Kişisel Veri Saklama ve İmha Politikası

KARAMAN SELÇUKLU SAĞLIK HİZM. SAN. VE TİC. A.Ş. (ÖZEL KARAMAN SELÇUKLU HASTANESİ)

İÇİNDEKİLER

1. SELÇUKLU HASTANESİ HAKKINDA

2. VERİ SORUMLUSU

3. AMAÇ

4. KAPSAM

5. KISALTMALAR VE TANIMLAR

6. KİŞİSEL VERİLERİ TOPLAMA VE İŞLEME İLKELERİ

7. VERİ SAHİBİ KATEGORİLERİ

8. KİŞİSEL VERİLERİN TOPLANMA YÖNTEMLERİ

9. SELÇUKLU TARAFINDAN TOPLANAN KİŞİSEL VERİLER

9.1. HASTALARA MAHSUS KİŞİSEL VERİLER

9.2. (HASTALARA MAHSUS OLMAYAN) HASTALAR VE HASTALAR DIŞINDAKİ KİŞİLERE AİT KİŞİSEL VERİLER

10. ÇALIŞAN VE STAJYER ADAYLARININ KİŞİSEL VERİLERİNİN İŞLENMESİ

11. SELÇUKLU’E AİT TESİSLERİ ZİYARET EDEN MİSAFİRLERİN KİŞİSEL VERİLERİNİN İŞLENMESİ

12. KAPALI DEVRE KAMERA KAYDI YOLUYLA ELDE EDİLEN KİŞİSEL VERİLERİN İŞLENMESİ

13. KİŞİSEL VERİLERİN PAZARLAMA VE TANITIM AMACIYLA KULLANIMI

14. ÇEREZ (COOKIE) POLİTİKASI

15. WEB SAYFASI VE SOSYAL EKLENTİLER ARASINDAKİ BAĞLANTI

16. KİŞİSEL VERİLERİN TOPLANMA, İŞLENME VE SAKLANMA AMAÇLARI

17. KİŞİSEL VERİLERİN AKTARILMASI

18. KİŞİSEL VERİLERİN TOPLANMA VE İŞLENMESİNİN HUKUKİ SEBEBİ VE YASAL DAYANAKLARI

19. SORUMLULUK VE GÖREV DAĞILIMLARI

20. KAYIT ORTAMLARI

21. KİŞİSEL VERİLERİN KORUNMASI İÇİN ALINAN TEKNİK VE İDARİ TEDBİRLER

21.1. İDARİ TEDBİRLER

21.2. İDARİ TEDBİRLER

22. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN KORUNMASI İÇİN ALINAN TEDBİRLER

23. SAKLAMA VE İMHAYA İLİŞKİN AÇIKLAMALAR

23.1. SAKLAMAYA İLİŞKİN AÇIKLAMALAR

23.1.1. SAKLAMAYI GEREKTİREN HUKUKİ SEBEPLER

23.1.2. SAKLAMAYI GEREKTİREN İŞLEME AMAÇLARI

23.2. İMHAYI GEREKTİREN SEBEPLER

24. KİŞİSEL VERİLERİN İMHASI

24.1. KİŞİSEL VERİLERİN SİLİNMESİ

24.2. KİŞİSEL VERİLERİN YOK EDİLMESİ

24.2.1. KİŞİSEL VERİLERİN YOK EDİLMESİ YÖNTEMLERİ

24.3. KİŞİSEL VERİLERİN ANONİM HALE GETİRİLMESİ

24.3.1. KİŞİSEL VERİLERİN ANONİM HALE GETİRİLMESİ YÖNTEMLERİ

25. SAKLAMA VE İMHA SÜRELERİ

26. PERİYODİK İMHA SÜRESİ

27. VERİ SAHİPLERİNİN KİŞİSEL VERİLERİN KORUNMASINA YÖNELİK HAKLARI

27.1. VERİ SAHİPLERİNİN KİŞİSEL VERİLERİN KORUNMASINA YÖNELİK HAKLARININ KULLANILMA USULÜ

28. POLİTİKANIN YAYINLANMASI VE SAKLANMASI

29. POLİTİKANIN GÜNCELLENMESİ

30. POLİTİKANIN YÜRÜRLÜĞÜ VE YÜRÜRLÜKTEN KALDIRILMASI

31. DİĞER HUSUSLAR

1.SELÇUKLU HASTANESİ HAKKINDA

Özel Karaman Selçuklu Hastanesi, 2005 yılında, Karaman'ın ilk Tıp Merkezi olarak 6 branşta faaliyetine başlamıştır. Kısa sürede Karaman halkının teveccühünü kazanmış ve 2010 yılında 4.500 m² büyüklüğündeki müstakil hastane binasına taşınmıştır. Hastane statüsünün gerektirdiği donanım, kadro, tefrişat ve yasal şartları yerine getirerek Karaman'ın ilk Özel Hastanesi unvanını almıştır.

Özel Karaman Selçuklu Hastanesinde, acil hekimliği, çocuk hastalıkları, dahiliye, genel cerrahi, göz hastalıkları, ortopedi ve travmatoloji, fiziksel tıp ve rehabilitasyon, kardiyoloji, kulak burun boğaz, üroloji, nöroloji, radyoloji, biyokimya, anestezi ve reanimasyon dallarında hizmet verilmektedir. Ayrıca fizik tedavi ve rehabilitasyon, cildiye ve estetik üniteleri ile güzellik merkezi bulunmaktadır.

54 yatak kapasiteli Özel Karaman Selçuklu Hastanesi’nde, genel amaçlı iki ameliyathane, uluslararası standartlara uygun acil servis bölümü ve yoğun bakım üniteleri bulunmaktadır. Hastanemizde açık MR, bilgisayarlı tomografi, ultrasonografi, 4 boyut ultarasonografi, renkli doppler, DXA (kemik dansitometre), mamografi ile direkt ve kontrastlı tüm filmler görüntülenmekte, her türlü radyolojik girişimler yapılmaktadır. Hastane bünyesinde bulunan laboratuvarlarda biyokimya, mikrobiyoloji dallarına ait tüm tahlil ve tetkikler ile her türlü hormon testi yapılabilmektedir.

Halen tam kapasiteli bir hastane olarak Karaman ve ilçelerine, çevre illerin bazı ilçelerine hizmet verilmekte, zaman zaman Konya ve Mersin merkezden de hastalar gelmektedir.

2. VERİ SORUMLUSU

Sakabaşı Mah. 860. Sk. No:4 Merkez/KARAMAN adresinde bulunan Karaman Selçuklu Sağlık Hizmetleri Sanayi ve Ticaret AŞ (Özel Karaman Selçuklu Hastanesi) veri sorumlusudur. Bu politika metnindeki “SELÇUKLU”, “SELÇUKLU HASTANESİ”, “ŞİRKET” “KURUM”, “KURUMUMUZ” “SAĞLIK KURULUŞUMUZ” gibi ibareler bahsi geçen şirketi ifade etmektedir.

