DEMİR DENTAL AĞIZ VE DİŞ SAĞLIĞI ANONİM ŞİRKETİ
KİŞİSEL VERİ SAKLAMA VE İMHA POLİTİKASI
BÖLÜM I
AMAÇ, TANIMLAR, SORUMLULUK VE GÖREV DAĞILIMLARI, VERİLERİN
SAKLANDIĞI KAYIT ORTAMLARI
1. AMAÇ
İşbu Politika’nın amacı; 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun7 ve 12’nci maddeleri ile “Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik” ve “Veri Sorumluları Sicili Hakkında Yönetmelik” uyarınca, işverentarafından veri sorumlusu olarak elde edilen ve işlenen kişisel verilerin fiziki veya elektronik ortamlarda saklanmasına, güvenliğinin sağlanmasına ve imhasına ilişkin Poliklinik/Klinik içi usul ve esasların belirlenmesi, kişisel verilerin işlendikleri amaç için gerekli olan azami sürenin belirlenmesi, bu sürelerin uyumu ve azami sürenin aşılıp aşılmadığının takibi amacıyla hazırlanmıştır.
2. TANIMLAR
Açık Rıza: Belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rızayı ifade eder.
Anonim Hale Getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesini ifade eder.
Çalışan: Bir sözleşme kapsamında çalışan tüm çalışanları, kursiyerleri ve stajyerler ile yönetim kurulu üyeleri ve taşeron çalışanları kapsar.
Çalışan Adayı: Poliklinik/Klinik’e herhangi bir yöntemle iş başvurusunda bulunan veya işe alım platformları aracılığıyla özgeçmişleri elde edilen kişileri kapsar.
Elektronik Ortam: Kişisel verilerin elektronik aygıtlar ile oluşturulabildiği, okunabildiği, değiştirilebildiği ve yazılabildiği ortamları ifade eder.
Elektronik Olmayan Ortam: Elektronik ortamların dışında kalan tüm yazılı, basılı, görsel vb. diğer ortamları ifade eder.
İlgili Kişi/ Veri Sahibi: Kişisel verisi işlenen gerçek kişiyi ifade eder.
İlgili Kullanıcı: Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişileri ifade eder.
İmha: Kişisel verilerin silinmesini, yok edilmesi veya anonim hale getirilmesini ifade eder.
İmha Yönetmeliği: 28/10/2017 tarihli ve 30224 sayılı Resmi Gazetede yayımlanan “Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik’i ifade eder.
İşyeri Hekimi: 6331 sayılı İş Sağlığı ve Güvenliği Kanunu m.8 ve İşyeri Hekimi ve Diğer Sağlık Personelinin Görev, Yetki, Sorumluluk ve Eğitimleri Hakkında Yönetmelik’te niteliği ve görevleri belirlenen işyeri hekimini ifade eder.
Kayıt Ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortamı ifade eder.
Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade eder.
Kişisel Verilerin İşlenmesi: Kişisel verilerin kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi ifade eder.
Kurul: Kişisel Verileri Koruma Kurulunu ifade eder.
KVK Kanunu: 6698 sayılı Kişisel Verilerin Korunması Kanunu’nu ifade eder.
Hasta: Poliklinik/Klinik’in hizmetlerinden yararlanan gerçek kişileri ifade eder.
Ortak: Poliklinik/Klinik’in gerçek kişi ortakları ifade eder.
Özel Nitelikli Kişisel Veri: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri ifade eder.
Periyodik İmha: KVK Kanunu’nda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemini ifade eder.
Politika: Kişisel Verileri Saklama ve İmha Politikası’nı ifade eder.
Poliklinik/Klinik: DEMİR DENTAL AĞIZ VE DİŞ SAĞLIĞI ANONİM ŞİRKETİ ’ni ifade eder.
Tedarikçi/ Hizmet Sağlayıcı: Poliklinik/Klinik’in dışarıdan sair hizmetler/ürünler almakta olduğu ya da ileride hizmet/ürün alabileceği veya iş ortaklığına giriştiği gerçek kişi tedarikçiler ile tüzel kişi tedarikçilerin ortak ve yöneticilerini ifade eder.
