Kişisel Verileri Saklama Ve İmha Politikası
İşbu Kişisel Veri Saklama ve İmha Politikası (“Politika”), 6698 Sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) ve Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik (“Yönetmelik”) uyarınca veri sahiplerini, kişisel verilerin işlendikleri amaç için gerekli olan azami saklama süresinin belirlenmesi esasları ile silme, yok etme ve anonim hale getirme süreçleri hakkında bilgilendirmek amacıyla veri sorumlusu sıfatıyla Samak Sağlık Hizmetleri A.Ş. (“Hastane”) tarafından hazırlanmıştır.
TANIMLAR
Açık Rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.
İlgili Kullanıcı: Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişilerdir.
İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi.
Kayıt Ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam.
Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.
Kişisel Verilerin İşlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.
Kişisel Verilerin Anonim Hale Getirilmesi: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesi.
Kişisel Verilerin Silinmesi: Kişisel verilerin silinmesi; kişisel verilerin İlgili Kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi.
Kişisel Verilerin Yok Edilmesi: Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemi.
Kurul:Kişisel Verileri Koruma Kurulu.
Periyodik İmha:Kanun’da yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi.
Veri Sahibi/İlgili Kişi: Kişisel verisi işlenen gerçek kişi.
GİRİŞ
Hastane tarafından kişisel verilerin saklanması ve imhasında aşağıda yer alan ilkeler çerçevesinde hareket edilmektedir:
• Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesinde ilgili mevzuat hükümleri, Kurul kararları ve işbu Politika kapsamında hareket edilmektedir.
• Kişisel verilerin silinmesi, yok edilmesi, anonim hale getirilmesiyle ilgili yapılan tüm işlemler Hastane tarafından kayıt altına alınmakta ve söz konusu kayıtlar, mevzuatta öngörülen süre kadar muhafaza edilmektedir.
• Kurul tarafından aksine bir karar alınmadıkça, kişisel verileri resen silme, yok etme veya anonim hale getirme yöntemlerinden uygun olanı tarafımızca seçilmektedir. Ancak, İlgili Kişinin talebi halinde uygun yöntem gerekçesi açıklanarak seçilecektir.
• Kanun’un 5. ve 6. maddelerinde yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması halinde, kişisel veriler Hastane tarafından resen veya ilgili kişinin talebi üzerine silinmekte, yok edilmekte veya anonim hale getirilmektedir. Bu hususta İlgili Kişi tarafından Hastanemize başvurulması halinde;
- İletilen talepler en geç 30 (otuz) gün içerisinde cevaplandırılmaktadır,
- Talebe konu verilerin üçüncü kişilere aktarılmış olması durumunda, bu durum verilerin aktarıldığı üçüncü kişiye bildirilmekte ve üçüncü kişiler nezdinde gerekli işlemlerin yapılması temin edilmektedir.
SAKLAMAYA İLİŞKİN ESASLAR
Kanun’un 10. maddesi gereği Hastanemiz, ilgili kişilere kişisel verilerinin hangi amaçlarla işlendiği bilgisini vermektedir. Hastanede, faaliyetleri çerçevesinde işlenen kişisel veriler, ilgili mevzuatta öngörülen süre kadar muhafaza edilir. Bu kapsamda kişisel veriler,
6698 sayılı Kişisel Verilerin Korunması Kanunu,
6098 sayılı Türk Borçlar Kanunu,
5188 sayılı Özel Güvenlik Hizmetlerine Dair Kanun,
6102 sayılı Türk Ticaret Kanunu,
3359 sayılı Sağlık Hizmetleri Temel Kanunu,
663 sayılı Sağlık Bakanlığı ve Bağlı Kuruluşlarının Teşkilat ve Görevleri Hakkında Kanun Hükmünde Kararname,
Özel Hastaneler Yönetmeliği,
Kişisel Sağlık Verileri Hakkında Yönetmelik,
Hasta Hakları Yönetmeliği,
Tıbbi Laboratuvarlar Yönetmeliği,
Yataklı Tedavi Kurumları İşletme Yönetmeliği
Sağlıkta Kalitenin Geliştirilmesi ve Değerlendirilmesine Dair Yönetmelik
6502 sayılı Tüketicinin Korunması Hakkında Kanun,
5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu,
5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun,
6361 sayılı İş Sağlığı ve Güvenliği Kanunu,
4982 Sayılı Bilgi Edinme Kanunu,
3071 sayılı Dilekçe Hakkının Kullanılmasına Dair Kanun,
4857 sayılı İş Kanunu,
Bu kanunlar uyarınca yürürlükte olan diğer ikincil düzenlemeler ve sair mevzuat hükümleri
çerçevesinde öngörülen saklama süreleri kadar saklanmaktadır.
