Olgu Etüd Bilişim websitesi, birçok web sitesinde olduğu gibi ziyaretçilerin web sitesini daha iyi ve rahat şekilde kullanımını sağlamak amacıyla çerez kullanmaktadır.
İşbu Çerez Politikası web sitesi ziyaretçilerini çerezin tanımı, çerez türleri, https://www.olgupsikoloji.com tarafından kullanılan çerezler ve çerez tercihlerinin nasıl yönetilebileceği konularında bilgilendirmek amacıyla hazırlanmıştır. Web sitesinde yer alan çerez kullanım uyarısının kapatılması ya da web sitesi kullanımına devam edilmesi halinde çerezlere onay verildiği kabul edilir.
Çerez kullanımı onaylanmıyorsa web sitesine devam edilmemesi ya da tarayıcıdan çerez tercihlerinin değiştirilmesi gerekmektedir. Çerezlere izin verilmemesi halinde web sitesinde bir takım aksaklıklar yaşanabilecektir.
ÇEREZ (“COOKIE”) NEDİR?
Çerez, bir web sitesi ziyaret edildiğinde kullanılan bilgisayarda ya da mobil cihazda veya ağ sunucusunda depolanan küçük metin dosyalarıdır. Bu dosyalarda; giriş yapılan IP adresi, oturum bilgileri, erişilen sayfalar vb. veriler saklanır. Çerezler, ad ve soyadı, telefon numarası ya da adres gibi verileri içermez. Çerezler sayesinde kullanıcının web sitesi tercihleri hatırlanabilir, oturumun açık tutulması sağlanabilir ya da kullanıcının ilgisi doğrultusunda içerek sunulabilir.
ÇEREZ (“COOKIE”) NEDEN KULLANILMAKTADIR?
İnternet Sitemizde çerez kullanılmasının başlıca amaçları aşağıda sıralanmaktadır:
- İnternet sitesinin işlevselliğini ve performansını arttırmak yoluyla kullanıcılara sunulan hizmetleri geliştirmek,
- İnternet Sitesini iyileştirmek ve İnternet Sitesi üzerinden yeni özellikler sunmak ve sunulan özellikleri kullanıcıların tercihlerine göre kişiselleştirmek;
- İnternet Sitesinin, kullanıcıların ve Şirketimizin hukuki ve ticari güvenliğinin teminini sağlamak.
ÇEREZ TÜRLERİ
Çerezler depolanma süreleri ve kimin tarafından yerleştirildikleri gibi kriterlere göre farklı türlere ayrılmaktadır. Bu kriterler kapsamında temel ayrım şu şekildedir:
- Oturum Çerezleri/Kalıcı Çerezler:Oturum çerezleri, geçici çerezler olup tarayıcıyı kapattıktan sonra cihazdan silinirler. Bu çerezlerin kullanılmasının temel amacı kullanıcının ziyareti süresince web sitesinin düzgün bir şekilde çalışmasını sağlamaktır. Kalıcı çerezler ise tarayıcıyı kapattıktan sonra da ziyaretçi tarafından silininceye ya da süresi doluncaya dek cihazda kalmaya devam ederler. Kalıcı çerezler sayesinde İnternet Sitemizin aynı cihazla tekrardan ziyaret edilmesi durumunda, kullanıcının cihazında İnternet Sitemiz tarafından oluşturulmuş bir çerez olup olmadığı kontrol edilir ve var ise, o kullanıcının siteyi daha önce ziyaret ettiği anlaşılır ve iletilecek içerik bu doğrultuda belirlenir, böylelikle kullanıcılara daha iyi bir hizmet sunulur.
- Birinci Taraf/Üçüncü Taraf Çerezler:Birinci taraf çerezler ziyaret edilen web sitesi operatörü tarafından cihaza yerleştirilen çerezlerdir. Üçüncü taraf çerezler ise ziyaret edilen web sitesi operatörü dışındaki kişiler tarafından cihaza yerleştirilen ve kontrol edilen çerezlerdir.
HANGİ ÇEREZLER KULLANILMAKTADIR?
https://www.olgupsikoloji.com Kişisel Verilerin Korunması Hakkında Aydınlatma ve Politikalara uygun olarak farklı türde çerezler kullanmaktadır.
Zorunlu Çerezler: Web sitesinin doğru bir şekilde çalışmasını sağlayan ve özelliklerini kullanmanıza imkân veren teknik çerezlerdir. Oturum çerezi kategorisinde yer alırlar. Bu çerezlerin engellenmesi halinde web sitesi özelliklerinin kullanılamaması sonucu doğar. Zorunlu çerezlerin kullanımı için ziyaretçilerimizin onayı gerekmemektedir.
Analitik Çerezler: https://www.olgupsikoloji.com web sitesi deneyiminizi iyileştirmek amacıyla analitik çerezler kullanmaktadır. Analitik çerezler, ziyaretçilerimizin web sitesi nasıl kullandığını (örn; hangi sayfaları ziyaret ettiğini, ziyaret süresini vb.) anlamamızı sağlar. Böylelikle https://www.olgupsikoloji.com içerikleri geliştirebilir ya da web sitesi tasarımını değiştirebilir.
İşlevsellik Çerezleri: Web sitesini tekrar ziyaret ettiğinizde dil tercihlerinizin, bölge seçiminizin vb. hatırlanmasına olanak sağlar.
Hedefleme/Reklam Çerezleri: https://www.olgupsikoloji.com web sitesinde hedefleme ve reklam amacıyla farklı birinci taraf ve üçüncü taraf çerezler kullanmaktadır. Bu çerezlerin tarayıcının ayarlarının değiştirilerek engellenmesi mümkündür.
ÇEREZ TERCİHLERİ NASIL DEĞİŞTİRİLİR?
Çerezlerin kullanıldığı tarayıcının ayarlarını değiştirerek kişiselleştirme ya da tamamen engelleme yapılması mümkündür. Farklı tarayıcılar için izlenmesi gereken adımlara ilişkin detaylı bilgiye aşağıdaki linklerden ulaşmak mümkündür.
Google Chrome :
https://support.google.com/chrome/answer/95647?co=GENIE.Platform%3DDesktop&hl=tr
Internet Explorer :
https://support.microsoft.com/tr-tr/help/17442/windows-internet-explorer-delete-manage-cookies
Mozilla Firefox :
https://support.mozilla.org/tr/kb/cerezleri-silme-web-sitelerinin-bilgilerini-kaldirma
Yandex :
https://yandex.com.tr/support/browser-classic/personal-data-protection/cookies.xml
Opera :
http://www.opera.com/browser/tutorials/security/privacy/
Safari :
https://support.apple.com/kb/ph19214?locale=tr_TR
Diğer tarayıcılarda çerez tercihlerini yönetmek için ilgili tarayıcının yardım veya destek sayfası incelenebilir.
KİŞİSEL VERİLERE İLİŞKİN HAKLAR
İlgili kişi, kişisel verilerinin;
- İşlenip işlenmediğini öğrenme,
- Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
- Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
- Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
- Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
- KVKK ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerin silinmesini veya yok edilmesini isteme,
- Kurumumuzca talebe bağlı olarak kişisel verilerin silinmesi, yok edilmesi ya da düzeltilmesi halinde aktarılan üçüncü kişilere bildirilmesini isteme,
- İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
- Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme
haklarına sahiptir.
BAŞVURU YÖNTEMİ VE FORMU
Başvuru tarafımıza, aydınlatma metni ekinde ve sitemizde yer alan formu doldurmak, form ekine kendinizi tanıtacak nitelikte kimlik bilgilerinize eklemek ve talebinizi açıklamak suretiyle aşağıda belirtilen kanallarla ya da Kanun kapsamında belirlenecek diğer yöntemlerle yapılabilecektir;
Talebin elden teslimi, noter aracılığıyla ya da posta yoluyla iletilmesi;
Adres: Kocatepe Mahallesi Meşrutiyet Caddesi Atıf Bey Apt, D:31/11, Çankaya/Ankara
Talebin elektronik ortamda iletilmesi;
E-Mail: [email protected]
Talebin kabul edilmesi ya da gerekçesinin açıklanarak reddedilmesi halinde cevap, KVKK uyarınca 30 gün içerisinde talep sahibine elektronik ortamda ya da yazılı olarak bildirilecektir.
Başvuruda yer alan talebin kabul edilmesi halinde tarafımızca derhal gereği yapılacaktır.
VERİ SORUMLUSUNA BAŞVURU USUL VE ESASLARI HAKKINDA TEBLİĞ MD. 7
ÜCRET: Başvuruya yazılı olarak cevap verilmesi durumunda, 10 sayfaya kadar ücret alınmayacak olup 10 sayfanın üzerindeki her sayfa için 1 Türk Lirası işlem ücreti alınabilecektir. Başvuruya cevabın CD, flash bellek gibi bir kayıt ortamında verilmesi halinde ise kayıt ortamının maliyeti tutarında bir ücret talep edilebilecektir.
OLGU ETÜD BILIŞIM DAN. YAY. TIC. LTD. ŞTI. KİŞİSEL VERİLERİN İŞLENMESİ VE KORUNMASI POLİTİKASI
Yayın Onayı | Olgu Etüd Bilişim Dan. Yay. Tic. Ltd. Şti.– (Tarih) |
Versiyon | Versiyon No. 01 |
İÇİNDEKİLER
- I.GİRİŞ
- Politikanın Amacı
- Politikanın Kapsamı
- Politikanın Hedefi
- Tanım ve Kısaltmalar
- Kişisel Verilere İlişkin Görev Dağılımı
- II.KİŞİSEL VERİLERİN KORUNMASINA İLİŞKİN HUSUSLAR
- Kişisel Verilerin Güvenliğinin Sağlanması
- İlgili Kişinin Haklarının Gözetilmesi
- Departmanların Kişisel Verilerin Korunması ve İşlenmesi Konusunda Farkındalıklarının Arttırılması ve Denetimi
- İş Ortakları ve Tedarikçilerin Kişisel Verilerin Korunması ve İşlenmesi Konusundaki Farkındalıklarının Arttırılması ve Denetimi
- III.KİŞİSEL VERİLERİN İŞLENMESİNDE İLKELER VE UYULACAK KURALLAR
- Kişisel Verilerin Mevzuatta Öngörülen İlkelere Uygun Olarak İşlenmesi
- Hukuka ve Dürüstlük Kuralına Uygun İşleme
- Kişisel Verilerin Doğru ve Gerektiğinde Güncel Olmasını Sağlama
- Belirli, Açık ve Meşru Amaçlarla İşleme
- İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma
- İşlendikleri Amaç için Gerekli Olan veya İlgili Mevzuatta Öngörülen Süre Kadar Muhafaza Etme
- Kişisel Verilerin KVKK’nın 5. Maddesinde Belirtilen Kişisel Veri İşleme Şartları ile Sınırlı Olarak İşlenmesi
- İlgili Kişinin Aydınlatılması ve Bilgilendirilmesi
- Özel Nitelikli Kişisel Verilerin İşlenmesi
- IV. OLGU ETÜD BILIŞIM DAN. YAY. TIC. LTD. ŞTI. TARAFINDAN İŞLENEN KİŞİSEL VERİLERİN SINIFLANDIRILMASI, İŞLEME AMAÇLARI VE SAKLAMA SÜRELERİ
- Kişisel Verilerin Sınıflandırılması
- Kişisel Verilerin İşlenme Amaçları
- Kişisel Verilerin Saklanma Süreleri
- V.KİŞİSEL VERİLERİN GÜVENLİĞİ
- Kişisel Verilerin Güvenliğine İlişkin Yükümlülüklerimiz
- Kişisel Verilerin Hukuka Aykırı İşlenmesini Önlemek İçin Aldığımız Tedbirler
- Kişisel Verilere Hukuka Aykırı Erişimi Engellemek İçin Alınan Teknik Ve İdari Tedbirler
- Kişisel Verilerin Hukuka Aykırı İfşası Durumunda Aldığımız Tedbirler
- VI. OLGU ETÜD BILIŞIM DAN. YAY. TIC. LTD. ŞTI. TARAFINDAN VERİLERİ İŞLENEN KİŞİ GRUPLARI
- VII.KİŞİSEL VERİLERİN VE ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİ
- Kişisel Verilerin İşlenmesi
- Özel Nitelikli Kişisel Verilerin İşlenmesi
- VIII. OLGU ETÜD BILIŞIM DAN. YAY. TIC. LTD. ŞTI. TARAFINDAN KİŞİSEL VERİLERİN AKTARILDIĞI ÜÇÜNCÜ KİŞİLER VE AKTARILMA AMAÇLARI
- Kişisel Verilerin Aktarılması
- Kişisel Verilerin Yurtiçine Aktarımı Şartları
- Kişisel Verilerin Yurtdışına Aktarımı Şartları
- Kişisel Verilerin Aktarıldığı Kurum ve Kuruluşlar
- Özel Nitelikli Kişisel Verilerin Aktarılması
- Özel Nitelikli Kişisel Verilerin Yurtiçine Aktarım Şartları
- Özel Nitelikli Kişisel Verilerin Yurtdışına Aktarım Şartları
- IX.İŞYERİ VE İNTERNET SİTESİ ZİYARETÇİLERİNE İLİŞKİN VERİ İŞLEME FAALİYETLERİ
- İnternet Sitesi Ziyaretçileri
- X.KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VE ANONİMLEŞTİRİLMESİ ŞARTLARI
- Kişisel Verilerin Silinmesi, Yok Edilmesi ve Anonimleştirilmesi Yükümlülüğü
- Kişisel Verilerin Silinmesi, Yok Edilmesi ve Anonimleştirilmesi Teknikleri
- Kişisel Verilerin Silinmesi, Yok Edilmesi Teknikleri
- Fiziksel Olarak Yok Etme
- Yazılımdan Güvenli Silme
- Uzman Tarafından Güvenli Olarak Silme
- Kişisel Verilerin Anonimleştirilmesi Teknikleri
- Maskeleme
- Toplulaştırma
- Veri Türetme
- Veri Karma
- Kişisel Verilerin Silinmesi, Yok Edilmesi Teknikleri
- XI.İLGİLİ KİŞİNİN HAKLARI, HAKLARIN KULLANILMASI VE DEĞERLENDİRİLMESİ
- İlgili Kişinin Hakları ve Bu Hakların Kullanılması
- İlgili Kişinin Hakları
- İlgili Kişinin Başvuru Usulü
- İlgili Kişinin Kişisel Verilerin Korunmsaı Kuruluna Şikayette Bulunma Hakkı
- İlgili Kişinin Haklarını İleri Süremeyeceği Haller
- XII. İHLAL DURUMU İLE KARŞILAŞILMASI HALİNDE YAPILACAKLAR
- XIII. OLGU ETÜD BILIŞIM DAN. YAY. TIC. LTD. ŞTI. KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASININ DİĞER POLİTİKALARLA OLAN İLİŞKİSİ
- GİRİŞ
- POLİTİKANIN AMACI
Olgu Etüd Bilişim Dan. Yay. Tic. Ltd. Şti. ve tüm personelleri, Kişisel Verilerin Korunması ve İşlenmesi Politikası doğrultusunda, kişisel verilerin korunmasına ilişkin Türkiye Cumhuriyeti Anayasası, 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), sair mevzuat tarafından getirilmiş ilke, kurallara uymayı ve ilgili kişilerin haklarını korumayı taahhüt etmektedir. Bu amaçla, uygulanmak ve geliştirilmek üzere yazılı bir kişisel veri koruma politikası ve sistemi benimsemiştir.
