1.Amaç
KVKK yürürlüğe girdiği tarihten itibaren, ticari faaliyetlerimizi yerine getirirken herhangi bir şekilde temas ettiğimiz tüm gerçek kişilere ait kişisel verilerin korunmasına ve bu çerçevede KVKK’da yer alan gerekliliklerin eksiksiz olarak yerine getirilmesine büyük önem vermekteyiz. Bu Prosedür’ün temel amacı, Şirket tarafından hukuka uygun bir biçimde yürütülen kişisel veri işleme faaliyeti ve kişisel verilerin korunmasına yönelik benimsenen sistemler konusunda açıklamalarda bulunmak, bu kapsamda müşterilerimiz, potansiyel müşterilerimiz, çalışanlarımız, çalışan adaylarımız, şirket yetkililerimiz, ziyaretçilerimiz, işbirliği içinde olduğumuz kurumların çalışanları, yetkilileri ve kişisel verisi işlenen üçüncü kişiler başta olmak üzere kişisel verileri şirketimiz tarafından işlenen kişileri bilgilendirilerek şeffaflığı sağlamaktır.
2.Kapsam
Bu Prosedür; Çalışanlarımızın, Çalışan Adayları’mızın, Şirket Yetkilileri’nin, Müşterilerimizin, Potansiyel müşterilerimizin, Ziyaretçi’lerimizin, İşbirliği İçinde Olduğumuz Kurumların Çalışanları’nın ve kişisel verisi işlenen Üçüncü Kişi’lerin otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen tüm kişisel verilerine ilişkindir.
3.Tanımlar
Kişisel Verilerin İşlenmesine İlişkin Hususlar
6698 Sayılı Kişisel Verileri Koruma Kanuna (“KVKK”) göre, herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bir Anayasal hak olan kişisel verilerin korunması konusunda, ‘’Fetmed Özel Sağlık Hizm.Tic. Ltd. AŞ. (“Şirket”) işbu Prosedür ile yönetilen; müşterilerinin, potansiyel müşterilerinin, çalışanların, çalışan adaylarının, şirket yetkililerinin, ziyaretçilerinin, işbirliği içinde olduğu kurumların çalışanları, yetkililerinin ve üçüncü kişilerin kişisel verilerinin korunmasına gerekli özeni göstermekte ve bunu bir Şirket prosedürü haline getirmektedir.
Kanunun uygulanması ve bu Prosedür kapsamında;
Açık rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı,
Anonim hâle getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini,
İlgili kullanıcı: Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişileri,
İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesini,
Kanun : 6698 Sayılı Kişisel Verilerin Korunması Kanunu’nu,
Kişisel Veri Sahibi/ İlgili Kişi: Müşteriler, ya da kişisel verisi işlenen Müşteri olmayan; potansiyel müşteriler, çalışanlar, çalışan adayları, hissedarlar, ziyaretçiler, kendisi ile akdettiği bir sözleşme çerçevesinde (destek hizmeti, bağımsız denetim, derecelendirme, danışmanlık, hizmet, satın alma, iş birliği, çözüm ortaklığı vb.) iş ilişkisi içerisinde bulunulan kurum ve kuruluşlar ve bunların çalışanları, hissedarları ve yetkilileri ile üçüncü gerçek kişiyi, Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi,
Kişisel verilerin işlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi, Kurul: Kişisel Verileri Koruma Kurulunu,
Kurum: Kişisel Verileri Koruma Kurumunu,
Müşteri: Şirket ile imzalamış olduğu sözleşmeye istinaden Şirketten hizmet alan ve verisi işlenen ilgili gerçek kişiyi,
Veri işleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi,
Veri kayıt sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini,
Veri sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi, ifade eder.
4.Sorumluluklar
Onay ve yürürlük
Bu prosedür Başhekim onayından sonra yürürlüğe girer.
• Prosedürün Kullanıcıları: Tüm çalışanlar sorumludur.
5.Prosedür:
Kişisel Verilerin İşlenmesinde Temel İlkeler:
• Hukuka ve Dürüstlük Kuralına Uygun İşleme: Şirketimiz; kişisel verilerin işlenmesinde hukuksal düzenlemelerle getirilen ilkeler ile genel güven ve dürüstlük kuralına uygun hareket etmektedir.
