BÖLÜM 1 – POLİTİKANIN AMACI VE KAPSAMI
Kişisel Verilerin Korunması Kanunu Tasarısı ülkemizde ilk defa 2007 yılında Avrupa Birliği ile uyum kapsamında hazırlanmıştır. 6698 sayılı Kişisel Verilerin Korunması Kanunu, önceki metinler üzerinde yapılan çeşitli değişikliklerle 18 Ocak 2016 tarihinde TBMM Başkanlığı’na sevk edilmiştir ve 24 Mart 2016 tarihinde TBMM Genel Kurulu tarafından kabul edilerek kanunlaşmış,7 Nisan 2016 tarih ve 29677 sayılı Resmi Gazete’de yayımlanarak yürürlüğe girmiştir.
Kişisel verilerin korunması, kişisel verilerin işlenmesinin disiplin altına alınması ve bu bağlamda Anayasada öngörülen başta özel hayatın gizliliği olmak üzere temel hak ve özgürlüklerin korunmasıdır.
Verilerin korunması, temelde verilerin değil, bu verilerin ilişkili olduğu kişilerin korunmasını hedef alır. Verilerin korunması kişileri onlar hakkındaki bilgilerin (otomatik olarak ya da otomatik olmayan yollarla) işlenmesinden doğacak zararlardan koruma amacına yönelmiş ve kişisel verilerin korunmasına ilişkin ilkelerde somutlaşmış bir dizi önlemi ifade eder.
Bu Politika ile hastalarımızın müşterilerimizin, çalışanlarımızın , çalışan adaylarımızın, şirket hissedarlarının, şirket yetkililerinin, ziyaretçilerimizin, işbirliği içinde olduğumuz kurumların çalışanları, hissedarları ve yetkililerinin ve üçüncü kişilerin kişisel verilerinin korunması ve işlenmesi prensipleri oluşturulmaktadır.
Politika’nın temel amacı,6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) kapsamında, Veri Sorumlusu sıfatıyla Özel Şelale Termessos Hastanesi tarafından yürütülen kişisel veri işleme faaliyeti ve kişisel verilerin korunmasına yönelik süreçler hakkında açıklamalarda bulunarak, kişisel verileri şirketimiz tarafından işlenen veri sahibi gerçek kişileri bilgilendirmek ve uygulamada şeffaflığı sağlamaktır.
Bu Politika ile; bir Anayasal hak olan Kişisel Verilerinin Korunmasını bir şirket politikası haline getirmekte ve hukuki ve sosyal sorumluluğu kapsamında Kişisel Veri Koruma Kanunu ve mevzuat ve düzenlemelerine uymayı taahhüt etmektedir.
Kişisel Verilerin Korunması Kanunu ve ek mevzuatların uygulanmasına yönelik olarak Şirket içerisinde gerekli prosedürler düzenlenmekte, özel aydınlatma metinleri oluşturulmakta, gizlilik sözleşmeleri yapılmakta, görev tanımları revize edilmekte, kişisel verilerin korunması için Şirket tarafından gereken idari ve teknik tedbirler alınmakta, bu kapsamda gerekli denetimleri yapmakta veya yaptırmaktadır.
BÖLÜM 2-KİŞİSEL VERİLERİN İŞLENMESİ
Özel Şelale Termessos Hastanesi Anayasa’nın 20. maddesine ve KVK Kanunu’nun 4. maddesine uygun olarak, kişisel verilerin işlenmesi konusunda; hukuka ve dürüstlük kuralına uygunluk , doğru ve güncel tutma, belirli, açık ve meşru amaçlar için işleme, amaçla bağlantılı, sınırlı ve ölçülü olarak mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme ilkelerine uyarak öngörülen usul ve esaslara bağlı olarak kişisel veri işleme faaliyetinde bulunmaktadır.
Kişisel verileriniz kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amaçlarıyla ve Ortaklığımızın faaliyet konularına uygun düşecek şekilde; sözlü, yazılı, görsel ya da elektronik ortamda, çağrı merkezi, internet sitesi, sözlü, yazılı ve benzeri kanallar aracılığıyla elde edilmektedir.
Özel Şelale Termessos Hastanesi meşru ve hukuka uygun kişisel veri işleme amaçları doğrultusunda, KVK Kanunu’nun 5. maddesinde belirtilen kişisel veri işleme şartlarından bir veya birkaçına dayalı ve sınırlı olarak, başta kişisel verilerin işlenmesine ilişkin 4. maddede belirtilen ilkeler olmak üzere, KVK Kanunun da belirtilen genel ilkelere ve KVK Kanunun da düzenlenen bütün yükümlülüklere uyularak; Hastalar, Müşteri, Ziyaretçi, Sözleşmeye Dayalı İşlerin Tarafı Olan Üçüncü Kişiler, Çalışanlar, Çalışan adayı, Şirket Hissedarı, İşbirliği İçinde Olunan Kurumların Çalışanları, Ortakları ve Yetkilileri ile sınırlı olarak aşağıdaki tabloda yer alan kategorilerdeki kişisel veriler KVK Kanunu’nun 10. maddesi uyarınca ilgili kişiler bilgilendirilmek suretiyle kategori bazlı işlenmektedir
Özel Şelale Termessos Hastanesinde. kişisel verilerin işlenmesinde hukuksal düzenlemelerle getirilen ilkeler ile genel güven ve dürüstlük kurallarına uygun hareket edilmektedir.