TBK: 6098 sayılı Türk Borçlar Kanunu’nu ifade eder.
TTK: 6102 sayılı Türk Ticaret Kanunu’nu ifade eder.
Veri İşleyen: Veri sorumlusunun verdiği yetkiye dayanarak veri sorumlusu adına kişisel verileri işleyen gerçek veya tüzel kişiyi ifade eder.
Veri Kayıt Sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini ifade eder.
Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasında ve yönetilmesinden sorumlu gerçek veya tüzel kişiyi ifade eder.
Veri Sorumluları Sicili Yönetmeliği: 30.12.2017 tarihli ve 30286 sayılı Resmi Gazetede yayımlanan “Veri Sorumluları Sicili Hakkında Yönetmelik’i ifade eder.
VERBİS: Veri Sorumluları Sicil Bilgi Sistemi’ni ifade eder.
Ziyaretçi:Poliklinik/Klinik’in ofis veya diğer fiziksel ortamlarına giriş yapan, Poliklinik/Klinik’in internet sitesini veya benzeri elektronik ortamlarını ziyaret eden kişileri ifade eder.
1. SORUMLULUK VE GÖREV DAĞILIMLARI
Poliklinik/Klinik’in tüm birimleri ve çalışanları, sorumlu birimlerce Politika kapsamında alınmakta olan teknik ve idari tedbirlerin gereği gibi uygulanması, birim çalışanlarının eğitimi ve farkındalığının arttırılması, izlenmesi ve sürekli denetimi ile kişisel verilerin hukuka aykırı olarak işlenmesinin önlenmesi, kişisel verilere hukuka aykırı olarak erişilmesinin önlenmesi ve kişisel verilerin hukuka uygun saklanmasının sağlanması amacıyla kişisel veri işlenen tüm ortamlarda veri güvenliğini sağlamaya yönelik teknik ve idari tedbirlerin alınması konularında sorumlu birimlere aktif olarak destek verir.
Bu konudaki gerekli idari ve teknik tedbirlerin alınmasından ve periyodik olarak denetlenmesinden mesul müdür sorumludur. Elektronik ortamdaki veriler, güvenli yedekleme sistemiyle düzenli olarak yedeklenir, ayrıca yazılı olarak da alınarak mesul müdür tarafından onaylanır ve kuruluşta saklanır. Dosyada bulundurulması zorunlu evraklar ayrıca saklanır.
2. VERİLERİN SAKLANDIĞI KAYIT ORTAMLARI
Poliklinik/Klinik’in tarafından işlenen kişisel veriler; aşağıda listelenen ortamlar başta olmak üzere, tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu elektronik olmayan veya elektronik ortamlarda, veri güvenliği prensipleri çerçevesinde, KVK Kanunu ve ilgili mevzuata uygun olacak şekilde saklanmaktadır.
Sağlık kuruluşlarına başvuran hasta, protokol defterine kaydedilir. Sağlık kuruluşlarında müdürlük tarafından tasdik edilmiş protokol kayıt defteri, teftiş ve denetim defteri, bu defterlere ilave olarak Ek-9’da belirtilen cerrahi işlemleri yapılacak ADSM’lerde cerrahi müdahale kayıt defteri, radyoloji ünitesi varsa radyoloji ünitesi kayıt defteri, sedasyon ve genel anestezi uygulamaları kayıt defteri ve diş protez laboratuvarı varsa diş protez laboratuvarı kayıt defteri bulunur.
Hastaların teşhis ve tedavi bilgileri ile varsa yapılan genel anestezi müdahale bilgileri hastalar adına açılmış dosyalara ve ilgili defter/defterlere işlenir. Bu belgeler, arşiv ile ilgili mevzuat hükümlerine uygun şekilde muhafaza edilir.
