Size Nasıl
Yardımcı Olabiliriz?

Kişisel Verileri Koruma, İşleme, Saklama ve İmha Politikası

1.GİRİŞ

Nasmed Özel Sağlık Hizmetleri Ticaret Limited Şirketi (“Egepol Hastaneler Grubu”) olarak; şirketimizin faaliyet alanı ile sınırlı olmak üzere, hukuki ilişki içerisinde olduğumuz; hastalarımız, hasta refakatçileri, hasta yakınları, ziyaretçiler, hastane yöneticileri ve çalışanlarımız, çalışan adayları, stajyerler, tedarikçiler, hizmet sağlayıcıları ile yönetici ve çalışanları, iş/çözüm ortakları, şirket ortakları, irtibatlı olduğumuz kamu kurum ve kuruluşları ile özel hukuk tüzel kişilerinin çalışanları ve ilgili üçüncü kişileri kapsayacak şekilde tüm şahıslara ait her türlü kişisel verilerin, 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”)’na uygun olarak işlenmesine, korunmasına büyük önem vermekteyiz. Bu amaçla, şirketimiz yasal düzenleme ve alınan kararlar uyarınca, gerekli her türlü idari ve teknik tedbirleri almaktadır. Sağlık Hizmetleri Temel Kanunu, Kişisel Sağlık Verileri Hakkında Yönetmelik, Özel Hastaneler Yönetmeliği, Hasta Hakları Yönetmeliği ve ilgili mevzuat uyarınca Kişisel Verilerin Korunması Kanunu (“kanun”) ile Kişisel Verilerin Silinmesi, Yok Edilmesi Veya Anonim Hale Getirilmesi Hakkında Yönetmelik kapsamında, İşbu Kişisel Verileri Koruma, İşleme, Saklama ve İmha Politikası ve ekleri; veri sorumlusu sıfatıyla “Egepol Hastaneler Grubu” tarafından hazırlanmıştır.

2.AMAÇ

Şirketimiz tarafından hazırlanmış olan bu politika metni ile Kişisel Verileri Koruma Kanununa uyum sürecinin tamamlanması bakımından aşağıda yazılı temel ilkeler doğrultusunda; yukarıda belirtilen ilgili kişilere ait kişisel verilerin; Kişisel Verileri Koruma Kurumu’nun yayınladığı kararlar, belirlediği ilkeler ile T.C. Anayasası, Uluslararası Sözleşmeler, 6698 sayılı Kişisel Verilerin Korunması Kanunu, Sağlık Hizmetleri Temel Kanunu, Kişisel Sağlık Verileri Hakkında Yönetmelik, Özel Hastaneler Yönetmeliği, Hasta Hakları Yönetmeliği ve ilgili mevzuata uygun olarak işlenmesi ve ilgili kişilerin haklarını etkin bir şekilde kullanması amaçlanmıştır. Kişisel verilerin saklanması ve imhasına ilişkin iş ve işlemler, işbu politikaya uygun olarak gerçekleştirilmektedir.

3.KAPSAM

Hastalarımız, hasta refakatçileri, hasta yakınları, ziyaretçiler, hastane yöneticileri ve çalışanlarımız, çalışan adayları, stajyerler, tedarikçiler, hizmet sağlayıcıları ile yönetici ve çalışanları, iş/çözüm ortakları, şirket ortakları, irtibatlı olduğumuz kamu kurum ve kuruluşları ile özel hukuk tüzel kişilerinin çalışanları ve ilgili üçüncü kişilere ait kişisel veriler; hazırlanmış olan bu politika kapsamında olup, şirketimiz nezdinde tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla, otomatik olmayan yollarla işlenen, kişisel verilerin bulunduğu her türlü kişisel verilerin işlenmesine yönelik şirket faaliyetlerde işbu politika uygulanmaktadır.

4.KISALTMA VE TANIMLAR

Açık Rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.

Açık sağlık verisi: Açık veri haline getirilen sağlık verisini,

Alıcı Grubu: Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisi

Anonim Hale Getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi

Biometrik Veriler: Parmak izi , avuç, damar izi, retina, yüz tanıma bilgisi gibi özel nitelikli kişisel veriler

Çalışan: Şirketimiz çalışanlarını kapsamaktadır

Çalışan Adayı: İnternet sayfasını kullanarak veya işyerine bizzat gelerek iş başvuru formunu doldurup, iş başvurusu yapanlar

Elektronik Ortam: Kişisel verilerin elektronik aygıtlar ile oluşturulabildiği, okunabildiği, değiştirilebildiği ve yazılabildiği ortamlar

Elektronik Olmayan Ortam: Elektronik ortamların dışında kalan tüm yazılı, basılı, görsel vb. diğer ortamlar

Hasta: Sağlık hizmetlerinden faydalanma ihtiyacı bulunan kimse

Hizmet Sağlayıcısı: Şirket ile belirli bir sözleşme çerçevesinde hizmet sağlayan gerçek veya tüzel kişi

İlgili Kullanıcı: Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişilerdir.

İlgili Kişi/Kişisel Veri Sahibi: Kişisel verisi işlenen gerçek kişiyi ifade etmektedir.

İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi.

Kişisel Veri İşleme Envanteri: Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini, kişisel verileri işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter

Kayıt Ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam.

Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.

Kişisel sağlık verisi: Kimliği belirli ya da belirlenebilir gerçek kişinin fiziksel ve ruhsal sağlığına ilişkin her türlü bilgi ile kişiye sunulan sağlık hizmetiyle ilgili bilgileri,

Kişisel Verilerin İşlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.

Kişisel Verilerin Anonim Hale Getirilmesi: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesi.

Kişisel Verilerin Silinmesi: Kişisel verilerin silinmesi; kişisel verilerin İlgili Kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi.

Kişisel Verilerin Yok Edilmesi: Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemi.

Kişisel Veri İrtibat Kişisi: Türkiye’de yerleşik olan gerçek ve tüzel kişiler için veri sorumlusu tarafından, Türkiye’de yerleşik olmayan gerçek ve tüzel kişiler için de veri sorumlusu temsilcisi tarafından, Kanun ve bu Kanuna dayalı olarak çıkarılacak ikincil düzenlemeler kapsamındaki yükümlülükleriyle ilgili olarak, Kurum ile iletişimi sağlamak amacıyla Sicile kayıt esnasında bildirilen gerçek kişiyi

Kanun: 6698 sayılı Kişisel Verilerin Korunması Kanunu

Kurul: Kişisel Verileri Koruma Kurulu

Kurum: Kişisel Verileri Koruma Kurumu

Merkezi sağlık veri sistemi: Sağlık Bakanlığı tarafından oluşturulan kişisel sağlık verilerinin toplandığı veri sistemini,

Özel Nitelikli Kişisel Veri: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri

Periyodik İmha: Kanun’da yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi.

Politika: Kişisel Veri İşleme, Saklama ve İmha Genel Politikasını

Sağlık hizmeti sunucusu: Sağlık hizmetini sunan veya üreten gerçek kişiler ile kamu hukuku ve özel hukuk tüzel kişilerini,

Şirket: Nasmed Özel Sağlık Hizmetleri Ticaret Limited Şirketi

Veri İşleyen: Veri sorumlusunun verdiği yetkiye dayanarak veri sorumlusu adına kişisel verileri işleyen gerçek veya tüzel kişi

Veri Kayıt Sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi.

Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasında ve yönetilmesinden sorumlu gerçek veya tüzel kişi

Veri Sorumluları Sicil Bilgi Sistemi: Veri sorumlularının Sicile başvuruda ve Sicile ilişkin ilgili diğer işlemlerde kullanacakları, internet üzerinden erişilebilen, Başkanlık tarafından oluşturulan ve yönetilen bilişim sistemi.

VERBİS: Veri Sorumluları Sicil Bilgi Sistemi

Yönetmelik: 28 Ekim 2017 tarihli Resmi Gazetede yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik

5.SORUMLULUK VE GÖREV DAĞILIMI

6698 sayılı KVK Kanunu ve ilgili mevzuat uyarınca, kişisel verilerin korunması mevzuatına uygunluğun sağlanması, muhafazası ve sürdürülmesi kapsamında, şirket bünyesinde gerekli koordinasyonu sağlamak amacıyla şirket Veri İrtibat Kişisi ve Kişisel Verileri Koruma Komitesi belirlenmiş, görev ve sorumlulukları tanımlanarak gerekli kararlar alınarak, ilgililere tebliğ edilmiştir. İşbu politika kapsamında alınan teknik ve idari tedbirlerin gerektiği şekilde uygulanması, ilgili birim çalışanlarının eğitimi ve farkındalığının arttırılması, denetimi ile kişisel verilerin hukuka aykırı olarak işlenmesinin, erişilmesinin önlenmesi ve kişisel verilerin hukuka uygun saklanmasının sağlanması amacıyla, kişisel veri işlenen tüm ortamlarda veri güvenliğini sağlamaya yönelik teknik ve idari tedbirler Veri İrtibat Kişisi ve Kişisel Verileri Koruma Komitesi ve sorumlu birimlerce yerine getirilmektedir.

6.KİŞİSEL VERİLERİN KAYDEDİLDİĞİ ORTAMLAR

Şirketimizce tutulan kişisel veriler, kişisel bilgisayarlar, telefon, tablet gibi mobil cihazlar, mobil uygulamalar, sunucular-server, donanım, yazılım programları, optik diskler, çıkarılabilir bellekler, internet sitesinde kullanılan çerezler, sosyal medya hesapları, HBYS ( Hastane Bilgi Yönetim Sistemi) sistemi gibi elektronik ortamlarda, çağrı merkezleri aracılığı ile tutulan kayıtlar ve kağıt olarak tutulan kişisel veriler, randevu oluşturma, sunulan hizmet bilgilerinin yer aldığı formlar, özlük dosyaları, iş başvuru formları, şirket ile üçüncü kişiler arasında yapılan sözleşmeler, manuel veri kayıt sistemleri (anket formları, ziyaretçi formları, yazılı, basılı, görsel ortamlarda tutulan kişisel veriler, birim dolapları, arşiv odaları gibi elektronik olmayan fiziksel ortamlarda kaydedilmektedir.

Kişisel verileriniz, 6698 sayılı Kişisel Verileri Koruma Kanunu ve ilgili sağlık mevzuatına, uluslararası veri güvenliği prensiplerine uygun olarak güvenli bir şekilde saklanmaktadır. Kişisel verileriniz, tamamen veya kısmen, otomatik olarak veyahut herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilerek, kaydedilerek, depolanarak, değiştirilerek, yeniden düzenlenerek, kişisel verileriniz üzerinde gerçekleştirilen her türlü işleme konu olarak, şirketimiz tarafından işlenmektedir.

7.KİŞİSEL VERİLERİN İŞLENMESİ VE GENEL İLKELER

7.1.Gizlilik İlkesi

İşbu politikada açıklandığı üzere, şirketimiz ile irtibatlı kişisel veri sahibi olan ilgili tüm kişilerin verileri gizlidir. Bu politika ve alınan tedbirler kapsamda, kanunda belirtilen haller dışında, hiç kimse başkaca hiçbir amaç için kişilerin verilerini başka amaçla kullanamaz, çoğaltamaz, kopyalayamaz, başkalarına aktaramaz ve politikalarla belirlenen amaçlar dışında kullanılamaz. Kişisel verileriniz; Sağlık Hizmetleri Temel Kanunu, Kişisel Sağlık Verileri Hakkında Yönetmelik, Özel Hastaneler Yönetmeliği, Hasta Hakları Yönetmeliği Kişisel Verilerin Korunması Kanunu ile Kişisel Verilerin Silinmesi, Yok Edilmesi Veya Anonim Hale Getirilmesi Hakkında Yönetmelik ve ilgili mevzuat uyarınca gizlilik ilkesine uygun uygun olarak işlenmektedir.

7.2.Temel İlkeler

Şirketimiz tarafından işlenmekte olan Kişisel Veriler, 6698 sayılı KVK Kanunu’nun 4. maddesinde belirtilen ilkelere uygun işlenmektedir. Şirket, Kişisel Verilerin işlenmesi, korunması, silinmesi ve imha süreçlerinde aşağıda yazılı ilkelere göre, kanunda öngörülen usul ve esaslara uygun olarak işlenmektedir:

▪ Hukuka ve dürüstlük kurallarına uygun olması

▪ Doğru ve gerektiğinde güncel olması

▪ Belirli, açık ve meşru amaçlar için işlenmesi

▪ İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması

▪ Mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmesi

8.KİŞİSEL VERİLERİN İŞLENME ŞARTLARI

Şirketimiz tarafından işlenen kişisel veriler, 6698 sayılı Kanunun 5. maddesine ve Kişisel Sağlık Verileri Hakkında Yönetmeliğin 5. Maddesinde belirtilen “Genel İlke ve Esaslara” uygun olarak işlenmektedir. Kural olarak kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez. Ancak, aşağıda belirtmiş olduğumuz ilkelerden birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür.

▪ Kanunlarda açıkça öngörülmesi. Kanunilik ilkesi

▪ Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması. Fiili imkansızlık.

▪ Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması. Sözleşmenin ifası.

▪ Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması. Hukuki yükümlülük. ▪ İlgili kişinin kendisi tarafından alenileştirilmiş olması. Aleniyet.

▪ Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması. Zorunluluk.

▪ İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması. Meşru menfaat.

9.ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİ ŞARTLARI

Şirketimiz tarafından işlenen Özel Nitelikli Kişisel Veriler, 6698 sayılı Kanunun 6. maddesine uygun olarak işlenmektedir. Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir. Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesinin yasak olduğu kanun maddesi ile düzenlenmiştir. Buna göre, ilgili kişinin açık rızası olmaksızın Özel Nitelikli Kişisel Veriler işlenemez. Ancak, kanun maddesinde yazılı olduğu üzere; Kanunun 6/1. fıkrasında sayılan sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir.

Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak;

▪ Kamu sağlığının korunması,

▪ Koruyucu hekimlik,

▪ Tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi,

▪ Sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla,

▪ Sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından

İlgilinin açık rızası aranmaksızın işlenebilir. Şirketimiz Özel nitelikli kişisel verilerin işlenmesinde, 6698 sayılı Kişisel Verilerin Korunması Kanunu, Sağlık Hizmetleri Temel Kanunu, Kişisel Sağlık Verileri Hakkında Yönetmelik, Özel Hastaneler Yönetmeliği, Hasta Hakları Yönetmeliği ve ilgili yasal mevzuata uygun olarak ve ayrıca Kişisel Verileri Koruma Kurulu tarafından belirlenen yeterli önlemler alınarak işlenmektedir.

