İZMİR ÖZEL CAN HASTANESİ (SARDES ÖZEL SAĞLIK HİZMETLERİ TİC. A.Ş.) KİŞİSEL VERİ İŞLEME ENVANTERİ VE KİŞİSEL VERİLERİN KORUNMASI POLİTİKASI
İÇİNDEKİLER
GİRİŞ
1. POLİTİKANIN HAZIRLANMA AMACI VE KAPSAMI
2. TANIMLAR VE KISALTMALAR
3. KİŞİSEL VERİLERİN İŞLENMESİNDE GENEL İLKELER
3.1. Hukuka ve dürüstlük kuralına uygunluk
3.2. Doğruluk ve güncellik
3.3. Belirli, açık ve meşru amaçlarla işleme
3.4. Verileri işlendikleri amaç ile bağlantılı, sınırlı ve ölçülü olarak işleme
3.5. Mevzuat hükümleri ile öngörülen veya işlenme amacının gerektirdiği süre ile sınırlı olarak işleme
4. KİŞİSEL VERİLERİN İŞLENME ŞARTLARI
4.1. Kişisel Verilerin İşlenmesi Şartları
4.2. Özel Nitelikli Kişisel Verilerin İşlenmesi Şartları
5. KİŞİSEL VERİLERİN TOPLANMASI VE İŞLENMESİ YÖNTEMLERİ
5.1. Kişisel Veri Konusu Kişi Grupları
5.2. Veri Kategorizasyonu
5.3. Kişisel Veri Konusu Kişi Gruplarında Yer Alan Kişisel Veri Sahiplerinin Kişisel Verilerinin Toplanması Ve İşlenmesinin Amaçları
5.4. Veri Konusu Kişi Grupları İle Bu Kişilere Ait Veri Kategorilerinin İlişkilendirilmesi
6. KİŞİSEL VERİLERİN AKTARILMASI İLKELERİ
7. KİŞİSEL VERİLERİN YURTDIŞINA AKTARILMASI
7.1. Kişisel Verilerin Yurtdışına Aktarılması
7.2. Özel Nitelikli Kişisel Verilerin Yurtdışına Aktarılması
8. KİŞİSEL VERİLERİN SAKLANMASI
9. KİŞİSEL VERİLERİN KORUNMASINA İLİŞKİN ALINAN TEDBİRLER
9.1. Teknik Tedbirler
9.2. İdari Tedbirler
9.3. Kişisel Verilerin Korunması Konusunda Alınan Tedbirlerin Denetimi
10. VERİ SORUMLUSUNUN AYDINLATMA YÜKÜMLÜLÜĞÜ
11. İZMİR ÖZEL CAN HASTANESİ’NİN BAŞVURULARA CEVAP VERMESİ
11.1. İzmir Özel Can Hastanesi’nin Başvurulara Cevap Verme Usulü ve Süresi
11.2. İzmir Özel Can Hastanesi’nin Başvuruda Bulunan Kişisel Veri Sahibinden Talep Edebileceği Bilgiler
11.3. İzmir Özel Can Hastanesi’nin Kişisel Veri Sahibinin Başvurusunu Reddetme Hakkı
12. REVİZYON VE YÜRÜRLÜKTEN KALDIRMA
13. YÜRÜRLÜK
14. YÜRÜTME
GİRİŞ
İZMİR ÖZEL CAN HASTANESİ ANONİM ŞİRKETİ (bundan böyle “İzmir Özel Can Hastanesi” veya “Hastane” olarak ifade edilecektir) Ataşehir Mah. 8019/16 Sok. No:18 Çiğli/İZMİR merkezinde yer almaktadır.
İzmir Özel Can Hastanesi 6698 sayılı Kişisel Verilerin Korunması Hakkında Kanun (bundan böyle ‘’KVK Kanunu’’ olarak ifade edilecektir) kapsamında veri sorumlusu tüzel kişidir.
Kişisel veri sahipleri, kişisel verileri aşağıda belirtilen amaçlar dâhilinde 6698 sayılı KVK Kanunu ve İzmir Özel Can Hastanesi’nin tabi olduğu sair mevzuat hükümleri gereğince kişisel verileri toplanan, işlenen ve aktarılan gerçek kişilerdir.
İzmir Özel Can Hastanesi, kişisel verilerin güvenliği hususuna azami hassasiyet göstermektedir. Bu bilinçle kişisel veri sahiplerinin kişisel verileri, 6698 sayılı KVK Kanunu, Kanun’un ikincil düzenlemelerini teşkil eden sair mevzuata uygun olarak işlenmekte ve saklanmaktadır.
1. POLİTİKANIN HAZIRLANMA AMACI VE KAPSAMI
İşbu Politika ile İzmir Özel Can Hastanesi tarafından KVK Kanunu’na uyum için aşağıda açıklanacak olan temel ilkeler çerçevesinde getirilecek düzenlemelerin İzmir Özel Can Hastanesi bünyesinde hissedarlar, yetkililer, çalışanlar ve iş ortakları tarafından etkin bir şekilde uygulanması amaçlanmaktadır.
İşbu Politika ile öngörülen temel düzenlemeler doğrultusunda İzmir Özel Can Hastanesi işleyişi içerisinde kişisel verilerin işlenmesi ve korunması bakımından her türlü idari ve teknik tedbir alınacak, gerekli iç prosedürler oluşturulacak, farkındalığın yükseltilmesi için gerekli tüm eğitimler yapılacaktır. Hissedarlar, yetkililer, çalışanlar ve iş ortaklarının KVKK süreçlerine uyumları için gerekli tüm tedbirler alınarak uygun ve etkin denetim mekanizmaları kurulacaktır.
İşbu Politika, tüm bu süreçlerde gözetilecek temel ilkeleri ve KVK Kanunu ile getirilen düzenlemeler uyarınca iç işleyişin yönlendirilmesi için İzmir Özel Can Hastanesi’nin yükümlülüklerini düzenlenmektedir. KVK Kanunu ve ilgili mevzuat çerçevesinde oluşturulacak iç prosedürler ile İzmir Özel Can Hastanesi’nin kişisel verilerin korunması hususunda gerçekleştireceği uyum faaliyetleri düzenlenecektir. İzmir Özel Can Hastanesi’nin tüm çalışanları görevlerini yerine getirirken işbu Politika ile getirilen düzenlemeler ile KVK Kanunu ve ilgili tüm diğer mevzuat hükümlerine uygun hareket etmekte yükümlüdür.
İşbu Politika’ya ve ilgili mevzuat hükümlerine uyulmaması halinde, mevzuat hükümleri ile öngörülen cezai ve hukuki sorumluluğun yanında, İzmir Özel Can Hastanesi’nde, olayın mahiyetine göre, iş hayatını düzenleyen mevzuat çerçevesinde akdin haklı nedenle feshine kadar gidebilecek olan yaptırımlar uygulanacaktır.
