Uzm. Dr. Ayşen Bayraç Diken Muayenehanesi

KİŞİSEL VERİ GÜVENLİĞİNİ SAĞLAMA, SAKLAMA VE İMHA POLİTİKASI

(01/12/2021)

 

İÇİNDEKİLER

İÇİNDEKİLER. 2

I…….. GİRİŞ. 4

1……. TANIMLAR. 4

2……. KAPSAM.. 5

3……. İLGİLİ MEVZUATIN UYGULANMASI 6

4……. POLİTİKA’NIN YÜRÜRLÜĞÜ.. 6

II……. KİŞİSEL VERİLERİN KORUNMASINA İLİŞKİN HUSUSLAR. 6

1……. KİŞİSEL VERİLERİN GÜVENLİĞİNİN SAĞLANMASI 6

a……. Kayıt Ortamları 6

Elektronik ortamlar: 6

Fiziksel ortamlar: 7

b……. Teknik ve İdari Tedbirler 7

2……. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN KORUNMASI 8

3……. İŞ BİRİMLERİNİN KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ KONUSUNDA FARKINDALIKLARININ ARTTIRILMASI VE DENETİMİ 8

III…… KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN HUSUSLAR. 9

1……. KİŞİSEL VERİLERİN MEVZUATTA ÖNGÖRÜLEN İLKELERE UYGUN OLARAK İŞLENMESİ 9

1.1….. Hukuka ve Dürüstlük Kuralına Uygun İşleme. 9

1.2….. Kişisel Verilerin Doğru ve Gerektiğinde Güncel Olmasını Sağlama. 9

1.3….. Belirli, Açık ve Meşru Amaçlarla İşleme. 9

1.4….. İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma. 9

1.5….. İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç için Gerekli Olan Süre Kadar Muhafaza Etme. 9

2……. KİŞİSEL VERİLERİN İŞLENME ŞARTLARI 9

2.1….. Kişisel Veri Sahibinin Açık Rızasının Bulunması 9

2.2….. Kanunlarda Açıkça Öngörülmesi 10

2.3….. Fiili İmkansızlık Sebebiyle İlgilinin Açık Rızasının Alınamaması 10

2.4….. Sözleşmenin Kurulması veya İfasıyla Doğrudan İlgi Olması 10

2.5….. Hukuki Yükümlülüğün Yerine Getirilmesi 10

2.6….. Kişisel Veri Sahibinin Kişisel Verisini Alenileştirmesi 10

2.7….. Bir Hakkın Tesisi veya Korunması için Veri İşlemenin Zorunlu Olması 10

2.8….. Doktorun Meşru Menfaati için Veri İşlemenin Zorunlu Olması 10

3……. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİ 10

4……. KİŞİSEL VERİ SAHİBİNİN AYDINLATILMASI 11

5……. KİŞİSEL VERİLERİN AKTARILMASI 11

5.1….. Kişisel Verilerin Aktarılması 11

5.2….. Özel Nitelikli Kişisel Verilerin Aktarılması 11

IV…… KİŞİSEL VERİLERİN KATEGORİZASYONU VE İŞLENME AMAÇLARI 12

1……. KİŞİSEL VERİ İŞLEME AMAÇLARI 12

2……. KİŞİSEL VERİ KATEGORİLERİ 12

V……. KİŞİSEL VERİLERİN SAKLANMASI VE İMHASI 12

a……. Kişisel Verilerin Silinmesi ve Yok Edilmesi  Teknikleri: 13

…. Kişisel Verilerin Silinmesi: 13

…. Kişisel Verilerin Yok Edilmesi: 13

b……. Kişisel Verilerin Anonim Hale Getirilmesi Teknikleri: 14

…. Değer Düzensizliği Sağlamayan Anonim Hale Getirme Yöntemleri 14

VI…… KİŞİSEL VERİ SAHİPLERİNİN HAKLARI VE BU HAKLARIN KULLANILMASI 15

1……. KİŞİSEL VERİ SAHİBİNİN HAKLARI 15

2……. HAKLARIN KULLANMASI VE BAŞVURULARIN CEVAPLANMASI 15

VII…… EKLER. 15

……… EK 1 – KİŞİSEL VERİ İŞLEME AMAÇLARI 16

……… EK 2 – KİŞİSEL VERİ KATEGORİLERİ 17

……… EK 3 – VERİ SAKLAMA VE İMHA SÜRELERİ TABLOSU.. 18

……… EK 4 – GÜNCELLEME TABLOSU.. 19

……… EK 5 – DOKTOR TARAFINDAN KİŞİSEL VERİLERİN AKTARILDIĞI ÜÇÜNCÜ KİŞİLER VE AKTARILMA AMAÇLARI 20

 

KİŞİSEL VERİ GÜVENLİĞİNİ SAĞLAMA,

SAKLAMA VE İMHA POLİTİKASI

 

I. GİRİŞ

Kişisel Veri Güvenliğini Sağlama, Saklama ve İmha Politikası (“Politika”), 6698 Sayılı Kişisel Verilerin Korunması Kanunu (“KVKK” ya da “Kanun”) ve Kanun’un ikincil düzenlemesini teşkil eden Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik (“Yönetmelik”), ve Kişisel Verileri Koruma Kurumu (“Kurum”)  sitesinde yayınlanan Kişisel Veri Güvenliği Rehberi (Teknik ve İdari Tedbirler) (“Rehber”) açıklanan tedbirler uyarınca yükümlülüklerimizi yerine getirmek ve veri sahiplerini kişisel verilerinizin işlendikleri amaç için gerekli olan azami saklama süresinin belirlenmesi esasları ile silme, yok etme ve anonim hale getirme süreçleri hakkında bilgilendirmek amacıyla veri sorumlusu sıfatıyla Uzm. Dr. Ayşen Bayraç Diken Muayenehanesi (“Doktor” veya “Veri Sorumlusu”) tarafından hazırlanmıştır.

 

1.TANIMLAR

KISALTMA TANIM
Kanun/KVKK 6698 Sayılı Kişisel Verilerin Korunması Kanunu.
Yönetmelik 28 Ekim 2017 tarihinde Resmi Gazete’de yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik.
Kurum Kişisel Verileri Koruma Kurumu.
Kurul Kişisel Verileri Koruma Kurulu
Kişisel Veri Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.
Özel Nitelikli Kişisel Veri Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri.
 

Kişisel Verilerin İşlenmesi

Kişisel verilerin tamamen vaeya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.
Veri Sorumlusu Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi.
Veri Sahibi/İlgili Kişi Kişisel verisi işlenen gerçek kişi.
Veri İşleyen Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişilerdir.
Açık Rıza Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.
Kayıt Ortamı Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam.
Kişisel Verilerin Anonim Hale Getirilmesi  

Kişisel  verilerin,  başka  verilerle  eşleştirilerek  dahi  hiçbir  surette  kimliği  belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesi.

