6698 SAYILI KİŞİSEL VERİLERİN KORUNMASI KANUNU UYARINCA KİŞİSEL VERİLERİN KORUNMASI HAKKINDA

 AYDINLATMA METNİ

Türkiye’de Kurulu HEKİMBEY İş Sağlığı ve Güvenliği Ltd. Şti. ("Şirket") olarak; veri sorumlusu sıfatıyla, duruma göre aşağıda belirtilen şekillerde elde ettiğimiz kişisel verilerinizin, ticari ilişkilerimiz kapsamında veya sizlerle olan iş ilişkimiz dahilinde; İşlenmelerini gerektiren amaç çerçevesinde ve bu amaç ile bağlantılı, sınırlı ve ölçülü şekilde, tarafımıza bildirdiğiniz veya bildirildiği şekliyle kişisel verilerin doğruluğunu ve en güncel halini koruyarak, kaydedileceğini, depolanacağını, muhafaza edileceğini, yeniden düzenleneceğini, kanunen bu kişisel verileri talep etmeye yetkili olan kurumlar ile paylaşılacağını ve KVKK'nın öngördüğü şartlarda, yurtiçi veya yurtdışı üçüncü kişilere aktarılacağını, devredileceğini, sınıflandırılabileceğini ve KVKK'da sayılan sair şekillerde işlenebileceğini bildiririz.

Kişisel Veri nedir?

KVKK Kapsamında kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi (“Kişisel Veri”) ve bunun bir özel türü olan Özel Nitelikli Kişisel Veri ise, ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileriniz ile biyometrik ve genetik verilerinizi (“Özel Nitelikli Kişisel Veri”) ifade eder. Bu Aydınlatma Metni kapsamında Kişisel Verileriniz için yapılan açıklamalar Özel Nitelikli Kişisel Verilerinizi de kapsamaktadır.

KİŞİSEL VERİLERİNİZİN İŞLENME AMAÇLARI

Kişisel verileriniz, veri sorumlusu tarafından ve açık rıza halinde açık rıza halinde özel nitelikli kişisel verileriniz aşağıda belirtilen amaç ve hukuki sebepler doğrultusunda ve ancak bunlarla sınırlı olmayan ve gerektiği takdirde benzer amaç ve sebeplerle KVKK m.5 ve m.6’da belirtilen kişisel veri işleme şartları içerisinde ve Firmamız VERBİS kaydında belirtilen ilkelere ve sürelere uygun amaçlarla ve koşullarla sınırlı olarak işlenmektedir. Bu kapsamda kişisel verilerinizin işlenme amacı:

Hukuki yükümlülüklerimizi yerine getirme, Firmamız tarafından sağlanan hizmet gerekliliği kimliğinizi teyit etme,kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi,İlgili mevzuat uyarınca Sağlık Bakanlığı ve diğer kamu kurum ve kuruluşları ile talep edilen bilgilerin paylaşılması, firmanin iç işleyişi ile günlük operasyonların planlanması ve yönetilmesi, hasta memnuniyetinin ölçülmesi, arttırılması ve araştırılması,ilaç ve tıbbi cihaz temini,randevu almanız halinde randevu hakkında sizi haberdar edebilme,sağlık hizmetlerini geliştirme amacıyla analiz yapma, araştırma yapılması,Firmamız tarafından kampanyalara katılım ve kampanya bilgisi verilmesi,Web ve mobil kanallarda özel içeriklerin, somut ve soyut faydaların tasarlanması ve iletilebilmesi, faturalandırma yapılabilmesi başlıkları altında sayılabilir.

  • 3359 sayılı Sağlık Hizmetleri Temel Kanunu, 663 sayılı Sağlık Bakanlığı ve Bağlı Kuruluşlarının Teşkilat ve Görevleri Hakkında Kanun Hükmünde Kararname, 6698 sayılı Kişisel Verilerin Korunması Kanunu, Kişisel Sağlık Verilerinin İşlenmesi ve Mahremiyetinin Sağlanması Hakkında Yönetmelik ve ilgili diğer sair mevzuatta yer alan hukuki yükümlülüklerimizi yerine getirme;
  • Kişisel Veri/Kişisel Verileriniz’in başkaları tarafından ele geçirilmesini engelleyebilmek adına kimlik tespiti ve doğrulama,
  • Kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi,
  • Size özel ilaç ve/veya tıbbi malzeme ve/veya cihaz temini,
  • Risk yönetimi ve kalite geliştirme aktivitelerinin yerine getirilmesi,
  • Yasal ve düzenleyici gereksinimlerin yerine getirilmesi,
  • Mevzuat uyarınca Sağlık Bakanlığı ve diğer kamu kurum ve kuruluşları ile edinilen bilgileri paylaşma ve yanıt verme,
  • Sunduğumuz hizmetler karşılığında fatura tanzim etme,
  • Hastane sistem ve uygulamalarının veri güvenliği kapsamında tüm gerekli teknik ve idari tedbirlerin alınması,
  • Size sunduğumuz sağlık hizmetlerinin geliştirilmesi ve iyileştirilmesi amacıyla sağlık hizmetleri kullanımınızı analiz etme ve sağlık verilerinizi saklama, hizmetlerimize ilişkin soru veya şikayetlerinize yanıt verme,
  • Düzenleyici ve denetleyici kurumlarla, resmi mercilerin talep ve denetimleri doğrultusunda gerekli bilgilerin temini,
  • İlgili mevzuat gereği saklanması gereken sağlık verilerinize ilişkin bilgileri muhafaza etme,
  • İç politika ve prensiplerine uyum sağlama,
  • Sağlık hizmetleri almanızı takiben hasta memnuniyetinin ölçülmesi ve hasta memnuniyetinin artırılması
  • Sizlere özel tanıtım ve bilgilendirme faaliyetlerinin yürütülmesi ve faydalanmanızın sağlanması, hizmetlerimize ilişkin olarak bilgilendirme amacıyla sizinle iletişime geçilmesi
  • Bunlarla sınırlı olmaksızın, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, geliştirilmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi, hasta memnuniyetinin arttırılması, araştırılması ve bağlı nedenler.

KİŞİSEL VERİLERİNİZİN TOPLANMA YÖNTEMİ VE HUKUKİ SEBEBİ

Kişisel verileriniz, Bilgi Teknolojilerine dayalı çeşitli yöntemlerle, çağrı merkezi, internet sitesi, sosyal medya mecraları, mobil uygulamalar ve benzeri vasıtalarla sözlü, yazılı ya da GSM teknolojileri de dahil olmak üzere elektronik olarak toplanabilmektedir. Ayrıca, kişisel verilerin işlenmesi amaçları doğrultusunda, Kanun’un 5. ve 6. maddelerinde hüküm altına alınmış kişisel veri işleme şartlarından en az birine dayalı ve sınırlı olarak, başta Kanun’un 4. maddesinde belirtilen ilkeler olmak üzere Kanun’da ve şirketimiz VERBİS kaydında belirtilen genel ilkelere ve sürelere uygun bir şekilde kişisel veriler işlenmektedir.

KVKK'nın 11. Maddesi Gereği Bize Şahsen, Kimliğinizi İspat Etmeniz Kaydıyla, Kişisel Verileriniz İle İlgili Haklarınız

Şirket'in hakkınızda kişisel veri işleyip işlemediğini öğrenmek, eğer işlemişse, buna ilişkin bilgi talep etmek, kişisel verilerinizin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığı öğrenmek, kişisel verilerin yurtiçi veya yurtdışına aktarılıp aktarılmadığı ve kimlere aktarıldığını öğrenmek haklarına sahipsiniz.Ayrıca, şirketten yanlış ve eksik kişisel verilerinizin düzeltilmesini ve verilerinin aktarıldığı veya aktarılmış olabileceği alıcıların bilgilendirilmesini talep etme hakkınız vardır. Kişisel verilerinizin KVKK madde 7'de öngörülen şartlar çerçevesinde verilerinizin imha edilmesini (silinmesini, yok edilmesini veya anonim hale getirilmesini) şirketten talep edebilirsiniz. Aynı zamanda verilerin aktarıldığı veya aktarılabileceği 3. kişilerin söz konusu imha talebiniz ile ilgili bilgilendirilmesini talep edebilirsiniz. Ancak imha talebinizi değerlendirerek hangi yöntemin uygun olduğu somut olayın koşullarına göre tarafımızca değerlendirilecektir. Bu bağlamda seçtiğimiz imha yöntemini neden seçtiğimiz ile ilgili bizden her zaman bilgi talep edebilirsiniz. Başvurunuzda yer alan talepleriniz, talebin niteliğine göre en geç otuz gün içinde ücretsiz olarak sonuçlandırılacaktır. Ancak, işlemin Şirket için ayrıca bir maliyeti gerektirmesi hâlinde, Kişisel Verileri Koruma Kurulu tarafından Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ'de belirlenen tarifedeki ücret alınabilir. Kişisel verilerinizin işlenmesi ile ilgili hususlarda başvurunuzu Şirketin insan kaynakları (muhasebe) departmanına teslim etmeniz gerekmektedir. Şirket tarafından talebinizin mahiyetine ve başvuru yönteminize göre Şirket tarafından başvurunun size ait olup olmadığının belirlenmesi ve böylece haklarınızı koruyabilmek amacıyla ek doğrulamalar (kayıtlı telefonunuza mesaj gönderilmesi, aranmanız gibi) istenebilir. Örneğin Şirkette kayıtlı olan e-posta adresiniz aracılığıyla başvuru yapmanız halinde şirkette kayıtlı başka bir iletişim yöntemini kullanarak size ulaşabilir ve başvurunun size ait olup olmadığının teyidini isteyebiliriz.

İŞLENEN KİŞİSEL VERİLER

Veri sorumlusu tarafından işlenecek kişisel verileriniz, KVKK’da tanımlandığı şekliyle “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” anlamına gelen verilerinizdir. Yine aynı kanun kapsamında özel nitelikli kişisel veri ise “kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verilerini” ifade etmektedir. Firmamız, hastaların/ziyaretçilerin onayı ile kişisel veya özel nitelikli kişisel verileri tamamen veya kısmen elde edebilir, sınıflandırabilir, kaydedebilir ve kişisel verilerin elde ediliş amacına göre ya da ilgili kanun hükümlerinin öngördüğü süre boyunca muhafaza edebilir. Bu doğrultuda, aşağıda yer alanlar dahil ve bunlarla sınırlı olmaksızın işlenen kişisel veri kategorileriniz ile içerikleri şu şekildedir:

  1. Kimlik verisi: Ad soyad, T.C. kimlik numarası, imza, medeni durum, nüfus cüzdan seri ve sıra numarası, doğum tarihi, doğum yeri, kimlik, ehliyet, pasaport fotokopisi
  2. İletişim verisi: Telefon numarası, e-posta adresi, ikametgâh adresi
  3. Finans verisi: Faturalama bilgileriniz
  4. Özel nitelikli kişisel veriler: Cinsiyet, laboratuar sonuçlarınız, test sonuçlarınız, muayene verileriniz, randevu bilgileriniz, check-up bilgileriniz, ölçümleriniz, çizimleriniz, çeşitli kalıplarınız, reçete bilgileriniz dahil ancak bunlarla sınırlı olmaksızın tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi sırasında veya bunların bir sonucu olarak elde edilen her türlü sağlık ve cinsel hayata ilişkin kişisel verileriniz
  5. Görsel ve işitsel kayıtlar: İşlem öncesi – sırası – sonrası alınan iki ve 3 boyutlu fotoğraflar ile video kayıtları
  6. Aile ve yakını verisi: Hasta yakınları ad soyad, iletişim bilgisi, hasta geçmişi için gerekli olduğu halde aile sağlık bilgisi
  7. Fiziksel mekân güvenliği: Kamera görüntüleri
  8. İŞE GİRİŞ/PERİYODİK MUAYANE FORMU (EK-2)

Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi

Kanun’un 7’nci maddesine göre, bu Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hâle getirilir. Bu kapsamda Firmamız, kişisel verileri ancak ilgili mevzuatta belirtildiği veya işlendikleri amaç için zorunlu ve gerekli olan süre kadar muhafaza etmektedir. Sürenin bitimi veya işlenmesini gerektiren sebeplerin ortadan kalkması durumunda kişisel veriler periyodik imha sürelerine veya veri sahibi ilgili kişinin varsa başvurusuna uygun olarak belirlenen imha yöntemleri (silme ve/veya yok etme ve/veya anonimleştirme) ile imha edilecektir. Kişisel veri işleme faaliyetinde 6698 sayılı Kanun’un 4. maddesinde belirtilen genel ilkelere uygun olarak hareket edilmektedir.

Kişisel Verilerin Aktarılması

Kişisel verilerin aktarılması konusunda Kanun’da Kişisel Verilerin İşlenmesi’ne ilişkin düzenlemelere paralel düzenlemeler hüküm altına alınmıştır. Kanun’un 8. maddesine göre:

Kişisel veriler, ilgili kişinin açık rızası olmaksızın aktarılamaz. Kişisel veri sahibinin açık rızası olmasa dahi aşağıda belirtilen şartlardan bir ya da birkaçının mevcut olması halinde Firmamız tarafından gerekli özen gösterilerek ve Kurul tarafından öngörülen yöntemlerle gerekli tüm güvenlik önlemleri alınarak kişisel veriler üçüncü kişilere aktarılabilecektir. Kişisel verilerin aktarılmasına ilişkin ilgili faaliyetlerin kanunlarda açıkça öngörülmesi, Kişisel verilerin Firmamız tarafından aktarılmasının bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili ve gerekli olması, Kişisel verilerin aktarılmasının Firmamızin hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,Kişisel verilerin veri sahibi tarafından alenileştirilmiş olması şartıyla, alenileştirme amacıyla sınırlı bir şekilde Firmamız tarafından aktarılması,Kişisel verilerin Firmamız tarafından aktarılmasının Firmamızin veya veri sahibinin veya üçüncü kişilerin haklarının tesisi, kullanılması veya korunması için zorunlu olması,Veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla Firmamız meşru menfaatleri için kişisel veri aktarımı faaliyetinde bulunulmasının zorunlu olması, Fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünü koruması için zorunlu olması. Kanun’un 9. maddesine göre; Kişisel veriler, ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamaz.

KİŞİSEL VERİLERİNİZİN YURT İÇİNDEKİ ÜÇÜNCÜ KİŞİLERLE PAYLAŞILMASI

KVKK ve ilgili sağlık mevzuatı uyarınca uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirlerin alınmasını sağlayarak, Kişisel Veri/Kişisel Verilerinizi II. Bölüm’de yer alan amaçlar doğrultusunda; 3359 sayılı Sağlık Hizmetleri Temel Kanunu, 663 sayılı Sağlık Bakanlığı ve Bağlı Kuruluşlarının Teşkilat ve Görevleri Hakkında Kanun Hükmünde Kararname 6698 Sayılı Kişisel Verilerin Korunması Kanunu, Kişisel Sağlık Verilerinin İşlenmesi ve Mahremiyetinin Sağlanması Hakkında Yönetmelik ve ilgili diğer mevzuat hükümlerinin izin verdiği kişi/kurum ve/veya kuruluşlar; bankalar, sandıklar, vakıflar; doğrudan/dolaylı yurtiçi/yurtdışı hissedarlarımız, bağlı ortaklıklarımız ve/veya iştiraklerimiz; grup şirketlerimiz; denetçiler; danışmanlar; iş ortakları; faaliyetlerimizi yürütmek üzere sözleşmesel olarak hizmet aldığımız ve/veya hizmet verdiğimiz, işbirliği yaptığımız, yurt içi/yurt dışı kuruluşlar ile diğer gerçek ve/veya tüzel üçüncü kişilere aktarabiliriz.

