Kamera Kullanma Talimatı

 

Kişisel Verilerin İşlenmesi ve İmha Politikası

 

1.AMAÇ VE KAPSAM 2

2.TANIMLAR 2

3.GENEL KAPSAM VE YASAL DAYANAK 3

3.1.Kişisel Verilerin Saklanmasını Gerektiren Hukuki, Teknik ya da Diğer Sebepler 3

3.2.Kişisel Verilerin Hukuka Uygun Olarak İmha Edilmesi için Alınmış Teknik ve İdari Tedbirler, Kişisel Verilerin İşleme Şartlarının Ortadan Kalkması Durumunda Yapılacaklar 6

3.3.Kişisel Verilerin Güvenli Bir Şekilde Saklanması ile Hukuka Aykırı Olarak İşlenmesinin ve Kişisel Verilere Erişilmesinin Önlenmesi için Alınmış Olan İdari ve Teknik Tedbirler 7

3.4.Kişisel Verileri Saklama ve İmha Süreçlerinde Yer Alanların Görev ve Sorumlulukları 7

3.4.1.KVK Komitesi: 7

3.4.2.İrtibat Kişisi 8

4.KİŞİSEL VERİLERİ SAKLAMA VE İMHA SÜRELERİ 8

5.KİŞİSEL VERİLERİN AKTARILMASI 10

6.YÜRÜRLÜK 11

 

1.      AMAÇ VE KAPSAM

Bu Politika, 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) ve bu Kanuna dayalı olarak çıkarılmış olan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik gereği kişisel verilerin saklanması ve imhasına ilişkin Batıkent Bilgi Sağlık Hizmetleri Turizm İnşaat ve Ticaret A.Ş. ’nin (Bundan sonra “Şirket” olarak anılacaktır) yükümlülüklerinin yerine getirilmesini teminen izlenecek sürecin temel esaslarının belirlenmesi amacıyla düzenlenmiştir.

Bu Politika, Şirket nezdinde tutulan, Kanun ile tanımlanan kişisel verileri ve özel nitelikli kişisel verileri kapsamaktadır.

Kanunda belirtildiği şekilde; tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla verilerin işlendiği sistemlerde yer alan kişisel veriler bu Politika kapsamındadır.

 

2.      TANIMLAR

Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi,

Özel Nitelikli Kişisel Veri: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri, özel nitelikli kişisel veridir.

Kişisel Verilerin İşlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi,

Kurul: Kişisel Verileri Koruma Kurulu’nu,

Kurum: Kişisel Verileri Koruma Kurumu’nu,

Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi,

KVK Sorumlusu: Veri Sorumlusunun KVKK ve ilgili Yönetmelikler, Kişisel Verileri Koruma Kurulu’nun kararları ve düzenlemeleri ve sair yasal düzenlemeler kapsamındaki yükümlülüklerini yerine getiren, Veri Sorumlusu adına gerekli işlemleri yürüten, Veri Sorumlusunun Veri Sorumluları Siciline kaydını gerçekleştiren, Kişisel Verileri Koruma Kurulu’nun düzenleyici işlemleri ile kararları, mahkeme kararları, teknik altyapıdaki değişiklikler, mevzuatta meydana gelebilecek değişiklikler gibi durumları takip eden Şirket içi Kişisel Verileri Koruma Sorumlu’sunu,

İrtibat Kişisi: Kişisel Verileri Koruma Kurumu ile Veri Sorumlusu arasındaki iletişimin sağlanması ve yönetilmesi, süreçlerin takibi ve diğer işlemlerinin yürütülmesinden sorumlu personeli,

İlgili Kullanıcı: Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere, Veri Sorumlusu organizasyonu içerisinde kişisel verileri işleyen personeli,

İlgili Kişi: Kişisel verisi işlenen gerçek kişiyi,

Veri Kayıt Sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini,

Kayıt Ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortamı,

Kişisel Veri İşleme Envanteri: Şirket’in iş süreçlerine bağlı olarak gerçekleştirmekte olduğu kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturduğu ve detaylandırdığı envanteri,

İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesini,

Kişisel Verilerin Silinmesi: Tamamen veya kısmen otomatik yollarla işlenen kişisel verilerin ilgili kullanıcılar tarafından hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemini,

Yok Etme: Bilgilerin saklandığı veri saklamaya elverişli tüm kayıt ortamlarının tekrar geri getirilemeyecek ve kullanılamayacak hale getirilmesini,

Anonim Hale Getirme: Kişisel verilerin başka verilerle eşleştirilse dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesini,

Periyodik İmha: Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda işbu Politika’da belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemini, ifade eder.

