KİŞİSEL VERİ SAKLAMA VE İMHA POLİTİKASI
İşbu Kişisel Veri Saklama ve İmha Politikası (“Politika”), 6698 Sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) ve Kanun’un ikincil düzenlemesini teşkil eden Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik (“Yönetmelik”) uyarınca yükümlülüklerimizi yerine getirmek ve veri sahiplerini kişisel verilerinizin işlendikleri amaç için gerekli olan azami saklama süresinin belirlenmesi esasları ile silme, yok etme ve anonim hale getirme süreçleri hakkında bilgilendirmek amacıyla veri sorumlusu sıfatıyla UDB SAĞLIK HİZMETLERİ LTD. ŞTİ (“Özel Ataşehir Ata Diş Ağız ve Diş Sağlığı Polikliniği”) tarafından hazırlanmıştır.
Tanımlar
Açık Rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.
İlgili Kullanıcı: Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişilerdir.
İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi.
Kayıt Ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam.
Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.
Kişisel Verilerin İşlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.
Kişisel Verilerin Anonim Hale Getirilmesi: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesi.
Kişisel Verilerin Silinmesi: Kişisel verilerin silinmesi; kişisel verilerin İlgili Kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi.
Kişisel Verilerin Yok Edilmesi: Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemi.
Kurul: Kişisel Verileri Koruma Kurulu.
Periyodik İmha: Kanun’da yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi.
Veri Sahibi/İlgili Kişi: Kişisel verisi işlenen gerçek kişi.
İlkeler
Özel Ataşehir Ata Diş Ağız ve Diş Sağlığı Polikliniği tarafından kişisel verilerin saklanması ve imhasında aşağıda yer alan ilkeler çerçevesinde hareket edilmektedir:
- Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesinde Kanun’a ve ilgili mevzuat hükümlerine, Kurul kararlarına ve işbu Politikaya tamamen uygun hareket edilmektedir.
- Kişisel verilerin silinmesi, yok edilmesi, anonim hale getirilmesiyle ilgili yapılan tüm işlemler Özel Ataşehir Ata Diş Ağız ve Diş sağlığı Polikliniği tarafından kayıt altına alınmakta ve söz konusu kayıtlar kanuna uygun olarak saklanmaktadır.
- Kurul tarafından aksine bir karar alınmadıkça, kişisel verileri resen silme, yok etme veya anonim hale getirme yöntemlerinden uygun olanı tarafımızca seçilmektedir. Ancak, İlgili Kişinin talebi halinde uygun yöntem gerekçesi açıklanarak seçilecektir.
- Kanun’un 5. ve 6. maddelerinde yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması halinde, kişisel veriler Özel Ataşehir Ata Diş Ağız ve Diş Sağlığı Polikliniği tarafından resen veya ilgili kişinin talebi üzerine silinmekte, yok edilmekte veya anonim hale getirilmektedir. Bu hususta İlgili Kişi tarafından Özel Ataşehir Ata Diş Ağız ve Diş Sağlığı Polikliniği’ne başvurulması halinde;
– İletilen talepler en geç 30 (otuz) gün içerisinde cevaplandırılmaktadır,
Saklama ve İmhayı Gerektiren Sebeplere İlişkin Açıklamalar
Veri sahiplerine ait kişisel veriler, Özel Ataşehir Ata Diş Ağız ve Diş Sağlığı Polikliniği tarafından özellikle (i) hastalara ağız ve diş sağlığı kapsamında sağlık hizmeti verilebilmesi (ii) hukuki yükümlülüklerin yerine getirilebilmesi, (iii) çalışan haklarının ve yan haklarının planlanması ve ifası için Kanun ve diğer ilgili mevzuatta belirtilen sınırlar çerçevesinde saklanmaktadır.
Saklamayı gerektiren hukuki sebepler:
- 6698 sayılı Kişisel Verilerin Korunması Kanunu,
- 1219 sayılı Tababet ve Şuabatı Sanatlarının Tarzı İcrasına Dair Kanun
- 6098 sayılı Türk Borçlar Kanunu,
- 5237 sayılı Türk Ceza Kanunu,
- 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu,
- 3359 sayılı Sağlık Hizmetleri Temel Kanunu,
- 6361 sayılı İş Sağlığı ve Güvenliği Kanunu,
- 4857 sayılı İş Kanunu,
- Ağız ve Diş Sağlığı Hizmeti Sunulan Özel Sağlık Kuruluşları Hakkında Yönetmelik,
- İş Sağlığı ve Güvenliği Hizmetleri Yönetmeliği
- Hasta Hakları Yönetmeliği,
- Tıbbi Deontoloji Tüzüğü
- Türk Dişhekimleri Birliği Dişhekimliği Meslek Etiği Kuralları
İlgili diğer kanunlar ve bu kanunlar uyarınca yürürlükte olan diğer ikincil düzenlemeler.