Ayrıca kişisel verilerinizi;

4.1. İş Kanunu, İş Sağlığı ve Güvenliği Kanunu, Sosyal Güvenlik Kanunu ve ilgili mevzuat ile diğer kanunlar ve mevzuat kapsamında gereklilikleri yerine getirmek amacıyla özellikle;

Sağlık verilerinizi, tedavi ve sağlık kontrolü yapabilmesi için işyeri hekimimiz ile paylaşabiliyoruz.

4.2. Şirket içerisinde güvenliğin sağlanması amacıyla özellikle;

İşyeri güvenliği amacıyla giriş-çıkışların denetlenmesi için işyeri yönetimine aktarabiliyoruz.

4.3. Hukuki yükümlülüklerimizi yerine getirmek nedeniyle özellikle;

Savunma hakkımızı kullanabilmemiz için avukatlarımıza ve hukuka ve usule uygun olması koşuluyla mahkeme kararı veya delil talebi gibi hukuki talepleri yerine getirme yükümlülüğümüz çerçevesinde ilgili kurumlarla paylaşılabiliyoruz.

4.4. Şirketin idaresi, işin yürütülmesi, şirket politikalarının uygulanması amacıyla, özellikle;    

Ticari ilişkimiz olan veya olması muhtemel (hizmet verdiğimiz veya verebileceğimiz) şirketler ile çalışmalarımızı sağlamak açısından söz konusu şirketlere kişisel verilerinizi aktarabiliyoruz.

Kişisel verilerinizden gerekli olanlar, ulaşım, araç tedariki, kartvizit basımı, otopark kaydı gibi sebeplerle ilgili konuda çalıştığımız firmalara aktarılabilmektedir.

KVKK uyarınca Kişisel Veri/Kişisel Verilerin Açık Rıza Olmaksızın İşleyebileceği Haller:

KVKK’nın 5. maddesi ve Yönetmelik’in 7. Maddesi uyarınca, aşağıdaki hallerde açık rızanız aranmaksızın aşağıda belirtilen Kişisel Veri/Kişisel Verileriniz işlenebilir:

  • Kanunlarda açıkça öngörülen hallerde,
  • Fiili imkânsızlık nedeniyle veri sahibi olarak rızanızı açıklayamayacak durumda olmanız veya rızanıza hukuki geçerlilik tanınmayan hallerde kendinizin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için kişisel verinizin işlenmesinin zorunlu olması,
  • Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait Kişisel Veri/Kişisel Verilerinizin işlenmesinin gerekli olması,
  • Bir hukuki yükümlülüğün yerine getirilebilmesi için zorunlu olması,
  • Kişisel Veri/Kişisel Verilerinizin tarafınızca alenileştirilmiş olması,
  • Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
  • Sahip olduğunuz temel hak ve özgürlüklerinize zarar vermemek kaydıyla, Özel Ortadoğu Hastaneleri’nin meşru menfaatleri için veri işlenmesinin zorunlu olması.
  • Kişisel sağlık verileri; kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.

KİŞİSEL VERİLERİN KORUNMASI İÇİN ALINAN TEDBİRLER

Kişisel verilerin korunması, şirketimiz için önemli bir konudur. Şirketimiz, kişisel verilere yetkisiz erişim veya bu bilgilerin kaybı, hatalı kullanımı, ifşa edilmesi, değiştirilmesi veya imha edilmesine karşı korumak için gerekli teknik ve idari tedbirleri almaktadır. Şirketimiz, kişisel verilerinizi gizli tutmayı, gizliliğin sağlanması ve güvenliği için gerekli teknik ve idari her türlü tedbiri almayı ve gerekli özeni göstermeyi taahhüt etmektedir.

Şirketimizin gerekli bilgi güvenliği önlemlerini almasına karşın, web sitesine ve sisteme yapılan saldırılar sonucunda kişisel verilerin zarar görmesi veya üçüncü kişilerin eline geçmesi durumunda, Şirketimiz bu durumu derhal sizlere ve Kişisel Verileri Koruma Kurulu’na bildirir.

Firmamız kişisel verilerinizin korunmasına ve güvenliğine en üst düzeyde önem vermekte, bilgi güvenliği standartları ve prosedürleri gereğince alınması gereken tüm teknik ve idari güvenlik kontrollerine tam uygunlukla korumakta olduğumuzu, sizlere sunduğumuz tüm ürün ve hizmetlerimizde, kişisel veri güvenliğinin ön planda olduğu bilinciyle hareket ettiğimizi, söz konusu güvenlik tedbirlerinin, teknolojik imkânlar da göz önünde bulundurularak her türlü muhtemel risk dikkate alınmak suretiyle uygulandığını, bu konuda gerekli tüm hassasiyetin gösterilmekte olduğunu belirtmek isteriz. Ayrıca;

  • Çalışanlarımız bilgi güvenliği, hasta mahremiyeti, kişisel verilerin korunması konularında eğitilmektedir.
  • Kişisel veri güvenliği konusunda kurumsal politika ve prosedürler yazılmış olup; https://hekimbey.com.tr/ internet sitemizde mevcuttur.
  • Kişisel veriler kullanma amacı ortadan kalktığında imha edilmektedir
  • Kişisel veri içeren sistemlerimiz rutin olarak denetlenmektedir.
  • Hizmet alınan veri işleyenler ile sözleşmeler yapılmaktadır.
  • Güncel yazılımlar kullanılmaktadır, siber saldırılara karşı düzenlenmiş güvenlik ağımız bulunmaktadır.
  • Kişisel veri içeren sistemlere erişim yetkisi sınırlı olup; antivürüs ve anti spam programlar kullanılmakta, güvenlik sorunları ile ilgili bilişim ağlarının sürekli izlenmekte, sistem zayıflıklarının belirlenmesi için testler yapılmaktadır.
  • Sorunlar hakkında kurumsal raporlama sistemin bulunmaktadır.
  • Sistemlerin kötüye kullanılması halinde delillerin toplanarak Kişisel Verileri Koruma Kurumu'na bildirilip Savcılığa suç duyurusunda bulunulacak olup; kişisel verilerin bulunduğu fiziksel ortamlarımızda yangın, sel vb. tabi afetlere karşı koruma tedbirleri alınmıştır ve bu ortamlar kilitli tutularak giriş / çıkışlar kontrol altındadır.
  • Tüm bunlara ek olarak özel nitelikli kişisel verilerin işlenmesinde Kişisel Verileri Koruma Kurulu tarafından belirlenen ek güvenlik tedbirleri de alınmaktadır.

HEKİMBEY İŞ SAĞLIĞI VE GÜVENLİĞİ LTD. ŞTİ. KİŞİSEL VERİ SAKLAMA VE İMHA POLİTİKASI

BİRİNCİ BÖLÜM

KİŞİSEL VERİ SAKLAMA VE İMHA POLİTİKASI'NIN NİTELİĞİ VE AMACI

1.1 GİRİŞ

İşbu Kişisel Veri Saklama ve İmha Politikası (“Politika”), 6698 Sayılı Kişisel Verilerin Korunması Kanunu (“KVKK” ya da “Kanun”) ve Kanun’un ikincil düzenlemesini teşkil eden 28 Ekim 2017 tarihli Resmi Gazete’de yayımlanarak yürürlüğe giren Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik (“Yönetmelik”) uyarınca Hekimbey İŞ SAĞLIĞI VE GÜVENLİĞİ LTD. ŞTİ. olarak veri sorumlusu sıfatıyla elimizde bulundurduğumuz kişisel verilerin KVKK ve sair mevzuatı gereği, yükümlülüklerimizi yerine getirmek ve ilgili kişileri kişisel verilerinizin işlendikleri amaç için gerekli olan azami saklama süresinin belirlenmesi esasları ile kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin şirketimiz tarafından uygulanacak usul ve esasların belirlenmesi amacıyla hazırlanmıştır.

Bu kapsamda, çalışanlarımızın, çalışan adaylarımızın, müşterilerimizin ve herhangi bir nedenle şirketimiz nezdinde kişisel verisi bulunan tüm gerçek kişilerin kişisel verileri Kişisel Verilerin İşlenmesi ve Korunması Politikası ve işbu Kişisel Veri Saklama ve İmha Politikası çerçevesinde kanunlara uygun olarak yönetilmektedir.

1.2 KAPSAM

Kurum çalışanları, çalışan adayları, hizmet sağlayıcıları, ziyaretçiler ve diğer üçüncü kişilere ait kişisel veriler bu Politika kapsamında olup Kurumun sahip olduğu ya da Kurumca yönetilen kişisel verilerin işlendiği tüm kayıt ortamları ve kişisel veri işlenmesine yönelik faaliyetlerde bu Politika uygulanır.

1.3.TANIMLAR

Açık Rıza Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızadır.
İlgili Kullanıcı Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişilerdir.
Kişisel Veri/Veriler Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgidir.
Özel Nitelikteki Kişisel Veri/Veriler Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep
veya diğer inançlar, kılık kıyafet, dernek vakıf ya da sendika
üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik
tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir.
Kişisel Verilerin İşlenmesi Kişisel Verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi,  kaydedilmesi, depolanması, muhafaza edilmesi değiştirilmesi,  yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi,    sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemdir.
Doğrudan Tanımlayıcılar Tek başlarına,  ilişki içinde oldukları kişiyi  doğrudan  açığa
çıkaran, ifşa eden ve ayırt edilebilir kılan tanımlayıcılarıdır.
Dolaylı Tanımlayıcılar Diğer tanımlayıcılar ile bir araya gelerek ilişki içinde oldukları
kişiyi açığa çıkaran,  ifşa eden ve ayırt edilebilir kılan
tanımlayıcılarıdır.
Kişisel Veri Sahibi/İlgili Kişi Şirket iç ve dış paydaşları, Şirket yetkilileri, şirket iş ortakları,
tedarikçiler,  danışmanlarımız,  çalışanlarımız ve çalışan
adaylarımız, ziyaretçilerimiz, müşterilerimiz, potansiyel müşteriler ve üçüncü kişiler,  resmi kurumlar, bankalar, bağımsız denetim kuruluşları gibi kişisel verisi şirket tarafından işlenen gerçek kişileri ifade eder.
Veri Sorumlusu Kişisel verilerin işleme amaçlarını ve yöntemlerini belirleyen,
veri kayıt sisteminin kurulmasından ve yönetilmesinden
sorumlu olan tüzel kişidir.
Veri İşleyen Veri sorumlusunun verdiği yetkiye dayanarak onun adına
kişisel veri işleyen gerçek ve tüzel kişidir.
Kanun 6698 sayılı Kişisel Verilerin Korunması Kanunu’nu ifade eder.
Yönetmelik 28 Ekim 2017 tarihinde Resmi Gazete’de yayımlanan Kişisel Verilerin Silinmesi,   Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmeliktir.
KVK Kurulu Kişisel Verileri Koruma Kurulu’dur.
Kayıt Ortamı Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt  sisteminin  parçası  olmak  kaydıyla  otomatik  olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortamdır.
Kişisel Verilerin İşlenmesi, Korunması ve Gizlilik Politikası https://hekimbey.com.tr/ adresinden ulaşılabilecek,  şirket elinde bulunan kişisel verilerin yönetilmesine ilişkin usul ve esasları belirleyen politikayı ifade eder.
Veri Kayıt Sistemi Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği

Kayıt sistemini ifade eder.

İmha Kişisel verilerin silinmesi,  yok edilmesi veya anonim hale getirilmesidir.
Anonim Hale Getirme Daha öncesinde bir kişiyle ilişkilendirilmiş olan verilerin, başka verilerle eşleştirilerek   dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.
Kişisel Verilerin Silinmesi Kişisel verilerin silinmesi; kişisel verilerin İlgili Kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesidir.
Kişisel Verilerin Yok Edilmesi Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.
Periyodik İmha Kanun’da yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla re’sen gerçekleştirilecek silme,  yok etme veya anonim hale getirme işlemidir.

İKİNCİ BÖLÜM

ORTAMLAR VE GÜVENLİK TEDBİRLERİ

2.1. KİŞİSEL VERİLERİN SAKLANDIĞI ORTAMLAR

Şirketimiz nezdinde saklanan kişisel veriler, ilgili verinin niteliğine ve hukuki yükümlülüklerimize uygun bir kayıt ortamında tutulur. Kişisel verilerin saklanması için kullanılan kayıt ortamları genel itibariyle aşağıda sayılanlardır. Ancak, bir kısım veriler sahip oldukları özel nitelikler ya da hukuki yükümlülüklerimiz nedeniyle burada gösterilen ortamlardan farklı bir ortamda tutulabilir. Şirketimiz her halde veri sorumlusu sıfatıyla hareket etmekte ve kişisel verileri Kanun’a, Kişisel Verilerin İşlenmesi, Korunması ve Gizlilik Politikası’na ve işbu Kişisel Veri Saklama ve İmha Politikası’na uygun olarak işlemek ve korumaktadır.

Matbu ortamlar: Birim dolapları, arşiv gibi verilerin kağıt ya da mikrofilmler üzerine basılarak tutulduğu ortamlardır.
Yerel dijital ortamlar: Şirketimiz bünyesinde yer alan sunucular, sabit ya da taşınabilir diskler gibi sair dijital ortamlardır.
Bulut ortamlar: Şirketimiz bünyesinde yer almamakla birlikte, şirketimizin kullanımında olan, kriptografik yöntemlerle şifrelenmiş internet tabanlı sistemlerin kullanıldığı ortamlardır.
Elektronik ortamlar: Genel İK ve Muhasebe Programları

2.1.1 SAKLAMA VE İMHAYA İLİŞKİN AÇIKLAMALAR

Kurum tarafından; çalışanlar, çalışan adayları, ziyaretçiler ve hizmet sağlayıcı olarak ilişkide bulunulan üçüncü kişilerin, kurumların veya kuruluşların çalışanlarına ait kişisel veriler Kanuna uygun olarak saklanır ve imha edilir.

Kanunun 3’üncü maddesinde “kişisel verilerin işlenmesi” kavramı tanımlanmış, 4’üncü maddesinde işlenen kişisel verinin işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli süre kadar muhafaza edilmesi gerektiği belirtilmiş,  5 ve 6’ncı maddelerde ise kişisel verilerin işleme şartları sayılmıştır.

Buna göre, Kurumumuz faaliyetleri çerçevesinde kişisel veriler, ilgili mevzuatta öngörülen veya işleme amaçlarımıza uygun süre kadar saklanır.

