I. VERİ SAKLAMA VE İMHA TAAHHÜDÜ
İşbu Kişisel Veri Saklama ve İmha Politikası, Simetrik Sağlık Hizmetleri Ticaret Anonim Şirketi (Özel Tekirdağ Star Medica Hastanesi olarak anılacaktır.) nezdinde, 6698 Sayılı Kişisel Verilerin Korunması Kanunu’nun 7. Maddesi ile Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik hükümleri doğrultusunda Özel Tekirdağ Star Medica Hastanesi içerisinde ve/veya Özel Tekirdağ Star Medica Hastanesi tarafından uyulması gereken esasları belirleyecektir.
1. Özel Tekirdağ Star Medica Hastanesi; bünyesinde bulundurduğu, tamamen veya kısmen otomatik olan ya da herhangi bir kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin silinmesi, yok edilmesi veya anonimleştirilmesi sırasında işbu Politika’ya ve Politika’ya bağlı olarak uygulanacak araç, program ve süreçlere uygunluk sağlayacağını taahhüt eder.
2. Özel Tekirdağ Star Medica Hastanesi işbu politikanın, kişisel veri işlenen ve aşağıda belirtilen kayıt ortamları ile bu ortamlara ek olarak ortaya çıkabilecek tüm ortamlardaki kişisel verileri kapsamayı kabul eder.
a) Özel Tekirdağ Star Medica Hastanesi adına kullanılan bilgisayarlar/sunucular,
b) Ağ cihazları,
c) Ağ üzerinde veri saklanması için kullanılan paylaşımlı/paylaşımsız disk sürücüleri,
d) Bulut sistemleri,
e) Mobil telefonlar ve içerisindeki tüm saklama alanları,
f) Kâğıt,
g) Mikrofiş,
h) Yazıcı, Parmak izi okuyucu gibi çevre birimler,
i) Manyetik bantlar,
j) Optik diskler,
k) Flash hafızalar.
II. POLİTİKA’NIN KAPSAMI
1. İşbu Politika; Özel Tekirdağ Star Medica Hastanesi’nin kişisel verileri işlediği herhangi bir sürece dâhil olan tüm bölümlerini, çalışanlarını ve üçüncü kişileri kapsamaktadır.
2. İşbu Politika; Özel Tekirdağ Star Medica Hastanesi’nin kişisel veriler üzerinde uygulayacağı tüm silme, yok etme veya anonim hale getirme faaliyetlerini kapsayacaktır.
3. Konuyla alakalı yeni mevzuatın yürürlüğe girmesi veya ilgili mevzuatın güncellenmesi durumunda, Özel Tekirdağ Star Medica Hastanesiişbu politikayı mevzuata uyumlu olacak şekilde güncelleyecektir.
4. İşbu Politika’nın Özel Tekirdağ Star Medica Hastanesitarafından uygulanmasında hukuki bir engel olduğuna kanaat getirilmesi halinde ve gerekli görürse Özel Tekirdağ Star Medica Hastanesi tarafından yeniden belirlenecektir.
