BÖLÜM
1 – POLİTİKANIN AMACI VE KAPSAMI
Kişisel Verilerin Korunması
Kanunu Tasarısı ülkemizde ilk defa 2007 yılında Avrupa Birliği
ile uyum kapsamında hazırlanmıştır. 6698 sayılı Kişisel
Verilerin Korunması Kanunu, önceki metinler üzerinde yapılan
çeşitli değişikliklerle 18 Ocak 2016 tarihinde TBMM Başkanlığı’na
sevk edilmiştir ve 24 Mart 2016 tarihinde TBMM Genel Kurulu
tarafından kabul edilerek kanunlaşmış,7 Nisan 2016 tarih ve 29677
sayılı Resmi Gazete’de yayımlanarak yürürlüğe girmiştir.
Kişisel verilerin korunması,
kişisel verilerin işlenmesinin disiplin altına alınması ve bu
bağlamda Anayasada öngörülen başta özel hayatın gizliliği
olmak üzere temel hak ve özgürlüklerin korunmasıdır.
Verilerin korunması, temelde
verilerin değil, bu verilerin ilişkili olduğu kişilerin
korunmasını hedef alır. Verilerin korunması kişileri onlar
hakkındaki bilgilerin (otomatik olarak ya da otomatik olmayan
yollarla) işlenmesinden doğacak zararlardan koruma amacına
yönelmiş ve kişisel verilerin korunmasına ilişkin ilkelerde
somutlaşmış bir dizi önlemi ifade eder.
Bu Politika ile hastalarımızın
müşterilerimizin, çalışanlarımızın , çalışan
adaylarımızın, şirket hissedarlarının, şirket yetkililerinin,
ziyaretçilerimizin, işbirliği içinde olduğumuz kurumların
çalışanları, hissedarları ve yetkililerinin ve üçüncü
kişilerin kişisel verilerinin korunması ve işlenmesi prensipleri
oluşturulmaktadır.
Politika’nın temel amacı,6698
sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”)
kapsamında, Veri Sorumlusu sıfatıyla Özel Şelale Termessos
Hastanesi tarafından yürütülen kişisel veri işleme faaliyeti ve
kişisel verilerin korunmasına yönelik süreçler hakkında
açıklamalarda bulunarak, kişisel verileri şirketimiz tarafından
işlenen veri sahibi gerçek kişileri bilgilendirmek ve uygulamada
şeffaflığı sağlamaktır.
Bu Politika ile; bir Anayasal hak
olan Kişisel Verilerinin Korunmasını bir şirket politikası
haline getirmekte ve hukuki ve sosyal sorumluluğu kapsamında
Kişisel Veri Koruma Kanunu ve mevzuat ve düzenlemelerine uymayı
taahhüt etmektedir.
Kişisel Verilerin Korunması
Kanunu ve ek mevzuatların uygulanmasına yönelik olarak Şirket
içerisinde gerekli prosedürler düzenlenmekte, özel aydınlatma
metinleri oluşturulmakta, gizlilik sözleşmeleri yapılmakta, görev
tanımları revize edilmekte, kişisel verilerin korunması için
Şirket tarafından gereken idari ve teknik tedbirler alınmakta, bu
kapsamda gerekli denetimleri yapmakta veya yaptırmaktadır.
BÖLÜM 2-KİŞİSEL VERİLERİN
İŞLENMESİ
Özel Şelale Termessos Hastanesi
Anayasa’nın 20. maddesine ve KVK Kanunu’nun 4. maddesine uygun
olarak, kişisel verilerin işlenmesi konusunda; hukuka ve dürüstlük
kuralına uygunluk , doğru ve güncel tutma, belirli, açık ve
meşru amaçlar için işleme, amaçla bağlantılı, sınırlı ve
ölçülü olarak mevzuatta öngörülen veya işlendikleri amaç
için gerekli olan süre kadar muhafaza edilme ilkelerine uyarak
öngörülen usul ve esaslara bağlı olarak kişisel veri işleme
faaliyetinde bulunmaktadır.
Kişisel verileriniz kamu
sağlığının korunması, koruyucu hekimlik, tıbbî teşhis,
tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri
ile finansmanının planlanması ve yönetimi amaçlarıyla ve
Ortaklığımızın faaliyet konularına uygun düşecek şekilde;
sözlü, yazılı, görsel ya da elektronik ortamda, çağrı
merkezi, internet sitesi, sözlü, yazılı ve benzeri kanallar
aracılığıyla elde edilmektedir.
Özel Şelale Termessos Hastanesi
meşru ve hukuka uygun kişisel veri işleme amaçları
doğrultusunda, KVK Kanunu’nun 5. maddesinde belirtilen kişisel
veri işleme şartlarından bir veya birkaçına dayalı ve sınırlı
olarak, başta kişisel verilerin işlenmesine ilişkin 4. maddede
belirtilen ilkeler olmak üzere, KVK Kanunun da belirtilen genel
ilkelere ve KVK Kanunun da düzenlenen bütün yükümlülüklere
uyularak; Hastalar, Müşteri, Ziyaretçi, Sözleşmeye Dayalı
İşlerin Tarafı Olan Üçüncü Kişiler, Çalışanlar, Çalışan
adayı, Şirket Hissedarı, İşbirliği İçinde Olunan Kurumların
Çalışanları, Ortakları ve Yetkilileri ile sınırlı olarak
aşağıdaki tabloda yer alan kategorilerdeki kişisel veriler KVK
Kanunu’nun 10. maddesi uyarınca ilgili kişiler bilgilendirilmek
suretiyle kategori bazlı işlenmektedir
Özel Şelale Termessos
Hastanesinde. kişisel verilerin işlenmesinde hukuksal
düzenlemelerle getirilen ilkeler ile genel güven ve dürüstlük
kurallarına uygun hareket edilmektedir.