Bu Politikada, aksi belirtilmedikçe kişisel veri ve özel nitelikli kişisel veri “Kişisel Veri” olarak kullanılmaktadır.

 

3.       GENEL KAPSAM VE YASAL DAYANAK

 

  1. Kişisel Verilerin Saklanmasını Gerektiren Hukuki, Teknik ya da Diğer Sebepler

6698 sayılı Kişisel Verilerin Korunması Kanunu uyarınca, Şirket “Veri Sorumlusu” sıfatıyla;

3.1. Şirket’in faaliyetlerinin yürütülmesi amacı ile Şirket’in işlemleri neticesinde doğrudan veya dolaylı olarak edinilen kişisel veriler, aşağıda açıklandığı çerçevede; kaydedilebilecek, saklanabilecek, güncellenebilecek veya mevzuatın izin verdiği durumlarda 3. kişilere açıklanabilecek, devredilebilecek, sınıflandırılabilecek ve KVKK’da sayılan şekillerde işlenebilecektir.

3.1.2. Şirket tarafından, müşterileri, çalışanları, çalışan adayları, iş ortakları ve tedarikçileri gibi taraflardan, kimlik bilgisi, iletişim bilgisi, müşteri bilgisi, müşteri işlem bilgisi, işlem güvenliği bilgisi, hukuki işlem ve uyum bilgisi gibi kategorilerde kişisel veri toplanabilmektedir.

Toplanan kişisel veriler;

- Aydınlatma metninde belirtilen işleme amaçlarının gerçekleştirilmesi ve hizmetlerin müşterilere sunulabilmesi, müşterilere karşı olan yükümlülüklerin yerine getirilmesi, kayıt ve belgelerin düzenlenebilmesi, yerel ve uluslararası yasal mevzuatın öngördüğü bilgi saklama, raporlama, bilgilendirme, denetim ve sair yükümlülüklere uymak,

- Bilgi işlem gereksinimleri, sistem altyapısı, alınan bilgi işlem destek hizmetlerinin gerekliliği, bu hizmet ve ürünlere ilişkin olarak veri sahiplerine gerekli bilgilerin aktarılması amacıyla iletişim kurmak,

- Müşteri memnuniyetinin ölçümlenmesi ve artırılması, şikâyet yönetimi, hizmetler ile ilgili görüş ve önerilerinizi almak, sorun-hata bildirimlerini almak, ürün ve hizmetlere, şikayet ve taleplere yönelik bilgi vermek,

- Ödeme işlemlerini gerçekleştirmek, 3. kişiler ile iş birliği sağlayarak bilgi yazılarının ulaşmasını sağlamak,

- Resmî kurumlarca öngörülen bilgi saklama, raporlama, bilgilendirme, denetim yükümlülüklerine uymak, sözleşmelerin gerekliliklerini yerine getirmek ve bu hizmetlerden faydalanılmasına ilişkin olarak Şirket’in tabi olduğu yasal yükümlülükleri ifa etmek,

- Şirket’in stratejilerinin belirlenmesi ve uygulanması amacı doğrultusunda; Şirket tarafından yürütülen finans operasyonları, sağlık hizmetleri finansmanı, planlaması ve sağlık hizmetlerinin verilmesi, iletişim, satın alma operasyonları (talep, teklif, değerlendirme, sipariş, bütçeleme, sözleşme), şirket içi sistem ve uygulama yönetimi operasyonları, hukuki operasyonları yönetmek

- Resmi makamlardan veya veri sahiplerinden gelen talepleri incelemek, değerlendirmek ve yanıtlamak,

amaçlarıyla 6698 sayılı Kanun’un 5. ve 6. maddelerinde belirtilen kişisel veri işleme şartları ve amaçları dahilinde işlenecektir.