Tanımlar:
Alıcı Grubu: Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisini,
Açık Rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı,
Anonim Hale Getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesini,
Çalışan:Görev ve unvanına bakılmaksızın Özel Tekirdağ Star Medica Hastanesipersonelini,
Elektronik Ortam: Kişisel verilerin elektronik aygıtlar ile oluşturulabildiği, okunabildiği, değiştirilebildiği ve yazılabildiği ortamları,
Hastane: Özel Tekirdağ Star Medica Hastanesini,
Hizmet Sağlayıcı: Özel Tekirdağ Star Medica Hastanesiile belirli bir sözleşme çerçevesinde hizmet sağlayan gerçek veya tüzel kişiyi,
Kanun: 6698 sayılı Kişisel Verilerin Korunması Kanunu’nu,
Kişisel Veri İşleme Envanteri: Veri sorumlusunun iş süreçlerine bağlı olarak gerçekleştirmekte olduğu kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdığı envanteri,
Kişisel Verilerin İşlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, saklanması, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi,
Kurul: Kişisel Verileri Koruma Kurulunu,
Özel Nitelikli Kişisel Veri: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri,
Politika: Kişisel Verileri Saklama ve İmha Politikasını,
Veri İşleyen: Veri sorumlusunun verdiği yetkiye dayanarak veri sorumlusu adına kişisel verileri işleyen gerçek veya tüzel kişiyi,
Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasında ve yönetilmesinden sorumlu gerçek veya tüzel kişiyi,
Veri Sorumluları Sicil Bilgi Sistemi: Veri sorumlularının Sicile başvuruda ve Sicile ilişkin ilgili diğer işlemlerde kullanacakları, internet üzerinden erişilebilen, Kurul tarafından oluşturulan ve yönetilen bilişim sistemini,
VERBİS: Veri Sorumluları Sicil Bilgi Sistemini,
Yönetmelik: 28 Ekim 2017 tarihli Resmi Gazetede yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmeliği,
Kayıt ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortama verilen adı,
Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi,
İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesini,
Periyodik imha: Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla re’sen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemini,
Sicil: Başkanlık tarafından tutulan veri sorumluları sicilini,
Veri kayıt sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini,
İlgili kişi: Kişisel verisi işlenen gerçek kişiyi,
İlgili kullanıcı: Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen gerçek veya tüzel kişileri,
İfade eder.
III. SAKLAMA VE İMHAYA İLİŞKİN GENEL İLKELER
Hastane tarafından; çalışanlar, çalışan adayları, ziyaretçiler, hastalar veya hizmet sağlayıcısı olarak ilişkide bulunulan üçüncü kişilerin, kurumların veya kuruluşların çalışanlarına ait kişisel veriler Kanuna uygun olarak saklanır ve imha edilir.
Bu kapsamda saklama ve imhaya ilişkin ilkelere aşağıda sırasıyla yer verilmiştir.
1. Saklamaya İlişkin Genel İlkeler
Kanunun yedinci maddesinde Kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesine dair genel hükümlere yer verilmiş, Yönetmelik ile de bu konunun ayrıntıları düzenlenmiştir.
Kanun ve Yönetmeliğe uygun olarak, Hastane faaliyetleri çerçevesinde işlenen kişisel veriler, ilgili mevzuatta öngörülen veya işleme amaçlarına uygun süre kadar saklanacaktır.
a) Saklamayı Gerektiren Hukuki Sebepler
Hastane tarafından işlenen kişisel veriler, ilgili mevzuatta öngörülen süre kadar muhafaza edilir.
Bu kapsamda kişisel veriler;
- 6698 sayılı Kişisel Verilerin Korunması Kanunu,
- 6098 sayılı Türk Borçlar Kanunu,
- 4734 sayılı Kamu İhale Kanunu,
- 657 sayılı Devlet Memurları Kanunu,
- 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu,
- 5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun,
- 6331 sayılı İş Sağlığı ve Güvenliği Kanunu,
- 4982 Sayılı Bilgi Edinme Kanunu,
- 3071 sayılı Dilekçe Hakkının Kullanılmasına Dair Kanun,
- 4857 sayılı İş Kanunu,
- 2547 sayılı Yükseköğretim Kanunu,
- 5434 sayılı Emekli Sağlığı Kanunu,
- 2828 sayılı Sosyal Hizmetler Kanunu,
- Özel Hastaneler Yönetmeliği,
- İşyeri Bina ve Eklentilerinde Alınacak Sağlık ve Güvenlik Önlemlerine İlişkin Yönetmelik,
- Arşiv Hizmetleri Hakkında Yönetmelik,
hükümleri ile bu mevzuat uyarınca yürürlükte olan diğer ikincil düzenlemeler çerçevesinde öngörülen saklama süreleri kadar saklanmaktadır.