10.KİŞİSEL VERİLERİN TOPLANMASI VE HUKUKİ SEBEPLERİ:

Kişisel verileriniz; sunduğumuz hizmetler, yukarıda belirtilen kişisel veri işleme amaçları doğrultusunda; elektronik ortamlarda sunulan yazılım, donanım programlarını kullanmanız, çağrı merkezi, mobil uygulamalarımız, sosyal medya hesaplarımız, elektronik posta kanallarıyla, internet sitesinde yer alan formların doldurulması, üyelik oluşturma, online hizmetlerinin kullanılması, hasta başvuruların alınması, kayıt işlemlerinin yapılması, matbu formların düzenlenmesi, sağlık hizmetleri kapsamında tıbbî teşhis, tedavi ve sağlık hizmetlerinin gerçekleştirilmesi, özlük dosyalarının oluşturulması, sözleşmelerin düzenlenmesi, ifası, muhasebe, finans, mali, hukuki işlem bilgilerinin işlenmesi suretiyle, tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla kişisel verileriniz işlenmekte ve toplanmaktadır. Kişisel verileriniz ve özel nitelikli kişisel verileriniz; şirketimizin tabi olduğu yasal düzenlemelere uygun olarak, ilgili kişinin açık rızasına dayalı olarak işlenmektedir. Ayrıca, açık rıza aranmaksızın aşağıda yazılı hukuki sebeplere bağlı olarak kişisel verileriniz işlenmektedir. Buna göre; kişisel verileriniz,

▪ Kanunlarda açıkça öngörülmesi sebebiyle,

▪ Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.

▪ Şirketimiz ile gerçek ve tüzel kişiler arasındaki sözleşmelerin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,

▪ Kişisel verinin, ilgili kişinin kendisi tarafından alenileştirilmiş olması,

▪ Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,

▪ İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması sebepleriyle,

Kişisel Verilerin Korunması Kanununun 5. ve 6. maddelerine, Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğin 5/1-h. maddesine uygun olarak belirtilen amaçlara sınırlı olarak işlenmekte, toplanmakta ve aktarılmaktadır. Kişisel verileriniz şirket faaliyetleri kapsamında ilgili mevzuatlarda yazılı süre kadar muhafaza edilerek saklanmaktadır.

10.1.Kişisel Verilerin İşlenmesi

Kimlik Bilgileriniz (T.C. kimlik / yabancı kimlik numarası, adınız ve soyadınız, doğum yeri ve tarihi, anne ve baba adınız, medeni haliniz, cinsiyetiniz, pasaport, yabancı kimlik belgesi, sürücü belgesi üzerinde yer alan kimlik bilgileri, nüfus kimlik belgeniz veya kimlik paylaşım sistemi üzerinde yer alan diğer nüfus kimlik bilgileri, hastalar bakımından hasta numarası, hasta protokol numarası)

▪ İletişim bilgileriniz (Telefon numaralarınız, iletişim adresi, elektronik posta adresiniz )

▪ Lokasyon bilgileriniz (İkamet, iş adresiniz, bulunduğunuz yerin konum bilgileri)

▪ Özlük Bilgileri (Çalışanlar, stajyerler bakımından doldurulan sözleşmeler üzerindeki kişisel bilgiler, eğitim, diploma bilgileri, sertifika bilgisi, sosyal güvenlik sicil numarası bilgisi, genel sağlık sigortası, özel sağlık sigorta bilgileri, SGK işe giriş, çıkış bildirgesi, aile durum bildirgesi üzerinde yazılı kimlik bilgileri, bakmakla yükümlü olduğu kişiler, eş, çocuk yakınlık bilgisi, aile bireylerinin nüfus kayıt bilgileri, işin niteliğine göre alınan zimmet belgesi, çalışma belgesi, istifa, fesih, kıdem ve ihbar tazminatı bordrosu, maaş bordro bilgileri, disiplin soruşturması bilgileri, hizmet dökümü, özgeçmiş bilgileri, izin bilgileri, personel performans değerlendirme raporları, meslek ve iş kazası bilgileri, referans bilgileri, banka hesap bilgileri, IBAN numarası bilgisi, anket bilgileri, iş sağlığı ve güvenliği kapsamında alınan kişisel bilgiler, askerlik bilgisi, personel devam kontrol sistemi, ilgili birimlere giriş çıkış işlemlerinin sağlanması amacıyla personel kartları vasıtasıyla alınan kişisel bilgiler, iş başvuru formunda yer alan bilgiler,)

▪ Finans Bilgileri (Faturalandırma ve ödeme bilgileri, banka hesap numarası, IBAN numarası, kredi kartı bilgileri, finansal ödeme kapsamında özel sigorta bilgileri, poliçe bilgileri, Genel Sağlık Sigortası bilgileri, SGK ve Sağlık Bakanlığına yapılacak bildirimler kapsamında alınan finansal bilgiler, maaş bordrosu, masraf avans bilgileri, vergi kimlik numarası, vergi dairesi bilgisi, fatura, sevk irsaliyeleri, imza sirküleri, teslim tesellüm belgeleri üzerinde yer alan kişisel bilgiler, üçüncü kişiler ile yapılan sözleşme eklerinde yer alan bilgiler)

▪ Hukuki İşlem Bilgileri (İlgili kişiler ile olan hukuki irtibat ve sunulan hizmetler, hukuki uyuşmazlıklar kapsamında mahkemeler, savcılıklar, arabulucular, hakem heyetleri, adli makamlarla yapılan yazışmalardaki kişisel bilgiler, dava ve icra dosyalarındaki bilgiler, hastalar, refakatçiler bakımından kimlik doğrulama amacıyla emniyet müdürlüklerine yapılması gereken kanuni bildirimlerde sisteme işlenen kimlik, iletişim, lokasyon bilgileri, hasta, hasta yakınları, ziyaretçilerin hastanemizi ziyaretleri sırasında oluşan haksız fiil, hukuki uyuşmazlık ve sair durumlarda tutulan tutanaklarda, formlarda yer alan kişisel bilgiler, sağlık çalışanları bakımından Sağlık Bakanlığı nezdinde oluşturulmuş olan “Beyaz Kod Uygulaması” kapsamında iletişim, internet sitesi, çağrı merkezi vasıtasıyla alınan, bildirilen kayıt altına alınan, doldurulan formlarda yer alan kişisel bilgiler, ölü muayene, otopsi işlemleri, adli tıp kapsamındaki yazışmalarda, yapılan işlemlerde, düzenlenen belgelerde yer alan bilgiler)

▪ Mesleki deneyim bilgileri (Eğitim durum bilgisi, okul, diploma bilgileri, çalışma hayatı, referans bilgileri, staj, seminer, kullanılan donanım, yazılım, bilgisayar bilgisi, yabancı dil bilgisi, eski iş yeri, kurum bilgisi, gidilen kurslar, meslek içi eğitim bilgileri, sertifikalar, ehliyet bilgileri, bildirilen formlardaki diğer bilgiler, uzmanlık, unvan, görev bilgileri),