• Doğru ve gerektiğinde güncel olma: Şirket tarafından işlenen kişisel verilerin doğru ve güncel duruma uygun olması için gerekli tedbirler alınmakta ve işlenmekte olan verilerin gerçek durumu yansıtmasını sağlamak amacıyla bilgilendirmeler de bulunularak veri sahiplerine gerekli imkânlar tanınmaktadır.
• Belirli, açık ve meşru amaçlar için işlenme: Şirketimiz, meşru ve hukuka uygun olan kişisel veri işleme amacını açık ve kesin olarak belirlemektedir. Şirketimiz, kişisel verileri sunmakta olduğu hizmetle bağlantılı ve bunlar için gerekli olan kadar işlemektedir. Şirketimiz tarafından kişisel verilerin hangi amaçla işleneceği henüz kişisel veri işleme faaliyeti başlamadan ortaya konulmaktadır.
• İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma: Şirket tarafından veriler, KVKK ve ilgili diğer mevzuata uygun olarak, veri kategorilerine göre belirlenen amaçların gerçekleştirilebilmesine elverişli, amacın gerçekleştirilmesiyle ilgili ve ölçülü olarak işlenmekte olup, ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınılmaktadır.
• İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme: Şirket tarafından işlenen kişisel veriler, ancak ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmektedir. Bu kapsamda, Şirket, ilgili mevzuatta verilerin saklanması için öngörülen bir süre varsa bu süreye uymakta; böyle bir süre yoksa verileri, ancak işlendikleri amaç için gerekli olan süre kadar muhafaza etmektedir. Şirket gelecekte kullanma ihtimalinin varlığına dayanarak veri saklamamaktadır.
Kişisel Veri İşleme Faaliyetlerinin KVKK’na uygun gerçekleştirilmesi:
KVKK ile kişisel verilerin işlenme koşulları düzenlenmiş olup, Şirket tarafından kişisel veriler aşağıda belirtilen söz konusu koşullara uygun olarak işlenmektedir.
• Kanun’da sayılan istisnalar dışında, Şirket ancak veri sahiplerinin açık rızasını temin etmek suretiyle kişisel veri işlemektedir. Kanun’da sayılan aşağıdaki hallerin varlığı durumunda ise, veri sahibinin açık rızası olmasa dahi kişisel veriler işlenebilmektedir.
• Kanunlarda açıkça öngörülmesi,
• Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
• Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
• Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
• Veri sahibinin kendisi tarafından alenileştirilmiş olması,
• Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
• Veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.
Veri sahipleri açısından korunmasının çeşitli açılardan daha kritik önem teşkil ettiğine inanılan özel nitelikli kişisel verilerin işlenmesinde ise Şirket tarafından özel hassasiyet gösterilmektedir. Bu kapsamda, Kurul tarafından belirlenen yeterli önlemlerin alınması şartıyla bu tür veriler, veri sahiplerinin açık rızası olmaksızın işlenmemektedir. Ancak, sağlık ve cinsel hayat ile ilgili veriler dışındaki özel nitelikli kişisel veriler, kanunlarda öngörülen hallerde veri sahibinin açık rızası olmaksızın da işlenebilmektedir. Bununla beraber, sağlık ve cinsel hayata ilişkin veriler ise yeterli önlemlerin alınması şartıyla ve aşağıda sayılan sebeplerin varlığı halinde açık rızası alınmaksızın işlenebilmektedir:
• Kamu sağlığının korunması,
• Koruyucu hekimlik,
• Tıbbî teşhis,
• Tedavi ve bakım hizmetlerinin yürütülmesi,
• Sağlık hizmetleri ile finansmanının planlanması ve yönetimi.
• Kişisel Veri Sahibinin Aydınlatılması ve Bilgilendirilmesi
Şirketimiz, KVK Kanunu’nun 10. maddesine uygun olarak, kişisel verilerin elde edilmesi sırasında kişisel veri sahiplerini aydınlatmaktadır. Bu kapsamda Şirket kişisel verilerin hangi amaçla işleneceğini, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi ile kişisel veri sahibinin sahip olduğu hakları konusunda aydınlatma yapmaktadır.