3. AMAÇ

Karaman Selçuklu Sağlık Hizmetleri Sanayi ve Ticaret AŞ kişisel verilerinizin gizliliği ve güvenliği konusuna azami titizlik göstermektedir. SELÇUKLU HASTANESİ bu titizlikle, her türlü mecradaki ziyaretçilerine ait özel ve genel nitelikli kişisel verilerin 6698 sayılı Kişisel Verilerin Korunması Kanununa ve bu kanuna bağlı olarak yürürlüğe giren veya girecek olan ikincil nitelikteki düzenlemelere (yönetmelik, tebliğ, genelge) ve Kişisel Verileri Koruma Kurul’u tarafından alınmış ve alınacak kararlara uygun olarak işlenmesine, muhafaza edilmesine ve imha edilmesine büyük önem vermektedir.

Yine bu titizlik ve hassasiyetin bir devamı olarak 6698 sayılı Kişisel Verilerin Korunması Kanunu çerçevesinde veri sorumlusu sıfatıyla temin edilen kişisel verilere ilişkin olarak anılan kanuna uygun hareket edebilmek adına, kişisel verilerin toplanma, işlenme, kullanılma, saklanma, aktarılma, imha imha faaliyetlerine ilişkin iş ve işlemler konusunda usul ve esasları belirlemek amacıyla iş bu, Kişisel Verileri Saklama ve İmha Politikası (“Politika”) hazırlanmıştır.

SELÇUKLU HASTANESİ, site ziyaretçilerine, hastalara, hasta yakınlarına, misafirlere, iş ortaklarına, müşterilere, potansiyel müşterilere, çalışanlara, çalışan adaylarına, stajyerlere, stajyer adaylarına, tedarikçilere, diğer üçüncü kişilere, kısaca veri ilgili kişilerine ait kişisel verilerin, TC Anayasası, Uluslararası Sözleşmeler, 6698 sayılı Kişisel Verilerin Korunması Kanunu başta olmak üzere, konuya alakalı mevzuata uygun olarak toplanmasını, işlenmesini, imhasını ve ilgili kişilerin haklarını etkin bir şekilde kullanmasının sağlanmasını öncelik olarak belirlemiştir.

Bu bildirimde kullanılan tüm kavram ve ifadeler, 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) ve sair mevzuatta kendilerine atfedilen anlamı ifade edecektir. Kişisel veri terimi, özel nitelikli kişisel veriyi de kapsayacak şekilde genel anlamında kullanılmaktadır.

SELÇUKLU HASTANESİ, KVKK ve ilgili diğer düzenlemelere uyum sağlanması, kişisel verilerin kanuna ve diğer düzenlemelere uygun olarak toplanması, işlenmesi, kullanılması, imhası, aktarımı ve sair hususlarda bu politikada belirlenen prosedür, süreç ve usullere uygun davranmayı taahhüt etmektedir.

4. KAPSAM

Web sitesi site ziyaretçilerine, hastalara, hasta yakınlarına, misafirlere, iş ortaklarına, müşterilere, potansiyel müşterilere, çalışanlara, çalışan adaylarına, stajyerlere, stajyer adaylarına, diğer üçüncü kişilere, kısaca veri ilgili kişilerine ait kişisel veriler bu politika kapsamındadır. Aynı şekilde SELÇUKLU HASTANESİ’nin sahip olduğu ya da SELÇUKLU HASTANESİ tarafından yönetilen kişisel verilerin işlendiği tüm kayıt ortamları ve kişisel veri islenmesine yönelik faaliyetlerde de bu politika uygulanır.

5. POLİTİKA METNİ İÇİNDE GEÇEN KISALTMALAR VE TANIMLAR

Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi

İlgili Kişi: Kişisel verisi işlenen gerçek kişi

Kişisel verilerin işlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, saklanması, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem

Veri İşleyen: Veri sorumlusunun verdiği yetkiye dayanarak veri sorumlusu adına kişisel verileri işleyen gerçek veya tüzel kişi

Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasında ve yönetilmesinden sorumlu gerçek veya tüzel kişi

Kanun / KVKK: 6698 Sayılı Kişisel Verilerin Korunması Kanunu

Kayıt Ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam

Politika: Kişisel Verileri Saklama ve İmha Politikası

Veri Kayıt Sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi

Veri Sorumluları Sicil Bilgi Sistemi: Veri sorumlularının sicile başvuruda ve sicile ilişkin ilgili diğer işlemlerde kullanacakları, internet üzerinden erişilebilen, Kişisel Verileri Koruma Kurulu tarafından oluşturulan ve yönetilen bilişim sistemi

Kurul: Kişisel Verileri Koruma Kurulu

Özel Nitelikli Kişisel Veri: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri

İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi işlemi 

Periyodik imha: Kanunda yer alan kişisel verilerin işlenme şartlarının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi

Kişisel verilerin anonim hale getirilmesi: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi

Kişisel verilerin yok edilmesi: kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir

Kişisel verilerin silinmesi: kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir

Alıcı Grubu: Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisi

Açık Rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza

Çalışan: Karaman Selçuklu Sağlık Hizmetleri Sanayi ve Ticaret AŞ (Özel Karaman Selçuklu Hastanesi) personeli

Değerlendirme bilgileri: Mülakat sürecinde işlenen tüm veriler

Elektronik Ortam: Kişisel verilerin elektronik aygıtlar ile oluşturulabildiği, okunabildiği, değiştirilebildiği ve yazılabildiği ortamlar

Elektronik Olmayan Ortam: Elektronik ortamların dışında kalan tüm yazılı, basılı, görsel vb. diğer ortamlar

Hizmet Sağlayıcı: Karaman Selçuklu Sağlık Hizmetleri Sanayi ve Ticaret AŞ (Özel Karaman Selçuklu Hastanesi) ile herhangi bir sözleşme çerçevesinde hizmet sağlayan gerçek veya tüzel kişi

İlgili Kullanıcı:  Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç̧ olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişiler.

Verbis: Veri Sorumluları Sicil Bilgi Sistemi

Yönetmelik:  28 Ekim 2017 tarihli Resmî Gazetede yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik.