Kişisel Verilerin Silinmesi Kişisel verilerin silinmesi; kişisel verilerin İlgili üyeler ve ziyaretçiler için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi.
Kişisel Verilerin Yok Edilmesi Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemi.
Periyodik İmha Kanun’da yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla re’sen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi.

 

2. KAPSAM

Bu Politika; Doktor haricindeki kişilerin otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen tüm kişisel verilerine ilişkindir. Söz konusu kişisel veri sahipleri kategorik olarak;

KİŞİSEL VERİ SAHİBİ AÇIKLAMA
Hasta Doktor tarafından koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetleri verilen gerçek kişiler
Hasta Yakını Doktor tarafından koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetleri verilen gerçek kişilerin refakatçisi yahut acil durum iletişim yetkilisi olarak bildirilen gerçek kişiler
Veli/Vasi/Temsilci Doktor tarafından koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetleri verilen gerçek kişilerin veli, vasi yahut temsilcisi
Çalışan Doktor tarafından istihdam edilen gerçek kişiler
Çalışan Adayı Herhangi bir yolla iş başvurusunda bulunmuş ya da özgeçmiş ve ilgili bilgilerini doktorun incelemesine açmış olan gerçek kişiler (stajyer adayları dahil)
Ziyaretçi Doktorun  www.draysenbayrac.com adresli web sitesini ziyaret eden gerçek kişiler

şeklinde tanımlanabilir. Kişisel veri işleme amaçları ve kişisel veri kategorileri işbu Politika ekinde yer alan “EK 1 – Kişisel Veri İşleme Amaçları” ve “EK 2 – Kişisel Veri İşleme Kategorileri” üzerinden incelenebilir.

3. İLGİLİ MEVZUATIN UYGULANMASI

Kişisel verilerin işlenmesi ve korunması konusunda yürürlükte bulunan ilgili kanuni düzenlemeler öncelikle uygulama alanı bulacaktır. Yürürlükte bulunan mevzuat ve Politika arasında uyumsuzluk bulunması durumunda, Doktor yürürlükteki mevzuatın uygulama alanı bulacağını kabul etmektedir.

4. POLİTİKA’NIN YÜRÜRLÜĞÜ

Doktor tarafından düzenlenen bu Politika 01/12/2021 tarihlidir.  Politika Doktor’un internet sitesinde yayımlanır ve kişisel veri sahiplerinin talebi üzerine ilgili kişilerin erişimine sunulur. Politika’da değişiklik olması durumunda, Politika’nın yürürlük tarihi ve ilgili maddeler bu doğrultuda güncellenecektir. “Güncelleme TablosuEk 4’te yer almaktadır.

II. KİŞİSEL VERİLERİN KORUNMASINA İLİŞKİN HUSUSLAR

1. KİŞİSEL VERİLERİN GÜVENLİĞİNİN SAĞLANMASI

Doktor, Kanun’un 12. maddesine uygun olarak, kişisel verilerin hukuka aykırı olarak açıklanmasını, erişimini, aktarılmasını veya başka şekillerde meydana gelebilecek güvenlik eksikliklerini önlemek için, korunacak verinin niteliğine göre gerekli tedbirlerini almaktadır. Bu kapsamda Doktor, Kurum tarafından yayımlanmış olan rehberlere uygun olarak gerekli güvenlik düzeyini sağlamaya yönelik ve idari tedbirleri almakta, denetimleri yapmakta veya yaptırmaktadır.

a. Kayıt Ortamları

Veri sahiplerine ait kişisel veriler, Doktor tarafından aşağıda listelenen ortamlarda başta KVKK hükümleri olmak üzere ilgili mevzuata uygun olarak ve uluslararası veri güvenliği prensipleri çerçevesinde güvenli bir şekilde saklanmaktadır:

Elektronik ortamlar:

  • İnternet Sitesi Veri Tabanı ve Sunucuları
  • Masaüstü – Laptop Bilgisayarlar
  • Tablet ve Telefonlar
  • USB Diskler
  • SSD-HDD Diskler
  • CD-DVD
  • doktorsitesi.com” Başta Olmak Üzere Üçüncü Taraf Partnerler

 

Fiziksel ortamlar:

  • Birim Dolapları
  • Arşiv

 

b. Teknik ve İdari Tedbirler

Kişisel verilerinizin güvenli bir şekilde saklanması, hukuka aykırı olarak işlenmemesi ile erişilmesinin önlenmesi ve verilerin hukuka uygun olarak imha edilmesi amacıyla KVKK’nın 12. maddesindeki ilkeler çerçevesinde, Doktor tarafından alınmış olan tüm idari ve teknik tedbirler aşağıda sayılmıştır:

İdari Tedbirler:

Veri sorumlusu olan Doktor idari tedbirler kapsamında;

  1. Kişisel Veri İşleme Envanterini hazırlar.
  2. Acil Eylem Planı oluşturur ve çalışanlarını konu hakkında eğitime tabi tutar.
  3. Saklanan kişisel verilere muayenehane içi erişimi iş tanımı gereği erişmesi gerekli personel ile sınırlandırır. Erişimin sınırlandırılmasında verinin özel nitelikli olup olmadığı ve önem derecesi de dikkate alınır.
  4. İşlenen kişisel verilerin hukuka aykırı yollarla başkaları tarafından elde edilmesi hâlinde, bu durumu en kısa sürede ilgilisine ve Kurum’a
  5. Kişisel verilerin paylaşılması ile ilgili olarak kişisel verilerin paylaşıldığı kişiler ile kişisel verilerin korunması ve veri güvenliğine ilişkin çerçeve sözleşme imzalar yahut mevcut sözleşmesine eklenen hükümler ile veri güvenliğini sağlar.
  6. Veri sorumlusu adına kişisel veriyi işleyen kurum ve kuruluşlar ile veri güvenliğine ilişkin çerçeve sözleşme imzalar yahut mevcut sözleşmesine eklenen hükümler ile veri güvenliğini sağlar.
  7. Kişisel verilerin işlenmesi hakkında bilgili ve deneyimli personel istihdam eder ve personeline kişisel verilerin korunması mevzuatı ve veri güvenliği kapsamında gerekli eğitimleri
  8. Kişisel verilerin korunması adına personele yönelik kullanım talimatları hazırlar.
  9. Personelini kullanım talimatları uyarınca doğru bilgisayar, mobil cihaz ve internet kullanımı konusunda bilgilendirir ve düzenli denetime tabi tutar.
  10. Bilgi güvenliğinin tehlikeye atılması durumunda uygulanacak disiplin kurallarını belirler.
  11. Kişisel veri içeren kağıt ortamındaki evraklar, sunucular, yedekleme cihazları, CD, DVD ve USB gibi cihazların ek güvenlik önlemlerinin olduğu başka bir odaya alınması, ullanılmadığı zaman kilit altında tutulması, giriş çıkış kayıtlarının tutulması gibi fiziksel güvenliğin arttırılmasına ilişkin önlemleri alır.
  12. Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapar ve yaptırır. Denetimler sonucunda ortaya çıkan gizlilik ve güvenlik zafiyetlerini