Kanunun 5. Maddesinin 1. Fıkrasında yer alan ‘Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez’ düzenlemesi çerçevesinde şirketimiz kanunun tanıdığı istisnai haller dışında, açık rızanın bulunması halinde kişisel veri işlemektedir.
Kişisel verilerin, kişisel veri sahibinin açık rıza vermesine bağlı olarak işlenmesi için, Kanunun 5. Maddesinde sayılan istisna halleri dışında kişisel veri sahiplerinin açık rızaları alınmaktadır.
Bu kapsamda kişisel verilerin işlenmesinde orantılılık gereklilikleri dikkate alınmakta, kişisel veriler amacın gerektirdiği durumlar dışında kullanılmamaktadır.
Kanun 5. Madde kapsamında, aşağıda belirtilen durumlarda Özel Şelale Termessos Hastanesi kişisel veri sahiplerinin verilerini açık rıza almaksızın işleyebilmektedir;
Kişisel verilerin şirketimiz tarafından işlenmesinin bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili ve gerekli olması,
Kişisel verilerin işlenmesinin şirketimizin hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
Kişisel verilerin veri sahibi tarafından alenileştirilmiş olması şartıyla; alenileştirme amacıyla sınırlı bir şekilde şirketimiz tarafından işlenmesi,
Kişisel verilerin işlenmesinin şirketimizin veya veri sahibi veya üçüncü kişilerin haklarının tesisi, kullanılması veya korunması için zorunlu olması,
Veri sahiplerinin temel hak ve özgürlüklerine zarar vermemek kaydıyla şirketimiz meşru menfaatleri için kişisel veri işleme faaliyetinde bulunulmasının zorunlu olması,
Şirketimiz tarafından kişisel veri işleme faaliyetinde bulunulmasının kişisel veri sahibinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması ve bu durumda da kişisel veri sahibinin fiili imkânsızlık veya hukuki geçersizlik nedeniyle rızasını açıklayamayacak durumda bulunması,
Özel Şelale Termessos Hastanesi, Kanunun 6. maddesinde yer alan Özel Nitelikli Kişisel verilerin işlenmesine ilişkin ve 8. ve 9. maddeler de yer alan kişisel verilerin aktarılması konusunda öngörülen düzenlemelere ve Kişisel Verileri Koruma Kurumu tarafından yayımlanan esaslara uygun davranmaktadır.
KVKK’nın 6. maddesinde, hukuka aykırı olarak işlendiğinde kişilerin mağduriyetine veya ayrımcılığa sebep olma riski taşıyan bir takım kişisel veri “özel nitelikli” olarak belirlenmiş olup bu verilerin işlenmesinde dikkat ve hassasiyet gösterilmesi gerekmektedir.
Bu veriler; ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir.
Bu verilerin işlenebilmesi için Kanun 6. Madde de yer verilen istisnalar dışında veri sahibinin açık rızasının alınması zorunludur.
Kişisel veri sahibinin sağlığına ve cinsel hayatına ilişkin özel nitelikli kişisel verileri ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından açık rıza almadan işlenebilmektedir.
BÖLÜM.3-İŞLENEN VERİ KATEGORİLERİ
Özel Şelale Termessos Hastanesi tarafından özel nitelikli kişisel verileriniz ve genel nitelikli kişisel verileriniz, tarafından aşağıda yer alanlar dâhil ve bunlarla sınırlı olmaksızın bu maddede belirtilen veri kategorileri ile bağlantılı ve ölçülü şekilde işlenebilmektedir:
Kimlik Ad soyad, Anne - baba adı, Anne kızlık soyadı, Doğum tarihi, Doğum yeri, Medeni hali, Nüfus cüzdanı seri sıra no, TC kimlik no v.bİletişim Adres no, E-posta adresi, İletişim adresi, Kayıtlı elektronik posta adresi (KEP), Telefon no v.b.Lokasyon Bulunduğu yerin konum bilgileri v.bÖzlük Bordro bilgileri, Disiplin soruşturması, İşe giriş belgesi kayıtları, Mal bildirimi bilgileri, Özgeçmiş bilgileri, Performans değerlendirme raporları.Hukuki İşlem Adli makamlarla yazışmalardaki bilgiler, Dava dosyasındaki bilgiler Müşteri İşlem Çağrı merkezi kayıtları, Fatura, senet, çek bilgileri, Gişe dekontlarındaki bilgiler, , Talep bilgisi Fiziksel Mekan Güvenliği ; Çalışan ve ziyaretçilerin giriş çıkış kayıt bilgileri, Kamera kayıtları Finans Bilanço bilgileri, Finansal performans bilgileri, Kredi ve risk bilgileriMesleki Deneyim Diploma bilgileri, Gidilen kurslar, Meslek içi eğitim bilgileri, Sertikalar, Transkriptbilgileri .Görsel Ve İşitsel Kayıtlar Görsel ve İşitsel kayıtlar Sağlık Bilgileri Engellilik durumuna ait bilgiler, Kan grubu bilgisi, Kişisel sağlık bilgileri, Kullanılan cihaz ve protez bilgileri Ceza Mahkûmiyeti Ve Güvenlik Tedbirleri Ceza mahkumiyetine ilişkin bilgiler, Güvenlik tedbirlerine ilişkin bilgiler ve Biyometrik Veri Avuç içi bilgileri, Parmak izi bilgileri, Retina taraması bilgileri http://www.termessoshastanesi.com adresine gönderdiğiniz veya girdiğiniz kişisel verileriniz.