Saklamayı gerektiren sebepler aşağıdaki gibidir:
- Kişisel verilerin sözleşmelerin kurulması ve ifası ile doğrudan doğruya ilgili olması nedeniyle saklanması,
- Kişisel verilerin bir hakkın tesisi, kullanılması veya korunması amacıyla saklanması,
- Kişisel verilerin kişilerin temel hak ve özgürlüklerine zarar vermemek kaydıyla Özel Ataşehir Ata Diş Ağız ve Diş Sağlığı Polikliniğinin vermiş olduğu sağlık hizmetinin sürdürülebilmesi için saklanmasının zorunlu olması,
- Kişisel verilerin Özel Ataşehir Ata Diş Ağız ve Diş Sağlığı Polikliniği’nin herhangi bir hukuki yükümlülüğünü yerine getirmesi amacıyla saklanması,
- Mevzuatta kişisel verilerin saklanmasının açıkça öngörülmesi,
- Veri sahiplerinin açık rızasının alınmasını gerektiren özel nitelikli veri saklama faaliyetleri açısından veri sahiplerinin açık rızasının bulunması.
Yönetmelik uyarınca, aşağıda sayılan hallerde veri sahiplerine ait kişisel veriler, Özel Ataşehir Ata Diş Ağız ve Diş Sağlığı Polikliniği tarafından resen yahut talep üzerine silinir, yok edilir veya anonim hale getirilir:
- Kişisel verilerin işlenmesine veya saklanmasına esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası sebebiyle gerekli olması hali,
- Kişisel verilerin işlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,
- Kanun’un 5. ve 6. maddelerindeki kişisel verilerin işlenmesini gerektiren şartların ortadan kalkması,
- Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin rızasını geri alması,
- İlgili kişinin, Kanun’un 11. maddesindeki hakları çerçevesinde kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin yaptığı başvurunun veri sorumlusu tarafından kabul edilmesi,
- Veri sorumlusunun, ilgili kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabın yetersiz bulunması veya Kanun’da öngörülen süre içinde cevap vermemesi hallerinde; Kurul’a şikâyette bulunulması ve bu talebin Kurul tarafından uygun bulunması,
- Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olmasına rağmen, kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması.
Saklama ve İmha Süreleri
Özel Ataşehir Ata Diş Ağız ve Diş Sağlığı Polikliniği tarafından Kanun ve diğer ilgili mevzuat hükümlerine uygun olarak elde edilen kişisel verilerinizin saklama ve imha sürelerinin tespitinde aşağıda sırasıyla belirtilen ölçütlerden yararlanılmaktadır:
- Mevzuatta söz konusu kişisel verinin saklanmasına ilişkin olarak bir süre öngörülmüş ise bu süreye riayet edilir. Anılan sürenin sona ermesi akabinde veri hakkında aşağıdaki madde kapsamında işlem yapılır,
- Söz konusu kişisel verinin saklanmasına ilişkin olarak mevzuatta öngörülen sürenin sona ermesi veya ilgili mevzuatta söz konusu verinin saklanmasına ilişkin olarak herhangi bir süre öngörülmemiş olması durumunda sırasıyla;
- Kişisel veriler, Kanun’un 6. maddesinde yer alan tanımlama baz alınarak, kişisel veriler ve özel nitelikli kişisel veriler olarak sınıflandırmaya tabi tutulur. Özel nitelikte olduğu tespit edilen tüm kişisel veriler imha edilir. Söz konusu verilerin imhasında uygulanacak yöntem verinin niteliği ve saklanmasının veri sorumlusu Özel Ataşehir Ata Diş Ağız ve Diş Sağlığı Polikliniği nezdindeki önem derecesine göre belirlenir.
- Verinin saklanmasının Kanun’un 4. maddesinde belirtilen ilkelere uygunluğu örneğin; verinin saklanmasında veri sorumlusunun meşru bir amacının olup olmadığı sorgulanır. Saklanmasının Kanun’un 4. maddesinde yer alan ilkelere aykırılık teşkil edebileceği tespit edilen veriler silinir, yok edilir ya da anonim hale getirilir.