Anayasa’nın 20. maddesinde herkesin, kendisiyle ilgili kişisel veriler hakkında bilgilendirilme hakkına sahip olduğu ortaya konulmuştur. Bu doğrultuda KVK Kanunu’nun 11inci maddesinde kişisel veri sahibinin hakları arasında “bilgi talep etme” de sayılmıştır. Şirketimiz bu kapsamda, Anayasa’nın 20incive KVK Kanunu’nun 11inci maddelerine uygun olarak kişisel veri sahibinin bilgi talep etmesi durumunda gerekli bilgilendirmeyi yapmaktadır.
5.2.1. Kişisel Verilerin İşlenme Amaçları
Sağlık verileriniz başta olmak üzere özel nitelikli kişisel verileriniz ve kişisel verileriniz, Şirket tarafından aşağıda yer alanlar dâhil ve bunlarla sınırlı olmaksızın aşağıda yer alan amaçlar ile bağlantılı, sınırlı ve ölçülü şekilde işlenebilmektedir:
• Adınız, soyadınız, T.C. Kimlik numaranız, geçici TC Kimlik numaranız, pasaport numaranız, doğum yeri ve tarihiniz, medeni haliniz, cinsiyetiniz, sigorta veya hasta protokol numaranız ve sizi tanımlayan diğer kimlik verileriniz.
• Adresiniz, telefon numaranız, elektronik posta adresiniz
• Test sonuçlarınız, laboratuvar ve görüntüleme sonuçlarınız, muayene verileriniz, reçete bilgileriniz gibi tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi sırasında elde edilen sağlık ve cinsel hayata ilişkin verileriniz ve bunlarla sınırlı olmamak üzere sağlık verileriniz,
• IBAN numaranız, kredi kartı bilginiz,
• Hastanelerimizi ziyaretiniz sırasında alınan kapalı devre kamera sistemi görüntü ve ses kaydınız,
• Çağrı Merkezimiz ile iletişime geçtiğiniz takdirde tutulan sesli görüşme kayıtlarınız,
• Sağlık hizmetlerinin finansmanı ve planlaması amacıyla özel sağlık sigortasına ilişkin verileriniz ve Sosyal Güvenlik Kurumu verileriniz.
Şirketimiz 6698 Sayılı Kişisel Verilerin Korunması Kanunun 5. maddesinin 2. fıkrasında ve 6. Maddenin 3. Fıkrasında belirtilen kişisel veri işleme şartları içerisindeki amaçlarla ve koşullarla sınırlı olarak kişisel veriler işlemektedir. Bu amaçlar ve koşullar;
• Kişisel verilerinizin işlenmesine ilişkin Şirketimizin ilgili faaliyette bulunmasının Kanunlarda açıkça öngörülmesi,
• Kişisel verilerinizin Şirketimiz tarafından işlenmesinin bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili ve gerekli olması,
• Kişisel verilerinizin işlenmesinin Şirketimizin hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
• Kişisel verilerinizin sizler tarafından alenileştirilmiş olması şartıyla; sizlerin alenileştirme amacıyla sınırlı bir şekilde Şirketimiz tarafından işlenmesi,
• Kişisel verilerinizin Şirketimiz tarafından işlenmesinin Şirketimizin veya sizlerin veya üçüncü kişilerin haklarının tesisi, kullanılması veya korunması için zorunlu olması,
• Sizlerin temel hak ve özgürlüklerine zarar vermemek kaydıyla Şirketimiz meşru menfaatleri için kişisel veri işleme faaliyetinde bulunulmasının zorunlu olması,
• Şirketimiz tarafından kişisel veri işleme faaliyetinde bulunulmasının kişisel veri sahibinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması ve bu durumda da kişisel veri sahibinin fiili imkânsızlık veya hukuki geçersizlik nedeniyle rızasını açıklayamayacak durumda bulunması,
• Kişisel veri sahibinin sağlığı ve cinsel hayatı dışındaki özel nitelikli kişisel verilerin işlenmesinin kanunlarda öngörülmesi,
• Kişisel veri sahibinin sağlığına ve cinsel hayatına ilişkin özel nitelikli kişisel verileri kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenmesidir.
Yukarıda belirtilen koşullar altında; Şirketimiz kişisel verileri, bunlarla sınırlı olmamak üzere aşağıdaki amaçlarla işleyebilmektedir: Kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi,
Sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla
Kimliğinizin doğrulanması
Randevu almanız halinde randevu hakkında sizi haberdar edebilme.
