Yükleniyor...

Veri Güvenliği ve İmha Politikamız

Veri Güvenliği ve İmha Politikamız

 

ÖZEL GÖLCÜK DİYALİZ MERKEZİ

VERİ GÜVENLİĞİ VE VERİ İMHA POLİTİKASI

 

İşbu imha politikası Özel Gölcük Diyaliz Merkezi tarafından 6698 sayılı Kişisel Verilerin Korunması Kanunu ve sair mevzuatı uyarınca kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin tarafımızca uygulanacak usul ve esasların belirlenmesi amacıyla hazırlanmıştır.

Bu kapsamda, Özel Gölcük Diyaliz Merkezi bünyesinde kişisel verisi ve özel nitelikli kişisel verisi bulunan tüm gerçek kişilerin kişisel verileri Kişisel Verilerin İşlenmesi ve Korunması Politikası ve işbu Kişisel Veri Saklama ve İmha Politikası çerçevesinde kanunlara uygun olarak yönetilmektedir.

  1. TANIMLAR VE KISALTMALAR

Bu doküman içinde geçen tanımlar tabloda gösterildiği gibidir:

 

Açık Rıza Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı ifade eder.
Özel Gölcük Diyaliz Merkezi Çiftlik Mahallesi, Hastane Caddesi, No: 12/A Gölcük / KOCAELİ adresinde bulunan Özel Gölcük Diyaliz Merkezi Tıbbi Malzeme Medikal Hizmetler Ve Sağlık Tesisleri Sanayi Ticaret Anonim Şirketi diyaliz merkezini ifade eder.
İlgili Kullanıcı Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişilerdir.
İmha Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi.
İrtibat Kişisi Türkiye’de yerleşik olan tüzel kişiler ile Türkiye’de yerleşik olmayan tüzel kişi veri sorumlusu temsilcisinin Kanun ve bu Kanuna dayalı olarak çıkarılacak ikincil düzenlemeler kapsamındaki yükümlülükleriyle ilgili olarak, Özel Gölcük Diyaliz Merkezi ile kurulacak iletişim için veri sorumlusu tarafından Sicile kayıt esnasında bildirilen gerçek kişi.

(İrtibat kişisi Veri Sorumlusunu temsile yetkili değildir. Adından anlaşılacağı üzere yalnızca veri sorumlusu ile ilgili kişilerin ve Kurumun iletişimini “irtibatı” sağlamak üzere görevlendirilen kişidir.)

Kanun/KVKK 7 Nisan 2016 tarihli ve 29677 sayılı Resmi Gazete ’de yayımlanan, 24 Mart 2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanunu.
Kayıt Ortamı Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam.
Kişisel Veri Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.
Kişisel Verilerin İşlenmesi Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.

 

Kişisel Verilerin Anonim Hale Getirilmesi Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesi.
Kişisel Verilerin

Silinmesi

Kişisel verilerin silinmesi; kişisel verilerin İlgili Kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi.
Kişisel Verilerin

Yok Edilmesi

Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemi.
Kurul Kişisel Verileri Koruma Kurulu.
Özel Nitelikli

Kişisel

Veri

Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik veriler.
Periyodik İmha Kişisel verilerin işlenmesi için aranan şartların tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi.
Veri İşleyen Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi
Veri Kayıt Sistemi Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi.
Veri Sahibi/İlgili Kişi Kişisel verisi işlenen gerçek kişi.
Veri Sorumlusu Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi.
Yönetmelik Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmeliği.
Kaynak: 6698 sayılı Kişisel Verilerin Korunması Kanunu Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik – Veri Sorumluları Sicili Hakkında Yönetmelik – Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ – Veri Sorumlusuna Başvuru ve Usul Esasları Hakkında Tebliğ Veri sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ

 

  1. KİŞİSEL VERİLERİN SAKLANMASI

 

KİŞİSEL VERİLERİN SAKLANDIĞI ORTAMLAR

Özel Gölcük Diyaliz Merkezi bünyesinde tutulan kişisel veriler ve özel nitelikli kişisel veriler, ilgili verinin niteliğine ve hukuki yükümlülüklerimize uygun bir kayıt ortamında matbu ortamlarda veya yerel dijital ortamlarda tutulur.

