1. GİRİŞ
İşbu Kişisel Veri Saklama ve İmha Politikası (“Politika”), 7 Nisan 2016 tarihli ve 29677 sayılı Resmî Gazete’de yayımlanan 6698 sayılı Kişisel Verilerin Korunması Kanunu’na (“KVKK”) ve Kişisel Verileri Koruma Kurumu tarafından yayımlanan 28 Ekim 2017 tarihli ve 30224 sayılı Resmî Gazete’de yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik’e (“Yönetmelik”) uygun olarak hazırlanmıştır.
İşbu Politika, veri sorumlusu sıfatıyla Doç. Dr. Ömer Bozduman (“Veri Sorumlusu”) tarafından, KVKK ve Yönetmelik uyarınca kişisel verilerin saklanması ve imha edilmesine ilişkin yükümlülüklerin yerine getirilmesi amacıyla hazırlanmıştır.
Bu kapsamda Veri Sorumlusu, kişisel verilerin saklanması, silinmesi, yok edilmesi veya anonim hale getirilmesi süreçlerinde gerekli teknik ve idari tedbirleri almakta, süreçlerin mevzuata uygun şekilde yürütülmesini sağlamaktadır.
Veri Sorumlusu Bilgileri:
Ad Soyad: Doç. Dr. Ömer Bozduman
Adres: Halide Edip Adıvar, Darülaceze Cd. Akın Plaza, No:3 Kat:1 Şişli / İstanbul
İnternet Sitesi: https://omerbozduman.com
E-Posta: omerbozduman@omerbozduman.com
Telefon: +90 535 255 72 85
Veri Sorumlusu; kendi bünyesinde bulunan kişisel veriler bakımından veri sorumlusu sıfatıyla, işbu Politika ve ilgili mevzuata uygun davranacağını kabul, beyan ve taahhüt eder.
2. TANIMLAR
Açık Rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.
İlgili Kullanıcı: Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişiler.
İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi işlemi.
Kayıt Ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam.
Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.
Kişisel Verilerin Anonim Hale Getirilmesi: Kişisel verilerin başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesi.
Kişisel Verilerin Silinmesi: Kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hâle getirilmesi.
Kişisel Verilerin Yok Edilmesi: Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hâle getirilmesi işlemi.
Kişisel Veri Sahibi: Kişisel verisi işlenen gerçek kişi.
Kurul: Kişisel Verileri Koruma Kurulu.
KVKK: 6698 sayılı Kişisel Verilerin Korunması Kanunu.
Periyodik İmha: Kişisel verilerin işlenme şartlarının tamamının ortadan kalkması halinde belirli periyotlarla gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi.
Veri Sorumlusu: Kişisel verilerin işlenme amaçlarını ve vasıtalarını belirleyen gerçek veya tüzel kişi.
Yönetmelik: 28 Ekim 2017 tarihli ve 30224 sayılı Resmî Gazete’de yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik.
3. POLİTİKANIN AMACI VE KAPSAMI
Bu Politika; KVKK ve Yönetmelik uyarınca yükümlülüklerin yerine getirilmesi, kişisel verilerin işlendikleri amaç için gerekli olan azami saklama süresinin belirlenmesi ile silme, yok etme ve anonim hale getirme süreçleri hakkında ilgili kişilerin bilgilendirilmesi amacıyla hazırlanmıştır.
Bu Politika;
- Hastalar ve hasta yakınları,
- Randevu talep eden kişiler,
- Ziyaretçiler,
- Tedarikçi ve hizmet sağlayıcıların gerçek kişi temsilcileri,
- Çalışanlar ve çalışan adayları (varsa),
- İnternet sitesi kullanıcıları,
- Diğer üçüncü kişiler
başta olmak üzere Veri Sorumlusu ile herhangi bir şekilde ilişki tesis eden gerçek kişilere ait kişisel verileri kapsamaktadır.
Veri Sorumlusu faaliyetlerinin niteliği gereği işlenen verilerin önemli bir kısmı özel nitelikli kişisel veri niteliğindeki sağlık verilerinden oluşabileceğinden; saklama ve imha süreçleri özel nitelikli kişisel veriler bakımından artırılmış güvenlik tedbirleri gözetilerek yürütülmektedir.
Bu Politika, kişisel veri niteliği taşımayan veriler hakkında uygulanmaz.
4. POLİTİKANIN VE KVK DÜZENLEMELERİNİN UYGULANMASI
Kişisel verilerin saklanması ve imhası sürecinde öncelikle yürürlükte bulunan Kişisel Verilerin Korunması Düzenlemeleri uygulanır. Politika hükümleri ile ilgili mevzuat hükümleri arasında uyumsuzluk bulunması hâlinde mevzuat hükümleri esas alınır.
