Özel Nitelikli Kişisel Veri İşleme ve Koruma Politikası

KAPSAM

  1. İşbu Özet Nitelikli Kişisel Veri yönetimi Politikası “Smile Corner Diş Polikliniği Hiz. Tic. Ltd. Şti.”                                  (“ Poliklinik“) bünyesinde bulunan bütün kişisel verileri işleyen tüm departmanları, çalışanları ve 3.parti firmaları ve çalışanlarını kapsamaktadır.
  2. İş bu Politika; Polikliniğin özel nitelikli kişisel verilerin güvenliğine yönelik kuralları tanımlayarak bu alandaki yönetimi sağlayacak tüm faaliyetleri kapsayacak ve söz konusu sürecin her adımında uygulanması sağlanacaktır.
  3. İşbu Politika Özel Nitelikli Kişisel veri olmayan veriler hakkında uygulanmayacaktır.
  4. Konu ile alakalı olarak Mevzuatın belirlenmesi veya ilgili mevzuatın güncellenmesi durumunda, Poliklinik iş bu politikayı ilgili mevzuata uyumlu olacak şekilde güncellenmesini sağlayarak gerekliliklere uyum sağlanacaktır.
  5. İşbu Politikanın “Poliklinik “tarafından uygulanmasında hukuki bir engel olduğuna kanaat getirildiği durumlarda “Poliklinik “ uygulayacağı adımları, gerek görmesi durumunda bir üst Yönetime danışarak, söz konusu bu Politikayı yeniden belirleyebilecektir.

TANIMLAR

Kanun 6698 Sayılı Kişisel Verilerin Korunması Kanunu
Yönetmelik Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Haline Getirilmesi Hakkında Yönetmelik
İlgili Karar “Özel Nitelikli Kişisel Verilerin işlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler” ile ilgili KVKK Kurulu’nun 31/01/2018 tarihli, 2018/10 sayılı kararıdır.
Kurul Kişisel Verileri Koruma Kurulu
Kayıt ortamı Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her turlu ortama verilen addır.
Kişisel veri Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgidir ve kişinin fiziksel, ekonomik, kültürel, sosyal veya psikolojik kimliğini ifade eden somut bir içerik taşıması veya kimlik, vergi numarası gibi herhangi bir kayıtla ilişkilendirilmesi sonucunda kişinin belirlenmesini sağlayan tüm hallerini kapsar.
Kişisel veri işleme envanteri Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçlarını, veri kategorisini, aktarılan alıcı grubunu ve veri konusunu kişi grubuyla ilişkilendirerek oluşturan ve detaylandıran envanterdir.
Özel Nitelikli Kişisel Veri

 

İş bu kanunda belirtilen Özel Nitelikli Kişisel Veriler, işlenmeleri halinde sahipleri hakkında ayrımcılık yapılmasına neden olma riski taşıyan verilerdir.
Sicil Başkanlık tarafından tutulan Veri Sorumluları Sicilidir (VERBiS) .
Veri kayıt sistemi Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemidir
   
Veri Sorumlusu Kişisel verilerin işleme amaçlarını ve kurallarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu gerçek veya tüzel kişidir.
Alıcı grubu Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişiler kategorisidir
İlgili kullanıcı Verilerin teknik saklanması korunması ve yedeklenmesinden sorumlu olan kişi veya veri sorumlusundan yetki ve talimat doğrultusunda veri işleyen kişilerdir.

“Poliklinik “ bünyesinde oluşturulmuş olan Kişisel Verilerin Korunması Ve İslenmesi Politikası, Saklama İmha Politikası ve diğer politikalar içerisinde bulunan tanımlar işbu politika içinde geçerlidir.

AMAÇ

Söz konusu Politika KVKK Kanunun 6. Maddesi uyarınca oluşturulan Yönetmelik içerisinde bulunan  “ Özel Nitelikli Kişisel Verilerin İşlenme Şartları “ sorumlu olan gerçek ve tüzel kişiler hakkında uygulanacak ve “Poliklinik “ ile “ Poliklinik “‘in sözleşmeye tabi olarak sorumlu kıldığı üçüncü kişiler tarafından da uyulması gereken esasları belirleyecektir.

