KVKK Politikası
ADA AĞIZ VE DİŞ SAĞLIĞI POLİKLİNİĞİ TİC. LTD. ŞTİ
KVKK POLİTİKASI
1. AMAÇ VE KAPSAM
- Politikanın Amacı
ADA AĞIZ VE DİŞ SAĞLIĞI POLİKLİNİĞİ TİC. LTD. ŞTİ” nin faaliyetlerini sürdürürken elde ettikleri kamuya açık olmayan kişisel/özel nitelikli kişisel verilerin gizliliğini muhafaza etmeyi, bu verileri işlerken yürürlükte bulunan mevzuata uyumlu olmayı taahhüt etmektedir. Bu taahhüdünü gerekli yönetişim modelini kurma, denetim yapma/yaptırma, süreç yönetimi ile risk analizi çalışmalarını hayata geçirme ve kılavuz görevi gören yönergeleri yürürlüğe alma yoluyla yerine getirmektedir. “ADA AĞIZ VE DİŞ SAĞLIĞI POLİKLİNİĞİ TİC. LTD. ŞTİ Kişisel Veri Koruma Politikası” (bundan böyle “Politika”) 6698 sayılı Kişisel Verilerin Korunması Kanunu ve sair mevzuat çerçevesinde, Kişisel Veri Korunma Politikası’nı da dikkate ve kılavuz alarak, kişisel/özel nitelikli kişisel veri işlerken sorumluluklarını ve mevzuatla uyumlu kılavuz ilkelerini kapsamaktadır.
- Politikanın Kapsamı
Bu Politika; ADA AĞIZ VE DİŞ SAĞLIĞI POLİKLİNİĞİ TİC. LTD. ŞTİ . personelini, ziyaretçilerini, hizmet verdiği üçüncü kişileri, oursource (taşeron) hizmet aldığı gerçek/tüzel kişiler ile tedarikçilerini kapsamaktadır.
2. MEVZUAT
6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) ile, Kanunla verilen görevleri yerine getirmek üzere, idari ve mali özerkliğe sahip ve kamu tüzel kişiliğini haiz Kişisel Verileri Koruma Kurumu (“Kurum”) kurulmuştur. Kurum; Kurul ve Başkanlık’tan oluşur. Kurum’un karar organı Kişisel Verileri Koruma Kurulu (“Kurul”)’dur. Kanun’un amacı; kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir. “Tüzel Kişi”lere ait veriler Kanun’un kapsamında değildir.
Aşağıdaki liste zaman içinde değişiklik gösterebilir. Kanun başta olmak üzere bağlı Yönetmelik, Tebliğ, Kararın güncel olarak https://www.kvkk.gov.tr/ internet sitesinden “Mevzuat” sekmesinden takip edilmelidir.
Anayasa - Türkiye Cumhuriyeti Anayasası Madde 20. - (Ek fıkra: 12/9/2010-5982/2 md.),
Kanun - 6698 sayılı Kişisel Verilerin Korunması Kanunu (RG Sayı: 29677),
Yönetmelik - Veri Sorumluları Sicili Hakkında Yönetmelik (RG Sayı: 30286),
Kişisel Sağlık Verilerinin İşlenmesi ve Mahremiyetinin Sağlanması Hakkında Yönetmelikte Değişiklik Yapılmasına Dair Yönetmelik (RG Sayı: 30250),
Kişisel Sağlık Verilerinin İşlenmesi ve Mahremiyetinin Sağlanması Hakkında Yönetmelik (RG Sayı : 29863)
Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale getirilmesi Hakkında Yönetmelik (RG Sayı: 30224)
Tebliğ -Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ (RG Sayı: 30356),
- Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uygulanacak Usul ve Esaslar Hakkında Tebliğ (RG Sayı: 30356),
Karar - Veri sorumlusu nezdindeki kişisel verilere erişim yetkisi bulunan personelin yetkisi ve amacı dışında söz konusu verileri işlemesi hususunun değerlendirilmesi ile ilgili Kişisel Verileri Koruma Kurulunun 31/05/2018 Tarihli ve 2018/63 Sayılı Kararı,
- Veri Sorumluları Siciline Kayıt Yükümlülüğünde İstisna Tutulacak Veri Sorumluları ile ilgili Kişisel Verileri Koruma Kurulunun 02/04/2018 Tarihli ve 2018/32 Sayılı Kararı,
- Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler ile ilgili Kişisel Verileri Koruma Kurulunun 31/01/2018 Tarihli ve 2018/10 Sayılı Kararı, - Rehberlik Hizmeti Veren İnternet Sitelerinde/Uygulamalarda Kişisel Verilerin Korunmasına Yönelik Kişisel Verileri Koruma Kurulunun 21/12/2017 Tarihli ve 2017/61 Sayılı Kararı,
Sair Mevzuat
Türk Diş Hekimleri Birliği Kanunu
Ağız ve Diş Sağlığı Hizmeti Sunulan Özel Sağlık Kuruluşları Hakkında Yönetmelik
5237 sayılı Türk Ceza Kanunu (Madde 135 ila 140),
213 Sayılı Vergi Usul Kanunu
Ticari İletişim ve Ticari Elektronik İletiler Hakkında Yönetmelik (RG Sayı: 29417)
İşyeri Açma ve Çalışma Ruhsatlarına İlişkin Yönetmelik (RG Sayı: 25902)
Devlet Arşiv Hizmetleri Hakkında Yönetmelik (RG Sayı: 30922)
3. TANIMLAR
Açık Rıza Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.
