Özel Nitelikli Kişisel Verilerin Korunması ve İşlenmesi Politikası

1. Amaç

İşbu Özel Nitelikli Kişisel Verilerin Korunması ve İşlenmesi Politikası’nın amacı, Kişisel Verileri Koruma Kurulu’nun 31/01/2018 tarihli ve 2018/10 sayılı Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler kararından doğan hukuki yükümlülüklerin yerine getirilmesi ile özel nitelikli kişisel verilerin işlenmesinde alınan teknik ve idari tedbirlerin ortaya konulmasıdır.

2. Tanımlar

Bu politika metninde yer alan kavramların tanımları ise şöyledir:

Alıcı grubu                                          : Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisi.

Açık rıza                                             : Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza

Anonim Hale Getirme                          : Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi

Çalışan                                                : Şirket personeli

Elektronik ortam                                 : Kişisel verilerin elektronik aygıtlar ile oluşturulabildiği, okunabildiği, değiştirilebildiği ve yazılabildiği ortamlar

Elektronik olmayan ortam                   : Elektronik ortamların dışında kalan tüm yazılı, basılı, görsel vb. diğer ortamlar

Hizmet sağlayıcı                                  : Kurum ile belirli bir sözleşme çerçevesinde hizmet sağlayan gerçek veya tüzel kişi

İlgili kişi                                              : Kişisel verisi işlenen gerçek kişi

İmha                                                   : Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi

Kanun                                                 : 6698 Sayılı Kişisel Verilerin Korunması Kanunu

Kayıt ortamı                                        : Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam

Kişisel veri                                          : Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi

Kişisel veri işleme envanteri               :Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter

Kişisel verilerin işlenmesi                   : Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, saklanması, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem

Kurul                                                   : Kişisel Verileri Koruma Kurulu

Özel nitelikli kişisel veri                      : Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri

Periyodik imha                                   : Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi

Politika                                                : Kişisel Verileri Saklama ve İmha Politikası

Şirket                                                  : Akgündüz Ağız ve Diş Sağlığı Polikliniği Limited Şirketi

Veri işleyen                                         : Veri sorumlusunun verdiği yetkiye dayanarak veri sorumlusu adına kişisel verileri işleyen gerçek veya tüzel kişi

Veri kayıt sistemi                                : Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi

Veri sorumlusu                                   : Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasında ve yönetilmesinden sorumlu gerçek veya tüzel kişi

Veri sorumluları sicil bilgi sistemi      : Veri sorumlularının Sicile başvuruda ve Sicile ilişkin ilgili diğer işlemlerde kullanacakları, internet üzerinden erişilebilen, Başkanlık tarafından oluşturulan ve yönetilen bilişim sistemi

VERBİS                                               : Veri Sorumluları Sicil Bilgi Sistemi

Yönetmelik                                          : 28 Ekim 2017 tarihli Resmi Gazetede yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik

 3. Özel Nitelikli Kişisel Verilerin İşlenmesi

Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel verilerdir.

Şirket, özel nitelikli kişisel verilerin işlenmesinde Kanun’a ve diğer mevzuat hükümlerine riayet eder. Bu doğrultuda özel nitelikli kişisel veriler aşağıdaki ilkelere uygun olarak işlenir:

1. Hukuka ve dürüstlük kurallarına uygun olma
2. Doğru ve gerektiğinde güncel olma
3. İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma
4. Belirli, açık ve meşru amaçlar için işlenme
5. Mevzuatta öngörülen ya da işlendikleri amaç için gerekli olan süre kadar muhafaza edilme

Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler, Şirket tarafından veri sahibinin açık rızasının alındığı durumlarda ya da kanunlarda öngörülen hallerde işlenmektedir.

Sağlık ve cinsel hayata ilişkin veriler ise veri sahibinin açık rızasının alındığı durumlarda ya da kamu sağlığının korunması, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, koruyucu hekimlik, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla işlenmektedir.

Sağlık verilerinin işlenmesinde 20 Ekim 2016 tarihli ve 29863 sayılı Resmî Gazete’de yayımlanarak yürürlüğe giren Kişisel Sağlık Verilerinin İşlenmesi Ve Mahremiyetinin Sağlanması Hakkında Yönetmelik hükümlerine de riayet edilmektedir.

4. Özel Nitelikli Kişisel Verilerin Korunması İçin Alınan Teknik ve İdari Tedbirler

Şirket, özel nitelikli kişisel verilerin Kanun’a ve ilgili mevzuata uygun olarak işlenmesi ile özel nitelikli kişisel verilerin güvenliğinin sağlanması için her türlü tedbiri almaktadır. Bu kapsamda alınan tedbirler aşağıda sıralanmıştır:

5. İdari Tedbirler

• Şirket, özel nitelikli kişisel verilerin işlenme süreçlerinde yer alan çalışanlara yönelik özel nitelikli Gizlilik konusunda düzenli eğitimler vermektedir.
• Şirket, çalışanları ile veri güvenliğinin sağlanması için gizlilik sözleşmeleri akdetmektedir.
• Görev değişikliği olan ya da işten ayrılan çalışanların kişisel verilere erişim yetkileri derhal kaldırılmaktadır. Şirket, bu kapsamda çalışanlara tahsis etmiş olduğu envanterleri derhal iade almaktadır.