Yukarıda belirtilen koşullar altında; Şirketimiz kişisel verileri, bunlarla sınırlı olmamak üzere aşağıdaki amaçlarla da işleyebilmektedir:

Şirket tarafından yürütülen ticari faaliyetlerin gerçekleştirilmesi için ilgili iş birimlerimiz tarafından gerekli çalışmaların yapılması ve buna bağlı iş süreçlerinin yürütülmesi doğrultusunda;

  • İş faaliyetlerinin ve iş sürekliliğinin sağlanması faaliyetlerinin planlanması ve icrası,
  • Finans ve/veya muhasebe işlerinin takibi,
  • Etkinlik yöntemi,
  • Yetkili kuruluşlara mevzuattan kaynaklı bilgi verilmesi,
  • Kurumsal iletişim faaliyetlerinin planlanması ve icrası,
  • Operasyon süreçlerinin planlaması ve icrası
  • İş ortakları ve/veya tedarikçilerin bilgiye erişim yetkililerinin planlanması ve icrası

Şirket tarafından sunulan ürün ve hizmetlerden ilgili kişileri faydalandırmak için gerekli çalışmaların iş birimlerimiz tarafından yapılması ve ilgili iş süreçlerinin yürütülmesi doğrultusunda;

  • Müşteri ilişkileri yönetimi süreçlerinin planlanması ve icrası,
  • Müşteri talep ve/veya şikayetlerinin takibi,
  • Ürün ve/veya hizmetlerin pazarlama süreçlerinin planlanması ve icrası,
  • Satış sonrası destek hizmetleri aktivitelerinin planlanması ve/veya icrası,
  • Sözleşme süreçlerinin ve/veya hukuki taleplerin takibi

Şirketimiz tarafından sunulan ürün ve hizmetlerin kişisel veri sahiplerinin beğeni, kullanım alışkanlıkları ve ihtiyaçlarına göre özelleştirilerek kişisel veri sahiplerine önerilmesi için gerekli çalışmaların yapılması amacı doğrultusunda;

  • Ürün ve hizmetlerin satış ve pazarlaması için pazar araştırması faaliyetlerinin planlanması ve icrası,
  • Satış ve satış sonrası operasyonlar ile satın alma operasyonları,
  • Şirketin sunduğu ürün ve/veya hizmetlere bağlılık oluşturulması ve/veya arttırılması süreçlerinin planlanması ve/veya icrası,

Şirketimizin insan kaynakları politikalarının yürütülmesinin temini amacı doğrultusunda;

  • İş sağlığı ve güvenliği çerçevesinde yükümlülüklerin yerine getirilmesi ve gerekli tedbirlerin alınması
  • Şirketimizin insan kaynakları politikalarına uygun şekilde işe başvuruların değerlendirilmesi,
  • Şirket çalışanları için iş akdi ve/veya mevzuattan kaynaklı yükümlülüklerin yerine getirilmesi
  • Personel işe giriş-çıkış işlemlerinin yapılması,
  • Ücret-performans sürecinin değerlendirilmesi,
  • Ücret ve bordroların yönetilmesi,
  • Şirket içi eğitim faaliyetlerinin planlanması ve/veya icrası ve
  • Diğer insan kaynakları operasyonlarının yürütülmesi,

Şirketimizin ve şirketimizle iş ilişkisi içerisinde olan kişilerin hukuki ve ticari güvenliğinin temini amacı doğrultusunda;

  • Şirketin hukuk işlerinin takibi,
  • Şirket faaliyetlerinin şirket prosedürleri ve/veya ilgili mevzuata uygun olarak yürütülmesinin temini için gerekli operasyonel faaliyetlerinin planlanması ve icrası,
  • Ziyaretçi kayıtlarının oluşturulması ve takibi,
  • Şirket güvenliğinin temini,
  • Şirket demirbaşlarının ve/veya kaynaklarının güvenliğinin temini,
  • Şirket operasyonlarının güvenliğinin temini,
  • Acil durum yönetimi süreçlerinin planlanması ve icrası,
  • Şirketin finansal risk süreçlerinin planlanması ve/veya icrası,
  • Şirketimizin ticari ve iş stratejilerinin belirlenmesi ve uygulanması amacı doğrultusunda;

Şirketimiz tarafından yürütülen finans operasyonları, iletişim, pazar araştırması ve sosyal sorumluluk aktiviteleri, satın alma operasyonları, ürün/proje/yatırım kalite süreçleri ve operasyonları,

  • Şirket içi sistem ve uygulama yönetimi operasyonları
  • Şirket dışı eğitim faaliyetlerinin planlanması ve/veya icrası,
  • İş ortakları ve/veya tedarikçilerle olan ilişkilerin yönetimi gibi amaçlar olarak sıralanabilmektedir.

