine getirmekle yükümlü olan firmamız yönetim kurulunun KVK Kanunu ve Veri Koruma Kurulu düzenlemeleri kapsamındaki tüm iş ve işlemlerin takibinden ve koordinasyonundan sorumlu olmak üzere tüm Bölüm/Birimler Sorumluları sorumludur.
5.5 POLİTİKA ONAY SAYFASI
Firmamız, 6698 Sayılı Kişisel Verilerin Korunması Kanunu gereğince hazırlanan “Kişisel Verilerin İşlenmesi, Korunması ve Politikası” tarafımızca incelenerek ve kurumun web sayfası ve intranet ortamında yayınlanması uygun görülmüştür.
HEKİMBEY İŞ SAĞLIĞI VE GÜVENLİĞİ LTD. ŞTİ. KİŞİSEL VERİLERİN İŞLENMESİ,KORUNMASI VE GİZLİLİK POLİTİKASI
BİRİNCİ BÖLÜM
1.GİRİŞ
1.1. Giriş
HEKİMBEY İş Sağlığı ve Güvenliği LTD. ŞTİ. (“Şirket”) olarak 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK” veya “Kanun”) uyarınca, ticari faaliyetlerimizi yerine getirirken herhangi bir şekilde temas ettiğimiz tüm gerçek kişilere ait kişisel verilerin hukuka uygun olarak işlenmesi ve korunmasına azami önem veriyor ve tüm planlama ve faaliyetlerimizde bu özenle hareket ediyoruz. Bu bilinçle, gerek Kanun’un 10. maddesi kapsamında aydınlatma yükümlülüğünü yerine getirmek gerekse kişisel verilerin işlenmesi ve korunması kapsamında aldığımız tüm idari ve teknik tedbirleri bildirmek adına, işbu Kişisel Verilerin İşlenmesi, Korunması ve Gizlilik Politikası’nı (“Politika”) sizlerin bilgisine sunmaktayız.
1.2. Politikanın Amacı
İşbu Politika’nın temel amacı, hukuka ve Kanun’un amacına uygun olarak kişisel verilerin işlenmesi ve korunmasına yönelik sistemler konusunda açıklamalarda bulunmak, bu kapsamda Şirket iç ve dış paydaşları, Şirket yetkilileri, şirket iş ortakları, tedarikçiler, danışmanlarımız, çalışanlarımız ve çalışan adaylarımız, ziyaretçilerimiz, müşterilerimiz, potansiyel müşteriler ve üçüncü kişiler, resmi kurumlar, bankalar, bağımsız denetim kuruluşları başta olmak üzere kişisel verileri Şirketimiz tarafından işlenen kişileri bilgilendirmektir. Bu şekilde Şirketimiz tarafından gerçekleştirilen kişisel verilerin işlenmesi ve korunması faaliyetlerinde mevzuata tam uyumun sağlanması ve kişisel veri sahiplerinin kişisel verilere dair mevzuattan kaynaklanan tüm haklarının korunması hedeflenmektedir.
1.3. Politikanın Kapsamı ve Kişisel Veri Sahipleri
Bu Politika; otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla, Şirket iç ve dış paydaşları, Şirket yetkilileri, Şirket iş ortakları, tedarikçiler, danışmanlarımız, çalışanlarımız ve çalışan adaylarımız, ziyaretçilerimiz, müşterilerimiz, potansiyel müşteriler ve üçüncü kişiler, resmi kurumlar, bankalar, bağımsız denetim kuruluşları başta olmak üzere kişisel verileri Şirketimiz tarafından işlenen kişiler için hazırlanmıştır ve bu belirtilen kişiler kapsamında uygulanacaktır.
Şirketimiz bu Politikayı internet sitesinde yayımlamak suretiyle bahse konu Kişisel Veri Sahipleri’ni Kanun hakkında bilgilendirmektedir. Verinin aşağıda belirtilen kapsamda “Kişisel Veri” kapsamında yer almaması veya Şirketimiz tarafından gerçekleştirilen Kişisel Veri işleme faaliyetinin yukarıda belirtilen yollarla olmaması halinde de işbu Politika uygulanmayacaktır.