Alıcı Grubu Veri Sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisi.
Anonim Hale Getirme Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi.
Aydınlatma Yükümlülüğü Veri Sorumlusu’nun, KVKK Madde 10 çerçevesinde kişisel verilerin elde edilmesi sırasında bizzat veya yetkilendirdiği kişi aracılığıyla bilgileri ilgili kişiye sağlamakla yükümlü olduğu hususlar.
İlgili Kişi Kişisel verisi işlenen gerçek kişi.
Kanun 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK).
Kişisel Veri Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.
Özel Nitelikli Kişisel Veri - ırk, - etnik köken, - siyasi düşünce, - felsefi inanç, - din, mezhep veya diğer inançlar, - kılık ve kıyafet, - dernek, vakıf ya da sendika üyeliği, - sağlık, - cinsel hayat, - ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili veriler, - biyometrik veri, - genetik veri,
Kişisel Verilerin İşlenmesi Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.
Kişisel Veri İşleme Envanteri Veri Sorumlusu’nun iş süreçlerine bağlı olarak gerçekleştirmekte olduğu kişisel verileri işleme faaliyetlerinin, kişisel veri işleme amaçlarının, veri kategorisinin, aktarılan alıcı grubunun ve veri konusu kişi grubuyla ilişkilendirerek oluşturulan ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami sürenin, yabancı ülkelere aktarımı öngörülen kişisel verilerin ve veri güvenliğine ilişkin alınan tedbirlerin açıklanarak detaylandırıldığı envanter.
Kişisel Veri Saklama ve İmha Politikası Veri Sorumlularının, kişisel verilerin işlendikleri amaç için gerekli olan azami süreyi belirleme işlemi ile silme, yok etme ve anonim hale getirme işlemi için dayanak yaptıkları politika.
Kişisel Verilerin Silinmesi Kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez veya tekrar kullanılamaz hale getirilmesi işlemi.
Kişisel Verilerin Yok Edilmesi Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemi.
Kurul Kişisel Verileri Koruma Kurulu
Kurum Kişisel Verileri Koruma Kurumu
Periyodik İmha Kanun’da yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi.
VERBİS Veri Sorumluları Sicili Bilgi Sistemi
Veri İşleyen Veri Sorumlusu’nun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi.
Veri Sorumlusu Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi.
İrtibat Kişisi veri sorumlusu ile ilgili kişi veya Kişisel Verileri Koruma Kurumu arasındaki iletişimin sağlanmasından sorumlu kişidir.
Uzman Personel ADA AĞIZ VE DİŞ SAĞLIĞI POLİKLİNİĞİ TİC. LTD. ŞTİ her departmanından “KVKK Uzmanlık Eğitimi” almış ve şirketin KVKK uyum sürecini yönetmede “İrtibat Kişisine” destek olacak personeller.
Veri Sorumluları Sicili Kişisel Verileri Koruma Kurumu tarafından tutulan veri sorumluları sicili.