BÖLÜM. 4-KİŞİSEL VERİLERİ İŞLEME AMAÇLARIMIZ
Özel Şelale Termessos Hastanesi tarafından tarafından elde edilen her türlü kişisel veriniz (Özel nitelikli kişisel veriler de dahil fakat bunlarla sınırlı olmamak kaydıyla) aşağıdaki amaçlar ile işlenebilecektir: Kimliğinizi teyit etme, Kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi. İlgili mevzuat uyarınca Sağlık Bakanlığı ve diğer kamu kurum ve kuruluşları ile talep edilen bilgilerin paylaşılması. Hastanemizin iç işleyişi ile günlük operasyonların planlanması ve yönetilmesi. Hastane Yönetimi, Hasta Hakları, Hasta Deneyimi bölümleri tarafından hasta memnuniyetinin ölçülmesi, arttırılması ve araştırılması, İlaç temini. Randevu almanız halinde randevu hakkında sizi haberdar edebilme.Risk yönetimi ve kalite geliştirme aktivitelerinin yerine getirilmesi. Sağlık hizmetlerini geliştirme amacıyla analiz yapma.Hasta Hizmetleri, Mali İşler, Pazarlama bölümleri tarafından sağlık hizmetlerinizin finansmanı, tetkik, teşhis ve tedavi giderlerinizin karşılanması, müstehaklık sorgusu kapsamında özel sigorta şirketler ile talep edilen bilgilerin paylaşılması.Araştırma yapılması.Yasal ve düzenleyici gereksinimlerin yerine getirilmesi.Sağlık hizmetlerinin finansmanı kapsamında özel sigorta şirketler ile talep edilen bilgileri paylaşma.Kalite, Hasta Deneyimi, Bilgi Sistemleri bölümleri tarafından risk yönetimi ve kalite geliştirme aktivitelerinin yerine getirilmesi.Hasta Hizmetleri, Mali İşler, Pazarlama bölümleri tarafından hizmetlerimiz karşılığında faturalandırma yapılması ve anlaşmalı olan kurumlarla ilişkinizin teyit edilmesi.Pazarlama, Medya ve İletişim, Çağrı Merkezi bölümleri tarafından kampanyalara katılım ve kampanya bilgisi verilmesi, Web ve mobil kanallarda özel içeriklerin, somut ve soyut faydaların tasarlanması ve iletilebilmesi.İlgili mevzuat uyarınca elde edilen ve işlenen Kişisel Verileriniz, ,Özel Şelale Termessos Hastanesine ait fiziki arşivler ve/veya bilişim sistemlerine nakledilerek, hem dijital ortamda hem de fiziki ortamda muhafaza altında tutulabilecektir..Ayrıca Bilgi Güvenliği Süreçlerinin Yürütülmesi Çalışan Adayı / Stajyer / Öğrenci Seçme Ve Yerleştirme Süreçlerinin Yürütülmesi, Çalışan Adaylarının Başvuru Süreçlerinin Yürütülmesi,Çalışanlar İçin İş Akdi Ve Mevzuattan Kaynaklı Yükümlülüklerin Yerine Getirilmesi, Çalışanlar İçin Yan Haklar Ve Menfaatleri Süreçlerinin Yürütülmesi, Eğitim Faaliyetlerinin Yürütülmesi, Erişim Yetkilerinin Yürütülmesi , Faaliyetlerin Mevzuata Uygun Yürütülmesi, Finans Ve Muhasebe İşlerinin Yürütülmesi, Fiziksel Mekan Güvenliğinin Temini, Görevlendirme Süreçlerinin Yürütülmesi, Hukuk İşlerinin Takibi Ve Yürütülmesi, İletişim Faaliyetlerinin Yürütülmesi, İnsan Kaynakları Süreçlerinin Planlanması, İş Sağlığı / Güvenliği Faaliyetlerinin Yürütülmesi, Müşteri İlişkileri Yönetimi Süreçlerinin Yürütülmesi, Performans Değerlendirme Süreçlerinin Yürütülmesi, Saklama Ve Arşiv Faaliyetlerinin Yürütülmesi,Sözleşme Süreçlerinin Yürütülmesi ,Veri Sorumlusu Operasyonlarının Güvenliğinin Temini, Yetkili Kişi, Kurum Ve Kuruluşlara Bilgi Verilmesi, Ziyaretçi Kayıtlarının Oluşturulması Ve Takibi amaçları ile; İlgili mevzuat uyarınca elde edilen ve işlenen kişisel verileriniz
Özel Şelale Termessos Hastanesi ait fiziki arşivler ve/veya bilişim sistemlerine nakledilerek, hem dijital ortamda hem de fiziki ortamda muhafaza altında tutulabilecektir.