5. KİŞİSEL VERİLERİN SAKLANMASI VE İMHASINDA UYGULANACAK İLKELER
Veri Sorumlusu tarafından kişisel verilerin saklanması ve imhasında aşağıdaki ilkelere uygun hareket edilmektedir:
a. Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesinde KVKK ve ilgili mevzuata uygun hareket edilir.
b. İmha işlemleri kayıt altına alınır ve ilgili kayıtlar en az 3 yıl süreyle saklanır.
c. İşlenme şartları ortadan kalkan kişisel veriler re’sen veya ilgili kişinin talebi üzerine silinir, yok edilir veya anonim hale getirilir.
d. Veri Sorumlusu, uygun imha yöntemini seçmekte serbesttir. İlgili kişinin talebi halinde uygun yöntem mümkün olduğu ölçüde dikkate alınır.
6. KAYIT ORTAMLARI
Kişisel veriler aşağıdaki ortamlarda güvenli şekilde saklanabilir:
Elektronik Ortamlar
- Bilgisayarlar ve sunucular
- Ağ cihazları
- Bulut sistemleriPaylaşımlı/paylaşımsız disk sürücüleri
- Mobil cihazlar
- E-posta sistemleri
- Log kayıt sistemleri
- Hasta kayıt yazılımları
Fiziksel Ortamlar
- Hasta dosyaları
- Arşiv dolapları
- Muhasebe evrakları
- Fiziksel arşiv alanları
- Basılı formlar ve sözleşmeler
7. SAKLAMA VE İMHAYI GEREKTİREN SEBEPLER
Kişisel veriler;
- Sağlık hizmetlerinin yürütülmesi,
- Hukuki yükümlülüklerin yerine getirilmesi,
- Hasta ilişkilerinin yönetilmesi,
- Muhasebe ve finans süreçlerinin yürütülmesi,
- Bilgi güvenliği süreçlerinin sağlanması,
- Olası hukuki uyuşmazlıklarda delil teşkil etmesi
amaçlarıyla saklanabilmektedir.
Aşağıdaki hallerde kişisel veriler re’sen veya talep üzerine silinir, yok edilir veya anonim hale getirilir:
- İşlenme amacının ortadan kalkması,
- Saklama süresinin sona ermesi,
- Açık rızanın geri alınması,
- İlgili kişinin başvurusunun kabul edilmesi,
- Mevzuat değişikliği nedeniyle gerekli olması,
- Kurul kararı verilmesi.
8. KİŞİSEL VERİLERİN GÜVENLİĞİ İÇİN ALINAN TEDBİRLER
Veri Sorumlusu tarafından kişisel verilerin güvenliğinin sağlanması amacıyla gerekli teknik ve idari tedbirler alınmaktadır.
Bu kapsamda;
- Güncel güvenlik yazılımları kullanılmakta,
- Yetkisiz erişimler engellenmekte,
- Veri erişim yetkileri sınırlandırılmakta,
- Düzenli yedekleme yapılmakta,
- Çalışanlara KVKK farkındalık eğitimleri verilmekte,
- Hizmet alınan firmalarla gizlilik yükümlülükleri düzenlenmekte,
- Şifreleme ve loglama sistemleri kullanılmakta,
- Fiziksel evraklar güvenli alanlarda muhafaza edilmektedir.
9. İMHA YÖNTEMLERİ
Veri Sorumlusu tarafından kişisel veriler aşağıdaki yöntemlerle imha edilmektedir:
Silme Yöntemleri
- Karartma
- Yazılımdan güvenli silme
Yok Etme Yöntemleri
- Fiziksel yok etme
- De-manyetize etme (degauss)
- Üzerine yazma
- Anonimleştirme Yöntemleri
- Değişken çıkarma
- Bölgesel gizleme
- Genelleştirme
- Veri bozma
- Mikro birleştirme yöntemleri
10. SAKLAMA VE İMHA SÜRELERİ
Kişisel veriler, ilgili mevzuatta öngörülen süreler boyunca saklanmaktadır. Mevzuatta açık bir süre öngörülmemesi halinde, veriler işlenme amacı için gerekli olan süre kadar muhafaza edilmektedir.
Başlıca saklama süreleri aşağıdaki gibidir:
| Veri Türü | Saklama Süresi |
|---|---|
| Hasta tıbbi kayıtları | Sağlık mevzuatı ve zamanaşımı süreleri boyunca |
| Randevu ve iletişim kayıtları | Hizmet süresi + olası ihtilaf süresi |
| Finansal kayıtlar | Vergi mevzuatındaki süre boyunca |
| Çalışan özlük dosyaları | İş ilişkisinin sona ermesinden itibaren 10 yıl |
| Kamera kayıtları | Güvenlik amacı için gerekli makul süre |
| Log kayıtları | Sistem güvenliği için gerekli süre |
Saklama süresi sona eren veriler en geç 6 aylık periyotlarla silinir, yok edilir veya anonim hale getirilir.