Aydınlatma Metni

 

KİŞİSEL VERİLERİN VE ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN

KORUNMASI

SAKLANMASI VE İMHA POLİTİKASI

 

İş bu politika, 6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında çıkarılan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik ve Kişisel Verileri Koruma Kurulu tarafından; “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler" başlıklı 31/01/2018 Tarihli ve 2018/10 Sayılı Kararı gereğince; kişisel verilerin ve özel nitelikli kişisel verilerin korunması, saklanması ve imhası ile diğer yükümlülüklerin yerine getirilmesi için uygulanacak kuralları belirlemektedir.

 

1. AMAÇ

İş bu politika, Hasanpaşa Mahallesi Fahrettin Kerim Gökay Cadde No: 5/3 Kadıköy/İstanbul adresinde bulunan Veri Sorumlusu; Delta İşitme Cihazları Satış ve Uygulama Merkezi Sanayi ve Ticaret Limited Şirketi (Delta İşitme veya İşitme Merkezi) tarafından; kişisel verilerin saklanması, saklama süreleri, silinmesi, yok edilmesi ile diğer yükümlülüklerin belirlenmesi ve ilgililerin bilgilendirilmesi amacıyla hazırlanmıştır.

 

2. KAPSAM

İş bu politika, çalışanlarımızı, hastalarımızı, çözüm ortaklarımızı, tedarikçileri, hasta, hasta yakını ve veli, vasi ve temsilcilerini ve Merkezimiz ile ilişki içinde bulunan ve kişisel verileri işlenen diğer tüm gerçek kişileri kapsamaktadır.

 

3. TANIMLAR

 

Kişisel veri                        : Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi,

 

Özel nitelikli kişisel veri    : Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik veriyi,

 

İlgili kişi                             : Kişisel verisi işlenen gerçek kişiyi,

 

Kayıt Ortamı                    : Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt

sisteminin parçası olmak kaydıyla otomatik olmayan yollarla islenen

kişisel verilerin bulunduğu her türlü ortamı,

 

Kişisel Veri Envanteri      : Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanteri,

 

İmha                                  : Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesini,

 

Anonim Hale Getirme       : Kişisel Verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini,

 

Verilerin Silinmesi             : Kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemini,

 

Verilerin Yok Edilmesi     : Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.

 

Maskeleme                        : Kişisel verilerin belli alanlarının, kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek şekilde silinmesi, üstlerinin çizilmesi, boyanması ve yıldızlanması gibi işlemleri,

 

 

Periyodik İmha                 : Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemini,

 

4. SORUMLULUK VE GÖREV DAĞILIMLARI

 

Merkezimizin tüm çalışanları, Politika kapsamında kişisel veri işlenen tüm ortamlarda veri güvenliğini sağlamaya yönelik teknik ve idari tedbirlerin alınması konularından sorumludur.

 

5. KAYIT ORTAMLARI

İlgili kişilere ait kişisel veriler, Kurum tarafından aşağıda belirtilen ortamlarda KVKK hükümleri, ilgili mevzuatlar dikkate alınarak güvenli bir şekilde saklanmaktadır.

Elektronik Ortamlar             :

• Sunucular (Yedekleme Sistemi, E-posta Sistemi, Veri Tabanı, Web Uygulaması, Dosya Paylaşım)
• Yazılımlar (Medula, Muhasebe yazılımları vs.)
• Bilgi Güvenliği Sistemleri (Antivirüs, Günlük kayıt dosyası)
• Kişisel Bilgisayar ve Cihazlar (Masaüstü ve dizüstü bilgisayarlar, telefon ve tablet vs.)
• Bellekler (CD, DVD, USB Bellek, Harici Disk)
• Diğer (Yazıcı, Tarayıcı, Fotokopi Makinesi vb.)

Fiziksel Ortamlar                              :

• Birim Dolapları
• Manuel veri kayıt sistemleri
• Yazılı, basılı, görsel ortamlar
• Arşiv

 

6. KİŞİSEL VERİLER VE ÖZEL NİTELİKLİ KİŞİSEL VERİLERE İLİŞKİN HUKUKİ YÜKÜMLÜLÜKLER

 

1. Aydınlatma Yükümlülüğü ve Açık Rıza

 

KVKK m.10 kapsamında, veri sorumlusu olan kurumumuz ve yetkilendirilen kişiler; kişisel verilerin elde edilmesi sırasında;

 

• Veri sorumlusunun ve varsa temsilcisinin kimliği,
• Kişisel verilerin hangi amaçla işleneceği,
• İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
• Kişisel veri toplamanın yöntemi ve hukuki sebebi,
• İlgili kişinin KVKK m.11’de sayılan hakları, konusunda bilgi vermekle yükümlüdür.