İş İstasyonu: Şirket bünyesinde çalışan personellerin, işlerini ifa ettikleri fiziki bölge veya alan
4. KİŞİSEL VERİLERİN İŞLENMESİNDE GENEL İLKELER
Kişisel veriler, ancak Kanun’da ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir. Kişisel verilerin işlenmesinde aşağıdaki ilkelere uyulması zorunludur:
- Hukuka ve dürüstlük kurallarına uygun olma,
- Doğru ve gerektiğinde güncel olma,
- Belirli, açık ve meşru amaçlar için işlenme,
- İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma,
- İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme
5. KİŞİSEL VE ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENME ŞARTLARI
“Kişisel Veriler” ilgili kişinin açık rızası olmadan işlenemez. İlgili Kişi’nin açık rızası olmadan kişisel verilerin işlenebilme istisnaları KVKK Madde 5/2’de detaylandırılmıştır. Açık rıza hakkında kapsamlı bilgi “Açık Rıza” rehberinde detaylandırılmıştır. “Özel Nitelikli Kişisel Veriler”in ilgili kişinin açık rızası olmaksızın işlenmesi yasaktır. İlgili Kişi’nin açık rızası olmadan kişisel verilerin işlenebilme istisnaları KVKK Madde 6/3’te detaylandırılmıştır. Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır. Söz konusu esaslar “Özel Nitelikli Kişisel Verilerin İşlenme Şartları” Rehberi ve “Özel Nitelikli Kişisel verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler” Kurul kararında detaylandırılmıştır.
İlgili kişilere ticari elektronik ileti gönderim esasları için “Ticari İletişim ve Ticari Elektronik İletiler Hakkında Yönetmelik” esasları dikkate alınır. Kurumumuzdan iletilecek ticari elektronik iletilerde ilgili kişi haklarını ihlal etmemek için ileti öncesinde gerekli kontrollerin tanımlanmış yönetişim çerçevesinde yapılabilmesini sağlayan Ticari Elektronik İleti Portalı’na (Sms Kontrol Portalı) uygun altyapının kullanılması zorunludur.
ADA AĞIZ VE DİŞ SAĞLIĞI POLİKLİNİĞİ TİC. LTD. ŞTİ den(Veri Sorumlusu) veri işlemek amacıyla gerçek/tüzel üçüncü kişilere (Veri İşleyen) veri aktarımı söz konusu ise, veri aktarımı öncesinde ADA AĞIZ VE DİŞ SAĞLIĞI POLİKLİNİĞİ TİC. LTD. ŞTİ nin Başvuru Formunun 3. kişilere doldurtulması ve değerlendirme için Bilgi İşlem Müdürlüğü departmanına iletilmesi gerekmektedir.
6. KİŞİSEL VERİLERİN İŞLENME AMAÇLARI
ADA AĞIZ VE DİŞ SAĞLIĞI POLİKLİNİĞİ TİC. LTD. ŞTİ aşağıda yer alan konular dahilinde veri işleme işlemleri gerçekleştirmektedir.
Kanunlarda açıkça ön görülmesi
Bilgi Güvenliği Süreçlerinin Yürütülmesi
Personel İçin İş Akdi ve Mevzuattan Kaynaklı Yükümlülüklerin Yerine Getirilmesi
Personel İçin Yan Haklar ve Menfaatleri Süreçlerinin Yürütülmesi
Denetim / Etik Faaliyetlerinin Yürütülmesi
Eğitim Faaliyetlerinin Yürütülmesi
Erişim Yetkilerinin Yürütülmesi
Faaliyetlerin Mevzuata Uygun Yürütülmesi
Finans ve Muhasebe İşlerinin Yürütülmesi
Fiziksel Mekân Güvenliğinin Temini
Görevlendirme Süreçlerinin Yürütülmesi
Hukuk İşlerinin Takibi ve Yürütülmesi
İç Denetim/ Soruşturma / İstihbarat Faaliyetlerinin Yürütülmesi
İletişim Faaliyetlerinin Yürütülmesi
İş Faaliyetlerinin Yürütülmesi / Denetimi
İş Sağlığı / Güvenliği Faaliyetlerinin Yürütülmesi
İş Süreçlerinin İyileştirilmesine Yönelik Önerilerin Alınması Ve Değerlendirilmesi
İş Sürekliliğinin Sağlanması Faaliyetlerinin Yürütülmesi
Hizmet Süreçlerinin Yürütülmesi
Saklama ve Arşiv Faaliyetlerinin Yürütülmesi
Sözleşme Süreçlerinin Yürütülmesi
Talep / Şikayetlerin Takibi
Veri Sorumlusu Operasyonlarının Güvenliğinin Temini
Yetkili Kişi, Kurum ve Kuruluşlara Bilgi Verilmesi
Yönetim Faaliyetlerinin Yürütülmesi
7. KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ, ANONİM HALE GETİRİLMESİ
Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, verilerin işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel veriler resen veya ilgili kişinin talebi üzerine Veri Sorumlusu tarafından silinir, yok edilir veya anonim hale getirilir. Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin diğer kanunlarda yer alan hükümler saklıdır. İlgili kişiye ait kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesiyle ilgili taleplere www.adadental.net e-posta adresleri üzerinden yapılır.