KVKK kurulunun (07/02/2018 tarihinde Resmî Gazete de yayınlamıştır.)  31/01/2018 tarihli kararı uyarınca “Poliklinik “, Sicile kayıt ( VERBİS ) yükümlülüğü olan bir Veri Sorumlusu olduğu için uhdesinde bulunan Kişisel Verileri, Kişisel Verileri İşleme Envanterine uygun bir şekilde işlemek, Saklamak, söz konusu verilerin güvenliğinin sağlanmasına yönelik kuralları tanımlamaktan ve üst yönetimin sağlayacağı tüm faaliyetleri kapsayan bir politika hazırlayarak bu politikaya uygun hareket etmekle yükümlüdür.

Kişisel verilerin saklanması ve imhasında aşağıdaki kurallar geçerli olacaktır.

  • KVKK Kanunun 4. Maddesindeki genel ilkelere uyulacaktır.
  • “ Poliklinik “ Kişisel verileri saklarken, silerken, imha ederken veya anonimleştirirken KVKK Kanunun 12. Maddesinde yer alan güvenlik tedbirlerine ve ayrıca ilgili mevzuatta yer alan hükümlere, KVKK Kurulunun alacağı kararlara, Veri güveliği rehberinde belirtildiği gibi İdari ve Teknik tedbirlere ve Politikaya uygun hareket edeceğini Kabul, beyan ve taahhüt eder.
  • “ Poliklinik “ Bu Politikayı hazırlayarak tek başına Kişisel Verilerin Yönetmelik, İlgili Mevzuat ve Kanununa uygun olarak silindiği, imha edildiği veya Anonimleştirildiği anlamına gelmeyeceğini Kabul etmektedir.
  • Kişisel verilerin tamamen veya kısmen otomatik yollarla alınan veya herhangi bir kayıt sisteminin parçası olarak otomatik olmayan yollarla işlenen kişisel verilerin silinmesi, imha edilmesi veya Anonimleştirilmesi sırasında “ Poliklinik “ bu Politikaya bağlı olarak hareket eder.

KAYIT ORTAMLARI

Kişisel veri içeren ve aşağıda belirtilen ortamlar, bunlara ek olarak ortaya çıkabilecek diğer ortamlardaki kişisel verileri Söz konusu Politikanın kapsamına dahil etmeyi kabul eder.

  • Şirket adına kullanılan Bilgisayar/sunucular/mobil cihazlar
  • Şirket adına kullanılan Bilgisayar/sunucular/mobil cihazların Saklama alanları
  • Manyetik Band, Optik Disk, Mikro Fiş
  • Ağ Cihazları
  • USB Harddisk, USB Bellek
  • Yazıcı, parmak izi, yüz okuma gibi çevre birimleri
  • Kâğıt
  • Ağ üzerinde veri saklanması yedeklenmesi amacı ile paylaşımlı / paylaşımsız Sürücüler

ÖZEL NİTELİKLİ KİŞİSEL VERİ

1. Özel Nitelikli Kişisel Veri İşlenmesine İlişkin Genel İlkeler

  • “Poliklinik“ kişisel verilerin güvenli bir şekilde saklanması, hukuka aykırı bir şekilde işlenmesi ve erişimin engellenmesi ile ilgili her türlü idari ve teknik tedbirleri almaktadır.
  • “ Poliklinik “ KVKK Kanununda belirtildiği şekle göre veri işleyeceğini taahhüt eder.
  • “Poliklinik “ KVKK Kanunun 6.Maddesi 3. Fıkrası gereği Özel Nitelikli Kişisel Verilerin işlenmesi şartlarındaki istisnaların olmadıkları durumlarda;

“ Poliklinik “ Özel Nitelikli Kişisel Verileri sakladığı durumlarda, söz konusu verileri mevzuata bağlı kalmak şartı ile “ Poliklinik “ ‘in (  varsa hukuk biriminin ve )  KVKK ekibinin bilgisi dahilinde Açık Rıza alınması şartı ile işler.

KVKK Kanunda belirtilmiş olan istisnalar dışında veri sahibinin açık rızasının alınmadığı durumlarda söz konusu kişisel verileri saklaması yasaktır.

2. “ Poliklinik “ tarafından İşlenen Özel Nitelikli Kişisel Veriler

Sağlık ve Cinsel hayata ilişkin kişisel veriler ancak Koruyucu Hekimlik, Sağlık Hizmetleri, Kamu Sağlığının korunması, Tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ve finansmanının planlanması ve yönetimi amacı ile sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafında ilgili Kişinin (Veri Sahibi) Açık Rıza alınmadan işlenebilir durumdadır.