 

Bununla birlikte bir kısım özel nitelikli kişisel verilerin işlenmesine başlanmadan önce veri sahibi ilgili kişiden açık rıza alınması gerekmektedir. Açık rıza alınırken aşağıda yer alan şartlara dikkat edilir;

 

• Açık rızanın belirli bir konuya ilişkin ve konuyla sınırlı olması,
• Açık rızanın konusu, sonuçları ve geri çekilebileceği hakkında bilgilendirme olması,
• Özgür iradeyle açıklanması ve hizmet şartı olmaması,

 

2. Kişisel Verilere ve Özel Nitelikli Kişisel Veri Güvenliğine İlişkin Yükümlülükler

 

Çalışanlara ilişkin olarak;

 

• Özel nitelikli kişisel verilerin işlenmesi süreçlerinde yer alan yönetici ve çalışanlara, kişisel verilerin korunması mevzuatı ve veri güvenliğine ilişkin düzenli eğitimler verilmektedir.
• Özel nitelikli kişisel verilere erişimi olan çalışanlara gizlilik sözleşmeleri yapılmaktadır.
• Görev değişikliği veya işten ayrılma hallerinde çalışanları yetkileri derhâl kaldırılmakta, parola ve şifreler güncellenmektedir.

 

Fiziksel ve Elektronik ortamda işlenen veya saklanan veriler;

 

• Bulundukları ortam niteliğine göre yangın, su baskını, hırsızlık vb. durumlara karşı korunmalıdır.
• Bulundukları ortama yetkisiz giriş çıkışlar engellenmektedir.
• Yazılım aracılığıyla erişilen verilerde kullanıcı yetkilendirmeleri yapılmaktadır.

 

3. Bilgilendirme Yükümlülüğü

 

KVKK m.11 kapsamında; veri sorumlusu olarak, ilgili kişinin kanunun uygulanması ile ilgili taleplerini, talebin niteliğine göre en geç 30 gün içinde mevzuat hükümleri saklı kalmak üzere ücretsiz olarak sonuçlandırmakla yükümlüdür. Başvuruya ilişkin olarak;

 

Yasal sürenin başlayabilmesi için ilgili kişiler tarafından yapılan talepler, Kurumun web sitesinde bulunan Kişisel Veri Sahibi Başvuru Formu aracılığıyla veya Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğe uygun şekilde veri sahibinin kimliğini teyit ve tevsik edici belgelerde eklenmek suretiyle veri sorumlusuna iletilmelidir.

 

KVKK m.11 kapsamındaki taleplerinizi; kurum adresimize bizzat teslim edebilir, noter kanalıyla gönderebilirsiniz. Detaylı bilgi için web sitemizde bulunan Kişisel Veri Sahibi Başvuru ve Bilgi Formunu inceleyiniz.

 

7. SAKLAMA VE İMHAYA İLİŞKİN AÇIKLAMALAR

 

KVKK m.4/d kapsamında kişisel verilerin ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmesi gerektiği hüküm altına alınmıştır. Bu kapsamda, Merkezimizin faaliyetleri çerçevesinde işlenen kişisel veriler, ilgili mevzuatta öngörülen veya işleme amaçlarımıza uygun süre kadar saklanmaktadır.

 

1. Kişisel Verilerin Saklanmasını Gerektiren Hukuki Sebepler;

Delta İşitme Merkezi tarafından, faaliyetleri çerçevesinde işlenen kişisel veriler, ilgili mevzuatta öngörülen süre kadar muhafaza edilir. Bu kapsamda kişisel veriler;

• 6698 sayılı Kişisel Verilerin Korunması Kanunu,
• 6098 sayılı Türk Borçlar Kanunu,
• 3359 sayılı Sağlık Hizmetleri Temel Kanunu,
• 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu,
• Ayakta Teşhis ve Tedavi Yapılan Özel Sağlık Kuruluşları Hakkında Yönetmelik
• Kişisel Sağlık Verileri Hakkında Yönetmelik
• 5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun,
• 6331 sayılı İş Sağlığı ve Güvenliği Kanunu,
• 193 sayılı Gelir Vergisi Kanunu
• 4857 ve 1475 sayılı İş Kanunu ile sair ilgili mevzuat ve bu kanunlar uyarınca yürürlükte olan diğer ikincil düzenlemeler çerçevesinde öngörülen saklama süreleri kadar saklanmaktadır.