6. KİŞİSEL VERİLERİ TOPLAMA VE İŞLEME İLKELERİ

Sağlık Kuruluşumuz tarafından toplanan ve işlenen tüm kişisel verilerle ilgili işlemler, KVKK ve ilgili mevzuat doğrultusunda yürütülmektedir. KVKK 4. maddesi uyarınca kişisel verileri işlerken esas alınan temel ilke ve prensipler şöyledir:

  • Kişisel verilerin hukuka ve dürüstlük kuralına uygun işlenmesi: Kişisel verilerin işlenmesinde hukuksal düzenlemelerle getirilen ilkeler ile genel güven ve dürüstlük kuralına uygun hareket edilmektedir. Bu kapsamda orantılılık gereklilikleri dikkate alınmakta, kişisel veriler amacın gereklerine uygun kullanılmaktadır.
  • Kişisel verilerin doğru ve gerektiğinde güncel olmasının sağlanması: Kişisel veri sahiplerinin temel hakları ve kendi meşru menfaatleri dikkate alınarak işlenen kişisel verilerin doğru ve güncel olması sağlanmaktadır.
  • Kişisel verilerin belirli, açık ve meşru amaçlarla işlenmesi: Kişisel veri işleme amacı, meşru ve hukuka uygun, açık ve kesin olarak belirlenmiştir. Kişisel veriler sunulan ürün ve hizmetlerle bağlantılı ve bunlar için gerekli olduğu kadar işlenmektedir.
  • Kişisel verilerin, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olarak işlenmesi: Kişisel veriler belirlenen amaçların gerçekleştirilebilmesine elverişli şekilde işlemekte, amacın gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınılmaktadır.
  • Kişisel verilerin, mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmesi: Kişisel veriler, ancak ilgili mevzuatta belirtildiği veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmektedir. Bu kapsamda, öncelikle mevzuatta kişisel verilerin saklanması için bir süre öngörülüp öngörülmediği tespit edilmekte, şayet bir süre belirlenmişse bu süreye uyulmakta, bir süre belirlenmemişse kişisel veriler işlendikleri amaç için gerekli olan süre kadar muhafaza edilmektedir. Belirlenen sürenin bitimi veya kişisel verinin işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel veriler imha edilmektedir. Bu husus aşağıda detaylı olarak izah edilecektir.

 

​7. VERİ SAHİBİ KATEGORİLERİ

SELÇUKLU HASTANESİ tarafından kişisel verileri işlenen veri sahipleri şu şekilde kategorize edilebilir:

Hasta: SELÇUKLU HASTANESİ’ne herhangi bir sağlık hizmeti almak için başvurmuş gerçek kişiler

Hasta yakını/refakatçi: SELÇUKLU HASTANESİ’nden sağlık hizmeti alan gerçek kişilerle herhangi bir bağı olan veya kendisine yardımcı olmak üzere kurumumuza gelen gerçek kişiler

Müşteri: Ürün ve hizmetleri satın alan gerçek ya da tüzel kişiler

Potansiyel müşteri: Ürünlerimizi satın alma ve/veya hizmetlerimizden yararlanma talebinde veya ilgisinde bulunmuş veya bu ilgiye sahip olabileceği teamül ve dürüstlük kurallarına uygun olarak değerlendirilmiş kişiler

Ziyaretçi: Kurumumuzun sahip olduğu veya bir organizasyon gerçekleştirdiği fiziksel tesislere çeşitli amaçlarla girmiş olan veya internet sitesini ziyaret eden gerçek kişiler

Çalışanlar/stajyerler: SELÇUKLU HASTANESİ’nde çalışan veya staj yapan gerçek kişiler

Çalışan adayı / stajyer adayı: SELÇUKLU HASTANESİ’ne herhangi bir yolla iş ya da staj başvurusunda bulunmuş ya da özgeçmiş ve ilgili bilgilerini SELÇUKLU HASTANESİ’nin incelemesine açmış olan gerçek kişiler

İş birliği içinde olunan kurumların çalışanları, hissedarları, yetkilileri, yöneticileri: SELÇUKLU HASTANESİ’nin herhangi bir sebeple iş ilişkisi içerisinde bulunduğu kurumlarda çalışan ve/veya bu kurumların hissedarları, yöneticileri veya yetkilileri olan gerçek kişiler.

Üçüncü kişi: Kurumumuzun faaliyetlerini yürütebilmek veya bahsi geçen kişilerin haklarını korumak ve meşru menfaat temin etmek üzere bu kişilerle ilişkili olan üçüncü taraf gerçek kişileri ile politika kapsamında kişisel verileri belirli bir amaçla işlenen diğer tüm gerçek kişiler

8. KİŞİSEL VERİLERİN TOPLANMA YÖNTEMLERİ

Kişisel veriler, SELÇUKLU HASTANESİ tarafından yetkilendirilmiş veri işleyen gerçek veya tüzel kişiler tarafından, 6698 sayılı Kişisel Verilerin Korunması Kanununda ve bu kanuna bağlı olarak çıkarılan ikincil düzenlemelerde belirtilen şartlar ve amaçlar dahilinde; Veri sahiplerinin kurumu ziyareti ve ilk bilgilendirmenin yapılması, kaydın açılması veya kurumumuzun herhangi bir etkinlik veya organizasyonuna iştirak edilmesi halinde yüzyüze, e-posta, telefon, internet sitesi, (“Instagram” “Facebook”, “Google+”, “YouTube”, “Twitter”, “Pinterest” “Googlemaps” “Linkedin” gibi) çeşitli sosyal medya mecraları üzerinden yapılan tercihler ve bilgi girişleriyle, kâğıt ortamında tutulan formlar ve tutanaklar gibi vasıtalarla, SGK sistemi üzerinden online olarak, özel sigorta şirketinden yararlanma halinde paylaşılan kayıtlardan, sağlık kurumlarımıza sevk suretiyle gelinmesi durumunda diğer sağlık kurumlarının kayıtları üzerinden, cv ibrazıyla veya staj/iş başvurularıyla, SELÇUKLU HASTANESİ’ne ait web siteleri ziyaret edilirken yapılan tercihlerle veya bilgi girişleriyle, potansiyel müşteri/tedarikçi/iş ortağı/alt işveren olarak herhangi bir amaçla SELÇUKLU HASTANESİ’yle iletişime geçildiğinde otomatik ve otomatik olmayan yöntemlerle sözlü, yazılı veya elektronik ortamda temin edilmektedir.

9. SELÇUKLU HASTANESİ TARAFINDAN TOPLANAN KİŞİSEL VERİLER

Kurumumuz tarafından işlenen kişisel veriler, SELÇUKLU HASTANESİ ile veri sahibi arasındaki ilişkinin türüne (Hasta, hasta yakını, refakatçi, iş ortağı, çalışan adayı vb.) ve kurumumuzla iletişime geçme yönteminize (yüzyüze, telefon, e-posta, internet, basılı evrak vb.) göre değişmektedir. SELÇUKLU HASTANESİ tarafından aşağıda belirtilen kişisel verilere temas edilmektedir.