1.4. Tanımlar
İşbu Politika’da yer verilen kavramlar aşağıda belirtilen anlamları ifade eder:
Şirket/Şirketimiz | HEKİMBEY İŞ SAĞLIĞI GÜVENLİĞİ LTD. ŞTİ. dir. |
Kişisel Veri/Veriler | Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgidir. |
Özel Nitelikteki Kişisel Veri/Veriler | Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık kıyafet, dernek vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir. |
Kişisel Verilerin İşlenmesi | Kişisel Verilerin tamamen veya kısmen otomatik olan yada herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılmasıya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemdir. |
Kayıt Ortamı | Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortamdır. |
Veri Sahibi/İlgili Kişi | Şirket iç ve dış paydaşları, Şirket yetkilileri, şirket işortakları, tedarikçiler, danışmanlarımız, çalışanlarımız ve çalışan adaylarımız, ziyaretçilerimiz, müşterilerimiz, potansiyel müşteriler ve üçüncü kişiler, resmi kurumlar, bankalar, bağımsız denetim kuruluşları gibi kişisel verisi şirket tarafından işlenen gerçek kişileri ifade eder. |
Veri Kayıt Sistemi | Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini ifade eder. |
Veri Sorumlusu | Kişisel verilerin işleme amaçlarını ve yöntemlerini belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan tüzel kişidir. |
Veri İşleyen | Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel veri işleyen gerçek ve tüzel kişidir. |
İlgili Kullanıcı | Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişilerdir. |
Açık Rıza | Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızadır. |
İmha | Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesidir. |
Anonim Hale Getirme | Daha öncesinde bir kişiyle ilişkilendirilmiş olan verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir. |
Kişisel Verilerin Silinmesi | Kişisel verilerin İlgili Kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesidir. |
Kişisel Verilerin Yok Edilmesi | Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. |
Periyodik İmha | Kanun’da yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla re’sen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemidir. |
Kanun/KVKK | 6698 sayılı Kişisel Verilerin Korunması Kanunu’nu ifadeeder. |
Yönetmelik | 28 Ekim 2017 tarihinde Resmi Gazete’de yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik’dir |
KVKK Kurulu | Kişisel Verileri Koruma Kurulu’dur |
1.5. Politikanın Yürürlüğü
Şirket tarafından düzenlenerek 29/03/2021 tarihinde yürürlüğe giren işbu Politika, Şirket’in internet sitesinde (https://hekimbey.com.tr/) yayımlanır ve İlgili Kişinin talebi üzerine ilgili kişilerin erişimine sunulur.
İKİNCİ BÖLÜM
2.KİŞİSEL VERİLERİN İŞLENMESİ VE AKTARILMASI
2.1. Kişisel Verilerin İşlenmesinde Genel İlkeler
Şirket tarafından Kişisel Veriler, KVKK ve ilgili diğer kanunlarda ve bu Politikada öngörülen usul ve esaslara uygun olarak işlenmektedir. Bu çerçevede Şirket, Kişisel Verileri işlerken aşağıdaki ilkelerle hareket etmektedir:
Bu çerçevede Şirket, yalnızca açık ve kesin olarak belirlenen meşru amaçlarla kişisel veri işlemekte olup, bu amaçlar dışında veri işleme faaliyetinde bulunmamaktadır. Bu kapsamda, Şirket yalnızca ilgili kişiler ile kurulan iş ilişkisi ile bağlantılı olarak ve bunlar açısından gerekli olması halinde kişisel veri işlemektedir.
2.2. Kişisel Verilerin İşlenme Şartları
Kanun'da sayılan istisnalar dışında Şirket, Kişisel Verileri ilgili kişinin açık rızası olmaksızın işlememektedir. Ancak aşağıdaki şartlardan birinin varlığı hâlinde ise, ilgili kişinin açık rızası olmasa dahi, Kişisel Veriler işlenebilecektir.
2.3. Özel Nitelikli Kişisel Verilerin İşlenme Şartları
Şirket, Özel Nitelikli Kişisel Verileri, ilgilinin açık rızası olmaksızın işlememektedir. Ancak sağlık ve cinsel hayat dışındaki Kişisel Veriler, kanunlarda öngörülen hallerde ilgili kişinin açık rıza aranmaksızın işlenebilecektir. Sağlık ve cinsel hayata ilişkin Kişisel Veriler, Şirket tarafından ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbı teşhis ve tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunduğumuz koşullarda ilgili kişinin açık rızası aranmaksızın işlenir. Şirket Özel Nitelikteki Kişisel Veriler’in işlenmesinde Kurul tarafından belirlenen yeterli önlemlerin alınması konusunda gerekli işlemleri yürütmektedir.
2.4. Kişisel Verilerin Aktarılma Şartları
Şirketimiz Kişisel Verileri işleme amaçları doğrultusunda gerekli gizlilik koşullarını oluşturarak ve güvenlik önlemlerini alarak İlgili Kişilerin Kişisel Verilerini ve Özel Nitelikli Kişisel Verileri üçüncü kişilere Kanuna uygun olarak aktarabilir. Şirketimiz Kişisel Verilerin aktarılması sırasında Kanunda öngörülen düzenlemelere uygun hareket etmektedir. Bu kapsamda Şirketimiz meşru ve hukuka uygun Kişisel Veri işleme amaçları doğrultusunda aşağıda sayılan, Kanun’un 5. maddesinde belirtilen Kişisel Veri işleme şartlarından bir veya birkaçına dayalı ve sınırlı olarak
Kişisel Verileri üçüncü kişilere:
2.4.1. Kişisel Verilerin Yurt Dışına Aktarılma Şartları
Şirketimiz Kişisel Veri işleme amaçları doğrultusunda gerekli güvenlik önlemleri alarak İlgili Kişilerin Kişisel Verilerini ve Özel Nitelikli Kişisel Verilerini yurt dışındaki üçüncü kişilere aktarabilir. Şirketimiz tarafından Kişisel Veriler; KVK Kurulu tarafından yeterli korumaya sahip olduğu ilan edilen yabancı ülkelere veya yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt ettiği ve KVK Kurulu’nun izninin bulunduğu yabancı ülkelere aktarılabilir.