▪ Görsel ve İşitsel Kayıtlar (Şirket faaliyetleri kapsamında düzenlenen sağlık raporları, belgeler üzerinde yer alan fotoğraflarınız, randevu oluşturulması, şirketle iletişim sağlanması ve talep şikayet süreçlerinin takibi sırasında çağrı merkezleri ile yapılan görüşmelerdeki ses kayıtlarınınız, iş başvuru formları, elektronik ve fiziki ortamlarda doldurulan, basılı formlar, evrak ve resmi kimlik belgeleriniz üzerinde yer alan fotoğraf bilgisi, kamu sağlığının korunması, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, tanıtım, bilgilendirme amacıyla şirket internet sayfası, sosyal medya hesaplarımız veya yazılı ve görsel medyada, üçüncü taraf sosyal medya mecralarında paylaşılan fotoğraflarınız, videolar/kamera kayıtlarındaki görüntüleriniz)

▪ Fiziksel Mekan Güvenliği Bilgileri (Görüntü ve ses kaydı alan kamera kayıt bilgileriniz, güvenlik çıkış defter bilgileri, tutulan formlardaki bilgiler, araç plaka bilgileri),

▪ Şirket faaliyetleri kapsamında, yapılan iş sözleşmesi ve şirketin meşru menfaatleri uyarınca, tanıtım, reklam ve bilgilendirme amaçlı olarak, şirket internet sitesinde, sosyal medya hesaplarında, mobil uygulamalarında, tanıtım broşürlerinde, çalışanlara ait mesleki deneyim, tanıtım, bilgilendirme, özgeçmiş ve fotoğraf bilgisi,

▪ Kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası alınarak, yazılı, görsel medyada, internet sitesinde, sosyal medya hesaplarımızda paylaşılan fotoğraf ve videolarda yer alan hastalara ait görüntüler, kişisel veriler

▪ Talep ve Şikayet Bilgisi (İlgili kişilerin, elektronik ve fiziki ortamlardan toplanan bilgiler ve kayıtlar, internet ve sosyal medya, online kanallar, çağrı merkezi üzerinden gelen talep ve şikayetleri ile ilgili değerlendirme, yönetim sürecine dair bilgiler)

▪ Ceza Mahkûmiyeti Ve Güvenlik Tedbirlerine dair bilgiler (Sabıka kaydı, hükümlülük, mahkumiyet bilgisi, adli durum bilgileri),

▪ Biyometrik bilgiler (Kimlik doğrulama ve sağlık hizmetinin faturalandırması amacıyla, Sosyal Güvenlik Kurumu tarafından finanse edilen hizmetler kapsamında hastalardan alınan el, avuç, damar izi bilgisi, personelimiz bakımından iş akışının sağlanması ve performans değerlendirme amaçlarıyla, personel devam kontrolü kapsamında parmak izi, yüz tanıma bilgisi)

▪ Sağlık Bilgileri (Hastalar bakımından kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi faaliyetleri kapsamında işlenen; muayene, her türlü laboratuvar, görüntüleme ve test sonuçları, hasta tanı, teşhis, tedavi, reçete, ilaç bilgileri, doktor analiz ve yorumları, hasta öyküsü (anemnezi) bilgileri, check-up bilgileri, muayene bilgisi, teşhis ve reçete bilgileri, sağlık raporları, beslenme, diyet bilgileri ve sağlık hizmetleri kapsamında alınan tüm sağlık bilgileri, iş başvuru formunda yazılı sağlık durum bilgileri, çalışanlar için sağlık raporları, sağlık testleri, kan grubu bilgisi, kişisel sağlık ve fiziksel engellilik durum bilgileri, sağlık kurulu raporları, her türlü kişisel sağlık verileri)

▪ Cinsel Hayat ve Genetik Veriler (Sunulan sağlık hizmetleri kapsamında kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla sınırlı olmak üzere hastalara ait her türlü cinsel hayat ve genetik veriler kapsamındaki kişisel veriler)

olmak üzere veri sorumlusu olan şirketimiz tarafından, Anayasa’nın 20. maddesine ve Kişisel Verileri Koruma Kanununun 4. Maddesi, Kişisel Sağlık Verileri Hakkında Yönetmelik hükümlerine uygun olarak, yukarıda yazılı amaç ve hukuki sebeplere istinaden kişisel verileriniz işlenmekte ve korunmaktadır.

10.2.Kişisel Veri İşleme Envanteri

28 Ekim 2017 tarihli Resmi Gazetede yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmeliğin 5/1. maddesinde belirtildiği şekilde ilgili mevzuatta sayılan hususları, bilgileri içermesi zorunlu olduğu belirtilen “Kişisel Veri İşleme Envanterine” dayalı olarak kişisel veriler işlenmektedir. Şirketimiz tarafından Kişisel Veri İşleme Envanteri ayrıca oluşturulmuş, belirli periyotlarda güncellenmektedir.

11.KİŞİSEL VERİ SAKLAMA VE İMHASINA İLİŞKİN ESASLAR

Şirketimiz tarafından oluşturulan bu politika ile hastalarımız, hasta refakatçileri, hasta yakınları, ziyaretçiler, hastane yöneticileri ve çalışanlarımız, çalışan adayları, stajyerler, tedarikçiler, hizmet sağlayıcıları ile yönetici ve çalışanları, iş/çözüm ortakları, şirket ortakları, irtibatlı olduğumuz kamu kurum ve kuruluşları ile özel hukuk tüzel kişilerinin çalışanları ve ilgili üçüncü kişilere ait kişisel veriler; ilgili mevzuata, usul ve yasaya uygun olarak saklanır ve imha edilir. Saklama ve imhaya ilişkin ayrıntılı açıklamalar aşağıda belirlenmiştir.

11.1.Kişisel Verilerin Saklanması

6698 Sayılı Yasanın 3.maddesinde kişisel verilerin işlenmesi tanımlanmış, 4. madde işlenen kişisel verinin işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli süre kadar muhafaza edilmesi gerektiği düzenlenmiş olup, 6698 sayılı yasanın 5. ve 6. maddelerde kişisel verilerin işleme şartları sayılmıştır. Buna ilişkin ayrıntılı açıklamalar yukarıda işbu politika metninde yazılı olup, şirket faaliyetleri kapsamında kişisel veriler, şirketimizin ana faaliyet konusu olan sağlık mevzuatında ve tabi olduğu ilgili mevzuatlarda öngörülen veya işleme amaçlarımıza uygun olarak gerekli süre kadar idari ve teknik tedbirler alınmak suretiyle saklanmaktadır. İlgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, saklama süresi dolan, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler resen veya ilgili kişinin talebi üzerine mevzuata uygun olarak kişisel veriler silinir, yok edilir veya imha edilir. Yapılan işlemler, Kişisel Sağlık Verileri Hakkında Yönetmelik ile Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik ve ilgili yasal düzenlemelerde belirtilen sürelere, usul ve esaslara uygun olarak yerine getirilmektedir. Kişisel verilerin silinmesi, imha edilmesine dair tüm işlemler kayıt altına alınarak, gerekli yasal yükümlülüklere uygun olarak saklanır.