Kanunun 5. Maddesinin 1.
Fıkrasında yer alan ‘Kişisel veriler ilgili kişinin açık
rızası olmaksızın işlenemez’ düzenlemesi çerçevesinde
şirketimiz kanunun tanıdığı istisnai haller dışında, açık
rızanın bulunması halinde kişisel veri işlemektedir.
Kişisel verilerin, kişisel veri
sahibinin açık rıza vermesine bağlı olarak işlenmesi için,
Kanunun 5. Maddesinde sayılan istisna halleri dışında kişisel
veri sahiplerinin açık rızaları alınmaktadır.
Bu kapsamda kişisel verilerin
işlenmesinde orantılılık gereklilikleri dikkate alınmakta,
kişisel veriler amacın gerektirdiği durumlar dışında
kullanılmamaktadır.
Kanun 5. Madde kapsamında,
aşağıda belirtilen durumlarda Özel Şelale Termessos Hastanesi
kişisel veri sahiplerinin verilerini açık rıza almaksızın
işleyebilmektedir;
Kişisel verilerin şirketimiz
tarafından işlenmesinin bir sözleşmenin kurulması veya ifasıyla
doğrudan doğruya ilgili ve gerekli olması,
Kişisel verilerin işlenmesinin
şirketimizin hukuki yükümlülüğünü yerine getirebilmesi için
zorunlu olması,
Kişisel verilerin veri sahibi
tarafından alenileştirilmiş olması şartıyla; alenileştirme
amacıyla sınırlı bir şekilde şirketimiz tarafından işlenmesi,
Kişisel verilerin işlenmesinin
şirketimizin veya veri sahibi veya üçüncü kişilerin haklarının
tesisi, kullanılması veya korunması için zorunlu olması,
Veri sahiplerinin temel hak ve
özgürlüklerine zarar vermemek kaydıyla şirketimiz meşru
menfaatleri için kişisel veri işleme faaliyetinde bulunulmasının
zorunlu olması,
Şirketimiz tarafından kişisel
veri işleme faaliyetinde bulunulmasının kişisel veri sahibinin ya
da bir başkasının hayatı veya beden bütünlüğünün korunması
için zorunlu olması ve bu durumda da kişisel veri sahibinin fiili
imkânsızlık veya hukuki geçersizlik nedeniyle rızasını
açıklayamayacak durumda bulunması,
Özel Şelale Termessos Hastanesi,
Kanunun 6. maddesinde yer alan Özel Nitelikli Kişisel verilerin
işlenmesine ilişkin ve 8. ve 9. maddeler de yer alan kişisel
verilerin aktarılması konusunda öngörülen düzenlemelere ve
Kişisel Verileri Koruma Kurumu tarafından yayımlanan esaslara
uygun davranmaktadır.
KVKK’nın 6. maddesinde, hukuka
aykırı olarak işlendiğinde kişilerin mağduriyetine veya
ayrımcılığa sebep olma riski taşıyan bir takım kişisel veri
“özel nitelikli” olarak belirlenmiş olup bu verilerin
işlenmesinde dikkat ve hassasiyet gösterilmesi gerekmektedir.
Bu veriler; ırk, etnik köken,
siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar,
kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık,
cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili
veriler ile biyometrik ve genetik verilerdir.
Bu verilerin işlenebilmesi için
Kanun 6. Madde de yer verilen istisnalar dışında veri sahibinin
açık rızasının alınması zorunludur.
Kişisel veri sahibinin sağlığına
ve cinsel hayatına ilişkin özel nitelikli kişisel verileri ise
ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi
teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık
hizmetleri ile finansmanının planlanması ve yönetimi amacıyla,
sır saklama yükümlülüğü altında bulunan kişiler veya yetkili
kurum ve kuruluşlar tarafından açık rıza almadan
işlenebilmektedir.
BÖLÜM.3-İŞLENEN
VERİ KATEGORİLERİ
Özel Şelale Termessos Hastanesi
tarafından özel nitelikli kişisel verileriniz ve genel nitelikli
kişisel verileriniz, tarafından aşağıda yer alanlar dâhil ve
bunlarla sınırlı olmaksızın bu maddede belirtilen veri
kategorileri ile bağlantılı ve ölçülü şekilde
işlenebilmektedir:
Kimlik Ad soyad, Anne - baba adı,
Anne kızlık soyadı, Doğum tarihi, Doğum yeri, Medeni hali, Nüfus
cüzdanı seri sıra no, TC kimlik no v.bİletişim Adres no, E-posta
adresi, İletişim adresi, Kayıtlı elektronik posta adresi (KEP),
Telefon no v.b.Lokasyon Bulunduğu yerin konum bilgileri v.bÖzlük
Bordro bilgileri, Disiplin soruşturması, İşe giriş belgesi
kayıtları, Mal bildirimi bilgileri, Özgeçmiş bilgileri,
Performans değerlendirme raporları.Hukuki İşlem Adli makamlarla
yazışmalardaki bilgiler, Dava dosyasındaki bilgiler Müşteri
İşlem Çağrı merkezi kayıtları, Fatura, senet, çek bilgileri,
Gişe dekontlarındaki bilgiler, , Talep bilgisi Fiziksel Mekan
Güvenliği ; Çalışan ve ziyaretçilerin giriş çıkış kayıt
bilgileri, Kamera kayıtları Finans Bilanço bilgileri, Finansal
performans bilgileri, Kredi ve risk bilgileriMesleki Deneyim Diploma
bilgileri, Gidilen kurslar, Meslek içi eğitim bilgileri,
Sertikalar, Transkriptbilgileri .Görsel Ve İşitsel Kayıtlar
Görsel ve İşitsel kayıtlar Sağlık
Bilgileri Engellilik durumuna ait bilgiler, Kan grubu bilgisi,
Kişisel sağlık bilgileri, Kullanılan cihaz ve protez bilgileri
Ceza Mahkûmiyeti Ve Güvenlik Tedbirleri Ceza mahkumiyetine ilişkin
bilgiler, Güvenlik tedbirlerine ilişkin bilgiler ve Biyometrik Veri
Avuç içi bilgileri, Parmak izi bilgileri, Retina taraması
bilgileri http://www.termessoshastanesi.com
adresine gönderdiğiniz veya
girdiğiniz kişisel verileriniz.