 

3.2 Kişisel Verilerin Hukuka Uygun Olarak İmha Edilmesi için Alınmış Teknik ve İdari Tedbirler Kişisel Verilerin İşleme Şartlarının Ortadan Kalkması Durumunda Yapılacaklar

 

3.2.1. KVK Komitesi, Kişisel Veri İşleme Envanteri’nde yer alan kişisel verilerin işlenmesi ile ilgili şartların ortadan kalkıp kalkmadığını altışar aylık periyodlar halinde veri ortamlarında gözden geçirir. Kurulun veya bir mahkemenin bildirimi üzerine, periyodik denetleme süresine bakılmaksızın KVK Komitesi tarafından kararların/bildirimlerin gereği yapılır.

3.2.2. KVK Komitesi tarafından gözden geçirmeler neticesinde veri işleme şartlarının ortadan kalktığı tespit edilen kişisel verilerle ilgili olarak, işbu politikaya göre verinin saklanmasına veya silme, yok etme veya anonim hale getirilmesine karar verilir.

3.2.3. KVK Komitesi, Kurum veya mahkeme tarafından iletilen müzekkere veya kararları derhal uygular ya da bu müzekkere veya kararlarla ilgili itiraz, temyiz gibi yasal yollara başvurulmasını değerlendirir ve sonucuna göre hareket eder.

3.2.4. Kişisel Verilerin işlenmesi ile ilgili Kanunun 5. ve 6. maddesi ile düzenlemiş olan şartların ortadan kalkmış olmasına rağmen, açılan bir davada verilen bir ihtiyati tedbir kararı veya sair bir karar ile bu tür bir karar olmamasına rağmen açılmış bir davanın olması ve bu davanın Kurumsal Müşteriye / Şirketimize bildirilmiş olması halinde delillerin yok olmasını önlemek amacıyla KVK Komitesi kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi işlemini yargılama sonuna kadar durdurur.

3.2.5. Kişisel verilerin silinmesi işlemi, diğer verilere de sistem içerisinde erişilememe ve bu verileri kullanamama sonucunu doğuracak ise; kişisel verilerin ilgili kişiyle ilişkilendirilemeyecek duruma getirilerek arşivlenmesini, başka herhangi bir kurum, kuruluş ve/veya kişinin erişimine kapalı olmasını, kişisel verilere yalnızca erişimin gerektirdiği ölçüde KVK Komitesi ve kişisel verilerin saklanmasından sorumlu olan teknik personel tarafından erişilmesini sağlayacak şekilde gerekli teknik ve idari tedbirler alınır ve bu suretle kişisel verilerin silinmesi işlemi yerine getirilir.

3.2.6. Herhangi bir veri kayıt sisteminin parçasını teşkil eden ve otomatik olmayan yollarla işlenen kişisel verilerin silinmesi; KVK Komitesi ve verinin saklanmasından sorumlu teknik personel dışındaki diğer kullanıcıların erişimine kapatılarak yapılır. Bu işlemlerin yapılması için Şirket tarafından bu fonksiyonları yerine getirecek olan yazılımlar ve diğer teknik araç ve gereçler kullanılır.

3.2.7. Kişisel verilerin imha edilmesi ile ilgili bir talep, Kurul’un kararı veya bir mahkeme kararı olması durumunda; KVK Komitesi kişisel veriyi saklandığı fiziksel veya elektronik kayıt ortamlarından kişisel veri işleme şartlarının ortadan kalkması/zamanaşımı süresinin dolmasından sonra ilgili kullanıcıların erişimine (kişisel verilerin silinmesi) kapatır.

3.2.8. Silinen, yok edilen veya anonim hale getirilen verilerle ilgili olarak kayıtlar tutulur ve bu kayıtlar üç yıl boyunca saklanır.

3.2.9. İlgili kişilerin kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi talepleri, kişisel verileri işleme şartlarının tamamen ortadan kalkmış olması şartıyla, Kurumsal Müşteriler / Şirketimiz tarafından talebin alınmasını müteakip 30 gün içinde gerçekleştirilir. Kişisel verileri işleme şartları ortadan kalkmamışsa veya aksine mevzuat, Kurul kararı veya mahkeme kararı yoksa, kişisel verinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi reddedilebilir. Red kararı gerekçesiyle birlikte, İrtibat Kişisi tarafından talep tarihinden itibaren 30 gün içinde yazılı olarak veya elektronik ortamda ilgili kişiye bildirilir.