BÖLÜM.5-- KİŞİSEL VERİLERİN AKTARILMASI
Özel Şelale Termessos Hastanesi olarak, Kanunun 6. maddesinde yer alan Özel Nitelikli Kişisel verilerin işlenmesine ilişkin ve 8. ve 9. maddeler de yer alan kişisel verilerin aktarılması konusunda öngörülen düzenlemelere ve Kişisel Verileri Koruma Kurumu tarafından yayımlanan esaslara uygun davranmaktadır.
Kişisel verileriniz, Kanun ve sair mevzuat kapsamında ve yukarıda BÖLÜM 4 te yer verilen amaçlarla Emniyet Genel Müdürlüğü ve sair kolluk kuvvetleri, Nüfus Genel Müdürlüğü, Türkiye Eczacılar Birliği ve her türlü yargı makamı, merkezi ve sair üçüncü kişiler, yetki vermiş olduğunuz temsilcileriniz, avukatlar, vergi ve finans danışmanları da dâhil olmak üzere danışmanlık aldığımız üçüncü kişiler, düzenleyici ve denetleyici kurumlar, resmi merciler dâhil sağlık hizmetlerini yukarıda belirtilen amaçlarla geliştirmek veya yürütmek üzere işbirliği yaptığımız iş ortaklarımız ve diğer üçüncü kişiler ile paylaşılabilecektir veya bu kapsamda yurt dışına aktarılabilecektir. grup şirketlerine, sözleşmeye dayalı iş ilişkisinde olduğu danışman ve müşavirlerine, hizmet tedarikçilerine, faaliyetin getirdiği yasal zorunluluklar kapsamında kamu kuruluşları ve mevzuatla tanımlanmış diğer kuruluşlara aktarabilmektedir
Kanun 5. Madde kapsamında, aşağıda belirtilen durumlarda Özel Şelale Termessos Hastanesi kişisel veri sahiplerinin verilerini açık rıza almaksızın aktarılmaktadır;Kişisel verilerin şirketimiz tarafından işlenmesinin bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili ve gerekli olması,Kişisel verilerin işlenmesinin şirketimizin hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,Kişisel verilerin veri sahibi tarafından alenileştirilmiş olması şartıyla; alenileştirme amacıyla sınırlı bir şekilde şirketimiz tarafından işlenmesi,
Kişisel verilerin işlenmesinin şirketimizin veya veri sahibi veya üçüncü kişilerin haklarının tesisi, kullanılması veya korunması için zorunlu olması,Veri sahiplerinin temel hak ve özgürlüklerine zarar vermemek kaydıyla şirketimiz meşru menfaatleri için kişisel veri işleme faaliyetinde bulunulmasının zorunlu olması.Özel nitelikteki verilerin aktarılabilmesi için Kanun 6. Madde de yer verilen ve aşağıda yer verilen istisnalar dışında veri sahibinin açık rızasının alınması zorunludur. İlgili istisnalar Kişisel veri sahibinin sağlığına ve cinsel hayatına ilişkin özel nitelikli kişisel verileri ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi şeklinde olup; sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından açık rıza almadan aktarılabilmektedir.
BÖLÜM.6-KİŞİSEL VERİ SAHİBİNİN AYDINLATILMASI VE BİLGİLENDİRİLMESİ
Özel Şelale Termessos Hastanesi olarak kişisel verilerin işlenmesinde hukuksal düzenlemelerle getirilen ilkeler ile genel güven ve dürüstlük kuralına uygun hareket etmekte, kişisel verileri amacın gerektirdiği dışında kullanmamaktadır.
Kanun 10. Madde kapsamında, KVKK Bilgilendirme/Aydınlatma Metni ile veri işlenecek gerçek kişilere iletilerek bilgilendirme yapılmaktadır. Aydınlatma metni şirket internet sitesinde yer almakta iş ilişkisi ve sözleşme kurulmasından önce kişisel veri sahipleri Bilgilendirme Metni iletilerek açık bir şekilde bilgilendirilmektedir.
Bu kapsamda Şirket; varsa temsilcisinin kimliği, kişisel verilerin hangi amaçla işleneceği, ne şekilde saklanacağı, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi ile kişisel veri sahibinin sahip olduğu hakları konusunda veri sahiplerine aydınlatma yapmaktadır. Özel Şelale Termessos Hastanesi ı olarak veri sahiplerinin temel haklarını ve kendi meşru menfaatlerini dikkate alarak işlemekte, kişisel verilerin doğru ve güncel olmasını sağlamaktadır. Şirketimiz, meşru ve hukuka uygun olan kişisel veri işleme amacını açık ve kesin olarak belirlemektedir. Kişisel verilerin hangi amaçla işleneceği henüz kişisel veri işleme faaliyeti başlamadan ortaya konulmaktadır. Amacın gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınmaktadır.