BÖLÜM.
4-KİŞİSEL VERİLERİ İŞLEME AMAÇLARIMIZ
Özel
Şelale Termessos Hastanesi tarafından tarafından elde edilen her
türlü kişisel veriniz (Özel nitelikli kişisel veriler de dahil
fakat bunlarla sınırlı olmamak kaydıyla) aşağıdaki amaçlar
ile işlenebilecektir: Kimliğinizi teyit
etme, Kamu sağlığının korunması, koruyucu hekimlik, tıbbî
teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık
hizmetleri ile finansmanının planlanması ve yönetimi. İlgili
mevzuat uyarınca Sağlık Bakanlığı ve diğer kamu kurum ve
kuruluşları ile talep edilen bilgilerin paylaşılması.
Hastanemizin iç işleyişi ile günlük operasyonların planlanması
ve yönetilmesi. Hastane Yönetimi, Hasta Hakları, Hasta Deneyimi
bölümleri tarafından hasta memnuniyetinin ölçülmesi,
arttırılması ve araştırılması, İlaç temini. Randevu almanız
halinde randevu hakkında sizi haberdar edebilme.Risk yönetimi ve
kalite geliştirme aktivitelerinin yerine getirilmesi. Sağlık
hizmetlerini geliştirme amacıyla analiz yapma.Hasta Hizmetleri,
Mali İşler, Pazarlama bölümleri tarafından sağlık
hizmetlerinizin finansmanı, tetkik, teşhis ve tedavi giderlerinizin
karşılanması, müstehaklık sorgusu kapsamında özel sigorta
şirketler ile talep edilen bilgilerin paylaşılması.Araştırma
yapılması.Yasal ve düzenleyici gereksinimlerin yerine
getirilmesi.Sağlık hizmetlerinin finansmanı kapsamında özel
sigorta şirketler ile talep edilen bilgileri paylaşma.Kalite, Hasta
Deneyimi, Bilgi Sistemleri bölümleri tarafından risk yönetimi ve
kalite geliştirme aktivitelerinin yerine getirilmesi.Hasta
Hizmetleri, Mali İşler, Pazarlama bölümleri tarafından
hizmetlerimiz karşılığında faturalandırma yapılması ve
anlaşmalı olan kurumlarla ilişkinizin teyit edilmesi.Pazarlama,
Medya ve İletişim, Çağrı Merkezi bölümleri tarafından
kampanyalara katılım ve kampanya bilgisi verilmesi, Web ve mobil
kanallarda özel içeriklerin, somut ve soyut faydaların
tasarlanması ve iletilebilmesi.İlgili mevzuat uyarınca elde edilen
ve işlenen Kişisel Verileriniz, ,Özel Şelale Termessos
Hastanesine ait fiziki arşivler ve/veya bilişim sistemlerine
nakledilerek, hem dijital ortamda hem de fiziki ortamda muhafaza
altında tutulabilecektir..Ayrıca
Bilgi Güvenliği Süreçlerinin Yürütülmesi Çalışan Adayı /
Stajyer / Öğrenci Seçme Ve Yerleştirme Süreçlerinin
Yürütülmesi, Çalışan Adaylarının Başvuru Süreçlerinin
Yürütülmesi,Çalışanlar İçin İş Akdi Ve Mevzuattan Kaynaklı
Yükümlülüklerin Yerine Getirilmesi, Çalışanlar İçin Yan
Haklar Ve Menfaatleri Süreçlerinin Yürütülmesi, Eğitim
Faaliyetlerinin Yürütülmesi, Erişim Yetkilerinin Yürütülmesi
, Faaliyetlerin Mevzuata Uygun Yürütülmesi, Finans Ve Muhasebe
İşlerinin Yürütülmesi, Fiziksel Mekan Güvenliğinin Temini,
Görevlendirme Süreçlerinin Yürütülmesi, Hukuk İşlerinin
Takibi Ve Yürütülmesi, İletişim Faaliyetlerinin Yürütülmesi,
İnsan Kaynakları Süreçlerinin Planlanması, İş Sağlığı /
Güvenliği Faaliyetlerinin Yürütülmesi, Müşteri İlişkileri
Yönetimi Süreçlerinin Yürütülmesi, Performans Değerlendirme
Süreçlerinin Yürütülmesi, Saklama Ve Arşiv Faaliyetlerinin
Yürütülmesi,Sözleşme Süreçlerinin Yürütülmesi ,Veri
Sorumlusu Operasyonlarının Güvenliğinin Temini, Yetkili Kişi,
Kurum Ve Kuruluşlara Bilgi Verilmesi, Ziyaretçi Kayıtlarının
Oluşturulması Ve Takibi amaçları ile; İlgili mevzuat uyarınca
elde edilen ve işlenen kişisel verileriniz
Özel
Şelale Termessos Hastanesi ait fiziki arşivler ve/veya bilişim
sistemlerine nakledilerek, hem dijital ortamda hem de fiziki ortamda
muhafaza altında tutulabilecektir.