Kişisel verilerin saklanması için kullanılan kayıt ortamları aşağıda sayılmaktadır. Ancak, bir kısım veriler sahip oldukları özel nitelikler ya da hukuki yükümlülüklerimiz nedeniyle burada gösterilen ortamlardan farklı bir ortamda tutulabilir. Bununla birlikte Özel Gölcük Diyaliz Merkezi her halde veri sorumlusu sıfatıyla hareket etmekte ve Kişisel Verileri Koruma Kanunu’na, Kişisel Verilerin İşlenmesi ve Korunması Politikası’na ve işbu Kişisel Veri Saklama ve İmha Politikası’na uygun olarak işlemek ve korumaktadır.

Elektronik Ortamlar Elektronik Olmayan Ortamlar
Sunucular (Etki alanı, yedekleme, e-posta, very tabanı, web, dosya paylaşım, vb.)

ü Yazılımlar (Ayrıntı girilmesi tavsiye edilir)

ü Bilgi güvenliği cihazları (güvenlik duvarı, saldırı tespit ve engelleme, günlük kayıt dosyası, antivirüs vb.)

ü Kişisel bilgisayarlar (Masaüstü,dizüstü)

ü Mobil cihazlar (telefon, tablet vb.)

ü Optik diskler (CD, DVDvb.)

ü Çıkartılabilir bellekler (USB, Hafıza Kart vb.)

ü Yazıcı, tarayıcı, fotokopi makinesi

ü Kağıt

ü Manuel very kayıt sistemleri (anket formları, başvuru formları, ziyaretçi giriş defteri vb.)

ü Yazılı, basılı, görsel ortamlar

 

  1. UYGULAMA

Özel Gölcük Diyaliz Merkezi’nin benimsemiş olduğu vizyon, misyon ve temel değerleri gereğince, idari süreçlerini ve iş süreçlerini bağlı olduğu mevzuatlar doğrultusunda yürütmek, hizmet verdiği kişilere en iyi deneyimi sağlamak için teknolojik kaynak ve altyapıları da kullanarak “veri minimizasyonu” prensibi çerçevesinde kişisel ve özel nitelikli kişisel verileri işler. Verilerin işlenmesinde Kanunun 4. maddesinde belirtilen ilkeler ve 12. maddesi gereği alınması gereken tedbirler göz önünde bulundurularak işlem yapılır. Kayıt saklama ortamları, elektronik veriler için bilişim sistemi sunucuları, uygulamaları, kurumsal bilgisayarı ve depolama ortamlarıdır, basılı dokümanlar için ise ofisler ve arşivlerdir.

 

SAKLAMA GEREKTİREN SEBEPLERE İLİŞKİN AÇIKLAMALAR

İlgili kişiye ait veriler, Özel Gölcük Diyaliz Merkezi tarafından faaliyetlerinin sürdürülebilmesi, hukuki yükümlülüklerin yerine getirilebilmesi, ilgili kişinin haklarının planlanması, sunulan hizmetlerin gerçekleştirilebilmesi, iş ortakları ile süreçlerin işletilebilmesi amacıyla fiziki veyahut elektronik ortamlarda güvenli bir biçimde Kanun ve ilgili mevzuatta belirtilen sınırlar çerçevesinde saklanır.