11.2.Kişisel Verileri Saklamayı Gerektiren Hukuki Sebepler

İşbu politika ile şirketimiz faaliyetleri kapsamında işlenen kişisel veriler, ilgili mevzuatlarda yazılı süre kadar muhafaza edilerek saklanmaktadır. Yukarıda sayılan ve şirket faaliyetleri kapsamında kişilerin tabi oldukları kanunlarda öngörülen süreler ve ikincil düzenlemeler çerçevesinde yazılı saklama süreleri ve kanunlarda öngörülen suçların tabi olduğu zamanaşımı süreleri kadar kişisel veriler saklanmaktadır. Şirketimizin faaliyetleri kapsamında tabi olduğu yasal mevzuatta öngörülen zamanaşımı süreleri ile şirketin hukuki irtibat içerisinde olduğu üçüncü kişiler ile olan veya oluşabilecek uyuşmazlıklar, şirket kurumsal hafızası ve ticari iş ve faaliyetleri dikkate alınarak, kanunlarda öngörülen süreler dışında, şirketin meşru menfaati ve ilgili veri sahipleri ile yapmış olduğu veya yapacağı sözleşmelerin kurulması ve ifa süreçleri dikkate alınarak, kişisel verilerin saklama ve imha süreleri kurumsal karar olarak işbu politika ile belirlenmiştir.

11.3.Kişisel Verileri Saklamayı Gerektiren İşleme Amaçları

Şirket, işlemekte olduğu kişisel verileri aşağıdaki amaçlar doğrultusunda, şirket faaliyetleri ile sınırlı olmak üzere ilgili mevzuata uygun olarak saklamaktadır. Buna göre; kişisel verileri saklamayı gerektiren işleme amaçları aşağıda maddeler halinde belirlenmiştir.

▪ Kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetlerinin finansmanının planlanması ve yönetilmesinin sağlanması,

▪ Tabi olduğumuz ilgili mevzuat uyarınca, sağlık hizmetlerine ilişkin edindiğimiz bilgileri Sağlık Bakanlığı, Sosyal Güvenlik Kurumu ve ilgili diğer kamu kurum ve kuruluşları ile paylaşmak, kurumların taleplerine yanıt vermek, ilgili kamu kurum ve kuruluşlarına gerekli bildirimlerde bulunmak, yasal yükümlülükleri yerine getirmek,

▪ Sunmuş olduğumuz sağlık hizmeti kapsamında mevzuat gereği saklanması gereken verilerin muhafaza edilmesini sağlamak,

▪ Kimliğinizi teyit etmek, sunulan sağlık hizmetleri kapsamında anlaşmalı kurumlarla hukuki irtibatınızın teyit edilmesi, faturalandırma ve finansal mutabakatın sağlanması, doğum, ölüm, adli vaka gibi ilgili kurum ve kuruluşlara mevzuattan kaynaklanan bildirimlerde bulunmak,

▪ Sağlık hizmetlerimiz kapsamında randevu alınması, randevu oluşturulması, gerekli bilgilendirmelerin yapılması, hasta, hasta yakını, ziyaretçi memnuniyetinin sağlanması, talep ve şikayet süreçlerinin takibi, sunulan sağlık hizmetlerinin gereği olan inceleme ve değerlendirmelerin yapılması,

▪ Şirket hizmetlerini geliştirmek, kurumsal gelişim faaliyetlerinin sürdürülmesi, reklam ve pazarlama faaliyetlerinin sürdürülmesi, şirketin finans ve muhasebe, idari, hukuki, teknik iş süreçlerini sürdürmek, risk yönetimi ve kalite geliştirme süreçlerinin yerine getirilmesi,

▪ İnsan kaynakları süreçlerinin planlanması ve icra edilmesi, çalışma başvuru süreçlerinin yerine getirilmesi, çalışanlar bakımından özlük dosyalarının oluşturulması, mali yükümlülüklerin yerine getirilmesi, şirket ücret politikasının belirlenmesi,

▪ Şirketimiz ile hastalar, tedarikçiler, hizmet sağlayıcıları, çalışanlar ve hukuki ilişki içinde bulunduğu danışmanlar, ilgili kurum ve kuruluşlar, üçüncü kişiler arasında yapılan veya yapılacak sözleşmelerin kurulması ve ifasının sağlanması,

▪ Şirketin üçüncü kişilerle olan hukuki uyuşmazlıklarda delil olarak ispat yükümlülüğü,

▪ Şirketimiz ile ilgili kişi ve kuruluşlar arasındaki iletişimi sağlamak, internet sayfamız, online uygulamalarımız, sosyal medya hesaplarımız vasıtasıyla gerekli irtibatın sağlanması, ilgili elektronik, fiziksel formları doldurmanız için gerekli süreçlerin sürdürülmesi, ilgili kişilerin işlem güvenliğinin sağlanması,

▪ Düzenleyici ve denetleyici resmi kurumlara, özel hukuk tüzel kişilerine gerekli bilgilerin sağlanması,

▪ Tıbbi ilaç, malzeme veya cihaz teminini, sunulan hizmetler ile ilgili faturalandırma, ödeme işlemlerinin yapılmasını sağlamak;

▪ Kapalı devre kamera kayıt sistemi vasıtasıyla, hastalarımızın, ziyaretçilerin, çalışanların ve ilgili üçüncü kişilerin güvenliğinin takibi, hukuki, teknik ve ticari iş güvenliğinin sağlanması, üçüncü kişilerin suç teşkil edebilecek davranışlarının önlenmesi, şirket bina ve eklentileri ile çevresinin fiziksel güvenliğinin sağlanması,

▪ Şirket faaliyetleri kapsamında, ilgili çalışanlara tahsis edilen araçların hizmet amacına uygun olarak kullanılıp kullanılmadığının takibi, tespiti ile taşıtların güvenliğinin sağlanabilmesi amacıyla araç takip sistemleri ile konum bilgisinin izlenmesi,

▪ Çalışanlar ile yapılan iş sözleşmesi, şirket menfaati kapsamında, personel devam kontrol sistemi vasıtasıyla performans değerlendirme, işe devam ve kontrolün sağlanması, şirket bina ve eklentilerinin giriş, çıkışlarının kontrolünün sağlanması,

Amaçlarıyla, kişisel verileriniz Kanun’un 5. ve 6. maddelerine uygun olarak belirlenen şartlar ve amaçlar doğrultusunda işlenmektedir. Kişisel veriler, şirketimizin faaliyetleri dışında başka bir amaçla kullanılmamaktadır.

11.4.Kişisel Verilerin İmhasını Gerektiren Sebepler

Kişisel veriler; aşağıda belirtilen sebeplerle ilgili kişinin talebi üzerine, başvuru formunu doldurmak suretiyle, şirket tarafından politika, yasa ve yönetmelikte öngörülen usul ve esaslara uygun olarak silinir, yok edilir veya anonim hale getirilir. Buna göre;

▪ Şirket tarafından kişisel verilerin işlenmesini veya saklanmasını gerektiren amacın ortadan kalkması halinde.

▪ Kişisel verilerin işlenmesine esas olan ilgili mevzuat hükümlerinin değiştirilmesi veya yürürlükten kalkması.

▪ Şirket tarafından kişisel verileri işlemenin sadece açık rıza şartına bağlı olarak yapıldığı hallerde, ilgili kişinin açık rızasını geri alması,

▪ 6698 sayılı KVK Kanununun 11. maddesi uyarınca ilgili kişinin şirkete başvuru hakları kapsamında kişisel verilerinin silinmesi ve yok edilmesine ilişkin yaptığı başvurunun KVK Kurumunca kabul edilmesi,

▪ KVK Kurumunun, ilgili kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabı yetersiz bulması veya 6698 sayılı Kanunda öngörülen süre içinde cevap vermemesi hallerinde; KVK Kuruluna şikâyette bulunması ve bu talebin KVK Kurulunca uygun bulunması halinde,

▪ İlgili yasal düzenleme uyarınca, kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olması ve kişisel verileri saklamayı gerektirecek herhangi bir sebebin bulunmaması.