Kişisel Veri Koruma Politikasının amacı, Olgu Etüd Bilişim Dan. Yay. Tic. Ltd. Şti. ’in kişisel verilerin yönetiminde kendi standartlarını oluşturması ve gerçekleştirmesinin sağlanması; organizasyonel hedef ve yükümlülüklerin belirlenmesi, desteklenmesi, Olgu Etüd Bilişim Dan. Yay. Tic. Ltd. Şti. ’un kabul edilebilir risk seviyesiyle uyumlu olarak kontrol mekanizmalarının tesis edilmesi; kişisel verilerin korunması alanındaki uluslararası sözleşmeler, Anayasa, kanunlar, sözleşmeler ve meslek kuralları uyarınca tabi olduğu yükümlülüklerin yerine getirilmesi ve bireylerin menfaatlerinin en iyi şekilde korunmasıdır.
- POLİTİKANIN KAPSAMI
İşbu politika, Olgu Etüd Bilişim Dan. Yay. Tic. Ltd. Şti. için hazırlanmış olup bünyesinde verilen hizmetleri kapsamına almaktadır. Politika hükümleri, Olgu Etüd Bilişim Dan. Yay. Tic. Ltd. Şti.’un faaliyet konuları ve çalışma alanlarında kişisel verilerin işlenmesi süreçlerine dahil olan tüm bilgi sistemlerini ve alt bilgileri, sözleşmeleri, çevre ve fiziksel alanları ve tüm bunlar için üretilen sistem ve düzenlemeleri kapsamaktadır. Bu politika Olgu Etüd Bilişim Dan. Yay. Tic. Ltd. Şti. ’in şahsını, tüm departmanları, müdürlükleri, her türlü hizmeti veren çalışanlarını, stajyer ve sözleşmeli personeli kapsamaktadır. KVKK veya bu politikayı ihlal edici her türlü eylem ilgili mevzuat kapsamında değerlendirilir ve bu doğrultuda yaptırımlar uygulanır.
Olgu Etüd Bilişim Dan. Yay. Tic. Ltd. Şti. ’in kişisel verilere erişimi veya erişme ihtimali bulunan çözüm ortakları, kamu kurumları, sigorta şirketleri ve Olgu Etüd Bilişim Dan. Yay. Tic. Ltd. Şti. ile çalışan tüm üçüncü taraflar bu politikayı okumaya ve politikaya uymaya davet edilir. Üçüncü taraflar, kişisel verilerin korunması konusunda en az Olgu Etüd Bilişim Dan. Yay. Tic. Ltd. Şti. kadar güçlü ve yeterli standartlara sahip bir sistem ile kişisel verilerin korunmasını sağlamalıdır. Üçüncü taraflar ile Olgu Etüd Bilişim Dan. Yay. Tic. Ltd. Şti. arasında kişisel verilerin korunması kapsamındaki yükümlülükler ve bunlara ilişkin denetim hakkını içeren yazılı bir gizlilik anlaşması yapılacaktır. Üçüncü taraflar gizlilik anlaşması imzalanmadan Olgu Etüd Bilişim Dan. Yay. Tic. Ltd. Şti. tarafından işlenen kişisel verilere erişim sağlayamaz. Kişisel Verilerin Korunması ve İşlenmesi Politikası ile birlikte Olgu Etüd Bilişim Dan. Yay. Tic. Ltd. Şti. ’in benimsediği veri güvenliği ilkeleri sürdürülebilir kılınmış olacaktır.
- POLİTİKANIN HEDEFİ
Olgu Etüd Bilişim Dan. Yay. Tic. Ltd. Şti. Terapi Merkezi Politikası ile, işletme bünyesinde kişisel verilerin hukuka uygun olarak işlenmesi ve korunması konusunda farkındalığın oluşması hedefi doğrultusunda gerekli sistemleri oluşturmak ve mevzuata uyumunu temin etmek için gereken düzenin kurulması amaçlanmaktadır. Bu kapsamda Politika ile KVK Kanunu ve ilgili mevzuat ile ortaya konulan düzenlemelerin uygulanması bakımından yol gösterme hedefi gözetmektedir.
- TANIM VE KISALTMALAR
Veri Sorumlusu: Olgu Etüd Bilişim Dan. Yay. Tic. Ltd. Şti. |
Açık Rıza: Belirli bir konuya ilişkin, bilgilendirilmeye ve özgür iradeye dayanan, tereddüte yer bırakmayacak açıklıkta, sadece o işlemle sınırlı olarak verilen onay. |
Anonim Hale Getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir. |
Çalışan: Personel. |
İlgili Kişi: Kişisel verisi işlenen gerçek kişi. |
Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi. |
Özel Nitelikli Kişisel Veri: Kişilerin, ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi, veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkumiyeti, güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri. |
Kişisel Verilerin İşlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, saklanması, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem |
Veri İşleyen: Veri sorumlusunun verdiği yetkiye dayanarak veri sorumlusu adına kişisel verileri işleyen gerçek veya tüzel kişi. |
Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasında ve yönetilmesinden sorumlu gerçek veya tüzel kişi |
KVK Kurulu: Kişisel Verileri Koruma Kurulu. |
KVK Uyum Süreci: Olgu Etüd Bilişim Dan. Yay. Tic. Ltd. Şti.tarafından yürürlüğe konulmuş, kişisel verilerin korunmasına ilişkin mevzuat ile uyumluluğun sağlanmasına ilişkin program. |
KVK Kurumu: Kişisel Verileri Koruma Kurumu. |
KVKK: 7 Nisan 2016 tarihli ve 29677 sayılı Resmi Gazetede yayımlanan, 6698 Sayılı Kişisel Verilerin Korunması Kanunu |
Politika: Olgu Etüd Bilişim Dan. Yay. Tic. Ltd. Şti. Terapi Merkezi Kişisel Verilerin İşlenmesi ve Korunması Politikası. |
Kişisel Veri Saklama ve İmha Politikası: Kişisel Verilerin Silinmesi, Yok Edilmesi, Anonim Hale Getirilmesi Hakkında Yönetmelik gereğince, Olgu Etüd Bilişim Dan. Yay. Tic. Ltd. Şti. tarafından kişisel verilerin işlendikleri amaç için gerekli olan azami süreyi belirleme işlemi ile silme, yok etme ve anonim hale getirme işlemi için dayanak yapılmış olan “Olgu Etüd Bilişim Dan. Yay. Tic. Ltd. Şti. Kişisel Veri Saklama ve İmha Politikası”. |
Periyodik İmha: Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda tekrar eden aralıklarla gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi |
Kayıtlı Elektronik Posta (KEP): her türlü ticari, hukuki yazışma ve belge paylaşımlarınızı gönderdiğiniz biçimde koruyan, alıcının kim olduğunu kesin olarak tespit eden, içeriğin kesinlikle değişmemesini ve içeriği yasal geçerli ve güvenli, kesin delil haline getiren sistemdir. |
Veri Sorumluları Sicil Bilgi Sistemi: Veri sorumlularının Sicile başvuruda ve Sicile ilişkin ilgili diğer işlemlerde kullanacakları, internet üzerinden erişilebilen, Başkanlık tarafından oluşturulan ve yönetilen bilişim sistemi |
VERBİS: Veri Sorumluları Sicil Bilgi Sistemi |
- KİŞİSEL VERİLERE İLİŞKİN GÖREV DAĞILIMI
Kişisel Verilerin Korunmasına İlişkin Görev Dağılımı
UNVAN | BİRİM | GÖREV |
Veri Sorumlusu | Olgu Etüd Bilişim Dan. Yay. Tic. Ltd. Şti. | İşletme politikasına uygun şekilde iş ve işlemlerin yürütülmesini sağlamaktır. |
Departman Sorumluları | Çalışanlar | Görevlerine ve gizlilik sözleşmelerine uygun olarak Politikanın yürütülmesinden sorumludur. |
İrtibat Kişisi | Kalyoncu Hukuk Bürosu | Politikada yer alan hususların VERBİS sistemine uyumlu şekilde düzenlenmesi ve bildirimlerin yapılmasından sorumludur. |
- KİŞİSEL VERİLERİN KORUNMASINA İLİŞKİN HUSUSLAR
- KİŞİSEL VERİLERİN GÜVENLİĞİNİN SAĞLANMASI
Tüm personel ve çalışanlar, Olgu Etüd Bilişim Dan. Yay. Tic. Ltd. Şti. tarafından işlenen ve kendi sorumluluklarında olan verilerin güvenli olarak tutulmasını ve gizlilik sözleşmesi imzalamadıkça üçüncü tarafa açıklanmamasını sağlamakla yükümlüdür.
Kişisel verilere, yalnızca bunlara erişimi gerekli olanlar erişebilmektedir. Kişilere özgü erişim yetkilerine ilişkin bilgiler üçüncü kişiler ile paylaşılamaz. Kişisel verilere ilişkin bilgi güvenliği ile ilgili olaylar KVK Komitesince kesin olarak tespit edildiğinden itibaren en kısa süre ve en geç 72 saat içerisinde KVK Kuruluna bildirilir. İş bu politikanın XII. maddesinde belirtilen “İhlal Durumu ile Karşılaşılması Halinde Yapılacaklar” başlığı altındaki tedbirler ayrıca alınır.
Kişisel Verilerin Bulunduğu Ortamlar
Elektronik Ortamlar | Elektronik Olmayan Ortamlar |
-Sunucular (Etki alanı, yedekleme, e-posta, veritabanı, web, dosya paylaşım, vb.), Yazılımlar (ofis yazılımları.) -Kişisel bilgisayarlar (Masaüstü, dizüstü) -Mobil cihazlar (telefon, tablet vb.) -Optik diskler (CD, DVD vb.) -Çıkartılabilir bellekler (USB, Hafıza Kart vb.) | -Yazıcı, tarayıcı, fotokopi makinesi -Kağıt -Manuel veri kayıt sistemleri (anket formları, ziyaretçi giriş defteri) -Yazılı, basılı, görsel ortamlar -Birim dolapları |
- İLGİLİ KİŞİNİN HAKLARININ GÖZETİLMESİ
İlgili Kişiler Olgu Etüd Bilişim Dan. Yay. Tic. Ltd. Şti. nezdindeki veri işleme faaliyetleri ve kayıtlara ilişkin olarak Kişisel Verilerin Korunması Hakkında Kanun’un 11. maddesinde ve iş bu politikanın XI. başlığının A-1 maddesinde açıkça sayılan haklara sahiptir. Olgu Etüd Bilişim Dan. Yay. Tic. Ltd. Şti. kişisel verilerin işlenmesi esnasında ilgili kişilerin tüm haklarını gözeterek faaliyetlerini sürdürmektedir.