Özel Şelale Termessos Hastanesi ı olarak kişisel verileri ancak ilgili mevzuatta belirtildiği veya işlendikleri amaç için gerekli olan süre kadar muhafaza etmektedir, bir süre belirlenmişse bu süreye uygun davranmakta, bir süre belirlenmemişse kişisel verileri işlendikleri amaç için gerekli olan süre kadar saklamaktadır. Sürenin bitimi veya işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel veriler Şirket tarafından silinmekte, yok edilmekte veya anonim hale getirilmektedir. Gelecekte kullanma ihtimali ile kişisel veriler saklanmamaktadır.
Anayasa’nın 20. maddesinde herkesin, kendisiyle ilgili kişisel veriler hakkında bilgilendirilme hakkına sahip olduğu ortaya konulmuştur. Bu doğrultuda KVK Kanunu’nun 11. maddesinde kişisel veri sahibinin hakları arasında “bilgi talep etme” de sayılmıştır.
Özel Şelale Termessos Hastanesi olarak bu kapsamda, Anayasa’nın 20. uygun olarak veri sahibini aydınlatmakta ve KVK Kanunu’nun 11. maddelerine uygun olarak Kişisel Veri Sahibinin bilgi talep etmesi durumunda süresinde ve mevzuata uygun olarak gerekli bilgilendirmeleri yapmaktadır.
BÖLÜM. 7- KİŞİSEL VERİLERİN GÜVENLİĞİNİN SAĞLANMASI:
Kişisel Verilerin Hukuka Aykırı Erişiminin Engellenmesi ve Kişisel Verilerin Güvenli Ortamlarda muhafazası ve bilginin bütünlüğünü koruyarak sürekli erişilebilirliğini garanti altına alacak alt yapıyı ve kontrolleri hayata geçirmiştir. Kişisel verilerin tedbirsizlikle veya yetkisiz olarak açıklanmasını, erişimini, aktarılmasını veya başka şekillerdeki hukuka aykırı erişimi önlemek için ve oluşabilecek diğer teknik tehditler karşısında korunacak verinin niteliğine göre, aşağıda yer verilen teknik ve idari tedbirler uygulamaya konulmuştur.
7.1-TEKNİK TEDBİRLER
Güvenlik sistemi kişisel verilerin kişilere ait bilgi sistemlerinde bulunduğu esnada tüm tehditlere karşı korunmasıdır.
Bilgi güvenliği tehditleri arasında, organizasyon bünyesinde çalışan kişilerin oluşturabileceği bilinçli veya bilinçsiz tehditler olarak tanımlayabileceğimiz iç tehditler çok önemli bir yer tutmaktadır
Organizasyon bünyesinde çalışan kişilerin oluşturabileceği bilinçli veya bilinçsiz tehditler dikkate alınarak bilgiye erişimi kontrol etmek ve yetkisiz erişimleri önlemek için ilgili alanlarda yazılım üzerinden log raporlaması ile gerekli güvenlik kontrollerini hayata geçirilmiştir.
Kullanılan log programları dinlediği trafiğin kaydını tutarak, gerektiğinde bu kayıtları baz alarak istenilen şekilde raporlar çıkartabilmektedir. Sistem yöneticilerinin sistemi güçlü bir şekilde izlemesine yardımcı olmaktadır.
Yetkilendirme prosedürümüz kapsamında çalışanların günlük faaliyetlerinin yetki profillerine uyum sağlayıp sağlamadığı kontrol edilir. Yetkiler şirket bilgi sistem birimi tarafından düzenli olarak kontrol edilmektedir.
Yetki düzeyi onayları veri sorumlusu yöneticisi tarafından verilmektedir.
Kişisel veri kaynaklarına erişim için personel veya üçüncü şahıslar tarafından kullanılan şifreler, ilgili sistemler için tanımlanmış olan şifre belirleme kurallarına uyumlu olarak düzenlenmektedir. Rakam, büyük harf, küçük harf, noktalama işareti kombinasyonların dan oluşan, akılda kalıcı, eski şifrelere benzemeyen karmaşık şifreler kullanılmaktadır.
Şirkette dış ağlardan gelebilecek tehditlere karşı katmanlı ağ güvenlik tedbirleri tesis edilmiştir.
Şirket Bilgisayar sistemlerinde firewall, antivirüs yazılımları, güvenlik duvarları, içerik kontrolcüler, merkezi yönetim yazılımları kullanılmaktadır
Virüslerin en çok yayıldığı servisler olan e-mail, http ve ftp trafikleri firewall mantığı esas alınarak antivirüs ağ geçidine yönlendirilir. Buradaki tarama işleminden sonra gerekli yerlere yönlendirilme yapılır. Bu sistemle dışarıdan gelecek olan virüsler engellenmiş olur. Mail sunucuları üzerine kurulan antivirüs sistemiyle yerel ağ içerisinde e-mail aracılığıyla dolaşan virüslerde etkisiz hale getirilmiş olur.