Periyodik imha süreci kurumumuz içindeki veri güvenlik sistemleri tarafından belirlenmiş yönetişim onay akışına uyumlu olarak gerçekleştirilir. Bu konuda ilgili kişi ile iletişim Arşiv Müdürlüğü tarafından yapılır. Silme, yok etme veya anonim hale getirme esasları “Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik” çerçevesinde gerçekleştirilir. Bu sürecin hayata geçirilmesi için “Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Rehberi”ndeki esaslar uygulanır.
8. KİŞİSEL VERİLERİN YURT İÇİ VE YURT DIŞINA AKTARILMASI
“Kişisel Veriler” ilgili kişinin açık rızası olmaksızın (yurt içine) aktarılamaz. İlgili Kişi’nin açık rızası olmadan kişisel verilerin aktarılması istisnaları KVKK Madde 8/2’de detaylandırılmıştır. Kişisel verilerin aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklıdır. “Kişisel Veriler” ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamaz. İlgili Kişi’nin açık rızası olmadan kişisel verilerin aktarılması istisnaları KVKK Madde 9/2 ila 9/5’te detaylandırılmıştır. Kişisel verilerin yurt dışına aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklıdır. Yurt içine veya yurt dışına veri aktarımının söz konusu olduğu durumlarda Bilgi İşlem Müdürlüğü ile; Kanun’da tanımlanmış yeterli tedbirlerin aktarım öncesinde gözden geçirilmesi ve teknolojik konular hakkında görüş almak için Kişisel Verileri Koruma Kurumu (KVKK) ile irtibata geçiniz. Verilerin yurt içine aktarımında Kurum’un “Yurt içi Aktarım” esasları uygulanır. Kişisel verilerin yurt dışına aktarımında “Kişisel Verilerin Yurt Dışına Aktarımı Kılavuzu”nda belirtilen esaslar uygulanır.
Kişisel verilerinizin aktarılmasındaki amaç sayılanlarla sınırlı olmaksızın aşağıda belirtilmiştir;
- ADA AĞIZ VE DİŞ SAĞLIĞI POLİKLİNİĞİ TİC. LTD. ŞTİ tarafından gerekli hizmetleri sunabilmek, hizmete ilişkin gerekli bilgilendirmeleri yapabilmek,
- ADA AĞIZ VE DİŞ SAĞLIĞI POLİKLİNİĞİ TİC. LTD. ŞTİ tarafından sunulabilecek diğer hizmetlerden tarafınızı faydalandırmak için gerekli çalışmaları yapabilmek,
- ADA AĞIZ VE DİŞ SAĞLIĞI POLİKLİNİĞİ TİC. LTD. ŞTİ tarafından ilgili mevzuat ve kamu otoritelerince öngörülen faaliyetleri yerine getirebilmek,
- ADA AĞIZ VE DİŞ SAĞLIĞI POLİKLİNİĞİ TİC. LTD. ŞTİ ile hizmet ilişkisi içerisinde olan tüm gerçek kişilerin hukuki ve ticari güvenliğini temin edebilmek,
- ADA AĞIZ VE DİŞ SAĞLIĞI POLİKLİNİĞİ TİC. LTD. ŞTİ politikalarını belirleyebilmek ve uygulayabilmek,
- ADA AĞIZ VE DİŞ SAĞLIĞI POLİKLİNİĞİ TİC. LTD. ŞTİ kanunlara bağlı yükümlülüklerin yerine getirilmesini sağlamak
- ADA AĞIZ VE DİŞ SAĞLIĞI POLİKLİNİĞİ TİC. LTD. ŞTİ insan kaynakları politikalarını yürütebilmek.
- KURUMSAL VERİ SINIFLANDIRMA KATEGORİLERİ
KVKK’dan bağımsız olarak, ADA AĞIZ VE DİŞ SAĞLIĞI POLİKLİNİĞİ TİC. LTD. ŞTİ.’nin iç çalışma prosedürleri çerçevesinde kurumsal verilerin kategorileridir.