 

1. Kişisel Verilerin Saklanması Amaçları;

 

Delta İşitme Merkezi, faaliyetlerin yürütülmesi esnasında kişisel verileri kanundan doğan hak ve yükümlülüklerin yerine getirilmesi ile sözleşmenin ifası için gerekli olması sebebiyle işlemekte ve saklamaktadır.

 

1. Kişisel Verilerin İmhasını Gerektiren Sebepler;

• Kişisel verilerin işlenmesine dayanak ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası,
• Kişisel verilerin işlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,
• Sadece açık rızaya istinaden işlenen kişisel verilerde ilgili kişinin açık rızasını geri alması,
• KVKK m.11 gereği ilgili kişinin hakları çerçevesinde kişisel verilerinin silinmesi ve yok edilmesine ilişkin yaptığı başvurunun veri sorumlusu tarafından kabul edilmesi,
• Veri sorumlusunun m.11 kapsamında Kurula yaptığı şikâyetin Kurul tarafından kabulü,
• Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olması ve kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması, durumlarında veri sorumlusu tarafından ilgili kişinin talebi üzerine veya resen silinir, yok edilir ya da anonim hale getirilir.

8. TEKNİK VE İDARİ TEDBİRLER

 

Delta İşitme Merkezi, kişisel verilerin güvenli bir şekilde saklanması, hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi ile kişisel verilerin hukuka uygun olarak imha edilmesi için KVKK’nın 12. maddesindeki ilkeler çerçevesinde gereken teknik ve idari tedbirler alınır.

1.  Alınan İdari Tedbirler;

 

• Veri güvenliğine ilişkin çalışanların iş sözleşmelerine gizlilik maddeleri eklenmiştir.
• Kişisel veri işlemeye başlamadan önce ilgili kişileri aydınlatma yükümlülüğü yerine getirilmektedir.
• Kişisel veri işleme envanteri hazırlanmıştır.
• Periyodik denetimler yapılır. Denetimler sonucunda ortaya çıkan gizlilik ve güvenlik zafiyetleri giderilir.
• Çalışanlara kişisel verilerin korunması konusunda eğitim verilmektedir.
• Saklanan kişisel verilere iş tanımı gereği erişmesi gerekli personel erişebilir.

 

1. Alınan Teknik Tedbirler:

 

• Merkezimiz bilişim sistemleri teçhizatı, yazılım ve verilerin fiziksel güvenliği için gerekli önlemler alınmaktadır.
• Bilişim sistemleri güvenliğinin sağlanması için, donanımsal ve yazılımsal (güncel anti-virüs programı, zararlı yazılımları engelleyen sistemler vb.) önlemler alınmaktadır.
• Kişisel verilerin işlendiği elektronik ortamlarda güçlü parolalar kullanılmaktadır.

• Kişisel verilerin güvenli olarak saklanmasını sağlayan veri yedekleme programları kullanılmaktadır.

 

9. KİŞİSEL VERİLERİN SAKLANMA SÜRESİ VE İMHASI

 

Kişisel veriler; ilgili mevzuatta öngörülen süre ya da işlendikleri amaç için gerekli olan saklama süresinin sonunda, Kurum tarafından re’sen veya ilgili kişinin başvurusu üzerine yine ilgili mevzuat hükümlerine uygun olarak iş bu politikada belirtilen tekniklerle imha edilir.

1. Kişisel Verilerin Saklanma ve İmha Süresi

Saklama ve imha sürelerinin tespitinde aşağıda sırasıyla belirtilen ölçütlerden yararlanılmaktadır:

• Mevzuatta söz konusu kişisel verinin saklanmasına ilişkin olarak bir süre öngörülmüş̧ ise bu süreye riayet edilir.