b) Saklamayı Gerektiren İşleme Amaçları
Hastane, faaliyetleri çerçevesinde işlemekte olduğu kişisel verileri;
- İnsan kaynakları süreçlerini yürütmek,
- Kurumsal iletişimi sağlamak,
- Kurum güvenliğini sağlamak,
- Hasta muayene ve tedavilerinde kullanılmak üzere kişisel bilgi havuzu oluşturmak,
- İstatistiksel çalışmalar yapabilmek,
- İmzalanan sözleşmeler ve protokoller neticesinde iş ve işlemleri ifa edebilmek,
- VERBİS kapsamında, çalışanlar, veri sorumluları, irtibat kişileri, veri sorumlusu temsilcileri ve veri işleyenlerin tercih ve ihtiyaçlarını tespit etmek, verilen hizmetleri buna göre düzenlemek ve gerekmesi halinde güncellemek,
- Yasal düzenlemelerin gerektirdiği veya zorunlu kıldığı şekilde, hukuki yükümlülüklerin yerine getirilmesini sağlamak,
- Kurum ile iş ilişkisinde bulunan gerçek / tüzel kişilerle irtibat sağlamak,
- Yasal raporlamalar yapmak,
- Çağrı merkezi süreçlerini yönetmek,
- İleride doğabilecek hukuki uyuşmazlıklarda delil olarak ispat yükümlülüğünü yerine getirmek,
amacıyla saklamaktadır.
2. Kişisel Veri İşleme Şartlarını Ortadan Kaldıran Haller
Kişisel verilerin işlenmesi ile ilgili hüküm ve esaslar Hastanenin Kişisel Verilerin Korunması ve İşlenmesi Politikası içerisinde belirtilmiş olup, tüm Hastane personeli bu politika gereklerinden sorumludur.
Aşağıda belirtilen kapsamda bir ihlal olması halinde Hastane tarafından gerekli tedbirler alınacaktır:
a. Kanun’a Aykırılık
Hastane, kişisel verileri Kanun ve ilgili mevzuatın belirtildiği şekle uygun olarak işlediğini taahhüt eder.
b. Veri İşlenme Şartlarının Ortadan Kalkması
Hastane, veri işlenme şartlarının güncelliğinden sorumludur ve bu sorumluluğunu tüm çalışanları ile paylaşır.
Çalışanlar, veri işleme şartlarının ortadan kalktığı durumlarda veri işlemeye devam edemez. Hastane, şartların ortadan kalktığı verileri işbu Politika’ya uygun bir şekilde ortadan kaldırmakla yükümlüdür.
Hastane aşağıda listelenen ve Yönetmelik içinde de belirtilen durumlarda veri işlenme şartlarının ortadan kalktığını kabul eder:
a. Kişisel verileri işlemeye esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası,
b. Taraflar arasındaki sözleşmenin hiç kurulmamış olması, sözleşmenin geçerli olmaması, sözleşmenin kendiliğinden sona ermesi, sözleşmenin feshi veya sözleşmeden dönülmesi,
c. Kişisel verilerin işlenmesini gerektiren amacın ortadan kalkması,
d. Kişisel verileri işlemenin hukuka veya dürüstlük kuralına aykırı olması
e. Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin açık rızasını geri alması,
f.İlgili kişinin, Kanunun 11 inci maddesinin (e) ve (f) bentlerindeki hakları çerçevesinde kişisel verilerinin silinmesi ve yok edilmesine ilişkin yaptığı başvurunun veri sorumlusu tarafından kabul edilmesi,
g. Veri sorumlusunun, ilgili kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabın yetersiz bulunması veya Kanunda öngörülen süre içinde cevap vermemesi hallerinde; Kurula şikâyette bulunulması ve bu talebin Kurul tarafından uygun bulunması,
h. Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olmasına rağmen, kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması.
IV. KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VE ANONİMLEŞTİRİLMESİ
Kişisel verilerin imhası; verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi şeklinde üç farklı şekilde sağlanabilir. İmha işlemindeki amaç, kalan veriler ile gerçek kişiye ulaşabilmenin mümkün olmamasının sağlanmasıdır.
