KİŞİSEL VERİ SAKLAMA VE İMHA POLİTİKASI’NIN NİTELİĞİ VE AMACI

İşbu Kişisel Veri Saklama ve İmha Politikası (“Politika”), 6698 Sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) ve  Kanun’un ikincil düzenlemesini teşkil eden Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik (“Yönetmelik”) uyarınca yükümlülüklerimizi yerine getirmek ve ilgili kişileri kişisel verilerinin işlendikleri amaç için gerekli olan azami saklama süresinin belirlenmesi esasları ile silme, yok etme ve anonim hale getirme süreçleri hakkında bilgilendirmek amacıyla veri sorumlusu sıfatıyla Dr. Murat TEZCAN tarafından hazırlanmıştır.

POLİTİKAMIZDA GEÇEN HUKUKİ VE TEKNİK TERİMLERİN TANIMLARI

Açık Rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.

Anonimleştirme: Kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi.

Çalışan(lar): Veri sorumlusu bünyesinde çalışan gerçek kişiler.

İlgili Kişi:  Kişisel verisi işlenen gerçek kişi.

İlgili Kullanıcı: Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişiler.

İmha: Kişisel verilerin silinmesi veya yok edilmesi.

Kanun: 6698 sayılı Kişisel Verilerin Korunması Kanunu.

Kayıt Ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam.

Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.

Kişisel Verilerin İşlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.

Kişisel Verilerin Silinmesi: Kişisel verilerin silinmesi; kişisel verilerin İlgili Kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi.

Kişisel Verilerin Yok Edilmesi: Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemi.

Kurul: Kişisel Verileri Koruma Kurulu.

Kurum: Kişisel Verileri Korunma Kurumu.

Özel Nitelikli Kişisel Veri: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri.

Periyodik İmha: Kanun’da yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme veya yok etme 

Veri İşleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen, veri sorumlusunun organizasyonu dışındaki gerçek veya tüzel kişiler.

Veri Sorumluları Sicili: Kurul ve Başkanlık gözetiminde oluşturulan kamuya açık sicil.

İLKELER

Veri sorumlusu tarafından kişisel verilerin saklanması ve imhasında aşağıda yer alan ilkeler çerçevesinde hareket edilmektedir:

•  Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesinde Kanun’a ve ilgili mevzuat hükümlerine, Kurul kararlarına ve işbu Politikaya tamamen uygun hareket edilmektedir.

• Kişisel verilerin silinmesi veya yok edilmesi ilgili yapılan tüm işlemler veri sorumlusu tarafından kayıt altına alınmakta ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az 4 hafta en fazla 50 yıl süreyle saklanmaktadır.

• Kurul tarafından aksine bir karar alınmadıkça, kişisel verileri resen silme veya yok etme yöntemlerinden uygun olanı tarafımızca seçilmektedir. Ancak, İlgili Kişinin talebi halinde uygun yöntem gerekçesi açıklanarak seçilecektir.

• Kanun’un 5’inci ve 6’ncı maddelerinde yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması halinde, kişisel veriler veri sorumlusu veya yetkilendireceği kişi tarafından resen veya ilgili kişinin talebi üzerine silinmekte ya da yok edilmektedir. Bu hususta İlgili Kişi tarafından veri sorumlusuna başvurulması halinde; iletilen talepler en geç 30 (otuz) gün içerisinde cevaplandırılmaktadır, talebe konu verilerin üçüncü kişilere aktarılmış olması durumunda, bu durum verilerin aktarıldığı üçüncü kişiye bildirilmekte ve üçüncü kişiler nezdinde gerekli işlemlerin yapılması temin edilmektedir.

KAYIT ORTAMLARI

Kişisel veriler, veri sorumlusu  tarafından elektronik ortamlarda “Yazılımlar (ofis yazılımları, VERBİS. vs.), bilgi güvenliği cihazları (antivirüs vb.), muayenehane bilgisayarları (masaüstü, dizüstü), telefonları, optik diskler (CD, DVD vb.) çıkartılabilir bellekler (USB, Hafıza Kart ) vb.” ve elektronik olmayan ortamlarda kağıt, yazılı, basılı, görsel ortamlar vb.” ortamlarda hukuka uygun olarak güvenli bir şekilde saklanır.

SAKLAMA VE İMHAYI GEREKTİREN SEBEPLERE İLİŞKİN AÇIKLAMALAR

İlgili kişiye ait kişisel veriler, veri sorumlusu tarafından özellikle (i) muayenehane faaliyetlerinin sürdürülebilmesi, (ii) hukuki yükümlülüklerin yerine getirilebilmesi, (iii) çalışan haklarının ve yan haklarının planlanması ve ifası için Kanun ve diğer ilgili mevzuatta belirtilen sınırlar çerçevesinde saklanmaktadır.