 

3.3 Kişisel Verilerin Güvenli Bir Şekilde Saklanması ile Hukuka Aykırı Olarak İşlenmesinin ve Kişisel Verilere Erişilmesinin Önlenmesi için Alınmış Olan İdari ve Teknik Tedbirler

3.3.1. Kişisel verilerin güvenli bir şekilde saklanması ve bu verilere güvenli bir şekilde erişilmesi konusunda alınmış idari ve teknik tedbirler kapsamında; bilgi güvenliği politikası, idari metinler ve politika, prosedür ve işlem talimatlarıyla kişisel veriler güvence altına alınır.

3.3.2. Bu Politika tüm çalışanlara duyurulur ve düzenli bir şekilde duyurulmaya devam edilir. Ayrıca, KVKK’ya uyum çalışmaları kapsamında tüm Şirket personeli bilgilendirilir, gerekli eğitimler verilir ve önemli gelişmeler tüm Şirket nezdinde duyurulur. Bu Politika tüm personelin erişimine açık olan Şirket portalında ve şirkete ait internet sitelerinde bulundurulur.

3.3.3. Politikanın gereklerinin yerine getirilip getirilmediğinin takibi KVK Komitesi tarafından yapılır. Politika’ya aykırı davranış tespit edildiğinde konu derhal ilgili çalışanın Yöneticisine bildirilir ve aykırılığın giderilmesi için ilgili Yöneticisi gerekli tedbirleri alır. Politika’ya aykırı davranan çalışan hakkında yapılacak işlem için Şirket içerisinde uygun görülecek disiplin işlemi uygulanabileceği gibi ihlalin ağırlığına göre iş akdinin geçerli veya haklı nedenle feshi de gerçekleştirilebilir.

3.3.4. Politika gereklerinin yerine getirilmesi için Şirket tarafından gerekli yazılımlar/ sistemler/uygulamalar devreye alınır ve mevzuattaki değişiklikler, Şirket’e tebliğ edilen Kurul veya mahkeme kararları nedeniyle oluşabilecek değişiklikler İrtibat Kişisi tarafından takip edilir. Gerekli değişiklikler, değişikliğin meydana gelmesinden itibaren en hızlı şekilde gerçekleştirilir.

 

  1. Kişisel Verileri Saklama ve İmha Süreçlerinde Yer Alanların Görev ve Sorumlulukları

 

4.1. KVK Komitesi:

KVK Komitesi aşağıda yer verilen görevleri yerine getirmekle sorumludur:

4.1.1. Bu Politika’nın uygulanmasının temin ve takip edilmesi,

4.1.2. Mevzuatta meydana gelebilecek değişiklikleri, Kurul’un düzenleyici işlemleri ile kararları, mahkeme kararları, teknik altyapıdaki değişiklikler gibi durumların takip edilmesi,

4.1.3. Veri saklama ve imha ile ilgili olarak yapılan iş programlarının takip edilmesi, gözden geçirilmesi ve iş programları çerçevesinde yapılanların bu Politika ile uyumlu olup olmadığının denetlenmesi, uyumsuzlukların tespit edilmesi durumunda bunların bu Politika ile uyumlu hale getirilmesinin sağlanması,

4.1.4. Kurum tarafından yapılan tebligat veya yazışmaların veri sorumlusu adına tebellüğ veya kabul edilmesi,

4.1.5. Kurum tarafından veri sorumlusuna yöneltilen taleplerin veri sorumlusu adına alınması ve cevaplarının Kurum’a iletilmesi,

4.1.6. Kurul tarafından başkaca bir esasın belirlenmemiş olması halinde; ilgili kişilerin Kanun’un 13’üncü maddesinin birinci fıkrası uyarınca veri sorumlusuna yönelteceği başvuruların veri sorumlusu adına alınması,

4.1.7. Kurul tarafından başkaca bir esasın belirlenmemiş olması halinde; ilgili kişilere Kanunun 13’üncü maddesinin üçüncü fıkrası uyarınca veri sorumlusunun cevaplarının iletilmesi,

4.1.8. Veri sorumlusu adına Sicile ilişkin iş ve işlemlerin yapılması,

4.1.9. Veri sorumlusu adına sicile kayıt sırasında irtibat kişisi bilgilerinin sicile işlenmesi,

4.1.10. İşbu Politika’da Batıkent Bilgi Sağlık Hizmetleri Turizm İnşaat ve Ticaret A.Ş. Kişisel Verileri Koruma Komitesi İç Yönergesi’nde verilen çeşitli görevlerin yerine getirilmesi.