 

Saklamayı gerektiren hukuki sebepler aşağıdaki gibidir:

 

  • 6698 sayılı Kişisel Verilerin Korunması Kanunu,
  • 4982 sayılı Bilgi Edinme Kanunu,
  • 6098 sayılı Türk Borçlar Kanunu
  • 5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun,
  • 4982 sayılı Bilgi Edinme Kanunu,
  • 4857 sayılı İş Kanunu
  • 4721 Sayılı Medeni Kanun,
  • 5237 sayılı Türk Ceza Kanunu,
  • Arşiv Hizmetleri Hakkında Yönetmelik
  • 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu
  • 3071 sayılı Dilekçe Hakkının Kullanılmasına Dair Kanun,
  • Bu kanunlar uyarınca yürürlükte olan diğer ikincil düzenlemeler.

 

Ayrıca kişisel veriler,

  • Mevzuatta kişisel verilerin saklanmasının açıkça öngörülmesi,
  • Kişisel verilerin sözleşmelerin kurulması ve ifası ile doğrudan doğruya ilgili olması,
  • Kişisel verilerin bir hakkın tesisi, kullanılması veya korunması amacıyla saklanması,
  • Kişisel verilerin kişilerin temel hak ve özgürlüklerine zarar vermemek kaydıyla Özel Gölcük Diyaliz Merkezi’nin meşru menfaatleri için saklanmasının zorunlu olması,
  • Kişisel verilerin Özel Gölcük Diyaliz Merkezi’nin herhangi bir hukuki yükümlülüğünü yerine getirmesi amacıyla saklanması hukuki sebepleri ile de saklanmaktadır.

 

SAKLAMAYI GEREKTİREN İŞLEME AMAÇLARI

Özel Gölcük Diyaliz Merkezi, faaliyetleri çerçevesinde işlenecek kişisel verileriniz, 6698 Sayılı KVKK’nın 5. Ve 6. maddelerinde belirtilen kişisel verilerin işlenme şartları çerçevesinde hasta/çalışan/stajyer/üçüncü kişi/tedarikçi için kişisel veriler;

 

 