BÖLÜM.5--
KİŞİSEL VERİLERİN AKTARILMASI
Özel
Şelale Termessos Hastanesi olarak, Kanunun 6. maddesinde yer alan
Özel Nitelikli Kişisel verilerin işlenmesine ilişkin ve 8. ve 9.
maddeler de yer alan kişisel verilerin aktarılması konusunda
öngörülen düzenlemelere ve Kişisel Verileri Koruma Kurumu
tarafından yayımlanan esaslara uygun davranmaktadır.
Kişisel
verileriniz, Kanun ve sair mevzuat kapsamında ve yukarıda BÖLÜM 4
te yer verilen amaçlarla Emniyet Genel Müdürlüğü ve sair
kolluk kuvvetleri, Nüfus Genel Müdürlüğü, Türkiye Eczacılar
Birliği ve her türlü yargı makamı, merkezi ve sair üçüncü
kişiler, yetki vermiş olduğunuz temsilcileriniz, avukatlar, vergi
ve finans danışmanları da dâhil olmak üzere danışmanlık
aldığımız üçüncü kişiler, düzenleyici ve denetleyici
kurumlar, resmi merciler dâhil sağlık hizmetlerini yukarıda
belirtilen amaçlarla geliştirmek veya yürütmek üzere işbirliği
yaptığımız iş ortaklarımız ve diğer üçüncü kişiler ile
paylaşılabilecektir veya bu kapsamda yurt dışına
aktarılabilecektir. grup şirketlerine, sözleşmeye dayalı iş
ilişkisinde olduğu danışman ve müşavirlerine, hizmet
tedarikçilerine, faaliyetin getirdiği yasal zorunluluklar
kapsamında kamu kuruluşları ve mevzuatla tanımlanmış diğer
kuruluşlara aktarabilmektedir
Kanun
5. Madde kapsamında, aşağıda belirtilen durumlarda Özel Şelale
Termessos Hastanesi kişisel veri sahiplerinin verilerini açık rıza
almaksızın aktarılmaktadır;Kişisel verilerin şirketimiz
tarafından işlenmesinin bir sözleşmenin kurulması veya ifasıyla
doğrudan doğruya ilgili ve gerekli olması,Kişisel verilerin
işlenmesinin şirketimizin hukuki yükümlülüğünü yerine
getirebilmesi için zorunlu olması,Kişisel verilerin veri sahibi
tarafından alenileştirilmiş olması şartıyla; alenileştirme
amacıyla sınırlı bir şekilde şirketimiz tarafından işlenmesi,
Kişisel
verilerin işlenmesinin şirketimizin veya veri sahibi veya üçüncü
kişilerin haklarının tesisi, kullanılması veya korunması için
zorunlu olması,Veri sahiplerinin temel hak ve özgürlüklerine
zarar vermemek kaydıyla şirketimiz meşru menfaatleri için kişisel
veri işleme faaliyetinde bulunulmasının zorunlu olması.Özel
nitelikteki verilerin aktarılabilmesi için Kanun 6. Madde de yer
verilen ve aşağıda yer verilen istisnalar dışında veri
sahibinin açık rızasının alınması zorunludur. İlgili
istisnalar Kişisel veri sahibinin sağlığına ve cinsel hayatına
ilişkin özel nitelikli kişisel verileri ise ancak kamu sağlığının
korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım
hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının
planlanması ve yönetimi şeklinde olup; sır saklama yükümlülüğü
altında bulunan kişiler veya yetkili kurum ve kuruluşlar
tarafından açık rıza almadan aktarılabilmektedir.
BÖLÜM.6-KİŞİSEL
VERİ SAHİBİNİN AYDINLATILMASI VE BİLGİLENDİRİLMESİ
Özel
Şelale Termessos Hastanesi olarak kişisel verilerin işlenmesinde
hukuksal düzenlemelerle getirilen ilkeler ile genel güven ve
dürüstlük kuralına uygun hareket etmekte, kişisel verileri
amacın gerektirdiği dışında kullanmamaktadır.
Kanun
10. Madde kapsamında, KVKK Bilgilendirme/Aydınlatma Metni ile veri
işlenecek gerçek kişilere iletilerek bilgilendirme yapılmaktadır.
Aydınlatma metni şirket internet sitesinde yer almakta iş ilişkisi
ve sözleşme kurulmasından önce kişisel veri sahipleri
Bilgilendirme Metni iletilerek açık bir şekilde
bilgilendirilmektedir.
Bu
kapsamda Şirket; varsa temsilcisinin kimliği, kişisel verilerin
hangi amaçla işleneceği, ne şekilde saklanacağı, işlenen
kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
kişisel veri toplamanın yöntemi ve hukuki sebebi ile kişisel veri
sahibinin sahip olduğu hakları konusunda veri sahiplerine
aydınlatma yapmaktadır. Özel Şelale Termessos Hastanesi ı olarak
veri sahiplerinin temel haklarını ve kendi meşru menfaatlerini
dikkate alarak işlemekte, kişisel verilerin doğru ve güncel
olmasını sağlamaktadır. Şirketimiz, meşru ve hukuka uygun olan
kişisel veri işleme amacını açık ve kesin olarak
belirlemektedir. Kişisel verilerin hangi amaçla işleneceği henüz
kişisel veri işleme faaliyeti başlamadan ortaya konulmaktadır.
Amacın gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç
duyulmayan kişisel verilerin işlenmesinden kaçınmaktadır.
Özel
Şelale Termessos Hastanesi ı olarak kişisel verileri ancak ilgili
mevzuatta belirtildiği veya işlendikleri amaç için gerekli olan
süre kadar muhafaza etmektedir, bir süre belirlenmişse bu süreye
uygun davranmakta, bir süre belirlenmemişse kişisel verileri
işlendikleri amaç için gerekli olan süre kadar saklamaktadır.