 

4.2.İrtibat Kişisi

İrtibat kişisi, ilgili kişilerin veri sorumlusuna yönelteceği taleplerin cevaplandırılması konusunda iletişimi sağlar. KVKK kapsamındaki yetkileri ve sorumlulukları aşağıda yer almaktadır:

4.2.1. Kurul tarafından başkaca bir esas belirlenmediği koşulda; ilgili kişilerin Veri Sorumlusuna yönelteceği başvuruları Veri Sorumlusu adına alma, KVK Komitesi’ne iletmek,

4.2.2.Kurul tarafından başkaca bir esas belirlenmediği koşulda; ilgili kişilerin yaptığı başvurulara ilişkin Veri Sorumlusunun cevabını ilgi kişilere iletmek.

 

4. KİŞİSEL VERİLERİ SAKLAMA VE İMHA SÜRELERİ

 

Şirket, Ticaret Kanunu ve düzenlemeleri çerçevesinde denetimlerde istenecek her türlü bilgi ve belgeyi vermek, defter ve belgeleri ibraz etmek ve incelemeye hazır tutmak zorunda olup, Şirket işlemleri ile ilgili tüm bilgi ve belgeyi 10 yıl boyunca tutmak zorundadır.

Bununla birlikte, 6098 sayılı Borçlar Kanunu 146. maddeye istinaden alacakların 10 yıllık zamanaşımına tabi olmasındanolması ve 6102 sayılı Türk Ticaret Kanunu 82. maddeye istinaden belgelerin 10 yıl saklama zorunluluğunun bulunmasından dolayı, Veri Sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi, meşru menfaatlerinin korunması ve ihtiyaç halinde belgelerin adli mercilere verilebilmesini mümkün kılmak için kişisel veriler son işlem tarihinden itibaren 10 yıl süre ile saklanır.

Şirket personeline ait sağlık ve güvenlik kayıtları, İş Sağlığı ve Güvenliği Hizmetleri Yönetmeliği m.7/1-b hükmüne göre 15 yıl boyunca saklanmak durumundadır. Bununla birlikte 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanununun ilgili maddeleri gereği, Şirket personeline ait sağlık ve güvenlik kayıtları dışındaki diğer kişisel veriler 10 yıl boyunca saklanır.

Destek hizmeti firmaları, kurumsal müşteriler ve tedarikçi firmalardan temin edilen kişisel veriler; 6098 sayılı Borçlar Kanunu 146. maddeye istinaden alacakların 10 yıllık zamanaşımına tabi olması ve 6102 sayılı Türk Ticaret Kanunu 82. maddeye istinaden belgelerin 10 yıl saklama zorunluluğunun bulunmasından dolayı, Veri Sorumlusu olan Kurumsal Müşterinin / Şirketin hukuki yükümlülüğünü yerine getirebilmesi, meşru menfaatlerinin korunması ve ihtiyaç halinde belgelerin adli mercilere sunulabilmesini mümkün kılmak için son işlem tarihinden itibaren 10 yıl süre ile saklanır.

 

 

Kişisel Verilerin Saklama ve İmha Süreleri Tablosu

 

İlgili Kişi

Açıklama

Saklama/İmha süresi

Şirket işlemlerinin doğrudan ya da dolaylı tarafları

Kişisel Veri

10 yıl

Personel

Kişisel Veri

10 yıl

Personel

Sağlık ve Güvenlik Kayıtları

15 yıl

Destek hizmeti sunucusu/Tedarikçi

Kişisel Veri

10 yıl

İmha Süresi

Özel Bilgi Hastanesi , Kanun, ilgili mevzuat, Kişisel Verilerin İşlenmesi ve Korunması Politikası ve işbu Kişisel Verileri Saklama ve İmha Politikası uyarınca sorumlu olduğu kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde, kişisel verileri siler, yok eder veya anonim hale getirir.