- DEPARTMANLARIN KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ KONUSUNDA FARKINDALIKLARININ ARTTIRILMASI VE DENETİMİ
Olgu Etüd Bilişim Dan. Yay. Tic. Ltd. Şti., kişisel verilerin hukuka aykırı olarak işlenmesinin önlenmesi, verilere hukuka aykırı olarak erişilmesinin önlenmesi ve verilerin muhafazasının sağlanması için çalışanlarına ve yetkili satış noktalarına gerekli farkındalık eğitimlerinin düzenlenmesini sağlamaktadır.
- İŞ ORTAKLARI VE TEDARİKÇİLERİN KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ KONUSUNDAKİ FARKINDALIKLARININ ARTTIRILMASI VE DENETİMİ
Olgu Etüd Bilişim Dan. Yay. Tic. Ltd. Şti., kişisel verilerin hukuka aykırı olarak işlenmesini, verilere hukuka aykırı olarak erişilmesini önlemeye ve verilerin muhafazasını sağlamaya yönelik farkındalığın artırılması için iş ortaklarına ve tedarikçilerine gerekli eğitimlerin düzenlenmesini sağlamaktadır.
III. KİŞİSEL VERİLERİN İŞLENMESİNDE İLKELER VE UYULACAK KURALLAR
- A. KİŞİSEL VERİLERİN MEVZUATTA ÖNGÖRÜLEN İLKELERE UYGUN OLARAK İŞLENMESİ
- Hukuka ve Dürüstlük Kuralına Uygun İşleme
Olgu Etüd Bilişim Dan. Yay. Tic. Ltd. Şti., bünyesinde ilgili kişilerin kişisel verileri dürüstlük kurallarına uygun, şeffaf ve aydınlatma yükümlülüğü çerçevesinde işlenmektedir.
- Kişisel Verilerin Doğru ve Gerektiğinde Güncel Olmasını Sağlama
İşlenen verilerin doğru ve güncel olmasını sağlamak için veri işleme prosedürlerinde gerekli tedbirler alınmakta, İlgili Kişi’ye verilerini güncellemesi ve var ise işlenen verilerindeki hataların düzeltilebilmesi için başvuru imkanı sunulmaktadır.
- Belirli, Açık ve Meşru Amaçlarla İşleme
Olgu Etüd Bilişim Dan. Yay. Tic. Ltd. Şti.tarafından kişisel verilerin kapsamı ve içeriği açıkça belirlenmiş, mevzuat ve ticari hayatın olağan akışı çerçevesinde faaliyetlerini sürdürmek için belirlenen meşru amaçlar dahilinde kişisel veriler işlenmektedir.
- İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma
Kişisel veriler açık ve kesin olarak belirlenen amaçlarla bağlantılı, sınırlı ve ölçülü olarak işlenmektedir. İlgili olmayan veya işlenmesine ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınılmaktadır. Bu nedenle, yasal gereklilik yahut meşru menfaat olmadığı sürece özel nitelikte kişisel verileri işlememekte veya işlememiz gerektiğinde konuya ilişkin aydınlatmalar yapılarak açık rızalar alınmaktadır.
- İşlendikleri Amaç İçin Gerekli Olan veya İlgili Mevzuatta Öngörülen Süre Kadar Muhafaza Etme
Mevzuattaki birçok düzenleme kişisel verilerin belirli bir süre saklanmasını zorunlu kılmaktadır. Bu nedenle, işlenen kişisel veriler ilgili mevzuatta öngörülen veya kişisel verilerin işlenme amaçları için gerekli olan süre kadar saklanmaktadır.
Mevzuatta öngörülen saklama süresinin sona ermesi veya işleme amacının ortadan kalkması durumunda kişisel veriler silinmekte, yok edilmekte veya anonim hale getirilmektedir. Saklama sürelerine ilişkin ilkeler ve süreçler işbu politikanın IV. C. maddesinde detaylarıyla açıklanmaktadır.
- B. KİŞİSEL VERİLERİN, KVKK’NIN 5. MADDESİNDE BELİRTİLEN KİŞİSEL VERİ İŞLEME ŞARTLARI İLE SINIRLI OLARAK İŞLENMESİ
Kişisel veriler, KVKK’nın 5. Maddesinde belirtildiği üzere; kanunlarda açıkça öngörülmesi, fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması, ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması durumlarında ve bu şartlarla sınırlı olarak işlenmektedir.
- C. İLGİLİ KİŞİNİN AYDINLATILMASI VE BİLGİLENDİRİLMESİ
Olgu Etüd Bilişim Dan. Yay. Tic. Ltd. Şti.tarafından, kişisel veriler toplanırken; öncelikle KVKK’nın 10. maddesine ve Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’e uygun olarak ilgili kişiler açıkça bilgilendirilerek aydınlatılmaktadır. Aydınlatma metinlerimizde;
- Ticaret unvanı, açık adresi ve iletişim bilgileri,
- Mevcut ise temsilci kimliğine ilişkin bilgiler,
- Kişisel veri kategorileri,
- Kişisel verilerin hangi amaçla işleneceği,
- İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
- Verileri toplama yöntemi ve hukuki sebebi,
- İlgili kişinin KVKK’nın 11. maddesinde sayılan hakları, şeklinde alt başlıklar ve içerikleri yer almaktadır. Aydınlatma metnimizde yukarıda yer alan bilgilerin dışında başvuru yöntemleri de sayılmıştır. Bu yöntemler sayesinde Kişisel Verilerin Korunmasında şeffaf ve ulaşılabilir olunması hedeflenmiştir.
Tarafımızca kamuoyuna açık olan işbu Politika’nın açık, anlaşılır, kolay erişebilir olmasına özen gösterilmektedir.
- D. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİ
Özel nitelikli kişisel veriler kanunlarda sınırlı sayıda öngörülmüştür. Bu verilerin işlenebilmesi için kanun maddeleri ve KVK Kurulu’nun öngördüğü idari ve teknik tedbirler alınmak suretiyle verilerin korunması sağlanmaktadır. Bu kapsamda, özel nitelikli kişisel verilerin (ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançları, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri) ilgilinin açık rızası olmaksızın işlenmesi kanunen yasaktır. Sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hallerde ilgili kişinin açık rızası aranmaksızın işlenebilecektir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurul ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilecektir. Sağlık sektöründe, sır saklama yükümlüsü olarak faaliyette bulunduğumuz üzere, özel nitelikli kişisel verileri açık rıza aranmaksızın işleyebilmekteyiz.
- OLGU ETÜD BILIŞIM DAN. YAY. TIC. LTD. ŞTI. TARAFINDAN İŞLENEN KİŞİSEL VERİLERİN SINIFLANDIRILMASI, İŞLEME AMAÇLARI VE SAKLAMA SÜRELERİ
- A. KİŞİSEL VERİLERİN SINIFLANDIRILMASI
- Kişisel Veriler
Kişisel veriler; kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgilerdir.
Kişisel verilerin koruması sadece gerçek kişiler ile ilgili olup tüzel kişilere ait, içerisinde gerçek kişiye ilişkin bilgi içermeyen bilgiler kişisel veri koruması dışında bırakılmıştır. Bu nedenle işbu Politika tüzel kişilere ait verilere uygulanmaz.
Kişisel Veri Kategorileri | Alt Başlıklar ve Açıklamalar |
Kimlik | Ad soyad, T.C. kimlik numarası, uyruk bilgisi, anne adı-baba adı, anne kızlık soyadı, doğum yeri, doğum tarihi, cinsiyet gibi bilgileri içeren ehliyet, nüfus cüzdanı ve pasaport gibi belgeler ile vergi numarası, SGK numarası, imza bilgisi, taşıt plakası v.b. bilgiler. |
İletişim | İletişim bilgileri; telefon numarası, adres, e-mail adresi, faks numarası vb. kişisel verilerdir. |
Özlük | Bordro bilgileri, disiplin soruşturması, işe giriş belgesi kayıtları, özgeçmiş bilgileri, performans değerlendirme raporları vb. |
Hukuki İşlem | Adli Makamlarla yazışma bilgileri, dava dosyalarındaki bilgiler. |
Müşteri İşlem | Fatura, senet, çek bilgileri, talep bilgisi, sipariş bilgisi vb. müşterilere ilişkin verilerdir. |
Mesleki Deneyim | Diploma bilgileri, gidilen kurslar, Meslek içi eğitim bilgileri, transkript bilgileri, sertifikalar. |
Görsel ve İşitsel Kayıtlar | Görsel ve işitsel kayıtlar |
Özel Nitelikli Kişisel Veriler | KVKK’nın 6. maddesinde belirtilen veriler (örneğin; kan grubu da dahil sağlık verileri, biyometrik veriler, din ve üye olunan dernek bilgisi gibi). |
- Özel Nitelikli Kişisel Veriler
Kişilerin, ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları ile kılık ve kıyafeti, dernek, vakıf ya da sendika üyelikleri, sağlığı, cinsel hayatı, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel verilerdir.
- KİŞİSEL VERİLERİN İŞLENME AMAÇLARI
Tarafımızca kişisel verileri sayılanlarla sınırlı olmamak üzere aşağıda sayılanlarla benzer amaçlar için işlemekteyiz:
- Acil Durum Yönetimi Süreçlerinin Yürütülmesi
- Çalışan Adayı / Stajyer / Öğrenci Seçme ve Yerleştirme Süreçlerinin Yürütülmesi
- Çalışan Adaylarının Başvuru Süreçlerinin Yürütülmesi
- Çalışan Memnuniyeti ve Bağlılığı Süreçlerinin Yürütülmesi
- Çalışanlar İçin İş Akdi ve Mevzuattan Kaynaklı Yükümlülüklerin Yerine Getirilmesi
- Çalışanlar İçin Yan Haklar ve Menfaatleri Süreçlerinin Yürütülmesi
- Erişim Yetkilerinin Yürütülmesi
- Faaliyetlerin Mevzuata Uygun Yürütülmesi
- Finans ve Muhasebe İşlerinin Yürütülmesi
- Hukuk İşlerinin Takibi ve Yürütülmesi
- İletişim Faaliyetlerinin Yürütülmesi
- İnsan Kaynakları Süreçlerinin Planlanması
- İş Faaliyetlerinin Yürütülmesi / Denetimi
- İş Sağlığı / Güvenliği Faaliyetlerinin Yürütülmesi
- İş Süreçlerinin İyileştirilmesine Yönelik Önerilerin Alınması Ve Değerlendirilmesi
- İş Sürekliliğinin Sağlanması Faaliyetlerinin Yürütülmesi
- Mal / Hizmet Satın Alım Süreçlerinin Yürütülmesi
- Mal / Hizmet Satış Sonrası Destek Hizmetlerinin Yürütülmesi
- Mal / Hizmet Satış Süreçlerinin Yürütülmesi
- Mal / Hizmet Üretim ve Operasyon Süreçlerinin Yürütülmesi
- Müşteri İlişkileri Yönetimi Süreçlerinin Yürütülmesi
- Müşteri Memnuniyetine Yönelik Aktivitelerin Yürütülmesi
- Sözleşme Süreçlerinin Yürütülmesi
- Talep / Şikayetlerin Takibi
- Yetkili Kişi, Kurum ve Kuruluşlara Bilgi Verilmesi
- Ziyaretçi Kayıtlarının Oluşturulması ve Takibi
- Ürün Faturalarının Düzenlenmesi
- KİŞİSEL VERİLERİN SAKLANMA SÜRELERİ
Kişisel veriler mevzuatta öngörülen saklama süreleri saklı kalmak kaydıyla, kişisel verilerin işleme amacının gerektirdiği süre boyunca saklanmaktadır. Resmi internet sitesinde yayınlanan Olgu Etüd Bilişim Dan. Yay. Tic. Ltd. Şti. Saklama ve İmha Politikası içeriğinde saklama ve imha sürelerinin detaylarına yer verilmiştir.
Kişisel veriler birden fazla amaç ile işlenmesi hallerinde, verinin işleme amaçlarının ortadan kalkması veya İlgili Kişi’nin talebi üzerine verilerin silinmesine mevzuatta bir engel olmaması durumunda veriler silinir, yok edilir veya anonimleştirilerek saklanır. Yok etme, silme veya anonimleştirme hususlarında mevzuat hükümlerine ve KVK Kurulu kararlarına uyulur.