12.Kişisel Verileri İşleme, Saklama Ve İmhasına İlişkin Teknik Ve İdari Tedbirler

Kişisel verilerin işlenmesinde Kanunun 4.maddesinde yer alan genel ilkeler başta olmak üzere, kanunda yer alan tüm esaslara riayet edilmektedir. Sağlık hizmeti sunucuları tarafından; banko, gişe ve masa gibi bölümlerde yetkisi olmayan kişilerin yer almasını önleyecek ve aynı anda yakın konumda hizmet alanların birbirlerine ait kişisel verileri duymalarını, görmelerini, öğrenmelerini veya ele geçirmelerini engelleyecek nitelikte gerekli fiziki, teknik ve idari tedbirler alınmaktadır.

Bu politika ile belirlenen düzenlemeler kapsamında, kişisel verilerin güvenli ve mevzuata uygun bir şekilde saklanması, hukuka aykırı olarak işlenmesinin, erişilmesinin önlenmesi ve veri sızıntılarının önlenmesi ile kişisel verilerin hukuka uygun olarak imha edilmesi için, 6698 sayılı KVK Yasasının 6. maddesinde düzenlenen Özel Nitelikli Kişisel Verilerin 6/4. maddesine göre “Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır.” hükmü ile aynı yasanın 12. maddesinde belirtilen Kişisel Verilerin güvenliğini sağlamak amacıyla Kişisel Verileri Koruma Kurulu tarafından belirlenen ve ilan edilen gerekli yeterli önlemler muvacehesinde veri sorumlusu olarak şirket tarafından aşağıda yazılı teknik ve idari tedbirler alınmaktadır.

12.1.Teknik Tedbirler:

Kişisel Verileri Koruma Kurumu tarafından alınması gereken teknik tedbirler https://www.kvkk.gov.tr adresinden duyurulmuş olup, Kişisel Verileri Koruma Kurumunca ilan edilen teknik tedbirler ile ilgili, veri sorumlusu olarak şirket tarafından gerekli tedbirler alınmaktadır. “Bilgi İşlem Birimi” tarafından KVKK Teknik Tedbirler Analiz Raporu hazırlanmış olup, gerekli teknik tedbirler ve alınması gereken önlemlere ilişkin tespitler belirlenmiştir. Bilgi güvenliği ile ilgili yerinde ve gerçek zamanlı olarak yapılan analizler sonucunda, bilişim sistemlerinin sürekliliğini etkileyecek riskler ve tehditler tespit edilmiş olup, sürekli olarak izlenmektedir. Şirketimizin bilişim sistemleri donanımı, yazılım ve verilerin fiziksel güvenliği için gerekli teknik önlemler alınmaktadır.

12.2.İdari Tedbirler:

Sağlık hizmeti sunucuları, tahlil ve tetkik sonuçları gibi hastaya ait kişisel sağlık verilerini içeren basılı materyal üzerinde gerekli kısmî kimliksizleştirme veya maskeleme tedbirlerini uygulanarak, söz konusu materyalin yetkisiz kişilerin eline geçmesi hâlinde kime ait olduğunun tespit edilmesini zorlaştıracak tedbirler alınarak, ilgili kişiye ait kişisel verinin anonimleştirilmesi sağlayacak tedbirler alınmaktadır. Şirket internet sitesi üzerinden başvuru formu yayımlanmış olup, herkes, veri sorumlusu olan şirketimize başvurarak kendisiyle ilgili olarak Kanunun 11 inci maddesinde yer alan hakları kullanabilecektir. Veri sorumlusu olan şirketimize başvuruda, Kanunun 13. maddesi ile Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ hükümlerine, aydınlatma yükümlülüğünün yerine getirilmesinde ise Kanunun 10. maddesi ile Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ hükümlerine riayet edilmektedir. Kişisel Verileri Koruma Kurulu tarafından ilan edilen idari tedbirler ile ilgili, veri sorumlusu olarak şirket tarafından gerekli idari tedbirler alınmıştır. Şirket tarafından 6698 sayılı Kişisel Verilerin Korunması Kanununa uyum kapsamında kurumsal olarak gerekli kararları almış, yasa kapsamındaki yükümlülükleri yerine getirmiş, yayımlanması gereken politikaları oluşturarak ilan etmiştir. Bu kapsamda veri sorumlusu sıfatıyla şirket tarafından, kişisel veri işleme envanteri hazırlanmış, gerekli güncellemeler yapılmaktadır. Aydınlatma ve Bilgilendirme Metninin oluşturulmuş, başvuru formu düzenlenerek internet sitesinde yayımlanmıştır. Gizlik ve Çerez Politikası oluşturulmuştur. Kişisel veri koruma, işleme, saklama ve imha politikası belirlenmiş, internet sitesinde yayımlanarak, şirket içerisinde veri irtibat kişisi ve KVK komitesi tarafından uygulanması sağlanmaktadır. Çalışanların niteliğinin geliştirilmesine yönelik, kişisel verilerin hukuka aykırı olarak işlenmenin önlenmesi, kişisel verilerin hukuka aykırı olarak erişilmesinin önlenmesi, kişisel verilerin muhafazasının sağlanması amacıyla gerekli farkındalık çalışmaları başlatılmıştır. KVK Veri İrtibat Kişisi ve KVK komitesi belirlenmiş, yetki, görev ve sorumlulukları belirlenmiştir. Kişisel verilere ilişkin saklama ve imha gereklerinin yerine getirilmesine ilişkin çalışmalar başlatılmıştır. KVK Kanununa uyumun sağlanması amacıyla gerekli aksiyonlar alınmış, şirket sözleşmeleri ve kişisel veri barındıran metinler taranarak KVKK’ ya uyumlu hale getirilmektedir.

13.KİŞİSEL VERİLERİN İMHA TEKNİKLERİNE DAİR AÇIKLAMALAR

Şirketimizce kişisel veri işleme envanteri oluşturulmuştur. Kişisel veri işleme envanterinde yazılı olduğu üzere, işlenmiş olan kişisel veriler ile ilgili yasal mevzuatta öngörülen süre veya işlendikleri amaç için öngörülen gerekli saklama süresinin sonunda kişisel veriler imha edilir. İmha işlemi, şirket yetkili birimlerince kendiliğinden veya ilgili kişisel veri sahibinin şirketimize başvurusu üzerine, 6698 sayılı Kişisel Verileri Koruma Kanunu ve ilgili mevzuat hükümlerine uygun olarak aşağıda belirtilen yöntem ve tekniklerle yapılmaktadır.

13.1.Kişisel Verilerin Silinmesi

Veri Kayıt Ortamı Olan Sunucuda Yer Alan Kişisel Veriler: Sunucularda yer alan kişisel verilerden, saklanmasını gerektiren süre sona erenler için sistem yöneticisi tarafından ilgili kullanıcıların erişim yetkisi kaldırılarak silme işlemi yapılır.