- Çok Gizli Bilgi: İzinsiz olarak ifşa edilmesi, değiştirilmesi, ya da imha edilmesi ADA AĞIZ VE DİŞ SAĞLIĞI POLİKLİNİĞİ TİC. LTD. ŞTİ ve/veya iştiraklerine çok yüksek seviyede risk oluşturacak verilerdir. Örnek; Gizlilik Sözleşmeleri, kurum yetkilisi ile üçüncü taraflarla yapılan anlaşmalar vb.
- Gizli Bilgi: İzinsiz olarak ifşa edilmesi, değiştirilmesi, ya da imha edilmesi ADA AĞIZ VE DİŞ SAĞLIĞI POLİKLİNİĞİ TİC. LTD. ŞTİ ve/veya iştiraklerine yüksek seviyede risk oluşturacak verilerdir. Ön kabul olarak, “Çok Gizli”, “İç Kullanıma Açık”, veya “Herkese Açık” olarak açıkça sınıflandırılmamış tüm kurumsal veriler “Gizli Bilgi” olarak kabul edilmelidir.
- İç Dolaşıma Yönelik Açık Bilgi: İzinsiz olarak ifşa edilmesi, değiştirilmesi, ya da imha edilmesi ADA AĞIZ VE DİŞ SAĞLIĞI POLİKLİNİĞİ TİC. LTD. ŞTİ ve/veya iştiraklerine/paydaşlarına orta seviyede risk oluşturacak verilerdir.
- Herkese Açık Bilgi: İzinsiz olarak ifşa edilmesi, değiştirilmesi, ya da imha ADA AĞIZ VE DİŞ SAĞLIĞI POLİKLİNİĞİ TİC. LTD. ŞTİ ve/veya iştiraklerine/paydaşlarına düşük seviyede risk veya hiç risk oluşturmayacak verilerdir. Örnek; basın duyuruları, internet sayfasında bulunan bilgiler vb.
Herkese açık verilerin korunması için sınırlı ya da hiç kontrol gereksinimi olmamasına rağmen verinin izinsiz olarak değiştirilmesini ve imhasını önlemek için kısmi kontrol gereklidir.
10. GÖREV VE SORUMLULUKLAR
Genel anlamda kişisel verilerin kurumsal faaliyetleri için toplanmasından veya işlenmesinden, bu politika ile tutarlı yönergelerin tesis edilmesinin sağlanmasından, mevzuat ve sözleşme sorumluluklarının yerine getirilmesinden nihai olarak ADA AĞIZ VE DİŞ SAĞLIĞI POLİKLİNİĞİ TİC. LTD. ŞTİ. yetkilisi sorumludur.
ADA AĞIZ VE DİŞ SAĞLIĞI POLİKLİNİĞİ TİC. LTD. ŞTİ Yetkilisinin Görev ve Sorumlulukları: (Kişisel bilgilerin hangilerinin, hangi nedenle ve nasıl toplanacağına ve işleneceğine karar veren yönetici) “İlk Denetim Basamağı” olup yürürlükteki ilgili yasal düzenlemeleri incelemek ve ADA AĞIZ VE DİŞ SAĞLIĞI POLİKLİNİĞİ TİC. LTD. ŞTİ nin kişisel verileri toplama, işleme, aktarma ve muhafaza etme sürecinin bu yasal düzenlemelere ve bu politikaya uygun olmasını sağlamakla yükümlüdür.
ADA AĞIZ VE DİŞ SAĞLIĞI POLİKLİNİĞİ TİC. LTD. ŞTİ yetkilisi personelin bu politikaya ve yerel mevzuat yükümlülüklerine uyum sağlama konusunda destek olmaktadır. Yetkili ayrıca, bu politikanın kapsadığı hususlar hakkındaki farkındalığın yayılması konusunda gerekli desteğini sağlamalıdır.
İrtibat Kişisi Görev ve Sorumlulukları: ADA AĞIZ VE DİŞ SAĞLIĞI POLİKLİNİĞİ TİC. LTD. ŞTİ yetkilisi bu politikaya ve yerel yükümlülüklere uyumunu sağlamak konusunda destekleyecek yetki, kaynak ve becerilere sahip bir İrtibat Kişisi atamıştır. İrtibat Kişisi, ADA AĞIZ VE DİŞ SAĞLIĞI POLİKLİNİĞİ TİC. LTD. ŞTİ nin “kişisel” veri koruma ile ilgili bütün konularda ilk irtibat yetkilisidir.