2. TANIMLAR VE KISALTMALAR
KISALTMA | TANIM |
---|---|
AÇIK RIZA | Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı ifade eder. |
İLGİLİ KULLANICI | Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişilerdir. |
İMHA | Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi. |
KANUN / KVKK | 6698 Sayılı Kişisel Verilerin Korunması Kanunu. |
KAYIT ORTAMI | Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam. |
KİŞİSEL VERİ | Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi. |
KİŞİSEL VERİLERİN İŞLENMESİ | Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem. |
KİŞİSEL VERİLERİN ANONİM HALE GETİRİLMESİ | Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesi. |
KİŞİSEL VERİLERİN SİLİNMESİ | Kişisel verilerin silinmesi; kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi. |
KİŞİSEL VERİLERİN YOK EDİLMESİ | Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemi. |
KURUL | Kişisel Verileri Koruma Kurulu |
ÖZEL NİTELİKLİ KİŞİSEL VERİ | Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri. |
PERİYODİK İMHA | Kanun’da yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla re’sen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi. |
VERİ SAHİBİ / İLGİLİ KİŞİ | Kişisel verisi işlenen gerçek kişi. |
VERİ SORUMLUSU | Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi. |
YÖNETMELİK | Veri Sorumluları Sicili Hakkında Yönetmelik |
KVK Kanunu kapsamında İzmir Özel Can Hastanesi veri sorumlusu sıfatını haiz olacak olup VERBİS sistemine kayıt olacaktır. Yönetmelik’in 11 inci maddesinin 1 inci fıkrasında “Türkiye’de yerleşik olan tüzel kişilerin Kanun kapsamındaki veri sorumlusu yükümlülükleri, ilgili mevzuat hükümlerine göre tüzel kişiliği temsil ve ilzama yetkili yetkili organ veya ilgili mevzuatta belirtilen kişi veya kişiler marifetiyle yerine getirilir. Tüzel kişiliği temsile yetkili organ Kanunun uygulanması bakımından yerine getirilecek yükümlülükler ile ilgili olarak bir veya birden fazla kişiye görevlendirebilir” şeklinde düzenleme yapılmıştır.
Yönetim Kurulu tarafından TTK’nın ilgili maddeleri uyarınca sınırları belirlenmiş olarak şirketin yönetim ve temsili verilen kişiler TTK, TBK ve TCK kapsamında kendi yetki sınırları dâhilinde gerçekleşen işlem ve eylemlerden sorumludur. Özellikle kollukta,
savcılıklarda, kamu kurumlarında ve mahkemelerde şirketi temsil etme ile ifade vermeye yetkili olarak seçilmişlerdir.
Her bir departmanın Direktörü, departmanlardaki İlgili Kullanıcı’ların Kanun ve Yönetmelik çerçevesinde hazırlanan işbu Politika ve İmha Politikası’na uygun davranıp davranmadığını denetlemek ve Yönetim Kurulu ile İcra Kurulu’na raporlamakla yükümlü olacaktır.
3. KİŞİSEL VERİLERİN İŞLENMESİNDE GENEL İLKELER
İzmir Özel Can Hastanesi, KVK Kanunu’nun 4. maddesi doğrultusunda işbu Politika kapsamında kalan kişisel verileri aşağıdaki ilkelere uygun işleyeceğini kabul etmektedir:
3.1. Hukuka ve dürüstlük kuralına uygunluk
İzmir Özel Can Hastanesi, veri sorumlusu sıfatı ile ve basiretli bir tacir olarak Anayasa ve KVK Kanunu başta olmak üzere yürürlükte olan ve yürürlüğe girecek olan tüm mevzuat hükümlerine uygun olarak ve Medeni Kanun’un 2. maddesi ile öngörülen dürüstlük kuralına uygun bir biçimde kişisel veri işleme faaliyetlerini yürüteceğini kabul etmektedir.
3.2. Doğruluk ve güncellik
İzmir Özel Can Hastanesi, kişisel verilerin işlenmesi faaliyetlerinde, tekniğin elverdiği ölçüde kişisel verilerin doğruluk ve güncelliğinin sağlanması için gerekli tüm tedbirleri almaktadır.
İlgili kişinin veri sorumlusu sıfatı ile İzmir Özel Can Hastanesi’ne bildireceği talepler ve İzmir Özel Can Hastanesi’nin bizzat gerekli göreceği durumlar doğrultusunda, hatalı veya güncel olmayan kişisel verilerin düzeltilmesi ve doğruluğunun denetlenmesi için İzmir Özel Can Hastanesi tarafından kurulan idari ve teknik mekanizmalar işletilecektir.
3.3. Belirli, açık ve meşru amaçlarla işleme
İzmir Özel Can Hastanesi tarafından kişisel veriler, ilgili mevzuat hükümlerinin gereklilikleri ile sunulan veya sunulacak olan hizmetlerle sınırlı olarak hukuka uygun biçimde işlenmekte olup kişisel verilerin işlenme amacı verilerin işlenmeye başlanmasından önce açık ve kesin olarak belirlenmektedir.
3.4. Verileri işlendikleri amaç ile bağlantılı, sınırlı ve ölçülü olarak işleme
İzmir Özel Can Hastanesi tarafından kişisel veriler işlenme amaçları ile bağlantılı ve sınırlı olarak ve bu amacın gerçekleşmesi için gerektiği ölçüde işlenmektedir. Bu kapsamda verilerin işlenme amacı ile ilgili olmayan ve ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınılması temel esastır.
3.5. Mevzuat hükümleri ile öngörülen veya işlenme amacının gerektirdiği süre ile sınırlı olarak işleme
Kişisel veriler, ilgili mevzuat hükümleri ile öngörülen süreler doğrultusunda veya verilerin işlenme amacının gerektirdiği süre boyunca muhafaza edilmektedir.
Mevzuat hükümleri ile öngörülen sürenin sonunda veya verilerin işlenme amacının gerektirdiği sürenin sonunda kişisel veriler İzmir Özel Can Hastanesi tarafından silinmekte, yok edilmekte veya anonim hale getirilmektedir. Verilerin gerekli sürenin sonunda muhafaza edilmesinin önlenmesi için gerekli idari ve teknik tedbirler alınacaktır.
4. KİŞİSEL VERİLERİN İŞLENME ŞARTLARI
KVK Kanunu ile kişisel verilerin işlenme koşulları düzenlenmiş olup, İzmir Özel Can Hastanesi tarafından kişisel veriler aşağıda belirtilen söz konusu koşullara uygun olarak işlenmektedir.
4.1. Kişisel Verilerin İşlenmesi Şartları
KVK Kanunu’nda sayılan istisnalar dışında, İzmir Özel Can Hastanesi ancak veri sahiplerinin açık rızasını temin etmek suretiyle kişisel veri işlemektedir.
Kanun’da sayılan aşağıdaki hallerin varlığı durumunda ise, veri sahibinin açık rızası olmasa dahi kişisel veriler işlenebilmektedir:
- Kanunlarda açıkça öngörülmesi,
- Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
- Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
- Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
- Veri sahibinin kendisi tarafından alenileştirilmiş olması,
- Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
- Veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.
4.2. Özel Nitelikli Kişisel Verilerin İşlenmesi Şartları
Veri sahipleri açısından korunmasının çeşitli açılardan daha kritik önem teşkil ettiğine inanılan özel nitelikli kişisel verilerin işlenmesinde ise İzmir Özel Can Hastanesi tarafından özel hassasiyet gösterilmektedir. Bu kapsamda, Kurul tarafından belirlenen yeterli önlemlerin alınması şartıyla bu tür veriler, veri sahiplerinin açık rızası olmaksızın işlenmemektedir.
Ancak, sağlık ve cinsel hayat ile ilgili veriler dışındaki özel nitelikli kişisel veriler, kanunlarda öngörülen hallerde veri sahibinin açık rızası olmaksızın da işlenebilmektedir. Bununla beraber, sağlık ve cinsel hayata ilişkin veriler ise yeterli önlemlerin alınması şartıyla ve aşağıda sayılan sebeplerin varlığı halinde açık rızası alınmaksızın işlenebilmektedir:
- Kamu sağlığının korunması,
- Koruyucu hekimlik,
- Tıbbî teşhis,
- Tedavi ve bakım hizmetlerinin yürütülmesi,
- Sağlık hizmetleri ile finansmanının planlanması ve yönetimi.
5. KİŞİSEL VERİLERİN TOPLANMASI VE İŞLENMESİ YÖNTEMLERİ
İzmir Özel Can Hastanesi, KVK Kanunu’na uygun olarak ve Yönetmelik’in 5inci,7inci,9uncu ve 10uncu maddesi kapsamında düzenlenmesi ve aşağıda yer alan bilgileri içermesi zorunlu olan Kişisel Veri İşleme Envanteri’ne dayalı olarak gerçek kişilere ait kişisel verileri işlemektedir.