Sürenin bitimi veya işlenmesini gerektiren sebeplerin ortadan
kalkması halinde kişisel veriler Şirket tarafından silinmekte,
yok edilmekte veya anonim hale getirilmektedir. Gelecekte kullanma
ihtimali ile kişisel veriler saklanmamaktadır.
Anayasa’nın
20. maddesinde herkesin, kendisiyle ilgili kişisel veriler hakkında
bilgilendirilme hakkına sahip olduğu ortaya konulmuştur. Bu
doğrultuda KVK Kanunu’nun 11. maddesinde kişisel veri sahibinin
hakları arasında “bilgi talep etme” de sayılmıştır.
Özel
Şelale Termessos Hastanesi olarak bu kapsamda, Anayasa’nın 20.
uygun olarak veri sahibini aydınlatmakta ve KVK Kanunu’nun 11.
maddelerine uygun olarak Kişisel Veri Sahibinin bilgi talep etmesi
durumunda süresinde ve mevzuata uygun olarak gerekli
bilgilendirmeleri yapmaktadır.
BÖLÜM.
7- KİŞİSEL VERİLERİN GÜVENLİĞİNİN SAĞLANMASI:
Kişisel
Verilerin Hukuka Aykırı Erişiminin Engellenmesi ve Kişisel
Verilerin Güvenli Ortamlarda muhafazası ve bilginin bütünlüğünü
koruyarak sürekli erişilebilirliğini garanti altına alacak alt
yapıyı ve kontrolleri hayata geçirmiştir. Kişisel verilerin
tedbirsizlikle veya yetkisiz olarak açıklanmasını, erişimini,
aktarılmasını veya başka şekillerdeki hukuka aykırı erişimi
önlemek için ve oluşabilecek diğer teknik tehditler karşısında
korunacak verinin niteliğine göre, aşağıda yer verilen
teknik ve idari tedbirler uygulamaya konulmuştur.
7.1-TEKNİK
TEDBİRLER
Güvenlik sistemi kişisel
verilerin kişilere ait bilgi sistemlerinde bulunduğu esnada
tüm tehditlere karşı korunmasıdır.
Bilgi güvenliği tehditleri
arasında, organizasyon bünyesinde çalışan kişilerin
oluşturabileceği bilinçli veya bilinçsiz tehditler olarak
tanımlayabileceğimiz iç tehditler çok önemli bir yer tutmaktadır
Organizasyon bünyesinde çalışan
kişilerin oluşturabileceği bilinçli veya bilinçsiz tehditler
dikkate alınarak bilgiye erişimi kontrol etmek ve yetkisiz
erişimleri önlemek için ilgili alanlarda yazılım üzerinden log
raporlaması ile gerekli güvenlik kontrollerini hayata
geçirilmiştir.
Kullanılan log programları
dinlediği trafiğin kaydını tutarak, gerektiğinde bu kayıtları
baz alarak istenilen şekilde raporlar çıkartabilmektedir. Sistem
yöneticilerinin sistemi güçlü bir şekilde izlemesine yardımcı
olmaktadır.
Yetkilendirme prosedürümüz
kapsamında çalışanların günlük faaliyetlerinin yetki
profillerine uyum sağlayıp sağlamadığı kontrol edilir. Yetkiler
şirket bilgi sistem birimi tarafından düzenli olarak kontrol
edilmektedir.
Yetki düzeyi onayları veri
sorumlusu yöneticisi tarafından verilmektedir.
Kişisel veri kaynaklarına erişim
için personel veya üçüncü şahıslar tarafından kullanılan
şifreler, ilgili sistemler için tanımlanmış olan şifre
belirleme kurallarına uyumlu olarak düzenlenmektedir. Rakam, büyük
harf, küçük harf, noktalama işareti kombinasyonların dan oluşan,
akılda kalıcı, eski şifrelere benzemeyen karmaşık şifreler
kullanılmaktadır.
Şirkette dış ağlardan
gelebilecek tehditlere karşı katmanlı ağ güvenlik tedbirleri
tesis edilmiştir.
Şirket Bilgisayar sistemlerinde
firewall, antivirüs yazılımları, güvenlik duvarları,
içerik kontrolcüler, merkezi yönetim yazılımları
kullanılmaktadır
Virüslerin en çok yayıldığı
servisler olan e-mail, http ve ftp trafikleri firewall mantığı
esas alınarak antivirüs ağ geçidine yönlendirilir. Buradaki
tarama işleminden sonra gerekli yerlere yönlendirilme yapılır. Bu
sistemle dışarıdan gelecek olan virüsler engellenmiş olur. Mail
sunucuları üzerine kurulan antivirüs sistemiyle yerel ağ
içerisinde e-mail aracılığıyla dolaşan virüslerde etkisiz hale
getirilmiş olur.
Sunucu bilgisayarları üzerine
kurulan virüs koruma yazılımları ve şirket çalışanlarının
sistemlerini kontrol edecek yazılımlarla şirketimizde kurumsal
antivirüs çözümü sağlanmış olmaktadır..
Bu denetleme çalışmaları;
bilinen açıklara karşı güvenlik taraması, uygulama tipine göre
uygulamaya yönelik güvenlik taramaları ve sistem yapılandırma
kontrollerini kapsamaktadır.
7.2-İDARİ
TEDBİRLER
Özel Şelale Termessos Hastanesi
olarak Veri Güvenliğine ilişkin hazırladığı politikaların
temel amacı, yürütülen kişisel veri işleme faaliyeti ve kişisel
verilerin korunmasına yönelik süreçler hakkında açıklamalarda
bulunmak, kişisel verileri şirket tarafından işlenen veri sahibi
gerçek kişileri bilgilendirmek, uygulamada şeffaflığı ve veri
güvenliğini ve Kanuna uyumu sağlamaktır.