Hasta Kayıtları, elektronik ortamda da tutulabilir. Elektronik ortamdaki kayıtları güvenli olmayan sağlık kuruluşlarında, yazılı kayıt tutulur. 15/1/2004 tarihli ve 5070 sayılı Elektronik İmza Kanunu hükümlerine uygun elektronik imza ile imzalanmış tıbbi kayıtlar, resmi kayıt olarak kabul edilir ve ilgili mevzuata göre yedekleme ve arşivlemesi yapılır. Hastaların sağlık bilgilerine ait gerekli kayıtların elektronik ortamda saklanmasının, değiştirilmesinin veya silinmesinin önlenmesi ve gizliliğin ihlal edilmemesi için fiziki, manyetik veya elektronik müdahalelere ve olası suiistimallere karşı gerekli idari ve teknik tedbirlerin alınması halinde, yazılı kayıt şartı aranmaz.
Kişisel veriler, ilgili mevzuatlarda belirtilen ortamlarda hukuka uygun olarak güvenli bir şekilde saklanır.
BÖLÜM II
KİŞİSEL VERİLERİN SAKLANMASINA VE İMHASINA İLİŞKİN USUL VE ESASLAR
1. SAKLAMAYI GEREKTİREN HUKUKİ SEBEPLER
Poliklinik/Klinik faaliyetleri çerçevesinde işlenen kişisel veriler, Poliklinik/Klinik bünyesinde, ilgili mevzuatta öngörülen süre kadar muhafaza edilir. Bu kapsamda kişisel veriler;
• 6698 sayılı Kişisel Verilerin Korunması Kanunu,
• Ağız ve Diş Sağlığı Hizmeti Sunulan Özel Sağlık Kuruluşları Hakkında Yönetmelik,
• 6098 sayılı Türk Borçlar Kanunu,
• 6102 sayılı Türk Ticaret Kanunu
• 213 sayılı Vergi Usul Kanunu
• 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu,
• 5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun,
• 6361 sayılı İş Sağlığı ve Güvenliği Kanunu,
• 4857 sayılı İş Kanunu,
• 2828 sayılı Sosyal Hizmetler Kanunu
- 1776 sayılı Kimlik Bildirme Kanunu,
• Bu kanunlar uyarınca yürürlükte olan diğer ikincil düzenlemelerçerçevesinde öngörülen saklama süreleri kadar saklanmaktadır.
2. SAKLAMAYI GEREKTİREN İŞLEME AMAÇLARI
Poliklinik/Klinik, faaliyetleri çerçevesinde kişisel verilerinizi, Polikliniğin/Kliniğin ticari iş ve stratejilerinin belirlenmesi ve uygulanması, Poliklinik/Klinik tarafından yürütülen ticari faaliyetlerin gerçekleştirilmesi, insan kaynakları politikaları ve süreçlerinin planlanması ve icra edilmesi,iş sürekliliğinin sağlanması faaliyetlerinin planlanması veya icrası; sözleşme süreçlerinin veya hukuki taleplerin takibi; finans veya muhasebe işlerinin takibi; kurumsal sürdürülebilirlik, kurumsal yönetim, stratejik planlama ve bilgi güvenliği süreçlerinin planlanması, denetimi ve icrası; iş ortakları, tedarikçilerle yürütülen işlerin icrası ve ilişkilerin yönetimi; ürün ve hizmetlerin satışı, pazarlaması ve tanıtımı süreçleri ile pazar araştırması, beğeni kullanım ve hizmet anlayışının tespiti ve özelleştirilmesi faaliyetlerinin planlanması ve icrası; Poliklinik/Klinik tarafından sunulan ürün ve hizmetlerden hastaları faydalandırmak için gerekli çalışmaların yapılabilmesi, veri sahiplerinin açık rızası doğrultusunda bilgilendirme ve tanıtım e-postaları atarak hizmetlerimizle ilgili son gelişmelerden haberdar etmek, mevzuat kapsamındaki hukuki yükümlülüklerin yerine getirilmesi, Polikliniğin/Kliniğin tüm lokasyonlarında fiziki mekân ve iş güvenliğinin sağlanması, Poliklinik/Klinik’in taraf olduğu iş, hizmet, satım, vekâlet, eser ve sair sözleşmeler ve mevzuattan doğan sorumlulukların eksiksiz ve doğru bir şekilde yerine getirilmesiamaçlarıyla 6698 sayılı Kanun’un 5. ve 6. maddelerinde belirtilen kişisel veri işleme şartları ve amaçları dahilinde işlenecektir.