9.1. HASTALARA MAHSUS KİŞİSEL VERİLER

Kurumumuzun hastane olması münasebetiyle özel bir pozisyonu bulunmakta ve bu kapsamda sadece hastalardan alınan kişisel verilere temas etmektedir. SADECE hastalardan alınan kişisel verileri şöyle sıralamak mümkündür.

  • Hasta numarası ve protokol numarası,
  • Hastanemize gelen hastaların muayene, teşhis, tedavi öncesi tıbbi durumuyla ilgili anlatımları,
  • Hastalar tarafından kurumumuza sunulan yahut hastanemizde yapılan muayenelere ait veriler, laboratuvar ve görüntüleme sonuçları, test sonuçları, Check-up bilgileri,
  • Reçete bilgileri ile geçmişte ve halen kullanılan ilaç ve protezlere ilişkin bilgiler,
  • Bunlarla sınırlı olmaksızın hastanın muayene, teşhis, tedavi ve bakımı için lazım gelen, sağlık hizmetlerinin yürütülmesi sırasında elde edilen cinsel hayat da dahil olmak üzere tüm sağlık verileri,

Alınabilmektedir.

9.2. (HASTALARA MAHSUS OLMAYAN) HASTALAR VE HASTALAR DIŞINDAKİ KİŞİLERE AİT KİŞİSEL VERİLER

Kurumumuz hastane olmasının yanı sıra aynı zamanda bir işletmedir. Bu nedenle hastalardan başka kişilerin de verilerini alabilmektedir. Aynı veriler, hastalardan da alınmaktadır. Bu kapsamda, hastalardan veya diğer kişilerden alınan (sadece hastalara mahsus olmayan) kişisel verileri şöyle sıralamak mümkündür.

  • Özel sağlık sigortası veya Sosyal Güvenlik Kurumu verileri,
  • Laboratuvar sonuçlarını öğrenme, randevu oluşturma gibi platformlara girilen oturum açma kimliği, şifresi ve diğer kodları,
  • Ad, soyad, T.C. kimlik numarası, TC vatandaşı olmayanların pasaport numarası veya geçici T.C. kimlik numarası, doğum yeri, doğum tarihi, medeni hal, cinsiyet, anne baba adı, nüfus cüzdanı seri no, sıra no, aile sıra no vb. gibi kimlik verileri,
  • Kurumuza ibraz edilen nüfus cüzdanı, sürücü belgesi veya bu kabilden belgelerin sureti,
  • Adres, telefon numarası, elektronik posta adresi gibi iletişim verileri,
  • Banka hesap numarası, vergi dairesi, fatura bilgileri, kredi kartı veya IBAN numarası gibi finansal veriler,
  • Lüzumu halinde sağlık raporu ve iş güvenliği kapsamında istenen sertifika ve belgeler
  • Nüfus cüzdanı fotokopisi, adli sicil kaydı, vesikalık fotoğraf, aile durumunu bildirir belge, askerlik durum belgesi, hizmet sözleşmesi, hizmet cetveli, SGK işe giriş bildirgesi, sağlık durumuna ilişkin bilgi ve belge, nüfus kayıt örneği, ikametgâh belgesi, diploma fotokopisi, oda kayıt belgesi, özlük bilgi ve belgeleri,
  • Kurumuzun sunduğu hizmetlerin ve kurum faaliyetlerinin değerlendirilmesi amacı ile sosyal medya, online platformlar ya da diğer mecralar üzerinden verilen cevaplar ve yapılan yorumlar, görüşler, talep ve şikayetler,
  • Kurum ziyareti sırasında alınan güvenlik kamerası görüntüleri, güvenli alanlar giriş çıkış bilgileri, kurumumuzun organize ettiği etkinliklere katıldığınızda işlenen fotoğraflar ve video görüntüleri ve diğer işitsel veriler,
  • Kurumun telefonla aranması sırasında bilgilendirilmek suretiyle yapılan ses kayıtları,
  • Uzaktan erişim platformları üzerinden görüntülü görüşme hizmeti alınması durumunda elde edilen ses ve görüntü kaydınız
  • Otoparkın kullanılması ve lüzumu halinde araç plaka bilgileri,
  • Web sitesinin ve sosyal medya hesaplarının kullanımı sırasında elde edilen gezinme bilgileri, IP adresi, tarayıcı ve konum bilgileri ile veri sahibine ait erişim cihazı tarafından gönderilen (cihaz donanım modeli, IP adresi, işletim sistemi sürümü ve ayarları, kalma/gezinme saati ve süresi, verilmesi halinde konum bilgisi, tıklanan linklere ait url adresleri vb) veriler,
  • Veri sahibi tarafından kurumumuza iletilen üçüncü kişilere ait kişisel veriler (Kefil, hasta yakını, aile üyelerinin kişisel verileri vb.).
  • Mezun olunan okul, önceki iş tecrübeleri, kazanılan başarı ödül ve sertifikalar, referanslar, referanslara ait iletişim bilgileri, engellilik durumu vb. kişisel verileri ile iş görüşmelerinde tutulan notlar,

Alınabilmektedir.

Yukarıda belirtilen şartlarda toplanan kişisel veriler, SELÇUKLU HASTANESİ ve lüzumu halinde dış hizmet sağlayıcıları bünyesindeki fiziki ve elektronik arşivlerde mevzuatta belirtilen şartlar çerçevesinde titizlikle muhafaza edilebilecektir.

10. ÇALIŞAN VE STAJYER ADAYLARININ KİŞİSEL VERİLERİNİN İŞLENMESİ

Her ne kadar yukarıda, çalışan adaylarının ve stajyer adaylarının kişisel verileriyle ilgili genel bilgi verilmişse de, önemine binaen bu konunun izah edilmesinde fayda görülmektedir.

Çalışan adaylarının ve stajyer adaylarının tecrübe ve niteliklerinin anlaşılabilmesi, talip olduğu pozisyona uygunluğunun değerlendirilmesi, verdiği bilgilerin teyidi, adayın verdiği bilgiler doğrultusunda -üçüncü kişilerle irtibata geçilerek- aday hakkında araştırma yapılması, mevzuata uygunluğun sağlanması, iş güvenliği ve insan kaynakları politikalarının uygulanabilmesi gibi amaçlarla, mezun olduğu okul, kazanılan başarı ödül ve sertifikalar, önceki iş tecrübeleri, ayrılma sebepleri, engellilik ve sağlık durumu, aile bilgileri vb. kişisel verileri -kendisi detaylı şekilde aydınlatılarak açık rızalarıyla- alınmaktadır.

Bu amaçla alınan kişisel veriler, yazılı ve elektronik ortamlarda bulunan iş başvuru formu, web sitesinde bulunan iş başvuru platformu, fiziken ya da e-posta olarak sunulan cv/lerle yapılan başvurular, yapılan mülakatlar, çalışan/stajyer adayı hakkında yapılan araştırmalar ve kontroller yoluyla işlenmektedir.