Teknik Tedbirler:

Veri sorumlusu Doktor teknik tedbirler kapsamında;

  1. Kurulan sistemler kapsamında gerekli iç kontrolleri
  2. Veritabanı ve sunucularımıza erişim şifre ile korunmaktadır.
  3. Sistem Windows güvenlik duvarı ve antivirüs yazılımları kullanılarak korunmaktadır. Erişim yalnızca Doktor tarafından görevlendirilen personel ile sınırlandırılmıştır.
  4. Verilerin muayenehane dışına sızmasını engelleyecek veyahut gözlemleyecek teknik altyapının temin edilmesini ve ilgili matrislerin oluşturulmasını sağlar.
  5. Verilerin herhangi bir sebeple zarar görmesi, yok olması, çalınması veya kaybolması gibi ihtimaline istinaden alınan yedeklere sadece sistem yöneticisinin erişebilmesini sağlar.
  6. Bilişim sisteminin çökmesi, kötü niyetli yazılım, servis dışı bırakma saldırısı, eksik veya hatalı veri girişi, gizlilik ve bütünlüğü bozan ihlaller, bilişim sisteminin kötüye kullanılması gibi istenmeyen olaylarda delillerin toplanmasını ve güvenli bir şekilde saklanmasını sağlar.
  7. Verilerin bulunduğu cihazların arıza veya bakım nedeniyle servis gibi üçüncü kurumlara gönderilmesi gerekmesi halinde, teknik olarak mümkün ise gönderilmeden önce kişisel verilerin güvenliğinin sağlanması için cihazlardaki veri saklama ortamının sökülerek saklanması, sadece arızalı parçaların gönderilmesi gibi işlemler yapılmasını sağlar.
  8. Web sitesine giriş yapan ziyaretçilerin işlem hareketleri kaydının düzenli olarak tutulması (Log Kayıtları)
  9. Kişisel verilerin yok edilmesi geri dönüştürülemeyecek ve denetim izi bırakmayacak şekilde sağlanır.
  10. Kanun’un 12. maddesi uyarınca, kişisel verilerin saklandığı her türlü dijital ortam, bilgi güvenliği gereksinimlerini sağlayacak şekilde şifreli veyahut kriptografik yöntemler ile korunur.

2. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN KORUNMASI

Hassasiyet arz eden kişisel verilere, hukuka aykırı olarak işlendiğinde kişilerin mağduriyetine veya ayrımcılığa sebep olma riski nedeniyle Kanun kapsamında özel önem atfedilmiştir. Bu “özel nitelikli” kişisel veriler; ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat ile ilgili veriler ile biyometrik ve genetik verilerdir.

Bu kapsamda, Doktor tarafından, kişisel verilerin korunması için alınan teknik ve idari tedbirler, özel nitelikli kişisel veriler bakımından özenle uygulanmakta ve Doktor bünyesinde gerekli denetimler sağlanmaktadır.

Özel nitelikli kişisel verilerin işlenmesi ile ilgili ayrıntılı bilgiye bu Politika’nın III-3. bölümünde yer verilmiştir.

3. KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ KONUSUNDA FARKINDALIĞIN ARTTIRILMASI VE DENETİMİ

Doktor, kişisel verilerin hukuka aykırı olarak işlenmesini, verilere hukuka aykırı olarak erişilmesini önlemeye ve verilerin muhafazasını sağlamaya yönelik farkındalığın artırılması için gerekli eğitimlerin düzenlenmesini sağlamaktadır.

Mevcut çalışanların ve Doktor bünyesine yeni dâhil olan çalışanların kişisel verilerin korunması konusunda farkındalığının oluşması için gerekli sistemler kurmakta, konuya ilişkin ihtiyaç duyulması halinde danışmanlar ile çalışmaktadır. Bu doğrultuda Doktor, ilgili eğitimlere, seminerlere ve bilgilendirme oturumlarına yapılan katılımlar değerlendirmekte olup ilgili mevzuatın güncellenmesine paralel olarak yeni eğitimler düzenlemektedir.

 

III. KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN HUSUSLAR

1. KİŞİSEL VERİLERİN MEVZUATTA ÖNGÖRÜLEN İLKELERE UYGUN OLARAK İŞLENMESİ

Doktor tarafından kişisel verilerin güvenliğinin sağlanması, silinmesi, yok edilmesi ve anonim hale getirilmesinde Kanun’un 4. maddesinde sayılan ilkeler ile 12. maddesi kapsamında alınması gereken ve işbu Politikanın 5.2. maddesinde belirtilen teknik ve idari tedbirlere, ilgili mevzuat hükümlerine, Kurul kararlarına ve işbu Politikaya tamamen uygun hareket edilmektedir. İlkeler:

1.1. Hukuka ve Dürüstlük Kuralına Uygun İşleme

Kişisel veriler kişilerin temel hak ve özgürlüklerine zarar gelmeyecek şekilde genel güven ve dürüstlük kuralına uygun olarak işlenmektedir. Bu çerçevede, kişisel veriler Doktor tarafından verilen hizmetin gerektirdiği ölçüde ve bunlarla sınırlı olarak işlenmektedir.

1.2. Kişisel Verilerin Doğru ve Gerektiğinde Güncel Olmasını Sağlama

Doktor kişisel verilerin işlendiği süre boyunca doğru ve güncel olması için gerekli önlemleri almakta ve belirli sürelerle kişisel verilerin doğruluğunun ve güncelliğinin sağlanmasına ilişkin gerekli mekanizmaları kurmaktadır.

1.3. Belirli, Açık ve Meşru Amaçlarla İşleme

Doktor, kişisel verilerin işlenme amaçlarını açıkça ortaya koymakta ve yine iş faaliyetleri doğrultusunda bu faaliyetlerle bağlantılı amaçlar kapsamında işlemektedir.

1.4. İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma

Doktor kişisel verileri yalnızca verdiği hizmetin gerektirdiği nitelikte ve ölçüde toplamakta olup belirlenen amaçlarla sınırlı olarak işlemektedir.

1.5. İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç için Gerekli Olan Süre Kadar Muhafaza Etme

Doktor, kişisel verileri işlendikleri amaç için gerekli olan süre ve ilgili yasal mevzuatta öngörülen minimum süre kadar muhafaza etmektedir. Bu kapsamda, öncelikle ilgili mevzuatta kişisel verilerin saklanması için bir süre öngörülüp öngörülmediğini tespit etmekte, bir süre belirlenmişse bu süreye uygun davranmaktadır. Yasal bir süre mevcut değil ise kişisel veriler işlendikleri amaç için gerekli olan süre kadar saklanmaktadır. Kişisel veriler belirlenen saklama sürelerinin sonunda periyodik imha sürelerine veya veri sahibi başvurusuna uygun olarak ve belirlenen imha yöntemleri (silme ve/veya yok etme ve/veya anonimleştirme) ile imha edilmektedir.