3. İMHAYI GEREKTİREN HUKUKİ SEBEPLER
Kişisel veriler;
- İşlenmesine esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası,
- İşlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,
- Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin açık rızasını geri alması,
- KVKK Kanunu’nun 11 inci maddesi gereği ilgili kişinin hakları çerçevesinde kişisel verilerinin silinmesi ve yok edilmesine ilişkin yaptığı başvurunun Poliklinik/Klinik tarafından kabul edilmesi,
- Poliklinik/Klinik, ilgili kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabı yetersiz bulması veya KVK Kanunu’nda öngörülen süre içinde cevap vermemesi hallerinde; Kurula şikâyette bulunması ve bu talebin Kurul tarafından uygun bulunması,
- Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olması ve kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması, durumlarında, ilgili kişinin talebi üzerine silinir, yok edilir ya da re’sen silinir, yok edilir veya anonim hale getirilir.
BÖLÜM III
VERİLERİN SAKLANMASINA VE GÜVENLİĞİNİN SAĞLANMASINA YÖNELİK
TEKNİK VE İDARİ TEDBİRLER
1. TEKNİK TEDBİRLER
- Poliklinik/Klinik, elektronik ortamlarında sakladığı kişisel verilerin güvenliğinin sağlanması ve dışarıdan ve içeriden yetkisiz kişilerin erişimine karşı korunması için, aşağıdaki teknik tedbirler uygulamaktadır:Ağ yoluyla kişisel veri aktarımlarında kapalı sistem ağ kullanılmaktadır.
- Güncel anti-virüs sistemleri kullanılmaktadır.
- Güvenlik duvarları kullanılmaktadır.
- Kişisel veri güvenliği sorunları hızlı bir şekilde raporlanmaktadır.
- Kişisel veri içeren fiziksel ortamların dış risklere (yangın, sel vb.) karşı güvenliği sağlanmaktadır.
- Kişisel veri içeren ortamların güvenliği sağlanmaktadır.
- Kişisel veriler mümkün olduğunca azaltılmaktadır.
- Özel nitelikli kişisel veri güvenliğine yönelik protokol ve prosedürler belirlenmiş ve uygulanmaktadır. Kullanıcı müdahalesi olmayacak şekilde tutulmaktadır.
- Özel nitelikli kişisel veriler elektronik posta yoluyla gönderilecekse mutlaka şifreli olarak ve KEP veya kurumsal posta hesabı kullanılarak gönderilmektedir.Taşınabilir bellek, CD, DVD ortamında aktarılan özel nitelikli kişiler veriler şifrelenerek aktarılmaktadır.
2. İDARİ TEDBİRLER
Poliklinik/Klinik, kişisel verilerin güvenliğinin sağlanması ve dışarıdan ve içeriden yetkisiz kişilerin erişimine karşı korunması için aşağıdaki idari tedbirleri uygulamaktadır:
- Çalışanları ile yapılan sözleşmelerin içerisinde veya ekinde, bu kişilerden, görevleri gereği eriştikleri kişisel verilerin gizliliğinin korunmasına yönelik taahhütname almaktadır.
- Kişisel verilerin gizliliğinin korunması ve KVK Kanunu ve ikincil mevzuata uygun hareket edilmesi konusunda çalışanlarının farkındalığının ve sorumluluğunun artırılması için çalışanlara gerekli eğitimler verilmektedir.
- Poliklinik/Klinik, kişisel verilere ilişkin veri tabanı oluşturulmasında üçüncü kişilere ait yazılım programlarını ve bulutları kullanabilmekte, fiziki dokümanların saklanması ve diğer kişisel veri işleme amaçlarının elde edilebilmesi için verileri üçüncü kişilerle paylaşabilmekte veya kişisel verilerin elde edilmesinde veri işleyen konumundaki üçüncü kişilerden destek alabilmektedir. Bu hallerde, söz konusu üçüncü kişilere veri aktarımının amacı dikkate alınarak gerekli olduğu ölçüde verilere erişim yetkisi sağlanır ve bu kişilerle yapılan sözleşmelerin içerisinde veya ekinde bu kişilere kişisel verilerin güvenliğinin sağlanması ve gizliliğinin korunmasına yönelik yükümlülükler getirilmektedir.