Sunucu bilgisayarları üzerine kurulan virüs koruma yazılımları ve şirket çalışanlarının sistemlerini kontrol edecek yazılımlarla şirketimizde kurumsal antivirüs çözümü sağlanmış olmaktadır..
Bu denetleme çalışmaları; bilinen açıklara karşı güvenlik taraması, uygulama tipine göre uygulamaya yönelik güvenlik taramaları ve sistem yapılandırma kontrollerini kapsamaktadır.
7.2-İDARİ TEDBİRLER
Özel Şelale Termessos Hastanesi olarak Veri Güvenliğine ilişkin hazırladığı politikaların temel amacı, yürütülen kişisel veri işleme faaliyeti ve kişisel verilerin korunmasına yönelik süreçler hakkında açıklamalarda bulunmak, kişisel verileri şirket tarafından işlenen veri sahibi gerçek kişileri bilgilendirmek, uygulamada şeffaflığı ve veri güvenliğini ve Kanuna uyumu sağlamaktır.
Organizasyon bünyesinde çalışan kişilerin oluşturabileceği bilinçli veya bilinçsiz tehditler ve dış ağlardan gelebilecek tehlikeler dikkate alınarak, bilgiye erişimi kontrol etmek ve yetkisiz erişimleri önlemek , veri güvenliğini sağlamak için ilgili alanlarda, Erişim, Bilgi Güvenliği, Saklama-Yedekleme, Silme- Anonimleştirme politikaları uygulamaya alınmıştır. Uygulamalar üzerinde teknik kontrol sistemleri kurulmuştur. Veri sorumlusu olarak şirket kurum içi sistematik periyodik denetimleri Veri Güvenlik Koordinatörü ve/veya Veri Kontrol Sorumlusu kanalıyla yapmaktadır. Denetimler gerek görüldüğünde bağımsız denetim şirketlerine yaptırılır.
Gizlilik taahhütnameleri; Veri sorumluları ile veri işleyen gerçek veya tüzel kişiler, öğrendikleri kişisel verileri KVKK hükümlerine aykırı olarak başkasına açıklayamazlar. Bu yükümlülük görevden ayrılmalarından veya hizmet sözleşmelerinin sona ermesinden sonra da devam eder. Kanunun 12. Maddesi ikinci fıkrası gereği Veri İşleyenler , kişisel verilerin güvenliğinin sağlanması konusunda veri sorumlusu ile müştereken sorumludur. Kişisel verilerin işlenme ve aktarılma amaçlarını ve veri kategorilerini açıklayan ve veri güvenlik tebdirlerinin veri işleyen nezdinde denetlemeye tabi olduğunu belirten bir yazı veri işleyene verilmektedir.Veri gizliliğinin sağlanması ve güvenlik tedbirlerine uyulması konusunda tüm çalışanlardan ve veri işleyen diğer şahıs veya kurumlardan taahhütname alınması zorunlu kılınmıştır. Çalışanlar, danışmanlar, bilgi sistem destek şirketleri ve diğer üçüncü kişi veya şirketlerle yapılan sözleşmelere de bu kapsamda gizlilik taahhütnameleri eklenmektedir. Şirketimiz, kişisel verilerin hukuka aykırı olarak işlenmesini, verilere hukuka aykırı olarak erişilmesini önlemeye ve verilerin muhafazasını sağlamaya yönelik farkındalığın artırılması için iş birimlerine gerekli eğitimlerin düzenlenmesini sağlamaktadır.
Şirketimiz mevcut çalışanlarının ve bünyesine yeni dâhil olan çalışanların kişisel verilerin korunması konusunda farkındalığının oluşması için gerekli sistemler kurmakta, konuya ilişkin ihtiyaç duyulması halinde danışmanlar ile çalışmaktadır. Bu doğrultuda Şirketimiz, ilgili eğitimlere, seminerlere ve bilgilendirme oturumlarına yapılan katılımlar değerlendirmekte olup ilgili mevzuatın güncellenmesine paralel olarak yeni eğitimler düzenlemektedir.
BÖLÜM 8. KİŞİSEL VERİLERİN SAKLAMA SÜRELERİ:
Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi hakkındaki 28 Ekim 2017 tarihli Yönetmelik‘te ‘’Kişisel Veri Saklama ve İmha Politikasına İlişkin Esaslar’’ bölümünde; ‘’Kanunun 16. maddesi gereğince Veri Sorumluları Siciline kayıt olmakla yükümlü olan Veri Sorumluları, kişisel veri işleme envanterine uygun olarak ‘Kişisel Veri Saklama ve İmha Politikası’ hazırlamakla yükümlüdür’’ hükmü yer almaktadır.
Kanun'un 4. maddesi uyarınca kişisel veriler ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmeli ve işlenmesini gerektiren sebepler ortadan kalktığında kendiliğinden veya veri sahibi talebi üzerine silinmeli, yok edilmeli veya anonim hale getirilmelidir.