İşbu Politika’da ayrıca Kişisel Veri İşleme envanteri başlığına yer verilmemiş olsa da işbu başlık ve takip eden başlıklarda aşağıdaki bilgilerin yer alması halinde ilgili maddeler “Kişisel Veri İşleme Envanteri” hükmünde sayılacaktır.
- Kişisel veri işleme amaçları,
- Veri kategorisi
- Verilerin aktarıldığı alıcı grubu veya alıcı grupları
- Veri konusu kişi grupları
- Veri kategorisi ile veri konusu kişi gruplarının ilişkilendirilmesi
- Yabancı ülkelere aktarımı öngörülen kişisel veriler
- Veri güvenliğine ilişkin alınan tedbirler
- Kişisel verilerin işlendikleri amaçlar için gerekli olan azami süre
5.1. Kişisel Veri Konusu Kişi Grupları
KİŞİSEL VERİ KONUSU KİŞİ GRUPLARI | AÇIKLAMASI |
---|---|
İZMİR ÖZEL CAN HASTANESİ HİSSEDARLARI | İzmir Özel Can Hastanesi’nin hisselerine sahip olan gerçek kişiler. |
İZMİR ÖZEL CAN HASTANESİ YETKİLİLERİ | İzmir Özel Can Hastanesi’nin Yönetim Kurulu üyeleri ve diğer yetkili gerçek kişiler. |
İZMİR ÖZEL CAN HASTANESİ KİRACI, TEDARİKÇİ VE TAŞERONLARI | İzmir Özel Can Hastanesi’nin bağımsız bölümlerinde kira sözleşmesi çerçevesinde faaliyetini sürdüren kiracıların yetkili gerçek kişileri; İzmir Özel Can Hastanesi’nin faaliyetlerini yerine getirirken kullandığı tedarikçi ve taşeronların yetkili gerçek kişileri ve bu kişiler tarafından görevlendirilen çalışanlar. |
ÇALIŞAN / STAJYER | İzmir Özel Can Hastanesi bünyesinde çalışan veya staj yapan gerçek kişiler. |
5.2 Veri Kategorizasyonu
VERİ KATEGORİZASYONU | VERİ KATEGORİZASYONU AÇIKLAMASI |
---|---|
KİMLİK BİLGİSİ | Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; kişinin kimliğine dair bilgilerin bulunduğu verilerdir; ad-soyad, T.C. kimlik numarası, uyruk bilgisi, anne adı-baba adı, nüfusa kayıtlı olduğu yer ve diğer nüfus bilgileri, doğum yeri, doğum tarihi, cinsiyet, medeni durum gibi bilgileri içeren ehliyet, nüfus cüzdanı ve pasaport gibi belgeler ile vergi numarası, SGK numarası, imza bilgisi vb. bilgiler |
İLETİŞİM BİLGİSİ | Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; telefon numarası, adres, e-mail adresi, faks numarası, IP adresi gibi bilgiler |
AİLE BİREYLERİ VE YAKIN BİLGİSİ | Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; İzmir Özel Can Hastanesi tarafından yürütülen faaliyetler çerçevesinde, kişisel veri sahibinin aile bireyleri (ör. eş, anne, baba, çocuk), yakınları ve acil durumlarda ulaşılabilecek diğer kişiler hakkındaki bilgiler) |
GÜVENLİK BİLGİSİ | Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; fiziksel mekâna girişte, fiziksel mekânın içerisinde kalış sırasında alınan kayıtlar ve belgelere ilişkin kişisel veriler; kamera kayıtları, taşıt plaka bilgileri, güvenlik noktasında alınan kayıtlar, telefon aramalarında alınan ses kayıtları vb. |
FİNANSAL BİLGİ | Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; İzmir Özel Can Hastanesi’nin kişisel veri sahibi ile kurmuş olduğu hukuki ilişkinin tipine göre değişkenlik gösteren bilgi, belge ve kayıtlara ilişkin işlenen finansal kişisel veriler ile banka hesap numarası, banka hesap bilgileri,(IBAN no, hesap sahibi vb.) kredi kartı bilgisi vb. ve çalışanlara ilişkin finansal ve maaş detayları, bordrolar, prim hak edişleri, prim tutarları, icra takip dosyalarına ilişkin dosya ve borç bilgileri, banka hesap cüzdanı, asgari geçim indirimi bilgisi, özel sağlık sigortası tutarı vb. bilgiler. |
ÖZLÜK BİLGİSİ (PERFORMANS DEĞERLENDİRME VERİLERİ, KARİYER GELİŞİM VERİLERİ, ÇALIŞMA VE İZİN GÜNLERİNE İLİŞKİN KAYITLAR) | Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; İzmir Özel Can Hastanesi ile çalışma ilişkisi içerisinde olan gerçek kişilerin özlük haklarının oluşmasına temel olacak ve özlük dosyasında yer alması kanunen zorunlu tutulan bilgiler (Öğrenim durumu, sertifika ve diploma bilgileri, yabancı dil bilgileri, eğitim ve beceriler, CV, aldığı kurslar, İzin kıdem baz tarihi, izin kıdem ilave gün, izin grubu, çıkış/dönüş tarihi, gün, izine çıkış nedeni, izinde bulunacağı adres/telefon, pozisyon adı, departmanı ve birimi, unvanı, son işe giriş tarihi, işe giriş çıkış tarihleri, sigorta giriş/emeklilik, sosyal güvenlik no, esnek saatlerde çalışma durumu, seyahat durumu çalışma gün sayısı, çalıştığı projeler, aylık toplam mesai bilgisi, kıdem tazminatı baz tarih, kıdem tazminatı ilave gün, grevde geçen gün, çalışan internet erişim logları, giriş çıkış logları elde edilmesine yönelik işlenen her türlü kişisel veri ve çalışanın bulunduğu pozisyonda ilerleyebilmesi için gerekli olan performans, eğitim ve beceriler, hangi tarihte hangi eğitimi aldığı bilgisi, e-posta, imzalı katılım formu, müşteri ile görüşme kalite değerlendirme formu, aylık performansının değerlendirilmesi ve hedef gerçekleştirme durumu, aktivite) bilgileri. |
ÖZEL NİTELİKLİ KİŞİSEL VERİ | Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; KVK Kanunu’nun 6. maddesinde belirtilen veriler (ör. kan grubu da dâhil sağlık verileri, biyometrik veriler, din ve üye olunan dernek bilgisi gibi) |
TALEP VE ŞİKAYET YÖNETİMİ BİLGİSİ | Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; İzmir Özel Can Hastanesi’ne yöneltilmiş olan her türlü talep veya şikâyetin alınması ve değerlendirilmesine ilişkin kişisel veriler |
5.3 Kişisel Veri Konusu Kişi Gruplarında Yer Alan Kişisel Veri Sahiplerinin Kişisel Verilerinin Toplanması Ve İşlenmesinin Amaçları
İzmir Özel Can Hastanesi, hissedar ve yetkililerinin kişisel verilerini, Türk Ticaret Kanunu, Vergi Usul Kanunu, İş Kanunu ve ilgili sair mevzuattan kaynaklanan yasal yükümlülükleri çerçevesinde Giriş kısmında yazılı olan faaliyetlerin gerçekleştirilebilmesi amacıyla işlemektedir. İşbu kişisel veriler resmi kurumlarda İzmir Özel Can Hastanesi’ne ilişkin olarak tutulan kayıtlardan, şirket genel kurul ve yönetim kurulu toplantı tutanaklarından, şirketin kurumsal ve yönetim süreçlerine ilişkin tutulan evraklardan elde edilmektedir.