Sağlık ve Cinsel hayat dışındaki özel nitelikli kişisel veriler, ceza mahkumiyeti ve güvenlikle ilgili verileri, genetik ve biyometrik verileri; kanunda öngörülen durumlarda ilgili kişinin (Veri sahibi) Açık Rıza aranmaksızın işlenebilir.

Kişisel veriler “ Poliklinik “ tarafından ilgili kişinin ( Veri Sahibi ) Açık Rızası alınmak sureti ile işlenmekte olup, Söz konusu bu Politikanın “ Verilerin İşlenmesine ilişkin Genel İlkeler “ kısmında belirtildiği şekilde işlem görmektedir. “ Poliklinik “ ile İlgili Kişi ( Veri Sahibi ) arasındaki ilişkinin cinsine, türüne ve niteliğine bağlı olarak, kullanılan iletişim modellerine ve sözü geçen amaca göre farklılaşmakta ve çeşitlenmektedir. Bu veriler ayrıca Kişisel Veri Envanterinde belirtilmiştir.

3. Özel Nitelikli Kişisel Verilerin İşlenme Amaçları

Özel Nitelikli Kişisel veriler Kişisel Veri İşleme Envanterinde belirtilen amaçlar kapsamında işlenmektedir ve bu amaçlar kapsamında ilgili yasaların öngördüğü süreler içinde saklanabilmektedir.

4. Özel Nitelikli Kişisel Verilerin Aktarılması

  • “ Poliklinik “ Söz konusu Politikanın “ Özel Nitelikli Kişisel Verilerin İşlenme Amaçları “  kısmındaki belirtilen amaçlar çerçevesinde KVKK‘nın 8. Ve 9. Maddelerinde belirtildiği üzere yurtiçi ve yurtdışı veri aktarımı yapmaktadır. Söz konusu kişisel veriler bu kapsam dahilinde kullanılan sunucu ve elektronik ortamlarda işlenerek saklanabilmektedir.
  • “ Poliklinik “ tarafından hazırlanan Kişisel Veri Envanterinde veri aktarımı gerçekleştirilen taraflar ayrıca belirtilmiştir. Yapılan bu veri aktarımların niteliği ve paylaşımda bulunulan taraflar, İlgili Kişi ( Veri sahibi ) ile “ Poliklinik  arasında bulunan ilişki cinsine, niteliğine ve türüne, yapılan aktarımın amacına ve ilgili yasal dayanaklara bağlı olarak değişmektedir. Ayrıca diğer şartlar KVKK Gizlilik Politikasında tanımlanmış olup burada belirtilen tedbir ve aksiyonlar geçerlidir.

Kişisel verileri koruma kurulunun 07/03/2018 tarihli Resmi Gazetede yayınlanan 31/1/2018 tarihli kararı uyarınca “ Poliklinik “, Özel Nitelikli veri aktaracaksa;

  • Veriler e-posta yolu ile aktarılması durumda şifreli olarak kurumsal e-posta adresi üzerinden veya KEP (Kayıt Elektronik Posta) yolu ile aktarılır,
  • Taşınabilir USB Bellek, CD, DVD gibi medya ortamları yolu ile aktarılıyorsa kriptografik metotlar kullanarak aktarılır,
  • Değişik Lokasyonda bulunan fiziksel sunucular arasında aktarma gerçekleştirilecekse söz konusu sunucular arasında VPN veya SFTP tarzı yöntemlerle veri aktarılır,
  • Veriler kâğıt ortamı yolu ile aktarılıyorsa, söz konusu evrakların çalınması, kaybolması veya yetkisiz kişiler tarafından ele geçirilmesi gibi riskler göz önünde bulundurularak evraklar gizlilik dereceli belgeler formatına dönüştürülerek aktarılır,

5. Veri İşleme Şartlarının Ortadan Kalkması

  • “ Poliklinik “ Özel Nitelikli Kişisel Veri İşlenme şartlarının güncel tutulmasında sorumludur ve bu sorumluluğu tüm veri işleyenleri ile paylaşır.
  • “ Poliklinik “ çalışanları, veri işleme şartlarının ortadan kalktığı durumlarda veri işlemeye devam edemezler.
  • “ Poliklinik “ aşağıda bulunan listeye ve yönetmelikte belirtilen durumlara göre Özel Nitelikli Kişisel Veri işlenme şartlarının ortadan kalktığını kabul eder;