Elektronik Ortamda Yer Alan Kişisel Veriler: Elektronik ortamda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, veri tabanı yöneticisi hariç diğer çalışanlar (ilgili kullanıcılar) için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir.

Fiziksel Ortamda Yer Alan Kişisel Veriler: Fiziksel ortamda tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler için evrak arşivinden sorumlu birim yöneticisi hariç diğer çalışanlar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. Ayrıca, üzeri okunamayacak şekilde çizilerek/boyanarak/silinerek karartma işlemi de uygulanır.

Taşınabilir Medyada Bulunan Kişisel Veriler: Flash tabanlı saklama ortamlarında tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler, sistem yöneticisi tarafından şifrelenerek ve erişim yetkisi sadece sistem yöneticisine verilerek şifreleme anahtarlarıyla güvenli ortamlarda saklanır.

13.2.Kişisel Verilerin Yok Edilmesi

Fiziksel Ortamda Yer Alan Kişisel Veriler: Kâğıt ortamında yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, kâğıt kırpma makinelerinde geri döndürülemeyecek şekilde yok edilir.

Optik -Manyetik Medyada Yer Alan Kişisel Veriler: Optik medya ve manyetik medyada yer alan kişisel verilerden saklanmasını gerektiren süre sona erenlerin eritilmesi, yakılması veya toz haline getirilmesi gibi fiziksel olarak yok edilmesi işlemi uygulanır. Ayrıca, manyetik medya özel bir cihazdan geçirilerek yüksek değerde manyetik alana maruz bırakılması suretiyle üzerindeki veriler okunamaz hale getirilir.

13.3.Kişisel Verilerin Anonim Hale Getirilmesi

Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka 3.kişilere ait verilerle eşleştirilmesinde dahi, ilgili kişinin kimliği belirli veya belirlenebilir olmaktan çıkarılarak, bir gerçek kişiyle hiçbir surette irtibatlandırılamayacak hale getirilmesidir. Kişisel verilerin anonim hale getirilmiş olması için; kişisel verilerin, veri sorumlusu veya üçüncü kişiler tarafından geri döndürülmesi ve/veya verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle irtibatlandırılamayacak / ilişkilendirilemeyecek hale getirilmesi şeklinde olmaktadır.

14.KİŞİSEL VERİLERİ SAKLAMA VE İMHA SÜRELERİ

Şirketin, işbu politika ve ilgili yasal mevzuat kapsamında işlediği kişisel verileri, işlenen verinin kategorisine göre, tabi olduğu ilgili mevzuatta öngörülen veya işleme amacının gerektirdiği süreler boyunca KVK Kanunu ile bu politika ile belirlenen usul ve esaslara uygun olarak yapılmaktadır. Şirketin meşru menfaati ve ilgili veri sahibi ile yapılan, yapılacak sözleşmelerin kurulması ve ifası süreçleri, açılabilecek dava ve hukuki işlemler dikkate alınarak, kişisel verilerin saklama ve imha süreleri kişisel veri işleme envanterinde ve veri sorumluları sicil bilgi sisteminde yazılı olduğu şekilde belirlenmiştir. Şirketimiz faaliyetleri kapsamında tutulan kişisel veriler, işlenen verilerin niteliğine göre ilgili mevzuatta belirtilen veya kişisel verinin işlendiği amaç için gerekli olan süre kadar muhafaza etmektedir. İşlenen kişisel veriler ile ilgili olarak öncelikle, ilgili mevzuatta kişisel verilerin saklanması için bir süre öngörülüp öngörülmediği tespit edilerek, belirtilen süreye uygun olarak kişisel veriler saklanmakta, her hangi bir sürenin öngörülmemiş olması halinde ise işlenen kişisel verilerin işlendikleri amaç için gerekli olan ve şirketimizce uygulanmakta olan politikalara uygun olarak belirlenen süre kadar saklamaktadır. Şirketimizce kişisel veri işleme envanterinde belirlenen saklama sürelerini esas almakta olup, envanterde belirtilen süreler sonunda yasal düzenleme kapsamındaki yükümlülükler uyarınca kişisel veriler, verinin niteliğine ve kullanım amacına göre silinmekte, imha edilmekte veya anonimleştirilmektedir.

15.VERİ SORUMLUSUNUN AYDINLATMA YÜKÜMLÜLÜĞÜ

Şirketimiz; 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”)’na uygun olarak, kişisel verilerinizin işlenmesine, korunmasına azami özen göstermektedir. Veri sorumlusu olarak; kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak amacıyla gerekli her türlü teknik ve idari tedbirler alınmıştır. Kanunun 10. maddesi uyarınca; hastalarımız, hasta refakatçileri, hasta yakınları, ziyaretçiler, hastane yöneticileri ve çalışanlarımız, çalışan adayları, stajyerler, tedarikçiler, hizmet sağlayıcıları ile yönetici ve çalışanları, iş/çözüm ortakları, şirket ortakları, irtibatlı olduğumuz kamu kurum ve kuruluşları ile özel hukuk tüzel kişilerinin çalışanları ve ilgili üçüncü kişilere ait kişisel veriler kapsayacak şekilde oluşturulan politikalar ve aydınlatma metni ile sizleri bilgilendiriyoruz. Söz konusu aydınlatma yükümlülüğü gereğince, kişisel veri sahiplerine bildirilmesi gereken bilgiler kanunda sayıldığı şekilde aşağıda belirtilmiştir:

1.Veri sorumlusunun ve varsa temsilcisinin kimliği,

2.Kişisel verilerin hangi amaçla işleneceği,

3.İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,

4.Kişisel veri toplamanın yöntemi ve hukuki sebebi,

5.KVK Kanunu’nun 11. maddesinde sayılan başvuru ve diğer haklar.

6698 sayılı Kişisel Verilerin Korunması Kanununun (“Kanun”) 10 uncu maddesi ile Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ hükümleri uyarınca, veri sorumlusu sıfatıyla şirketimizce hazırlanan Aydınlatma Metnini internet sayfamızdan inceleyebilirsiniz.

16.KİŞİSEL VERİ SAHİBİNİN HAKLARI ( BAŞVURU HAKKI )

6698 sayılı Kişisel Verileri Koruma Kanununun “ilgili kişinin haklarını düzenleyen” 11 inci maddesi kapsamında, Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğe göre veri sorumlusu olarak, şirketimiz tarafından “BAŞVURU FORMU” düzenlenmiştir. İnternet sitemizden başvuru formunu doldurmak suretiyle başvuru hakkını kullanmanız mümkündür.

16.1.Kişisel Veri Sahibinin Başvuru Hakkı

Kanunun 11. maddesi uyarıca; herkes, veri sorumlusuna başvurarak kendisiyle ilgili olarak;

1. Kişisel veri işlenip işlenmediğini öğrenme,

2. Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,

3. Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,

4. Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,

5. Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,

6. KVKK’ nın 7. maddesinde öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme,

7. Kişisel verilerin düzeltilmesi, silinmesi, yok edilmesi halinde bu işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere de bildirilmesini isteme,

8. İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,

9. Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme, haklarına sahiptir.