11. AYDINLATMA YÜKÜMLÜLÜĞÜ
Aydınlatma, “Veri Sorumlusu”nun yükümlülüğüdür. Kişisel verilerin elde edilmesi sırasında Veri Sorumlusu veya yetkilendirdiği gerçek/tüzel kişi ilgili kişilere:
- Veri Sorumlusu’nun ve varsa temsilcisinin kimliği,
b. Kişisel verilerin hangi amaçla işleneceği,
c. İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
d. Kişisel veri toplamanın yöntemi ve hukuki sebebi,
e. İlgili kişinin hakları konusunda bilgi vermekle yükümlüdür.
Yükümlülüğün yerine getirilmesinde uygulanacak esaslar “Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliği”de detaylandırılmıştır. www.adadental.net kurumsal internet sayfalarımızda bulunan “AYDINLATMA BİLDİRİMİ” metinlerimiz bu konuda kurum politikamızı net olarak yansıtmaktadır.
ADA AĞIZ VE DİŞ SAĞLIĞI POLİKLİNİĞİ TİC. LTD. ŞTİ nin faaliyet gösterdiği mekanlarda, “Güvenlik Politikası” gereği, kapalı devre kamera kaydı (CCTV) yapılmakta olup bu kayıtlar “ses+görüntü” veya sadece “görüntü” şeklinde olabilmektedir. Söz konusu kişisel veriler (ses ve/veya görüntü) 30 gün süreyle saklanmakta ve müteakiben silinmektedir. Bu sebeple ilgili kişilere yönelik konuyla ilgili “Aydınlatma Bildirimi” herkes tarafından görülebilecek şekilde duvara asılmak ve web sitesinde yayınlamak suretiyle yapılmaktadır.
12. İLGİLİ KİŞİNİN HAKLARI
KVKK’nın 11. maddesi uyarıca sahip olduğunuz haklar aşağıdaki gibidir;
- Kişisel veri işlenip işlenmediğini öğrenme,
· Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
· Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
· Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
· Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini ve bu kapsamda yapılan işlemlerin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
· KVKK ve ilgili diğer kanun hükümlerinde öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemlerin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
· İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
· Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme.
KVKK’nın 11. maddesi uyarıca sahip olduğunuz haklarınızı kullanmak istemeniz halinde, başvurularınızı yazılı olarak, kimliğinizi tespit edici belgeler ile elden teslim edebilir ya da noter kanalıyla ya da iadeli taahhütlü mektupla gönderebilir yada web sitemizdeki ilgili kişi başvuru formunu doldurarak ıslak imzalı şekilde ADA AĞIZ VE DİŞ SAĞLIĞI POLİKLİNİĞİ TİC. LTD. ŞTİ .nin Ege Mahallesi,Turgut Özal Bulvarı, No:66/2 Cadde ResidenceA2 Blok Kat:3 Daire:8-9 Kuşadası Aydın adresinden gönderebilirsiniz
Başvurunuzda yer alan talepleriniz, talebin niteliğine göre en kısa sürede ve en geç 30 (otuz) gün içinde ücretsiz olarak sonuçlandırılacaktır ve sonuç yazılı olarak ya da elektronik ortamda tarafınıza bildirilecektir.
13. VERİ GÜVENLİĞİNE İLİŞKİN ESASLAR
Veri Sorumlusu, kişisel verilerin hukuka aykırı olarak işlenmesini ve erişilmesini önlemek ile muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır. Söz konusu tedbirler “Kişisel Veri Güvenliği Rehberi (Teknik ve İdari Tedbirler)”nde detaylandırılmıştır. “Teknik” ve “İdari” tedbirlerin içerikleri Rehber’de belirtilmektedir.
Veri Sorumlusu, kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi halinde kişisel verilerin hukuka aykırı olarak işlenmesini ve erişilmesini önlemek ile muhafazasını sağlamak amacıyla tedbirlerin alınması hususunda gerçek veya tüzel kişilerle müştereken sorumludur. Veri Sorumlusu sıfatıyla bu müşterek sorumluluk gereği Veri İşleyen ile “Kişisel Verilerin Aktarılmasına Aktarım Sözleşmesi”ni imzalanması zorunludur. Anlaşmalı alt yükleniciler, paydaşlar, outsource hizmet alınan firmalar vb bu kapsama girmektedir.
İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde, Veri Sorumlusu bu durumu en kısa sürede “ilgili kişi”ye ve kurula bildirir. Kurul, gerekmesi halinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntem ile ilan edebilir. Kişisel verilerin güvenlik ihlali nedeniyle ifşa olması durumunda konu tespit edildiği andan itibaren azami 72 saat içinde şirket yetkilisi veya İrtibat Kişisi’ne bilgi verilmesi zorunludur.
İhlallere İlişkin Raporlama: “Veri Koruma İhlali”; kişisel verilerin kaza sonucu veya yasaya aykırı olarak tahrip olmasına, kaybına, değiştirilmesine veya yetkisiz olarak ifşasına veya iletilen, saklanan veya işlenen Kişisel Verilere erişilmesine yol açan bir güvenlik ihlalidir. “Gizlilik İhlali”; genellikle, Kişisel Verilerin (örn: vatandaşa veya çalışanlara ait bilgilerin) izinsiz olarak ifşa edilmesidir (örn: çalınması, kaybolması veya yanlışlıkla açık edilmesi). ADA AĞIZ VE DİŞ SAĞLIĞI POLİKLİNİĞİ TİC. LTD. ŞTİ her bir vakanın etkin bir şekilde yönetilmesini sağlayacak “Veri İhlali Raporlama Süreci”ne sahiptir. İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde, Veri Sorumlusu bu durumu en kısa sürede “ilgili kişiye” ve kurula bildirir. Kurul, gerekmesi halinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.
14. ADA AĞIZ VE DİŞ SAĞLIĞI POLİKLİNİĞİ TİC. LTD. ŞTİ Veri Güvenliği Tedbirleri
Verilerin kötü amaçlarla kullanılması, imha edilmesi, kaybolması, yetkisiz olarak değiştirilmesi veya elde edilmesinin engellenmesi yönünde gerekli tedbirler alınır. ADA AĞIZ VE DİŞ SAĞLIĞI POLİKLİNİĞİ TİC. LTD. ŞTİ Güvenlik Politikaları doğrultusunda, etkin bir tedbir sisteminin uygulanması konusunda makul tedbirleri yerel mevzuatla uyumlu olarak alır:
- Yetkisiz kişilerin kişisel verileri kullanmak veya işlemek amacıyla veri işleme sistemine erişiminin engellenmesi (erişimin denetlenmesi),
- Bir veri işleme sistemini kullanmak konusunda yetkilendirilen kişilerin yalnızca erişim yetkisi aldıkları verilere erişmesinin sağlanması ve işleme ve kullanma süresince ve kayıt sonrasında kişisel verilerin yetkisiz kişilerce okunmasının, kopyalanmasının, değiştirilmesinin veya silinmesinin engellenmesi (erişimin denetlenmesi, gerektiği kadar bilgilenme ilkesi),
- Kişisel verilerin elektronik aktarımı veya nakli sırasında veya veri depolama ortamına kaydedilmesi sürecinde yetkisiz kişilerce okunmasının, kopyalanmasının, değiştirilmesinin veya silinmesinin engellenmesi ve kişisel verilerin veri iletim araçları kullanılarak kimler tarafından aktarıldığının tespit ve denetiminin sağlanması (bilgi aktarımının denetlenmesi),
- Kişisel verilere erişilip erişilmediğinin, değiştirilip değiştirilmediğinin veya veri işleme sisteminden silinip silinmediğinin ve bu gibi işlemlerin kimin tarafından gerçekleştirildiğinin kontrol ve tespitinin sağlanması (girdi denetimi),
- Başkaları adına işlenen Kişisel verilerin tamamen “Veri Sorumlusu”nun talimatlarına uygun olarak işlenmesinin sağlanması (iş denetimi),
- Kişisel verilerin kaza sonucu tahrip olmasına veya kaybolmasına karşı tedbirler alınmasının sağlanması (veri mevcudiyetinin kontrolü),
- Farklı amaçlarla toplanan Kişisel verilerin ayrı ayrı işlenebilmesinin sağlanması.