2. KİŞİSEL VERİLERİN İŞLENME ŞARTLARI

Kişisel veri sahibinin açık rıza vermesi haricinde kişisel veri işleme faaliyetinin dayanağı aşağıda belirtilen şartlardan yalnızca biri olabileceği gibi birden fazla şart da aynı kişisel veri işleme faaliyetinin dayanağı olabilmektedir. İşlenen verilerin özel nitelikli kişisel veri olması halinde, işbu Politika’nın III.3 başlığı (“Özel Nitelikli Kişisel Verilerin İşlenmesi”) içerisinde yer alan şartlar uygulanacaktır.

2.1. Kişisel Veri Sahibinin Açık Rızasının Bulunması

Kişisel verilerin işlenme şartlarından biri veri sahibinin açık rızasıdır. Kişisel veri sahibinin açık rızası belirli bir konuya ilişkin, bilgilendirilmeye dayalı olarak ve özgür iradeyle açıklanmalıdır.

Aşağıda yer alan kişisel veri işleme şartlarının varlığı durumunda veri sahibinin açık rızasına gerek kalmaksızın kişisel veriler işlenebilecektir.

2.2. Kanunlarda Açıkça Öngörülmesi

Veri sahibinin kişisel verileri, kanunda açıkça öngörülmekte ise diğer bir ifade ile ilgili kanunda kişisel verilerin işlenmesine ilişkin açıkça bir hüküm olması halinde işbu veri işleme şartının varlığından söz edilebilecektir.

2.3. Fiili İmkansızlık Sebebiyle İlgilinin Açık Rızasının Alınamaması

Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda olan veya rızasına geçerlilik tanınamayacak olan kişinin kendisinin ya da başka bir kişinin hayatı veya beden bütünlüğünü korumak için kişisel verisinin işlenmesinin zorunlu olması halinde veri sahibinin kişisel verileri işlenebilecektir.

2.4. Sözleşmenin Kurulması veya İfasıyla Doğrudan İlgi Olması

Veri sahibinin taraf olduğu bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, kişisel verilerin işlenmesinin gerekli olması halinde işbu şart yerine getirilmiş sayılabilecektir.

2.5. Hukuki Yükümlülüğün Yerine Getirilmesi

Doktor hukuki yükümlülüklerini yerine getirmesi için işlemenin zorunlu olması halinde veri sahibinin kişisel verileri işlenebilecektir.

2.6. Kişisel Veri Sahibinin Kişisel Verisini Alenileştirmesi

Veri sahibinin, kişisel verisini alenileştirmiş olması halinde ilgili kişisel veriler alenileştirme amacıyla sınırlı olarak işlenebilecektir.

2.7. Bir Hakkın Tesisi veya Korunması için Veri İşlemenin Zorunlu Olması

Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması halinde veri sahibinin kişisel verileri işlenebilecektir.

2.8. Doktorun Meşru Menfaati için Veri İşlemenin Zorunlu Olması

Kişisel veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla Doktorun meşru menfaatleri için veri işlemesinin zorunlu olması halinde veri sahibinin kişisel verileri işlenebilecektir.

3. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİ

Özel nitelikli kişisel veriler Doktor tarafından, işbu Politika’da belirtilen ilkelere uygun olarak ve Kurum’un belirleyeceği yöntemler de dahil olmak üzere gerekli her türlü idari ve teknik tedbirler alınarak ve aşağıdaki şartların varlığı halinde işlenmektedir:

  • Sağlık ve cinsel hayata ilişkin özel nitelikli kişisel veriler, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, Doktor’un sır saklama yükümlülüğü altında bulunması ve Kanun’un 6. Maddesinin 3. Bendi doğrultusunda açık rıza aranmaksızın işlenebilecektir.
  • Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler, kanunlarda açıkça öngörülmesi diğer bir ifade ile ilgili kanunda kişisel verilerin işlenmesine ilişkin açıkça bir hüküm olması halinde veri sahibinin açık rıza aranmaksızın işlenebilecektir. Aksi halde veri sahibinin açık rızası alınmadan işlem yapılamamaktadır.

4. KİŞİSEL VERİ SAHİBİNİN AYDINLATILMASI

Doktor, Kanun’un 10. maddesine ve ikincil mevzuata uygun olarak kişisel veri sahiplerini kişisel verilerinin veri sorumlusu olarak kim tarafından, hangi amaçlarla işlendiği, hangi amaçlarla kimlerle paylaşıldığı, hangi yöntemlerle toplandığı ve hukuki sebebi ve veri sahiplerinin kişisel verilerinin işlenmesi kapsamında sahip olduğu hakları konusunda bilgilendirmektedir. Bu konuya ilişkin aydınlatma metnine www.draysenbayrac.com/kvkk/aydinlatma adresinden ulaşabilirsiniz.

5. KİŞİSEL VERİLERİN AKTARILMASI

Doktor, hukuka uygun olan kişisel veri işleme amaçları doğrultusunda gerekli güvenlik önlemlerini alarak kişisel veri sahibinin kişisel verilerini ve özel nitelikli kişisel verilerini üçüncü kişilere aktarabilmektedir. Doktor bu doğrultuda Kanun’un 8. maddesinde öngörülen düzenlemelere uygun hareket etmektedir. Bu konu ile ilgili ayrıntılı bilgiye işbu Politika’nın EK 5 (“EK 5 – Doktor Tarafından Kişisel Verilerin Aktarıldığı Üçüncü Kişiler ve Aktarılma Amaçları”) dokümanından ulaşılması mümkündür.

5.1. Kişisel Verilerin Aktarılması

Kişisel veri sahibinin açık rızası olmasa dahi aşağıda belirtilen şartlardan bir ya da birkaçının mevcut olması halinde Doktor tarafından gerekli özen gösterilerek ve Kurum tarafından öngörülen yöntemler de dahil gerekli tüm güvenlik önlemleri alınarak kişisel veriler üçüncü kişilere aktarılabilecektir.

Kişisel verilerin aktarılmasına ilişkin ilgili faaliyetlerin kanunlarda açıkça öngörülmesi,

  • Kişisel verilerin Doktor tarafından aktarılmasının bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili ve gerekli olması,
  • Kişisel verilerin aktarılmasının Doktorun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
  • Kişisel verilerin veri sahibi tarafından alenileştirilmiş olması şartıyla, alenileştirme amacıyla sınırlı bir şekilde Doktor tarafından aktarılması,
  • Kişisel verilerin Doktor tarafından aktarılmasının Doktor’un veya veri sahibinin veya üçüncü kişilerin haklarının tesisi, kullanılması veya korunması için zorunlu olması,
  • Veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla Doktor’un meşru menfaatleri için kişisel veri aktarımı faaliyetinde bulunulmasının zorunlu olması,
  • Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünü koruması için zorunlu olması.