- Kişisel verilerin yer aldığı fiziki belgeler, kilitli ortamlarda saklanmakta ve çalışanların bu belgelere erişimi Poliklinik/Klinik’in idari, operasyonel ve çalışma düzeninin izin verdiği ölçüde sınırlandırılmaktadır.
- Kişisel veri işlemeye başlamadan önce Poliklinik/Klinik tarafından, ilgili kişileri aydınlatma yükümlülüğü yerine getirilmektedir.
- Erişim, bilgi güvenliği, kullanım, saklama ve imha konularında kurumsal politikalar hazırlanmış ve uygulamaya başlanmıştır.
- Gizlilik taahhütnameleri yapılmaktadır.
- Özel nitelikli kişisel veri güvenliğine yönelik protokol ve prosedürler belirlenmiş ve uygulanmaktadır.
- Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır.
BÖLÜM IV
KİŞİSEL VERİLERİN İMHASINA İLİŞKİN USUL VE ESASLAR
1.KİŞİSEL VERİLERİN SAKLANMA VE İMHA SÜRELERİ
Kişisel veriler, aşağıdaki belirtilen sürelerle saklanır
Tablo 3: Verilerin Saklama ve İmha Süreleri
2. PERİYODİK İMHA SÜRELERİ
İmha Yönetmeliği’nin 11. maddesi gereğince Poliklinik/Klinik, periyodik imha süresini 6 ay olarak belirlenmiştir. Buna göre, Poliklinik/Klinikte her yıl Haziran ve Aralık aylarında periyodik imha işlemi gerçekleştirilir.
3. KİŞİSEL VERİLERİ İMHA TEKNİKLERİ
İlgili mevzuatta öngörülen süre ya da işlendikleri amaç için gerekli olan saklama süresinin sonunda kişisel veriler, Poliklinik/Klinik tarafından re’sen veya ilgili kişinin başvurusu üzerine yine ilgili mevzuat hükümlerine uygun olarak aşağıda belirtilen tekniklerle imha edilir.
3.1 Kişisel Verilerin Silinmesi
Kişisel veriler Tablo-4’te verilen yöntemlerle silinir.
Tablo 4: Kişisel Verilerin Silinmesi
3.2 Kişisel Verilerin Yok Edilmesi
Kişisel veriler, Poliklinik/Klinik tarafından Tablo-5’te verilen yöntemlerle yok edilir.
Tablo 5: Kişisel Verilerin Yok Edilmesi
3.3 Kişisel Verilerin Anonim Hale Getirilmesi.
Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.
Kişisel verilerin anonim hale getirilmiş olması için; kişisel verilerin, veri sorumlusu veya üçüncü kişiler tarafından geri döndürülmesi ve/veya verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekir.
4. VERİLERİN İMHASINA İLİŞKİN KAYITLARIN SAKLANMASI
Poliklinik/Klinik, gerçekleştirmiş olduğu periyodik imha işlemleri ile veri sahibinin başvurusuna dayalı imha işlemlerini yazılı olarak kayıt altına alır. Ayrıca elektronik ortamda gerçekleştirilmiş imha işlemlerine ilişkin log kayıtları tutulur. İmha Yönetmeliği’nin 7’nci maddesinin üçüncü fıkrası uyarınca, Poliklinik/Klinik tarafından yapılan bütün imha işlemlerine ilişkin kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az üç yıl süreyle saklanır.
BÖLÜM VI
GÜNCELLEMELER
İş bu Politika, en az 5 yıl Poliklinik/Klinik bünyesinde saklanmak kaydıyla, ihtiyaç duyuldukça gözden geçirilir ve gerekli olan bölümler güncellenir.