2.1.2 SAKLAMAYI GEREKTİREN HUKUKİ SEBEPLER

    Kurumda, faaliyetleri çerçevesinde işlenen kişisel veriler, ilgili mevzuatta öngörülen süre kadar muhafaza edilir. Bu kapsamda kişisel veriler;

  • 6698 sayılı Kişisel Verilerin Korunması Kanunu,<
  • 6098 sayılı Türk Borçlar Kanunu,
  • 4734 sayılı Kamu İhale Kanunu,
  • 657 sayılı Devlet Memurlar Kanunu,
  • 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu,
  • 5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun,
  • 5018 sayılı Kamu Mali Yönetimi Kanunu,
  • 6361 sayılı İş Sağlığı ve Güvenliği Kanunu,
  • 4982 sayılı Bilgi Edinme Kanunu,
  • 3071 sayılı Dilekçe Hakkının Kullanılmasına Dair Kanun,
  • 4857 sayılı İş Kanunu,
  • 2547 sayılı Yükseköğretim Kanunu,
  • 5434 sayılı Emekli Sağlığı Kanunu,
  • 2828 sayılı Sosyal Hizmetler Kanunu,
  • İşyeri Bina ve Eklentilerinde Alınacak Sağlık ve Güvenlik Önlemlerine İlişkin Yönetmelik,
  • Arşiv Hizmetleri Hakkında Yönetmelik,
  • Bu kanunlar uyarınca yürürlükte olan diğer ikincil düzenlemeler çerçevesinde öngörülen saklama süreleri kadar saklanmaktadır.

2.1.3 SAKLAMAYI GEREKTİREN İŞLEME AMAÇLARI

  • Kurum faaliyetleri çerçevesinde işlemekte olduğu kişisel verileri aşağıdaki amaçlar doğrultusunda saklar.
  • İnsan kaynakları süreçlerini yürütmek,
  • Kurumsal iletişimi sağlamak,
  • Kurum güvenliğini sağlamak,
  • İstatistiksel çalışmalar yapabilmek,
  • İmzalanan sözleşmeler ve protokoller neticesinde iş ve işlemleri ifa edebilmek,
  • VERBİS kapsamında, çalışanlar, veri sorumluları, irtibat kişileri, veri sorumlusu temsilcileri ve veri işleyenlerin tercih ve ihtiyaçlarını tespit etmek, verilen hizmetleri buna göre düzenlemek ve gerekmesi halinde güncellemek,
  • Yasal düzenlemelerin gerektirdiği veya zorunlu kıldığı şekilde hukuki yükümlülüklerin yerine getirilmesini sağlamak,
  • Kurum ile iş ilişkisinde bulunan gerçek/tüzel kişilerle irtibat sağlamak,
  • Yasal raporlamalar yapmak,
  • Çağrı merkezi süreçlerini yönetmek,
  • İleride doğabilecek hukuki uyuşmazlıklarda delil olarak ispat yükümlülüğü.

2.1.4 İMHAYI GEREKTİREN SEBEPLER

Kişisel veriler;

  • İşlenmesine esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası,
  • İşlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,
  • Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin açık rızasını geri alması,
  • Kanunun 11 nci maddesi gereği ilgili kişinin hakları çerçevesinde kişisel verilerinin silinmesi ve yok edilmesine ilişkin yaptığı başvurunun Kurum tarafından kabul edilmesi,
  • Kurumun, ilgili kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabı yetersiz bulması veya Kanunda öngörülen süre içerisinde cevap vermemesi hallerinde; Kurula şikayette bulunması ve bu talebin Kurul tarafından uygun bulunması,
  • Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olması ve kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması,

durumlarında, Kurum tarafından ilgili kişinin talebi üzerine silinir, yok edilir ya da re’sen silinir, yok edilir veya anonim hale getirilir

Şirketimiz, kişisel verilerin saklandığı tüm ortamların ilgili verinin ve verinin tutulduğu ortamın niteliklerine uygun olarak başlıca aşağıdaki teknik tedbirleri almaktadır:

2.2. ORTAMLARIN GÜVENLİĞİNİN SAĞLANMASI

Kişisel verilerinizin güvenli bir şekilde saklanması, hukuka aykırı olarak işlenmesi, erişilmesinin önlenmesi ve verilerin hukuka uygun olarak imha edilmesi amacıyla KVKK’nın 12. Maddesindeki ilkeler çerçevesinde Şirketimiz, kişisel verilerin güvenli bir şekilde saklanması ile hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi için ilgili kişisel veri ile tutulduğu ortamın niteliklerine uygun olarak gerekli teknik ve idari tedbirleri almaktadır.

İşbu tedbirler, bunlarla kısıtlı olmamak üzere, ilgili kişisel verinin ve tutulduğu ortamın niteliğine uygun düştüğü ölçüde aşağıdaki idari ve teknik tedbirleri kapsar.

Şirketimiz tarafından alınmış olan idari ve teknik tedbirler aşağıda sayılmıştır:

Şirketimiz tarafından alınmış olan idari ve teknik tedbirler aşağıda sayılmıştır:

2.2.1.Teknik Tedbirler

Şirketimiz, kişisel verilerin saklandığı tüm ortamların ilgili verinin ve verinin tutulduğu ortamın niteliklerine uygun olarak başlıca aşağıdaki teknik tedbirleri almaktadır:

  • Kişisel verilerin tutulduğu ortamlarda yalnızca teknolojik gelişmelere uygun güncel ve güvenli sistemler kullanılmaktadır.
  • Kurulan sistemler kapsamında gerekli iç kontrolleri yapılmaktadır.
  • Kişisel verilerin tutulduğu ortamlara yönelik güvenlik sistemleri kullanılmaktadır.
  • Bilişim sistemleri üzerindeki güvenlik zafiyetlerinin tespitine yönelik güvenlik testleri ve araştırmaları yapılmakta, yapılan test ve araştırmaların sonucunda tespit edilen mevcut ya da muhtemel risk teşkil eden hususlar giderilmektedir.
  • Kişisel verilerin tutulduğu ortamlara veriye erişim kısıtlanarak yalnızca yetkili kişilerin, kişisel verinin saklanma amacı ile sınırlı olarak bu verilere erişmesine izin verilmekte ve tüm erişimler kayıt altına alınmaktadır.
  • Verilerin kurum dışına sızmasını engelleyecek veyahut gözlemleyecek teknik altyapının temin edilmesini ve ilgili matrislerin oluşturulması sağlanmaktadır. Düzenli olarak ve ihtiyaç oluştuğunda sızma testi hizmeti alarak sistem zafiyetlerinin kontrolü sağlanmaktadır.
  • Şirketimiz bünyesinde kişisel verilerin tutulduğu ortamların güvenliğini sağlamak üzere yeterli teknik personel bulundurmaktadır.
  • Bilgi teknolojileri birimlerinde çalışanların kişisel verilere erişim yetkilerinin kontrol altında tutulması sağlanmaktadır.
  • Kişisel verilerin yok edilmesi geri dönüştürülemeyecek ve denetim izi bırakmayacak şekilde sağlanmaktadır.

Kanun’un 12. maddesi uyarınca, kişisel verilerin saklandığı her türlü dijital ortam, bilgi güvenliği gereksinimlerini sağlayacak şekilde şifreli veyahut kriptografik yöntemler ile korunmaktadır.

2.2.2.  İdari Tedbirler

Şirketimiz, kişisel verilerin saklandığı tüm ortamların ilgili verinin ve verinin tutulduğu ortamın niteliklerine uygun olarak başlıca aşağıdaki idari tedbirleri almaktadır:

  • Kişisel verilere erişimi olan tüm şirket çalışanlarının bilgi güvenliği, kişisel veriler ve özel hayatın gizliliği konularında farkındalıklarının artırılması ve bilinçlendirilmesi için çalışmalar yapılmakta, personele kişisel verilerin korunması mevzuatı ve veri güvenliği kapsamında gerekli eğitimler verilmektedir.
  • Saklanan kişisel verilere şirket içi erişimi iş tanımı gereği erişmesi gerekli personel ile sınırlandırır. Erişimin sınırlandırılmasında verinin özel nitelikli olup olmadığı ve önem derecesi de dikkate alınır.
  • İşlenen kişisel verilerin hukuka aykırı yollarla başkaları tarafından elde edilmesi hâlinde, bu durumu en kısa sürede ilgilisine ve Kurul’a bildirir.
  • Kişisel verilerin teknik ya da hukuki gereklilikler nedeniyle üçüncü kişilere aktarılması halinde ilgili üçüncü kişilerle kişisel verilerin korunması amacıyla protokoller imzalanmakta veya mevcut sözleşmesine eklenen hükümler ile veri güvenliğini sağlamakta, ilgili üçüncü kişilerin bu protokollerdeki yükümlülüklerine uyması için gerekli tüm özen gösterilmektedir.
  • Kendi tüzel kişiliği nezdinde Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapılmakta ve yaptırılmaktadır. Denetimler sonucunda ortaya çıkan gizlilik ve güvenlik zafiyetleri giderilmektedir.
  • Kişisel veri işlemeye başlamadan önce Kurum tarafından, ilgili kişileri aydınlatma yükümlülüğü yerine getirilmektedir.
  • Kişisel veri işleme envanteri hazırlanmıştır.
  • Kurum içi periyodik ve rastgele denetimler yapılmaktadır.

2.2.3.  Şirket İçi Denetim

Şirketimiz, Kanun’un 12’nci maddesi uyarınca Kanun hükümlerinin ve işbu Kişisel Veri Saklama ve İmha Politikası ile Kişisel Verilerin İşlenmesi ve Korunması Politikası hükümlerinin uygulanmasına ilişkin şirket içi denetimler yapmaktadır.

Şirket içi denetimler sonucunda bu hükümlerin uygulanmasına ilişkin eksiklik ya da kusurların tespit edilmesi halinde bu eksiklik ya da kusurlar derhal giderilir.

Denetim sırasında ya da sair bir şekilde Şirketimiz sorumluluğunda bulunan kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edildiğinin anlaşılması hâlinde, şirketimiz bu durumu en kısa sürede ilgilisine ve Kurula bildirir.

ÜÇÜNCÜ BÖLÜM

KİŞİSEL VERİLERİN İMHASI

3.1. SAKLAMA VE İMHA NEDENLERİ

3.1.2.  İmha Nedenleri

Şirketimiz bünyesinde bulunan kişisel veriler ilgili kişinin talebi halinde ya da Kanun’un 5’nci ve 6’ncı maddelerinde sayılan nedenlerin ortadan kalkması halinde re’sen işbu imha politikası uyarınca silinir, yok edilir veya anonim hale getirilir.

Kanun’un 5’nci ve 6’ncı maddelerinde sayılan nedenler aşağıdakilerden ibarettir:

  1. Kanunlarda açıkça öngörülmesi.
  2. Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
  3. Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
  4. Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
  5. İlgili kişinin kendisi tarafından alenileştirilmiş olması.
  6. Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
  7. İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

3.2. İMHA YÖNTEMLERİ

Şirketimiz, Kanuna ve sair mevzuatı ile Kişisel Verilerin İşlenmesi ve Korunması Politikası’na uygun olarak sakladığı kişisel verileri, verilerin işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde ilgili kişinin talebi doğrultusunda ya da işbu Kişisel Veri Saklama ve İmha Politikasında belirtilen süreler içinde re’sen siler, yok eder veya anonim hale getirir.

3.2.1. Kişisel Verilerin Silinmesi

Şirketimiz tarafından kişisel veriler aşağıda belirtilen yöntemlerle silinebilir.

Veri Kayıt Ortamı Açıklama
Sunucularda Yer Alan Kişisel Veriler Sunucularda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler için sistem yöneticisi tarafından ilgili kullanıcıların erişim yetkisi kaldırılarak silme işlemi yapılır.
Elektronik Ortamda Yer Alan Kişisel Veriler Elektronik ortamda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, veri tabanı yöneticisi hariç diğer çalışanlar (ilgili kullanıcılar) için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir.
Fiziksel Ortamda Yer Alan Kişisel Veriler Fiziksel ortamda tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler için evrak arşivinden sorumlu birim yöneticisi hariç diğer çalışanlar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. Ayrıca, üzeri okunamayacak şekilde çizilerek/boyanarak/silinerek karartma işlemi de uygulanır.
Taşınabilir Medyada Bulunan Kişisel Veriler Flash tabanlı saklama ortamlarında tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler, sistem yöneticisi tarafından şifrelenerek ve erişim yetkisi sadece sistem yöneticisine verilerek şifreleme anahtarlarıyla güvenli ortamlarda saklanır.

3.2.2. Kişisel Verilerin Yok Edilmesi

Şirketimiz tarafından kişisel veriler aşağıda belirtilen yöntemlerle yok edilebilir.

Veri Kayıt Ortamı Açıklama
Fiziksel Ortamda Yer Alan Kişisel Veriler Kâğıt ortamında yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, kağıt kırpma makinelerinde geri döndürülemeyecek şekilde yok edilir.
Optik Manyetik Medyada Yer Alan Kişisel Veriler Optik medya ve manyetik medyada yer alan kişisel verilerden saklanmasını gerektiren süre sona erenlerin eritilmesi, yakılması veya toz haline getirilmesi gibi fiziksel olarak yok edilmesi işlemi uygulanır. Ayrıca, manyetik medya özel bir cihazdan geçirilerek yüksek değerde manyetik alana maruz bırakılması suretiyle üzerindeki veriler okunamaz hale getirilir.

3.2.3. Kişisel Verilerin Anonim Hale Getirilmesi

Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir. Kişisel verilerin anonim hale getirilmiş olması için; kişisel verilerin, veri sorumlusu veya üçüncü kişiler tarafından geri döndürülmesi ve/veya verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekir.