Yukarıdakilere ek olarak kişisel veriler, Kurum tarafından yeterli korumaya sahip olduğu ilan edilen yabancı ülkelere (“Yeterli Korumaya Sahip Yabancı Ülke”) yukarıdaki şartlardan herhangi birinin varlığı halinde aktarılabilecektir. Yeterli korumanın bulunmaması durumunda ise mevzuatta öngörülen veri aktarım şartları doğrultusunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt ettiği ve Kurum’un izninin bulunduğu yabancı ülkelere (“Yeterli Korumayı Taahhüt Eden Veri Sorumlusunun Bulunduğu Yabancı Ülke”) aktarılabilecektir.

5.2. Özel Nitelikli Kişisel Verilerin Aktarılması

Özel nitelikli kişisel veriler Doktor tarafından, işbu Politika’da belirtilen ilkelere uygun olarak ve Kurum’un belirleyeceği yöntemler de dahil olmak üzere gerekli her türlü idari ve teknik tedbirler alınarak ve aşağıdaki şartların varlığı halinde aktarılabilecektir:

  • Sağlık ve cinsel hayata ilişkin özel nitelikli kişisel veriler, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri planlanması ve yönetimi amacıyla, Doktor’un sır saklama yükümlülüğü altında bulunması ve Kanun’un 6. Maddesinin 3. Bendi doğrultusunda açık rıza aranmaksızın aktarılabilecektir.
  • Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler, kanunlarda açıkça öngörülmesi diğer bir ifade ile ilgili kanunda kişisel verilerin aktarılmasına ilişkin açık bir hüküm olması halinde veri sahibinin açık rıza aranmaksızın aktarılabilecektir. Açık bir kanun hükmünün olmadığı hallerde veri sahibinin açık rızası alınmadan işlem yapılamamaktadır.

Yukarıdakilere ek olarak kişisel veriler, Yeterli Korumaya Sahip Yabancı Ülke yukarıdaki şartlardan herhangi birinin varlığı halinde aktarılabilecektir. Yeterli korumanın bulunmaması durumunda ise mevzuatta öngörülen veri aktarım şartları doğrultusunda Yeterli Korumayı Taahhüt Eden Veri Sorumlusunun Bulunduğu Yabancı Ülke’lere aktarılabilecektir.

IV. KİŞİSEL VERİLERİN KATEGORİZASYONU VE İŞLENME AMAÇLARI

1. KİŞİSEL VERİ İŞLEME AMAÇLARI

Doktor nezdinde, Kanun’un 10. maddesi ve ikincil mevzuat uyarınca ilgili kişiler bilgilendirilerek, Doktorun kişisel veri işleme amaçları doğrultusunda, Kanun’un 5. ve 6. maddesinde belirtilen kişisel veri işleme şartlarından en az birine dayalı ve sınırlı olarak, başta kişisel verilerin işlenmesine ilişkin Kanun’un 4. maddesinde belirtilen ilkeler olmak üzere Kanun’da belirtilen genel ilkelere uygun bir şekilde kişisel veriler işlenmektedir. Kişisel veri işleme amaçlarına ilişkin detaylı bilgiler Politika’nın EK 1’inde (“EK 1- Kişisel Veri İşleme Amaçları”) yer almaktadır.

2. KİŞİSEL VERİ KATEGORİLERİ

İşbu Politika ’da belirtilen amaçlar ve şartlar çerçevesinde, işlenen kişisel veri kategorilerine ve kategoriler hakkında detaylı bilgilere Politika’nın EK 2 (“EK 2- Kişisel Veri Kategorileri”) dokümanından ulaşılabilecektir.

 

V. KİŞİSEL VERİLERİN SAKLANMASI VE İMHASI

Doktor, kişisel verileri işlendikleri amaç için gerekli olan süre ve ilgili yasal mevzuatta öngörülen minimum süre kadar muhafaza etmektedir. Bu kapsamda, öncelikle ilgili mevzuatta kişisel verilerin saklanması için bir süre öngörülüp öngörülmediğini tespit etmekte, bir süre belirlenmişse bu süreye uygun davranmaktadır. Yasal bir süre mevcut değil ise kişisel veriler işlendikleri amaç için gerekli olan süre kadar saklanmaktadır.

Kişisel veriler belirlenen saklama sürelerinin sonunda periyodik imha sürelerine veya veri sahibi başvurusuna uygun olarak ve belirlenen imha yöntemleri (silme ve/veya yok etme ve/veya anonimleştirme) ile imha edilmektedir. İlgili veri saklama ve imha sürelerini EK 3’te (“Ek 3-Veri Saklama ve İmha Süreleri Tablosu”) yer alan doküman üzerinden inceleyebilirsiniz.

Doktor tarafından KVKK ve diğer ilgili mevzuata uygun olarak elde edilen kişisel veriler Kanun ve Yönetmelik’te sayılan kişisel veri işleme amaçlarının ortadan kalkması halinde Doktor tarafından re’sen yahut İlgili Kişinin başvurusu üzerine yine Kanun ve ilgili mevzuat hükümlerine uygun olarak aşağıda belirtilen teknikler ile imha edilecektir.

a. Kişisel Verilerin Silinmesi ve Yok Edilmesi  Teknikleri:

Doktor tarafından kişisel verilerin silinmesi ve yok edilmesi tekniklerine ilişkin usul ve esaslar aşağıda sayılmıştır:

– Kişisel Verilerin Silinmesi:

Yazılımdan Güvenli Olarak Silme: Tamamen veya kısmen otomatik olan yollarla işlenen ve dijital ortamlarda muhafaza edilen veriler silinirken; İlgili kişiler için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilecek biçimde verinin ilgili yazılımdan silinmesine ilişkin yöntemler kullanılır.

Merkezi sunucuda bulunan dosya veya dosyanın bulunduğu dizin üzerinde ilgili kişilerin erişim haklarının kaldırılması; veri tabanlarında ilgili satırların veri tabanı komutları ile silinmesi; veya taşınabilir medyada yani flash ortamında bulunan verilerin uygun yazılımlar kullanılarak silinmesi bu kapsamda sayılabilecektir.

Ancak, kişisel verilerin silinmesi işlemi, diğer verilere de sistem içerisinde erişilememe ve bu verileri kullanamama sonucunu doğuracak ise, aşağıdaki koşulların sağlanması kaydıyla, kişisel verilerin ilgili kişiyle ilişkilendirilemeyecek duruma getirilerek arşivlenmesi halinde de kişisel veriler silinmiş sayılacaktır.

  • Başka herhangi bir kurum, kuruluş veyahut kişinin erişimine kapalı olması,
  • Kişisel verilere yalnızca yetkili kişiler tarafından erişilmesini sağlayacak şekilde gerekli her türlü teknik ve idari tedbirlerin alınması.

 

Uzman Tarafından Güvenli Olarak Silme: Bazı durumlarda kendisi adına kişisel verileri silmesi için bir uzman ile anlaşabilir. Bu durumda, kişisel veriler bu konuda uzman olan kişi tarafından ilgili üyeler ve ziyaretçiler için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilecek biçimde güvenli olarak silinir.