Hastanemiz ile anlaşmalı olan kurumlarla ilişkinizi teyit etme
Yasal ve düzenleyici gereksinimlerin yerine getirilmesi
Hasta Hizmetleri, Mali İşler, Pazarlama bölümleri tarafından sağlık hizmetlerinizin finansmanı, tetkik, teşhis ve tedavi giderlerinizin karşılanması,
İlgili mevzuat uyarınca Sağlık Bakanlığı ve diğer kamu kurum ve kuruluşları ile talep edilen bilgilerin paylaşılması,
Sağlık hizmetlerinin finansmanı kapsamında özel sigorta şirketleri tarafından talep edilen her türlü bilgileri paylaşma
Sunduğumuz hizmetlerin geliştirilmesi amacıyla sağlık hizmetleri kullanımınızı analiz etme
Şirket tarafından yürütülen ticari faaliyetlerin gerçekleştirilmesi için ilgili iş birimlerimiz tarafından gerekli çalışmaların yapılması ve buna bağlı iş süreçlerinin yürütülmesi doğrultusunda;
• İş faaliyetlerinin ve iş sürekliliğinin sağlanması faaliyetlerinin planlanması ve icrası,
• Finans ve/veya muhasebe işlerinin takibi,
• Yetkili kuruluşlara mevzuattan kaynaklı bilgi verilmesi,
•Kurumsal iletişim faaliyetlerinin planlanması ve icrası,
Şirketimizin insan kaynakları politikalarının yürütülmesinin temini;
Şirketimizin ve Şirketimizle iş ilişkisi içerisinde olan kişilerin hukuki ve ticari güvenliğinin temini;
Mevcut müşterilerimiz için memnuniyet değerlendirme faaliyetlerinin yürütülmesi, organizasyon ve etkinlik yönetimi,
İş sağlığı ve güvenliği faaliyetlerinin yürütülmesi,
Bilgi ve fiziksel güvenlik süreçlerinin yürütülmesi
Kurumsal internet sitemiz ve mobil uygulamalar üzerinden işlem yapanın bilgilerini teyit etmek,
• Kişisel verilerin silinmesi; Kişisel Verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.
Verilerin yok edilmesi ise, Kişisel Verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.
Verilerin anonim hale getirilmesiyle, Kişisel Verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi sağlanır.
5.3.1. Kişisel Verilerin Aktarılması
Açıklanan amaçlar kapsamında işlenen kişisel verileriniz; KVKK’da öngörülen temel ilkelere uygun olarak ve KVKK’nın 8. ve 9. maddelerinde belirtilen kişisel veri işleme şartları ve amaçları dâhilinde,
Sağlık bakanlığı ve bağlı alt birimleri,
Yetki vermiş olduğunuz temsilcileriniz,
Özel sigorta şirketleri,
Sosyal Güvenlik Kurumu,
Emniyet Genel Müdürlüğü ve sair kolluk kuvvetleri,
Nüfus Genel Müdürlüğü,
Türkiye Eczacılar Birliği,
Mahkemeler ve her türlü yargı makamı, merkezi ve sair üçüncü kişiler,
Avukatlar,
Tıbbi teşhis ve tedavi için iş birliği içerisinde olduğumuz laboratuvarlar, tıp merkezleri, ambulans, tıbbi cihaz ve sağlık hizmeti sunan kurumlar,
Hizmetlerin sağlanabilmesi amacıyla sınırlı olarak tedarikçilerimiz,
ile paylaşılabilecektir.
• Kişisel Verilerin Yurtdışına Aktarılması
Şirketimiz hukuka uygun kişisel veri işleme amaçları doğrultusunda gerekli güvenlik önlemleri alarak kişisel veri sahibinin kişisel verilerini ve özel nitelikli kişisel verilerini yurtdışındaki üçüncü kişilere aktarabilmektedir. Şirketimiz tarafından kişisel veriler; KVK Kurumu tarafından yeterli korumaya sahip olduğu ilan edilen yabancı ülkelere
(“Yeterli Korumaya Sahip Yabancı Ülke”) veya yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt ettiği ve KVK Kurumu’nun izninin bulunduğu yabancı ülkelere (“Yeterli Korumayı Taahhüt Eden Veri Sorumlusunun Bulunduğu Yabancı Ülke”)
aktarılmaktadır. Şirketimiz bu doğrultuda KVK Kanunu’nun 9. maddesinde öngörülen düzenlemelere uygun hareket etmektedir.