11.  SELÇUKLU HASTANESİNE AİT TESİSLERİ ZİYARET EDEN MİSAFİRLERİN KİŞİSEL VERİLERİNİN İŞLENMESİ

SELÇUKLU HASTANESİ’ni ziyaret eden misafirlerin giriş çıkış işlemleri esnasında kurumumuzun, hastaların, hasta yakınlarının ve refakatçilerin, çalışanlarımızın ve diğer ziyaretçilerimizin fiziki güvenliğinin sağlanması, işyeri kurallarının denetlenmesi amaçlarıyla bazı kişisel verileri işlenmektedir. Bu kapsamda ziyaretçi giriş çıkış takibi amacıyla ziyaretçilerimizin isim – soy isim ve T.C. kimlik numaraları ziyaretçi defterine not edilmektedir. Bu süreçte kimlik belgesi alınmamaktadır.

Ziyaretçi, bilgileri alınmadan önce güvenlik girişinde yer alan bir aydınlatma metni ile kişisel verilerinin işlenmesine ilişkin aydınlatma yapılmaktadır. Ancak bu kapsamda kurumumuzun meşru menfaati bulunduğu için misafirlerin açık rızası alınmamaktadır. Bu veriler, sadece fiziki olarak ziyaretçi kayıt defterinde tutulmakta ve gerekmedikçe başka bir ortama aktarılmamaktadır.

Ayrıca, hastanemizde kaldığı süre boyunca talep eden ziyaretçilere internet erişimi sağlanabilmektedir. Bu durumda internet erişimlerine ilişkin log kayıtları 5651 Sayılı Kanun ve bu kanuna göre düzenlenmiş olan mevzuatın emredici hükümlerine göre kayıt altına alınmakta; log kayıtlarına yalnızca kurum teknik personeli tarafından erişilebilmekte, bu kayıtlar ancak yetkili kamu kurum ve kuruluşlar tarafından talep edilmesi veya kurum içinde gerçekleştirilecek denetim süreçlerinde ilgili hukuki yükümlülüğü yerine getirmek amacıyla işlenmektedir.

12. KAPALI DEVRE KAMERA KAYDI YOLUYLA ELDE EDİLEN KİŞİSEL VERİLERİN İŞLENMESİ

SELÇUKLU HASTANESİ’ni ziyaret eden misafirlerin giriş çıkış işlemleri esnasında, kurumumuzun, hastaların, hasta yakınlarının ve refakatçilerin, çalışanlarımızın ve diğer ziyaretçilerimizin güvenliğinin sağlanması, hizmet kalitesinin artırılması, suiistimallerin önlenmesi, işyeri kurallarının denetlenmesi, kurumumuzun ve veri sahiplerinin meşru menfaatlerinin korunması amacıyla güvenlik kameraları kullanılmakta ve bu yolla kişisel veri işlenmektedir.

Güvenlik kameraları ile yapılan kişisel veri işleme faaliyetleri, Anayasa’ya, KVKK’ya, ve ilgili mevzuata uygun bir biçimde yürütülmektedir. Bu kapsamda kişisel veriler, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü bir biçimde işlenmektedir. Kişinin mahremiyetini güvenlik amaçlarını aşan şekilde müdahale sonucu doğurabilecek şekilde izleme yapılmamaktadır. Bu kapsamda görüntü kaydı yapılan ortak alanlarda uyarı levhaları yerleştirilerek veri sahipleri bilgilendirilmektedir. Ancak kurumumuzun görüntü kayıtlarının tutulmasında meşru menfaatinin mevcut olması sebebiyle açık rızaları alınmamaktadır. Ayrıca KVKK 12.Maddeye uygun olarak, izleme faaliyeti sonucunda elde edilen kişisel verilerin güvenliğinin sağlanması için gerekli teknik ve idari tedbirler alınmaktadır. Yine bu kapsamda güvenlik amacını ve kişilerin mahremiyetini aşan ölçüde kamera yerleştirilmesine izin verilmemektedir. Bu çerçevede, bina dış cephesi, giriş kapıları, yemekhane, kafeterya, ziyaretçi bekleme salonu, otopark, kat koridorları, fizik tedavi ünitesi, acil servis, yoğun bakım personel çalışma alanı, ameliyathane personel alanı ve server odasında güvenlik kamerası bulunmakta ve görüntü kaydı yapılmakta, bu görüntüler ilgili departmanlar tarafından denetlenmektedir.

Güvenlik kamerası görüntülerine yalnızca belli sayıda kurum personeli erişmekte olup bu personelden, kişisel verileri hukuka uygun bir şekilde koruyacaklarına ilişkin taahhütname alınmaktadır.

13. KİŞİSEL VERİLERİN PAZARLAMA VE TANITIM AMACIYLA KULLANIMI

Pazarlama ve tanıtım faaliyetlerinde zaman zaman kişisel verilerin kullanımına ihtiyaç duyulabilmektedir. Ancak pazarlama ve tanıtım faaliyetlerinde (KVKK’da öngörülen istisnalar kapsamında yer almadığı için) kişisel verilerin kullanılabilmesi için kural olarak her zaman onay alınmaktadır.

Kurumumuz tarafından ürün, hizmet, etkinlik ve promosyonlar hakkında zaman zaman bilgilendirmeler yapılabilmektedir. Bu bilgilendirmeler, e-posta, telefon, SMS metin mesajları, sosyal ağlar gibi farklı kanallar aracılığıyla gönderilebilmektedir.

Diğer yandan web sitesi ziyaretlerinden, gezinmelerden, sosyal medya kullanımlarından, e-postalardan tıklanan linklerden, çerez verilerinden, son satın almalardan çıkarılan sonuçlara göre deneyimler kişiselleştirilmektedir. Kişiselleştirilen deneyimlere göre ürün, hizmet, etkinlik ve promosyonlar hakkında zaman zaman bilgilendirmeler yapılabilmektedir. Yine bu kapsamda, açıklanan şekillerde temin edilen verilerin değerlendirilmesiyle yeni ürün ve hizmet modelleri oluşturulabilmektedir.

İfade edildiği üzere, mevzuat gerektirdiğinde, yukarıdaki faaliyetlere başlamadan önce izin istenmektedir. Verilen izni, istenilen zaman geri alma (durdurma) olanağı da bulunmaktadır. Aynı şekilde, pazarlama ve tanıtımla ilgili bilgilendirilme yapılmasının önlenmesi için kurumumuzla da her zaman iletişime geçilebilecektir. Yine bu kapsamda “Kişisel Verilere İlişkin Haklar” bölümünde ifade edilen usuller de kullanılabilecektir.