İşbu Politika’nın, IV bölümünde kişisel verilerin silinmesi, yok edilmesi ve anonimleştirilmesi yöntemleri sıralanacak olup, V bölümünde imha ile ilgili bilgilendirme yer alacaktır.
1. Kişisel Verilerin Silinmesi
1.1. Kişisel Verilerin Silinmesi Süreci
Kişisel verilerin silinmesi, Hastane tarafından işlenen kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi şeklinde olacaktır.
Hastane, silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması için gerekli her türlü teknik ve idari tedbirleri almayı taahhüt etmektedir.
Silme sırasında, silinmemesi gereken kişisel veriler de yapılan silmeden etkileniyorsa ve erişilemeyecek ve/veya kullanılamayacak hale geliyorsa Hastanenin, KVKK Sorumlusu, Hastane Avukatı ve İnsan Kaynakları Departmanı ile birlikte karar alarak uygulayabileceği aşağıdaki yöntemlerin bir arada sağlanması da silme olarak değerlendirilecektir.
a) Sunucularda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler için sistem yöneticisi tarafından ilgili kullanıcıların erişim yetkisi kaldırılarak silme işlemi yapılır. Elektronik ortamda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, veritabanı yöneticisi hariç diğer çalışanlar (ilgili kullanıcılar) için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir.
b) Elektronik ortamda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, veritabanı yöneticisi hariç diğer çalışanlar (ilgili kullanıcılar) için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir.
c) Fiziksel ortamda tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler için evrak arşivinden sorumlu birim yöneticisi hariç diğer çalışanlar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. Ayrıca, üzeri okunamayacak şekilde çizilerek/boyanarak/silinerek karartma işlemi de uygulanır.
d) Flash tabanlı saklama ortamlarında tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler, sistem yöneticisi tarafından şifrelenerek ve erişim yetkisi sadece sistem yöneticisine verilerek şifreleme anahtarlarıyla güvenli ortamlarda saklanır.
1.2. Kişisel Verilerin Silinme Yöntemleri
Kişisel veriler çeşitli kayıt ortamlarında saklanabildiklerinden kayıt ortamlarına uygun yöntemlerle silinmeleri gerekir.
1.2.1. Bulut Sisteminde Yer Alan Kişisel Veriler
Office 365, bordro programları gibi sistemlerde yer alan veriler silinirken kullanıcıların verileri geri getirme yetkisinin olmadığına dikkat edilmelidir.
1.2.2. Matbu Evrakta Yer Alan Kişisel Veriler
Matbu evrakta bulunan kişisel veriler karartma yöntemi ile silinmelidir. Karartma işlemi, ilgili evrak üzerindeki kişisel verilerin, mümkün olan durumlarda kesilmesi, mümkün olmayan durumlarda ise geri döndürülemeyecek ve teknolojik çözümlerle okunamayacak şekilde sabit mürekkep kullanılarak ilgili kullanıcılara görünmez hale getirilmesi şeklinde yapılır.
1.2.3. Merkezi Sunucuda Yer Alan Ofis Dosyaları
Dosyanın işletim sistemindeki silme komutu ile silinmesi veya dosya ya da dosyanın bulunduğu dizin üzerinde ilgili kullanıcının erişim haklarının kaldırılması suretiyle gerçekleştirilmesi gerekir. Anılan işlem gerçekleştirilirken ilgili kullanıcının aynı zamanda sistem yöneticisi olmadığına dikkat edilmelidir.
1.2.4. Taşınabilir Disk Üzerinde Bulunan Kişisel Veriler
Taşınabilir disk üzerinde bulunan kişisel veriler, şifreli olarak saklanmalı ve disk özelliğine uygun yazılımlar kullanılarak silinmelidir.
1.2.5. Veri Tabanları Üzerinde Bulunan Kişisel Veriler
Kişisel verilerin bulunduğu ilgili satırların veri tabanı komutları ile (DELETE vb.) silinmesi gerekir. Anılan işlem gerçekleştirilirken ilgili kullanıcının aynı zamanda sistem yöneticisi olmadığına dikkat edilmelidir.