- Verinin saklanmasının Kanun’un 5. ve 6. maddelerinde öngörülmüş olan istisnalardan hangisi/hangileri kapsamında değerlendirilebileceği tespit edilir. Tespit edilen istisnalar çerçevesinde verilerin saklanması gereken makul süreler tespit edilir. Söz konusu sürelerin sona ermesi halinde veriler silinir, yok edilir ya da anonim hale getirilir.
Özel Ataşehir Ata Diş Ağız ve Diş Sağlığı Polikliniği tarafından tespit edilen saklama, imha ve periyodik imha sürelerine, işbu Politika’nın en sonunda bulunan tablodan ulaşabilirsiniz. Saklama süresi dolan kişisel veriler, işbu Politika’nın sonunda yer alan imha süreleri çerçevesinde, 6 (altı) aylık periyodlarla işbu Politika’da yer verilen usullere uygun olarak anonim hale getirilir veya imha edilir. 6 aylık periyodlar yıl içerisinde Ocak ve Temmuz ayları olarak belirlenmiştir.
Kişisel Verilerin Saklanması ve İmhasına İlişkin Usuller, Teknik ve İdari Tedbirler
Kişisel verilerinizin güvenli bir şekilde saklanması, hukuka aykırı olarak işlenmesi, erişilmesinin önlenmesi ve verilerin hukuka uygun olarak imha edilmesi amacıyla Kanun’un 12. maddesindeki ilkeler çerçevesinde, kliniğimiz tarafından alınmış olan tüm idari ve teknik tedbirler aşağıda sayılmıştır:
İdari Tedbirler:
Özel Ataşehir Ata Diş Ağız ve Diş Sağlığı Polikliniği idari tedbirler kapsamında;
- Saklanan kişisel verilere Şirket içi erişimi iş tanımı gereği erişmesi gerekli personel ile sınırlandırır. Erişimin sınırlandırılmasında verinin özel nitelikli olup olmadığı ve önem derecesi de dikkate alınır.
- İşlenen kişisel verilerin hukuka aykırı yollarla başkaları tarafından elde edilmesi hâlinde, bu durumu en kısa sürede ilgilisine ve Kurul’a bildirir.
- Kişisel verilerin paylaşılması ile ilgili olarak, kişisel verilerin paylaşıldığı kişiler ile kişisel verilerin korunması ve veri güvenliğine ilişkin çerçeve sözleşme imzalar yahut mevcut sözleşmesine eklenen hükümler ile veri güvenliğini sağlar.
- Kişisel verilerin işlenmesi hakkında bilgili ve deneyimli personel istihdam eder ve personeline kişisel verilerin korunması mevzuatı ve veri güvenliği kapsamında gerekli eğitimleri verir.
- Kendi tüzel kişiliği nezdinde Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapar ve yaptırır. Denetimler sonucunda ortaya çıkan gizlilik ve güvenlik zafiyetlerini giderir.
- Kişisel verilerin bulunduğu ortama göre yeterli güvenlik önlemlerinin (elektrik kaçağı, yangın, su baskını, hırsızlık vb. durumlara karşı) alınmasını sağlar ve bu ortamlara yetkisiz giriş çıkışları engeller.
Teknik Tedbirler:
Özel Ataşehir Ata Diş Ağız ve Diş Sağlığı Polikliniği teknik tedbirler kapsamında;
- Kişisel verilerin hukuka aykırı işlenmesini önlemeye yönelik teknik kontroller yapılarak (Örn: sızma/penetrasyon testleri) risk, tehdit, zafiyet, açıklıklar belirlenmekte, bu risklere uygun teknik tedbirlerin alınması sağlanmakta, kontrol sonuçları kayıt altına alınmaktadır.
- Elektronik ortamda saklanan özel nitelikteki kişisel veriler de dâhil olmak üzere tüm kişisel verilerin güvenliği için gerekli önlemler alınmaktadır. Bu kapsamda; güvenlik duvarları, atak önleme sistemleri, ağ erişim kontrolü, zararlı yazılımları engelleyen sistemler, güvenlik yamaları kullanılmaktadır. Bilgi sistemleri güncel tutulmakta, veri yedekleme programları kullanılmakta, kişisel verilerin işlendiği elektronik ortamlarda güçlü parolalar kullanılmakta, elektronik ortamlar kriptografik yöntemler kullanılarak muhafaza edilmekte, kriptografik anahtarlar güvenli ortamlarda tutulmaktadır.