• Bina, Tesis girişleri ile İçerisinde Yapılan Kişisel Veri İşleme Faaliyetleri ile İnternet Sitesi Ziyaretçileri Şirket tarafından bina tesis girişlerinde ve tesis içerisinde yapılan kişisel veri işleme faaliyetleri,Anayasa’ya, KVK Kanunu’na ve ilgili diğer mevzuata uygun bir biçimde yürütülmektedir.Şirketimiz tarafından güvenliğin sağlanması amacıyla, Şirketimiz binalarında ve tesislerinde güvenlik kamerasıyla izleme faaliyeti ile misafir giriş çıkışlarının takibine yönelik kişisel veri işleme faaliyetinde bulunulmaktadır.
Güvenlik kameraları kullanılması ve misafir giriş çıkışlarının kayıt altına alınması yoluyla Şirketimiz tarafından kişisel veri işleme faaliyeti yürütülmüş olmaktadır. Şirket, güvenlik kamerası ile izleme faaliyeti; şirketin ve diğer kişilerin güvenliğini sağlamaya ilişkin menfaatlerini korunması amacını taşımakta olup bu kapsamda Şirketimiz Anayasa, KVK Kanunu ve ilgili diğer mevzuata uygun olarak hareket etmektedir.
Şirketimizin bina, tesis girişlerinde ve tesis içerisinde kamera ile izleme sistemi vasıtasıyla ziyaretçilerimizin görüntü kayıtları alınmaktadır. Şirketimiz, güvenlik kamerası ile izleme faaliyeti kapsamında; sunulan hizmetin kalitesini artırmak, güvenilirliğini sağlamak, şirketin, müşterilerin ve diğer kişilerin güvenliğini sağlamak ve müşterilerin aldıkları hizmete ilişkin menfaatlerini korumak gibi amaçlar taşımaktadır. Şirketimiz tarafından güvenlik amacıyla kamera ile izleme faaliyeti yürütülmesinde KVK Kanunu’nda yer alan düzenlemelere uygun hareket edilmektedir. Şirketimiz tarafından yürütülen kamera ile izleme faaliyeti, Özel Güvenlik Hizmetlerine Dair Kanun ve ilgili mevzuata uygun olarak sürdürülmektedir.
Dijital ortamda kaydedilen ve muhafaza edilen kayıtlara yalnızca sınırlı sayıda Şirket çalışanının erişimi bulunmaktadır. Kayıtlara erişimi olan sınırlı sayıda kişi gizlilik taahhütnamesi ile eriştiği verilerin gizliliğini koruyacağını beyan etmektedir. Şirketimiz tarafından KVK Kanunu’nun 12. maddesine uygun olarak, kamera ile izleme faaliyeti sonucunda elde edilen kişisel verilerin güvenliğinin sağlanması için gerekli teknik ve idari tedbirler alınmaktadır. Yukarıda belirtilen kamerayla kayıt dışında Şirketimiz tarafından; güvenliğin sağlanması ve bu Politika’da belirtilen amaçlarla, Şirketimiz binalarında ve tesislerinde misafir giriş çıkışlarının takibine yönelik kişisel veri işleme faaliyetinde bulunulmaktadır.
Misafir olarak Şirketimiz binalarına gelen kişilerin isim ve soyadları elde edilirken ya da Şirket nezdinde asılan ya da diğer şekillerde misafirlerin erişimine sunulan metinler aracılığıyla söz konusu kişisel veri sahipleri bu kapsamda aydınlatılmaktadırlar. Misafir giriş-çıkış takibi yapılması amacıyla elde edilen veriler yalnızca bu amaçla işlenmekte veya ilgili kişisel veriler fiziki ortamda veri kayıt sistemine kaydedilmektedir. Şirketimiz tarafından güvenliğin sağlanması ve bu Prosedür’de belirtilen amaçlarla; Şirketimiz tarafından Bina ve Tesislerimiz içerisinde kaldığınız süre boyunca talep eden Ziyaretçilerimize internet erişimi sağlanabilmektedir. Bu durumda internet erişimlerinize ilişkin log kayıtları 5651 Sayılı Kanun ve bu Kanuna göre düzenlenmiş olan mevzuatın amir hükümlerine göre kayıt altına alınmakta; bu kayıtlar ancak yetkili kamu kurum ve kuruluşları tarafından talep edilmesi veya Şirket içinde gerçekleştirilecek denetim süreçlerinde ilgili hukuki yükümlülüğümüzü yerine getirmek amacıyla işlenmektedir.