İlgili kişi, Kanunun 13’ncü maddesine istinaden Özel Bilgi Hastanesi ’na başvurarak kendisine ait kişisel verilerin silinmesini veya yok edilmesini talep ettiğinde;

  1. Kişisel verileri işleme şartlarının tamamı ortadan kalkmışsa; Özel Bilgi Hastanesi talebe konu kişisel verileri talebi aldığı günden itibaren 30 (otuz) gün içinde gerekçesini açıklayarak uygun imha yöntemi ile siler, yok eder veya anonim hale getirir.  Özel Bilgi Hastanesi ’nun talebi almış sayılması için ilgili kişinin talebini Kişisel Verilerin İşlenmesi ve Korunması Politikasına uygun olarak yapmış olması gerekir. Özel Bilgi Hastanesi , her halde yapılan işlemle ilgili ilgili kişiye bilgi verir.
     
  2. Kişisel verileri işleme şartlarının tamamı ortadan kalkmamışsa, bu talep Özel Bilgi Hastanesi tarafından Kanunun 13’ncü maddesinin üçüncü fıkrası uyarınca gerekçesi açıklanarak reddedilebilir ve ret cevabı ilgili kişiye en geç otuz gün içinde yazılı olarak ya da elektronik ortamda bildirilir.

Periyodik İmha

Söz konusu sürelerin bitiminden itibaren 6 aylık periyodik imha zaman aralıklarında kişisel veriler ilgili kullanıcıların erişimine kapatılarak silinir. İlgili kullanıcıların erişimine kapatılan kişisel veriler sadece erişimin gerektirdiği ölçüde KVK Komitesi’nin ve verileri saklamakla gürevli olan teknik personelin erişimine açık olacak şekilde arşivlenir.

İmha İşleminin Hukuka Uygunluğunun Denetimi

Özel Bilgi Hastanesi , gerek talep üzerine gerekse periyodik imha süreçlerinde re’sen gerçekleştirdiği imha işlemlerini Kanuna, sair mevzuata, Kişisel Verilerin İşlenmesi ve Korunması Politikasına ve işbu Kişisel Veri Saklama ve İmha Politikasına uygun olarak yapar.

Özel Bilgi Hastanesi , imha işlemlerinin bu düzenlemelere uygun olarak yapıldığını temin etmek amacıyla bir takım idari ve teknik tedbirler almaktadır.

  1. Teknik Tedbirler
  • Özel Bilgi Hastanesi , işbu politikada yer alan her bir imha yöntemine uygun teknik araç ve ekipman bulundurur.
  • Özel Bilgi Hastanesi , imha işlemlerinin yapıldığı yerin güvenliğini sağlar.
  • Özel Bilgi Hastanesi , imha işlemini yapan kişilerin erişim kayıtlarını tutar.
  • Özel Bilgi Hastanesi , imha işlemini yapacak yetkin ve tecrübeli elemanlar istihdam eder ya da gerektiğinde yetkin üçüncü kişilerden hizmet alır.
  1. İdari Tedbirler
  • Özel Bilgi Hastanesi , imha işlemini yapacak çalışanlarının bilgi güvenliği, kişisel veriler ve özel hayatın gizliliği konularında farkındalıklarının artırılması ve bilinçlendirilmesi için çalışmalar yapar.
  • Özel Bilgi Hastanesi , bilgi güvenliği, özel hayatın gizliliği, kişisel verilerin korunması ve güvenli imha teknikleri alanındaki gelişmeleri takip etmek ve gerekli aksiyonları almak üzere hukuki ve teknik danışmanlık hizmeti alır.
  • Özel Bilgi Hastanesi , teknik ya da hukuki gereklilikler nedeniyle imha işlemini üçüncü kişilere yaptırdığı durumlarda ilgili üçüncü kişilerle kişisel verilerin korunması amacıyla protokoller imzalar, ilgili üçüncü kişilerin bu protokollerdeki yükümlülüklerine uyması için gerekli tüm özeni gösterir.
  • Özel Bilgi Hastanesi , imha işlemlerinin hukuka ve işbu Kişisel Veri Saklama ve İmha Politikasında belirtilen şart ve yükümlülüklere uygun olarak yapılıp yapılmadığını düzenli olarak denetler, gereken aksiyonları alır.
  • K. UNVAN, kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesiyle ilgili yapılan bütün işlemleri kayıt altına alır ve söz konusu kayıtları, diğer hukuki yükümlülükler hariç olmak üzere en az üç yıl süreyle saklar.