Kurumumuz, hukuka uygun olarak işlenen kişisel verilerin işlenmesini gerektiren sebepler ortadan kalktığında kişisel verileri anonimleştirebilmektedir. KVK Kanunu‟nun 28. maddesine uygun olarak; anonim hale getirilmiş olan kişisel veriler araştırma, planlama ve istatistik gibi amaçlarla işlenebilir. Bu tür işlemeler KVK Kanunu kapsamı dışında olup, kişisel veri sahibinin açık rızası aranmayacaktır. Anonim hale getirilerek işlenen kişisel veriler KVK Kanunu kapsamı dışında olacağından kanunda düzenlenen haklar bu veriler için geçerli olmayacaktır. Anonimleştirme teknikleri;

  1. Maskeleme (Masking):Veri maskeleme ile kişisel verinin temel belirleyici bilgisini veri seti içerisinden çıkartılarak kişisel verinin anonim hale getirilmesi yöntemidir. Örnek: Kişisel veri sahibinin tanımlanmasını sağlayan isim, TC Kimlik No vb. bilginin çıkartılması yoluyla kişisel veri sahibinin tanımlanmasının imkânsız hale geldiği bir veri setine dönüştürülmesi.
  2. Toplulaştırma (Aggregation):Veri toplulaştırma yöntemi ile birçok veri toplulaştırılmakta ve kişisel veriler herhangi bir kişiyle ilişkilendirilemeyecek hale getirilmektedir. Örnek: Müşterilerin yaşlarının tek tek göstermeksizin X yaşında Z kadar müşteri bulunduğunun ortaya konulması.
  3. Veri Türetme (Data Derivation): Veri türetme yöntemi ile kişisel verinin içeriğinden daha genel bir içerik oluşturulmakta ve kişisel verinin herhangi bir kişiyle ilişkilendirilemeyecek hale getirilmesi sağlanmaktadır. Örnek: Doğum tarihleri yerine yaşların belirtilmesi; açık adres yerine ikamet edilen bölgenin belirtilmesi.
  4. Veri Karma (Data Shuffling, Permutation): Veri karma yöntemi ile kişisel veri seti içindeki değerlerinin karıştırılarak değerler ile kişiler arasındaki bağın kopartılması sağlanmaktadır. Örnek: Ses kayıtlarının niteliğinin değiştirilerek sesler ile veri sahibi kişinin ilişkilendirilemeyecek hale getirilmesi

3.3. SAKLAMA VE İMHA SÜRELERİ

3.3.1.  Saklama Süreleri

SÜREÇ SAKLAMA SÜRESİ İMHA SÜRESİ
İnsan Kaynakları Süreçlerinin Yönetilmesi Faaliyetin Sona Ermesini Takiben 10 yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Satın Alma ve Pazarlama Süreçlerinin Yönetilmesi Faaliyetin Sona Ermesini Takiben 10 yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Sözleşmelerin Hazırlanması Sözleşmenin Sona Ermesini Takiben 10 yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
İletişim Faaliyetlerinin İcrası Faaliyetin Sona Ermesini Takiben 10 yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Log Kayıt Takip Sistemleri 10 yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Donanım ve Yazılıma Erişim Süreçlerinin Yürütülmesi 2 yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Ziyaretçi Faaliyetin Sona Ermesini Takiben 30 Gün Faaliyetin Sona Ermesini Takiben 30 Gün
Kamera Kayıtları Faaliyetin Sona Ermesini Takiben 30 Gün Faaliyetin Sona Ermesini Takiben 30 Gün
İşe Giriş Muayane Formu(EK2) Faaliyetin Sona Ermesini Takiben 30 Gün Faaliyetin Sona Ermesini Takiben 30 Gün
  • Mevzuat uyarınca daha uzun bir süre düzenlenmiş olması ya da mevzuat uyarınca zamanaşımı, hak düşürücü süre, saklama süreleri vb. için daha uzun bir süre öngörülmüş olması halinde, mevzuat hükümlerindeki süreler azami saklama süresi olarak kabul edilir.
  • Ayrıca evrakın niteliği gereği, ticari veya yasal gerekçelerle, daha uzun süre saklama ihtiyacının hasıl olması halinde, yukarıdaki sürelere tabi olmaksızın, azami 20 yıla kadar ilgili evrakların saklanması mümkündür.

3.3.2.  İmha Süreleri

Şirketimiz, Kanun, ilgili mevzuat, Kişisel Verilerin İşlenmesi ve Korunması Politikası ve işbu Kişisel Verileri Saklama ve İmha Politikası uyarınca sorumlu olduğu kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde, kişisel verileri siler, yok eder veya anonim hale getirir.

Kurumumuzla, ilgili kanunlarda ve mevzuatlarda öngörülmesi durumunda kişisel verileri bu mevzuatlarda belirtilen süre boyunca saklanmaktadır. Kişisel verilerin ne kadar süre boyunca saklanması gerektiğine ilişkin mevzuatta bir süre düzenlenmemişse, kişisel veriler kurumumuz o veriyi işlerken sunduğu hizmetlerle bağlı olarak kurumumuzun uygulamaları ve ticari yaşamının teamülleri uyarınca işlenmesini gerektiren süre kadar işlenmekte daha sonra silinmekte, yok edilmekte veya anonim hale getirilmektedir. Kişisel verilerin işlenme amacı sona ermiş; ilgili mevzuat ve kurumun belirlediği saklama sürelerinin de sonuna gelinmişse; kişisel veriler yalnızca olası hukuki uyuşmazlıklarda delil teşkil etmesi veya kişisel veriye bağlı ilgili hakkın ileri sürülebilmesi veya savunmanın tesis edilmesi amacıyla saklanabilmektedir. Buradaki sürelerin tesisinde bahsi geçen hakkın ileri sürülebilmesine yönelik zaman aşımı süreleri ile zaman aşımı sürelerinin geçmesine rağmen daha önce aynı konularda kurumumuza yöneltilen taleplerdeki örnekler esas alınarak saklama süreleri belirlenmektedir. Bu durumda saklanan kişisel verilere herhangi bir başka amaçla erişilmemekte ve ancak ilgili hukuki uyuşmazlıkta kullanılması gerektiği zaman ilgili kişisel verilere erişim sağlanmaktadır. Burada da bahsi geçen süre sona erdikten sonra kişisel veriler silinmekte, yok edilmekte veya anonim hale getirilmektedir.

3.4. PERİYODİK İMHA

Firmamız, Kişisel verileri mevzuatta öngörülen minimum süre kadar muhafaza etmektedir. Bu kapsamda, kurumumuz öncelikle ilgili mevzuatta kişisel verilerin saklanması için bir süre öngörülüp öngörülmediğini tespit etmekte, bir süre belirlenmişse bu süreye uygun davranmaktadır. Yasal bir süre mevcut değil ise kişisel veriler işlendikleri amaç için gerekli olan süre kadar saklanmaktadır. Kişisel veriler belirlenen saklama sürelerinin sonunda periyodik imha sürelerine veya veri sahibi başvurusuna uygun olarak ve belirlenen imha yöntemleri (silme ve/veya yok etme ve/veya anonimleştirme) ile imha edilmektedir. Kurumumuz, kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde, kişisel verileri siler, yok eder veya anonim hale getirir.

Kurumumuz, kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden üç ay içinde, kişisel verileri siler, yok eder veya anonim hale getirir.

Kurumumuz, ilgili kişi, Kanunun 11 inci ve 13 üncü maddelerine istinaden veri sorumlusuna başvurarak kendisine ait kişisel verilerin silinmesini veya yok edilmesini talep ettiğinde;

Kişisel verileri işleme şartlarının tamamı ortadan kalkmışsa; veri sorumlusu talebe konu kişisel verileri siler, yok eder veya anonim hale getirir. Veri sorumlusu, ilgili kişinin talebini en geç otuz gün içinde sonuçlandırır ve ilgili kişiye bilgi verir.

Kişisel verileri işleme şartlarının tamamı ortadan kalkmış ve talebe konu olan kişisel veriler üçüncü kişilere aktarılmışsa veri sorumlusu bu durumu üçüncü kişiye bildirir; üçüncü kişi nezdinde bu kanun ve yönetmelik kapsamında gerekli işlemlerin yapılmasını temin eder.

Kişisel verileri işleme şartlarının tamamı ortadan kalkmamışsa, bu talep veri sorumlusunca Kanunun 13 üncü maddesinin üçüncü fıkrası uyarınca gerekçesi açıklanarak reddedilebilir ve ret cevabı ilgili kişiye en geç otuz gün içinde yazılı olarak ya da elektronik ortamda bildirilir.

3.5. İMHA İŞLEMİNİN HUKUKA UYGUNLUĞUNUN DENETİMİ

Şirketimiz, gerek talep üzerine gerekse periyodik imha süreçlerinde resen gerçekleştirdiği imha işlemlerini Kanuna, sair mevzuata, Kişisel Verilerin İşlenmesi ve Korunması Politikasına ve işbu Kişisel Veri Saklama ve İmha Politikasına uygun olarak yapar. Şirketimiz, imha işlemlerinin bu düzenlemelere uygun olarak yapıldığını temin etmek amacıyla bir takım idari ve teknik tedbirler almaktadır.

3.5.1.  Teknik Tedbirler

  • İşbu politikada yer alan her bir imha yöntemine uygun teknik araç ve ekipman bulundurur.
  • İmha işlemlerinin yapıldığı yerin güvenliğini sağlar.
  • İmha işlemini yapan kişilerin erişim kayıtlarını (imha tutanağı ve imha listesi) tutar.
  • İmha işlemini yapacak yetkin ve tecrübeli elemanlar istihdam eder ya da gerektiğinde yetkin üçüncü kişilerden hizmet alır.

3.5.2.  İdari Tedbirler

  • Şirketimiz, imha işlemini yapacak çalışanlarının bilgi güvenliği, kişisel veriler ve özel hayatın gizliliği konularında farkındalıklarının artırılması ve bilinçlendirilmesi için çalışmalar yapar.
  • Teknik ya da hukuki gereklilikler nedeniyle imha işlemini üçüncü kişilere yaptırdığı durumlarda ilgili üçüncü kişilerle kişisel verilerin korunması amacıyla protokoller imzalar, ilgili üçüncü kişilerin bu protokollerdeki yükümlülüklerine uyması için gerekli tüm özeni gösterir.
  • İmha işlemlerinin hukuka ve işbu Kişisel Veri Saklama ve İmha Politikasında belirtilen şart ve yükümlülüklere uygun olarak yapılıp yapılmadığını düzenli olarak denetler, gereken aksiyonları alır.
  • Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesiyle ilgili yapılan bütün işlemleri kayıt altına alır ve söz konusu kayıtları, diğer hukuki yükümlülükler hariç olmak üzere en az üç yıl süreyle saklar.

DÖRDÜNCÜ BÖLÜM

4.1. KİŞİSEL VERİ KOMİTESİ

Şirket bünyesinde bir Kişisel Veri Komitesi kurar. Kişisel Veri Komitesi, ilgili kişilerin verilerinin hukuka, Kişisel Verilerin İşlenmesi ve Korunması Politikasına ve Kişisel Veri Saklama ve İmha Politikasına uygun olarak saklanması ve işlenmesi için gerekli işlemleri yapmak/yaptırmak ve süreçleri denetlemekle yetkili ve görevlidir.

Kişisel Veri Komitesi bir yönetici, iki idari uzman ve iki teknik uzman olmak üzere beş kişiden oluşur.

Kişisel Veri Komitesinde görevli şirket çalışanlarının unvanları ve görev tanımları aşağıda belirtilmiştir:

UNVAN GÖREV TANIMI
Kişisel Veri Komitesi Yöneticisi Kanuna uyumluluk sürecinde yürütülen projelerde her türlü planlama,  analiz,  araştırma,  risk belirleme çalışmalarını yönlendirmek;  Kanun,  Kişisel Verilerin İşlenmesi ve Korunması Politikası ve Kişisel Veri Saklama ve İmha Politikası uyarınca yürütülmesi gereken süreçleri yönetmek ve ilgili kişilerce gelen talepleri karara bağlamakla yükümlüdür.
KVK Uzmanı (Teknik, İdari) İlgili kişilerin taleplerinin incelenmesi ve değerlendirilmek (Hukuk, Teknik ve İdari) üzere Kişisel Veri Komitesi Yöneticisine raporlanmasından; Kişisel Veri Komitesi Yöneticisi tarafından değerlendirilen ve karara bağlanan ilgili kişi taleplerine ilişkin işlemlerin Kişisel Veri Komitesi Yöneticisinin kararı uyarınca yerine getirilmesinden; saklama ve imha süreçlerinin denetiminin yapılmasından ve bu denetimlerin Kişisel Veri Komitesi Yöneticisine raporlanmasından; saklama ve imha süreçlerinin yürütülmesinden sorumludur.

KVK VERİ KOMİTESİ

GENEL MÜDÜR KİŞİSEL VERİ KOMİTESİ YÖNETİCİSİ
GENEL MÜDÜR YARDIMCISI KVK UZMANI ( TEKNİK, İDARİ)
GENEL MÜDÜR YARDIMCISI
GENEL MÜDÜR YARDIMCISI
GENEL MÜDÜR YARDIMCISI

4.2 KİŞİSEL VERİ İMHA KOMİSYONU

Şirket bünyesinde bir Kişisel Veri İmha Komisyonu kurar. Kişisel Veri İmha Komisyonu, ilgili kişilerin verilerinin hukuka, Kişisel Verilerin İşlenmesi ve Korunması Politikasına ve Kişisel Veri Saklama ve İmha Politikasına uygun olarak saklanması, silinmesi ve anonimleştirilmesi için gerekli işlemleri yapmak/yaptırmak yetkili ve görevlidir. İmha Komisyonu, kullanılmasına ve muhafazasına lüzum görülmeyen her türlü malzemenin imhası, ayıklama ve imha komisyonlarının nihai kararı ile yapılır.

Komisyon her bir birim için bir imha listesi ve imhanın yapıldığına dair imha tutanağı tutulur. İkişer nüsha olarak hazırlanan imha listeleri ve tutanakları, bunlarla ilgili yazışma ve onaylar, aidiyetleri göz önüne alınarak gruplandırılır. Bu nüshalardan birincisi birim, ikincisi şirket arşivinde muhafaza edilir. Listeler, denetime hazır vaziyette en az 3 yıl süre ile saklanır.

Kişisel Veri İmha Komisyonu bir başkan, 3 üye olmak üzere 4 kişiden oluşur.

Kişisel Veri İmha Komisyonu görevli şirket çalışanlarının unvanları ve görev tanımları aşağıda belirtilmiştir:

UNVAN GÖREV TANIMI
BAŞKAN İmha işleminden sorumlu yetkili
ÜYE İmha işleminden sorumlu personel

KİŞİSEL VERİ İMHA KOMİSYONU

GENEL MÜDÜR YARDIMCISI BAŞKAN
MUHASEBE UZMANI ÜYE
SAĞLIK MÜDÜRÜ
MALİ MÜŞAVİR

BEŞİNCİ BÖLÜM

POLİTİKA’NIN YAYINLANMASI VE SAKLANMASI

Politika, Mesul Müdür tarafından onaylandıktan sonra kurumun web sayfasından yayınlanır. Eşzamanlı olarak internet ortamında tüm Bölüm/Birimlerle paylaşılır. Politikanın yürürlükten kaldırılmasına karar verilmesi halinde, Politika‟nın ıslak imzalı eski nüshaları Mesul Müdürü tarafından iptal edilerek (iptal kaşesi vurularak) imzalanır ve kurum arşivinde saklanır.

5.1 GÜNCELLEME VE UYUM

Şirketimiz, Kanunda yapılan değişiklikler nedeniyle, Kurum kararları uyarınca ya da sektördeki ya da bilişim alanındaki gelişmeler doğrultusunda Kişisel Verilerin İşlenmesi ve Korunması Politikasında ya da işbu Kişisel Veri Saklama ve İmha Politikasında değişiklik yapma hakkını saklı tutar.

İşbu Kişisel Veri Saklama ve İmha Politikasında yapılan değişiklikler derhal metne işlenir ve değişikliklere ilişkin açıklamalar politikanın sonunda açıklanır.

KVKK ve ilgili diğer mevzuat hükümleri ile işbu Politika arasında uyumsuzluk olması halinde, öncelikle KVKK ve ilgili diğer mevzuat hükümleri uygulanacaktır.

5.2 POLİTİKA’NIN GÜNCELLENME PERİYODU

Politika, ihtiyaç duyuldukça gözden geçirilir ve gerekli olan bölümler güncellenir.

5.3 POLİTİKANIN YÜRÜRLÜĞÜ

İşbu Politika onaylandığı tarih (29/03/2021) itibari ile yürürlüğe girer. Yürürlüğe giren politika; başta kanun olmak üzere ve yürürlükteki mevzuat ile bu politika‟da yer verilen düzenlemelerin çelişmesi halinde mevzuat hükümleri uygulanır. Firmamız, yasal düzenlemelere paralel olarak Politika‟da değişiklik yapma hakkını saklı tutar. Politika‟nın güncel haline firmamız (https://hekimbey.com.tr/) web sitesinden erişilebilirsiniz.