İzmir Özel Can Hastanesi, hastanenin bağımsız bölümlerinde kira sözleşmesi çerçevesinde faaliyetini sürdüren kiracıların yetkili gerçek kişilerine ait veri kategorisinde yer alan verilerini; taraflar arasında bulunan kira sözleşmesinin ifasının sağlanabilmesi, hastanenin genel güvenliğinin ve düzeninin sağlanmasında veri sorumlusunun üzerine düşen yükümlülük nedeniyle tüm kiracıların kurallara uygun davranmasının sağlanması ve sözleşmelerde yer alan yükümlülüklerin ihlali halinde sözleşmeye uygun ifanın sağlanabilmesi için ihtarnameler çekilebilmesi, icra ve dava yollarına başvurulabilmesi ve diğer tedbirlerin alınabilmesi amacıyla kaydeder.
Hastanede bulunan kiracıların kişisel verileri kira sözleşmesi, zeyilnameler, ek sözleşmeler, protokoller, mail yazışmaları, kiracıların kendileri tarafından verilen kartvizitler aracılığı ile elde edilmektedir.
İzmir Özel Can Hastanesi, hastanenin faaliyetlerinin yerine getirilmesinde yardımcı olan tedarikçi ve taşeronların yetkili gerçek kişilerinin ve bu tedarikçi ve taşeronlar tarafından görevlendirilen gerçek kişi çalışanlarının görevlerini yerine getirip getirmediğini kontrol etmek ve şirketin faaliyetlerinin düzenini sağlamak amacıyla kaydeder. Tedarikçi ve taşeronların kişisel verileri, kendileri ile kurulan iletişim sonucu yollanan ve alınan e- mailler, yapılan telefon görüşmeleri ile kartvizit ve internet sitesi bilgilerinin aktarılması yoluyla elde edilmektedir.
İzmir Özel Can Hastanesi, bünyesinde çalışan personellerin ve stajyerlerin kişisel verilerini, SGK kaydının yapılabilmesi için, yürürlükteki İş Kanunu ve İş Sağlığı ve güvenliği Kanunu’nun uygulamaları kapsamında kişilerin personel özlük dosyasında bulunması zorunlu evrakların tamamlanması amacıyla talep etmekte ve işlemektedir. İşbu kişisel veriler, işe giriş ve iş başvurusu aşamasında açık rızaları ile ilettikleri öz geçmiş, iş başvuru formları, aday havuzu hizmetleri veren insan kaynakları yazılım programlarının (Kariyer.net, LinkedIn gibi) sunduğu özgeçmiş görüntüleme yöntemleri, mülakat esnasında kendilerine sorulan ve rızaları ile yanıtladıkları sorulara verdikleri cevaplar aracılığıyla elde edilmektedir.
İzmir Özel Can Hastanesi, kendisine iş başvurusu yapan gerçek kişilerden kişisel verilerini, kişiyle işe alım sürecinde mülakat amaçlı iletişim kurmak ve mülakat sırasında kişinin nitelikleri ve deneyimleri ile işe alım yapılacak açık pozisyonun uyumlu olup olmadığını tespit etmek amacıyla talep etmekte ve işlemektedir. İşbu kişisel veriler, başvuru yapan kişilerin kendi açık rızaları ile öz geçmişlerini insan kaynakları departmanına yollamaları, mülakat esnasında kendi rızaları ile sorulan soruları yanıtlamaları ya da ilan yayınlama ve aday havuzu hizmetleri veren insan kaynakları yazılım programlarının (Kariyer.net, LinkedIn gibi) sunduğu özgeçmiş görüntüleme yöntemleri ile elde edilmektedir.
İzmir Özel Can Hastanesi, işbirliği içerisinde olduğu iş ortaklarının çalışanları ve yetkili gerçek kişilerinin verilerini iş ortaklığının kurulma amaçları çerçevesinde kaydetmektedir. Mal ve hizmet tedarikçilerinden temin edilen ve alışveriş merkezinin ticari faaliyetlerini yerine getirmek için gerekli hizmetlerin İzmir Özel Can Hastanesi’nde sunulmasının sağlanması ve bunun denetlenmesi amacıyla bu kişilerin kişisel verilerini kaydeder. İşbu kişisel veriler imzalanan sözleşmeler, gönderilen faturalar, cihaz teslim tutanakları, mail yazışmaları, telefon ve sair yollarla kurulan iletişim ile kartvizitlerden elde edilmektedir.
İzmir Özel Can Hastanesi’nin faaliyet gösterdiği yerleşkeye gelen tüm ziyaretçilerin plaka bilgileri, şikâyet ve talep formunda yer alan bilgileri, kimlik bilgileri hastanenin faaliyet gösterdiği yerleşkenin güvenliğinin sağlanması amacıyla elde edilmektedir. Kişilerin talep ve şikâyetlerini iletmek için Call Center veya hastanenin ilgili departmanlarını araması halinde, hizmet kalitesinin sağlanması amacıyla kişilerin ses kayıtları işlenmektedir. Bankoda, danışmada veya Wİ-Fİ giriş ekranında kişiler tarafından sağlanan veriler, hizmet kalitesinin sağlanması, faaliyetlerin yerine getirilmesi ve güvenlik sebepleriyle işlenmektedir. İzmir Özel Can Hastanesi yerleşkesini her ne sebeple olursa olsun ziyaret eden kişilerin görüntüleri 7/24 güvenlik kamera görüntüsü yöntemleri ile elde edilmektedir.
5.4. Veri Konusu Kişi Grupları İle Bu Kişilere Ait Veri Kategorilerinin İlişkilendirilmesi
KİŞİSEL VERİ KATEGORİZASYONU | İLGİLİ KİŞİSEL VERİNİN İLİŞKİLİ OLDUĞU VERİ SAHİBİ KATEGORİSİ |
---|---|
KİMLİK BİLGİSİ | Şirket hissedarları, yönetim kurulu üyeleri, icra kurulu üyeleri, çalışanları, stajyerleri, yetkilileri, taşeron ve tedarikçiler, kiracılar, hizmet sunucular, hizmet sunma teklifinde bulunanlar, çalışma veya staj başvurusu yapanlar, ziyaretçi ve hastalar, hastanenin sunmakta olduğu herhangi bir hizmetten yararlanan veya yararlanma talebi ile başvuran tüm kişiler, şirketin işbirliği içinde olduğu kurum ve kuruluşlarda çalışanlar ile bunların aile ve yakınları |
İLETİŞİM BİLGİSİ | Şirket hissedarları, yönetim kurulu üyeleri, icra kurulu üyeleri, çalışanları, stajyerleri, yetkilileri, taşeron ve tedarikçiler, kiracılar, hizmet sunucular, hizmet sunma teklifinde bulunanlar, çalışma veya staj başvurusu yapanlar, ziyaretçi ve hastalar, hastanenin sunmakta olduğu herhangi bir hizmetten yararlanan veya yararlanma talebi ile başvuran tüm kişiler, şirketin işbirliği içinde olduğu kurum ve kuruluşlarda çalışanlar ile bunların aile ve yakınları |
AİLE BİREYLERİ VE YAKIN BİLGİSİ | Şirket hissedarları, yönetim kurulu üyeleri, icra kurulu üyeleri, çalışanları, stajyerleri, yetkilileri, taşeron ve tedarikçiler, kiracılar, hizmet sunucular, hizmet sunma teklifinde bulunanlar, çalışma veya staj başvurusu yapanlar, ziyaretçi ve hastalar, hastanenin sunmakta olduğu herhangi bir hizmetten yararlanan veya yararlanma talebi ile başvuran tüm kişiler, şirketin işbirliği içinde olduğu kurum ve kuruluşlarda çalışanlar ile bunların aile ve yakınları |