  • Kimliği teyit etme,
  • Kamu sağlığının korunması,
  • Koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi,
  • Diyaliz merkezinin iç işleyişi ile günlük operasyonların planlanması ve yönetilmesi,
  • Hasta tarafından randevu alınmasını sağlanması,
  • İş Mevzuatı kapsamında yükümlülüklerin yerine getirilmesi ve asgari geçim indirimi süreçlerinin yürütülmesi,
  • Çalışan adayı tarafından gösterilen referans teyidi,
  • Adayların başvurdukları pozisyona uygunluklarının değerlendirilmesi için geçmiş çalışma deneyimleri hakkında bilgi edinilmesi,
  • Adaylar tarafından geçmiş çalışma deneyimleri hakkında öne sürdükleri bilgilerin doğrulanması,
  • Hizmetleriniz karşılığında ücret ödenmesinin sağlanması,
  • Finansal işlemlerin yerine getirilmesi,
  • Randevu alınması halinde randevu hakkında bilgilendirebilme,
  • Risk yönetimi ve kalite geliştirme faaliyetlerinin yerine getirilmesi,
  • Sağlık hizmetlerinin geliştirmesi amacıyla değerlendirmelerde bulunma,
  • Araştırma yapılması,
  • Yasal ve düzenleyici gereksinimlerin yerine getirilmesi[1],
  • Hastane ve tıp merkezleri ile anlaşmalı olan kurumlarla olan ilişkinin teyit edilmesi,
  • Sağlık hizmetlerimiz karşılığında faturalandırma yapılması,
  • Provizyon alınması,
  • Sağlık hizmetlerinin finansmanı kapsamında özel sigorta şirketleri ile talep edilen bilgilerin paylaşılması,
  • İlgili mevzuat uyarınca Sağlık Bakanlığı ve ilgili kamu kurum ve kuruluşları ile talep edilen bilgilerin TÜRKDİVES, TDIS ve MEDULA gibi sistemlerle paylaşılması,
  • Sağlık hizmetlerimize ilişkin her türlü soru ve şikâyetinize cevap verilmesi,
  • Özel Gölcük Diyaliz Merkezi’ nin fiziksel güvenliğinin sağlanması,
  • Özel Gölcük Diyaliz Merkezinin sistem ve uygulamalarının veri güvenliği kapsamında tüm gerekli teknik ve idari tedbirlerin alması,
  • Sunulan sağlık hizmetlerinin geliştirilmesi ve iyileştirilmesi amacıyla sağlık hizmetleri kullanımının analiz edilmesi ve sağlık verilerinizin saklanması,
  • Düzenleyici ve denetleyici kurumlarla, resmi mercilerin talep ve denetimleri doğrultusunda gerekli bilgilerin temin edilmesi,
  • Suistimal ve yetkisiz işlemlerin izlenmesi, engellenmesi ve işlemlerin geri alınması,
  • İlgili mevzuat gereği saklanması gereken sağlık verilerine ilişkin bilgilerin muhafaza edilmesi,
  • Anlaşmalı olduğumuz kurumlarla size sunulan sağlık hizmetlerine ilişkin finansal mutabakat sağlanması,
  • Çalışanların eğitimi ve geliştirilmesi,
  • Hasta memnuniyetinin ölçülmesi,
  • Sayılan amaçlarla sınırlı olmaksızın, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, geliştirilmesi sağlık hizmetleri ile finansmanının planlanması ve yönetimi, hasta memnuniyetinin arttırılması,
  • Tedarikçilerle gerekli iletişimin sağlanması,
  • Sağlanacak mal ve/veya hizmetlerin tedariki için gerekli sözleşmelerin yapılması, tamamlanması ve yürütülmesi,
  • Yasal yükümlülüklerin taraflarca yerine getirilmesi,
  • İhale, anlaşma ve benzer işlemler için yetkilendirme süreçlerinin yürütülmesi,
  • İhale, anlaşma ve benzer işlemlerin gerçekleştirilmesi,
  • Yasal ve düzenleyici gereksinimlerin yerine getirilmesi,
  • Sağlanan mal ve/veya hizmetler karşılığında faturalandırma yapılması,
  • Özel Gölcük Diyaliz Merkezinin sistem ve uygulamalarının veri güvenliği kapsamında tüm gerekli teknik ve idari tedbirlerin alması,

Amaçları ile elde edilmekte ve işlenmektedir

 

  1. UYGULANAN TEKNİK VE İDARİ TEDBİRLER

Özel Gölcük Diyaliz Merkezi tarafından kanunun 7’nci ve 12’nci maddesi göz önünde bulundurularak, kişisel verilerin saklandığı tüm ortamların ilgili verinin ve verinin tutulduğu ortamın niteliklerine uygun olarak veri saklamada ve imhada teknik ve idari tedbirler alınır.

 

Veri Güvenliği Tedbiri
Ağ güvenliği ve uygulama güvenliği sağlanmaktadır.
Ağ yoluyla kişisel veri aktarımlarında kapalı sistem ağ kullanılmaktadır.
Bilgi teknolojileri sistemleri tedarik, gelistirme ve bakımı kapsamındaki güvenlik önlemleri alınmaktadır.
Bulutta depolanan kişisel verilerin güvenliği sağlanmaktadır.
Çalışanlar için veri güvenliği konusunda belli aralıklarla eğitim ve farkındalık çalışmaları yapılmaktadır.
Erişim logları düzenli olarak tutulmaktadır.
Erişim, bilgi güvenliği, kullanım, saklama ve imha konularında kurumsal politikalar hazırlanmış ve

uygulamaya başlanmıştır.