2.5. Özel Nitelikli Kişisel Verilerin Aktarılma Şartları
Şirket, gerekli özeni göstererek, gerekli güvenlik tedbirlerini alarak ve KVK Kurulu tarafından öngörülen yeterli önlemleri alarak; meşru ve hukuka uygun Kişisel Veri işleme amaçları doğrultusunda İlgili Kişi’nin Özel Nitelikli Kişisel Verilerini aşağıdaki durumlarda üçüncü kişilere aktarabilmektedir.
2.5.1. Özel Nitelikli Kişisel Verilerin Yurt Dışına Aktarılması
Şirket, gerekli özeni göstererek, gerekli güvenlik tedbirlerini alarak ve KVK Kurulu tarafından öngörülen yeterli önlemleri alarak; meşru ve hukuka uygun Kişisel Veri işleme amaçları doğrultusunda İlgili Kişi’nin Özel Nitelikli Kişisel Verilerini aşağıdaki durumlarda yeterli korumaya sahip veya yeterli korumayı taahhüt eden veri sorumlusunun bulunduğu yabancı ülkelere aktarabilmektedir.
ÜÇÜNCÜ BÖLÜM
3.KİŞİSEL VERİLERİN İŞLENME VE AKTARILMA AMAÇLARI, AKTARILACAĞI KİŞİLER
3.1. Kişisel Verilerin İşlenme ve Aktarılma Amaçları
Kişisel Veriler; hukuka ve Kanun’un amacına uygun olarak Şirket’in,
3.2. Kişisel Verilerin Aktarılacağı Kişiler
Kişisel Veriler, tarafınıza sunulan hizmetlerin tam ve kusursuz olmasını temin edebilmek amacıyla ve yalnızca hizmetin niteliğiyle uygun düştüğü ölçüde iş ve çözüm ortaklarımız, bankalar, teknik, lojistik ve benzeri diğer işlemleri bizim adımıza gerçekleştiren üçüncü kişilerle paylaşılabilmektedir. Bu üçüncü kişiler ilgili hizmetlerin tam ve kusursuz temin edilebilmesi için ilgili bilgilere ulaşması zorunlu olan kişilerden ibarettir.
Bunların haricinde hizmetin tam ve kusursuz olarak verilebilmesi için başkaca üçüncü kişilerle verilerin paylaşılmak zorunda kalınması, Şirket’in hukuki yükümlülüklerini yerine getirebilmesi için zorunlu olması, kanunlarda açıkça öngörülmüş olması yahut yasalara uygun olarak verilmiş olan bir adli/idari emir bulunması gibi hallerde de Kişisel Verileriniz -yalnızca ilgili kişi ya da kurumla sınırlı olmak üzere- aktarılabilecektir.
Kişisel Verilerin bir kısmı, reklamların hedef kitleye uyarlanabilmesini sağlamak amacıyla, yalnızca diğer kullanıcılara ait bilgilerle birlikte ve/veya toplu olarak reklam verenlerle paylaşılabilir.
Anonimleştirilmiş verilerin paylaşılması durumunda ise, siz ziyaretçilerimiz/müşterilerimizle eşleştirilemeyecek bilgiler olup, kimlik bilgilerinizi içermez ya da kimliğinizi belirlenebilir kılmaz. Anonimleştirilmiş verilerde gizliliğiniz güvence altındadır.
DÖRDÜNCÜ BÖLÜM
4.KİŞİSEL VERİLERİN KORUNMASI DAİR HUSUSLAR
Şirket, Kanun’un 12. maddesine uygun olarak, işlemekte olduğu Kişisel Veriler’in hukuka aykırı olarak işlenmesini önlemek, verilere hukuka aykırı olarak erişilmesini önlemek ve verilerin muhafazasını sağlamak için uygun güvenlik düzeyini sağlamaya yönelik gerekli teknik ve idari tedbirleri almakta, bu kapsamda gerekli denetimleri yapmakta veya yaptırmaktadır.
4.1. Kişisel Verilerin Güvenliğinin Sağlanması
4.1.1. Kişisel Verilerin Hukuka Uygun İşlenmesini Sağlamak için Alınan Teknik ve İdari Tedbirler
Şirket, Kişisel Veriler’in hukuka uygun işlenmesini sağlamak için, teknolojik imkânlar ve uygulama maliyetine göre teknik ve idari tedbirler almaktadır.
Kişisel Verilerin Hukuka Uygun İşlenmesini Sağlamak için Alınan Teknik Tedbirler
Şirket tarafından Kişisel Veriler’in hukuka uygun işlenmesini sağlamak için alınan başlıca teknik tedbirler aşağıda sıralanmaktadır:
Kişisel Verilerin Hukuka Uygun İşlenmesini Sağlamak için Alınan İdari Tedbirler
Şirket tarafından Kişisel Veriler’in hukuka uygun işlenmesini sağlamak için alınan başlıca idari tedbirler aşağıda sıralanmaktadır:
4.1.2. Kişisel Verilerin Hukuka Aykırı Erişimini Engellemek için Alınan Teknik ve İdari Tedbirler
Şirket, Kişisel Veriler’in tedbirsizlikle veya yetkisiz olarak açıklanmasını, erişimini, aktarılmasını veya başka şekillerdeki tüm hukuka aykırı erişimi önlemek için korunacak verinin niteliği, teknolojik imkânlar ve uygulama maliyetine göre teknik ve idari tedbirler almaktadır.