 

5. KİŞİSEL VERİLERİN AKTARILMASI

 

Özel Bilgi Hastanesi yürütmekte olduğu ticari faaliyetlerin niteliği dikkate alındığında Kanuna ve ilgili mevzuata uygun olan kişisel veri işleme amaçları doğrultusunda gerekli güvenlik önlemlerini almak suretiyle kişisel veri sahiplerinin kişisel verilerini ve özel nitelikli kişisel verilerini üçüncü kişilere aktarmaktadır. Özel Bilgi Hastanesi ayrıca Kurul tarafından yeterli korumaya sahip olduğu ilan edilen yabancı ülkelere (“Yeterli Korumaya Sahip Yabancı Ülke”) veya yeterli korumanın bulunmaması durumunda ’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt ettiği ve Kurul’un izninin bulunduğu yabancı ülkelere (“Yeterli Korumayı Taahhüt Eden Veri Sorumlusunun Bulunduğu Yabancı ülke”) kişisel verileri aktarmaktadır. Bu doğrultuda Özel Bilgi Hastanesi Kanun’da öngörülen düzenlemelere uygun hareket etmektedir.

Şirketimiz KVK Kanunu’nun 8. ve 9. maddelerine uygun olarak müşterilerin kişisel verilerini aşağıda sıralanan kişi kategorilerine aktarılabilir:

  • Özel Bilgi Hastanesi iş ortaklarına,
  • Özel Bilgi Hastanesi tedarikçilerine,
  • Hukuken Yetkili kamu kurum ve kuruluşlarına
  • Hukuken yetkili özel hukuk kişilerine

Aktarımda bulunulan yukarıda belirtilen kişilerin kapsamı ve veri aktarım amaçları aşağıda belirtilmektedir.

 

 

 

Veri Aktarımı Yapılabilecek Kişiler

 

Tanımı

 

Veri Aktarım Amacı

İş Ortağı

Şirketimizin ticari faaliyetlerini yürütürken Şirketimizin emir ve talimatlarına uygun olarak sözleşme temelli olarak Şirketimize hizmet sunan tarafları tanımlamaktadır.

İş ortaklığının kurulma amaçlarının yerine getirilmesini temin etmek amacıyla sınırlı olarak

Tedarikçi

Müşteri, Potansiyel Müşteri, Çalışan Adayı, Şirket Yetkilisi, Ziyaretçi, İşbirliği İçinde Olduğumuz Kurumların Çalışanları, Yetkilileri, Üçüncü Kişi

Şirketimizin tedarikçiden dış kaynaklı olarak temin ettiği ve Şirketimizin ticari faaliyetlerini yerine getirmek için gerekli hizmetlerin Şirketimize sunulmasını sağlamak amacıyla sınırlı olarak.

Hukuken Yetkili Kamu Kurum ve Kuruluşları

İlgili mevzuat hükümlerine göre Şirketimizden bilgi ve belge almaya yetkili kamu kurum ve kuruluşları

İlgili kamu kurum ve kuruluşlarının hukuki yetkisi dahilinde talep ettiği amaçla sınırlı olarak

Hukuken Yetkili Özel Hukuk Kişileri

İlgili mevzuat hükümlerine göre Şirketimizden bilgi ve belge almaya yetkili özel hukuk kişileri

İlgili özel hukuk kişilerinin hukuki yetkisi dahilinde talep ettiği amaçla sınırlı olarak

 

6.  YÜRÜRLÜK

 

  1. Bu Politika 28/10/2020 tarihli Yönetim Kurulu Kararı ile kabul edilmiştir.
  2. Bu Politika Yönetim Kurulu tarafından kabul edildiği tarihte yürürlüğe girer.

 

Bizden Haberler

  Azerbaycan Halk Cumhuriyeti'nin kuruluşunun 100. yılı dolayısıyla düzenlenen resepsiyon   Enerji Bir-Sen ile Hastanemiz arasında sağlık protokolü imzalandı   Çocuk Sağlığı ve Hastalıkları Polikliniği Güncel Çalışma Saatleri
  Tümünü Görüntüle