- Kişisel verilerin saklanmasına ilişkin alınan tedbirler
- Teknik tedbirler
Kişisel Verilerin Korunmasına İlişkin alınmış bulunan teknik tedbirler aşağıda belirtilmiştir.
- Olgu Etüd Bilişim Dan. Yay. Tic. Ltd. Şti., işbu politikada yer alan her bir imha yöntemine uygun teknik araç ve ekipman bulundurur.
- Kişisel verilerin hukuka aykırı işlenmesini önlemeye yönelik riskler belirlenmekte, bu risklere uygun teknik tedbirlerin alınması sağlanmakta ve alınan tedbirlere yönelik teknik kontroller yapılmaktadır.
- Kişisel verilerin bulunduğu saklama alanlarına erişimler kayıt altına alınarak uygunsuz erişimler veya erişim denemeleri kontrol altında tutulmaktadır.
- Olgu Etüd Bilişim Dan. Yay. Tic. Ltd. Şti., silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması için gerekli tedbirleri almaktadır.
- Kişisel verilerin işlendiği elektronik ortamlarda güçlü parolalar kullanılmaktadır.
- Kişisel verilerin güvenli olarak saklanmasını sağlayan veri yedekleme programları kullanılmaktadır.
- Özel nitelikli kişisel veri işleme süreçlerinde yer alan çalışanlara yönelik özel nitelikli kişisel veri güvenliği konusunda eğitimler verilmiş, gizlilik sözleşmeleri yapılmış, verilere erişim yetkisine sahip kullanıcıların yetkileri tanımlanmıştır.
- Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği fiziksel ortamların yeterli güvenlik önlemleri alınmakta, fiziksel güvenliği sağlanarak yetkisiz giriş çıkışlar engellenmektedir.
- İdari tedbirler
Kişisel Verilerin Korunmasına İlişkin alınmış bulunan idari tedbirler aşağıda belirtilmiştir.
- Kişisel verilerin saklanması ile ilgili teknik ve idari riskler hakkında çalışanlar bilgilendirilerek farkındalık yaratılmakta,
- Kişisel verilerin saklanması için üçüncü kişilerle iş birliği yapılması durumunda kişisel verilerin aktarıldığı şirketler ile yapılan sözleşmelere; kişisel verilerin aktarıldığı kişilerin, aktarılan kişisel verilerin korunması ve güvenli saklanması amacıyla gerekli güvenlik tedbirlerinin alınmasına ilişkin hükümlere yer verilmekte,
- Çalışanlara, müşterilere, ziyaretçilere, çalışan adaylarına ilişkin aydınlatma yükümlülüğü kapsamında metinler oluşturulmakta ve yayınlanmakta,
- Aydınlatma sonrasında ilgili kişilerin açık ve net iradeleri doğrultusunda açık rıza metinleri oluşturulmakta,
- Kişisel verilerin bulunduğu yerlerin güvenliği sağlanmakta, kilitli dolap sistemleri kullanılmakta,
- Gizlilik sözleşmeleri (Tedarikçiler, hekimler ile) imzalanmaktadır.
V. KİŞİSEL VERİLERİN GÜVENLİĞİ
- Kişisel verilerin güvenliğine ilişkin yükümlülükler
Kişisel verilerin;
- Hukuka aykırı işlenmesinin önlenmesi,
- Hukuka aykırı erişiminin önlenmesi,
- Hukuka uygun olarak saklanmasının sağlanması için Olgu Etüd Bilişim Dan. Yay. Tic. Ltd. Şti.tarafından teknolojik olanaklar ve uygulama maliyetlerine göre idari ve teknik tedbirler alınmaktadır.
- Kişisel verilerin hukuka aykırı işlenmesini önlemek için aldığımız tedbirler
- Klinik merkezi içerisinde rastgele ve/veya periyodik denetimler yapılmakta ve yaptırılmakta,
- İşletmenin yürüttüğü faaliyetler, detaylı olarak değerlendirilmekte, söz konusu değerlendirme sonucunda ilgili birimlerin gerçekleştirdiği faaliyetler özelinde kişisel veriler işlenmekte,
- Kişisel verilerin işlenmesi amacıyla üçüncü kişilerle iş birliği yapıldığı hallerde kişisel verileri işleyen şirketler ile yapılan sözleşmelerde; kişisel verileri işleyen kişilerin, gerekli idari ve teknik tedbirleri almasına ilişkin hükümlere yer verilmekte,
- Kişisel verilerin hukuka aykırı olarak ifşa edilmesi veya veri sızıntısı olması halinde KVK Kurulu’na durumu bildirerek bu hususta mevzuat tarafından öngörülen incelemeler yapılmakta ve tedbirler alınmaktadır.
- Kişisel verilere hukuka aykırı erişimi engellemek için alınan teknik ve idari tedbirler
Kişisel verilere hukuka aykırı erişimi engellemek için;
- Teknik uzmanlığı olan çalışanlar istihdam edilmekte,
- Teknik tedbirler periyodik olarak güncellenmekte ve yenilenmekte,
- İşletme içerisinde kullanılmakta olan veri kayıt sistemleri mevzuata uygun şekilde oluşturulmakta ve periyodik olarak denetimleri yapılmakta,
- Oluşabilecek risklere karşı acil eylem planları oluşturulup bunların uygulanmasına ilişkin sistemler geliştirilmekte,
- Çalışanlar kişisel verilere erişim ve yetkilendirme hususlarında eğitim almakta ve bilgilendirilmekte,
- Kişisel verilerin işlenmesi ve saklanması gibi faaliyetler amacıyla üçüncü kişilerle iş birliği yapıldığı hallerde kişisel verilere erişim sağlayan şirketler ile yapılan gizlilik sözleşmelerinde; kişisel verilere erişim sağlayan kişilerin, gerekli idari ve teknik tedbirleri almasına ilişkin hükümlere yer verilmekte,
- Kişisel verilere hukuka aykırı erişimi engellemeyi sağlamak amacıyla teknolojik gelişmeler dahilinde güvenlik sistemleri kurulmaktadır.
- Kişisel verilerin hukuka aykırı ifşası durumunda aldığımız tedbirler
Kişisel verilerin hukuka aykırı ifşasının engellenmesine yönelik, idari ve teknik tedbirler alınmakta ve ilgili prosedürlere uygun şekilde bu tedbirler güncellenmektedir. Kişisel verilerin yetkisiz olarak ifşa edildiğinin tespit edilmesi halinde, bu durumun İlgili Kişiye ve KVK Kurulu’na bildirilmesi için sistem ve alt yapılar oluşturulmaktadır.
Alınan tüm idari ve teknik tedbirlere rağmen hukuka aykırı bir ifşa gerçekleşmesi durumunda KVK Kurulu tarafından gerek görülmesi halinde, bu durum, KVK Kurulu’nun internet sitesinde veya başka bir yöntemle ilan edilebilecek yahut ilgilisine doğrudan bildirilebilecektir.
VI. OLGU ETÜD BILIŞIM DAN. YAY. TIC. LTD. ŞTI. TARAFINDAN VERİLERİ İŞLENEN KİŞİ GRUPLARI
Olgu Etüd Bilişim Dan. Yay. Tic. Ltd. Şti. tarafından işlenen kişisel veriler aşağıdaki kişi gruplarına aittir;
- Çalışan
- Çalışan Adayı
- Müşteriler ve Yetkilileri
- Potansiyel Ürün veya Hizmet Alıcısı
- Tedarikçi
- Tedarikçi Çalışanı
- Tedarikçi Yetkilisi
- Ürün veya Hizmet Alan Kişi Çalışanı/Yetkilisi
- Hizmet Alınan Özel Hukuk Kişisi
VII. KİŞİSEL VERİLERİN VE ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİ
- KİŞİSEL VERİLERİN İŞLENMESİ
6698 Sayılı Kişisel Verileri Koruma Kanunu’nun Kişisel Verilerin işlenmesi hakkındaki düzenlemesine göre, “İlgili Kişi’nin Açık Rızası Bulunmadıkça Kişisel Verisi İşlenemez.” Ancak, aşağıdaki şartlardan birinin varlığı halinde kişisel veriler sahibinin rızası olmaksızın işlenebilir.
- Kanunlarda Açıkça Öngörülmesi
- Fiili İmkânsızlık Sebebiyle İlgilinin Açık Rızasının Alınamaması
- Sözleşmenin Kurulması veya İfasıyla Doğrudan İlgili Olması
- İşletmenin Hukuki Yükümlülüğünü Yerine Getirmesi
- İlgili Kişinin Kişisel Verisini Alenileştirmesi
- Bir Hakkın Tesisi veya Korunması İçin Veri İşlemenin Zorunlu Olması
- İlgili Kişinin Temel Hak ve Özgürlüklerine Zarar Vermemek Kaydıyla Meşru Menfaatimiz Adına Veri İşlemenin Zorunlu Olması
Özel nitelikli kişisel verilerin İlgili Kişi’nin açık rızası olmadan işlenebileceği istisnai durumlar işbu Politika’nın XI. B. 2. maddesinde belirtilmiştir.
- ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİ
Özel nitelikli kişisel verilerin (ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançları, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri) ilgilinin açık rızası olmaksızın işlenmesi kanunen yasaktır. Sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hallerde ilgili kişinin açık rızası aranmaksızın işlenebilecektir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurul ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilecektir. Faaliyette bulunduğumuz iş kolu gereği, kanunen belirtilmiş “sır saklama yükümlülüğü” olan kişilerden sayılmaktayız.
VIII. OLGU ETÜD BILIŞIM DAN. YAY. TIC. LTD. ŞTI. TARAFINDAN KİŞİSEL VERİLERİN AKTARILDIĞI ÜÇÜNCÜ KİŞİLER VE AKTARILMA AMAÇLARI
Kişisel veriler;
- Gerçek veya Özel Hukuk Tüzel Kişilerine,
- İş ortakları ve iş bağlantılarına,
- Hukuken yetkili kamu kurum ve kuruluşlarına,
- Sosyal Güvenlik Kurumuna,
- Tedarikçilere,
- Yetkili Kamu Kurum ve Kuruluşlarına olmak üzere aşağıda belirtilen amaçlar çerçevesinde aktarılabilecektir.
- Kişisel Verilerin Aktarılma Amaçları Aşağıdaki Şekildedir:
- Faaliyetlerin yürütülmesi,
- Sözleşme kapsamında ve hizmet standartları çerçevesinde müşterilere destek hizmeti sağlanması,
- Müşterilerin tercih ve ihtiyaçlarının tespit edilmesi ve verilen hizmetin bu kapsamda şekillendirilmesi, güncellenmesi,
- Yasal düzenlemelerin gerektirdiği veya zorunlu kıldığı şekilde, hukuki yükümlülüklerin yerine getirilmesi,
- İşletme ile iş ilişkisinde bulanan kişiler ile irtibat sağlanması,
- Satıcı / tedarikçi ilişkilerinin yönetimi,
- Yasal raporlama ve faturalandırma işlemlerinin tamamlanması.
- Kişisel Verilerin Aktarılması
- Kişisel Verilerin Yurt İçine Aktarım Şartları
Olgu Etüd Bilişim Dan. Yay. Tic. Ltd. Şti. tarafından kişisel verilerin aktarılması konusunda KVKK’da öngörülen ve KVK Kurulu tarafından alınan karar ve düzenlemelere uygun bir şekilde hareket edilmektedir.
Mevzuatta yer alan istisnai haller saklı kalmak kaydıyla, kişisel veriler ve özel nitelikli kişisel veriler İlgili Kişinin açık rızası olmadan başka gerçek kişilere veya tüzel kişilere Olgu Etüd Bilişim Dan. Yay. Tic. Ltd. Şti. tarafından aktarılmaz.
KVKK ve sair mevzuatın öngördüğü istisnai hallerde İlgili Kişinin açık rızasına gerek kalmaksızın kişisel veriler mevzuatta öngörülen şekilde ve sınırlarla bağlı olarak yetkili kılınan idari/adli kurum veya kuruluşlar ile özel hukuk kişilerine aktarılabilir.
- Kişisel Verilerin Yurt Dışına Aktarım Şartları
Kişisel verileri kural olarak İlgili Kişinin açık rızası olmadan yurt dışına aktarılmaz.
Ancak işbu Politika’nın XI. B. 2. maddesinde yer alan istisnai hallerden birinin var olduğu durumlarda yurt dışında bulunan üçüncü kişilerin:
- KVK Kurulu’nun ilan ettiği yeterli korumanın olduğu ülkelerde bulunması;
- Yeterli korumanın olmadığı ülkelerde yer alması halinde Türkiye’de ve söz konusu yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve KVK Kurulu’nun izninin bulunması hallerinde açık rıza olmadan, kişisel veriler yurt dışına aktarılabilir.