Bu çerçevede elde edilen log kayıtlarına yalnızca sınırlı sayıda Şirket çalışanının erişimi bulunmaktadır. Bahsi geçen kayıtlara erişimi olan Şirket çalışanları bu kayıtları yalnızca yetkili kamu kurum ve kuruluşundan gelen talep veya denetim süreçlerinde kullanmak üzere erişmekte ve hukuken yetkili olan kişilerle paylaşmaktadır. Kayıtlara erişimi olan sınırlı sayıda kişi gizlilik taahhütnamesi ile eriştiği verilerin gizliliğini koruyacağını beyan etmektedir.
İnternet Sitesini ziyaret edenler için Çerez politikası aracılığıyla aydınlatılma yapılmaktadır.
• Kişisel Veri Kategorileri
Kimlik (ad soyad, anne – baba adı, anne kızlık soyadı, doğum tarihi, doğum yeri, medeni hali, nüfus cüzdanı seri sıra no, tc kimlik no gibi)
İletişim (adres no, e-posta adresi, iletişim adresi, kayıtlı elektronik posta adresi (KEP), telefon no gibi)
Lokasyon (bulunduğu yerin konum bilgileri)
Özlük (bordro bilgileri, disiplin soruşturması, işe giriş-çıkış belgesi kayıtları, mal bildirimi bilgileri, özgeçmiş bilgileri, performans değerlendirme raporları gibi)
Hukuki İşlem (adli makamlarla yazışmalardaki bilgiler, dava dosyasındaki bilgiler gibi)
Müşteri İşlem (çağrı merkezi kayıtları, fatura, senet, çek bilgileri, gişe dekontlarındaki bilgiler, sipariş bilgisi, talep bilgisi gibi)
Fiziksel Mekân Güvenliği (çalışan ve ziyaretçilerin giriş çıkış kayıt bilgileri, kamera kayıtları gibi) İşlem Güvenliği (IP adresi bilgileri, internet sitesi giriş çıkış bilgileri, şifre ve parola bilgileri gibi)
Risk Yönetimi (ticari, teknik, idari risklerin yönetilmesi için işlenen bilgiler gibi)
Finans (bilanço bilgileri, finansal performans bilgileri, kredi ve risk bilgileri, malvarlığı bilgileri gibi)
Mesleki Deneyim (diploma bilgileri, gidilen kurslar, meslek içi eğitim bilgileri, sertifikalar, transkript bilgileri gibi)
Pazarlama (alışveriş geçmişi bilgileri, anket, çerez kayıtları, kampanya çalışmasıyla elde edilen bilgiler)
Görsel ve İşitsel Kayıtlar (görsel ve işitsel kayıtlar gibi)
Irk ve Etnik Köken (ırk ve etnik kökeni bilgileri gibi)
Siyasi Düşünce Bilgileri (siyasi düşüncesini belirten bilgiler, siyasi parti üyeliği bilgisi gibi)
Felsefi İnanç, Din, Mezhep ve Diğer İnançlar (dini aidiyetine ilişkin bilgiler, felsefi inancına ilişkin bilgiler, mezhep aidiyetine ilişkin bilgiler, diğer inançlarına ilişkin bilgiler gibi)
Kılık ve Kıyafet (kılık ve kıyafete ilişkin bilgiler)
Dernek Üyeliği (dernek üyeliği bilgileri gibi)
Vakıf Üyeliği (vakıf üyeliği bilgileri gibi)
Sendika Üyeliği (sendika üyeliği bilgileri gibi)
Sağlık Bilgileri (engellilik durumuna ait bilgiler, kan grubu bilgisi, kişisel sağlık bilgileri, kullanılan cihaz ve protez bilgileri gibi)
Cinsel Hayat (cinsel hayata ilişkin bilgiler gibi)
Ceza Mahkûmiyeti Ve Güvenlik Tedbirleri (ceza mahkûmiyetine ilişkin bilgiler, güvenlik tedbirlerine ilişkin bilgiler gibi)
Biyometrik Veri (avuç içi bilgileri, parmak izi bilgileri, retina taraması bilgileri, yüz tanıma bilgileri gibi)
Genetik Veri (genetik veriler gibi)
Diğer Bilgiler (kullanıcı tarafından belirlenecek veri türleri gibi)