Hastanemiz, faaliyetleri çerçevesinde işlemekte olduğu kişisel verileri aşağıdaki amaçlar doğrultusunda saklar.
Hizmetlerimizi sunabilmek ve bu hizmetlerin kalitesini artırabilmek,
Kamu otoritelerince öngörülen ve/veya istisna olarak sayılan faaliyetleri yerine getirebilmek,
Hastanemizin satış ve pazarlama faaliyetlerini yerine getirebilmek,
Bilgi saklama, raporlama, bilgilendirme yükümlülüklerine uymak,
İnsan kaynakları politikalarımızın en iyi şekilde planlanması ve uygulanmasını sağlamak,
Ticari ortaklıklarımızın ve stratejilerimizin doğru olarak planlanması ve yürütülmesini sağlamak,
Hastanemizin ve iş ortaklarımızın hukuki, ticari ve fiziki güvenliğinin teminini sağlamak,
Hastanemiz kurumsal işleyişini sağlanmak,
Hastane yerleşkelerini ziyaretlerde ilgili güvenlik ve meşru menfaatleri korumak,
Hastanemizin ürün ve hizmetlerini sunmak,
Ürün ve hizmete ilişkin iletişim kurmak,
Pazarlama faaliyetlerinde kullanmak,
Ürün/hizmet teklifi, modelleme, raporlama, risk izleme, mevcut veya yeni ürün çalışmaları ve potansiyel müşteri tespiti gibi Hastanemizin faaliyet konuları ile ilgili hizmetleri sunabilmek ve bu hizmetlerin kalitesini artırabilmek ve diğer faaliyetlerini yerine getirebilmek,
Bilgilendirme yükümlülüklerine uymak,
Hastanemiz internet sitesinde sunulan hizmetleri geliştirmek,
Hastanemize talep ve şikâyetlerini iletenler ile iletişime geçmek,
Hastanemiz internet sitesinde oluşan hataların gidermek,
İnsan kaynakları süreçlerini yürütmek,
Kurumsal iletişimi sağlamak,
İmzalanan sözleşmeler ve protokoller neticesinde iş ve işlemleri ifa edebilmek,
Yasal düzenlemelerin gerektirdiği veya zorunlu kıldığı şekilde, hukuki yükümlülüklerin yerine getirilmesini sağlamak,
İstatiksel çalışmalar yapabilmek,
Hastanemiz ile iş ilişkisinde bulunan gerçek / tüzel kişilerle irtibat sağlamak,
Çağrı merkezi süreçlerini yönetmek,
İleride doğabilecek hukuki uyuşmazlıklarda delil olarak ispat yükümlülüğü,
İş sözleşmesinin ifası için gerekli amacın yerine getirilmesi, özellikle;
Çalışanların izin onayı, bakiye izinlerin görüntülenmesi, izin düzenlemelerinin yapılması
Çalışanların işten çıkış işlemlerinin yapılması
Bordro işlemlerinin yapılmasının sağlanması
Çalışanlara maaş ödemelerinin yapılması
İş Kanunu, İş Sağlığı ve Güvenliği Kanunu, Sosyal Güvenlik Kanunu ve ilgili mevzuat ile, diğer kanunlar ve mevzuat kapsamında gereklilikleri yerine getirmek amacıyla özellikle;
Personel özlük ve sağlık dosyasının oluşturulması
SGK bildirimleri, İŞKUR bildirimleri, karakol bildirimi ile teşvik ve yasal yükümlülük bilgilendirmesinin yapılması
Zorunlu bireysel emeklilik sigortası hesabı açılmasının sağlanması
Çalışanların giriş çıkış kayıtlarının kontrolü ve Ar-Ge için kamera kayıtlarının kapı giriş çıkış kayıtlarıyla olan eşleşmesinin tespit edilmesi
Ar-Ge için teşvik hesaplaması yapılması