Kişisel Verilerin Hukuka Aykırı Erişimini Engellemek için Alınan Teknik Tedbirler
Şirket tarafından Kişisel Veriler’in hukuka aykırı erişimini engellemek için alınan başlıca teknik tedbirler aşağıda sıralanmaktadır:
Kişisel Verilerin Hukuka Aykırı Erişimini Engellemek için Alınan İdari Tedbirler
Şirket tarafından Kişisel Veriler’in hukuka aykırı erişimini engellemek için alınan başlıca idari tedbirler aşağıda sıralanmaktadır:
4.1.3. Kişisel Verilerin Güvenli Ortamlarda Saklanması
Şirket, Kişisel Veriler’in güvenli ortamlarda saklanması ve hukuka aykırı amaçlarla yok edilmesini, kaybolmasını veya değiştirilmesini önlemek için teknolojik imkânlar ve uygulama maliyetine göre gerekli teknik ve idari tedbirleri almaktadır.
KVKK’nın 12(1). Maddesinde öngörülen tedbirler şunlardır:
Şirket’in bu kapsamda aldığı önlemler aşağıda sayılmıştır:
Kişisel Verilerin Güvenli Ortamlarda Saklanması için Alınan Teknik Tedbirler
Şirket tarafından Kişisel Veriler’in güvenli ortamlarda saklanması için alınan başlıca teknik tedbirler aşağıda sıralanmaktadır:
Kişisel Verilerin Güvenli Ortamlarda Saklanması için Alınan İdari Tedbirler
Şirket tarafından Kişisel Veriler’in güvenli ortamlarda saklanması için alınan başlıca idari tedbirler aşağıda sıralanmaktadır:
4.1.4. Kişisel Verilerin Korunması Konusunda Alınan Tedbirlerin Denetimi
Şirket, Kanun’un 12. maddesine uygun olarak, kendi bünyesinde gerekli denetimleri yapmakta veya yaptırmaktadır. Bu denetim sonuçları Şirket’in iç işleyişi kapsamında konu ile ilgili bölüme raporlanmakta ve alınan tedbirlerin iyileştirilmesi için gerekli faaliyetler yürütülmektedir.
4.1.5. Kişisel Verilerin Yetkisiz Bir Şekilde İfşası Durumunda Alınacak Tedbirler
Şirket, Kanun’un 12. maddesine uygun olarak işlenen Kişisel Veriler’in kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde bu durumu en kısa sürede ilgili İlgili Kişi’ne ve KVK Kurulu’na bildirilmesini sağlayan sistemi yürütmektedir. KVK Kurulu tarafından gerek görülmesi halinde, bu durum, KVK Kurulu’nun internet sitesinde veya başka bir yöntemle ilan edilebilecektir.
4.2. İlgili Kişilerin Yasal Haklarının Gözetilmesi
Şirket, İlgili Kişilerin Politika ve Kanun’un uygulanması ile tüm yasal haklarını gözetir ve bu haklarının korunması için gerekli tüm önlemleri alır. İlgili Kişilerin hakları ile ilgili ayrıntılı bilgiye işbu Politika’nın altıncı bölümünde yer verilmiştir.
4.3. Özel Nitelikli Kişisel Verilerin Korunması
Kanun birtakım Kişisel Veri’lere, hukuka aykırı olarak işlendiğinde kişilerin mağduriyetine ve/veya ayrımcılığa sebep olma riski nedeniyle özel önem atfetmiştir. Bu veriler; ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir. Kanun ile “özel nitelikli” olarak belirlenen ve hukuka uygun olarak işlenen özel nitelikli Kişisel Veriler’in korunmasına Şirket tarafından azami hassasiyet gösterilmektedir. Bu kapsamda, Şirket tarafından, kişisel verilerin korunması için alınan teknik ve idari tedbirler, Özel Nitelikli Kişisel Veriler bakımından da azami özenle uygulanmakta ve bu konuda Şirket bünyesinde gerekli denetimler sağlanmaktadır.
BEŞİNCİ BÖLÜM
5.KİŞİSEL VERİ SAHİBİNİN HAKLARI, HAKLARIN KULLANILMASI VE DEĞERLENDİRİLMESİ
5.1. İlgili Kişinin Aydınlatılması
Şirket, Kanun’un 10. maddesine uygun olarak, Kişisel Veriler’in elde edilmesi sırasında İlgili Kişileri aydınlatmaktadır. Bu kapsamda varsa, Şirket temsilcisinin kimliği, Kişisel Veriler’in hangi amaçla işleneceği, işlenen Kişisel Veriler’in kimlere ve hangi amaçla aktarılabileceği, Kişisel Veri toplamanın yöntemi ve hukuki sebebi ile İlgili Kişi’nin sahip olduğu hakları konusunda aydınlatma yapmaktadır.