Saklamayı gerektiren sebepler aşağıdaki gibidir:

• Kişisel verilerin sözleşmelerin kurulması ve ifası ile doğrudan doğruya ilgili olması nedeniyle saklanması,

• Kişisel verilerin bir hakkın tesisi, kullanılması veya korunması amacıyla saklanması,

• Kişisel verilerin kişilerin temel hak ve özgürlüklerine zarar vermemek kaydıyla veri sorumlusunun meşru menfaatleri için saklanmasının zorunlu olması,

• Kişisel verilerin veri sorumlusunun herhangi bir hukuki yükümlülüğünü yerine getirmesi amacıyla saklanması,

• Mevzuatta kişisel verilerin saklanmasının açıkça öngörülmesi,

• İlgili kişilerin açık rızasının alınmasını gerektiren saklama faaliyetleri açısından ilgili kişilerin açık rızasının bulunması.

Yönetmelik uyarınca, aşağıda sayılan hallerde ilgili kişilere ait kişisel veriler, veri sorumlusu tarafından resen yahut talep üzerine silinir ya da yok edilir:

• Kişisel verilerin işlenmesine veya saklanmasına esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası sebebiyle gerekli olması hali,

• Kişisel verilerin işlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,

• Kanun’un 5’inci ve 6’ncı maddelerindeki kişisel verilerin işlenmesini gerektiren şartların ortadan kalkması,

• Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin rızasını geri alması,

• İlgili kişinin, Kanun’un 11’inci maddesindeki hakları çerçevesinde kişisel verilerinin silinmesi veya yok edilmesi getirilmesine ilişkin yaptığı başvurunun veri sorumlusu tarafından kabul edilmesi,

• Veri sorumlusunun, ilgili kişi tarafından kişisel verilerinin silinmesi veya yok edilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabın yetersiz bulunması veya Kanun’da öngörülen süre içinde cevap vermemesi hallerinde; Kurul’a şikâyette bulunulması ve bu talebin Kurul tarafından uygun bulunması,

• Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olmasına rağmen, kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması.

SAKLAMA VE İMHA SÜRELERİ

Veri sorumlusu tarafından Kanun ve diğer ilgili mevzuat hükümlerine uygun olarak elde edilen kişisel verilerinizin saklama ve imha sürelerinin tespitinde aşağıda sırasıyla belirtilen ölçütlerden yararlanılmaktadır:

• Mevzuatlarda söz konusu kişisel verinin saklanmasına ilişkin olarak bir süre öngörülmüş ise söz konusu süre Hukuk ve Ceza zaman zamanaşımları ile yüksek mahkeme içtihatları birlikte değerlendirilerek tayin olunur. Anılan sürenin sona ermesi akabinde veri hakkında aşağıdaki madde kapsamında işlem yapılır.

• Söz konusu kişisel verinin saklanmasına ilişkin olarak mevzuatta öngörülen sürenin sona ermesi veya ilgili mevzuatta söz konusu verinin saklanmasına ilişkin olarak herhangi bir süre öngörülmemiş olması durumunda sırasıyla;

Kişisel veriler, Kanun’un 6’ncı maddesinde yer alan tanımlama baz alınarak, kişisel veriler ve özel nitelikli kişisel veriler olarak sınıflandırmaya tabi tutulur. Özel nitelikte olduğu tespit edilen tüm kişisel veriler ilgili kişilerden gelen aksi yönde bir talep olmaması durumunda imha edilir. Söz konusu verilerin imhasında uygulanacak yöntem verinin niteliği ve saklanmasının veri sorumlusu nezdindeki önem derecesine göre belirlenir. Verinin saklanmasının Kanun’un 4’üncü maddesinde belirtilen ilkelere uygunluğu sorgulanır. Saklanmasının Kanun’un 4’üncü maddesinde yer alan ilkelere aykırılık teşkil edebileceği tespit edilen veriler silinir ya da yok edilir.

Verinin saklanmasının Kanun’un 5’inci ve 6’ncı maddelerinde öngörülmüş olan istisnalardan hangisi/hangileri kapsamında değerlendirilebileceği tespit edilir. Tespit edilen istisnalar çerçevesinde verilerin saklanması gereken makul süreler tespit edilir. Söz konusu sürelerin sona ermesi halinde veriler silinir ya da yok edilir.