- Kişisel verilerin aktarıldığı kurum ve kuruluşlar
Kişisel veriler;
- Gerçek veya Özel Hukuk Tüzel Kişilerine,
- İş ortakları ve iş bağlantılarına,
- İştirakler ve Bağlı Ortaklıklara,
- Hukuken yetkili kamu kurum ve kuruluşlarına,
- Hizmet alınan özel hukuk kişilerine,
- Sosyal Güvenlik Kurumuna,
- Tedarikçilere ve
- Yetkili Kamu Kurum ve Kuruluşlarına yukarıda belirtilen ilke ve esaslara uygun olarak aktarılabilecektir.
- Özel Nitelikli Kişisel Verilerin Aktarılması
- Özel Nitelikli Kişisel Verilerin Yurt İçine Aktarım Şartları
Olgu Etüd Bilişim Dan. Yay. Tic. Ltd. Şti., hukuka uygun olarak elde etmiş olduğu özel nitelikli kişisel verileri, veri işleme amaçları doğrultusunda, gerekli idari ve teknik tedbirleri alarak, İlgili Kişinin Özel Nitelikli Kişisel Verilerini üçüncü kişilere aktarabilmektedir. Olgu Etüd Bilişim Dan. Yay. Tic. Ltd. Şti., bu doğrultuda, Özel Nitelikli Kişisel Verileri, yukarıdaki bölümde belirtilen işleme şartlarından ve aşağıda yer alan şartlardan birinin varlığı halinde üçüncü kişilere aktarabilecektir.
Ayrıca, mevzuatın öngördüğü istisnai haller ile,
KVK Kurulu’nun ve ilgili mevzuatın öngördüğü tedbirlerin alınması ile birlikte İlgili Kişinin sağlığı ve cinsel hayatına ilişkin özel nitelikli kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlara, açık rızaya gerek kalmaksızın aktarılabilir.
- Özel Nitelikli Kişisel Verilerin Yurt Dışına Aktarım Şartları
Olgu Etüd Bilişim Dan. Yay. Tic. Ltd. Şti., gerekli özeni göstererek, gerekli idari ve teknik tedbirleri ve Kurul tarafından gerekli görülen önlemleri alarak, meşru ve hukuka uygun kişisel veri işleme amaçları doğrultusunda, İlgili Kişinin özel nitelikli kişisel verilerini aşağıdaki durumlarda yeterli korumaya sahip veya yeterli korumayı taahhüt eden veri sorumlusunun bulunduğu yabancı ülkeye aktarabilecektir.
- İlgili Kişinin açık rızası bulunuyorsa gösterilen rızaya istinaden,
- İlgili Kişinin açık rızası bulunmuyorsa;
- İlgili Kişinin sağlığı ve cinsel hayatı dışındaki özel nitelikli kişisel verileri (ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık kıyafet, dernek, vakıf ya da sendika üyeliği, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir), kanunlarda öngörülen hallerde,
- İlgili Kişinin sağlığına ve cinsel hayatına ilişkin özel nitelikli kişisel verileri ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenmesi kapsamında, Özel Nitelikli Kişisel Veriler, yurtdışına aktarılabilecektir.
IX. İŞYERİ VE İNTERNET SİTESİ ZİYARETÇİLERİNE İLİŞKİN VERİ İŞLEME FAALİYETLERİ
- A. İNTERNET SİTESİ ZİYARETÇİLERİ
Çerez kayıtları, Olgu Etüd Bilişim Dan. Yay. Tic. Ltd. Şti. resmi internet sitesinin işleyiş biçimini ve kullanımını geliştirmeye yönelik olarak kullanılmaktadır. Olgu Etüd Bilişim Dan. Yay. Tic. Ltd. Şti. resmi internet sitesinde geçirilen vaktin daha verimli ve keyifli hale getirilmesi amaçlanmaktadır. Bunların yanında, internet sitesinde yapılan tercihlerin hatırlanmasına yönelik bazı çerezlerden yararlanılmakta ve bu sayede kullanıcılara geliştirilmiş ve kişiselleştirilmiş bir deneyim sağlanmaktadır. İnternet sitesinde yer alan çerezler üzerinden kişisel veriler toplanmakta, toplanan veriler işlenmekte, aktarılmakta ve saklanabilmektedir. İnternet sitesinde kullanılan çerezlere ilişkin detaylı bilgi için resmi internet sitesinde yer alan “Olgu Etüd Bilişim Dan. Yay. Tic. Ltd. Şti. Terapi Merkezi Çerez Aydınlatma Metnini” inceleyebilirsiniz.
X. KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VE ANONİMLEŞTİRİLMESİ ŞARTLARI
Türk Ceza Kanunu’nun 138. maddesi, KVK Kanunu’nun 7. maddesi ve “Kişisel Verilerin Silinmesi, Yok Edilmesi ve Anonimleştirilmesi Hakkında Yönetmelik” uyarınca, ilgili kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde Olgu Etüd Bilişim Dan. Yay. Tic. Ltd. Şti.’un kendi kararına istinaden veya ilgili kişinin talebi üzerine kişisel veriler silinir, yok edilir veya anonim hâle getirilir. Olgu Etüd Bilişim Dan. Yay. Tic. Ltd. Şti. bu konuda yönetmelik hükümlerine göre bir politika oluşturmuş olup, bu politika uyarınca verinin niteliğine göre imha işlemi yapılmaktadır. Bu yönetmelik uyarınca Olgu Etüd Bilişim Dan. Yay. Tic. Ltd. Şti. tarafından periyodik imha tarihleri belirlenmiş olup, yükümlülüğün başlaması ile beraber çeşitli aralıklarla periyodik imhanın yapılacağına göre takvim oluşturulmuştur.
- A. KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VE ANONİMLEŞTİRİLMESİ YÜKÜMLÜLÜĞÜ
KVKK’nın 5 inci ve 6 ncı maddelerinde yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması halinde, kişisel verilerin veri sorumlusu tarafından resen veya ilgili kişinin talebi üzerine silinmesi, yok edilmesi veya anonim hâle getirilmesi gerekir. Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesinde Kanunun 4’üncü maddesindeki genel ilkeler ile 12’nci maddesi kapsamında alınması gereken teknik ve idari tedbirlere, ilgili mevzuat hükümlerine, Kurul kararlarına ve kişisel veri saklama ve imha politikasına uygun hareket edilmesi zorunludur. Veri sorumlusu, kişisel verilerin silinmesi, yok edilmesi, anonim hale getirilmesi işlemiyle ilgili uyguladığı yöntemleri ilgili politika ve prosedürlerinde açıklamakla yükümlüdür. Yukarıda belirtilen Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik’in 7. maddesi uyarınca Olgu Etüd Bilişim Dan. Yay. Tic. Ltd. Şti. tarafından ayrıca Olgu Etüd Bilişim Dan. Yay. Tic. Ltd. Şti. Terapi Merkezi Saklama ve İmha Politikası oluşturulmuştur.
- KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VE ANONİMLEŞTİRİLMESİ TEKNİKLERİ
- Kişisel Verilerin Silinmesi ve Yok Edilmesi Teknikleri
- Fiziksel Olarak Yok Etme (Physical Destruction)
- Yazılımdan Güvenli Olarak Silme (Secure Deletion Software)
- Uzman Tarafından Güvenli Olarak Silme (Sending to a Specialist for Secure Deletion)
- Kişisel Verilerin Anonimleştirilmesi Teknikleri
- Maskeleme (Masking)
- Toplulaştırma (Aggregation)
- Veri Türetme (Data Derivation)
- Veri Karma (Data Shuffing, Permutation)
- Kişisel Verilerin Silinmesi ve Yok Edilmesi Teknikleri
XI. İLGİLİ KİŞİNİN HAKLARI; BU HAKLARIN KULLANILMASI VE DEĞERLENDİRİLMESİ
- A. İLGİLİ KİŞİNİN HAKLARI VE BU HAKLARIN KULLANILMASI
- İlgili Kişinin Hakları
Aydınlatma yükümlülüğü kapsamında, Olgu Etüd Bilişim Dan. Yay. Tic. Ltd. Şti. tarafından İlgili Kişi bilgilendirilmekte ve bu bilgilendirmeye ilişkin sistem ve altyapılar kurulmaktadır. İlgili Kişinin kişisel verilerine ilişkin haklarını kullanması için gerekli olan teknik ve idari düzenlemeler Olgu Etüd Bilişim Dan. Yay. Tic. Ltd. Şti. tarafından yapılmaktadır.
İlgili Kişi kişisel verileri üzerinde;
- Kişisel verilerin işlenip işlenmediğini öğrenme,
- Kişisel veriler işlenmişse buna ilişkin bilgi talep etme,
- Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
- Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
- Kişisel verilerin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini isteme,
- Kişisel verilerin işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel verilerin silinmesini veya yok edilmesini isteme,
- Yukarıda bahsedilen düzeltme, silme veya yok etme işlemlerinin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
- İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle aleyhe bir sonuç ortaya çıkmasına itiraz etme,
- Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması halinde zararın giderilmesini talep etme, haklarına sahiptir.
- İlgili Kişinin Başvuru Usulü
İlgili kişi, yukarıda sayılan haklarına ilişkin taleplerini Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’de öngörülen başvuru usullerine uygun olarak Olgu Etüd Bilişim Dan. Yay. Tic. Ltd. Şti.’a başvurabilir.
6698 Sayılı Kişisel Verilerin Korunması Kanunu 11. Maddesinde sayılan haklar kapsamındaki talepler, KVKK’nın 13. Maddesi ile Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’in 5. Maddesi gereğince, (Websitesinde başvuru formunun bulunduğu link) adresindeki formun doldurulması suretiyle aşağıda açıklanan yöntemlerden biri ile başvurulabilecektir.
Olgu Etüd Bilişim Dan. Yay. Tic. Ltd. Şti.iletilen başvurular, KVKK’nın 13/2 maddesi gereğince, talebin niteliğine göre, talebin ulaştığı tarihten itibaren 30 gün içinde cevaplandırılacaktır. Başvuruya ilişkin cevaplar, KVKK’nın 13. Maddesi gereğince, yazılı ve elektronik ortamdan başvuru sahibine ulaştırılacaktır.
BAŞVURU YÖNTEMİ | BAŞVURU YAPILACAK ADRES | BAŞVURUDA YER ALMASI GEREKEN BİLGİ |
1. Yazılı Olarak Başvuru Islak imzalı şahsen başvuru veya Noter vasıtasıyla | Kocatepe Mahallesi Meşrutiyet Caddesi Atıf Bey Apt, D:31/11, Çankaya/Ankara | Zarfın/tebligatın üzerine ‘’Kişisel Verilerin Korunması Kanunu Kapsamında Bilgi Talebi’’ yazılacaktır. |
3.İşletme Sisteminde Bulunan Elektronik Posta Adresi ile Başvuru
| [email protected] | E-posta’nın konu kısmına ‘’Kişisel Verilerin Korunması Kanunu Bilgi Talebi’’ yazılacaktır. |
- İlgili Kişinin Kişisel Verilerin Korunması Kurulu’na Şikâyette Bulunma Hakkı
Başvurunun reddedilmesi, başvuruya verilen cevabın yetersiz bulunması veya süresinde cevap verilmemesi hallerinde; başvuru sahibinin cevabı öğrendiği tarihten itibaren 30 (otuz) gün ve her halde başvuru tarihinden itibaren 60 (altmış) gün içerisinde KVK Kurulu’na şikâyette bulunma hakkı bulunmaktadır.
- B. İlgili Kişinin Haklarını İleri Süremeyeceği Haller
KVKK’nın 28/2 hükmü uyarınca, aşağıdaki hallerde zararın giderilmesini talep etme hakkı hariç olmak üzere, ilgili kişilerin Kanun’un 11. maddesinde belirtilen haklardan yararlanmaları mümkün olmayacaktır;
- Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması,
- İlgili kişinin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi.
XII. İHLAL DURUMU İLE KARŞILAŞILMASI HALİNDE YAPILACAKLAR
Olgu Etüd Bilişim Dan. Yay. Tic. Ltd. Şti. tarafından alınan tüm teknik ve idari tedbirlere rağmen bir ihlal durumu ile karşılaşılması halinde ilgili kişiye açık ve sade bir dille bildirim yapılacaktır. Bu bildirimde;
- İhlalin ne zaman gerçekleştiği,
- Kişisel veri kategorileri bazında (kişisel veri / özel nitelikli kişisel veri ayrımı yapılarak) hangi kişisel verilerin ihlalden etkilendiği,
- Kişisel veri ihlalinin olası sonuçları,
- Veri ihlalinin olumsuz etkilerinin azaltılması için alınan veya alınması önerilen tedbirler,
- İlgili kişilerin veri ihlali ile ilgili bilgi almalarını sağlayacak irtibat kişilerinin isim ve iletişim detayları yer alacaktır.