5.2. İlgili Kişi’nin KVK Kanunu Uyarınca Hakları
Şirket, Kanun’un 10.maddesi uyarınca size haklarınızı bildirmekte; söz konusu hakların nasıl kullanılacağına dair yol göstermekte ve tüm bunlar için gerekli iç işleyişi, idari ve teknik düzenlemeleri gerçekleştirmektedir. Şirket, Kanun’un 11.maddesi uyarınca Kişisel Veriler’i alınan kişilere;
5.3. İlgili Kişi’nin Haklarını İleri Süremeyeceği Haller
Kanun’un 28. maddesi gereğince aşağıdaki haller Kanun kapsamı dışında tutulduğundan, İlgili Kişiler aşağıdaki hallerde, işbu Politika’nın (5.2.) maddesinde sayılan haklarını ileri süremezler:
Kanun’un 28/2 maddesi gereğince; aşağıda sıralanan hallerde İlgili Kişiler zararın giderilmesini talep etme hakkı hariç, işbu Politika’nın (5.2.) maddesinde sayılan haklarını ileri süremezler:
5.4. İlgili Kişi’nin Haklarını Kullanması
KVK Kanunu’nun 13. maddesinin 1. fıkrası gereğince, İlgili Kişiler işbu Politika’nın (5.2.) maddesinde sayılan haklarına ilişkin taleplerini, yazılı veya Kişisel Verileri Koruma Kurulu’nun belirlediği diğer yöntemlerle Şirket’e iletebilirler. Bu çerçevede Şirket’e KVK Kanunu’nun 11. maddesi kapsamında yapılan başvurularda yazılı olarak başvurunun iletileceği kanallar ve usuller aşağıda açıklanmaktadır. İlgili Kişi, aşağıda belirtilen yöntemlerle veya KVK Kurulu’nun belirlediği diğer yöntemlerle https://hekimbey.com.tr/bağlantısından ulaşabileceğiniz Başvuru Formu’nu doldurup imzalayarak Şirket’e ücretsiz olarak iletebileceklerdir:
İlgili Kişiler olarak, kimliklerini tespit edici gerekli bilgi ve belgeler (nüfus cüzdanı kopyası vb.) ile KVK Kanunu’nun 11. maddesinde belirtilen haklardan kullanması talep edilen hakka yönelik açıklamalarını içeren talep;
İlettiğiniz bilgi ve belgelerin yanlış olması veya yetkisiz başvuru yapılması halinde Şirket’in başvuruyu reddetme hakkı saklıdır.
İlgili Kişiler adına üçüncü kişilerin başvuru talebinde bulunabilmesi için İlgili Kişi tarafından başvuruda bulunacak kişi adına noter kanalıyla düzenlenmiş özel vekâletname bulunmalıdır.
5.5. Şirket’in Başvurulara Cevap Verme Usulü ve Süresi
Şirket, başvuruda yer alan talepleri, talebin niteliğine göre en geç otuz gün içinde olmak üzere en kısa sürede ücretsiz olarak sonuçlandırır. Ancak söz konusu işlemin ayrıca bir maliyeti gerektirmesi hâlinde, KVK Kurul’u tarafından belirlenen tarifedeki ücret alınabilir. Şirket, talebi kabul edebileceği gibi gerekçesini açıklayarak reddedebilir; cevabını yazılı olarak veya elektronik ortamda bildirir. Başvuruda yer alan talebin kabul edilmesi hâlinde Şirket, talebin gereğini yerine getirir.
5.6. İlgili Kişinin KVK Kurulu’na Şikâyette Bulunma Hakkı
Başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hâllerinde; İlgili Kişi, cevabı öğrendiği tarihten itibaren otuz ve herhâlde başvuru tarihinden itibaren altmış gün içinde KVK Kurulu’na şikâyette bulunma hakkına sahiptir.
ALTINCI BÖLÜM
6.GÖRÜNTÜ KAYITLARININ İŞLENMESİ
Şirket tarafından, Şirket tesis ve işletmelerinin genel ve ticari güvenliğinin temin edebilmesi amacıyla, KVKK’da öngörülen ve işbu Politika’da yer verilen temel ilkelere uygun olarak ziyaretçilerin, çalışanların ve diğer ilgili kişilerin görüntü kaydı alınmakta ve bu kayıtlar işlenme amaçlarına uygun süre (30 gün) zarfında fiziksel veya elektronik ortamda güvenli bir şekilde saklanmaktadır.
Görüntü kaydı alınan yerlerde, İlgili Kişilerin bilgilendirilmesi amacıyla, görüntü kaydı alındığına dair uyarı görünür bir biçimde yer almaktadır. Söz konusu faaliyetler kapsamında Şirketimiz tarafından kişisel verilerin korunmasına ilişkin olarak KVKK başta olmak üzere ilgili tüm mevzuatta öngörülen yükümlülüklere uygun hareket edilmektedir. Mahremiyetin yüksek olduğu yerlerde ise görüntüleme yapılmamaktadır.