Saklama süresi dolan kişisel veriler, işbu Politikanın ekinde yer alan imha süreleri çerçevesinde, 180 günlük periyotlarla işbu Politikada yer verilen usullere uygun olarak imha edilir. Kişisel verilerin imha edilmesiyle ilgili yapılan bütün işlemler kayıt altına alınır ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az 3 (üç) yıl süreyle saklanır.

KİŞİSEL VERİLERİN SAKLANMASI VE İMHASINA İLİŞKİN USULLER, TEKNİK VE İDARİ TEDBİRLER

Veri sorumlusunun istihdam kapsamında yerine getirmesi gereken yükümlülüklerini yerine getirebilmesi, bir hakkın tesisi için veri işlemenin zorunlu olması, hasta hakları ve diğer imkânlardan istifade edebilmeniz ve/veya bunlarla ilgili ticari mali hukuki sorumluluk ve yükümlülüklerin yerine getirilebilmesi, iş yeri güvenliğinin sağlanması veya veri sorumlusunun meşru amaçları için kişisel verilerinizin işlenmesine gerek olması halinde toplanılacak olan kişisel veriler sisteme işlenmektedir. Buna ek olarak dijital kopya şeklinde saklanan tüm işyeri bilgisayarlarına kaydedilmektedir. Fiziki olarak tutulan kayıtlar muayenehanenin özel girişli arşivinde saklanmaktadır.
Kişisel verilerinizin güvenli bir şekilde saklanması, hukuka aykırı olarak işlenmesi, erişilmesinin önlenmesi ve verilerin hukuka uygun olarak imha edilmesi amacıyla Kanun’un 12’nci maddesindeki ilkeler çerçevesinde, veri sorumlusu tarafından alınmış olan tüm idari ve teknik tedbirler aşağıda sayılmıştır:

İdari Tedbirler:

• Çalışanların niteliği ve teknik bilgi/becerisinin geliştirilmesi, kişisel verilerin hukuka aykırı işlenmesinin önlenmesi ve kişisel verilerin muhafazasını sağlanır,
• İletişim teknikleri ve ilgili mevzuatlar hakkında eğitim verilmekte; çalışanlara gizlilik sözleşmeleri imzalatılmakta; güvenlik politika ve prosedürlerine uymayan çalışanlara uygulanacak disiplin prosedürü uygulanmakta, ilgili kişilerin aydınlatma yükümlülüğü yerine getirilmekte, kurum içi periyodik ve rastgele denetimler yapılmakta ve çalışanlara yönelik bilgi güvenliği eğitimleri verilmekte olup,
• Kişisel verilerin bulunduğu ortama göre yeterli güvenlik önlemlerinin (elektrik kaçağı, yangın, su baskını, hırsızlık vb. durumlara karşı) alınmasını sağlar ve bu ortamlara yetkisiz giriş çıkışları engeller.
• 180 günde bir veri sorumlusu bünyesinde veri imha toplantısı gerçekleştirilir ve saklama süresi dolmuş veriler imha edilir.

Teknik Tedbirler:

• Muayenehanenin bilişim sistemleri teçhizatı, yazılım ve verilerin fiziksel güvenliği için gerekli önlemleri  almakta, hukuka aykırı işlemeyi önlemeye yönelik riskleri belirlemekte, bu risklere uygun teknik tedbirler alınmakta, 
• Erişim yetki ve rol dağılımları için prosedürler oluşturulmakta ve uygulanmakta, yetki matrisi uygulanmakta,
• Saklama ve imha politikasına uygun imha süreçleri tanımlanmakta ve uygulanmakta, hukuka aykırı işleme tespiti halinde ilgili kişiye ve kurula bildirmek için tedbirler alınmakta, güvenlik açıkları tespit edilerek uygun güvenlik yamaları yüklenmekte, bilgi sitemleri güncel halde tutulmakta, kişisel verilerin işlendiği elektronik ortamlarda güçlü parolalar kullanılmakta ve güvenli kayıt tutma sistemleri kullanılmakta, kişisel verilerin güvenli olarak saklanmasını sağlayan yedekleme programları kullanılmakta, fiziki kayıtlar arşivlenerek gerekli güvenlik önlemleri altında saklanmaktadır. 
• 180 günde bir veri sorumlusu bünyesinde gerçekleştirilen veri imha toplantısında fiziki materyallerde bulunan veriler kağıt öğütme makinası gibi cihazlarla; dijital veriler ise sistemlerden yeterli yazılımlarla geri dönüştürülemeyecek şekilde imha edilirler.