Olgu Etüd Bilişim Dan. Yay. Tic. Ltd. Şti. | Kiş.Ver.Pol.01 Versiyon | Olgu Etüd Bilişim Dan. Yay. Tic. Ltd. Şti. Terapi Merkezi Kişisel Veri Koruma ve İşleme Politikası |
Versiyon No: 01 | İlk Yayın Tarihi: ……. | Son Yayın Tarihi: |
KİŞİSEL VERİLERİ SAKLAMA VE İMHA POLİTİKASI
İMHA POLİTİKASI’NIN NİTELİĞİ, AMACI VE KAPSAMI
BU İMHA POLİTİKASI (POLİTİKA), SAĞLIK HİZMETİ SUNULAN PSİKOLOJİK DANIŞMA MERKEZİ (PSİKOLOJİK DANIŞMA MERKEZİ) işleteni VERİ SORUMLUSU (VERİ SORUMLUSU) olarak elde edilen kişisel verilerin 6698 sayılı Kişisel Verilerin Korunması Kanunu ve ilgili mevzuat gereğince silinmesi, yok edilmesi ve/veya anonim hale getirilmesine ilişkin uygulanacak usul ve esasların belirlenmesi amacıyla hazırlanmıştır.
Bu kapsamda PSİKOLOJİK DANIŞMA MERKEZİ çalışanlarının, çalışan adaylarının, hastaların, hasta refakatçileri/vasileri-velilerinin ve herhangi bir nedenle PSİKOLOJİK DANIŞMA MERKEZİ bünyesinde kişisel verisi bulunan tüm gerçek kişilerin kişisel verileri; bu Kişisel Veri Saklama ve İmha Politikası çerçevesinde Anayasa ve kanunlara uygun olarak yürütülmektedir.
TANIMLAR
Veri Sorumlusu | Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi | ||
İlgili kişi | Kişisel verisi işlenen gerçek kişiyi, | ||
Kişisel Veri | Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi | ||
Özel Nitelikte Kişisel Veri | Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri | ||
Kişisel Verilerin İşlenmesi | Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, saklanması, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem | ||
Veri İşleyen | Veri sorumlusunun verdiği yetkiye dayanarak veri sorumlusu adına kişisel verileri işleyen gerçek veya tüzel kişi | ||
İmha Etme | Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesini | ||
Yok Etme | Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir | ||
Silme | Kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir | ||
Anonim Hale Getirme | Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi | ||
Kanun/KVKK | 07.04.2016 tarih ve 29677 sayılı Resmi Gazetede yayımlanan 6698 sayılı Kişisel Verilerin Korunması Kanununu, | ||
Yönetmelik | 28.10.2017 tarihli ve 30224 sayılı Resmi Gazetede yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmeliğini | ||
Kurul | Kişisel Verileri Koruma Kurulunu | ||
Kurum | Kişisel Verileri Koruma Kurumunu | ||
Kayıt ortamı | Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortamı | ||
Veri kayıt sistemi | Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini | ||
ifade eder.
SORUMLULUK VE GÖREV DAĞILIMLARI
VERİ SORUMLUSU, POLİTİKA’nın hazırlanması, geliştirilmesi, yürütülmesi, ilgili ortamlarda yayınlanması ve güncellenmesi, çalışanların politikaya uygun hareket etmesi, POLİTİKA’nın uygulanmasında ihtiyaç duyulan teknik çözümlerin sunulmasından sorumludur.
PSİKOLOJİK DANIŞMA MERKEZİ çalışanları POLİTİKA kapsamında alınmakta olan teknik ve idari tedbirlerin gereği gibi uygulanması, kişisel verilerin hukuka aykırı olarak işlenmesinin önlenmesi, kişisel verilere hukuka aykırı olarak erişilmesinin önlenmesi ve kişisel verilerin hukuka uygun saklanmasının sağlanması amacıyla kişisel veri işlenen tüm ortamlarda veri güvenliğini sağlamaya yönelik teknik ve idari tedbirlere uyar.
KİŞİSEL VERİLERİN TOPLANMA YÖNTEMLERİ
Kişisel veriler, VERİ SORUMLUSU tarafından yetkilendirilmiş veri işleyen gerçek veya tüzel kişiler tarafından, 6698 sayılı Kişisel Verilerin Korunması Kanununda ve bu kanuna bağlı olarak çıkarılan ikincil düzenlemelerde belirtilen şartlar ve amaçlar dahilinde; Veri sahiplerinin PSİKOLOJİK DANIŞMA MERKEZİYE başvurması ve ilk bilgilendirmenin yapılması, kaydın açılarak hasta dosyası oluşturulması, kâğıt ve elektronik ortamda tutulan formlar ve tutanaklar gibi vasıtalarla, SGK sistemi üzerinden online olarak, özel sigorta şirketinden yararlanma halinde paylaşılan kayıtlardan, PSİKOLOJİK DANIŞMA MERKEZİ’YE sevk edilmiş olması durumunda diğer sağlık kurumlarının kayıtları üzerinden, cv ibrazıyla veya iş başvurularıyla, tedarikçi/hizmet alınan olarak herhangi bir amaçla PSİKOLOJİK DANIŞMA MERKEZİ ile iletişime geçildiğinde ve hizmet alındığında otomatik ve otomatik olmayan yöntemlerle sözlü, yazılı veya elektronik ortamda temin edilmektedir.
KAYIT ORTAMLARI
Kişisel veriler, PSİKOLOJİK DANIŞMA MERKEZİ tarafından Tablo 2’de listelenen ortamlarda hukuka uygun olarak güvenli bir şekilde saklanır.
3.1. ELEKTRONİK ORTAMLARDA SAKLANAN VERİLER
Sunucular (Etki alanı, yedekleme, e-posta, veritabanı, web, dosya paylaşım, vb.) ü
Yazılımlar (ofis yazılımları, portal, medikal programlar) ü
Bilgi güvenliği cihazları (güvenlik duvarı, saldırı tespit ve engelleme, günlük kayıt dosyası, antivirüs vb.)
Kişisel bilgisayarlar (Masaüstü, dizüstü) ü
Mobil cihazlar (telefon, tablet vb.) ü
Optik diskler (CD, DVD vb.) ü
Çıkartılabilir bellekler (USB, Hafıza Kart vb.) ü
Yazıcı, tarayıcı, fotokopi makinesi
3.2. ELEKTRONİK OLMAYAN ORTAMLAR
Kâğıt
Manuel veri kayıt sistemleri (hasta dosyaları, protokol defteri, teftiş ve denetim defteri, çalışma belgeleri, ziyaretçi giriş defteri ve sağlık hizmeti sunulan özel sağlık işletmeleri gereğince tutulması zorunlu olan diğer defterler)
Yazılı, basılı, görsel ortamlar
SAKLAMA VE İMHAYA İLİŞKİN AÇIKLAMALAR
VERİ SORUMLUSU tarafından; çalışanlar, çalışan adayları, hastalar, hasta refakatçileri/veli-vasileri ve herhangi bir nedenle PSİKOLOJİK DANIŞMA MERKEZİ bünyesinde kişisel verisi bulunan tüm gerçek kişilerin kişisel veriler Kanuna uygun olarak saklanır ve imha edilir. Bu kapsamda saklama ve imhaya ilişkin detaylı açıklamalara aşağıda sırasıyla yer verilmiştir.
4.1. SAKLAMAYA İLİŞKİN AÇIKLAMALAR
Kanunun 3.maddesinde kişisel verilerin işlenmesi kavramı tanımlanmış, 4. maddesinde işlenen kişisel verinin işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli süre kadar muhafaza edilmesi gerektiği belirtilmiş, 5 ve 6. maddelerde ise kişisel verilerin işleme şartları sayılmıştır. Buna göre, PSİKOLOJİK DANIŞMA MERKEZİ faaliyetleri çerçevesinde kişisel veriler, ilgili mevzuatta öngörülen veya işleme amaçlarına uygun süre kadar VERİ SORUMLUSU tarafından saklanır.
4.1.1. SAKLAMAYI GEREKTİREN HUKUKİ SEBEPLER
PSİKOLOJİK DANIŞMA MERKEZİDE, faaliyetler çerçevesinde işlenen kişisel veriler, sunulan hizmetin gereği ve ilgili mevzuatta öngörülen süre kadar muhafaza edilir. Bu kapsamda kişisel veriler;
6698 sayılı Kişisel Verilerin Korunması Kanunu,
1219 sayılı Tababet ve Şuabatı Sanatlarının Tarzı İcrasına Dair Kanun
6098 sayılı Türk Borçlar Kanunu,
5237 sayılı Türk Ceza Kanunu,
5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu,
3359 sayılı Sağlık Hizmetleri Temel Kanunu,
6361 sayılı İş Sağlığı ve Güvenliği Kanunu,
4857 sayılı İş Kanunu,
İş Sağlığı ve Güvenliği Hizmetleri Yönetmeliği
Hasta Hakları Yönetmeliği,
Tıbbi Deontoloji Tüzüğü
İlgili diğer kanunlar ve bu kanunlar uyarınca yürürlükte olan diğer ikincil düzenlemeler çerçevesinde öngörülen saklama süreleri kadar saklanmaktadır.
4.1.2. SAKLAMAYI GEREKTİREN İŞLEME AMAÇLARI
PSİKOLOJİK DANIŞMA MERKEZİ faaliyetleri çerçevesinde işlenen kişisel veriler aşağıdaki amaçlar doğrultusunda saklanır.
İmzalanan sözleşmeler ve protokoller neticesinde iş ve işlemleri ifa edebilmek.
İleride doğabilecek hukuki uyuşmazlıklarda delil olarak ispat yükümlülüğü
Yasal düzenlemelerin gerektirdiği veya zorunlu kıldığı şekilde, hukuki yükümlülüklerin yerine getirilmesini sağlamak
4.2. İMHAYI GEREKTİREN SEBEPLER
Kişisel veriler;
İşlenmesine esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası,
İşlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,
Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin açık rızasını geri alması,
Kanunun 11. maddesi gereği ilgili kişinin hakları çerçevesinde kişisel verilerinin silinmesi ve yok edilmesine ilişkin yaptığı başvurunun PSİKOLOJİK DANIŞMA MERKEZİ tarafından kabul edilmesi,
PSİKOLOJİK DANIŞMA MERKEZİ, ilgili kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabı yetersiz bulması veya Kanunda öngörülen süre içinde cevap vermemesi hallerinde; Kurula başvuruda bulunması ve bu talebin Kurul tarafından uygun bulunması,
Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olması ve kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması,
Durumlarında PSİKOLOJİK DANIŞMA MERKEZİ tarafından ilgili kişinin talebi üzerine silinir, yok edilir ya da re’sen silinir, yok edilir veya anonim hale getirilir.
TEKNİK VE İDARİ TEDBİRLER
Kişisel verilerin güvenli bir şekilde saklanması, hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi ile kişisel verilerin hukuka uygun olarak imha edilmesi için Kanunun 12. maddesiyle Kanunun 6. maddesi 4. fıkrası gereği özel nitelikli kişisel veriler için Kurul tarafından belirlenerek ilan edilen yeterli önlemler çerçevesinde PSİKOLOJİK DANIŞMA MERKEZİ tarafından teknik ve idari tedbirler alınır.
5.1. TEKNİK TEDBİRLER
VERİ SORUMLUSU tarafından, işlediği kişisel verilerle ilgili olarak alınan teknik tedbirler aşağıda sayılmıştır:
Elektronik ortamda saklanan özel nitelikteki kişisel veriler de dâhil olmak üzere tüm kişisel verilerin güvenliği için gerekli önlemler alınmaktadır. Bu kapsamda; güvenlik duvarları, ağ erişim kontrolü, zararlı yazılımları engelleyen sistemler, güvenlik yamaları kullanılmaktadır. Bilgi sistemleri güncel tutulmakta, veri yedekleme programları kullanılmakta, kişisel verilerin işlendiği elektronik ortamlarda güçlü parolalar kullanılmaktadır.
Kişisel verilerin bulunduğu elektronik olan veya olmayan saklama alanlarına erişimler kayıt altına alınarak uygunsuz erişimler veya erişim denemeleri kontrol altında tutulmakta, güvenli kayıt tutma (loglama) sistemleri kullanılmakta, erişim yetkilendirmesi yapılmakta, silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması için gerekli tedbirler alınmaktadır.
PSİKOLOJİK DANIŞMA MERKEZİDE özel nitelikli kişisel veri işlendiği göz önünde bulundurularak çalışanlara özel nitelikli kişisel veri güvenliği konusunda eğitimler verilmekte, gizlilik sözleşmeleri yapılmaktadır.