İcra dosyalarına çalışanların maaş haciz kesintilerine ilişkin ödeme yapılması
İş kazasının yasal bildirimlerinin yapılması
İş sağlığı ve güvenliği işlemlerinin yapılması
Mevzuat, ilgili düzenleyici kurumlar ve diğer otoritelerce öngörülen diğer bilgi saklama, raporlama, bilgilendirme yükümlülüklerine uymak
Mahkeme kararlarının yerine getirilmesi
Hasta/Müşteri sözleşmelerinin ifasından doğan gereklilik nedeniyle özellikle;
Hasta/Müşteri şikâyetlerinde müşterinin haklı/haksız ayrımının yapılması, müşteri memnuniyetinin arttırılması, müşteri ihtiyacının anlaşılması ve müşteri ile ilişkili süreçlerin iyileştirilmesinin sağlanması
Hastaya/Müşteriye hizmet kalitesinin değerlendirilmesi ve çalışanlara eğitim verilmesi
Şirketin idaresi, işin yürütülmesi, Şirket politikalarının uygulanması amacıyla, özellikle;
Şirket çalışanlarının performanslarının takibi ve raporlanması
Çalışanlara masraf ödemelerinin yapılması
Çalışanlarla iletişimin sağlanması
Kendisine araç tahsis edilen veya kullandırılan çalışanın araba kullanmaya ehil olduğunun, ehliyetini herhangi bir nedenle kaybetmediğinin teyit edilmesi
Çalışana araç tedarik edilmesi ve park yeri ayarlanmasının sağlanması
Kartvizit basımının sağlanması
Kargo ve kurye aracılığıyla gelen paketlerin ilgili çalışana iletilmesinin sağlanması
Çalışanların güvenliği ve işin yürütülmesi için Şirket aracı kullanımının takip edilmesi
Servis ve seyahat organizasyonunun sağlanması
Çalışanın iş e-postasının oluşturulması
Çalışanlarla ilgili araştırma projeleri yürütülmesi
Çalışanların işe giriş ve çıkışlarının kontrolünün sağlanması
Çalışanların işe başvuru ve mülakatı süresince toplanan belgelerinin kayıt altına alınması
Kutlama amaçlı iletişimin sağlanması
Eğitim planlamasının yapılması, eğitimlerin raporlaması, eğitim sertifikalarının hazırlanması, gerçekleşen eğitimlere katılan çalışanların takip edilebilmesi, çalışanların aldıkları eğitimler sonucu gelişim süreçlerinin takip edilebilmesi
Kalite kontrolün sağlanması
Acil durumlarda ilgili kişilerle iletişim sağlanması
Sistem odaları, yazılımlar ve kullanılan uygulamalar kapsamında veri güvenliğinin sağlanması
Şirket içerisinde güvenliğin sağlanması özellikle işyeri güvenliğinin sağlanması amacıyla,
Finans ve muhasebe işlerinin yürütülmesi,
Görevlendirme süreçlerinin yürütülmesi,
İletişim faaliyetlerinin yürütülmesi,
İş faaliyetlerinin yürütülmesi/denetimi,
İş sağlığı ve güvenliği faaliyetlerinin yürütülmesi(taşeron çalışanları için),
Lojistik faaliyetlerinin yürütülmesi,
Mal hizmet alım ve satım ile operasyon süreçlerinin yürütülmesi,
Sözleşme süreçlerinin yürütülmesi, taşınır mal ve kaynaklarının güvenliğinin temini,
Veri sorumlusu operasyonlarının güvenliğinin temini,
Yetkili kişi kurum ve kuruluşlara bilgi verilmesi,
Yönetim faaliyetlerinin yürütülmesi,
Pazarlama ve analiz faaliyetlerinin yürütülmesi
Fiziksel mekan güvenliğinin temini