Politikanın Yürürlüğe Sokulması, İhlal Durumları ve Yaptırımlar

• İşbu Politika tüm çalışanlara duyurularak yürürlüğe girecek ve yürürlüğü itibariyle tüm iş birimleri için bağlayıcı olacaktır.
• Çalışanların politikanın gereklerini yerine getirip getirmediğinin takibi ilgili çalışanların sorumluluğunda olacaktır. Politikaya aykırı durum tespit edildiğinde derhal veri sorumlusuna bildirilecektir.
• İhlalden haberdar olan veri sorumlusu derhal  ilgili kişi ve Kişisel Verileri Koruma Kuruluna bildirilecektir. KVK Kurulu tarafından gerek görülmesi halinde, bu durum, KVK Kurulu’nun internet sitesinde veya başka bir yöntemle ilan edilebilecektir.
• Politikaya aykırı davranan çalışan hakkında, veri sorumlusu tarafından yapılacak değerlendirme sonrasında gerekli idari işlem yapılacaktır.

VERİ SAKLAMA VE İMHA SÜREÇLERİNİN YÜRÜTÜLMESİNDEN SORUMLU KİŞİ TANIMI

Muayenehane  bünyesinde, verbis sistemine atanan irtibat kişisi,  kişisel verilerin işlenme, saklama ve imha süreçlerinin yönetiminde, periyodik imha toplantıların düzenlenmesinde, kişisel verilere ilişkin başvurulara cevap verme konularında yetkili olup, bu süreçlerin yönetilmesi için harcama yapma yetkisine sahiptir. Söz konusu irtibat kişisi atanana kadar belirtilen yetkiler veri sorumlusu eliyle kullanılır.

PERİYODİK İMHA SÜRELERİ

Veri sorumlusu bünyesinde 180 günde bir veri imha toplantısı gerçekleştirilmektedir. İlgili toplantıda muayenehane bünyesinde işlenen veriler kontrol edilir ve Kanun’da yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkmış olduğu kişisel veriler resen silinir veya yok edilir. Bu toplantıya dair bütün işlemler kayıt altına alınır ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere üç yıl süreyle saklanır.

POLİTİKANIN GÜNCELLENME PERİYODU:

İş bu Politika, yılda en az bir kez ve ihtiyaç duyuldukça gözden geçirilir; gerekli olan bölümler güncellenir.

KİŞİSEL VERİLERİ SAKLAMA VE İMHA SÜRELERİNİ GÖSTEREN TABLO

Kişisel veriler politikanın 4’üncü maddesinde belirtilen hususlar dikkate alınarak aşağıdaki tabloda belirtilen süreler boyunca saklanarak, süre sonunda ise yok edilecektir:

Veri sorumlusunun ilgili kişisel veriyi kullanma amacı sona ermedi ise, ilgili mevzuat gereği ilgili kişisel veri için öngörülen saklama süresi tabloda yer alan sürelerden fazla ise veya ilgili konuya ilişkin dava zamanaşımı süresi kişisel yerinin tabloda yer alan sürelerden fazla saklanmasını gerektiriyorsa, yukarıdaki tabloda yer alan süreler uygulanmayabilecektir. Bu halde kullanım amacı, özel mevzuat veya dava zamanaşımı süresinden hangisi daha sonra sona eriyor ise, o süre uygulama alanı bulacaktır.

KİŞİSEL VERİSİ İŞLENEN İLGİLİ KİŞİNİN BAŞVURU YÖNTEMİ :

6698 sayılı Kanun’un 11’inci maddesinde sayılan haklarınızı kullanmak amacıyla, kimlik bilgileriniz ve kullanmak istediğiniz hakkınızı belirten “Veri Sorumlusuna Başvuru Usul Ve Esasları Hakkında Tebliğe” göre hazırlanmış yazılı başvurunuzu Dr. Murat TEZCAN’ın Cumhuriyet Mah. Yağmur (150) Sokak No:14A/1 Nilüfer/BURSA adresine elden bizzat iletebilir, noter kanalıyla veya iadeli taahhütlü posta ile ‘‘Kişisel Veri Bilgi Edinme Talebi’’ notu ile gönderebilirsiniz. Başvuru esnasında tarafımızca kimlik bilgilerinin teyit edilmesi amaçlı olarak kimlik ibraz edilmesini talep hakkımız yahut başvurunun ilgili kişice yapıldığının teyidi amacıyla ilgili kişinin bildirdiği iletişim kanallarının kullanılması hakkımız saklıdır. Kişisel verilerinize yönelik başvurularınız en çok 30 gün içerisinde neticelendirilecektir. Söz konusu başvurular ücretsiz olup, Kanunun 13’üncü maddesinin 2’nci fıkrası uyarınca işlemin ayrıca bir maliyet gerektirmesi halinde, Kurulca belirlenen tarifedeki ücret kliniğimiz tarafından alınacaktır.