YEDİNCİ BÖLÜM
7.ŞİRKET’İN KİŞİSEL VERİLERİN İŞLENMESİ VE KORUNMASI POLİTİKASI UYARINCA YÖNETİM YAPISI
Şirket bünyesinde işbu Politika ve bu Politika’ya bağlı ve ilişkili diğer politikaları yönetmek üzere Şirket üst yönetiminin kararı gereğince Kişisel Veri Komitesi oluşturulmuştur. Kişisel Veri Komitesi, İlgili Kişilerin verilerinin hukuka, işbu Politika ve bu Politika’ya bağlı ve ilişkili diğer politikalara uygun olarak saklanması ve işlenmesi için gerekli işlemleri yapmakla yetkili ve görevlidir.
SEKİZİNCİ BÖLÜM
8.DİĞER HUSUSLAR
8.1. Güncelleme ve Uyum
KVKK ve ilgili diğer mevzuat hükümleri ile işbu Politika arasında uyumsuzluk olması halinde, öncelikle KVKK ve ilgili diğer mevzuat hükümleri uygulanacaktır.
Şirket, Kanun’da yapılan değişiklikler nedeniyle, KVK Kurulu kararları uyarınca ya da sektördeki ya da bilişim alanındaki gelişmeler doğrultusunda işbu Politika ve bu Politika’ya bağlı ve ilişkili diğer politikalarda değişiklik yapma hakkını saklı tutar.
İşbu Politika’da yapılan değişiklikler derhal metne işlenir ve değişikliklere ilişkin açıklamalar Politika’nın sonunda açıklanır.
8.2. Değişiklikler
Kişisel Verilerin İşlenmesi ve Korunması Politikasında değişiklik olmamıştır.
8.3. Yürürlük
Şirket tarafından hazırlanan işbu Politika 29/03/2021 tarihinde yürürlüğe girmiştir.
8.4. Dağıtım
Politika, Şirket internet sitesinde yayınlanarak, üçüncü taraflara ve Şirket çalışanlarına duyurulur.
ÖZEL NİTELİKLİ KİŞİSEL VERİ İŞLEME PROSEDÜRÜ
1.Amaç
HEKİMBEY İŞ SAĞLIĞI VE GÜVENLİĞİ LTD. ŞTİ. (“Şirket”)’de kurumsal bilgilerin ve kişisel verilerin gizlilik, bütünlük ve erişilebilirlik unsurları açısından korunmasını sağlamak, Şirket tarafından Özel Nitelikli Kişisel Verilerin işlenmesine, korunmasına yönelik yöntem ve süreçlere ilişkin esasları belirlemektir.
2.Kapsam
Şirket’de ki tüm bilgi varlıkları ve Özel Nitelikli Kişisel Veri’ler bu prosedür kapsamındadır.
3.Tanımlar
Açık Rıza | Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızadır. |
İlgili Kullanıcı | Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişilerdir. |
Kişisel Veri/Veriler | Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgidir. |
Özel Nitelikteki Kişisel Veri/Veriler | Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık kıyafet, dernek vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir. |
Kişisel Verilerin İşlenmesi | Kişisel Verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemdir. |
Doğrudan Tanımlayıcılar | Tek başlarına, ilişki içinde oldukları kişiyi doğrudan açığa çıkaran, ifşa eden ve ayırt edilebilir kılan tanımlayıcılarıdır. |
Dolaylı Tanımlayıcılar | Diğer tanımlayıcılar ile bir araya gelerek ilişki içinde oldukları kişiyi açığa çıkaran, ifşa eden ve ayırt edilebilir kılan tanımlayıcılarıdır. |
Kişisel Veri Sahibi/İlgili Kişi | Şirket iç ve dış paydaşları, Şirket yetkilileri, şirket iş ortakları, tedarikçiler, danışmanlarımız, çalışanlarımız ve çalışan adaylarımız, ziyaretçilerimiz, müşterilerimiz, potansiyel müşteriler ve üçüncü kişiler, resmi kurumlar, bankalar, bağımsız denetim kuruluşları gibi kişisel verisi şirket tarafından işlenen gerçek kişileri ifade eder. |
Veri Sorumlusu | Kişisel verilerin işleme amaçlarını ve yöntemlerini belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan tüzel kişidir. |
Veri İşleyen | Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel veri işleyen gerçek ve tüzel kişidir. |
Kanun | 6698 sayılı Kişisel Verilerin Korunması Kanunu’nu ifade eder. |
Yönetmelik | 28 Ekim 2017 tarihinde Resmi Gazete’de yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmeliktir. |
KVK Kurulu | Kişisel Verileri Koruma Kurulu’dur. |
Kayıt Ortamı | Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortamdır. |
Veri Kayıt Sistemi | Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini ifade eder. |
İmha | Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesidir. |
Anonim Hale Getirme | Daha öncesinde bir kişiyle ilişkilendirilmiş olan verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir. |
Kişisel Verilerin Silinmesi | Kişisel verilerin silinmesi; kişisel verilerin İlgili Kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesidir. |
Kişisel Verilerin Yok Edilmesi | Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. |
Periyodik İmha | Kanun’da yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla re’sen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemidir. |
4.Sorumlular
Bu prosedürün hazırlanmasından IK ve Veri Sorumlusu, uygulanmasından tüm departmanlar, onaylanmasından ilgili birim yöneticileri sorumludur.