Kağıt Ortamında Bulunan Kişisel Verilerin Karartılması: Kişisel verilerin amaca yönelik olmayan kullanımını önlemek veya silinmesi talep edilen verileri silmek için ilgili kişisel verilerin fiziksel olarak kesilerek belgeden çıkartılması veya geri döndürülemeyecek ve teknolojik çözümlerle okunamayacak şekilde sabit mürekkep kullanılarak görünemeyecek hale getirilmesi, kapatılması yöntemidir.

– Kişisel Verilerin Yok Edilmesi:

De-manyetize Etme: Manyetik medyanın yüksek manyetik alanlara maruz kalacağı özel cihazlardan geçirilerek üzerindeki verilerin okunamaz bir biçimde bozulması yöntemidir. Dikkat edilmelidir ki bu yöntemle yok etme başarılı olmaz ise ancak medyanın fiziksel olarak yok edilmesi ile yok etme işlemi tamamlanmış olabilecektir.

Fiziksel Yok Etme: Kişisel veriler herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla da işlenebilmektedir. Bu tür veriler yok edilirken kişisel verinin sonradan kullanılamayacak biçimde fiziksel olarak yok edilmesi sistemi uygulanmaktadır. Kağıt ve mikrofiş ortamındaki verilerin yok edilmesi de, başka bir şekilde yok edilmeleri mümkün olmadığından bu şekilde gerçekleştirilmelidir.

Üzerine Yazma: Üzerine yazma yöntemi, özel yazılımlar aracılığı ile manyetik medya ve yeniden yazılabilir optik medya üzerinden en az yedi kez 0 ve 1’lerden oluşan rastgele veriler yazılarak eski verinin okunabilmesi ve kurtarılabilmesini imkânsızlaştıran veri yok etme yöntemidir

Yukarıda sayılan durumlar gerçekleşmesi sırasında Doktor; KVKK, Yönetmelik ve ilgili diğer mevzuat hükümlerine veri güvenliğinin sağlanması amacıyla tam uyum sağlamakta ve gerekli tüm idari ve teknik güvenlik tedbirlerini almaktadır.

b. Kişisel Verilerin Anonim Hale Getirilmesi Teknikleri:

Doktor tarafından kişisel verilerin anonim hale getirilmesi tekniklerine ilişkin usul ve esaslar aşağıda sayılmıştır:

– Değer Düzensizliği Sağlamayan Anonim Hale Getirme Yöntemleri

Değer düzensizliği sağlamayan anonim hale getirme yöntemleri, saklanmakta olan kişisel verilerde bir değişiklik veya ekleme/çıkarma yapılmaksızın; herhangi bir kişisel veri grubunun genelleme, birbiri ile yer değiştirme veya gruptan belirli bir veri veya alt veri grubunun çıkarılması ile uygulanan anonimleştirmeye yöntemleridir.

Değişken Çıkartma: Betimleyici nitelikteki verilerin çıkartılması yöntemi ile toplanılan verilerin bir araya getirilmesinden sonra oluşturulan veri setindeki değişkenlerden “yüksek dereceli betimleyici” olanlar çıkarılarak mevcut veri seti anonim hale getirilmektedir.

Bölgesel Gizleme: Bölgesel gizleme yönteminde ise tek bir verinin çok az görülebilir bir kombinasyon yaratması sebebi ile belirleyici niteliği mevcut ise ilgili verinin gizlenmesi anonimleştirmeyi sağlamaktadır. Örneğin, şirketin futbol takımının yedek listesinde olan ilgili veri sorumluları arasında yalnızca bir kişi 65 yaşında ise yaş, cinsiyet ve sağlık durumu yönünden futbol oynayabilecek olup olmadığı bilgisinin birlikte saklandığı bir veri kümesinde ‘Yaş:65’ yerine ‘Bilinmiyor’ yazılması veya bu kısmın boş bırakılması anonimleştirmeyi sağlayacaktır.

Alt ve Üst Sınır Kodlama: Alt ve üst sınır kodlaması yöntemi ile önceden tanımlanmış kategorilerin yer aldığı bir veri grubundaki değerlerin belirli bir ölçüt belirlenerek birleştirilmesiyle anonim hale getirilmektedir.

Genelleştirme: Veri toplulaştırma yöntemi ile birçok veri toplulaştırılmakta ve kişisel veriler herhangi bir kişiyle ilişkilendirilemeyecek hale getirilmektedir.

Global Kodlama: Veri türetme yöntemi ile kişisel verinin içeriğinden daha genel bir içerik oluşturulmakta ve kişisel verinin herhangi bir kişiyle ilişkilendirilemeyecek hale getirilmesi sağlanmaktadır. Doğum tarihleri yerine yaşların belirtilmesi; açık adres yerine ikamet edilen bölgenin belirtilmesi gibi.

Değer Düzensizliği Sağlayan Anonim Hale Getirme Yöntemleri: Değer düzensizliği sağlayan anonim hale getirme yöntemlerinde değer düzensizliği sağlamayanların aksine kişisel veri gruplarında bazı verilerin değiştirilmesi ile bozulma yaratmaktadır. Bu yöntemler kullanılırken elde edilmesi beklenen/istenen fayda doğrultusunda sapmaların dikkatli uygulanması gerekecektir. Toplam istatistiklerin bozulmaması sağlanarak veriden beklenen fayda sağlanmaya devam edilebilir.

Gürültü Ekleme: Verilere gürültü ekleme yöntemi özellikle sayısal verilerin ağırlıklı olduğu bir veri setinde mevcut verilere belirlenen oranda artı veya eksi yönde birtakım sapmalar eklenerek veriler anonim hale getirilmektedir. Örneğin, kilo değerlerinin olduğu bir veri grubunda (+/−) 3 kg sapması kullanılarak gerçek değerlerin görüntülenmesi engellenmiş ve veriler anonimleştirilmiş olur. Sapma her değere eşit ölçüde uygulanır.

Veri Değiş Tokuşu: Veri değiş tokuşu yönteminde saklanan veriler içerisinden seçilen çiftler arasında bir değişkenin değerleri birbiri ile değiştirilir. Genel olarak kategorize edilebilen veriler için kullanılan bu yöntemde amaç veri sahiplerine ait verilerin birbirleri ile değiştirilerek veri tabanının dönüştürülmesidir.

KVKK’nın 28. maddesi uyarınca, kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi durumunda bu durum Kanun kapsamı dışında kalacak ve açık rıza temini gerekmeyecektir.

VI. KİŞİSEL VERİ SAHİPLERİNİN HAKLARI VE BU HAKLARIN KULLANILMASI

1. KİŞİSEL VERİ SAHİBİNİN HAKLARI

Kişisel veri sahipleri aşağıda yer alan haklara sahiptirler:

  1. Kişisel veri işlenip işlenmediğini öğrenme,
  2. Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
  3. Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
  4. Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
  5. Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
  6. Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
  7. İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
  8. Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme.