5.4 YÜRÜTME

İşbu Politika‟nın yürütülmesinden veri sorumlusu ve veri sorumlusunun yükümlülüklerini yerine getirmekle yükümlü olan firmamız yönetim kurulunun KVK Kanunu ve Veri Koruma Kurulu düzenlemeleri kapsamındaki tüm iş ve işlemlerin takibinden ve koordinasyonundan sorumlu olmak üzere tüm Bölüm/Birimler Sorumluları sorumludur.

5.5 POLİTİKA ONAY SAYFASI

Firmamız, 6698 Sayılı Kişisel Verilerin Korunması Kanunu gereğince hazırlanan “Kişisel Verilerin İşlenmesi, Korunması ve Politikası” tarafımızca incelenerek ve kurumun web sayfası ve intranet ortamında yayınlanması uygun görülmüştür.

HEKİMBEY İŞ SAĞLIĞI VE GÜVENLİĞİ LTD. ŞTİ. KİŞİSEL VERİLERİN İŞLENMESİ,KORUNMASI VE GİZLİLİK POLİTİKASI

BİRİNCİ BÖLÜM

1.GİRİŞ

1.1. Giriş

HEKİMBEY İş Sağlığı ve Güvenliği LTD. ŞTİ.  (“Şirket”) olarak 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK” veya “Kanun”) uyarınca, ticari faaliyetlerimizi yerine getirirken herhangi bir şekilde temas ettiğimiz tüm gerçek kişilere ait kişisel verilerin hukuka uygun olarak işlenmesi ve korunmasına azami önem veriyor ve tüm planlama ve faaliyetlerimizde bu özenle hareket ediyoruz. Bu bilinçle, gerek Kanun’un 10. maddesi kapsamında aydınlatma yükümlülüğünü yerine getirmek gerekse kişisel verilerin işlenmesi ve korunması kapsamında aldığımız tüm idari ve teknik tedbirleri bildirmek adına, işbu Kişisel Verilerin İşlenmesi, Korunması ve Gizlilik Politikası’nı (“Politika”) sizlerin bilgisine sunmaktayız.

1.2. Politikanın Amacı

İşbu Politika’nın temel amacı, hukuka ve Kanun’un amacına uygun olarak kişisel verilerin işlenmesi ve korunmasına yönelik sistemler konusunda açıklamalarda bulunmak, bu kapsamda Şirket iç ve dış paydaşları, Şirket yetkilileri, şirket iş ortakları, tedarikçiler, danışmanlarımız, çalışanlarımız ve çalışan adaylarımız, ziyaretçilerimiz, müşterilerimiz, potansiyel müşteriler ve üçüncü kişiler, resmi kurumlar, bankalar, bağımsız denetim kuruluşları başta olmak üzere kişisel verileri Şirketimiz tarafından işlenen kişileri bilgilendirmektir. Bu şekilde Şirketimiz tarafından gerçekleştirilen kişisel verilerin işlenmesi ve korunması faaliyetlerinde mevzuata tam uyumun sağlanması ve kişisel veri sahiplerinin kişisel verilere dair mevzuattan kaynaklanan tüm haklarının korunması hedeflenmektedir.

1.3. Politikanın Kapsamı ve Kişisel Veri Sahipleri

Bu Politika; otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla, Şirket iç ve dış paydaşları, Şirket yetkilileri, Şirket iş ortakları, tedarikçiler, danışmanlarımız, çalışanlarımız ve çalışan adaylarımız, ziyaretçilerimiz, müşterilerimiz, potansiyel müşteriler ve üçüncü kişiler, resmi kurumlar, bankalar, bağımsız denetim kuruluşları başta olmak üzere kişisel verileri Şirketimiz tarafından işlenen kişiler için hazırlanmıştır ve bu belirtilen kişiler kapsamında uygulanacaktır.

Şirketimiz bu Politikayı internet sitesinde yayımlamak suretiyle bahse konu Kişisel Veri Sahipleri’ni Kanun hakkında bilgilendirmektedir. Verinin aşağıda belirtilen kapsamda “Kişisel Veri” kapsamında yer almaması veya Şirketimiz tarafından gerçekleştirilen Kişisel Veri işleme faaliyetinin yukarıda belirtilen yollarla olmaması halinde de işbu Politika uygulanmayacaktır.

1.4. Tanımlar

İşbu Politika’da yer verilen kavramlar aşağıda belirtilen anlamları ifade eder:

Şirket/Şirketimiz HEKİMBEY İŞ SAĞLIĞI GÜVENLİĞİ LTD. ŞTİ. dir.
Kişisel Veri/Veriler Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgidir.
Özel Nitelikteki Kişisel Veri/Veriler Irk,  etnik köken,  siyasi düşünce,  felsefi inanç,  din, mezhep veya diğer inançlar, kılık kıyafet, dernek vakıf ya da sendika üyeliği,  sağlık,  cinsel hayat,  ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir.
Kişisel Verilerin İşlenmesi Kişisel Verilerin tamamen veya kısmen otomatik olan yada herhangi bir veri kayıt sisteminin  parçası  olmak kaydıyla  otomatik  olmayan  yollarla  elde  edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi,   yeniden  düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılmasıya  da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemdir.
Kayıt Ortamı Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortamdır.
Veri Sahibi/İlgili Kişi Şirket iç ve dış paydaşları, Şirket yetkilileri, şirket işortakları, tedarikçiler, danışmanlarımız, çalışanlarımız ve çalışan adaylarımız, ziyaretçilerimiz, müşterilerimiz, potansiyel müşteriler ve üçüncü kişiler, resmi kurumlar, bankalar, bağımsız denetim kuruluşları gibi kişisel verisi şirket tarafından işlenen gerçek kişileri ifade eder.
Veri Kayıt Sistemi Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini ifade eder.
Veri Sorumlusu Kişisel verilerin işleme amaçlarını ve yöntemlerini belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan tüzel kişidir.
Veri İşleyen Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel veri işleyen gerçek ve tüzel kişidir.
İlgili Kullanıcı Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişilerdir.
Açık Rıza Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızadır.
İmha Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesidir.
Anonim Hale Getirme Daha öncesinde bir kişiyle ilişkilendirilmiş olan verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.
Kişisel Verilerin Silinmesi Kişisel verilerin İlgili Kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesidir.
Kişisel Verilerin Yok Edilmesi Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.
Periyodik İmha Kanun’da yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla re’sen gerçekleştirilecek silme,  yok etme veya anonim hale getirme işlemidir.
Kanun/KVKK 6698 sayılı Kişisel Verilerin Korunması Kanunu’nu ifadeeder.
Yönetmelik 28 Ekim 2017 tarihinde Resmi Gazete’de yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik’dir
KVKK Kurulu Kişisel Verileri Koruma Kurulu’dur

1.5. Politikanın Yürürlüğü

Şirket tarafından düzenlenerek 29/03/2021 tarihinde yürürlüğe giren işbu Politika, Şirket’in internet sitesinde (https://hekimbey.com.tr/) yayımlanır ve İlgili Kişinin talebi üzerine ilgili kişilerin erişimine sunulur.

İKİNCİ BÖLÜM

2.KİŞİSEL VERİLERİN İŞLENMESİ VE AKTARILMASI

2.1. Kişisel Verilerin İşlenmesinde Genel İlkeler

Şirket tarafından Kişisel Veriler, KVKK ve ilgili diğer kanunlarda ve bu Politikada öngörülen usul ve esaslara uygun olarak işlenmektedir. Bu çerçevede Şirket, Kişisel Verileri işlerken aşağıdaki ilkelerle hareket etmektedir:

  • Kişisel Veriler, ilgili hukuk kurallarına ve dürüstlük kuralının gereklerine uygun olarak işlenir. Bu ilke uyarınca, Şirket’in veri işleme süreçleri başta Anayasa ve KVKK olmak üzere ilgili tüm mevzuat ile dürüstlük kurallarının gerektirdiği sınırlar içinde kalınarak yürütülmektedir.
  • Kişisel Verilerin bilgilendirilmek kaydıyla doğru ve güncel olması sağlanır. Bu kapsamda verilerin elde edildiği kaynakların belirli olması, doğruluğunun teyit edilmesi, güncellenmesi gerekip gerekmediğinin değerlendirilmesi gibi hususlar özenle dikkate alınır.
  • Bu ilke uyarınca, Şirket tarafından işlenen kişisel verilerin doğru ve güncel duruma uygun olması için gerekli tedbirler alınmakta ve işlenmekte olan verilerin gerçek durumu yansıtmasını sağlamak amacıyla bilgilendirmeler de bulunularak ilgili kişilere gerekli imkânlar tanınmaktadır.
  • Kişisel Veriler; belirli, açık ve meşru amaçlarla işlenir. Amacın meşru olması, Şirketin işlediği Kişisel Verilerin, yapmış olduğu iş veya sunmuş olduğu hizmetle bağlantılı ve bunlar için gerekli olması anlamına gelir.

Bu çerçevede Şirket, yalnızca açık ve kesin olarak belirlenen meşru amaçlarla kişisel veri işlemekte olup, bu amaçlar dışında veri işleme faaliyetinde bulunmamaktadır. Bu kapsamda, Şirket yalnızca ilgili kişiler ile kurulan iş ilişkisi ile bağlantılı olarak ve bunlar açısından gerekli olması halinde kişisel veri işlemektedir.

  • Kişisel Veriler, Şirket tarafından belirlenen amaçların gerçekleştirilebilmesi için amaçla bağlantılı olup, amacın gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan Kişisel Verilerin işlenmesinden kaçınılır. İşlenen veriyi, sadece amacın gerçekleştirilmesi için gerekli olanla sınırlı tutar. Bu kapsamda işlenen Kişisel Veriler, işlendikleri amaçla bağlantılı, sınırlı ve ölçülüdür.
  • İlgili mevzuatta verilerin saklanması için öngörülen bir süre bulunması halinde bu sürelere uyum gösterir; aksi durumda Kişisel Verileri, ancak işlendikleri amaç için gerekli olan süre kadar muhafaza eder. Kişisel Veri’nin daha fazla muhafaza edilmesi için geçerli bir sebep kalmaması durumunda, söz konusu veri silinir, yok edilir veya anonim hale getirilir.

2.2. Kişisel Verilerin İşlenme Şartları

Kanun'da sayılan istisnalar dışında Şirket, Kişisel Verileri ilgili kişinin açık rızası olmaksızın işlememektedir. Ancak aşağıdaki şartlardan birinin varlığı hâlinde ise, ilgili kişinin açık rızası olmasa dahi, Kişisel Veriler işlenebilecektir.

  • Şirket, İlgili Kişilerin Kişisel Verilerini açık rıza olmasa dahi kanunlarda açıkça öngörülen hallerde işleyebilir. Örneğin; Vergi Usul Kanunu’nun 230. Maddesi uyarınca fatura üzerinde ilgili kişinin adına yer verilmesi için ilgili kişinin açık rızası aranmayacaktır.
  • Fiili imkânsızlık nedeni ile rızasını açıklayamayacak durumda olan veya rızasına geçerlilik tanınamayacak olan kişilerin kendisinin ya da başka bir kişinin hayat veya beden bütünlüğünün korunması için Kişisel Veriler açık rıza olmadan işlenebilir. Örneğin kişinin şuurunun yerinde olmadığı veya akıl hastası olması sebebiyle rızasının geçerli olmadığı bir durumda, hayat veya beden bütünlüğünün korunması amacıyla, tıbbi müdahale yapılması sırasında, İlgili Kişi’nin Kişisel Verileri işlenebilecektir. Bu bağlamda kan grubu, geçirilen hastalıklar ve ameliyatlar, kullanılan ilaçlar gibi veriler, ilgili sağlık sistemi üzerinden işlenebilir.
  • Şirket tarafından bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait Kişisel Veriler işlenebilecektir. Örneğin, yapılan bir sözleşme gereği paranın ödenmesi için alacaklı tarafın hesap numarası bilgisi alınabilecektir.
  • Şirket, veri sorumlusu olarak hukuki yükümlülüklerini yerine getirebilmek için zorunlu ise, Kişisel İlgili Kişilerin Kişisel Verilerini işleyebilir.
  • Şirket tarafından İlgili Kişilerin kendisi tarafından alenileştirilen bir başka ifadeyle herhangi bir şekilde kamuoyuna açıklanmış olan Kişisel Verileri, korunması gereken hukuki yarar ortadan kalktığından işlenebilir.
  • Şirket, hukuken meşru bir hakkın kullanılması veya korunması için veri işlemenin zorunlu olduğu hallerde İlgili Kişilerin Kişisel Verilerini açık rıza aramaksızın işleyebilir.
  • Şirket, İlgili Kişilerin kanun ve politika kapsamında korunan temel hak ve özgürlerine zarar vermemek kaydıyla meşru menfaatlerinin temini için İlgili Kişilerin işlenmesinin zorunlu olduğu durumlarda İlgili Kişilerin Kişisel Verilerini işleyebilir. Şirket, Kişisel Veriler’in korunmasına ilişkin temel ilkelere uyulması ve İlgili Kişilerin menfaat dengesinin gözetilmesi konusunda gerekli hassasiyeti göstermektedir.

2.3. Özel Nitelikli Kişisel Verilerin İşlenme Şartları

Şirket, Özel Nitelikli Kişisel Verileri, ilgilinin açık rızası olmaksızın işlememektedir. Ancak sağlık ve cinsel hayat dışındaki Kişisel Veriler, kanunlarda öngörülen hallerde ilgili kişinin açık rıza aranmaksızın işlenebilecektir. Sağlık ve cinsel hayata ilişkin Kişisel Veriler, Şirket tarafından ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbı teşhis ve tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunduğumuz koşullarda ilgili kişinin açık rızası aranmaksızın işlenir. Şirket Özel Nitelikteki Kişisel Veriler’in işlenmesinde Kurul tarafından belirlenen yeterli önlemlerin alınması konusunda gerekli işlemleri yürütmektedir.

2.4. Kişisel Verilerin Aktarılma Şartları

Şirketimiz Kişisel Verileri işleme amaçları doğrultusunda gerekli gizlilik koşullarını oluşturarak ve güvenlik önlemlerini alarak İlgili Kişilerin Kişisel Verilerini ve Özel Nitelikli Kişisel Verileri üçüncü kişilere Kanuna uygun olarak aktarabilir. Şirketimiz Kişisel Verilerin aktarılması sırasında Kanunda öngörülen düzenlemelere uygun hareket etmektedir. Bu kapsamda Şirketimiz meşru ve hukuka uygun Kişisel Veri işleme amaçları doğrultusunda aşağıda sayılan, Kanun’un 5. maddesinde belirtilen Kişisel Veri işleme şartlarından bir veya birkaçına dayalı ve sınırlı olarak

Kişisel Verileri üçüncü kişilere:

  • İlgili Kişinin açık rızası var ise;
  • Kanunlarda Kişisel Verinin aktarılacağına ilişkin açık bir düzenleme var ise, İlgili Kişinin veya başkasının hayatı veya beden bütünlüğünün korunması için zorunlu ise ve
  • İlgili Kişi fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda ise veya rızasına hukuki geçerlilik tanınmıyorsa,
  • Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olmak kaydıyla sözleşmenin taraflarına ait Kişisel Verinin aktarılması gerekli ise,
  • Şirketimizin hukuki yükümlülüğünü yerine getirmesi için Kişisel Veri aktarımı zorunlu ise,
  • Kişisel Veriler, İlgili Kişi tarafından alenileştirilmiş ise,
  • Kişisel Veri aktarımı bir hakkın tesisi, kullanılması veya korunması için zorunlu ise,
  • İlgili Kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, Şirketimizin meşru menfaatleri için Kişisel Veri aktarımı zorunlu ise aktarabilir.