14. ÇEREZ (COOKIE) POLİTİKASI

Genel olarak “çerez” (cookie) bir internet hizmet sunucusu tarafından tarayıcılar aracılığıyla kullanıcının bilgisayarına veya sunucuna gönderilen ve burada saklanan bilgilere verilen addır.

Kurumumuz tarafından kullanılan çerezler cihazınıza zarar vermez ve virüs içermez. Kurumumuzun web sitesinde “kalıcı çerezler” ve “geçici çerezler” olmak üzere iki (ana) tür çerez oluşturulmaktadır.

Kalıcı çerezler, web sitesini ilk ziyarette oluşturulur. Bu tür, “kullanım ömrü”, yani geçerlilik süresi boyunca veya kullanıcı tarafından silinene kadar cihazda kalır. Bu çerezler web sitesinin, bu cihazdan her ziyarette tekrar etkinleşirler.

Geçici çerezler ise “oturum çerezleri” olarak da adlandırılır ve sadece o oturuma mahsustur. İnternet tarayıcısı açıldığında başlamakta olup, tarayıcı kapatıldığında sonlanmaktadır. Tarayıcının kapatılmasıyla tüm geçici çerezler de silinmektedir. 

Sitemizde kullanılan çerezleri detaylı ifade etmek gerekirse;

Otantikasyon Çerezleri: Üyelerimizin her sayfada şifrelerini yeniden girmemeleri için kullanılan çerezlerdir.

Reklam Çerezleri: Davranışsal ve hedef odaklı reklamların ziyaretçilere gösterilmesi amacıyla kullanılan çerezlerdir.

Flash Çerezleri: İnternet sitesinde yer alan görüntü̈ veya ses içeriklerini etkinleştirmek için kullanılan çerezlerdir.

Analitik Çerezler: Üyelerimizin/ziyaretçilerimizin kullanım alışkanlıklarını analiz etmek ve uygulama istatistiklerini belirlemek için kullanılan çerezlerdir.

Teknik Çerezler: İnternet sitesinin düzgün çalışmasının takibi amacıyla kullanılan çerezlerdir.

Kişiselleştirme Çerezleri: Kullanıcı davranış ve tercihlerine göre kişiselleştirilmiş içerik ve deneyim sunmak amacıyla kullanılan çerezlerdir.

Çerezler, kullanıcının söz konusu siteye kaç kere girdiği, ziyaret tarihi, saati, izlenen sayfalar, geçirilen süre, bu web sitesinden önce ziyaret edilen siteler de dahil olmak üzere çeşitli bilgiler içerebilmektedir.

Bu bilgiler, kullanıcı söz konusu internet sitesine geri döndüğünde kullanılabilmektedir. Çerezler sayesinde kullanıcının siteyi nasıl ziyaret ettiği izlenebilmektedir. Çerezler aracılığıyla toplanan veriler değerlendirilerek, site ziyaretçisinin hangi tarayıcıyı kullandığı belirlenebilmekte, bazı özel hizmetler sunulabilmektedir. Bu kapsamda ziyaretçinin ilgilenebileceği ürünlere ilişkin reklamlar, tanıtımlar gösterilebilmektedir.

Kurumumuza ait internet sitesinde çerez kullanılmasının temel amaçları şöyle özetlenebilir:

  • İnternet sitesinin işlevselliğini ve performansını arttırmak yoluyla sunulan hizmetleri geliştirmek,
  • İnternet sitesini iyileştirmek başta olmak üzere internet sitesi üzerinden yeni özellikler sunmak ve sunulan özellikleri kullanıcıların tercihlerine göre kişiselleştirmek,
  • İnternet sitesinin, kurumumuzun ve kullanıcıların hukuki ve ticari güvenliğinin teminini sağlamak.

Kullanıcı, internet tarayıcısının ayarlarını değiştirerek çerezleri engelleyebilmektedir. Aynı şekilde çerez gönderilip gönderilmediği de öğrenebilmekte, çerezler arasında seçimler yapılabilmekte, geçmişte gönderilen çerezleri -üçüncü parti yazılımlar vasıtasıyla- silebilmektedir.

Ancak çerezlerin devre dışı bırakılması halinde siteden tam olarak faydalanılması mümkün olmayacaktır. Bu hususta tercih ziyaretçilere bırakılmaktadır.

Çeşitli tarayıcılara göre ayarlama işlemlerinin yapılabileceği linkler aşağıda verilmiştir.

Chrome: https://support.google.com/chrome/answer/95647?hl=en

Firefox: https://support.mozilla.org/en-US/kb/cookies-information-websites-store-on-your-computer

Internet Explorer: https://support.microsoft.com/en-us/help/260971/description-of-cookies

Safari: https://support.microsoft.com/en-us/help/260971/description-of-cookies 

Site ziyaretçilerine, çerez kullanımı ile bilgilendirme yapılmakta, tercih imkanı sunulmaktadır.

Metnin okunabilirliğini temin etmek amacıyla verilen bilgiler minimumda tutulmaya çalışılmıştır. Çerezler hakkında daha fazla bilgiye https://www.esb.org.tr/cerez-bellek adresinden ulaşılabilecektir.

Aynı şekilde çerez politikası ve genel veri saklama politikasıyla ilgili olarak tüm soru, görüş veya şikayetlerinizle ilgili kurumumuzla her türlü yollarla iletişime geçilebilecektir.

Kullanıcı ve ziyaretçilerin kullandığı tarayıcının çerez ayarlarını değiştirmediği ve sanal ortamlarda gezindiği sürece kurumumuza ait web sitesindeki çerez kullanımı hakkında bilgilendiği ve çerez politikasını kabul ettiği varsayılacaktır.

15. WEB SAYFASI VE SOSYAL EKLENTİLER ARASINDAKİ BAĞLANTI

Kurumumuza ait web sayfası ile “Instagram” “Facebook”, “Google+”, “YouTube”, “Twitter”, “Pinterest” “Googlemaps” ve “Linkedin” gibi sosyal ağlar arasında kısmi bağlantı vardır. Ancak bu sosyal ağlardan gelen eklentiler web sitesinde doğrudan kullanılmamaktadır. Bu kapsamda kurumumuza ait web sitesi ziyaret edildiğinde hiçbir bilgi otomatik olarak sosyal ağlara gönderilmemektedir.

Bunun yerine ziyaretçi, ilgili sekmeye tıkladığında ve izin verdiğinde internet tarayıcısı belirtilen sosyal ağın sunucularına bağlanmaktadır. Bu suretle ziyaretçi internet tarayıcısının sosyal ağın sunucularıyla iletişim kurmasına ve bu ağa ait kullanıcı verisini operatöre göndermesine rıza göstermiş olur. Sosyal ağların topladığı verilerin türü ve kapsamı üzerinde kurumumuzun herhangi bir inisiyatifi bulunmamaktadır. Sosyal ağların veri politikaları konusunda bu mecraların aydınlatmaları incelenmelidir.