Organizasyon bünyesinde çalışan
kişilerin oluşturabileceği bilinçli veya bilinçsiz tehditler ve
dış ağlardan gelebilecek tehlikeler dikkate alınarak, bilgiye
erişimi kontrol etmek ve yetkisiz erişimleri önlemek , veri
güvenliğini sağlamak için ilgili alanlarda, Erişim, Bilgi
Güvenliği, Saklama-Yedekleme, Silme- Anonimleştirme politikaları
uygulamaya alınmıştır. Uygulamalar üzerinde teknik kontrol
sistemleri kurulmuştur. Veri sorumlusu olarak şirket kurum içi
sistematik periyodik denetimleri Veri Güvenlik Koordinatörü
ve/veya Veri Kontrol Sorumlusu kanalıyla yapmaktadır. Denetimler
gerek görüldüğünde bağımsız denetim şirketlerine yaptırılır.
Gizlilik taahhütnameleri; Veri
sorumluları ile veri işleyen gerçek veya tüzel kişiler,
öğrendikleri kişisel verileri KVKK hükümlerine aykırı olarak
başkasına açıklayamazlar. Bu yükümlülük görevden
ayrılmalarından veya hizmet sözleşmelerinin sona ermesinden sonra
da devam eder. Kanunun 12. Maddesi ikinci fıkrası gereği Veri
İşleyenler , kişisel verilerin güvenliğinin sağlanması
konusunda veri sorumlusu ile müştereken sorumludur. Kişisel
verilerin işlenme ve aktarılma amaçlarını ve veri kategorilerini
açıklayan ve veri güvenlik tebdirlerinin veri işleyen nezdinde
denetlemeye tabi olduğunu belirten bir yazı veri işleyene
verilmektedir.Veri gizliliğinin sağlanması ve güvenlik
tedbirlerine uyulması konusunda tüm çalışanlardan ve veri
işleyen diğer şahıs veya kurumlardan taahhütname alınması
zorunlu kılınmıştır. Çalışanlar, danışmanlar, bilgi sistem
destek şirketleri ve diğer üçüncü kişi veya şirketlerle
yapılan sözleşmelere de bu kapsamda gizlilik taahhütnameleri
eklenmektedir. Şirketimiz, kişisel verilerin hukuka aykırı olarak
işlenmesini, verilere hukuka aykırı olarak erişilmesini önlemeye
ve verilerin muhafazasını sağlamaya yönelik farkındalığın
artırılması için iş birimlerine gerekli eğitimlerin
düzenlenmesini sağlamaktadır.
Şirketimiz mevcut çalışanlarının
ve bünyesine yeni dâhil olan çalışanların kişisel verilerin
korunması konusunda farkındalığının oluşması için gerekli
sistemler kurmakta, konuya ilişkin ihtiyaç duyulması halinde
danışmanlar ile çalışmaktadır. Bu doğrultuda Şirketimiz,
ilgili eğitimlere, seminerlere ve bilgilendirme oturumlarına
yapılan katılımlar değerlendirmekte olup ilgili mevzuatın
güncellenmesine paralel olarak yeni eğitimler düzenlemektedir.
BÖLÜM 8.
KİŞİSEL VERİLERİN SAKLAMA SÜRELERİ:
Kişisel Verilerin Silinmesi, Yok
Edilmesi veya Anonim Hale Getirilmesi hakkındaki 28 Ekim 2017
tarihli Yönetmelik‘te ‘’Kişisel Veri Saklama ve İmha
Politikasına İlişkin Esaslar’’ bölümünde; ‘’Kanunun 16.
maddesi gereğince Veri Sorumluları Siciline kayıt olmakla yükümlü
olan Veri Sorumluları, kişisel veri işleme envanterine uygun
olarak ‘Kişisel Veri Saklama ve İmha Politikası’ hazırlamakla
yükümlüdür’’ hükmü yer almaktadır.
Kanun'un 4. maddesi uyarınca
kişisel veriler ilgili mevzuatta öngörülen veya işlendikleri
amaç için gerekli olan süre kadar muhafaza edilmeli ve işlenmesini
gerektiren sebepler ortadan kalktığında kendiliğinden veya veri
sahibi talebi üzerine silinmeli, yok edilmeli veya anonim hale
getirilmelidir.
Kanunun 5. ve 6. maddelerinde yer
alan kişisel verilerin işlenme şartlarının tamamının ortadan
kalkması halinde, kişisel verilerin veri sorumlusu tarafından
resen veya ilgili kişinin talebi üzerine silinmesi, yok edilmesi
veya anonim hâle getirilmesi gerekir
28
Ekim 2017 tarihinde yürürlüğe giren Yönetmelik de işleme
nedenleri ortadan kalkan kişisel verilerin silinmesi, yok edilmesi
veya anonim hale getirilmesine ilişkin usul ve esasları
belirlemektedir. Şirketimiz, ilgili kanunlarda ve mevzuatta
öngörülmesi durumunda kişisel verileri ilgili kanun ve mevzuatta
belirtilen süre boyunca saklamaktadır. Saklanan kişisel verilere
herhangi bir başka amaçla erişilmemekte ve ancak ilgili hukuki
uyuşmazlıkta kullanılması gerektiği zaman ilgili kişisel
verilere tek bir yetkili ile erişim sağlanmaktadır. Burada da
bahsi geçen süre sona erdikten sonra kişisel veriler silinmekte,
yok edilmekte veya anonim hale getirilmektedir. Gelecekte kullanma
ihtimali ile Şirketimiz tarafından kişisel veriler
saklanmamaktadır.