2.4.1.  Kişisel Verilerin Yurt Dışına Aktarılma Şartları

Şirketimiz Kişisel Veri işleme amaçları doğrultusunda gerekli güvenlik önlemleri alarak İlgili Kişilerin Kişisel Verilerini ve Özel Nitelikli Kişisel Verilerini yurt dışındaki üçüncü kişilere aktarabilir. Şirketimiz tarafından Kişisel Veriler; KVK Kurulu tarafından yeterli korumaya sahip olduğu ilan edilen yabancı ülkelere veya yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt ettiği ve KVK Kurulu’nun izninin bulunduğu yabancı ülkelere aktarılabilir.

2.5. Özel Nitelikli Kişisel Verilerin Aktarılma Şartları

Şirket, gerekli özeni göstererek, gerekli güvenlik tedbirlerini alarak ve KVK Kurulu tarafından öngörülen yeterli önlemleri alarak; meşru ve hukuka uygun Kişisel Veri işleme amaçları doğrultusunda İlgili Kişi’nin Özel Nitelikli Kişisel Verilerini aşağıdaki durumlarda üçüncü kişilere aktarabilmektedir.

  • İlgili Kişi’nin açık rızası olması halinde veya
  • Aşağıdaki şartların varlığı halinde İlgili Kişi’nin açık rızası aranmaksızın;
  • İlgili Kişi’nin sağlığı ve cinsel hayatı dışındaki Özel Nitelikli Kişisel Veriler’i (ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir), kanunlarda öngörülen hallerde,
  • İlgili Kişi’nin sağlığına ve cinsel hayatına ilişkin Özel Nitelikli Kişisel Veriler’i ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından aktarılabilmektedir.

2.5.1.  Özel Nitelikli Kişisel Verilerin Yurt Dışına Aktarılması

Şirket, gerekli özeni göstererek, gerekli güvenlik tedbirlerini alarak ve KVK Kurulu tarafından öngörülen yeterli önlemleri alarak; meşru ve hukuka uygun Kişisel Veri işleme amaçları doğrultusunda İlgili Kişi’nin Özel Nitelikli Kişisel Verilerini aşağıdaki durumlarda yeterli korumaya sahip veya yeterli korumayı taahhüt eden veri sorumlusunun bulunduğu yabancı ülkelere aktarabilmektedir.

  • İlgili Kişi’nin açık rızası olması halinde veya
  • Aşağıdaki şartların varlığı halinde İlgili Kişi’nin açık rızası aranmaksızın;
  • İlgili Kişi’nin sağlığı ve cinsel hayatı dışındaki Özel Nitelikli Kişisel Veriler’i (ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir), kanunlarda öngörülen hallerde,
  • İlgili Kişi’nin sağlığına ve cinsel hayatına ilişkin Özel Nitelikli Kişisel Veriler’i ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından aktarılabilmektedir.

ÜÇÜNCÜ BÖLÜM

3.KİŞİSEL VERİLERİN İŞLENME VE AKTARILMA AMAÇLARI, AKTARILACAĞI KİŞİLER

3.1. Kişisel Verilerin İşlenme ve Aktarılma Amaçları

Kişisel Veriler;  hukuka ve Kanun’un amacına uygun olarak Şirket’in,

  • İşletmelerimizin genel ve ticari güvenliğinin temin edilmesi,
  • İşe alım süreçlerinin yürütülmesi ve güvenlik süreçlerinin temini,
  • İnsan kaynakları politikalarının en iyi şekilde planlanması ve uygulanması,
  • Ticari ortaklıklarının ve stratejilerinin doğru olarak planlanması, yürütülmesi ve yönetilmesi,
  • Kendisinin ve iş ortaklarının hukuki, ticari ve fiziki güvenliğinin temini,
  • Kurumsal işleyişinin sağlanması, yönetim ve iletişim faaliyetlerinin planlanması ve icrası,
  • Ürün ve hizmetlerinden İlgili Kişilerin en iyi şekilde faydalandırılması ve onların talep, ihtiyaç ve isteklerine göre özel hale getirilerek önerilmesi,
  • Müşteri, ticari ortaklar, tedarikçiler, çalışanlar, çalışan adayları için veri tabanlarının oluşturulması,
  • Kendisine talep ve şikâyetlerini ileten İlgili Kişilerin ile iletişime geçmesi ve talep ve şikâyet yönetiminin sağlanması,
  • İş ortakları veya tedarikçilerle olan ilişkilerin yönetimi,
  • Personel temin süreçlerinin yürütülmesi,
  • Finansal raporlama ve risk yönetimi işlemlerinin icrası/takibi,
  • Şirket hukuk işlerinin icrası/takibi,
  • Şirket itibarının korunmasına yönelik çalışmaların gerçekleştirilmesi,
  • Yatırımcı ilişkilerinin yönetilmesi,
  • Yetkili kuruluşlara mevzuattan kaynaklı bilgi verilmesi,
  • Güvenlik amacıyla ve yasal zorunluluklar sebebi ile görüntü kayıt süreçlerinin, tesis içine girişlerde kimlik ve izin süreçlerinin yürütülmesi, İSG eğitimlerinin koordinasyonu ve iş kaza kayıtlarının tutulması, ziyaretçi prosedürü ile acil durum operasyonlarının koordinasyonu, sağlık süreçlerinin yürütülmesi, misafir internet kullanım kayıtları, iletişim formunun alınması gibi amaçlarla,
  • Ziyaretçi kayıtlarının oluşturulması ve takibi amaçlarıyla sınırlı olarak Kanun’un 5. ve 6. maddelerinde belirtilen kişisel veri işleme şartları kapsamında işlenir. Bahsi geçen amaçlarla gerçekleştirilen işleme faaliyetinin, Kanun kapsamında öngörülen şartlardan herhangi birini karşılamıyor olması halinde, ilgili işleme sürecine ilişkin olarak Şirket tarafından açık rızanız temin edilmektedir.

3.2. Kişisel Verilerin Aktarılacağı Kişiler

Kişisel Veriler, tarafınıza sunulan hizmetlerin tam ve kusursuz olmasını temin edebilmek amacıyla ve yalnızca hizmetin niteliğiyle uygun düştüğü ölçüde iş ve çözüm ortaklarımız, bankalar, teknik, lojistik ve benzeri diğer işlemleri bizim adımıza gerçekleştiren üçüncü kişilerle paylaşılabilmektedir. Bu üçüncü kişiler ilgili hizmetlerin tam ve kusursuz temin edilebilmesi için ilgili bilgilere ulaşması zorunlu olan kişilerden ibarettir.

Bunların haricinde hizmetin tam ve kusursuz olarak verilebilmesi için başkaca üçüncü kişilerle verilerin paylaşılmak zorunda kalınması, Şirket’in hukuki yükümlülüklerini yerine getirebilmesi için zorunlu olması, kanunlarda açıkça öngörülmüş olması yahut yasalara uygun olarak verilmiş olan bir adli/idari emir bulunması gibi hallerde de Kişisel Verileriniz -yalnızca ilgili kişi ya da kurumla sınırlı olmak üzere- aktarılabilecektir.

Kişisel Verilerin bir kısmı, reklamların hedef kitleye uyarlanabilmesini sağlamak amacıyla, yalnızca diğer kullanıcılara ait bilgilerle birlikte ve/veya toplu olarak reklam verenlerle paylaşılabilir.

Anonimleştirilmiş verilerin paylaşılması durumunda ise, siz ziyaretçilerimiz/müşterilerimizle eşleştirilemeyecek bilgiler olup, kimlik bilgilerinizi içermez ya da kimliğinizi belirlenebilir kılmaz. Anonimleştirilmiş verilerde gizliliğiniz güvence altındadır.

DÖRDÜNCÜ BÖLÜM

4.KİŞİSEL VERİLERİN KORUNMASI DAİR HUSUSLAR

Şirket, Kanun’un 12. maddesine uygun olarak, işlemekte olduğu Kişisel Veriler’in hukuka aykırı olarak işlenmesini önlemek, verilere hukuka aykırı olarak erişilmesini önlemek ve verilerin muhafazasını sağlamak için uygun güvenlik düzeyini sağlamaya yönelik gerekli teknik ve idari tedbirleri almakta, bu kapsamda gerekli denetimleri yapmakta veya yaptırmaktadır.

4.1. Kişisel Verilerin Güvenliğinin Sağlanması

4.1.1. Kişisel Verilerin Hukuka Uygun İşlenmesini Sağlamak için Alınan Teknik ve İdari Tedbirler

Şirket, Kişisel Veriler’in hukuka uygun işlenmesini sağlamak için, teknolojik imkânlar ve uygulama maliyetine göre teknik ve idari tedbirler almaktadır.

Kişisel Verilerin Hukuka Uygun İşlenmesini Sağlamak için Alınan Teknik Tedbirler

Şirket tarafından Kişisel Veriler’in hukuka uygun işlenmesini sağlamak için alınan başlıca teknik tedbirler aşağıda sıralanmaktadır:

  • Yetkilendirme sistemi ile yetkisiz kişi veya kurumlar tarafından kişisel verilere erişimin engellenmesi sağlanmaktadır.
  • Şirket bünyesinde gerçekleştirilen Kişisel Veri işleme faaliyetleri kurulan teknik sistemlerle denetlenmektedir.

Kişisel Verilerin Hukuka Uygun İşlenmesini Sağlamak için Alınan İdari Tedbirler

Şirket tarafından Kişisel Veriler’in hukuka uygun işlenmesini sağlamak için alınan başlıca idari tedbirler aşağıda sıralanmaktadır:

  • Çalışanlar, Kişisel Veriler’in korunması hukuku ve Kişisel Veriler’in hukuka uygun olarak işlenmesi konusunda bilgilendirilmekte ve eğitilmektedir.
  • Şirket, kendi kurum veya kuruluşunda, Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmakta ve yaptırmaktadır.
  • Şirket’in yürütmekte olduğu tüm faaliyetler detaylı olarak tüm iş birimleri özelinde analiz edilerek, bu analiz neticesinde ilgili iş birimlerinin gerçekleştirmiş olduğu faaliyetler özelinde Kişisel Veri işleme faaliyetleri ortaya konulmaktadır.
  • Şirket’in iş birimlerinin yürütmekte olduğu Kişisel Veri işleme faaliyetleri; bu faaliyetlerin Kanun’un aradığı Kişisel Veri işleme şartlarına uygunluğun sağlanması için yerine getirilecek olan gereklilikler her bir iş birimi ve yürütmekte olduğu detay faaliyet özelinde belirlenmektedir.
  • İş birimi bazında belirlenen hukuksal uyum gerekliliklerinin sağlanması için ilgili iş birimleri özelinde farkındalık yaratılmakta ve uygulama kuralları belirlenmekte; bu hususların denetimini ve uygulamanın sürekliliğini sağlamak için gerekli idari tedbirler şirket içi politikalar ve eğitimler yoluyla hayata geçirilmektedir.
  • Şirket, kişisel verilerin işlenmesi hakkında personeline gerekli KVK eğitimlerini vermektedir.
  • Şirket ile çalışanlar arasındaki hukuki ilişkiyi yöneten sözleşme ve belgelere, Şirket’in talimatları ve kanunla getirilen istisnalar dışında, Kişisel Veri’leri işlememe, ifşa etmeme ve kullanmama yükümlülüğü getiren kayıtlar konulmakta ve bu konuda çalışanların farkındalığı yaratılmakta ve denetimler yürütülerek Kanun’dan doğan yükümlülükler yerine getirilmektedir.
  • İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, Şirket bu durumu en kısa sürede ilgilisine ve Kurula bildirir.
  • Kişisel verilerin paylaşılması ile ilgili olarak, Şirket, kişisel verilerin paylaşıldığı kişiler ile çerçeve sözleşme imzalar yahut sözleşmelere ekleyeceği hükümler ile veri güvenliğini sağlar.

4.1.2. Kişisel Verilerin Hukuka Aykırı Erişimini Engellemek için Alınan Teknik ve İdari Tedbirler

Şirket, Kişisel Veriler’in tedbirsizlikle veya yetkisiz olarak açıklanmasını, erişimini, aktarılmasını veya başka şekillerdeki tüm hukuka aykırı erişimi önlemek için korunacak verinin niteliği, teknolojik imkânlar ve uygulama maliyetine göre teknik ve idari tedbirler almaktadır.

Kişisel Verilerin Hukuka Aykırı Erişimini Engellemek için Alınan Teknik Tedbirler

Şirket tarafından Kişisel Veriler’in hukuka aykırı erişimini engellemek için alınan başlıca teknik tedbirler aşağıda sıralanmaktadır:

  • Teknolojideki gelişmelere uygun teknik önlemler alınmakta, alınan önlemler periyodik olarak güncellenmekte ve yenilenmektedir.
  • İş birimi bazında belirlenen hukuksal uyum gerekliliklerine uygun olarak erişim ve yetkilendirme teknik çözümleri devreye alınmaktadır.
  • Erişim yetkileri sınırlandırılmakta, yetkiler düzenli olarak gözden geçirilmektedir.
  • Alınan teknik önlemler periyodik olarak iç denetim mekanizması gereği ilgilisine raporlanmakta, risk teşkil eden hususlar yeniden değerlendirilerek gerekli teknolojik çözüm üretilmektedir.
  • Virüs koruma sistemleri ve güvenlik duvarlarını içeren yazılımlar ve donanımlar kurulmaktadır.
  • Kişisel Veriler’in toplandığı uygulamalardaki güvenlik açıklarını saptamak için düzenli olarak güvenlik taramalarından geçirilmektedir. Bulunan açıkların kapatılması sağlanmaktadır.
  • Kurulan sistemler kapsamında gerekli iç kontrolleri yapılmaktadır.
  • Kurulan sistemler kapsamında risk analizi, veri sınıflandırması, risk değerlendirmesi ve iş etki analizinin gerçekleştirilmesi süreçleri yürütülmektedir.
  • Kişisel verilerin kurum dışına sızmasını engelleyecek ve/veya gözlemleyecek teknik altyapının temin edilmesini ve ilgili matrislerin oluşturulması sağlanmaktadır.
  • Bilgi teknolojileri birimlerinde çalışanların kişisel verilere erişimi yetkilerinin kontrol altında tutulması sağlanmaktadır.