Gerektiğinde veri maskeleme önlemi uygulanmaktadır.
Gizlilik taahhütnameleri yapılmaktadır.
Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır.
Güncel anti-virüs sistemleri kullanılmaktadır.
Güvenlik duvarları kullanılmaktadır.
İmzalanan sözleşmeler veri güvenliği hükümleri içermektedir.
Kişisel veri güvenliği politika ve prosedürleri belirlenmiştir.
Kişisel veri güvenliği sorunları hızlı bir şekilde raporlanmaktadır.
Kişisel veri güvenliğinin takibi yapılmaktadır.
Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmaktadır.
Kişisel veri içeren fiziksel ortamların dış risklere (yangın, sel vb.) karşı güvenliği sağlanmaktadır.
Kişisel veri içeren ortamların güvenliği sağlanmaktadır.
Kişisel veriler mümkün olduğunca azaltılmaktadır.
Log kayıtları kullanıcı müdahalesi olmayacak şekilde tutulmaktadır.
Mevcut risk ve tehditler belirlenmiştir.
Özel nitelikli kişisel veri güvenliğine yönelik protokol ve prosedürler belirlenmiş ve uygulanmaktadır.
Özel nitelikli kişisel veriler elektronik posta yoluyla gönderilecekse mutlaka şifreli olarak ve KEP veya kurumsal

posta hesabı kullanılarak gönderilmektedir.

Özel nitelikli kişisel veriler için güvenli şifreleme / kriptografik anahtarlar kullanılmakta ve farklı birimlerce

yönetilmektedir.

Saldırı tespit ve önleme sistemleri kullanılmaktadır.
Siber güvenlik önlemleri alınmış olup uygulanması sürekli takip edilmektedir.
Şifreleme yapılmaktadır.
Veri işleyen hizmet sağlayıcılarının veri güvenliği konusunda belli aralıklarla denetimi sağlanmaktadır.
Veri işleyen hizmet sağlayıcılarının, veri güvenliği konusunda farkındalığı sağlanmaktadır.

 

 

  1. KİŞİSEL VERİLERİN İMHASI

 

İMHAYI GEREKTİREN SEBEPLERE İLİŞKİN AÇIKLAMALAR

Yönetmelik uyarınca, aşağıda sayılan hallerde kişisel veriler veya özel nitelikli kişisel veriler, Özel Gölcük Diyaliz Merkezi tarafından re’sen yahut ilgili kişinin talebi üzerine silinir, yok edilir veya anonim hale getirilir:

  • Kanun’un 5. ve 6. maddelerindeki kişisel verilerin işlenmesini gerektiren şartların ortadan kalkması,
  • Açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin rızasını geri alması,
  • Kişisel verilerin işlenmesine veya saklanmasına esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ortadan kalkması,
  • Kişisel verilerin işlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,
  • İlgili kişinin, hakları çerçevesinde kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin yaptığı başvurunun veri sorumlusu tarafından kabul edilmesi ya da kurulun gereğinin yapılması yönünde karar vermesi durumlarında kişisel veriler veya özel nitelikli kişisel veriler, silinir, yok edilir veya anonim hale getirilir:

Kanun’un 5’nci ve 6’ncı maddelerinde sayılan nedenler aşağıdakilerden ibarettir:

  1. Kanunlarda açıkça öngörülmesi .
  2. Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
  3. Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
  4. Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
  5. İlgili kişinin kendisi tarafından alenileştirilmiş olması.
  6. Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
  1. İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

İMHA YÖNTEMLERİ

Özel Gölcük Diyaliz Merkezi Kanuna ve sair mevzuatı ile Kişisel Verilerin İşlenmesi ve Korunması Politikasına uygun olarak sakladığı kişisel verileri ve özel nitelikli kişisel verileri, verilerin işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde ilgili kişinin talebi doğrultusunda ya da re’sen siler, yok eder veya anonim hale getirir. Bu hususta ilgili kişi tarafından Özel Gölcük Diyaliz Merkezi’ne başvurulması halinde;