15. KİŞİSEL VERİLERİN SAKLAMA SÜRELERİ
Kişisel verilerin işlenmesinde uyulması gereken genel ilkelerden biri verilerin “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması”dır. Bu süreç aynı zamanda “Veri Minimizasyonu (Data Minimization)” olarak da isimlendirilmektedir. Veri saklama süreleri Kanun ve ikincil mevzuat dikkate alınarak tüm iş birimleri ile yapılan yüz yüze görüşmeler sonrasında belirlenmiş, sınıflandırılmış ve saklama süreleri teyit edilmiştir. Bu çalışma sonunda “ADA AĞIZ VE DİŞ SAĞLIĞI POLİKLİNİĞİ TİC. LTD. Veri Envanteri” oluşturulmuştur. Yapılan çalışma ışığında Veri Sorumluları Sicil Bilgi Sistemi (VERBİS)’e esas olacak kişisel veriler belirlenmiştir. VERBİS’e kayıt yükümlülüğü ve süreç “Veri Sorumluları Sicili Hakkında Yönetmelik”te; kayıt yükümlülüğünden istisna tutulacak Veri Sorumluları ise “Veri Sorumluları Siciline Kayıt Yükümlülüğünde İstisna Tutulacak Veri Sorumluları” Kararı’nda detaylandırılmıştır.
Kişisel verilerin saklanmasında aşağıdaki temel kurallar da dikkate alınmalıdır:
- İlgili kişinin tespitini mümkün kılacak şekilde, toplanma veya kaydedilme amaçlarına uygun olarak gerekenden daha uzun bir süre saklanamaz,
- Toplanma veya kaydedilme amaçları açısından artık gerekli olmayan kişisel veriler silinmelidir,
- Silme işlemi öncesinde, kişisel veriler, erişim hakkının kullanılmasına olanak tanıyacak şekilde depolanmalıdır.
16. ŞİKAYET YÖNETİMİ
İlgili Kişi, kanunun uygulanmasıyla ilgili şikayetlerini, öncelikle, yazılı olarak veya Kurul’un belirleyeceği diğer yöntemler ile veri sorumlusuna iletir. İlgili Kişi şikâyet ve/veya taleplerini eposta yolu ile www.adadental.net e-posta adreslerine yapmalıdır.
Veri sorumlusu, başvuruda yer alan taleplerini talebin niteliğine göre en kısa sürede ve en geç 30 (Otuz) gün içinde ücretsiz olarak sonuçlandırmak zorundadır. Veri Sorumlusu ilgili kişinin talebini kabul eder veya gerekçesini açıklayarak reddeder ve cevabını ilgili kişiye yazılı olarak veya elektronik ortamda bildirir. İlgili kişinin başvurusunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilememesi hallerinde; ilgili kişi, veri sorumlusunun cevabını öğrendiği tarihten itibaren 30 (Otuz) gün ve her halde başvuru tarihinden itibaren 60 (Altmış) gün içinde kurula şikâyette bulunabilir. İlgili kişinin kanunun uygulanmasıyla ilgili hak yöntemleri “İlgili Kişinin Hakları” kısmında detaylandırılmıştır.
17. FARKINDALIK VE EĞİTİM
ADA AĞIZ VE DİŞ SAĞLIĞI POLİKLİNİĞİ TİC. LTD. ŞTİ, çalışanlarının, dağıtım kanallarının ve kanun ile çerçevesi çizilmiş karşılıklı sorumluluğu bulunan 3ncü tarafların bu politika, yerel mevzuat, yönergeler çerçevesinde kişisel verilerin işlenmesi konusunda yeterince bilgilendirilmiş ve eğitilmiş olmalarını sağlamak zorundadır. ADA AĞIZ VE DİŞ SAĞLIĞI POLİKLİNİĞİ TİC. LTD. ŞTİ, kişisel verilerin işlenmesinde görev alan kişilerin verilerin korunmasıyla ilgili olarak yerel veri koruma mevzuatı ve politikanın koşullarını öğrenmelerini sağlayacak tedbirleri alır; bu tedbirlere farkındalık toplantılarının yapılması ve eğitim verilmesi de dahildir.
Eğitimler veya farkındalık toplantıları, aşağıdaki şekillerde yapılır:
- e-eğitim,
- Yüz yüze çalışma,
- Kurum içi bültenler,
- Veri koruma konularında yüksek düzeyde farkındalık sağlanması ve sürdürülmesi için uygun olan diğer yöntemler.
İŞ BU POLİTİKA 17 MADDE HALİNDE DÜZENLENMİŞ OLUP KAMUOYUNUN BİLGİSİNE ARZ EDERİZ.
ADA AĞIZ VE DİŞ SAĞLIĞI POLİKLİNİĞİ TİC. LTD. ŞTİ