5.Uygulama
İşbu politika, Şirket’in işlemekte olduğu Özel Nitelikli Kişisel Verilere yönelik tüm faaliyetleri kapsar ve söz konusu faaliyetlere uygulanır.
Özel Nitelikli Kişisel Veri niteliği taşıyan verilerin korunmasını ve kurumsal bilgilerin güvenliğini her zaman en üst düzeyde sağlar.
6698 Sayılı Kişisel Verileri Koruma Kanunu başta olmak üzere, ilgili tüm yasa, yönetmelikler ve mevzuatların yanı sıra uluslararası standarda uygun bir şekilde çalışır.
Çalışanlarımızın, tedarikçilerimizin, iş ortaklarımızın, çevrenin ve toplumun sürekli memnuniyetini dengeli biçimde sağlamak için onlarla iş birliği içerisinde olup, başta 6698 Sayılı Kişisel Verileri Koruma Kanunu’nun gerekliliklerini ve diğer var olan yasal gereklilikleri karşılamaya özen gözetir.
Bilgi güvenliği amaç ve hedeflerini, ihtiyaç ve beklentilerini karşılayarak Özel Nitelikli Kişisel Veriler’in korunması bakımından bilgi güvenliğini her zaman en üst düzeyde sağlar.
Kurumun veri koruma kurulu tarafından belirlenmiş yöntem ile düzenli aralıklarla kurumun ilgili çalışanlarına kurumda işlenen Özel Nitelikli Kişisel Veriler hakkında farkındalık eğitimleri verilir.
Özel Nitelikli Kişisel Veriler’in işlenme şartı 6698 Sayılı Kişisel Verileri Koruma Kanunu’nda aşağıdaki şekilde tarif edilmiştir;
Özel Nitelikli Kişisel Verilerin İşlenme Şartları
MADDE 6-
(1) Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri Özel Nitelikli Kişisel Veridir.
(2)Özel Nitelikli Kişisel Verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır.
(3) Birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.
(4) Özel Nitelikli Kişisel Verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır.
İlgili Madde aşağıdaki şekilde açıklanabilir.
Madde 6 | Varsa | Yoksa |
Irk Etnik Köken | Açık rıza aranmaz. | Açık rıza şart |
Siyasi Düşünce Felsefi İnancı Dini Mezhebi Diğer İnançları |
Açık rıza aranmaz. | Açık rıza şart |
Kılık Kıyafet | Açık rıza aranmaz. | Açık rıza şart |
Üyelikler Dernek Vakıf Sendika |
Açık rıza aranmaz. | Açık rıza şart |
Sağlık Ve Cinsel Hayat | Kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanmas ve yönetimi amacıyla sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenmesi halinde açık rıza aranmaz. | Açık rıza şart |
Ceza Mahkûmiyeti Ve Güvenlik Tedbirleri | Açık rıza aranmaz | Açık rıza şart |
Biyometrik Ve Genetik Veriler | Açık rıza aranmaz | Açık rıza şart |
Özel Nitelikli Kişisel Veriler, kişisel veri envanteri esas alınarak hangi süreçlerde, hangi departmanlar tarafından ve işleme amaçlarına göre tasnif edilerek erişim hakları tanımlı çalışanlarca işlenmesini esas alır. Özel Nitelikli Kişisel Veriler dâhil her türlü verinin işlenmesinde gerekli idari ve teknik tedbirler alınır.
Saklama sürelerine uyularak süre sonunda imha prosedüründe belirtilen esaslar dâhilinde imha edilir. Bu hususların dışında kalan her türlü uygulama veri ihlali kapsamında değerlendirilir.
Fiziksel olarak işlenen (toplanan, üzerinde işlem yapılarak yeniden düzenlenen, saklanan, gönderilen) tüm Özel Nitelikli Kişisel Veriler ve veri setleri sadece tanımlanmış kişilerce işlenir. Örneğin; Çalışan sağlık bilgileri sadece iş yeri hekimi ve diğer sağlık görevlisi tarafından işlenir. İşleme koşulları için gerekli tedbirler alınır. Örneğin; kilitli ve erişimi güç dolaplarda saklanır.
Bu verilerin transferi sırasında verinin çıkış noktasından varış noktasına kadar bütünlüğü ve ifşa edilemezliği sağlanır.
Elektronik olarak işlenen (toplanan, üzerinde işlem yapılarak yeniden düzenlenen, saklanan, gönderilen) tüm Özel Nitelikli Kişisel Veriler sadece tanımlanmış kişilerce işlenir. Örneğin Erişim kontrolü için işlenen parmak izi, sadece IT birimi içinde görevlendirilmiş kişilerce işlenir.
Özel nitelikli elektronik verinin bulunduğu yapısal ortam şifreli ise şifre sadece tanımlı kişilerde bulunur. Veri, kriptolanarak saklanıyor ise kripto anahtarı sadece tanımlı kişilerde bulunur. Verinin kurum dışına çıkarılması durumunda veri ve erişim şifre ya da anahtarları ayrı ayrı ortamlarda gönderilir. Örneğin veri ve veri şifresi aynı e-mailde gönderilmez.