Kişisel Verilerin Hukuka Aykırı Erişimini Engellemek için Alınan İdari Tedbirler

Şirket tarafından Kişisel Veriler’in hukuka aykırı erişimini engellemek için alınan başlıca idari tedbirler aşağıda sıralanmaktadır:

  • Çalışanlar, Kişisel Veri’lere hukuka aykırı erişimi engellemek için alınacak teknik tedbirler konusunda eğitilmektedir.
  • İş birimi bazında Kişisel Veri işlenmesi hukuksal uyum gerekliliklerine uygun olarak Şirket içinde Kişisel Veri’lere erişim ve yetkilendirme süreçleri tasarlanmakta ve uygulanmaktadır.
  • Çalışanlar, öğrendikleri Kişisel Veri’leri Kanun hükümlerine aykırı olarak başkasına açıklayamayacağı ve işleme amacı dışında kullanamayacağı ve bu yükümlülüğün görevden ayrılmalarından sonra da devam edeceği konusunda bilgilendirilmekte ve bu doğrultuda kendilerinden gerekli taahhütler alınmaktadır.
  • Şirket tarafından Kişisel Veriler’in hukuka uygun olarak aktarıldığı kişiler ile akdedilen sözleşmelere; Kişisel Veriler’in aktarıldığı kişilerin, Kişisel Veriler’in korunması amacıyla gerekli güvenlik tedbirlerini alacağına ve kendi kuruluşlarında bu tedbirlere uyulmasını sağlayacağına ilişkin hükümler eklenmektedir.

4.1.3.  Kişisel Verilerin Güvenli Ortamlarda Saklanması

Şirket, Kişisel Veriler’in güvenli ortamlarda saklanması ve hukuka aykırı amaçlarla yok edilmesini, kaybolmasını veya değiştirilmesini önlemek için teknolojik imkânlar ve uygulama maliyetine göre gerekli teknik ve idari tedbirleri almaktadır.

KVKK’nın 12(1). Maddesinde öngörülen tedbirler şunlardır:

  • Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
  • Kişisel verilere hukuka aykırı olarak erişilmesini ve değiştirilmesini önlemek,
  • Kişisel verilerin muhafazasını sağlamak.

Şirket’in bu kapsamda aldığı önlemler aşağıda sayılmıştır:

Kişisel Verilerin Güvenli Ortamlarda Saklanması için Alınan Teknik Tedbirler

Şirket tarafından Kişisel Veriler’in güvenli ortamlarda saklanması için alınan başlıca teknik tedbirler aşağıda sıralanmaktadır:

  • Kişisel Veriler’in güvenli ortamlarda saklanması için teknolojik gelişmelere uygun sistemler kullanılmaktadır.
  • Saklanma alanlarına yönelik teknik güvenlik sistemleri kurulmakta, bilişim sistemleri üzerindeki güvenlik zafiyetlerinin tespitine yönelik güvenlik testleri ve araştırmaları yapılmakta, yapılan test ve araştırmaların sonucunda tespit edilen mevcut ya da muhtemel risk teşkil eden hususlar giderilmektedir. Alınan teknik önlemler periyodik olarak iç denetim mekanizması gereği ilgilisine raporlanmaktadır.
  • Kişisel Veriler’in güvenli bir biçimde saklanmasını sağlamak için hukuka uygun bir biçimde yedekleme programları kullanılmaktadır.
  • Kişisel Veriler’in tutulduğu ortamlara veriye erişim kısıtlanarak yalnızca yetkili kişilerin, kişisel verinin saklanma amacı ile sınırlı olarak bu verilere erişmesine izin verilmekte, Kişisel Veriler’in bulunduğu veri depolama alanlarına erişimler loglanarak uygunsuz erişimler veya erişim denemeleri ilgililere anlık olarak iletilmektedir.

Kişisel Verilerin Güvenli Ortamlarda Saklanması için Alınan İdari Tedbirler

Şirket tarafından Kişisel Veriler’in güvenli ortamlarda saklanması için alınan başlıca idari tedbirler aşağıda sıralanmaktadır:

  • Çalışanlar, Kişisel Veriler’in güvenli bir biçimde saklanmasını sağlamak konusunda eğitilmektedirler.
  • Şirket tarafından Kişisel Veriler’in saklanması konusunda teknik gereklilikler sebebiyle dışarıdan bir hizmet alınması durumunda, Kişisel Veriler’in hukuka uygun olarak aktarıldığı ilgili firmalar ile akdedilen sözleşmelere; Kişisel Veriler’in aktarıldığı kişilerin, Kişisel Veriler’in korunması amacıyla gerekli güvenlik tedbirlerini alacağına ve kendi kuruluşlarında bu tedbirlere uyulmasını sağlanacağına ilişkin hükümlere yer verilmektedir.

4.1.4. Kişisel Verilerin Korunması Konusunda Alınan Tedbirlerin Denetimi

Şirket, Kanun’un 12. maddesine uygun olarak, kendi bünyesinde gerekli denetimleri yapmakta veya yaptırmaktadır. Bu denetim sonuçları Şirket’in iç işleyişi kapsamında konu ile ilgili bölüme raporlanmakta ve alınan tedbirlerin iyileştirilmesi için gerekli faaliyetler yürütülmektedir.

4.1.5.  Kişisel Verilerin Yetkisiz Bir Şekilde İfşası Durumunda Alınacak Tedbirler

Şirket, Kanun’un 12. maddesine uygun olarak işlenen Kişisel Veriler’in kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde bu durumu en kısa sürede ilgili İlgili Kişi’ne ve KVK Kurulu’na bildirilmesini sağlayan sistemi yürütmektedir. KVK Kurulu tarafından gerek görülmesi halinde, bu durum, KVK Kurulu’nun internet sitesinde veya başka bir yöntemle ilan edilebilecektir.

4.2. İlgili Kişilerin Yasal Haklarının Gözetilmesi

Şirket, İlgili Kişilerin Politika ve Kanun’un uygulanması ile tüm yasal haklarını gözetir ve bu haklarının korunması için gerekli tüm önlemleri alır. İlgili Kişilerin hakları ile ilgili ayrıntılı bilgiye işbu Politika’nın altıncı bölümünde yer verilmiştir.

4.3. Özel Nitelikli Kişisel Verilerin Korunması

Kanun birtakım Kişisel Veri’lere, hukuka aykırı olarak işlendiğinde kişilerin mağduriyetine ve/veya ayrımcılığa sebep olma riski nedeniyle özel önem atfetmiştir. Bu veriler; ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir. Kanun ile “özel nitelikli” olarak belirlenen ve hukuka uygun olarak işlenen özel nitelikli Kişisel Veriler’in korunmasına Şirket tarafından azami hassasiyet gösterilmektedir. Bu kapsamda, Şirket tarafından, kişisel verilerin korunması için alınan teknik ve idari tedbirler, Özel Nitelikli Kişisel Veriler bakımından da azami özenle uygulanmakta ve bu konuda Şirket bünyesinde gerekli denetimler sağlanmaktadır.

BEŞİNCİ BÖLÜM

5.KİŞİSEL VERİ SAHİBİNİN HAKLARI, HAKLARIN KULLANILMASI VE DEĞERLENDİRİLMESİ

5.1. İlgili Kişinin Aydınlatılması

Şirket, Kanun’un 10. maddesine uygun olarak, Kişisel Veriler’in elde edilmesi sırasında İlgili Kişileri aydınlatmaktadır. Bu kapsamda varsa, Şirket temsilcisinin kimliği, Kişisel Veriler’in hangi amaçla işleneceği, işlenen Kişisel Veriler’in kimlere ve hangi amaçla aktarılabileceği, Kişisel Veri toplamanın yöntemi ve hukuki sebebi ile İlgili Kişi’nin sahip olduğu hakları konusunda aydınlatma yapmaktadır.

5.2. İlgili Kişi’nin KVK Kanunu Uyarınca Hakları

Şirket, Kanun’un 10.maddesi uyarınca size haklarınızı bildirmekte; söz konusu hakların nasıl kullanılacağına dair yol göstermekte ve tüm bunlar için gerekli iç işleyişi, idari ve teknik düzenlemeleri gerçekleştirmektedir. Şirket, Kanun’un 11.maddesi uyarınca Kişisel Veriler’i alınan kişilere;

  • Kişisel Veri işlenip işlenmediğini öğrenme,
  • Kişisel Veriler’i işlenmişse buna ilişkin bilgi talep etme,
  • Kişisel Veriler’in işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
  • Yurt içinde veya yurt dışında Kişisel Veriler’in aktarıldığı üçüncü kişileri bilme,
  • Kişisel Veriler’in eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini isteme,
  • Kanun’un 7. maddesinde öngörülen şartlar çerçevesinde Kişisel Veriler’in silinmesini veya yok edilmesini isteme,
  • Kanun’un 11. Maddesinin (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
  • İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
  • Kişisel Veriler’in kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması halinde zararın giderilmesini talep etme haklarının olduğunu açıklar.

5.3. İlgili Kişi’nin Haklarını İleri Süremeyeceği Haller

Kanun’un 28. maddesi gereğince aşağıdaki haller Kanun kapsamı dışında tutulduğundan, İlgili Kişiler aşağıdaki hallerde, işbu Politika’nın (5.2.) maddesinde sayılan haklarını ileri süremezler:

  • Kişisel Veriler’in, üçüncü kişilere verilmemek ve veri güvenliğine ilişkin yükümlülüklere uyulmak kaydıyla gerçek kişiler tarafından tamamen kendisiyle veya aynı konutta yaşayan aile fertleriyle ilgili faaliyetler kapsamında işlenmesi.
  • Kişisel Veriler’in resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi.
  • Kişisel Veriler’in millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi.
  • Kişisel Veriler’in millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi.
  • Kişisel Veriler’in soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi.

Kanun’un 28/2 maddesi gereğince; aşağıda sıralanan hallerde İlgili Kişiler zararın giderilmesini talep etme hakkı hariç, işbu Politika’nın (5.2.) maddesinde sayılan haklarını ileri süremezler:

  • Kişisel Veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması.
  • İlgili Kişi tarafından kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi.
  • Kişisel Veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması.
  • Kişisel Veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması.

5.4. İlgili Kişi’nin Haklarını Kullanması

KVK Kanunu’nun 13. maddesinin 1. fıkrası gereğince, İlgili Kişiler işbu Politika’nın (5.2.) maddesinde sayılan haklarına ilişkin taleplerini, yazılı veya Kişisel Verileri Koruma Kurulu’nun belirlediği diğer yöntemlerle Şirket’e iletebilirler. Bu çerçevede Şirket’e KVK Kanunu’nun 11. maddesi kapsamında yapılan başvurularda yazılı olarak başvurunun iletileceği kanallar ve usuller aşağıda açıklanmaktadır. İlgili Kişi, aşağıda belirtilen yöntemlerle veya KVK Kurulu’nun belirlediği diğer yöntemlerle https://hekimbey.com.tr/bağlantısından ulaşabileceğiniz Başvuru Formu’nu doldurup imzalayarak Şirket’e ücretsiz olarak iletebileceklerdir:

İlgili Kişiler olarak, kimliklerini tespit edici gerekli bilgi ve belgeler (nüfus cüzdanı kopyası vb.) ile KVK Kanunu’nun 11. maddesinde belirtilen haklardan kullanması talep edilen hakka yönelik açıklamalarını içeren talep;

  • https://hekimbey.com.tr/ adresindeki İlgili Kişi Başvuru Formu’nu yazdırıp ve formu doldurarak;
  • Formun imzalı bir nüshasını iletisim@hekimbey.com.tr/dresine, kimliğinizi tespit edici belgeler ile bizzat elden, iadeli taahhütlü posta vasıtasıyla, noter kanalıyla veya KVK Kanunu’nda belirtilen diğer yöntemler ile göndererek (Zarfın üzerine “Kişisel Verilerin Korunması Kanunu Kapsamında Bilgi Talebi” yazılacaktır.)
  • İlgili formu 5070 Sayılı Elektronik İmza Kanununda tanımlı olan "güvenli elektronik imza” ile imzalanarak hekimbey@hs01.kep.tr adresine gönderilmek suretiyle, (E-posta’nın konu kısmına “Kişisel Verilerin Korunması Kanunu Bilgi Talebi” yazılacaktır.) İletilebilir.

İlettiğiniz bilgi ve belgelerin yanlış olması veya yetkisiz başvuru yapılması halinde Şirket’in başvuruyu reddetme hakkı saklıdır.

İlgili Kişiler adına üçüncü kişilerin başvuru talebinde bulunabilmesi için İlgili Kişi tarafından başvuruda bulunacak kişi adına noter kanalıyla düzenlenmiş özel vekâletname bulunmalıdır.

5.5. Şirket’in Başvurulara Cevap Verme Usulü ve Süresi

Şirket, başvuruda yer alan talepleri, talebin niteliğine göre en geç otuz gün içinde olmak üzere en kısa sürede ücretsiz olarak sonuçlandırır. Ancak söz konusu işlemin ayrıca bir maliyeti gerektirmesi hâlinde, KVK Kurul’u tarafından belirlenen tarifedeki ücret alınabilir. Şirket, talebi kabul edebileceği gibi gerekçesini açıklayarak reddedebilir; cevabını yazılı olarak veya elektronik ortamda bildirir. Başvuruda yer alan talebin kabul edilmesi hâlinde Şirket, talebin gereğini yerine getirir.

5.6. İlgili Kişinin KVK Kurulu’na Şikâyette Bulunma Hakkı

Başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hâllerinde; İlgili Kişi, cevabı öğrendiği tarihten itibaren otuz ve herhâlde başvuru tarihinden itibaren altmış gün içinde KVK Kurulu’na şikâyette bulunma hakkına sahiptir.

ALTINCI BÖLÜM

6.GÖRÜNTÜ KAYITLARININ İŞLENMESİ

Şirket tarafından, Şirket tesis ve işletmelerinin genel ve ticari güvenliğinin temin edebilmesi amacıyla, KVKK’da öngörülen ve işbu Politika’da yer verilen temel ilkelere uygun olarak ziyaretçilerin, çalışanların ve diğer ilgili kişilerin görüntü kaydı alınmakta ve bu kayıtlar işlenme amaçlarına uygun süre (30 gün) zarfında fiziksel veya elektronik ortamda güvenli bir şekilde saklanmaktadır.

Görüntü kaydı alınan yerlerde, İlgili Kişilerin bilgilendirilmesi amacıyla, görüntü kaydı alındığına dair uyarı görünür bir biçimde yer almaktadır. Söz konusu faaliyetler kapsamında Şirketimiz tarafından kişisel verilerin korunmasına ilişkin olarak KVKK başta olmak üzere ilgili tüm mevzuatta öngörülen yükümlülüklere uygun hareket edilmektedir. Mahremiyetin yüksek olduğu yerlerde ise görüntüleme yapılmamaktadır.

YEDİNCİ BÖLÜM

7.ŞİRKET’İN KİŞİSEL VERİLERİN İŞLENMESİ VE KORUNMASI POLİTİKASI UYARINCA YÖNETİM YAPISI

Şirket bünyesinde işbu Politika ve bu Politika’ya bağlı ve ilişkili diğer politikaları yönetmek üzere Şirket üst yönetiminin kararı gereğince Kişisel Veri Komitesi oluşturulmuştur. Kişisel Veri Komitesi, İlgili Kişilerin verilerinin hukuka, işbu Politika ve bu Politika’ya bağlı ve ilişkili diğer politikalara uygun olarak saklanması ve işlenmesi için gerekli işlemleri yapmakla yetkili ve görevlidir.