 

  • Kişisel verileri işlemenin hukuka ve dürüstlük ilkesine aykırı olması,
  • Kişisel verilerin işlenmesini gerektirecek amacın ortadan kalkması,
  • Kişisel veri işlemenin sadece Açık Rıza şartlarına istinaden gerçekleştiği durumlarda, İlgili kişinin Açık Rızasını geri çekmesi durumunda,

Bu kapsamda “ Poliklinik “ tarafından Kişisel veri Saklama ve İmha Politikasında tanımlı olan tedbirler ve bu çerçevede alınacak olan aksiyonlar geçerli olacaktır.

6. Özel Nitelikli Kişisel verilerin Güvenliği

Özel Nitelikli Kişisel verilerin işlenmesinde, KVKK Kurulunca belirlenen yeterli önlemlerin alınması esastır. Özel Nitelikli Kişisel verilerin güvenliği, Kişisel verileri koruma kurulunun 07/03/2018 tarihinde Resmî Gazetede yayınlanan 31/1/2018 tarihli kararı uyarınca aşağıdaki şekilde belirlenmiştir.

  • Söz konusu Veri Sorumlusu ile Çalışanlar arasında gizlilik sözleşmeleri yapılır,
  • Verilere erişim yetkisine sahip kullanıcıların yetki kapsamları ve süreleri tanımlanmıştır,
  • Özel Nitelikli Kişisel verilerin işlenme süreçlerinde çalışanlarına yönelik kanun, mevzuat ve yönetmelikler konusunda, KVKK Kurulunun yayınlayacağı her türlü karar ve rehber ile ilgili her türlü konularda düzenli olarak eğitim ve bilgi verilir.
  • Yetki Kontrolleri periyodik olarak gerçekleştirilir,
  • Görev değişikliği veya işten ayrılma durumlarında bu alanda var olan yetkiler kontrol edilerek yetkiler derhal kapatılarak, veri sorumlusu tarafından kendilerine zimmet formu ile tahsis edilenler ilgili prosedür gereği geri alınır.

Özel Nitelikli Kişisel verilerin muhafaza edildiği, işlendiği ve/veya erişimin sağlandığı ortamlar dijital ortamlar (elektronik ) ise;

  • Kişisel verilerin bulunduğu tüm ortamların güvenlikleri sağlanır ve güncellemeler konusunda gerekli takipler yapılır,

Özel Nitelikli Kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği fiziksel ortamlarda ise;

  • Özel Nitelikli Kişisel verilerin bulunduğu fiziksel ortamlara yetkisiz giriş-çıkış engellenmiştir,
  • Özel Nitelikli Kişisel verilerin bulunduğu ortamların niteliğine uygun yeterli güvenlik önlemleri (Yangın, Su baskını, hırsızlık, elektrik kaçağı vb. Durumlara karşı alınan önlemler) alınmıştır,

İş Bu Politika Veri sorumlusu “Smile Corner Diş Polikliniği Hiz. Tic. Ltd. Şti.tarafından onaylandığı tarihten itibaren yürürlüğe girecek ve ilgili yerlerde yayınlanacaktır. Politikada yapılması gereken değişikliklerin yürürlüğe konulması konusunda gereken çalışmalar tarafından yapılacak ve yürürlüğe konulacaktır.

Mevzuat değişiklikleri, atıf yapılan bir teknik standarttaki değişme, Kişisel Verileri Koruma Kurulu’nun işlemleri ve/veya vereceği kararlar ile mahkeme kararları doğrultusunda “Poliklinik“  bu Politikayı gözden geçirme ve gerekli durumlarda Politikayı güncelleme, değiştirme veya ortadan kaldırıp yeni bir Politika oluşturma hakkını gizli ve saklı tutar.

“ Poliklinik “, Politika üzerinde yaptığı tüm değişiklikleri güncellenen en son halini e-posta ,yazılı doküman ve/veya kurumsal mail adresi üzerinden çalışanları ile paylaşacak ve erişimlerine sunacaktır.

Politikanın Yürürlük Tarihi: 02/01/2021