Yapısal olmayan Özel Nitelikli Kişisel Veriler (Dosya sunucu ve kişisel bilgisayarlardaki Word, Excel, Pdf vs.) BT müdürlüğünün belirlediği ortak klasörlerde, belirlenmiş erişim yetkileri dâhilinde tutulur. Özel Nitelikli Kişisel Verilerin İşlenmesi, transferi ve saklanması için kriptolama veya şifreleme önlemleri alınır.
Özel Nitelikli Kişisel Veriler’in ayrı yedeklenmesi esastır. Yukarıda bahsedilen kurallar; muhtelif ortamlara alınmış veri yedekleri için de aynen geçerlidir.
Yapılandırılmış ortamdaki (veri tabanları) Özel Nitelikli Kişisel Veriler’in korunması için veri tabanı tablo bazında veya kullanıcı ara yüzleri esas alınarak işlenen kişisel verilerin, işleme yetkisi olan kullanıcılar tarafından işlendiği temin edilir. Saklanma süreleri sona eren veriler tespit edilerek, saklama ve imha prosedüründe belirlenen esaslar dâhilinde kişisel veriler yok edilir.
Faaliyetlerimiz esnasında yeni bir Özel Nitelikli Kişisel Veri işleme süreci oluştuğunda; öncelikle Özel Nitelikli Kişisel Veri’nin(kanunlarda öngörülmemesi halinde) açık rıza kaydı alınmaksızın işlenemeyeceği göz önünde bulundurulur. (Yasanın madde 6(2) dikkate alınarak) . Gerekli açık rıza kayıtlarının alınması şarttır.
Sürecin sahipleri ile birlikte veri koruma kurulunun görevlendireceği diğer sorumlular ile birlikte süreç tariflenir, kişisel veri envanterine kayıt yapılır. Kayıt sonunda VERBİS’e beyan edilmesi gerekli olacak, ilgili kişi gruplar, işleme şartı, veri kategorisi, amaç, saklama süresi, idari ve teknik tedbirlerin VERBİS beyanından farklılıklar göstermesi halinde VERBİS bilgilerinde güncelleme yapılır.
Faaliyetlerimiz esnasında var olan ÖZEL NİTELİKLİ KİŞİSEL VERİ işleme süreci ortadan kalktığında;
Kişisel veri envanterinden alınacak özet beyan tablosu incelenerek, VERBİS’e beyan edilmiş önceki bilgiler ile farklılıklar göstermesi halinde VERBİS’e beyan bilgilerinde revizyon yapılır.
Saklama süresi sona eren ÖZEL NİTELİKLİ KİŞİSEL VERİ, İmha prosedüründe belirtilen şekilde imha edilir. Kişisel veri envanterinden silinir. Kişisel veri envanterinden alınacak özet beyan tablosu incelenerek, VERBİS’e beyan edilmiş önceki bilgiler ile farklılıklar göstermesi halinde VERBİS’e beyan bilgilerinde güncelleme yapılır.
Veri işleyenler ile yapılan sözleşmeler çerçevesinde paylaşılan ÖZEL NİTELİKLİ KİŞİSEL VERİ’nin paylaşma ortamları, kuralları ve erişim yetkileri her bir veri işleyen ile ayrı ayrı belirlenerek sözleşme ya da projenin devam ettiği sürece yürürlükte kalır. Sözleşme bitiminde sır saklama yükümlülüğünün devam edeceği taraflarca dikkate alınır.
Olası ihlallerde öncelikle ÖZEL NİTELİKLİ KİŞİSEL Veri’lere erişim hakları bulunan çalışanların aktiviteleri incelenir.
Kişisel Verilerin Korunması Politikasının duyurusunu yaparak tüm tarafların haberdar olmasını sağlar.
Bu politika, KVK düzenlemelerinin gerektirmesi halinde veya şirketin veri sorumlusu, temsilcisi veya Komite’nin gerekli gördüğü hallerde yönetim kurulu onayı ile değiştirilebilir. KVK, işbu politika arasında bir uyumsuzluk olması halinde KVK Düzenlemeleri esas alınır.
6.Kayıtlar
Bu prosedürün uygulanması sonucu ortaya çıkacak kayıtlar saklanır.
7.Güncelleme Ve Uyum
Şirketimiz, Kanunda yapılan değişiklikler nedeniyle, Kurum kararları uyarınca ya da sektördeki ya da bilişim alanındaki gelişmeler doğrultusunda Özel Nitelikli Kişisel Veri İşleme Prosedüründe değişiklik yapma hakkını saklı tutar.
İşbu Özel Nitelikli Kişisel Veri İşleme Prosedüründe yapılan değişiklikler derhal metne işlenir ve değişikliklere ilişkin açıklamalar politikanın sonunda açıklanır.
KVKK ve ilgili diğer mevzuat hükümleri ile işbu Politika arasında uyumsuzluk olması halinde, öncelikle KVKK ve ilgili diğer mevzuat hükümleri uygulanacaktır.