SEKİZİNCİ BÖLÜM

8.DİĞER HUSUSLAR

8.1. Güncelleme ve Uyum

KVKK ve ilgili diğer mevzuat hükümleri ile işbu Politika arasında uyumsuzluk olması halinde, öncelikle KVKK ve ilgili diğer mevzuat hükümleri uygulanacaktır.

Şirket, Kanun’da yapılan değişiklikler nedeniyle, KVK Kurulu kararları uyarınca ya da sektördeki ya da bilişim alanındaki gelişmeler doğrultusunda işbu Politika ve bu Politika’ya bağlı ve ilişkili diğer politikalarda değişiklik yapma hakkını saklı tutar.

İşbu Politika’da yapılan değişiklikler derhal metne işlenir ve değişikliklere ilişkin açıklamalar Politika’nın sonunda açıklanır.

8.2. Değişiklikler

Kişisel Verilerin İşlenmesi ve Korunması Politikasında değişiklik olmamıştır.

8.3. Yürürlük

Şirket tarafından hazırlanan işbu Politika 29/03/2021 tarihinde yürürlüğe girmiştir.

8.4. Dağıtım

Politika, Şirket internet sitesinde yayınlanarak, üçüncü taraflara ve Şirket çalışanlarına duyurulur.

ÖZEL NİTELİKLİ KİŞİSEL VERİ İŞLEME PROSEDÜRÜ

1.Amaç

HEKİMBEY İŞ SAĞLIĞI VE GÜVENLİĞİ LTD. ŞTİ. (“Şirket”)’de kurumsal bilgilerin ve kişisel verilerin gizlilik, bütünlük ve erişilebilirlik unsurları açısından korunmasını sağlamak, Şirket tarafından Özel Nitelikli Kişisel Verilerin işlenmesine, korunmasına yönelik yöntem ve süreçlere ilişkin esasları belirlemektir.

2.Kapsam

Şirket’de ki tüm bilgi varlıkları ve Özel Nitelikli Kişisel Veri’ler bu prosedür kapsamındadır.

3.Tanımlar

Açık Rıza Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızadır.
İlgili Kullanıcı Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere  veri  sorumlusu  organizasyonu içerisinde  veya  veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişilerdir.
Kişisel Veri/Veriler Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgidir.
Özel Nitelikteki Kişisel Veri/Veriler Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep
veya diğer inançlar, kılık kıyafet, dernek vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir.
Kişisel Verilerin İşlenmesi Kişisel Verilerin tamamen veya kısmen otomatik olan ya da herhangi bir  veri  kayıt  sisteminin  parçası  olmak  kaydıyla otomatik  olmayan  yollarla  elde  edilmesi,  kaydedilmesi, depolanması, muhafaza  edilmesi değiştirilmesi,  yeniden düzenlenmesi, açıklanması, aktarılması, devralınması,  elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemdir.
Doğrudan Tanımlayıcılar Tek başlarına, ilişki içinde oldukları kişiyi doğrudan açığa çıkaran, ifşa eden ve ayırt edilebilir kılan tanımlayıcılarıdır.
Dolaylı Tanımlayıcılar Diğer tanımlayıcılar ile bir araya gelerek ilişki içinde oldukları kişiyi açığa çıkaran, ifşa eden ve ayırt edilebilir kılan tanımlayıcılarıdır.
Kişisel Veri Sahibi/İlgili Kişi Şirket iç ve dış paydaşları, Şirket yetkilileri, şirket iş ortakları, tedarikçiler, danışmanlarımız, çalışanlarımız ve çalışan adaylarımız, ziyaretçilerimiz, müşterilerimiz, potansiyel müşteriler ve üçüncü kişiler, resmi kurumlar, bankalar, bağımsız denetim kuruluşları gibi kişisel verisi şirket tarafından işlenen gerçek kişileri ifade eder.
Veri Sorumlusu Kişisel verilerin işleme amaçlarını ve yöntemlerini belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan tüzel kişidir.
Veri İşleyen Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel veri işleyen gerçek ve tüzel kişidir.
Kanun 6698 sayılı Kişisel Verilerin Korunması Kanunu’nu ifade eder.
Yönetmelik 28 Ekim 2017 tarihinde Resmi Gazete’de yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmeliktir.
KVK Kurulu Kişisel Verileri Koruma Kurulu’dur.
Kayıt Ortamı Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortamdır.
Veri Kayıt Sistemi Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini ifade eder.
İmha Kişisel verilerin silinmesi,  yok edilmesi veya anonim hale getirilmesidir.
Anonim Hale Getirme Daha öncesinde bir kişiyle ilişkilendirilmiş olan verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek  kişiyle  ilişkilendirilemeyecek  hale getirilmesidir.
Kişisel Verilerin Silinmesi Kişisel verilerin silinmesi; kişisel verilerin İlgili Kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesidir.
Kişisel Verilerin Yok Edilmesi Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.
Periyodik İmha Kanun’da yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla re’sen gerçekleştirilecek silme,  yok etme veya anonim hale getirme işlemidir.

4.Sorumlular

Bu prosedürün hazırlanmasından IK ve Veri Sorumlusu, uygulanmasından tüm departmanlar, onaylanmasından ilgili birim yöneticileri sorumludur.

5.Uygulama

İşbu politika, Şirket’in işlemekte olduğu Özel Nitelikli Kişisel Verilere yönelik tüm faaliyetleri kapsar ve söz konusu faaliyetlere uygulanır.

Özel Nitelikli Kişisel Veri niteliği taşıyan verilerin korunmasını ve kurumsal bilgilerin güvenliğini her zaman en üst düzeyde sağlar.

6698 Sayılı Kişisel Verileri Koruma Kanunu başta olmak üzere,  ilgili tüm yasa, yönetmelikler ve mevzuatların yanı sıra uluslararası standarda uygun bir şekilde çalışır.

Çalışanlarımızın, tedarikçilerimizin, iş ortaklarımızın, çevrenin ve toplumun sürekli memnuniyetini dengeli biçimde sağlamak için onlarla iş birliği içerisinde olup, başta 6698 Sayılı Kişisel Verileri Koruma Kanunu’nun gerekliliklerini ve diğer var olan yasal gereklilikleri karşılamaya özen gözetir.

Bilgi güvenliği amaç ve hedeflerini, ihtiyaç ve beklentilerini karşılayarak Özel Nitelikli Kişisel Veriler’in korunması bakımından bilgi güvenliğini her zaman en üst düzeyde sağlar.

Kurumun veri koruma kurulu tarafından belirlenmiş yöntem ile düzenli aralıklarla kurumun ilgili çalışanlarına kurumda işlenen Özel Nitelikli Kişisel Veriler hakkında farkındalık eğitimleri verilir.

Özel Nitelikli Kişisel Veriler’in işlenme şartı 6698 Sayılı Kişisel Verileri Koruma Kanunu’nda aşağıdaki şekilde tarif edilmiştir;

Özel Nitelikli Kişisel Verilerin İşlenme Şartları

MADDE 6-

(1) Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri Özel Nitelikli Kişisel Veridir.

(2)Özel Nitelikli Kişisel Verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır.

(3) Birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.

(4) Özel Nitelikli Kişisel Verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır.

İlgili Madde aşağıdaki şekilde açıklanabilir.

Madde 6 Varsa Yoksa
Irk Etnik Köken Açık rıza aranmaz. Açık rıza şart
Siyasi Düşünce
Felsefi İnancı
Dini
Mezhebi
Diğer İnançları
Açık rıza aranmaz. Açık rıza şart
Kılık Kıyafet Açık rıza aranmaz. Açık rıza şart
Üyelikler
Dernek
Vakıf
Sendika
Açık rıza aranmaz. Açık rıza şart
Sağlık Ve Cinsel Hayat Kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanmas ve yönetimi amacıyla sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenmesi halinde açık rıza aranmaz. Açık rıza şart
Ceza Mahkûmiyeti Ve Güvenlik Tedbirleri Açık rıza aranmaz Açık rıza şart
Biyometrik Ve Genetik Veriler Açık rıza aranmaz Açık rıza şart

Özel Nitelikli Kişisel Veriler, kişisel veri envanteri esas alınarak hangi süreçlerde, hangi departmanlar tarafından ve işleme amaçlarına göre tasnif edilerek erişim hakları tanımlı çalışanlarca işlenmesini esas alır. Özel Nitelikli Kişisel Veriler dâhil her türlü verinin işlenmesinde gerekli idari ve teknik tedbirler alınır.

Saklama sürelerine uyularak süre sonunda imha prosedüründe belirtilen esaslar dâhilinde imha edilir. Bu hususların dışında kalan her türlü uygulama veri ihlali kapsamında değerlendirilir.

Fiziksel olarak işlenen (toplanan, üzerinde işlem yapılarak yeniden düzenlenen, saklanan, gönderilen) tüm Özel Nitelikli Kişisel Veriler ve veri setleri sadece tanımlanmış kişilerce işlenir. Örneğin; Çalışan sağlık bilgileri sadece iş yeri hekimi ve diğer sağlık görevlisi tarafından işlenir. İşleme koşulları için gerekli tedbirler alınır. Örneğin; kilitli ve erişimi güç dolaplarda saklanır.

Bu verilerin transferi sırasında verinin çıkış noktasından varış noktasına kadar bütünlüğü ve ifşa edilemezliği sağlanır.

Elektronik olarak işlenen (toplanan, üzerinde işlem yapılarak yeniden düzenlenen, saklanan, gönderilen)  tüm Özel Nitelikli Kişisel Veriler sadece tanımlanmış kişilerce işlenir. Örneğin Erişim kontrolü için işlenen parmak izi, sadece IT birimi içinde görevlendirilmiş kişilerce işlenir.

Özel nitelikli elektronik verinin bulunduğu yapısal ortam şifreli ise şifre sadece tanımlı kişilerde bulunur. Veri, kriptolanarak saklanıyor ise kripto anahtarı sadece tanımlı kişilerde bulunur. Verinin kurum dışına çıkarılması durumunda veri ve erişim şifre ya da anahtarları ayrı ayrı ortamlarda gönderilir. Örneğin veri ve veri şifresi aynı e-mailde gönderilmez.

Yapısal olmayan Özel Nitelikli Kişisel Veriler (Dosya sunucu ve kişisel bilgisayarlardaki Word, Excel, Pdf vs.)   BT müdürlüğünün belirlediği ortak klasörlerde, belirlenmiş erişim yetkileri dâhilinde tutulur. Özel Nitelikli Kişisel Verilerin İşlenmesi, transferi ve saklanması için kriptolama veya şifreleme önlemleri alınır.

Özel Nitelikli Kişisel Veriler’in ayrı yedeklenmesi esastır.  Yukarıda bahsedilen kurallar; muhtelif ortamlara alınmış veri yedekleri için de aynen geçerlidir.

Yapılandırılmış ortamdaki (veri tabanları) Özel Nitelikli Kişisel Veriler’in korunması için veri tabanı tablo bazında veya kullanıcı ara yüzleri esas alınarak işlenen kişisel verilerin, işleme yetkisi olan kullanıcılar tarafından işlendiği temin edilir. Saklanma süreleri sona eren veriler tespit edilerek, saklama ve imha prosedüründe belirlenen esaslar dâhilinde kişisel veriler yok edilir.

Faaliyetlerimiz esnasında yeni bir Özel Nitelikli Kişisel Veri işleme süreci oluştuğunda; öncelikle Özel Nitelikli Kişisel Veri’nin(kanunlarda öngörülmemesi halinde) açık rıza kaydı alınmaksızın işlenemeyeceği göz önünde bulundurulur. (Yasanın madde 6(2) dikkate alınarak) . Gerekli açık rıza kayıtlarının alınması şarttır.

Sürecin sahipleri ile birlikte veri koruma kurulunun görevlendireceği diğer sorumlular ile birlikte süreç tariflenir, kişisel veri envanterine kayıt yapılır. Kayıt sonunda VERBİS’e beyan edilmesi gerekli olacak, ilgili kişi gruplar, işleme şartı, veri kategorisi, amaç, saklama süresi, idari ve teknik tedbirlerin VERBİS beyanından farklılıklar göstermesi halinde VERBİS bilgilerinde güncelleme yapılır.

Faaliyetlerimiz esnasında var olan ÖZEL NİTELİKLİ KİŞİSEL VERİ işleme süreci ortadan kalktığında;

  • Açık rızası bulunan ilgili kişiler bilgilendirilir,
  • Sürecin sahipleri ile birlikte veri koruma kurulunun görevlendireceği diğer sorumlular ile birlikte süreç, kişisel veri envanterinden silinir.

Kişisel veri envanterinden alınacak özet beyan tablosu incelenerek, VERBİS’e beyan edilmiş önceki bilgiler ile farklılıklar göstermesi halinde VERBİS’e beyan bilgilerinde revizyon yapılır.

Saklama süresi sona eren ÖZEL NİTELİKLİ KİŞİSEL VERİ, İmha prosedüründe belirtilen şekilde imha edilir. Kişisel veri envanterinden silinir. Kişisel veri envanterinden alınacak özet beyan tablosu incelenerek, VERBİS’e beyan edilmiş önceki bilgiler ile farklılıklar göstermesi halinde VERBİS’e beyan bilgilerinde güncelleme yapılır.

Veri işleyenler ile yapılan sözleşmeler çerçevesinde paylaşılan ÖZEL NİTELİKLİ KİŞİSEL VERİ’nin paylaşma ortamları, kuralları ve erişim yetkileri her bir veri işleyen ile ayrı ayrı belirlenerek sözleşme ya da projenin devam ettiği sürece yürürlükte kalır. Sözleşme bitiminde sır saklama yükümlülüğünün devam edeceği taraflarca dikkate alınır.

Olası ihlallerde öncelikle ÖZEL NİTELİKLİ KİŞİSEL Veri’lere erişim hakları bulunan çalışanların aktiviteleri incelenir.

Kişisel Verilerin Korunması Politikasının duyurusunu yaparak tüm tarafların haberdar olmasını sağlar.

Bu politika, KVK düzenlemelerinin gerektirmesi halinde veya şirketin veri sorumlusu, temsilcisi veya Komite’nin gerekli gördüğü hallerde yönetim kurulu onayı ile değiştirilebilir. KVK,  işbu politika arasında bir uyumsuzluk olması halinde KVK Düzenlemeleri esas alınır.

6.Kayıtlar

Bu prosedürün uygulanması sonucu ortaya çıkacak kayıtlar saklanır.

7.Güncelleme Ve Uyum

Şirketimiz, Kanunda yapılan değişiklikler nedeniyle, Kurum kararları uyarınca ya da sektördeki ya da bilişim alanındaki gelişmeler doğrultusunda Özel Nitelikli Kişisel Veri İşleme Prosedüründe değişiklik yapma hakkını saklı tutar.

İşbu Özel Nitelikli Kişisel Veri İşleme Prosedüründe yapılan değişiklikler derhal metne işlenir ve değişikliklere ilişkin açıklamalar politikanın sonunda açıklanır.

KVKK ve ilgili diğer mevzuat hükümleri ile işbu Politika arasında uyumsuzluk olması halinde, öncelikle KVKK ve ilgili diğer mevzuat hükümleri uygulanacaktır.

YUKARI