GÜVENLİK BİLGİSİ | Şirket hissedarları, yönetim kurulu üyeleri, icra kurulu üyeleri, çalışanları, stajyerleri, yetkilileri, taşeron ve tedarikçiler, kiracılar, hizmet sunucular, hizmet sunma teklifinde bulunanlar, çalışma veya staj başvurusu yapanlar, ziyaretçi ve hastalar, hastanenin sunmakta olduğu herhangi bir hizmetten yararlanan veya yararlanma talebi ile başvuran tüm kişiler, şirketin işbirliği içinde olduğu kurum ve kuruluşlarda çalışanlar ile bunların aile ve yakınları |
FİNANSAL BİLGİ | Şirket hissedarları, yönetim kurulu üyeleri, icra kurulu üyeleri, çalışanları, stajyerleri, yetkilileri, taşeron ve tedarikçiler, kiracılar, hizmet sunucular, hizmet sunma teklifinde bulunanlar, çalışma veya staj başvurusu yapanlar, ziyaretçi ve hastalar, hastanenin sunmakta olduğu herhangi bir hizmetten yararlanan veya yararlanma talebi ile başvuran tüm kişiler, şirketin işbirliği içinde olduğu kurum ve kuruluşlarda çalışanlar ile bunların aile ve yakınları |
ÖZLÜK BİLGİSİ (PERFORMANS DEĞERLENDİRME VERİLERİ, KARİYER GELİŞİM VERİLERİ, ÇALIŞMA VE İZİN GÜNLERİNE İLİŞKİN KAYITLAR) | Şirket hissedarları, yönetim kurulu üyeleri, icra kurulu üyeleri, çalışanları, stajyerleri, yetkilileri, taşeron ve tedarikçiler, kiracılar, hizmet sunucular, şirketin işbirliği içinde olduğu kurum ve kuruluşlarda çalışanlar |
ÖZEL NİTELİKLİ KİŞİSEL VERİ | Şirket hissedarları, yönetim kurulu üyeleri, icra kurulu üyeleri, çalışanları, stajyerleri, yetkilileri, taşeron ve tedarikçiler, kiracılar, hizmet sunucular, hizmet sunma teklifinde bulunanlar, çalışma veya staj başvurusu yapanlar, ziyaretçi ve hastalar, hastanenin sunmakta olduğu herhangi bir hizmetten yararlanan veya yararlanma talebi ile başvuran tüm kişiler, şirketin işbirliği içinde olduğu kurum ve kuruluşlarda çalışanlar ile bunların aile ve yakınları |
TALEP VE ŞİKÂYET YÖNETİMİ BİLGİSİ | Hastanenin sunmakta olduğu hizmet ve faaliyetleri ile ilgili talep veya şikâyette bulunan kişiler, hastanenin sunmakta olduğu hizmetlerden yararlanan veya yararlanmak isteyenler |
6. KİŞİSEL VERİLERİN AKTARILMASI İLKELERİ:
İzmir Özel Can Hastanesi veri sahiplerinin kişisel verilerini, 6698 sayılı KVK Kanunu’nun 5. ve 6. maddelerinde belirtilen kişisel veri işleme şartları kapsamında ve işbu Politika’da belirtilmiş amaçlarla sınırlı olarak, KVK Kanunu’nun 8. ve 9. maddelerine uygun olmak suretiyle 3. kişi ve kurumlara aktarabilecektir.
Aktarımda bulunulan yukarıda belirtilen kişilerin kapsamı ve veri aktarım amaçları aşağıda belirtilmektedir. Bu kişi ve Kurumlar;
a. İzmir Özel Can Hastanesi bağlı kurum ve kuruluşları ile iş ortakları,
b. İzmir Özel Can Hastanesi tedarikçi/kiracı/ taşeronları
c. İzmir Özel Can Hastanesi Hissedarları,
d. İzmir Özel Can Hastanesi yetkilileri,
e. Hukuken bilgi almaya yetkili kamu kurum ve kuruluşları,
f. Hukuken bilgi almaya yetkili özel hukuk tüzel kişileridir.
VERİ AKTARIMI YAPILABİLECEK ALICI GRUPLARI | ALICI GRUPLARININ TANIMI | AKTARIM AMACI |
---|---|---|
BAĞLI KURUM VE KURULUŞLAR İLE İŞ ORTAKLARI | İzmir Özel Can Hastanesi faaliyetlerini yerine getirirken birlikte proje yürütülen, hizmet alınan, ortaklık kurulan kurum ve kuruluşlar ile İzmir Özel Can Hastanesi’nin ilişkili şirketleri (ör. Özel sağlık sigortaları, aracı ve asistan firmalar vb.) | İş ortaklığı, ilişkili şirketler veya bağlı kurum ve kuruluşların faaliyet amaçları ile ilintili ve sınırlı olarak |
TEDARİKÇİ / KİRACI / TAŞERONLARI | İzmir Özel Can Hastanesi ticari ve medikal faaliyetlerini yürütürken şirketin emir ve talimatlarına uygun olarak sözleşme temelli yahut sözleşme olmaksızın münferit olarak şirkete hizmet sunan taraflar, tedarikçileri; İzmir Özel Can Hastanesi’nde sözleşme temelli olarak bağımsız bölümlerde ticari faaliyet sürdüren taraflar, kiracıları; İzmir Özel Can Hastanesi’nin faaliyetlerinin yerine getirirken kullandığı üçüncü kişi, firma ya da kuruluşlar tedarikçiyi | İzmir Özel Can Hastanesi A.Ş’nin tedarikçi, kiracı ve taşeronlardan sağladığı hizmetleri yerine getirmesi ile ilintili ve sınırlı olarak |
HİSSEDARLARI | İzmir Özel Can Hastanesi hissedarları gerçek kişiler | İlgili mevzuat hükümlerine göre İzmir Özel Can Hastanesi’nin ticari ve medikal faaliyetlerine ilişkin stratejilerin tasarlanması, en üst düzeyde yönetiminin sağlanması ve denetim amaçlarıyla sınırlı olarak |
YETKİLİLERİ | İzmir Özel Can Hastanesi yönetim kurulu üyeleri ve diğer yetkili gerçek kişiler | İlgili mevzuat hükümlerine göre İzmir Özel Can Hastanesi’nin ticari ve medikal faaliyetlerine ilişkin stratejilerin tasarlanması, en üst düzeyde yönetiminin sağlanması ve denetim amaçlarıyla sınırlı olarak |
HUKUKEN BİLGİ ALMAYA YETKİLİ KAMU KURUM / KURULUŞLARI | İlgili mevzuat hükümlerine göre İzmir Özel Can Hastanesi’nden bilgi ve belge almaya yetkili kamu hukuk kurum ve kuruluşları (Ör. Sosyal Güvenlik Kurumu vb.) | İlgili kamu kurum ve kuruluşlarının hukuki yetkisi dâhilinde talep ettiği amaçlarla sınırlı olarak. |
HUKUKEN BİLGİ ALMAYA YETKİLİ ÖZEL HUKUK TÜZEL KİŞİLERİ | İlgili mevzuat hükümlerine göre İzmir Özel Can Hastanesi’nden bilgi ve belge almaya yetkili özel hukuk kişileri | İlgili özel hukuk kişilerinin hukuki yetkisi dâhilinde talep ettiği amaçla sınırlı olarak. |
7. KİŞİSEL VERİLERİN YURTDIŞINA AKTARILMASI
İzmir Özel Can Hastanesi, KVK Kurulu tarafından yeterli korumaya sahip olduğu ilan edilen yabancı ülkelere (“Yeterli Korumaya Sahip Yabancı Ülke”) veya yeterli korumanın bulunmaması durumunda, Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt ettiği ve KVK Kurulu’nun izninin bulunduğu yabancı ülkelere (“Yeterli Korumayı Taahhüt Eden Veri Sorumlusunun Bulunduğu Yabancı Ülke”) kişisel verileri aktarabilmektedir.
İzmir Özel Can Hastanesi bu doğrultuda KVK Kanunu’nun 9. Maddesinde öngörülen düzenlemelere uygun hareket etmektedir.