6. Teknik Tedbirler

a. Elektronik Ortamda Muhafaza Edilen ve/veya Erişilen Özel Nitelikli Kişisel Veriler Bakımından Alınan Teknik Tedbirler

• Özel nitelikli kişisel veriler kriptografik yöntemler kullanılarak muhafaza edilmektedir.
• Kriptografik anahtarlar güvenli ve farklı ortamlarda tutulmaktadır.
• Özel nitelikli kişisel veriler üzerinde gerçekleştirilen tüm hareketlerin işlem kayıtları güvenli olarak loglanmaktadır.
• Özel nitelikli kişisel verilerin bulunduğu ortamlara ait güvenlik güncellemeleri sürekli takip edilmekte, gerekli güvenlik testleri düzenli olarak yapılmakta/yaptırılmakta ve test sonuçları kayıt altına alınmaktadır.
• Özel nitelikli kişisel verilerin erişildiği yazılımlara ait kullanıcı yetkilendirmeleri yapılmakta, bu yazımların güvenlik testleri düzenli olarak yapılmakta/yaptırılmakta ve test sonuçları kayıt altına alınmaktadır.
• Özel nitelikli kişisel verilere uzaktan erişim sağlandığı hallerde en az iki kademeli doğrulama sistemi kullanılmaktadır.

b. Fiziksel Ortamda Muhafaza Edilen ve/veya Erişilen Özel Nitelikli Kişisel Veriler Bakımından Alınan Teknik Tedbirler

• Özel nitelikli kişisel verilerin bulunduğu ortamın niteliğine göre yeterli güvenlik önlemleri alınmaktadır.
• Bu ortamların fiziksel güvenliği sağlanmakta ve yetkisiz giriş çıkışlar engellenmektedir.

7. Özel Nitelikli Kişisel Verilerin Aktarılması

Şirket, özel nitelikli kişisel verileri Kanun’un 8. ve 9. maddelerinde yer alan veri işleme şartları çerçevesinde aktarmaktadır. Veri güvenliğini sağlama amacıyla Şirket tarafından veri aktarımında aşağıdaki kurallar uygulanmakta ve bu kapsamda periyodik denetimler gerçekleştirilmektedir.

• E-Posta Yoluyla Aktarım

Özel nitelikli kişisel verilerin e-posta yoluyla aktarıldığı hallerde şifreli olarak kurumsal e-posta adresiyle veya Kayıtlı Elektronik Posta (KEP) hesabı kullanılarak aktarım yapılmaktadır.

• Taşınabilir Bellek, CD, DVD Gibi Ortamlar Yoluyla Aktarım

Özel nitelikli kişisel verilerin taşınabilir bellek, CD, DVD gibi ortamlar yoluyla aktarıldığı hallerde kriptografik yöntemlerle şifrelenme işlemi yapılmakta ve kriptografik anahtar farklı bir ortamda tutulmaktadır.

• Farklı Fiziksel Ortamlardaki Sunucular Arasında Aktarım

Farklı fiziksel ortamlardaki sunucular arasında özel nitelikli kişisel veri aktarımında, sunucular arasında VPN kurularak veya sFTP yöntemiyle veri aktarımı gerçekleştirilmektedir.

• Kâğıt Ortamı Yoluyla Aktarım

Özel nitelikli kişisel verilerin kâğıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemlerin alınmakta ve evrak "gizlilik dereceli belgeler” formatında gönderilmektedir.

8. Özel Nitelikli Kişisel Verilerin Saklanması ve İmhası

Özel nitelikli kişisel veriler, Şirket tarafından Kanun ile diğer mevzuata ve Kurul tarafından yayımlanan Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler kararına uygun olarak aşağıdaki hallerde saklanmaktadır:

1. Veri sahibinin açık rızasının elde edilmiş olması
2. Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel verilerin saklanmasının kanunlarda öngörülmüş olması
3. Sağlık ve cinsel hayata ilişkin verilerin kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla saklanması

Şirket tarafından Kanun ile diğer mevzuata uygun olarak saklanan özel nitelikli kişisel veriler aşağıdaki sebeplerin ortaya çıkması halinde re’sen ya da veri sahibinin talebi üzerine silinir, yok edilir ya da anonim hale getirilir:

1. Özel nitelikli kişisel veri saklama faaliyetinin veri sahibinin açık rızasına dayandığı hallerde açık rızanın geri alınmış olması
2. Özel nitelikli kişisel verilerin saklanma amacının gerçekleşmiş, imkansızlaşmış ya da diğer herhangi bir yolla ortadan kalkmış olması
3. Özel nitelikli kişisel verilerin saklanmasına dayanak teşkil eden mevzuat hükümlerinin değişmesi ya da yürürlükten kalkması
4. Kanun’un 6. maddesinde yer alan işlenme şartlarının tamamının ortadan kalkmış olması
5. Veri sahibinin Kliniğe usulüne uygun olarak ilettiği özel nitelikli kişisel verilerinin imhasına ilişkin talebinin Şirket tarafından haklı görülmesi ve olumlu sonuçlandırılması
6. Kliniğin, veri sahibi tarafından özel nitelikli kişisel verilerinin imhası talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabın yetersiz bulunması veya Kanun’da öngörülen süre içinde cevap vermemesi hallerinde; Kurul’a şikâyette bulunulması ve bu talebin Kurul tarafından uygun bulunması.

Özel nitelikli kişisel verilerin saklanmasına ve imhasına ilişkin diğer hususlar Şirket Kişisel Veri Saklama ve İmha Politikasında düzenlenmiştir.