• Söz konusu kişisel verinin saklanmasına ilişkin olarak mevzuatta öngörülen sürenin sona ermesi veya ilgili mevzuatta söz konusu verinin saklanmasına ilişkin olarak herhangi bir süre öngörülmemiş̧ olması halinde KVKK’daki şart ve amaçlara uygun olarak belirlenen süre boyunca saklanır. Bu süre sonunda yetkili personel tarafından imha edilir.
• Merkezimiz, periyodik imha süresini 6 ay olarak belirlemiştir.
• İlgili kişi tarafından, KVKK m.13 istinaden veri sorumlusuna başvurarak kendisine ait kişisel verilerin silinmesini veya yok edilmesini talep ettiğinde;

1. Kişisel verileri işleme şartlarının tamamı ortadan kalkmışsa; veri sorumlusu talebe konu kişisel verileri siler, yok eder veya anonim hale getirir. Veri sorumlusu, ilgili kişinin talebini en geç otuz gün içinde sonuçlandırır ve ilgili kişiye bilgi verir. Talebe konu olan kişisel veriler üçüncü kişilere aktarılmışsa bu durumu 3. kişiye bildirir ve gerekli işlemlerin yapılmasını temin eder.
2. Kişisel verileri işleme şartlarının tamamı ortadan kalkmamışsa, bu talep veri sorumlusunca gerekçesi açıklanarak reddedilebilir ve ret cevabı ilgili kişiye en geç otuz gün içinde yazılı olarak ya da elektronik ortamda bildirilir.

 

Veri kategorileri bazında saklama süreleri VERBİS kaydımızda, Süreç ve kategori bazlı detaylı saklama süreleri Kişisel Veri İşleme Envanterimizde yer almaktadır. Aşağıda; süreç bazında saklama sürelerine yer verilmiştir;

 

SÜREÇ	SAKLAMA SÜRESİ	İMHA SÜRESİ
Özlük/ İnsan Kaynakları Süreçlerinin Yürütülmesi	Hukuki İlişki Süresince + 10 Yıl	İlk periyodik imhada
Çalışanlara Ait Sağlık Bilgileri	Hukuki İlişki Süresince + 15 Yıl	İlk periyodik imhada
Muhasebe/Finans İşlemleri	10 Yıl	İlk periyodik imhada
Hasta İşlemleri ve Hasta Dosyalarının Saklanması	5 Yıl	İlk periyodik imhada
Sözleşme/Hukuki İşlem Kayıtları	Hukuki İlişki Süresince + 10 Yıl	İlk periyodik imhada
İletişim Faaliyetlerinin Yürütülmesi	Hukuki İlişki Süresince + 10 Yıl	İlk periyodik imhada
Fiziksel Mekân Güvenliğinin Sağlanması	2 hafta	Otomatik Olarak Silinmektedir.

 

1. Kişisel Verilerin Silinmesi ve Yok Edilmesi

 

 

VERİ KAYIT ORTAMI	AÇIKLAMA
Fiziksel Ortam	Kâğıt ortamında yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler için, kâğıt öğütücü cihazlarda geri döndürülemeyecek şekilde yok edilir.
Elektronik Ortam	Optik medya ve manyetik medyada yer alan kişisel verilerden saklanmasını gerektiren süre sona erenlerin eritilmesi, yakılması veya kırılması gibi fiziksel olarak yok edilmesi işlemi uygulanır.
Yazılım ve Sunucu Ortamı	Yazılım ve sunucu ortamında tutulan kişisel veriler; otomatik olarak veya komutla bir daha kurtarılamayacak şekilde dijital komutla geri dönülemez biçimde silinir.

 

 

1.  Kişisel Verilerin Anonim Hale Getirilmesi

 

Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi işlemidir.

Kişisel verilerin anonim hale getirilmiş olması için; kişisel verilerin, veri sorumlusu veya üçüncü kişiler tarafından geri döndürülmesi ve/veya verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekir.

 

10. POLİTİKA’NIN SAKLANMASI VE GÜNCELLENMESİ

Delta İşitme Merkezi, Kanunda yapılan değişiklikler nedeniyle, Kurum kararları uyarınca ya da bilişim alanındaki gelişmeler doğrultusunda KVK Politikalarında değişiklik yapma hakkını saklı tutar. İşbu Politikada yapılan değişiklikler derhal metne işlenir ve değişikliklere ilişkin açıklamalar politikanın sonunda açıklanır.