7.1 Kişisel Verilerin Yurtdışına Aktarılması
İzmir Özel Can Hastanesi meşru ve hukuka uygun kişisel veri işleme amaçları doğrultusunda kişisel veri sahibinin açık rızası var ise veya kişisel veri sahibinin açık rızası yok ise aşağıdaki hallerden birinin varlığı durumunda kişisel verileri Yeterli Korumaya Sahip veya Yeterli Korumayı Taahhüt Eden Veri Sorumlusunun Bulunduğu Yabancı Ülkelere aktarabilmektedir:
- Kanunlarda kişisel verinin aktarılacağına ilişkin açık bir düzenleme var ise,
- Kişisel veri sahibinin veya başkasının hayatı veya beden bütünlüğünün korunması için zorunlu ise ve kişisel veri sahibi fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda ise veya rızasına hukuki geçerlilik tanınmıyorsa;
- Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olmak kaydıyla sözleşmenin taraflarına ait kişisel verinin aktarılması gerekli ise,
- İzmir Özel Can Hastanesi’nin hukuki yükümlülüğünü yerine getirmesi için kişisel veri aktarımı zorunlu ise,
- Kişisel veriler, kişisel veri sahibi tarafından alenileştirilmiş ise,
- Kişisel veri aktarımı bir hakkın tesisi, kullanılması veya korunması için zorunlu ise,
- Kişisel veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, İzmir Özel Can Hastanesi’nin meşru menfaatleri için kişisel veri aktarımı zorunlu
7.2. Özel Nitelikli Kişisel Verilerin Yurtdışına Aktarılması
İzmir Özel Can Hastanesi gerekli özeni göstererek, gerekli güvenlik tedbirlerini alarak ve KVK Kurulu tarafından öngörülen yeterli önlemleri alarak; meşru ve hukuka uygun kişisel veri işleme amaçları doğrultusunda kişisel veri sahibinin özel nitelikli verilerini aşağıdaki durumlarda Yeterli Korumaya Sahip veya Yeterli Korumayı Taahhüt Eden Veri Sorumlusunun Bulunduğu Yabancı Ülkelere aktarabilmektedir.
- Kişisel veri sahibinin açık rızası var ise veya
- Kişisel veri sahibinin açık rızası yok ise;
- Kişisel veri sahibinin sağlığı ve cinsel hayatı dışındaki özel nitelikli kişisel verileri (ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir), kanunlarda öngörülen hallerde,
- Kişisel veri sahibinin sağlığına ve cinsel hayatına ilişkin özel nitelikli kişisel verileri ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenmesi kapsamında.
İzmir Özel Can Hastanesi’nin elde etmiş olduğu kişisel veriler kural olarak yurtdışı ile paylaşılmamaktadır. Yabancı uyruklu kişilerin, Türk uyruklu olup da yurt dışında yaşayanların veya yabancı ülkede kurulu şirketler aracılığıyla İzmir Özel Can Hastanesi’ne gelen kişilerin kişisel verileri ilgili kamu kurumu, sigorta şirketi veya aracı kurum ve kuruluşlar ile paylaşılabilmektedir.
8. KİŞİSEL VERİLERİN SAKLANMASI
Elde ettiğimiz kişisel veriler, İzmir Özel Can Hastanesi’nin medikal ve ticari faaliyetlerini yerine getirebilmesi amacıyla, uygun süre zarfında fiziksel veya elektronik ortamda güvenli bir şekilde saklanmaktadır.
Söz konusu faaliyetler kapsamında, İzmir Özel Can Hastanesi tarafından kişisel verilerin korunmasına ilişkin olarak KVK Kanunu başta olmak üzere, ilgili tüm mevzuatta öngörülen yükümlülüklere uygun hareket edilmektedir.
İlgili mevzuatlar uyarınca, kişisel verilerin daha uzun süre saklanmasına cevaz verilen veya zorunlu tutulan haller müstesna olmak kaydıyla, kişisel verilerin işlenme amaçlarının sona ermesi durumunda, kişisel veriler re’sen İzmir Özel Can Hastanesi tarafından veya ilgililerin talebi üzerine silinecek, yok edilecek veya anonim hale getirilecektir.
Kişisel verilerin söz konusu yöntemler vasıtasıyla silinmesi durumunda, bu veriler tekrar hiçbir şekilde kullanılamayacak ve geri getirilemeyecek şekilde imha edilecektir.
Ancak veri sorumlusunun meşru menfaatinin olduğu durumlarda, işlenme amacının ve ilgili kanunlarda belirtilen sürelerin de sona ermesine rağmen veri sahiplerinin temel hak ve özgürlüklerine zarar vermemek kaydıyla kişisel veriler, Borçlar Kanunu’nda veya İzmir Özel Can Hastanesi’ni ilgilendiren sair mevzuatta belirlenen zamanaşımı süreleri dolana kadar saklanabilecektir. Bahsi geçen zamanaşımı süresinin sona ermesinin ardından kişisel veriler silinecek, yok edilecek yahut anonim hale getirilecektir.
9. KİŞİSEL VERİLERİN KORUNMASINA İLİŞKİN ALINAN TEDBİRLER
İzmir Özel Can Hastanesi, KVK Kanunu’nda belirlenen şartlara uygun olarak, işlemekte olduğu kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, verilere hukuka aykırı olarak erişilmesini önlemek ve verilerin muhafazasını sağlamak için uygun güvenlik düzeyini sağlamaya yönelik gerekli teknik ve idari tedbirleri almakta, bu kapsamda gerekli denetimleri yapmak veya yaptırmaktadır.
İşlenen kişisel verilerin teknik ve idari tüm tedbirler alınmış olmasına rağmen, kanuni olmayan yollarla üçüncü kişiler tarafından ele geçirilmesi durumunda, İzmir Özel Can Hastanesi bu durumu mümkün olan en kısa süre içerisinde ilgili birimlere haber verir.
9.1. Teknik Tedbirler
- Teknolojideki gelişmelere uygun teknik önlemler alınmakta, alınan önlemler periyodik olarak güncellenmekte ve
- İş birimi bazında belirlenen hukuksal uyum gerekliliklerine uygun olarak erişim ve yetkilendirme teknik çözümleri devreye alınmaktadır.
- Erişim yetkileri sınırlandırılmakta yetkiler düzenli olarak gözden geçirilmektedir.
- Alınan teknik önlemler periyodik olarak kontrol edilmekte, risk teşkil eden hususlar yeniden değerlendirilerek gerekli teknolojik çözüm üretilmektedir.
- Virüs koruma sistemleri ve güvenlik duvarlarını içeren yazılımlar ve donanımlar kurulmaktadır.
- Teknik konularda bilgili personel istihdam edilmekte ve sistem zafiyetlerinin kontrolü sağlanmaktadır.
- Kişisel verilerin toplandığı uygulamalardaki güvenlik açıklarını saptamak için düzenli olarak güvenlik taramalarından geçirilmektedir. Bulunan açıkların kapatılması sağlanmaktadır
- Kişisel verilerin geri dönüştürülemeyecek ve denetim izi bırakmayacak şekilde yok edilmesi sağlanmaktadır. Sızma (Penetrasyon) testleri ile Şirketimizin bilişim sistemlerine yönelik risk, tehdit, zafiyet ve varsa açıklıklar ortaya çıkarılarak gerekli önlemler alınmaktadır.
- Şirketimizin bilişim sistemleri teçhizatı, yazılım ve verilerin fiziksel güvenliği için gerekli önlemler alınmaktadır.
- Erişim yetki ve rol dağılımları için prosedürler oluşturulmakta ve uygulanmakta, yetki matrisi uygulanmakta, erişimler kayıt altına alınarak uygunsuz erişimler kontrol altında tutulmakta, saklama ve imha politikasına uygun imha süreçleri tanımlanmakta ve uygulanmaktadır. Kişisel verilerin güvenli olarak saklanmasını sağlayan yedekleme programları kullanılmaktadır.