Reklam/Kampanya/Promosyon faaliyetlerinin yürütülmesi
İşbirliği içinde olan eğitim/öğretim kurumlarına eğitim ve araştırma faaliyetlerinin gerçekleştirilmesi
Özel sağlık hizmetleri ile ilgili olarak ve bu kapsamda, tamamlayıcı sağlık sigortası faaliyetlerinin yürütülmesi
İmhaya İlişkin Esaslar
Saklamaya ilişkin açıklamalar imha için de geçerli olmakla birlikte kişisel veriler;
İşlenmesine esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi,
İşlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,
Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin açık rızasını geri alması,
Kanunun 11. inci maddesi gereği ilgili kişinin hakları çerçevesinde kişisel verilerinin silinmesi ve yok edilmesine ilişkin yaptığı başvurunun Kurum tarafından kabul edilmesi,
Kurumun, ilgili kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabı yetersiz bulması veya Kanunda öngörülen süre içinde cevap vermemesi hallerinde; Kurula şikâyette bulunması ve bu talebin Kurul tarafından uygun bulunması,
Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olması ve kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması,
durumlarında, Hastanemiz tarafından ilgili kişinin talebi üzerine silinir, yok edilir ya da re’sen silinir, yok edilir veya anonim hale getirilir.
- periyodik imha süresini 6 ay olarak belirlenmiştir. Buna göre, Hastanemizde her yıl Haziran ve Aralık aylarında periyodik imha işlemi gerçekleştirilir.
Kişisel Verilerin Saklanması ve İmhasına İlişkin Usuller, Teknik ve İdari Tedbirler
Kişisel veriler, Hastanemiz tarafından sunucular(web, e- posta vs.), yazılımlar(ofis yazılımları vs), bilişim güvenliği (firewall(güvenlik duvarı), antivirüs yazılımları vs), bilgisayarlar, sürücüler(flash bellek, CD vs) olarak elektronik ortamlarda; kağıt, dolap, arşiv olarak fiziki ortamlarda güvenli biçimde saklanmaktadır.
İdari Tedbirler:
Hastanemiz idari tedbirler kapsamında;
• Saklanan kişisel verilere Hastane içi erişimi iş tanımı gereği erişmesi gerekli personel ile sınırlandırır. Erişimin sınırlandırılmasında verinin özel nitelikli olup olmadığı ve önem derecesi de dikkate alınır.
• İşlenen kişisel verilerin hukuka aykırı yollarla başkaları tarafından elde edilmesi hâlinde, bu durumu en kısa sürede ilgilisine ve Kurul’a bildirir.
• Kişisel verilerin paylaşılması ile ilgili olarak, kişisel verilerin paylaşıldığı kişiler ile kişisel verilerin korunması ve veri güvenliğine ilişkin çerçeve sözleşme imzalar yahut mevcut sözleşmesine eklenen hükümler ile veri güvenliğini sağlar.
• Kişisel verilerin işlenmesi hakkında bilgili ve deneyimli personel istihdam eder ve personeline kişisel verilerin korunması mevzuatı ve veri güvenliği kapsamında gerekli eğitimleri verir.
• Kendi tüzel kişiliği nezdinde Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapar ve yaptırır. Denetimler sonucunda ortaya çıkan gizlilik ve güvenlik zafiyetlerini giderir.