Kanunun 5. ve 6. maddelerinde yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması halinde, kişisel verilerin veri sorumlusu tarafından resen veya ilgili kişinin talebi üzerine silinmesi, yok edilmesi veya anonim hâle getirilmesi gerekir
28 Ekim 2017 tarihinde yürürlüğe giren Yönetmelik de işleme nedenleri ortadan kalkan kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin usul ve esasları belirlemektedir. Şirketimiz, ilgili kanunlarda ve mevzuatta öngörülmesi durumunda kişisel verileri ilgili kanun ve mevzuatta belirtilen süre boyunca saklamaktadır. Saklanan kişisel verilere herhangi bir başka amaçla erişilmemekte ve ancak ilgili hukuki uyuşmazlıkta kullanılması gerektiği zaman ilgili kişisel verilere tek bir yetkili ile erişim sağlanmaktadır. Burada da bahsi geçen süre sona erdikten sonra kişisel veriler silinmekte, yok edilmekte veya anonim hale getirilmektedir. Gelecekte kullanma ihtimali ile Şirketimiz tarafından kişisel veriler saklanmamaktadır.
Silinmesi gereken verilerin kanuna ve şirket politika ve prosedürlerine uygun olarak silme, yok etme veya anonimleşmesinin yapıldığının veya kişisel verilerin silinmiş sayılmasına ilişkin koşulların yerine getirildiğinin ve işlendikleri amaç için gerekli olan azami sürenin belirlenerek, azami sürenin aşılıp aşılmadığının takibi sistematik olarak yapılmaktadır.Kişisel verilerin ne kadar süre boyunca saklanması gerektiğine ilişkin mevzuatta bir süre düzenlenmemişse, kişisel veriler şirketimizin o veriyi işlerken sunduğu hizmetlerle bağlı olarak şirketimizin uygulamaları ve ticari yaşamın teamülleri uyarınca işlenmesini gerektiren süre kadar işlenmekte, daha sonra silinmekte, yok edilmekte veya anonim hale getirilmektedir.
Bu kapsamda, Hastanemiz öncelikle kanunlar da ve ilgili mevzuat ta kişisel verilerin saklanması için bir süre öngörülüp öngörülmediğini tespit etmekte, bir süre belirlenmişse bu süreye uygun davranmakta, bir süre belirlenmemişse kişisel verileri işlendikleri amaç için gerekli olan süre kadar saklamaktadır. Sürenin bitimi veya işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel veriler şirketimiz tarafından silinmekte, yok edilmekte veya anonim hale getirilmektedir
BÖLÜM 9 - VERİ SAHİBİNİN HAKLARI VE BU HAKLARINI KULLANMASI
Özel Şelale Termessos Hastanesi olarak KVK Kanunu’nun 10. maddesine uygun olarak kişisel veri sahibinin haklarını kendisine bildirmekte, bu hakların nasıl kullanılacağı konusunda kişisel veri sahibine yol göstermektedir.
Şirketimiz , kişisel veri sahiplerinin haklarının değerlendirilmesi ve kişisel veri sahiplerine gereken bilgilendirmenin yapılması için iç işleyişe ait idari ve teknik düzenlemeleri uygulamaya koymuştur.
Kişisel veri sahipleri KVKK 11. Madde gereğince aşağıdaki haklara sahiptir.
Kişisel verisinin işlenip işlenmediğini öğrenme.Kişisel verileri işlenmişse buna ilişkin bilgi talep etme.
Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme.
Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme.
Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme.
KVK Kanunu ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme.
İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme.
Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme.
Kişisel veri sahipleri, KVK Kanunu’nun 28. maddesi gereğince aşağıdaki durumlar da KVK Kanunu kapsamı 11.’de sayılan haklarını ileri süremezler:
Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi.
Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi.
Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi.
Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi.
Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması.
Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması.
Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması.
Kişisel veri sahibi tarafından kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi
Kişisel Veri Sahibinin Haklarını Kullanması:
Veri sahibi KVK Kanunu’nun 13. maddesinin 1. fıkrası gereğince yukarıda 11. madde açıklamasında belirtilen hakları kullanabilir.
Veri sahipleri KVK Kanunu 11. madde de belirtilen hangi hakkı kullanmak istediğini açıklayan yazı ile veya tercihen şirket başvuru formunu kullanarak kimlik bilgileriyle birlikte şirketimize başvurmalı, talebini ıslak imzalı olarak şirketimiz adresine iadeli taahhütlü mektup veya tercihen şirketimizce hazırlanan başvuru formu veya Kişisel Verilerin Korunması Kurulunun belirlediği diğer yöntemlerle iletmelidir.
Kişisel veri sahipleri adına üçüncü kişiler tarafından talepte bulunulması mümkün değildir.
Kişisel veri sahibinin kendisi dışında bir kişinin talepte bulunması için konuya ilişkin olarak kişisel veri sahibi tarafından başvuruda bulunacak kişi adına düzenlenmiş özel vekâletname bulunmalıdır.
Kişisel veri sahibi, KVK Kanunu’nun 14. Maddesi gereğince başvurusunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hallerinde, şirketimizin cevabını öğrendiği tarihten itibaren otuz ve her halde başvuru tarihinden atmış gün içinde KVK kuruluna şikayette bulunabilir.