  • İletilen talepler en geç 30 (otuz) gün içerisinde sonuçlandırılır ve ilgili kişiye bilgi verilir,
  • Talebe konu verilerin üçüncü kişilere aktarılmış olması durumunda, bu durum verilerin aktarıldığı üçüncü kişiye bildirilir ve üçüncü kişiler nezdinde gerekli işlemlerin yapılması temin edilir,
  • Durum, şartlar ve mevzuat gereği ilgili kişinin talep ettiği imha usulünün yerine başka bir imha usulünün kullanılması gerekmekteyse, durum ilgili kişiye verilecek cevapta açıklanarak, kullanılması lazım gelen usul ile imha gerçekleştirilir,
  • Kişisel verileri işleme şartlarının tamamı ortadan kalkmamışsa, bu talep veri sorumlusunca Kanunun 13’üncü maddesinin üçüncü fıkrası uyarınca gerekçesi açıklanarak reddedilebilir ve ret cevabı ilgili kişiye en geç otuz gün içinde yazılı olarak ya da elektronik ortamda bildirilir.

Kurul tarafından aksine bir karar alınmadıkça, kişisel verileri kendiliğinden silme, yok etme veya anonim hale getirme yöntemlerinden uygun olanı tarafımızca seçilir. Ancak, ilgili kişinin talebi halinde uygun yöntem gerekçesi açıklanarak seçilir.

İlgili kişinin Kanun’un 11. maddesinde gösterilen hakları kapsamında yaptığı başvurularda verilecek cevaplar ücretsiz olarak karşılanır. Her ne kadar cevabın ücretsiz verilmesi temel ilke olsa da, verilecek cevabın ayrıca bir maliyet gerektirmesi durumunda Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’in 7. maddesinde gösterilen ücretler Özel Gölcük Diyaliz Merkezi tarafından ilgili kişiden talep edilebilecektir. İlgili madde şöyledir:

Ücret

MADDE 7 – (1) İlgili kişinin başvurusuna yazılı olarak cevap verilecekse, on sayfaya kadar ücret alınmaz. On sayfanın üzerindeki her sayfa için 1 Türk Lirası işlem ücreti alınabilir.

(2) Başvuruya cevabın CD, flash bellek gibi bir kayıt ortamında verilmesi halinde veri sorumlusu tarafından talep edilebilecek ücret kayıt ortamının maliyetini geçemez.

Özel Gölcük Diyaliz Merkezi kendi bünyesi içerisindeki ilgili kişinin kişisel verilerini ve özel nitelikli kişisel verilerinin işlenmesi için gerekli olan amacı ve saklama süresi sona erdikten sonra, bu ilgili kişinin kişisel verileri ve özel nitelikli kişisel verilerinin işlemesini engelleyecek teknik ve idari tedbirleri alır. Özel Gölcük Diyaliz Merkezi ilgili kişiye ait kişisel veriler ve özel nitelikli kişisel veriler için gerekli olan işleme amaçları ve saklama süreleri sona ermeden ilgili kişisel veri silinmez, yok edilmez veya anonim hale getirilmez.

 

1-Kişisel Verilerin Silinmesi

  • Sunucularda Yer Alan Kişisel Veriler: Sunucularda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler için sistem yöneticisi tarafından ilgili kullanıcıların erişim yetkisi kaldırılarak silme işlemi yapılır.
  • Elektronik Ortamda Yer Alan Kişisel Veriler: Elektronik ortamda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, veri tabanı yöneticisi hariç diğer çalışanlar (ilgili kullanıcılar) için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir.
  • Fiziksel Ortamda Yer Alan Kişisel Veriler: Fiziksel ortamda tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler için evrak arşivinden sorumlu birim yöneticisi hariç diğer çalışanlar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. Ayrıca, üzeri okunamayacak şekilde çizilerek/boyanarak/silinerek karartma işlemi de uygulanır.
  • Taşınabilir Medyada Bulunan Kişisel Veriler: Flash tabanlı saklama ortamlarında tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler, sistem yöneticisi tarafından şifrelenerek ve erişim yetkisi sadece sistem yöneticisine verilerek şifreleme anahtarları ile güvenli ortamlarda saklanır.