Silinmesi
gereken verilerin kanuna ve şirket politika ve prosedürlerine uygun
olarak silme, yok etme veya anonimleşmesinin yapıldığının veya
kişisel verilerin silinmiş sayılmasına ilişkin koşulların
yerine getirildiğinin ve işlendikleri amaç için gerekli olan
azami sürenin belirlenerek, azami sürenin aşılıp aşılmadığının
takibi sistematik olarak yapılmaktadır.Kişisel verilerin ne kadar
süre boyunca saklanması gerektiğine ilişkin mevzuatta bir süre
düzenlenmemişse, kişisel veriler şirketimizin o veriyi işlerken
sunduğu hizmetlerle bağlı olarak şirketimizin uygulamaları ve
ticari yaşamın teamülleri uyarınca işlenmesini gerektiren süre
kadar işlenmekte, daha sonra silinmekte, yok edilmekte veya anonim
hale getirilmektedir.
Bu
kapsamda, Hastanemiz öncelikle kanunlar da ve ilgili mevzuat ta
kişisel verilerin saklanması için bir süre öngörülüp
öngörülmediğini tespit etmekte, bir süre belirlenmişse bu
süreye uygun davranmakta, bir süre belirlenmemişse kişisel
verileri işlendikleri amaç için gerekli olan süre kadar
saklamaktadır. Sürenin bitimi veya işlenmesini gerektiren
sebeplerin ortadan kalkması halinde kişisel veriler şirketimiz
tarafından silinmekte, yok edilmekte veya anonim hale
getirilmektedir
BÖLÜM
9 - VERİ SAHİBİNİN HAKLARI VE BU HAKLARINI KULLANMASI
Özel Şelale Termessos Hastanesi
olarak KVK Kanunu’nun 10. maddesine uygun olarak kişisel veri
sahibinin haklarını kendisine bildirmekte, bu hakların nasıl
kullanılacağı konusunda kişisel veri sahibine yol göstermektedir.
Şirketimiz , kişisel veri
sahiplerinin haklarının değerlendirilmesi ve kişisel veri
sahiplerine gereken bilgilendirmenin yapılması için iç işleyişe
ait idari ve teknik düzenlemeleri uygulamaya koymuştur.
Kişisel veri sahipleri KVKK 11.
Madde gereğince aşağıdaki haklara sahiptir.
Kişisel verisinin işlenip
işlenmediğini öğrenme.Kişisel verileri işlenmişse buna ilişkin
bilgi talep etme.
Kişisel verilerin işlenme
amacını ve bunların amacına uygun kullanılıp kullanılmadığını
öğrenme.
Yurt içinde veya yurt dışında
kişisel verilerin aktarıldığı üçüncü kişileri bilme.
Kişisel verilerin eksik veya
yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme
ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı
üçüncü kişilere bildirilmesini isteme.
KVK Kanunu ve ilgili diğer kanun
hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini
gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerin
silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan
işlemin kişisel verilerin aktarıldığı üçüncü kişilere
bildirilmesini isteme.
İşlenen verilerin münhasıran
otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin
kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme.
Kişisel verilerin kanuna aykırı
olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın
giderilmesini talep etme.
Kişisel veri sahipleri, KVK
Kanunu’nun 28. maddesi gereğince aşağıdaki durumlar da KVK
Kanunu kapsamı 11.’de sayılan haklarını ileri süremezler:
Kişisel verilerin resmi
istatistik ile anonim hâle getirilmek suretiyle araştırma,
planlama ve istatistik gibi amaçlarla işlenmesi.
Kişisel verilerin millî
savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini,
ekonomik güvenliği, özel hayatın gizliliğini veya kişilik
haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla,
sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade
özgürlüğü kapsamında işlenmesi.
Kişisel verilerin millî
savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini
veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev
ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen
önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi.
Kişisel verilerin soruşturma,
kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı
makamları veya infaz mercileri tarafından işlenmesi.
Kişisel veri işlemenin bütçe,
vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali
çıkarlarının korunması için gerekli olması.
Kişisel veri işlemenin kanunun
verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve
kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca,
denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin
soruşturma veya kovuşturması için gerekli olması.
Kişisel veri işlemenin suç
işlenmesinin önlenmesi veya suç soruşturması için gerekli
olması.
Kişisel veri sahibi tarafından
kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi
Kişisel Veri Sahibinin Haklarını
Kullanması:
Veri sahibi KVK Kanunu’nun 13.
maddesinin 1. fıkrası gereğince yukarıda 11. madde açıklamasında
belirtilen hakları kullanabilir.
Veri sahipleri KVK Kanunu 11.
madde de belirtilen hangi hakkı kullanmak istediğini açıklayan
yazı ile veya tercihen şirket başvuru formunu kullanarak kimlik
bilgileriyle birlikte şirketimize başvurmalı, talebini ıslak
imzalı olarak şirketimiz adresine iadeli taahhütlü mektup veya
tercihen şirketimizce hazırlanan başvuru formu veya Kişisel
Verilerin Korunması Kurulunun belirlediği diğer yöntemlerle
iletmelidir.
Kişisel veri sahipleri adına
üçüncü kişiler tarafından talepte bulunulması mümkün
değildir.
Kişisel veri sahibinin kendisi
dışında bir kişinin talepte bulunması için konuya ilişkin
olarak kişisel veri sahibi tarafından başvuruda bulunacak kişi
adına düzenlenmiş özel vekâletname bulunmalıdır.