BÖLÜM 10- ŞİRKETİN BAŞVURULARA CEVAP VERME USUL VE SÜRESİ
Kişisel veri sahibinin, KVKK 11.madde kapsamındaki taleplerini Kanun’ da yer alan usule uygun olarak şirketimize iletmesi durumunda şirketimiz talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde cevabını ücretsiz olarak veri sahibine iletecektir. Ancak, işlemin ayrıca bir maliyeti gerektirmesi hâlinde, şirketimiz tarafından başvuru sahibinden KVK Kurulunca belirlenen tarifedeki ücret alınacaktır.
Özel Şelale Termessos Hastanesi Başvuruda Bulunan Kişisel Veri Sahibinden Talep Edebileceği Bilgiler;
Özel Şelale Termessos Hastanesi başvuruda bulunan kişinin kişisel veri sahibi olup olmadığını tespit etmek adına ilgili kişiden ek bilgi ve belge talep edebilir ve kişisel veri sahibine başvurusunda yer alan hususlarla ilgili soru yöneltebilir.
Özel Şelale Termessos Hastanesi, Kişisel Veri Sahibinin Başvurusunu Reddetme Hakkı;
Şirketimiz aşağıda yer alan hallerde başvuruda bulunan kişinin başvurusunu, gerekçesini açıklayarak reddedebilir:
Kişisel veri sahibi tarafından kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi.
Kişisel veri sahibinin talebinin diğer kişilerin hak ve özgürlüklerini engelleme ihtimali olması,
Talep edilen bilginin kamuya açık bir bilgi olması.
Kişisel verilerin anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi resmi amaçlarla işlenmesi.
Kişisel verilerin millî savunma, millî güvenlik ve kamu güvenliği, ekonomik güvenlik alanlarında kamu düzeni sağlamaya yönelik kanunla yetki verilen kamu kuruluşları ve kurumları tarafından yürütülen güvenlik ve istihbari faaliyet kapsamında işlenmesi.
Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı tarafından işlenmesi.
Kişisel veri işlemenin görevli ve yetkili kamu kurum ve kuruluşları tarafından yürütülen soruşturma veya inceleme için gerekli olması.
Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması.
BÖLÜM 11- VERİ İŞLEMENİN GİZLİLİĞİ
Kişisel veriler, veri güvenliğine ve gizliliğe tabidir. Şirket’in, iştiraklerinin ve bağlı ortaklıklarının herhangi bir çalışanının bu verilere yetkisiz şekilde erişmesi, bu verileri işlemesi veya kullanması yasaktır. Şirket’in iştiraklerinin ve/veya bağlı ortaklıklarının meşru görevi çerçevesinde yetkilendirilmemiş olan herhangi bir çalışanının bu verileri işlemesi yetkisiz işlem anlamına gelmektedir. Şirket’in, iştiraklerinin ve bağlı ortaklıklarının çalışanları kişisel bilgilere ancak söz konusu görevlerinin türü ve kapsamı çerçevesinde yetkiye dayalı şekilde erişebilir. Bunun için rol ve sorumlulukların detaylandırılması, ayrıştırılması ve hayata geçirilmesi sağlanmıştır.
Şirketin, iştiraklerinin ve bağlı ortaklıklarının çalışanlarının kişisel verileri özel veya ticari amaçlarla kullanması, bu verileri yetkisiz kişilerle paylaşması veya başka bir yöntemle bu verileri erişilebilir hale getirmeleri yasaktır. Şirket personelini istihdam ilişkisinin başlangıç aşamasında veri gizliliğini koruma yükümlülüğü hususunda bilgilendirmektedir. Söz konusu yükümlülük istihdamın sona ermesinden sonra da devam edecektir.
Bu konuda şirket çalışanlarından ve verilere mevzuata uygun şekilde ulaşabilen üçüncü taraflardan veri gizlilik taahhütnamesi alınır.
Şirketimiz kişisel verilerin hukuka aykırı olarak işlenmesinin önlenmesi, verilere hukuka aykırı olarak erişilmesini önlenmesi ve verilerin muhafazasını sağlamaya yönelik farkındalığın artırılması için iş ortaklarına gerekli bilgilendirmeleri yapmaktadır
Şirketimiz tarafından kişisel verilerin hukuka uygun olarak aktarıldığı kişi ve şirketler ile yapılan sözleşmelere; kişisel verilerin korunması amacıyla gerekli güvenlik ve gizlilik tedbirlerini alacağına ve kendi kuruluşlarında bu tedbirlere
uyulmasını sağlayacağına ilişkin hükümler eklenmektedir.
BÖLÜM 12–POLİTİKANIN GÜNCELLENMESİ
Özel Şelale Termessos Hastanesi Politikasi Şirketimizin internet sitesinde yayınlanır. Bu politika yönetim kurulu imzası ile yürürlüğe girer. Politikanın gözden geçirme ve güncellenmesi Veri Sorumlusu Yöneticisi tarafından yerine getirilir. Yapılan güncellemeler yönetim onayıyla yürürlüğe girer. Politika her yıl en az bir kez gözden geçirilir.