- Kişisel verilerin bulunduğu elektronik olan veya olmayan saklama alanlarına erişimler kayıt altına alınarak uygunsuz erişimler veya erişim denemeleri kontrol altında tutulmakta, güvenli kayıt tutma (loglama) sistemleri kullanılmakta, erişim yetkilendirmesi yapılmakta, silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması için gerekli tedbirler alınmaktadır.
- Kliniğimizde özel nitelikli kişisel veri işlendiği göz önünde bulundurularak çalışanlara özel nitelikli kişisel veri güvenliği konusunda eğitimler verilmekte, gizlilik sözleşmeleri yapılmaktadır.
- Kliniğimizde özel nitelikli veriler de dâhil olmak üzere tüm kişisel verilerin tutulduğu bilişim sistemleri teçhizatının, yazılımlarının ve bunların muhafaza edildiği ve/veya erişildiği ortamların fiziksel güvenliği için gerekli önlemler (yetkisiz kişilerin erişiminin sınırlanması, (yangın söndürme sistemi, iklimlendirme sistemi vb.) alınmaktadır.
Politikanın Yürürlüğe Sokulması, İhlal Durumları ve Yaptırımlar
- İşbu Politika tüm çalışanlara duyurularak yürürlüğe girecek ve yürürlüğü itibariyle tüm iş birimleri, danışmanlar, dış hizmet sağlayıcıları ve kişisel veri işleyen herkes için bağlayıcı olacaktır.
- Çalışanların politikanın gereklerini yerine getirip getirmediğinin takibi ilgili çalışanların amirlerinin sorumluluğunda olacaktır. Politikaya aykırı davranış tespit edildiğinde konu derhal yönetime bildirilecektir.
- Aykırılığın önemli boyutta olması halinde ise yönetim tarafından vakit kaybedilmeksizin Kişisel Verileri Koruma Komitesi’ne bilgi verilecektir.
- Politikaya aykırı davranan çalışan hakkında, yönetim tarafından yapılacak değerlendirme sonrasında gerekli idari işlem yapılacaktır.
- Politika veri sorumlusu gerek duydukça güncellenebilecektir fakat herhangi bir güncelleme zarureti yoktur.
Kişisel Verileri Saklama ve İmha Sürelerini Gösteren Tablo
Kişisel veriler, politika’nın 4. maddesinde belirtilen hususlar dikkate alınarak aşağıdaki tabloda belirtilen süreler boyunca saklanacak, sürenin dolmasını takip eden ilk periyodik imha sürecinde anonim hale getirilecek veyahut yok edilecektir:
Süreç |
Saklama Süresi |
İmha Süresi |
İş Kanunu kapsamında saklanılan veriler (örn. performans kayıtları vs.) |
İş ilişkisinin sona ermesine müteakip 10 yıl |
Saklama süresinin bitimini takip eden ilk periyodik imha sürecinde |
İş sağlığı ve güvenliği mevzuatı kapsamında toplanan veriler (sağlık raporları vs.) |
İş ilişkisinin sona ermesine müteakip 15 yıl |
Saklama süresinin bitimini takip eden ilk periyodik imha sürecinde |
SGK mevzuatı kapsamında tutulan veriler |
İş ilişkisinin sona ermesine müteakip 10 yıl |
Saklama süresinin bitimini takip eden ilk periyodik imha sürecinde |
Sağlık hizmeti sunumu kapsamında toplanan veriler |
İlgili hukuki düzenlemeler ve sağlık hizmetinin gerekleri uyarınca 20 yıl |
Saklama süresinin bitimini takip eden ilk periyodik imha sürecinde |
3.Kişilerden Hizmet Alınması |
Sözleşmenin sona ermesinden itibaren 10 yıl |
Saklama süresinin bitimini takip eden ilk imha sürecinde |
Kliniğin ilgili kişisel veriyi kullanma amacı sona ermedi ise, ilgili mevzuat gereği ilgili kişisel veri için öngörülen saklama süresi tabloda yer alan sürelerden fazla ise, işletilen herhangi bir hukuki süreç sona ermediyse veya ilgili konuya ilişkin dava zamanaşımı süresi kişisel yerinin tabloda yer alan sürelerden fazla saklanmasını gerektiriyorsa, yukarıdaki tabloda yer alan süreler uygulanmayabilecektir. Bu halde kullanım amacı, özel mevzuat veya dava zamanaşımı süresinden hangisi daha sonra sona eriyor ise, o süre uygulama alanı bulacaktır.