16. KİŞİSEL VERİLERİN TOPLANMA, İŞLENME VE SAKLANMA AMAÇLARI

SELÇUKLU HASTANESİ, gerek kanuni ve sözleşmesel yükümlülüklerini yerine getirirken gerekse sağlık hizmetlerini sunarken, lüzumu olduğu ölçüde kişisel verilerin toplanmasına, işlenmesine ve saklanmasına ihtiyaç duymaktadır.

Bu anlamda (SELÇUKLU HASTANESİ tarafından sunulan hizmet ya da ticari faaliyete ilişkin olarak değişkenlik gösterebilmekle birlikte) esas olarak kişisel veriler;

  • Kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanın planlanması ve yönetimi,
  • Sağlık hizmetleri faaliyetlerinin, keza kurum faaliyetlerinin mevzuat ve sözleşmeden kaynaklanan yükümlülüklere uygun yürütülmesi ve devamlılığının sağlanması, bu kapsamda mevzuattan kaynaklanan gereksinimlerin yerine getirilmesi,
  • Sunulan sağlık hizmetlerinin gereği olan inceleme ve değerlendirmelerin gerçekleştirilmesi, randevuların alınması, bilgilendirmelerin ve hatırlatmaların yapılması,
  • Kurumumuzun sağlık hizmetleri ile ticari, ve iş stratejilerinin belirlenmesi, uygulanması, geliştirilmesi, risk yönetimi, kurumsal sürdürülebilirlik, kurumsal yönetim, stratejik planlama ve bilgi güvenliği süreçlerinin planlanması, denetimi ve icrası, kurum içi sistem ve uygulama yönetimi operasyonlarının sürdürülmesi,
  • 6698 sayılı Kişisel Verilerin Korunması Kanununda ve bu kanuna bağlı çıkarılan ikincil düzenlemelerde belirtilen yükümlülüklerin yerine getirilmesi,
  • 5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi Ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun ve bu kanuna bağlı çıkarılan ikincil düzenlemelerde belirtilen yükümlülüklerin yerine getirilmesi,
  • Sağlık Bakanlığı birimleri başta olmak üzere idari, resmi ve adli merciler nezdindeki süreçlerin yürütülmesi, yönetilmesi, bildirimlerde bulunulması ile gerektiğinde ilgili kamu kurum ve kuruluşlarının, adli ve idari yargı mercilerinin veya kolluk güçlerinin ihtiyacı olan bilgilerin sağlanması,
  • Kurum içinde güvenlik ve denetleme önlemlerinin alınmasının sağlanması,
  • İş ve sözleşme ilişkisi kapsamında iş süreçlerinin sağlıklı yürümesi için gerekli yükümlülüklerin yerine getirilmesi, bu kapsamda sunulan ürün ve hizmetlerin belirlenen yasal çerçevede sunulabilmesi, kurumumuzun sözleşme ve yasadan doğan mesuliyetlerini eksiksiz ve doğru bir şekilde yerine getirebilmesi, müşteri memnuniyetinin ölçülmesi, arttırılması ve araştırılması,
  • Hastane ile anlaşmalı olan kurumlar ile hastaların ilişkilerinin teyit edilmesi ile sair kimlik doğrulama ve kayıt oluşturma işlemlerinin sağlıklı yapılması,
  • Kurumumuzla iş ilişkisi içerisinde olan kişilerin hukuki ve ticari güvenliğinin temin edilmesi, bu kişilerle iletişim ve iş birliği süreçlerinin yürütülmesi,
  • Verilen hizmetlerle ilgili şikayetlerin çözülebilmesi, soruların cevaplanması, bilgi taleplerinin yerine getirilmesi ve önerilerin değerlendirilmesi, sağlık hizmetlerinin geliştirilmesi,
  • Kurumumuzun faaliyetleri ile ilgili kamuoyuna bilgiler verilmesi, pazarlama ve tanıtım faaliyetlerinin yürütülmesi,
  • Fatura, arşiv, irsaliye ile ilgili yükümlülüklerin yerine getirilmesi ve yine bu kapsamda ödeme bilgilerinin teyit edilmesi,
  • İlaç, teçhizat, tıbbi cihaz ve sair araç gereç temini,
  • Sunulan ürün ve hizmetlerden hitap edilen kitlenin faydalanabilmesi için gerekli çalışmaların yapılması, ürün ve hizmetlerin hizmet alanların beğeni, memnuniyet, kullanım alışkanlıkları ve ihtiyaçlarına göre özelleştirilmesi ve önerilmesi, teklifler sunulması,
  • Pazarlama, medya ve iletişim, web ve mobil kanallarda özel içeriklerin, somut ve soyut faydaların tasarlanması ve iletilmesi, kurumsal iletişimin sağlanması, kampanya bilgisi verilmesi ve kampanyalara katılımın sağlanması,
  • Alınan ürün ve hizmet süreçleri ile alakalı bilgilendirmelerin tam olarak yapılması,
  • Kurumumuzun insan kaynakları politikalarının yürütülebilmesi, personelin oryantasyonu, eğitilmesi ve denetlenmesi, iş güvenliği tedbirlerinin alınması, insan kaynakları politikalarının yürütülmesi,
  • Kuruma ait sistem ve uygulamaların veri güvenliği kapsamında tüm gerekli teknik ve idari tedbirlerinin alınması, suiistimal ve yetkisiz işlemlerin izlenmesi ve engellenmesi,

Amacıyla her daim bağlantılı, sınırlı ve ölçülü şekilde toplanmakta, işlenmekte ve saklanmaktadır.

17. KİŞİSEL VERİLERİN AKTARILMASI

Kurumumuz kişisel verilerin aktarımı konusunda mevzuat ve kurul tarafından alınan kararlara uygun hareket etmektedir. Bu çerçevede, kişisel veriler kural olarak ilgili kişinin açık rızası olmadan başka kişilere aktarılmamaktadır. Bununla birlikte KVKK 5. ve 6. maddelerinde öngörülen durumlarda ilgilinin rızası olmaksızın da aktarım mümkündür.