• Kişisel verilerin bulunduğu ortama göre yeterli güvenlik önlemlerinin (elektrik kaçağı, yangın, su baskını, hırsızlık vb. durumlara karşı) alınmasını sağlar ve bu ortamlara yetkisiz giriş çıkışları engeller.
• Kişisel verilerin işlenmesi ve korunması süreçleri ile ilgili çalışanların uymakla yükümlü olduğu disiplin yönetmeliği ve diğer politikalarda sorumluluk ve yaptırımları düzenler.
Teknik Tedbirler:
Şirket idari tedbirler kapsamında;
• Verilerin kurum dışına sızmasını engelleyecek veya gözlemleyecek teknik altyapının temin edilmesini ve yetki matrislerinin oluşturulmasını sağlar.
• Düzenli olarak ve ihtiyaç oluştuğunda sızma testi hizmeti alarak güvenlik kontrolü sağlar.
• Kişisel verilerin yok edilmesini geri dönüştürülemeyecek ve denetim izi bırakmayacak şekilde sağlar.
• Kanun’un 12. maddesi uyarınca, kişisel verilerin saklandığı her türlü dijital ortamı, bilgi güvenliği gereksinimlerini sağlayacak şekilde şifreli yöntemler ile korur.
• Özel nitelikli kişisel verileri üzerinde gerçekleşen tüm hareketlerin işlem kayıtlarının güvenli olarak loglanmasını sağlar.
• Verilerin bulunduğu ortamlara ait güvenlik güncellemelerini sürekli takip ederek gerekli güvenlik testlerinin düzenli olarak yaptırılmasını sağlar.
• Özel nitelikli kişisel verilere bir yazılım aracılığı ile erişilen durumlarda bu yazılıma ait kullanıcı yetkilendirmelerini yaparak bu yazılımların güvenlik testlerinin düzenli olarak yaptırılmasını sağlar.
• Özel nitelikli kişisel verilerin aktarıldığı durumlarda;
- Verilerin e-posta ile aktarılması gerekiyor ise bunların şifreli olarak kurumsal e-posta adresiyle veya KEP hesabı kullanılarak aktarılmasını,
- Verilerin taşınabilir bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerekiyorsa kriptografik yöntemler ile şifrelenmesini,
- Farklı fiziksel ortamdaki sunucular arasında aktarma gerçekleşiyor ise sunucular arasında VPN kurularak veya sFTP yöntemiyle aktarmanın sağlanmasını,
- Verilerin kağıt ortamında aktarımı gerekiyorsa evrakın “gizlilik dereceli belgeler” formatında gönderilmesini sağlar.
Politikanın Yürürlüğe Sokulması, İhlal Durumları ve Yaptırımlar
• İşbu Politika tüm çalışanlara duyurularak …/…/… tarihinde “link” internet sitemizde yayınlanarak yürürlüğü girmiştir ve yürürlüğü itibariyle tüm iş birimleri, danışmanlar, dış hizmet sağlayıcıları ve kişisel veri işleyen herkes için bağlayıcı niteliktedir. İşbu politika hastanemizce gerekli görüldüğü durumlarda güncellenecek olup güncel haline internet sitemizden erişilebilecektir.
• Çalışanların politikanın gereklerini yerine getirip getirmediğinin takibi ilgili çalışanların amirlerinin sorumluluğunda olacaktır. Politikaya aykırı davranış tespit edildiğinde konu derhal ilgili çalışanın amiri tarafından bağlı bulunan bir üst amire bildirilecektir.
• Aykırılığın bildirilmesinin gerekli olması halinde ise üst amir tarafından vakit kaybetmeksizin Kişisel Verileri Koruma Komitesi’ne bilgi verilecektir.
• Politikaya aykırı davranan çalışan veya sorumlu hakkında, İnsan Kaynakları ve idari birim tarafından yapılacak değerlendirme sonrasında gerekli idari ve hukuki işlem yapılacaktır.
Kulak, Burun ve Boğaz