• Veri Konusu Kişi Grupları
- Çalışan Adayı
- Çalışan
- Denek
- Habere konu kişi
- Hissedar/Ortak
- Potansiyel Ürün veya Hizmet Alıcısı
- Sınav adayı
- Stajyer
- Tedarikçi Çalışanı
- Tedarikçi Yetkilisi
- Ürün veya Hizmet Alan Kişi
- Veli / Vasi / Temsilci
- Ziyaretçi
- Diğer
• Kişisel Verilerin İşlenmesi ve Korunmasına İlişkin Alınan Teknik ve İdari Tedbirler
Şirket, kişisel verilerin korunması için gerekli olan uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almaktadır. KVKK’nın 12. maddesinde öngörülen tedbirler şunlardır: Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
• Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
• Kişisel verilerin muhafazasını sağlamak
Veri Sorumlusu olarak Şirket, KVKK Uyumluluk sürecinin iyileştirilmesi için aşağıdaki Teknik ve İdari Tedbirlerinin uygulanması için gerekli süreci başlatmıştır.
• Yetki Matrisi
• Yetki Kontrol
• Erişim Logları
• Kullanıcı Hesap Yönetimi
• Ağ Güvenliği Uygulama
• Güvenliği Şifreleme Sızma
• Testi Saldırı Tespit ve Önleme Sistemleri
• Log Kayıtları Veri Maskeleme
• Veri Kaybı Önleme Yazılımları
• Yedekleme Güvenlik Duvarları
• Güncel Anti-Virüs Sistemleri
• Silme, Yok Etme veya Anonim Hale Getirme Anahtar Yönetimi
• Kişisel Veri İşleme Envanteri Hazırlanması
• Kurumsal Politikalar (Erişim, Bilgi Güvenliği, Kullanım, Saklama ve İmha vb.) Sözleşmeler (Veri Sorumlusu – Veri Sorumlusu, Veri Sorumlusu – Veri İşleyen Arasında )
• Gizlilik Taahhütnameleri
• Kurum İçi Periyodik ve/veya Rastgele Denetimler
• Risk Analizleri
• İş Sözleşmesi, Disiplin Yönetmeliği (Kanuna Uygun Hükümler İlave Edilmesi) Kurumsal İletişim (Kriz Yönetimi, Kurul ve İlgili Kişiyi Bilgilendirme Süreçleri, İtibar Yönetimi vb.)
• Eğitim ve Farkındalık Faaliyetleri (Bilgi Güvenliği ve Kanun) Veri Sorumluları Sicil Bilgi Sistemine (VERBİS) Bildirim
• Kişisel Veri Sahibinin KVK Kanunu’nun 11. maddesinde Sayılan Hakları
Kişisel veri sahipleri olarak, haklarınıza ilişkin taleplerinizi, işbu Kişisel Verilerin Koruması Kanunu Aydınlatma Metni’nde aşağıda düzenlenen yöntemlerle Şirketimize iletmeniz durumunda Şirketimiz talebin niteliğine göre talebi en geç 30 (otuz) gün içinde ücretsiz olarak sonuçlandıracaktır. Ancak, Kişisel Verileri Koruma Kurulunca bir ücret öngörülmesi halinde, Şirketimiz tarafından belirlenen tarifedeki ücret alınacaktır.
Bu kapsamda kişisel veri sahipleri;
• Kişisel veri işlenip işlenmediğini öğrenme,
• Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
• Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
• Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme, KVK Kanunu’nun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
• İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
• Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme haklarına sahiptir.
6.İlgili Dokümanlar :
kU.YD.111 – Çalışan Gizlilk Taahhütnamesi
KU.YD.106 – Kişisel Verilerin Korunması Sözleşmesi
KU.RB.001 – Kişisel Veri Aydınlatma Metni Rıza Belgesi
HAZIRLAYAN |
KONTROL EDEN |
ONAYLAYAN |
Hastane Müdürü |
Kalite Yönetim Direktörü |
Başhekim |
|
|
|