- Bilgi sistemleri güncel halde tutulmakta, kişisel verilerin işlendiği elektronik ortamlarda güçlü parolalar kullanılmaktadır.
- Bilgi güvenliği olay yönetimi ile gerçek zamanlı yapılan analizler sonucunda bilişim sistemlerinin sürekliliğini etkileyecek riskler ve tehditler sürekli olarak izlenmektedir.
- Oturum kaydı tutulmaktadır. Çevresel tehditlere karşı bilişim sistemleri güvenliğinin sağlanması için, donanımsal ve yazılımsal (güvenlik duvarları, ağ erişim kontrolü, zararlı yazılımları engelleyen sistemler vb.) önlemler alınmaktadır.
- Kişisel verilerin hukuka aykırı işlenmesini önlemeye yönelik riskler belirlenmekte, bu risklere uygun teknik tedbirlerin alınması sağlanmakta ve alınan tedbirlere yönelik teknik kontroller yapılmaktadır.
- Şirket içerisinde erişim prosedürleri oluşturularak kişisel verilere erişim ile ilgili raporlama ve analiz çalışmaları yapılmaktadır.
- Kişisel verilerin bulunduğu saklama alanlarına erişimler kayıt altına alınarak uygunsuz erişimler veya erişim denemeleri kontrol altında tutulmaktadır.
- Şirket, silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması için gerekli tedbirleri almaktadır.
- Kişisel verilerin hukuka aykırı olarak başkaları tarafından elde edilmesi halinde bu durumu ilgili kişiye ve Kurula bildirmek için Şirket tarafından buna uygun bir sistem ve altyapı oluşturulmuştur.
- Kişisel verilerin işlendiği elektronik ortamlarda parolalar kullanılmaktadır. Kişisel verilerin güvenli olarak saklanmasını sağlayan veri yedekleme programları kullanılmaktadır.
- Elektronik olan veya olmayan ortamlarda saklanan kişisel verilere erişim, erişim prensiplerine göre sınırlandırılmaktadır.
- Kullanıcıların sistemlere giriş yaparken benzersiz kullanıcı adı ve şifre kullanmaları sağlanmaktadır.
- Özel nitelikli kişisel verilerin güvenliğine yönelik ayrı politika belirlenmiştir. Özel nitelikli kişisel veri işleme süreçlerinde yer alan çalışanlara yönelik özel nitelikli kişisel veri güvenliği konusunda eğitimler verilmiş, gizlilik sözleşmeleri yapılmış, verilere erişim yetkisine sahip kullanıcıların yetkileri tanımlanmıştır.
- Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği fiziksel ortamların yeterli güvenlik önlemleri alınmakta, fiziksel güvenliği sağlanarak yetkisiz giriş çıkışlar engellenmektedir.
- Özel nitelikli kişisel veriler e-posta yoluyla aktarılması gerekiyorsa şifreli olarak kurumsal e-posta adresiyle veya KEP hesabı kullanılarak aktarılmaktadır. Taşınabilir bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerekiyorsa şifrelenmektedir. Kağıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemler alınmakta ve evrak “gizli” formatta gönderilmektedir.
9.2. İdari Tedbirler
- Çalışanlar, kişisel verilere hukuka aykırı erişimi engellemek için alınacak teknik tedbirler konusunda eğitilmektedir.
- Çalışanlara Hukuk Müşaviri tarafından KVK Kanunu hakkında eğitim verilmektedir.
- İş birimi bazında kişisel veri işlenmesi hukuksal uyum gerekliliklerine uygun olarak İzmir Özel Can Hastanesi içinde kişisel verilere erişim ve yetkilendirme süreçleri tasarlanmakta ve uygulanmaktadır.
- İzmir Özel Can Hastanesi, personeli ile arasındaki ilişkiyi düzenleyen ve kişisel veri içeren her türlü belgeye kişisel verilerin hukuka uygun olarak işlenmesi için KVK Kanunu ile öngörülen yükümlülüklere uygun hareket edilmesi gerektiği, kişisel verilerin ifşa edilmemesi gerektiği, kişisel verilerin hukuka aykırı olarak kullanılmaması gerektiği ve kişisel verilere ilişkin gizlilik yükümlülüğünün İzmir Özel Can Hastanesi ile olan iş akdinin sona ermesinden sonra dahi devam ettiği yönünde kayıtlar eklemiş olup personelin bu yükümlülüklere uymaması iş akdinin feshine varabilecek yaptırımların uygulanmasını gerektirmekte ve İzmir Özel Can Sağlık Grubu Davranış İlkeleri Yönergesi’nde özel olarak düzenlenmektedir.
- Çalışanlar, öğrendikleri kişisel verileri KVK Kanunu hükümlerine aykırı olarak başkasına açıklayamayacağı ve işleme amacı dışında kullanamayacağı ve bu yükümlülüğün görevden ayrılmalarından sonra da devam edeceği konusunda bilgilendirilmekte ve bu doğrultuda kendilerinden gerekli taahhütler alınmaktadır.
- İzmir Özel Can Hastanesi tarafından kişisel verilerin hukuka uygun olarak aktarıldığı kişiler ile akdedilen sözleşmelere; kişisel verilerin aktarıldığı kişilerin, kişisel verilerin korunması amacıyla gerekli güvenlik tedbirlerini alacağına ve kendi kuruluşlarında bu tedbirlere uyulmasını sağlayacağına ilişkin hükümler eklenmektedir.
- İzmir Özel Can Hastanesi, işlenen kişisel verilerin hukuka aykırı yollarla başkaları tarafından elde edilmesi hâlinde, bu durumu en kısa sürede ilgilisine ve Kurul’a bildirir.
- İzmir Özel Can Hastanesi kişisel verilerin işlenmesi hakkında bilgili ve deneyimli personel istihdam eder ve personeline kişisel verilerin korunması mevzuatı ve veri güvenliği kapsamında gerekli eğitimleri
- İzmir Özel Can Hastanesi, kendi tüzel kişiliği nezdinde Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapar ve yaptırır. Denetimler sonucunda ortaya çıkan gizlilik ve güvenlik zafiyetlerini
- İzmir Özel Can Hastanesi, kişisel verileri aktardığı üçüncü şahısların da, işbu Politika ve KVK Kanunu hükümleri doğrultusunda verileri hukuka uygun olarak işleme ve muhafaza etme ve verilere hukuka uygun olarak erişme yükümlülüklerini yerine getirmesinden KVK Kanunu’nun maddesi uyarınca sorumludur. Bu nedenle İzmir Özel Can Hastanesi, üçüncü kişilere veri aktarılırken yapılacak sözleşmeler ve her türlü düzenlemede bu şartların sağlanmasını ve kendisine denetim yapma yetkisi verilmesini içeren taahhütler almalıdır. Yine İzmir Özel Can Hastanesi tüm personelini kişisel verilerin üçüncü şahıslara aktarılması süreçlerinden doğan sorumluluklar yönünden özel olarak bilgilendirmelidir.
- Çalışanların niteliğinin geliştirilmesine yönelik, kişisel verilerin hukuka aykırı olarak işlenmenin önlenmesi, kişisel verilerin hukuka aykırı olarak erişilmesinin önlenmesi, kişisel verilerin muhafazasının sağlanması, iletişim teknikleri, teknik bilgi beceri ve ilgili diğer mevzuat hakkında eğitimler verilmektedir.
- Şirket tarafından yürütülen faaliyetlere ilişkin çalışanlara gizlilik sözleşmeleri imzalatılmaktadır. Güvenlik politika ve prosedürlerine uymayan çalışanlara yönelik uygulanacak disiplin prosedürü hazırlanmıştır.
- Kişisel veri işlemeye başlamadan önce Kurum tarafından, ilgili kişileri aydınlatma yükümlülüğü yerine getirilmektedir.