2. HAKLARIN KULLANMASI VE BAŞVURULARIN CEVAPLANMASI

Yukarıda sayılan kişisel veri sahibinin haklarına ilişkin talepler, Kurum’un belirlemiş olduğu yöntemlerle Doktor’a iletebilecektir. Bu doğrultuda www.draysenbayrac.com/kvkk/bilgiedinme adresinde yer alan prosedür uyarınca aynı adreste yer alan “Bilgi Edinme Başvuru Formu” kullanılarak Doktor’a başvuruda bulunulabilir.

Doktor, kişisel veri sahibi tarafından yapılacak başvuruları Kanun ve ikincil mevzuata uygun olarak sonuçlandırmak üzere gerekli idari ve teknik tedbirleri almaktadır. Kişisel veri sahibinin, anılı haklarına ilişkin talebini usule uygun olarak Doktor’a iletmesi durumunda, talebin niteliğine göre en kısa sürede ve en geç 30 (otuz) gün içinde ilgili talebi ücretsiz olarak sonuçlandıracaktır. Ancak, işlemin ayrıca bir maliyet gerektirmesi halinde, Kurul tarafından belirlenen tarife uyarınca ücret alınabilecektir.

 

VII. EKLER

İşbu Politika ekinde 5 (beş) adet belge bulunmaktadır.

EK 1 – KİŞİSEL VERİ İŞLEME AMAÇLARI

BİRİNCİL AMAÇLAR İKİNCİL AMAÇLAR
Mesleki hizmet faaliyetlerinin icrasına ilişkin asli faaliyetlerin yürütülmesi Kamu sağlığının korunması
Koruyucu hekimlik hizmeti verilmesi
Tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi
Mesleki hizmet faaliyetlerinin icrasına ilişkin tali faaliyetlerin yürütülmesi Anlaşmalı olunan kurum ve kuruluşlarla ilişkinin teyidi ve kimlik tespiti
Tetkik, teşhis ve tedavi giderlerinin finansmanına ilişkin müstehaklık sorgusu kapsamında özel sigorta şirketleriyle talep edilen bilgilerin paylaşılması
Finans ve muhasebe işlerinin takibi ile hizmetin faturalandırılması
Hukuki işlerin takibi
Bilgi teknolojileri alt yapısının oluşturulması ve yönetilmesi
Mesleki hizmet faaliyetlerinin sürdürülebilirliği ve iş süreçlerinin yürütülmesi Yönetim, finansal, iletişim ve sürdürülebilirlik faaliyet süreçleri ile risk süreçlerinin planlanması ve icrası
Hizmet faaliyetlerinin gerçekleştirilmesi için gerekli çalışmaların yapılması ve buna bağlı iş süreçlerinin yürütülmesi, iş stratejilerinin planlanması ve icrası
Teknik ve hizmet/iş güvenliğinin temini ile veri güvenliği kapsamında tüm gerekli teknik ve idari tedbirlerin alınması
Muayenehane demirbaşlarının ve kaynaklarının güvenliğinin temini
Hasta İlişki ve İletişim Yönetimi Kimlik tespiti yapılarak randevu sisteminin yönetimi, hastanın randevu bildirim ve hatırlatma servisinden yararlandırılması
Hasta memnuniyetinin ölçülmesi, arttırılması ve araştırılması
Talep ve şikayetlerin etkin bir şekilde değerlendirilmesi
Bilgilendirme içeriklerinin paylaşılması, reklam ve iletişim süreçlerinin yürütülmesi
Suiistimal ve yetkisiz işlemlerin izlenmesi ve engellenmesi, risk yönetimi gerçekleştirilmesi
Yasal ve düzenleyici gereksinimlerin yerine getirilmesi Sağlık Bakanlığı ve bağlı alt birimler başta olmak üzere ilgili adli ve idari makamların taleplerinin yerine getirilmesi
Verilerin doğru ve güncel olmasının sağlanması
Yetkili kuruluşlara mevzuattan kaynaklı bilgi verilmesi
İnsan kaynakları politikaları ve süreçlerinin yürütülmesi Personel temin süreçlerinin yönetilmesi
Personel yönetim süreçlerinin yönetilmesi
İş Kanunu ve sair mevzuat uyarınca ilgili yükümlülüklerin yerine getirilmesi

EK 2 – KİŞİSEL VERİ KATEGORİLERİ

KİŞİSEL VERİ KATEGORİLERİ AÇIKLAMA
Kimlik Bilgisi Kişinin kimliğine dair bilgilerin bulunduğu verilerdir: Ad-Soyad, TCKN, Pasaport No veya Geçici TCKN, doğum yeri ve tarihi, uyruğu, cinsiyet ve medeni hali, sigorta veya hasta protokol numarası ile veri sahibini tanımlayabilecek sair kimlik bilgileri.
İletişim Bilgisi Adres, telefon numarası, e-posta adresi ve/veya sair vasıtalar aracılığıyla tarafımızla iletişime geçildiği taktirde elde edilecek iletişim bilgileri.
Hasta Muhasebe Bilgileri Hastaların banka hesap numarası, IBAN numarası, kredi kartı ve faturalama bilgileri, SGK verileri, özel sağlık sigortası bilgileri.
Sair Muhasebe ve Finansal Bilgiler Doktorun hasta harici kişisel veri sahipleri ile kurmuş olduğu hukuki ilişkinin tipine göre yaratılan her türlü finansal sonucu gösteren bilgi, belge ve kayıtlara ilişkin işlenen kişisel veriler ile banka hesap numarası, IBAN numarası, borç/alacak bilgisi, gelir bilgisi gibi veriler.
Özel Nitelikli Kişisel Veri Kişilerin sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik veriler.
Sağlık Bilgileri Muayene verileri, tıbbi özgeçmiş ve soy geçmiş verileri, muayene randevu bilgileri, reçete bilgileri, pre-op ve post-op fotoğraflar, endoskopi/kolonoskopi video kayıtları, muayane öncesi danışma sürecinde dijital ortam görüşme ve yazışmaları, hasta aydınlatma ve onam formları, diğer sağlık kuruluşlarınca kayıt altına alınan hasta dosyası içerisinde yer alan sağlık verileri, konsültasyon ve ameliyat notları, tıbbi teşhis, tedavi ve bakım hizmeti yürütülme aşamasında edinilen sosyal, ailevi ve cinsel hayata ilişkin kişisel veriler.
İşlem Bilgisi Hizmet faaliyetleri kapsamında elde etmiş olduğu anket bilgisi, çerez kayıtları, giriş-çıkış kayıtları, kişilik envanteri gibi veriler.
İşlem Güvenliği Bilgisi Hizmet faaliyetlerimizi yürütürken teknik, idari ve hukuki güvenliğimizi sağlamamız için işlenen kişisel verileriniz (örneğin log kayıtları)
Çalışan Bilgisi İlgili mevzuat uyarınca çalışanın özlük dosyası içerisinde tutulması gereken veriler.
Çalışan Adayı Bilgisi Çalışan adayı olarak değerlendirilmiş bireylerin işe alım süreçlerinde uygun pozisyon için değerlendirilebilmesine temel olacak bilgilerin elde edilmesine yönelik işlenen her türlü kişisel veri (Askerlik Durum Bilgisi, Eğitim bilgisi, Medeni Durum Bilgisi, Referans bilgisi dahil).
Görsel İşitsel Veri Veri sahibi tarafından kendi rızasıyla paylaşılan sağlık bilgileri kapsamında olmayan fotoğraf, video ve ses kayıtları.
Denetim ve Teftiş Bilgisi Doktorun kanuni yükümlülükleri kapsamında iç veya dış denetim faaliyetleri sırasında işlenen kişisel veriler anlamına gelmektedir.
Hukuki İşlem ve Uyum Bilgisi Hukuki alacak ve haklarımızın tespiti, takibi ve borçlarımızın ifası ile kanuni yükümlülüklerimiz ve politikalarımıza uyum kapsamında işlenen kişisel veriler.