16.2.Veri Sorumlusunun Başvurulara Cevap Vermesi usulü, süresi ve esasları

6698 sayılı KVK Kanunu 13/1. maddesi uyarınca, yukarıda belirtilen haklarınızı kullanmak amacıyla yapacağınız başvurularınızı yazılı olarak veya KVK Kurumunun belirlediği yukarıda yazılı yöntemlerle şirketimize iletmeniz gerekmektedir. Şirketimiz, başvuruda yer alan taleplerinizi, talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandıracaktır. Ancak, işlemin ayrıca bir maliyeti gerektirmesi hâlinde, Kurulca belirlenen tarifedeki ücret talep edilecektir. Bu kapsamda ilgili kişinin başvurusuna yazılı olarak cevap verilmesi halinde, on sayfaya kadar ücret alınmayacak, on sayfanın üzerindeki her bir sayfa için 1 TL işlem ücreti alınacaktır. Başvuruya karşı verilecek cevabın CD, flaş bellek gibi elektronik kayıt ortamında verilmesi halinde şirketimiz tarafından talep edilebilecek ücret kayıt ortamının gerektirdiği maliyet miktarını geçmeyecektir. Başvurunun veri sorumlusunun hatasından kaynaklanması hâlinde alınan ücret ilgiliye iade edilir.

16.3.Kişisel Veri Sahibinin Kurula Şikâyette Bulunması Hakkı

Başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hâllerinde; ilgili kişi, veri sorumlusunun cevabını öğrendiği tarihten itibaren otuz ve her hâlde başvuru tarihinden itibaren altmış gün içinde Kurula şikâyette bulunabilir. Kanunun 13. maddesi uyarınca başvuru yolu tüketilmeden şikâyet yoluna başvurulamaz.

17.KİŞİSEL VERİ SAHİBİNİN HAKLARINI İLERİ SÜREMEYECEĞİ HALLER

6698 Sayılı KVK Kanunu’nun 28/1. maddesi gereğince, aşağıda yazılı hususlar kanunun uygulama kapsamı dışında ( istisnalar ) tutulmuş olup, kişisel veri sahipleri yukarıda 16. maddede sayılan haklarını ileri süremezler.

▪ Kişisel verilerin, üçüncü kişilere verilmemek ve veri güvenliğine ilişkin yükümlülüklere uyulmak kaydıyla gerçek kişiler tarafından tamamen kendisiyle veya aynı konutta yaşayan aile fertleriyle ilgili faaliyetler kapsamında işlenmesi.

▪ Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi.

▪ Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi.

▪ Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi.

▪ Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi.

6698 Sayılı KVK Kanunu’nun 28/2. maddesi gereğince, bu kanunun amacına ve temel ilkelerine uygun ve orantılı olmak kaydıyla, veri sorumlusunun aydınlatma yükümlülüğünü düzenleyen 10.maddesi, zararın giderilmesini talep etme hakkı hariç, ilgili kişinin haklarını düzenleyen 11.maddesi ve Veri Sorumluları Siciline kayıt yükümlülüğünü düzenleyen 16. maddesinde belirtilen haklar bakımından aşağıdaki hâllerde uygulanmaz:

▪ Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması.

▪ İlgili kişinin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi.

▪ Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması.

▪ Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması.

18.KİŞİSEL VERİLERİN PERİYODİK İMHA VE DENETİM SÜRESİ

Kişisel verileri resen silme, yok etme veya anonim hale getirme süreleri Yönetmeliğin 11. maddesinde aşağıda yazılı olduğu şekilde düzenlenmiştir. Buna göre; kişisel veri saklama ve imha politikası hazırlamış olan veri sorumlusu, kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde, kişisel verileri siler, yok eder veya anonim hale getirir. Periyodik imhanın gerçekleştirileceği zaman aralığı, veri sorumlusu tarafından kişisel veri saklama ve imha politikasında belirlenir. Bu süre her halde altı ayı geçemez. Kişisel veri saklama ve imha politikası hazırlama yükümlülüğü olmayan veri sorumlusu, kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden üç ay içinde, kişisel verileri siler, yok eder veya anonim hale getirir. Ayrıca, kişisel veri irtibat kişisi ve veri sorumlusu tarafından üç ayda bir, altı ayı geçmemek üzere gerekli denetlemeleri yapacaktır. Veri sorumlusu ve veri irtibat kişisi, telafisi güç veya imkansız zararların doğması ve açıkça hukuka aykırılık olması halinde, bu maddede belirlenen süreleri kısaltabilir.

19.İLGİLİ KİŞİNİN BAŞVURUSU ÜZERİNE SİLME VE YOK ETME SÜRELERİ

İlgili kişinin başvurusu üzerine kişisel verinin silinmesi, yok edilmesi süreleri Yönetmeliğin 12. maddesinde aşağıda yazılı olduğu şekilde düzenlenmiştir. Buna göre; kişisel verileri işleme şartlarının tamamı ortadan kalkmışsa; veri sorumlusu talebe konu kişisel verileri siler, yok eder veya anonim hale getirir. Veri sorumlusu, ilgili kişinin talebini en geç otuz gün içinde sonuçlandırır ve ilgili kişiye bilgi verir. Kişisel verileri işleme şartlarının tamamı ortadan kalkmış ve talebe konu olan kişisel veriler üçüncü kişilere aktarılmışsa veri sorumlusu bu durumu üçüncü kişiye bildirir; üçüncü kişi nezdinde bu Yönetmelik kapsamında gerekli işlemlerin yapılmasını temin eder. Kişisel verileri işleme şartlarının tamamı ortadan kalkmamışsa, bu talep veri sorumlusunca Kanunun 13. maddesinin üçüncü fıkrası uyarınca gerekçesi açıklanarak reddedilebilir ve ret cevabı ilgili kişiye en geç otuz gün içinde yazılı olarak ya da elektronik ortamda bildirilir.

20.POLİTİKANIN YAYINLANMASI, SAKLANMASI VE GÜNCELLENMESİ

Şirket tarafından hazırlanan işbu politika, ıslak imzalı olarak (basılı kâğıt) ve elektronik ortamda olmak üzere şirketin https://www.egepolhastanesi.com/ internet sayfasında iki farklı ortamda yayımlanır. Politikanın internet sayfasında yayımlanması ile kamuya açıklanmış sayılacaktır. Basılı kâğıt nüshası veri irtibat kişisi tarafından KVKK dosyasında saklanır. Oluşturulan bu politika, belirlenen veri irtibat kişisi/KVK komitesi tarafından yetki ve sorumlulukları kapsamında, yayınlandığı tarihten itibaren, her yılın sonunda yılda bir olmak üzere, ihtiyaç duyuldukça gözden geçirilir ve gerekli olduğu şekilde ilgili bölümler güncellenecektir.

21.POLİTİKANIN YÜRÜRLÜĞÜ VE YÜRÜRLÜKTEN KALDIRILMASI

Yukarıda maddeler halinde yazılı işbu politika, şirketin internet sitesinde yayınlanmasının ardından yürürlüğe girmiş kabul edilecektir. Veri sorumlusunun onayı ve kişisel veri irtibat kişisinin kararı ile politikanın yürürlükten kaldırılmasına karar verilmesi halinde, politikanın ıslak imzalı eski nüshaları veri irtibat kişisi tarafından iptal edilerek (iptal kaşesi vurularak veya iptal yazılarak) imzalanır ve en az 5 yıl süre ile kişisel veri irtibat kişisi tarafından ilgili birimde saklanır.

Politika Yürürlük Tarihi: 7.01.2020

Son Güncelleme: 17/04/2021