- Kişisel veri işleme envanteri hazırlanmıştır. Çalışanlarımızın kişisel verilerin hukuka uygun işlenmesi konusunda eğitilmesini ve bilgilendirilmesi sağlanmaktadır.
- İhtiyaç duyulmayan kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi sağlanmaktadır.
- Bilginin çalınmasını, kaybolmasını veya bozulmasını engellemek amacıyla tüm makul önlemlerin alınması sağlanmaktadır.
- Güvenlik politika ve prosedürlerine uymayan çalışanlara yönelik uygulanacak disiplin prosedürü uygulanmakta, ilgili kişileri aydınlatma yükümlülüğü yerine getirilmektedir.
- Şirket içi periyodik ve rastgele denetimler yapılmakta ve çalışanlara yönelik bilgi güvenliği eğitimleri verilmektedir.
9.3. Kişisel Verilerin Korunması Konusunda Alınan Tedbirlerin Denetimi
KVK Kanunu kapsamında İzmir Özel Can Hastanesi veri sorumlusu sıfatını haiz olacak olup VERBİS sistemine kayıt olacaktır.
Yönetmelik’in 11inci maddesinin 1inci fıkrasında “Türkiye’de yerleşik olan tüzel kişilerin Kanun kapsamındaki veri sorumlusu yükümlülükleri, ilgili mevzuat hükümlerine göre tüzel kişiliği temsil ve ilzama yetkili yetkili organ veya ilgili mevzuatta belirtilen kişi veya kişiler marifetiyle yerine getirilir. Tüzel kişiliği temsile yetkili organ Kanunun uygulanması bakımından yerine getirilecek yükümlülükler ile ilgili olarak bir veya birden fazla kişiye görevlendirebilir” şeklinde düzenleme yapılmıştır.
Yönetim kurulu tarafından TTK’nın ilgili maddeleri uyarınca sınırları belirlenmiş olarak şirketin yönetim ve temsili verilen kişiler TTK, BK ve TCK kapsamında kendi yetki sınırları dâhilinde gerçekleşen işlem ve eylemlerden sorumludur.
Özellikle kollukta, savcılıklarda, kamu kurumlarında ve mahkemelerde şirketi temsil etme ile ifade vermeye yetkili olarak seçilmişlerdir.
Her bir departmanın Direktörü, departmanlardaki İlgili Kullanıcı’ların Kanun ve Yönetmelik çerçevesinde hazırlanan işbu Politika ve İmha Politikası’na uygun davranıp davranmadığını denetlemek ve Yönetim Kurulu ile İcra Kurulu’na raporlamakla yükümlü olacaktır. Karar alınmasını gerektiren durumlarda Hukuk Müşavirliği’nin görüşü alındıktan Yönetim Kurulu’nun karar almasını müteakip alınan karar uygulamaya konulacaktır.
10. VERİ SORUMLUSUNUN AYDINLATMA YÜKÜMLÜLÜĞÜ
İzmir Özel Can Hastanesi, KVK Kanunu’nun 10. maddesine uygun olarak kişisel veri sahibinin haklarını kendisine bildirmekte, bu hakların nasıl kullanılacağı konusunda kişisel veri sahibine yol göstermektedir.
İzmir Özel Can Hastanesi, kişisel veri sahiplerinin haklarının değerlendirilmesi ve kişisel veri sahiplerine gereken bilgilendirmenin yapılması için KVK Kanunu’nun 13. maddesine uygun olarak gerekli kanalları, iç işleyişi, idari ve teknik düzenlemeleri yürütmektedir.
KVK Kanunu’nun 10. maddesi kapsamında, veri sahiplerinin, kişisel verilerin elde edilmesinden önce yahut en geç elde edilmesi sırasında aydınlatılması gerekmektedir. Söz konusu aydınlatma yükümlülüğü çerçevesinde veri sahiplerine iletilmesi gereken bilgiler şunlardır:
- Veri sorumlusunun ve varsa temsilcisinin kimliği,
- Kişisel verilerin hangi amaçla işleneceği,
- İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
- Kişisel veri toplamanın yöntemi ve hukuki sebebi,
- KVK Kanunu’nun 11. maddesinde sayılan diğer haklar.
İzmir Özel Can Hastanesi, aydınlatma yükümlülüğünü yerine getirmek amacıyla, süreç ve verileri işlenen kişiler bazında, yukarıda belirtilen KVK Kanunu hükmü kapsamında veri sahiplerine sunulmak üzere aydınlatma beyanları hazırlamıştır.
Aydınlatma beyanlarının veri sahiplerine sunulmasının ardından, İzmir Özel Can Hastanesi’nin faaliyetlerini yürütebilmesi için veri sahibinin açık rızasının alınmasını gerektiren veri işleme faaliyetleri ve veri kategorileri için de açık rıza beyanları hazırlanmıştır.
Öte yandan, KVK Kanunu’nun 28(1) maddesi çerçevesinde sayılan durumlarda İzmir Özel Can Hastanesi’nin aydınlatma yükümlülüğü bulunmamaktadır.
11. İZMİR ÖZEL CAN HASTANESİ’NİN BAŞVURULARA CEVAP VERMESİ
11.1. İzmir Özel Can Hastanesi’nin Başvurulara Cevap Verme Usulü ve Süresi
Kişisel veri sahibinin, bu bölümün 11.1.2. başlıklı kısmında yer alan usule uygun olarak talebini İzmir Özel Can Hastanesi’ne iletmesi durumunda İzmir Özel Can Hastanesi talebin niteliğine göre en geç otuz gün içinde ilgili talebi ücretsiz olarak sonuçlandıracaktır.
Ancak, KVK Kurulunca bir ücret öngörülmesi hâlinde, İzmir Özel Can Hastanesi tarafından başvuru sahibinden KVK Kurulunca belirlenen tarifedeki ücret alınacaktır.
11.2. İzmir Özel Can Hastanesi’nin Başvuruda Bulunan Kişisel Veri Sahibinden Talep Edebileceği Bilgiler
İzmir Özel Can Hastanesi, başvuruda bulunan kişinin kişisel veri sahibi olup olmadığını tespit etmek adına ilgili kişiden bilgi talep edebilir. Kişisel veri sahibinin başvurusunda yer alan hususları netleştirmek adına, kişisel veri sahibine başvurusu ile ilgili soru yöneltebilir.
11.3. İzmir Özel Can Hastanesi’nin Kişisel Veri Sahibinin Başvurusunu Reddetme Hakkı
İzmir Özel Can Hastanesi aşağıda yer alan hallerde başvuruda bulunan kişinin başvurusunu, gerekçesini açıklayarak reddedebilir:
- Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi.
- Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi.
- Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi.
- Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi.
- Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması.
- Kişisel veri sahibi tarafından kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi.
- Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması.
- Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması.
- Kişisel veri sahibinin talebinin diğer kişilerin hak ve özgürlüklerini engelleme ihtimali olması
- Orantısız çaba gerektiren taleplerde bulunulmuş olması
- Talep edilen bilginin kamuya açık bir bilgi olması.
12. REVİZYON VE YÜRÜRLÜKTEN KALDIRMA
İşbu Politika’nın revizyon edilmesi veya yürürlükten kaldırılması halinde Politika’nın revizyon edilmiş hali veya yeni politika örneği ilgili yerlerde ilan edilecektir.
13. YÜRÜRLÜK
İşbu Politika 28.01.2018 tarihinde yürürlüğe girer.
14. YÜRÜTME
İşbu Politika’nın yürütülmesinden veri sorumlusu ve veri sorumlusunun yükümlülüklerini yerine getirmekle yükümlü olan İzmir Özel Can Hastanesi’nin yönetim kurulunun KVK Kanunu ve Veri Koruma Kurulu düzenlemeleri kapsamındaki tüm iş ve işlemlerin takibinden ve koordinasyonundan sorumlu olmak üzere tüm departman Direktörleri sorumludur.