PSİKOLOJİK DANIŞMA MERKEZİDE özel nitelikli veriler de dâhil olmak üzere tüm kişisel verilerin tutulduğu bilişim sistemleri teçhizatının, yazılımlarının ve bunların muhafaza edildiği ve/veya erişildiği ortamların fiziksel güvenliği için gerekli önlemler (yetkisiz kişilerin erişiminin sınırlanması, yangın söndürme sistemi, iklimlendirme sistemi vb.) alınmaktadır.
5.2. İDARİ TEDBİRLER
VERİ SORUMLUSU tarafından, işlediği kişisel verilerle ilgili olarak alınan idari tedbirler aşağıda sayılmıştır:
Çalışanların niteliğinin geliştirilmesine yönelik, kişisel verilerin hukuka aykırı olarak işlenmenin önlenmesi, kişisel verilerin hukuka aykırı olarak erişilmesinin önlenmesi, kişisel verilerin muhafazasının sağlanması, iletişim teknikleri, teknik bilgi beceri, Kişisel Verilerin Korunması Kanunu, İş Kanunu ve ilgili diğer mevzuat hakkında eğitimler verilmektedir.
VERİ SORUMLUSU tarafından yürütülen faaliyetlere ilişkin çalışanlara gizlilik sözleşmeleri imzalatılmaktadır.
Kişisel veri işlemeye başlamadan önce VERİ SORUMLUSU tarafından, ilgili kişileri aydınlatma yükümlülüğü yerine getirilmektedir.
Kişisel veri işleme envanteri hazırlanmıştır.
PSİKOLOJİK DANIŞMA MERKEZİ içi periyodik ve rastgele denetimler yapılmaktadır.
Çalışanlara yönelik bilgi güvenliği eğitimleri verilmektedir.
KİŞİSEL VERİ İMHA TEKNİKLERİ
İlgili mevzuatta öngörülen süre ya da işlendikleri amaç için gerekli olan saklama süresinin sonunda kişisel veriler, VERİ SORUMLUSU tarafından resen veya ilgili kişinin başvurusu üzerine yine ilgili mevzuat hükümlerine uygun olarak aşağıda belirtilen tekniklerle imha edilir.
6.1. KİŞİSEL VERİLERİN SİLİNMESİ
Kişisel veriler aşağıda belirtilen yöntemlerle silinir:
Sunucularda yer alan kişisel veriler : Sunucularda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler için VERİ SORUMLUSU tarafından ilgili kullanıcıların erişim yetkisi kaldırılarak silme işlemi yapılır.
Elektronik ortamda yer alan
kişisel veriler : Elektronik ortamda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, VERİ SORUMLUSU hariç diğer çalışanlar (ilgili kullanıcılar) için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir.
Fiziksel ortamda yer alan kişisel veriler : Fiziksel ortamda tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler için VERİ SORUMLUSU dışındaki kişiler için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. Ayrıca, üzeri okunamayacak şekilde çizilerek/boyanarak/silinerek karartma işlemi de uygulanır.
Taşınabilir medyada bulunan kişisel veriler : Flash tabanlı saklama ortamlarında tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler, VERİ SORUMLUSU tarafından şifrelenerek ve erişim yetkisi sadece VERİ SORUMLUSUNA verilerek şifreleme anahtarlarıyla güvenli ortamlarda saklanır.
6.2. KİŞİSEL VERİLERİN YOK EDİLMESİ
Kişisel veriler aşağıda belirtilen yöntemlerle yok edilir:
Fiziksel ortamda yer alan kişisel veriler : Kâğıt ortamında yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, kâğıt kırpma makinelerinde geri döndürülemeyecek şekilde yok edilir.
Optik/Manyetik medyada yer alan kişisel veriler : Optik medya ve manyetik medyada yer alan kişisel verilerden saklanmasını gerektiren süre sona erenlerin eritilmesi, yakılması veya toz haline getirilmesi gibi fiziksel olarak yok edilmesi işlemi uygulanır. Ayrıca, manyetik medya özel bir cihazdan geçirilerek yüksek değerde manyetik alana maruz bırakılması suretiyle üzerindeki veriler okunamaz hale getirilir.
6.3. KİŞİSEL VERİLERİN ANONİM HALE GETİRİLMESİ
Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir. PSİKOLOJİK DANIŞMA MERKEZİDE kullanılan anonimleştirme yöntemleri şu şekildedir:
Değişkenleri çıkarma : İlgili kişiye ait kişisel verilerin içerisinde yer alan ve ilgili kişiyi herhangi bir şekilde tespit etmeye yarayacak doğrudan tanımlayıcıların bir ya da birkaçının çıkarılmasıdır.
Bölgesel gizleme : Kişisel verilerin toplu olarak anonim şekilde bulunduğu veri tablosu içinde istisna durumda olan veriye ilişkin ayırt edici nitelikte olabilecek bilgilerin silinmesi işlemidir.
Genelleştirme : Birçok kişiye ait kişisel verinin bir araya getirilip, ayırt edici bilgileri kaldırılarak istatistiki veri haline getirilmesi işlemidir.
Alt ve Üst Sınır Kodlama : Belli bir değişken için o değişkene ait aralıklar tanımlanarak kategorilendirilir. Değişken sayısal bir değer içermiyorsa bu halde değişken içindeki birbirine yakın veriler kategorilendirilir. Aynı kategori içinde kalan değerler birleştirilir.
Makro Birleştirme : Bu yöntem ile veri kümesindeki bütün kayıtlar öncelikle anlamlı bir sıraya göre dizilip sonrasında bütün küme belirli bir sayıda alt kümelere ayrılır. Daha sonra her alt kümenin belirlenen değişkene ait değerinin ortalaması alınarak alt kümenin o değişkenine ait değeri ortalama değer ile değiştirilir. Bu sayede veri içerisinde bulunan dolaylı tanımlayıcılar bozulmuş olacağından, verinin ilgili kişiyle ilişkilendirilmesi zorlaştırılır.
Veri karma ve bozma : Kişisel veri içerisindeki doğrudan ya da dolaylı tanımlayıcılar başka değerlerle karıştırılarak ya da bozularak ilgili kişi ile ilişkisi koparılır ve tanımlayıcı niteliklerini kaybetmeleri sağlanır.
SAKLAMA VE İMHA SÜRELERİ
VERİ SORUMLUSU tarafından, faaliyetleri kapsamında işlenmekte olan kişisel verilerle ilgili olarak;
Süreçlere bağlı olarak gerçekleştirilen faaliyetler kapsamındaki tüm kişisel verilerle ilgili kişisel veri bazında saklama süreleri Kişisel Veri İşleme Envanterinde;
Veri kategorileri bazında saklama süreleri VERBİS’e kayıtta;
Süreç bazında saklama süreleri ise Kişisel Veri Saklama ve İmha Politikasında yer alır.
Söz konusu saklama süreleri üzerinde, gerekmesi halinde VERİ SORUMLUSU tarafından güncellemeler yapılır. Saklama süreleri sona eren kişisel veriler için re’sen silme, yok etme veya anonim hale getirme işlemi VERİ SORUMLUSU tarafından yerine getirilir.
SÜREÇ | SAKLAMA SÜRESİ | İMHA SÜRESİ |
İnsan Kaynakları Süreçleri İle İşveren Yükümlülüklerinin Yerine Getirilmesi | Hizmet akdinin sona ermesinden itibaren 10 yıl, hukuki bir süreç işliyorsa süreç sona erene kadar saklanır. (5510 sayılı Kanunun 86/1 maddesi) |
Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
İş Sağlığı Ve Güvenliğine İlişkin Yükümlülüklerin Yerine Getirilmesi | Hizmet akdinin sona ermesinden itibaren 10 yıl, hukuki bir süreç işliyorsa süreç sona erene kadar saklanır. (İş Sağlığı ve Güvenliği Hizmetleri Yönetmeliğinin 7.maddesi) | |
Sağlık Hizmeti Sunumu | İlgili hukuki düzenlemeler ve sağlık hizmetinin gerekleri uyarınca 20 yıl süreyle saklanır. Hukuki bir süreç işliyorsa süreç sona erene kadar saklanır. (6098 sayılı Türk Borçlar Kanunu’nun 146, 147, 478.maddeleri, 5237 sayılı Türk Ceza Kanunu’nun 66-72 maddeleri, Özel Hastaneler Yönetmeliğinin 49.maddesi) | |
3.Kişilerden Hizmet Alınması | Sözleşmenin sona ermesinden itibaren 10 yıl, hukuki bir süreç işliyorsa süreç sona erene kadar saklanır. (6098 sayılı Türk Borçlar Kanunu’nun 146.maddesi) |
NOT: Kanun ve diğer mevzuat uyarınca daha uzun bir süre düzenlenmiş olması ya da mevzuat uyarınca zamanaşımı, hak düşürücü süre, saklama süreleri vb. için daha uzun bir süre öngörülmüş olması halinde, mevzuat hükümlerindeki süreler azami saklama süresi olarak kabul edilir.
PERİYODİK İMHA SÜRESİ
Yönetmeliğin 11.maddesi gereğince VERİ SORUMLUSU, periyodik imha süresini 6 ay olarak belirlemiştir. Buna göre, PSİKOLOJİK DANIŞMA MERKEZİNDE her yıl Haziran ve Aralık aylarında periyodik imha işlemi gerçekleştirilir.
POLİTİKANIN YAYINLANMASI VE SAKLANMASI
POLİTİKA, ıslak imzalı olarak basılı kâğıtta düzenlenir ve PSİKOLOJİK DANIŞMA MERKEZİNDE ilgili dosyalarda saklanır. PSİKOLOJİK DANIŞMA MERKEZİNİN bir internet sayfası olması halinde POLİTİKA aynı zamanda internet sayfasında da kamuya açıklanır.
POLİTİKANIN GÜNCELLENME PERİYODU
POLİTİKA, ihtiyaç duyuldukça gözden geçirilir ve gerekli olan bölümler güncellenir.
POLİTİKANIN YÜRÜRLÜĞÜ VE YÜRÜRLÜKTEN KALDIRILMASI
POLİTİKA, VERİ SORUMLUSU tarafından VERBİS kaydının tamamlanmasının ardından yürürlüğe girmiş kabul edilir.
Yürürlükten kaldırılmasına karar verilmesi halinde POLİTİKANIN ıslak imzalı eski nüshaları VERİ SORUMLUSU tarafından iptal edilerek (iptal kaşesi vurularak veya iptal yazılarak) imzalanır ve en az 5 yıl süre ile PSİKOLOJİK DANIŞMA MERKEZİNDE ilgili dosyalarda saklanır.
VERİ SORUMLUSU
İMZA
Olgu Etüd Bilişim Dan. Yay. Tic. Ltd. Şti,
KVKK MADDE 12- (1) Veri sorumlusu;
- a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
- b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
- c) Kişisel verilerin muhafazasını sağlamak,
amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.
(2) Veri sorumlusu, kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi hâlinde, birinci fıkrada belirtilen tedbirlerin alınması hususunda bu kişilerle birlikte müştereken sorumludur.
(3) Veri sorumlusu, kendi kurum veya kuruluşunda, bu Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak zorundadır.
(4) Veri sorumluları ile veri işleyen kişiler, öğrendikleri kişisel verileri bu Kanun hükümlerine aykırı olarak başkasına açıklayamaz ve işleme amacı dışında kullanamazlar. Bu yükümlülük görevden ayrılmalarından sonra da devam eder.
(5) İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.
KLINIK MERKEZI İÇİN ALINACAK İDARİ TEDBİRLER
Mevcut Risk ve Tehditlerin Belirlenmesi
Tarafınızdan işlenen tüm kişisel verilerin neler olduğunun, bu verilerin korunmasına ilişkin ortaya çıkabilecek risklerin gerçekleşme olasılığının ve gerçekleşmesi durumunda yol açacağı kayıpların doğru bir şekilde belirlenerek buna uygun tedbirlerin alınması gerekmektedir.
- Kişisel veriler, özel nitelikli kişisel veriler midir?
- Mahiyeti gereği hangi derecede gizlilik seviyesi gerekmektedir?
- Güvenlik ihlali halinde ilgili kişi bakımından ortaya çıkabilecek zararın niteliği ve niceliği nedir?
Bu riskleri tanımladıktan sonra, risklerin azaltılmasına ya da ortadan kaldırılmasına yönelik; maliyetine, uygulanabilirliğine ve yararlılığına göre gerekli idari ve teknik tedbirleri almamız mümkün olacaktır.
Çalışanların Eğitilmesi ve Farkındalık Çalışmaları
- Çalışanların bilgileri sınırlı olsa dahi, ilk müdahaleyi yapacak olanlar kendileri olacaktır.