Kişisel veri sahibi, KVK
Kanunu’nun 14. Maddesi gereğince başvurusunun reddedilmesi,
verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap
verilmemesi hallerinde, şirketimizin cevabını öğrendiği
tarihten itibaren otuz ve her halde başvuru tarihinden atmış gün
içinde KVK kuruluna şikayette bulunabilir.
BÖLÜM 10-
ŞİRKETİN BAŞVURULARA CEVAP VERME USUL VE SÜRESİ
Kişisel veri sahibinin, KVKK
11.madde kapsamındaki taleplerini Kanun’ da yer alan usule uygun
olarak şirketimize iletmesi durumunda şirketimiz talebin
niteliğine göre en kısa sürede ve en geç otuz gün içinde
cevabını ücretsiz olarak veri sahibine iletecektir. Ancak,
işlemin ayrıca bir maliyeti gerektirmesi hâlinde, şirketimiz
tarafından başvuru sahibinden KVK Kurulunca belirlenen tarifedeki
ücret alınacaktır.
Özel Şelale Termessos Hastanesi
Başvuruda Bulunan Kişisel Veri Sahibinden Talep Edebileceği
Bilgiler;
Özel Şelale Termessos Hastanesi
başvuruda bulunan kişinin kişisel veri sahibi olup olmadığını
tespit etmek adına ilgili kişiden ek bilgi ve belge talep edebilir
ve kişisel veri sahibine başvurusunda yer alan hususlarla ilgili
soru yöneltebilir.
Özel Şelale Termessos Hastanesi,
Kişisel Veri Sahibinin Başvurusunu Reddetme Hakkı;
Şirketimiz aşağıda yer alan
hallerde başvuruda bulunan kişinin başvurusunu, gerekçesini
açıklayarak reddedebilir:
Kişisel veri sahibi tarafından
kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi.
Kişisel veri sahibinin talebinin
diğer kişilerin hak ve özgürlüklerini engelleme ihtimali olması,
Talep edilen bilginin kamuya açık
bir bilgi olması.
Kişisel verilerin anonim hâle
getirilmek suretiyle araştırma, planlama ve istatistik gibi resmi
amaçlarla işlenmesi.
Kişisel verilerin millî savunma,
millî güvenlik ve kamu güvenliği, ekonomik güvenlik
alanlarında kamu düzeni sağlamaya yönelik kanunla yetki verilen
kamu kuruluşları ve kurumları tarafından yürütülen güvenlik
ve istihbari faaliyet kapsamında işlenmesi.
Kişisel verilerin soruşturma,
kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı
tarafından işlenmesi.
Kişisel veri işlemenin görevli
ve yetkili kamu kurum ve kuruluşları tarafından yürütülen
soruşturma veya inceleme için gerekli olması.
Kişisel veri işlemenin bütçe,
vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali
çıkarlarının korunması için gerekli olması.
BÖLÜM 11-
VERİ İŞLEMENİN GİZLİLİĞİ
Kişisel veriler, veri güvenliğine
ve gizliliğe tabidir. Şirket’in, iştiraklerinin ve bağlı
ortaklıklarının herhangi bir çalışanının bu verilere yetkisiz
şekilde erişmesi, bu verileri işlemesi veya kullanması yasaktır.
Şirket’in iştiraklerinin ve/veya bağlı ortaklıklarının
meşru görevi çerçevesinde yetkilendirilmemiş olan herhangi bir
çalışanının bu verileri işlemesi yetkisiz işlem anlamına
gelmektedir. Şirket’in, iştiraklerinin ve bağlı
ortaklıklarının çalışanları kişisel bilgilere ancak söz
konusu görevlerinin türü ve kapsamı çerçevesinde yetkiye dayalı
şekilde erişebilir. Bunun için rol ve sorumlulukların
detaylandırılması, ayrıştırılması ve hayata geçirilmesi
sağlanmıştır.
Şirketin, iştiraklerinin ve
bağlı ortaklıklarının çalışanlarının kişisel verileri özel
veya ticari amaçlarla kullanması, bu verileri yetkisiz kişilerle
paylaşması veya başka bir yöntemle bu verileri erişilebilir hale
getirmeleri yasaktır. Şirket personelini istihdam ilişkisinin
başlangıç aşamasında veri gizliliğini koruma yükümlülüğü
hususunda bilgilendirmektedir. Söz konusu yükümlülük istihdamın
sona ermesinden sonra da devam edecektir.
Bu konuda şirket çalışanlarından
ve verilere mevzuata uygun şekilde ulaşabilen üçüncü
taraflardan veri gizlilik taahhütnamesi alınır.
Şirketimiz kişisel verilerin
hukuka aykırı olarak işlenmesinin önlenmesi, verilere hukuka
aykırı olarak erişilmesini önlenmesi ve verilerin muhafazasını
sağlamaya yönelik farkındalığın artırılması için iş
ortaklarına gerekli bilgilendirmeleri yapmaktadır
Şirketimiz tarafından kişisel
verilerin hukuka uygun olarak aktarıldığı kişi ve şirketler ile
yapılan sözleşmelere; kişisel verilerin korunması amacıyla
gerekli güvenlik ve gizlilik tedbirlerini alacağına ve kendi
kuruluşlarında bu tedbirlere
uyulmasını sağlayacağına
ilişkin hükümler eklenmektedir.
BÖLÜM
12–POLİTİKANIN GÜNCELLENMESİ
Özel Şelale Termessos Hastanesi
Politikasi Şirketimizin internet sitesinde yayınlanır. Bu politika
yönetim kurulu imzası ile yürürlüğe girer. Politikanın gözden
geçirme ve güncellenmesi Veri Sorumlusu Yöneticisi tarafından
yerine getirilir. Yapılan güncellemeler yönetim onayıyla
yürürlüğe girer. Politika her yıl en az bir kez gözden
geçirilir.