EK 3 – VERİ SAKLAMA VE İMHA SÜRELERİ TABLOSU

SÜREÇ SAKLAMA SÜRESİ İMHA SÜRESİ
Hasta Kayıtları 20 Yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Hasta Sağlık Bilgileri 20 Yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Ölmüş Bir Kişiye Ait Kişisel Veriler 20 Yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Personel Özlük Dosyası İş ilişkisinin sona ermesini takiben 10 Yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Personel Ücret ve Maaşa İlişkin Tüm Belgeler İş ilişkisinin sona ermesini takiben 10 Yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Personel Özel Sağlık ve Ferdi Kaza Sigorta Poliçeleri İş ilişkisinin sona ermesini takiben 10 Yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Çalışan Adayları Başvuru Süreçleri Başvuru tarihinden itibaren 1 Yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Sair İnsan Kaynakları Süreçleri Faaliyetin sona ermesini takiben 10 Yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
İş sağlığı ve güvenliği uygulamaları İş ilişkisinin sona ermesini takiben 15 Yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Sözleşmeler Sözleşmenin sona ermesini takiben 10 Yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Kişisel Verileri Koruma Kurulu İşlemleri 10 Yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Muhasebe ve Finansal İşlemlere İlişkin Tüm Kayıtlar 10 Yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Vergisel Kayıtlara İlişkin Kişisel Veriler 5 Yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Elektronik İleti İzinleri 1 Yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Çerezler ve Log Kayıtları 2 Yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Donanım ve Yazılıma Erişim Süreçleri 2 Yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
İnternet ve wifi aracılığıyla elde edilen bilgiler Kaydın alınmasından itibaren 1 Yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Talep/Şikayet Bilgileri Kaydın alınmasından itibaren 5 Yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Genel dava zamanaşımı süresini düzenleyen Borçlar Kanunu’nun 146. Maddesi gereği her türlü genel nitelikteki belge dosyalanması 10 Yıl  Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Sair ilgili mevzuat gereği İlgili mevzuatta öngörülen süre kadar Saklama süresinin bitimini takip eden ilk periyodik imha süresinde

EK 4 – GÜNCELLEME TABLOSU

İşbu Politika’da yapılan değişiklikler aşağıdaki tabloda yer almaktadır.

GÜNCELLEME TARİHİ DEĞİŞİKLİKLERİN KAPSAMI
 

 

 

EK 5 – DOKTOR TARAFINDAN KİŞİSEL VERİLERİN AKTARILDIĞI ÜÇÜNCÜ KİŞİLER VE AKTARILMA AMAÇLARI

Veri Aktarımı Yapılabilecek Kişiler Tanımı Veri Aktarım Amacı
Kanunen Yetkili Kamu Kurum ve Kuruluşları İlgili mevzuat hükümlerine göre tarafımızdan bilgi ve belge almaya yetkili kamu kurum ve kuruluşları Örneğin; Sağlık Bakanlığı ve bağlı alt birimler (E-Nabız), emniyet genel müdürlüğü ve bağlı alt birimler vb. İlgili kamu kurum ve kuruluşlarının hukuki yetkisi dahilinde talep ettiği amaçla sınırlı olarak paylaşılmaktadır.
Kanunen Yetkili Meslek Kuruluşları İlgili mevzuat hükümlerine göre tarafımızdan bilgi ve belge almaya yetkili meslek kuruluşları

Örneğin; Türkiye Tabipler Birliği, Türkiye Eczacılar Birliği, Diş Hekimleri Odası

İlgili meslek kuruluşlarının hukuki yetkisi dahilinde talep ettiği amaçla sınırlı olarak paylaşılmaktadır.
Kanunen Yetkili Özel Hukuk Kişileri İlgili mevzuat hükümleri uyarınca kanunen belirlenmiş belirli şartlara uygun olarak kurulmuş ve yine kanunun belirlediği çerçevede faaliyetlerini devam ettiren kurum veya kuruluşlar (Örneğin; bağımsız denetçiler, noterler, avukatlar, mali müşavirler) anlamına gelmektedir. İlgili özel kurum ve kuruluşların yürütmekte olduğu faaliyetler kapsamında giren konular ile ilgili sınırlı olarak paylaşılmaktadır.
Veri Sahibi Tarafından Yetkilendirilen Kanuni Temsilciler Veri sahibi tarafından resmi olarak yetkilendirilmiş yahut kanunen veri sahibi adına yetkilendirilmiş olan kişiler (Veli, vasi, vekil vb.) İlgili yetkinin öngördüğü sınırlar dahilinde paylaşılmaktadır.
Veri Sahibinin Sevk Edildiği Yahut Başvurduğu Harici Sağlık Kuruluşları Veri sahibi niteliğindeki hastanın sevk edildiği yahut bizzat başvurduğu doktor haricinde kalan tüm sağlık kuruluşları (Başkaca hastane, klinik, sağlık merkezi yahut doktor) Veri sahibinin talebi ve rızası doğrultusunda, tıbbi teşhis ve tedavi için gerekli belgelerle sınırlı olmak üzere paylaşılmaktadır.
Veri Sahibinin Başvurduğu Tıbbi Teşhis ve Tedavi İçin İşbirliği İçerisinde Olunan Kurumlar Veri sahibinin tıbbi teşhis ve tedavisinin gerçekleştirilmesi adına ilgili tetkikler için başvurulan laboratuvar, tıp merkezi, ambulans, tıbbi cihaz ve sağlık hizmeti sunan kurum ve kuruluşlar Veri sahibinin talebi ve rızası doğrultusunda, tıbbi teşhis ve tedavi için gerekli belgelerle sınırlı olmak üzere paylaşılmaktadır.
Veri Sahibinin Anlaşmalı Olduğu Sigorta Kurum ve Kuruluşları Veri sahibinin doktordan hizmet alırken yararlanmak üzere başvuracağı ilgili sigorta/poliçenin tarafı SGK, Bağ-Kur ve özel sigorta şirketleri Veri sahibinin talebi doğrultusunda, doktorun vereceği hizmetin karşılanması adına başvurulan anlaşmalı kurumlara veri sahibinin sigorta/poliçe bilgilerinin onaylanması ve işlemlerin tamamlanması amacıyla sınırlı olmak üzere paylaşılmaktadır.