Kişisel verilerin ve özel nitelikli kişisel verilerin silinmesi işlemi, silinmesi gerekmeyen diğer verilere de sistem içerisinde erişilememe ve bu verileri kullanamama sonucunu ortaya çıkaracağı takdirde kişisel verilerin anonim hale getirilerek arşivlenmesi kaydıyla kişisel veriler silinmiş sayılacaktır.

2-Kişisel Verilerin Yok Edilmesi

  • Fiziksel Ortamda Yer Alan Kişisel Veriler: Kâğıt ortamında yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler yakılarak veya kâğıt kırpma makinelerinde geri döndürülemeyecek şekilde öğütülerek yok edilir.
  • Optik / Manyetik Medyada Yer Alan Kişisel Veriler: Optik medya ve manyetik medyada yer alan kişisel verilerden saklanmasını gerektiren süre sona erenlerin eritilmesi, yakılması veya toz haline getirilmesi gibi fiziksel olarak yok edilmesi işlemi uygulanır. Ayrıca, manyetik medya özel bir cihazdan geçirilerek yüksek değerde manyetik alana maruz bırakılması suretiyle üzerindeki veriler okunamaz hale getirilir.

 

3-Kişisel Verilerin Anonim Hale Getirilmesi

Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir. Özel Gölcük Diyaliz Merkezi tarafından kişisel verilerin; veri sorumlusu, alıcı veya alıcı grupları tarafından; geri döndürme ve verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kişisel verilerin kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi suretiyle anonim hale getirilir. Veri sorumlusu olan sandığımızın kişisel verilerin anonim hale getirilmesiyle ilgili gerekli her türlü teknik ve idari tedbirleri almaktadır.

  1. VERİ SAKLAMA VE İMHA SÜRELERİ

 

VERİ SAKLAMA SÜRELERİ

 

Özel Gölcük Diyaliz Merkezi, kişisel verileri ve özel nitelikli kişisel verileri ancak ilgili mevzuatta belirtildiği veya işlendikleri amaç için gerekli olan süre kadar muhafaza etmektedir. Öncelikle, ilgili mevzuatta kişisel verilerin saklanması için bir süre öngörülüp öngörülmediği tespit edilmekte, bir süre belirlenmişse bu süreye uyulmakta, bir süre belirlenmemişse kişisel verileri işlendikleri amaç için gerekli olan süre kadar saklamaktadır.

Kişisel verilerin ve özel nitelikli kişisel verileri saklama şartlarının ortadan kalkması üzerine, ilgili kişinin talebi ile veya süresinin gelmiş olması durumunda periyodik imha süresinde verinin niteliğine göre uygun imha usulü ile imha edilir.

 

 

VERİ KATEGORİSİ

 

 

VERİ SAKLAMA SÜRESİ

1.KİMLİK BİLGİLERİ (HASTA, HASTA YAKINLARI, ÇALIŞAN VE TEDARİKÇİ )  

10 YIL

2.İLETİŞİM 10 YIL
3-LOKASYON 2 AY
4- İŞ KANUNU KAPSAMINDA SAKLANAN ÖZLÜK DOSYASINA İLİŞKİN BİLGİLER 10YIL
5-HUKUKİ İŞLEM 10 YIL
6-MÜŞTERİ İŞLEM 10 YIL
7-FİZİKSEL MEKAN GÜVENLİĞİ 2 AY
8-İŞLEM GÜVENLİĞİ 2 YIL
9-RİSK YÖNETİMİ  