- Kişisel verilerin dışsal saldırıya uğraması haricinde, çalışanlar tarafından hukuka aykırı olarak paylaşılması veya açıklanması durumunda da hukuka aykırılık oluşmaktadır. Çalışanlar tarafından, kötü amaçlı yazılım içeren e-posta içeriğinin açılması veya kişisel veri içeren e-postanın yanlış alıcıya gönderilerek üçüncü kişilerin erişimine açması gibi dikkatsizlikler, dalgınlık veya tecrübesizlikler, çalışanlarınız tarafından doğacak riskler olup veri sorumlusunun veri ihlali yapmasına sebep olacaktır.
- Kişisel veri içeren ortamlara erişim hakkı verilirken “Yasaklanmadıkça Her Şey Serbesttir” değil, “İzin Verilmedikçe Her Şey Yasaktır” prensibine uygun hareket edelim. Aksi takdirde veri ihlalleri kaçınılmaz olacaktır.
- Çalışanların işe alınma süreçlerinin bir parçası olarak, gizlilik anlaşmalarını imzalamalarını ya da esas sözleşmeye ek hüküm konulması, veri sorumlusunu bu konuda önemli bir güvence altına alacaktır. Ayrıca, çalışanların güvenlik politikası ve prosedürlerine uymaması durumunda devreye girecek bir disiplin mekanizması oluşturalım.
Kişisel Veri Güvenliği Politikalarının ve Prosedürlerinin Belirlenmesi
- Bu kapsamda alınacak tedbirlerin önceden belirlendiği bir olay yönetimi, çalışanların üzerindeki baskıyı azaltalım.
- Klinik merkezinizin veri tabanında hangi kişisel verilerin bulunduğunu, hangi hukuki yükümlülüklerle uyumlu hareket edildiğini belirleyeceğiz.
- Her kişisel veri kategorisi için farklı riskler ortaya çıkabilmektedir, bu sebeple farklı güvenlik önlemleri alınması gerekebiliyor.
Kişisel Verilerin Mümkün Olduğunca Azaltılması
- Kişisel veriler; gerektiğinde doğru ve güncel olmalı, mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmelidir.
- Elde ettiğiniz bilgilerin güncelliğini sağlama konusunda Kurul’un yol gösterici bir kararı mevcuttur. Kurul’un 2020/966 sayılı İlke Kararına göre; ilgili kişiden alınan telefon veya e-posta gibi kişisel verilerin kasıtlı olarak yanlış verilmesi çok görülmeye başlanmış olup, bu bilgilerin hemen bir aktivasyon kodu gönderilmesi gibi bir işlemle teyidinin sağlanması istenmiştir. Böylece müşterilerinizden elde ettiğiniz bilgilerin doğruluğunu ivedilikle sağlamanız, böylece işlenen kişisel verilerin doğru ve güncel olması şartını sağlamanız gerektiği, Kurul’un bu kararı ile irdelenmiştir.
- Ancak yine de; elde ettiğiniz kişisel verilerin güncelliğini, veriyi işleme açısından tarafınızca hala ihtiyaç olup olmadığını ve bu kişisel verilerin doğru yerde muhafaza edildiğini periyodik olarak kontrol etmeniz, KVKK kapsamında alınacak en önemli tedbirlerden olacaktır.
- Bu konuda uzman tavsiyemiz; veri işleme amaçlarına uygun olmasına rağmen sıklıkla erişimi gerekmeyen ve arşiv niteliğinde olan kişisel verileri daha güvenli ortamlarda muhafaza etmeniz, ihtiyaç duyulmayan verileri ise oluşturacağımız kişisel veri saklama ve imha politikası ile silmeniz, yok etmeniz yahut anonim hale getirmenizdir.
KLİNİK MERKEZİ İÇİN ALINACAK TEKNİK TEDBİRLER
- Burada sayılan tedbirlerin birçoğu, ISO 27001 Bilgi Güvenliği Yönetim Sistemi Sertifikası ile de sağlanabilmektedir. Bu sertifikanın temini KVKK Uyum Projesi için zorunlu olmamakla beraber, alınması halinde teknik tedbirlerin sağlanması açısından Klinik merkezi için büyük bir kolaylık sağlayacağını da söylemek gerekir. Ancak tarafınızca alınacak bu teknik tedbirlerin, yaptığınız iş ve faaliyet kolu sebebiyle minimum düzeyde kalmasının sorun teşkil etmeyeceğini de belirtmek isteriz.
Siber Güvenliğin Sağlanması
- Tek bir siber güvenlik ürünü ile güvenliği sağlamak, günümüz şartlarına göre pek mümkün olmamaktadır. Çünkü tehditler her geçen gün daha da girift bir hale gelerek etki alanlarını genişletmektedirler.
- Bu sebeple; birçok prensip dahilinde tamamlayıcı niteliğe sahip teknik tedbirlerin alınarak periyodik olarak kontrollerinin sağlanmasını önermekteyiz.
- İnternet üzerinden gelecek tehditlere karşı alınacak öncelikli tedbirler; güvenlik duvarı (firewall) ve ağ geçididir (Internet gateway). Bu tedbirler, tehditlere karşı ilk savunma hattı olacaktır.
- İyi yapılandırılmış bir ağ duvarı, kullanılmakta olan ağa derinlemesine nüfuz etmeden önce, gerçekleşen ihlalleri durdurabilir. Ağ geçidi ise, çalışanlarınızın tehdit teşkil eden internet sitelerine ve online servislere erişimini önleyebilir.
- İşletme bünyesinde kullanılacak yazılım ve servislerin güvenilirliğini her aşamada dikkate almalıyız. Bazı programların eski sürümlerinin belgelenmiş güvenlik açıkları bulunmakta olup, kullanılmayan yazılım ve servislerin güncel tutulması yerine silinmesini önermekteyiz. Kullanılan yazılımlar için ise etkili bir yama ve güncelleme yönetiminin tarafınızdan sağlanması gerekmektedir.
- Kişisel verilere erişim noktasında, çalışanlara görev ve yetkisi ölçüsünde erişim yetkisi tanınmalıdır.
- Çalışanların kişisel verilere erişiminde güçlü parola ve şifre kullanmaları, düzenli aralıklarla parola ve şifre değişimi gerekliliğini onların takdirine bırakmayarak sistemsel bir zorunluluk olarak portala tanımlamanızı tavsiye ederiz. Zira çalışanlar, böyle bir zorunluluğun olmadığını fark ettiklerinde hatırlayabilecekleri kolay şifre ve parolalar belirleyerek, periyodik değişimler yapmayarak veri ihlaline davetiye çıkarmaktadırlar.
- Kaba kuvvet algoritması (BFA) kullanımı gibi yaygın saldırılardan korunmak için; şifre girişi sayısının sınırlandırılması, yönetici hesabı ve admin yetkisinin sadece ihtiyaç olduğu durumlarda kullanılması ve ilişikleri kesilen çalışanların erişiminin derhal engellenmesi veya hesabının silinmesini tavsiye etmekteyiz.
- Kötü amaçlı yazılımlardan korunmak için antivirüs, antispam gibi ürünlerin kullanılarak, düzenli olarak bilgi sistem ağını taramanızı öneririz. Ayrıca bu yardımcı ürünlerin yazılımlarının güncel tutulması önem arz etmektedir.
- Son olarak, faaliyetinizde mevcut olabilmesi muhtemel, kişisel verilerin Facebook, Instagram gibi sitelerden ve uygulamalardan temini halinde, bağlantıların SSL veya daha güvenli bir yol ile sağlanması önem arz etmektedir.
Kişisel Veri Güvenliğinin Takibi
- Bilişim ağlarında hangi yazılım ve servislerin çalıştığını kontrol edelim.
- Bilişim ağlarında sızma veya olmaması gereken bir hareket olup olmadığını tespit edelim.
- Tüm kullanıcıların işlem hareketleri kayıtlarını düzenli olarak tutalım (log kayıtları).
- Güvenlik sorunlarını mümkün olduğunca hızlı bir şekilde raporlayalım. Bu raporlama, sistem tarafından otomatik tarafından oluşturulacak raporlar olabilir, önemli olan hızlıca toplulaştırılarak yetkili birime sunulması gerekliliğidir.
- Çalışanların, güvenlik zaafiyetlerini ya da muhtemel tehditleri bildirmesi için resmi bir raporlama prosedürü oluşturalım.
Kişisel Veri İçeren Ortamların Güvenliğinin Sağlanması
- Verilerin saklandığı cihazların ve fiziki belgelerin bulunduğu ortamların fiziksel güvenlik önlemlerini sağlayalım. Yani bilgisayarların çalınması veya kağıtların kaybolması gibi risklerle beraber, yangın ve sel gibi risklere karşı gerekli güvenlik tedbirlerini sağlayalım.
- Elektronik ortamda bulunan kişisel veriler için ağ bileşenleri arasında erişimi sınırlandıralım veya bileşenlerin ayrılmasını sağlayalım. Yani bu veriler için özel bir alan yaratarak mevcut kaynakları tüm ağ için değil, bu özel alanın güvenliği için sınırlayarak verimli kullanmayı mümkün kılalım.
- Kişisel veri içeren cihazların (cep telefonu, harddisk, dizüstü bilgisayar vs) güvenliğinin sağlanmasının yanı sıra, e-posta ile aktarılan kişisel verilerin de güvenliğini sağlamamız gereklidir. Ayrıca çalışanların şahsi cihazlarının bilgi sistem ağına erişim sağlaması da risk oluşturduğundan yine güvenlik tedbirlerini almamız gerekecektir.
- Kişisel veri içeren cihazların kaybolması veya çalınması hallerine tedbir olarak, erişim kontrol yetkilendirmesi ve şifreleme yöntemleri kullanalım. Şifre anahtarı, sadece yetkili kişilerin erişebileceği ortamda saklanmalıdır. Aynı şekilde, kişisel veri içeren kâğıt ortamındaki evraklar da sadece yetkili kişilerin erişebileceği ortamda saklanmalıdır.
- Şifreleme yöntemini kullanırken, uluslararası platformda kabul görmüş şifreleme programlarını kullanalım. Eğer şifreleme yöntemi asimetrik ise, anahtar yönetimi süreçlerine de önem göstermemiz gerekir.
Kişisel Verilerin Bulutta Depolanması
- Bulutta depolama, kendi sisteminiz alanından çıkarak bulut depolama hizmeti sağlayıcıları tarafından işlenmesine sebep olduğundan bazı risklere sebebiyet vermektedir.
- Eğer bulut depolama sistemlerini kullanıyorsanız, bulut hizmeti sağlayıcısının güvenli olup olmadığını denetlemek gerekir.
- Tavsiyemiz; bulutta saklanan kişisel verilerin neler olduğunu detaylıca bilmeniz ve uzaktan erişim için iki kademeli kimlik doğrulama (2FA) kontrolünün uygulanmasıdır.
- Ayrıca kişisel verilerin kriptografik yöntemlerle şifrelenmesi, bulut ortamına şifrelenerek atılması, hizmet alınan her bir bulut çözümü için ayrı ayrı şifreleme anahtarları kullanılmasını tavsiye ediyoruz.
Bilgi Teknolojileri Sistemleri Tedariği, Geliştirme ve Bakımı
- Arızalandığı veya bakım süresi geldiği için üçüncü kişilere gönderilecek cihazların kişisel veri içermesi halinde, gönderilmeden önce veri saklama ortamının sökülerek alınması, sadece arızalı parçaların gönderilmesi gibi önlemler alalım. Eğer bakım ve onarım için dışarıdan personel gelmişse, kişisel verileri kopyalayarak sistem dışına çıkarılmasını engellemek için de önlemleri almalıyız.
Kişisel Verilerin Yedeklenmesi
- Kişisel verilerin herhangi bir sebeple ulaşılamaz hale gelmesi (çalınması, bozulması, kaybolması vs) hallerinde, yedeklenen verileri kullanarak faaliyetine devam edebilirsiniz. Bu anlamda yedekleme, hem Kanun kapsamında, hem de işletmesel faaliyetiniz için alınması gereken önemli bir tedbirdir.
- Yine, kötü amaçlı yazılımlar da kişisel verilere tarafınızdan ulaşılmasını engelleyebilmekte, kilitlenmiş verileri açmak için fidye isteyen yazılımlarla karşılaşmaktayız. Bu durumlarda yedekleme, sorunu aşmamızı sağlayacaktır.
- Yedeklenen kişisel verileri sadece sistem yöneticisi tarafından erişilebilir kılalım, veri seti yedeklerini mutlaka ağ dışında tutalım. Aksi halde yedeklerin de kötü amaçlı yazılımlar tarafından kilitlenmesi, zarar görmesi riskleri söz konusu olacaktır.
Av. Orçun K. KOÇAK
Kalyoncu Hukuk Bürosu