2 YIL

10- MUHASEBE VE FİNANSAL İŞLEMLERE İLİŞKİN HER TÜRLÜ KAYITLAR  

10 YIL

11-MESLEKİ DENEYİM 10 YIL
12-PAZARLAMA 2 YIL
13-GÖRSEL VE İŞİTSEL KAYITLAR 2 YIL
14-SAĞLIK BİLGİLERİ 10 YIL
15-CEZA MAHKUMİYETİ VE GÜVENLİK TEDBİRLERİ 10 YIL
16-BİYOMETRİK VERİ 10 YIL
17-FATURA/GİDER PUSULASI / MAKBUZ GİBİ VERGİ USUL KANUNU UYARINCA TUTULMASI GEREKEN BELGELERLE İŞLENEN KİŞİSEL VERİLER

 

 

 

5 YIL

18-MÜŞTERİ BİLGİLERİNDEN, TTK 82 MADDESİ UYARINCA TİCARİ DEFTER VE KAYITLARA DAYANAK TEŞKİL EDEN FATURALARIN DÜZENLENMESİNE İLİŞKİN KİŞİSEL VERİLER

 

 

 

 

10 YIL

19-SÖZLEŞMELER 10 YIL
20-ÖLMÜŞ BİR KİŞİNİN KİŞİSEL

VERİLERİ

 

EN AZ 20 YIL
21-CV/ÖZGEÇMİŞ (İŞ BAŞVURUSU/STAJ BAŞVURUSU/BAŞVURU KABUL EDİLMEDİĞİ TAKDİRDE ADAY BAŞVURULARINA İLİŞKİN VERİLER) 3 AY

 

 

VERİ İMHA SÜRELERİ

Özel Gölcük Diyaliz Merkezi, Kanun, ilgili mevzuat, Kişisel Verilerin İşlenmesi ve Korunması Politikası ve işbu Kişisel Verileri Saklama ve İmha Politikası uyarınca sorumlu olduğu kişisel verileri ve özel nitelikli kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde, kişisel verileri siler, yok eder veya anonim hale getirir.

İlgili kişi, Kanunun 13’ncü maddesi gereğince Özel Gölcük Diyaliz Merkezi’ne başvurarak kendisine ait kişisel verilerin silinmesini veya yok edilmesini talep ettiğinde;

  1. Kişisel verileri işleme şartlarının tamamı ortadan kalkmışsa; Özel Gölcük Diyaliz Merkezi talebe konu kişisel verileri talebi aldığı günden itibaren 30 (otuz) gün içinde gerekçesini açıklayarak uygun imha yöntemi ile siler, yok eder veya anonim hale getirir. Özel Gölcük Diyaliz Merkezi’nin talebi almış sayılması için ilgili kişinin talebini Kişisel Verilerin İşlenmesi ve Korunması Politikasına uygun olarak yapmış olması gerekir. Özel Gölcük Diyaliz Merkezi’nin her halde yapılan işlemle ilgili kişiye bilgi verir.
  2. Kişisel verileri işleme şartlarının tamamı ortadan kalkmamışsa, bu talep Özel Gölcük Diyaliz Merkezi tarafından Kanunun 13’ncü maddesinin üçüncü fıkrası uyarınca gerekçesi açıklanarak reddedilebilir ve ret cevabı ilgili kişiye en geç otuz gün içinde yazılı olarak ya da elektronik ortamda bildirilir.

 

  1. PERİYODİK İMHA

Kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde kişisel veriler silinir, yok edilir veya anonim hale getirilir. Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmeliğinin 11.maddesi gereğince periyodik imhanın gerçekleştirileceği zaman aralığı, veri sorumlusu tarafından kişisel veri saklama ve imha politikasında belirlenir ve bu süre her halde altı ayı geçemez. Özel Gölcük Diyaliz Merkezi tarafından periyodik imha süresi 4 ayda bir, yılda 3 kere olarak belirlemiştir.

[1]Tababet ve Şuabatı Sanatlarının Tarzı İcrasına Dair Kanun, Diyaliz Merkezleri Hakkında Yönetmelik, Sosyal Güvenlik Kurumu Sağlık Uygulama ve Tebliği ve diğer ilgili mevzuat