Bu çerçevede kişisel veriler ve sağlık verileri, 2219 sayılı Hususi Hastaneler Kanunu, 3359 sayılı Sağlık Hizmetleri Temel Kanunu, 6698 sayılı Kişisel Verilerin Korunması Kanunu, 6102 sayılı Türk Ticaret Kanunu, 6098 sayılı Türk Borçlar Kanunu, 213 sayılı Vergi Usul Kanunu başta olmak üzere çeşitli kanunlar ile bu kanunlar doğrultusunda yapılan 663 sayılı Sağlık Bakanlığı ve Bağlı Kuruluşlarının Teşkilat ve Görevleri Hakkında Kanun Hükmünde Kararname, Özel Hastaneler Yönetmeliği, Sağlık Uygulama Tebliği, Hasta Hakları Yönetmeliği, Kişisel Sağlık Verilerinin İşlenmesi ve Mahremiyetinin Korunması Yönetmeliği gibi ikincil nitelikteki düzenlemeler çerçevesinde, iş bu politika metnine ve mevzuata uygun olarak ve mevzuatta belirtilen güvenlik önlemlerini alınarak, LÜZUMU HALİNDE, LÜZUMLA SINIRLI NİTELİKTE VE SÜREDE OLMAK ÜZERE;

  • Hastane bünyesindeki işlerin idaresi, yönetimi, hastane işlerinin yürütülmesi, hastane politikalarının uygulanabilmesi, iş akışının verimli bir şekilde yönetilip yürütülmesi ilgili personele,
  • Faaliyetlerimizi yürütmek üzere sözleşmesel olarak hizmet aldığımız, işbirliği yaptığımız, iş ortaklarımıza, tedarikçilerimize, kargo şirketleri, seyahat acenteleri, servis/taşıma hizmeti sağlayıcıları gibi destek hizmet sağlayıcılarına,
  • Tıbbi teşhis ve tedavi için iş birliği içerisinde olduğumuz laboratuvarlar, ambulans, tıbbi cihaz ve sağlık hizmeti sunan kurumlara,
  • Mevzuat gereğince tarafımıza yüklenen bildirim ve/veya raporlama yükümlülüğü kapsamında, TC Sağlık Bakanlığı ile İl Sağlık Müdürlükleri, Halk Sağlığı Merkezleri ve Sağlık Bakanlığına bağlı sair birimler başta olmak üzere yetkili makamlar tarafından kurulan meddata, e-nabız ve benzeri elektronik tıbbi kayıt ve elektronik sağlık kayıtları sistemlerine,
  • Sağlık Bakanlığı ve bu bakanlıklara ait alt birimlere,
  • Özel sigorta şirketlerine, iş sağlığı ve güvenliği şirketlerine,
  • Hastanın faydalandığı özel sigortanın menşeine göre yurt içi ve yurt dışı sigorta şirketlerine,
  • Faturalandırma işleminin hastanın çalıştığı kuruma yapılacak olması durumunda hastanın çalıştığı kuruma,
  • Hastanın faydalandığı sigortanın kamusal olması halinde Sosyal Güvenlik Kurumu’na,
  • Nüfus Genel Müdürlüğü ve bunların alt birimleri ile Emniyet Genel Müdürlüğü ve diğer kolluk kuvvetlerine,
  • Türkiye Eczacılar Birliği ve Türk Tabipler Birliği ile bunların alt birimlerine,
  • Talep edilmesi veya mevzuat doğrultusunda gerekmesi veya bildirim ve/veya raporlama yükümlülüğümüz kapsamında olması halinde idari ve adli merciler ile düzenleyici ve denetleyici kurumlar ve resmi mercilere,
  • Avukat, vergi danışmanı, denetçi, mali müşavir, insan kaynağı gibi danışmanlık aldığımız üçüncü kişilere,
  • Hastanın başka bir sağlık kurumuna sevk edilmesi halinde ilgili sağlık kuruluşuna,
  • Yetki vermiş olduğunuz kanuni temsilcilerine,

6698 Sayılı Kişisel Verilerin Korunması Kanunu’nun 8.vd.maddeleri ile ikincil nitelikteki düzenlemelerde belirtilen kişisel veri işleme şartları ve amaçları çerçevesinde aktarılabilecektir.

Kurumumuza başvurulması halinde yukarıdaki hususlarla ilgili detaylı bilgiler verilebilecektir.

18. KİŞİSEL VERİLERİN TOPLANMA VE İŞLENMESİNİN HUKUKİ SEBEBİ VE YASAL DAYANAKLARI

Kişisel veriler, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi ile sözleşmenin ifası, kanunlarda açıkça öngörülmüş olması, Fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, hakların tesisi kullanılması ve korunması, kurumumuzun sözleşmesel ve kanuni yükümlüklerinin ifası, herhangi bir kişinin hayati önem taşıyan menfaatlerini korunması için veri işlenmesinin zorunlu olması, keza kurumumuzun hukuki haklarını kullanma ve kurum aleyhine açılan hukuki taleplere karşı savunma yapılabilmesi, ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, kurumun meşru menfaatleri için gerekmesi hukuki sebeplerine dayalı olarak temel hak ve özgürlüklere zarar vermemek koşulu ile elde edilmekte ve işlenmektedir.

Açık rızanın varolduğu durumlarda da kişisel veriler, yukarıda açıklanan amaçlarla yine yukarıda açıklanan şekil ve usullerde toplanmakta ve işlenmektedir. Açık rızanın her zaman geri alınabileceği ilgili kişilere deklare edilmekte ve bu konuda bilgilendirmeler yapılmaktadır.

Kişiler verilerin toplanmasının ve işlenmesinin yasal dayanakları, 2219 sayılı Hususi Hastaneler Kanunu, 3359 sayılı Sağlık Hizmetleri Temel Kanunu, 6698 sayılı Kişisel Verilerin Korunması Kanunu, 6102 sayılı Türk Ticaret Kanunu, 6098 sayılı Türk Borçlar Kanunu, 213 sayılı Vergi Usul Kanunu başta olmak üzere çeşitli kanunlar ile bu kanunlar doğrultusunda yapılan 663 sayılı Sağlık Bakanlığı ve Bağlı Kuruluşlarının Teşkilat ve Görevleri Hakkında Kanun Hükmünde Kararname, Özel Hastaneler Yönetmeliği, Sağlık Uygulama Tebliği, Hasta Hakları Yönetmeliği, Kişisel Sağlık Verilerinin İşlenmesi ve Mahremiyetinin Korunması Yönetmeliği gibi ikincil nitelikteki düzenlemeler ile sair mevzuat hükümleridir.

19. SORUMLULUK VE GÖREV DAĞILIMLARI

SELÇUKLU HASTANESİ’nin tüm birimleri ve çalışanları, politika kapsamında alınan teknik ve idari tedbirlerin sorumlu birimlerce gereği gibi uygulanması, birim çalışanlarının eğitimi ve farkındalığının arttırılması, takibi ve denetimi ile kişisel verilere hukuka aykırı olarak erişilmesinin ve işlenmesinin önlenmesi, mevcut kişisel verilerin hukuka uygun olarak saklanmasının sağlanması, veri sahiplerinin aydınlatılması amacıyla lazım gelen tüm teknik ve idari tedbirlerin alınması konularında sorumlu birimlere aktif olarak destek verir.

Kurum bünyesinde, kurumun, Kişisel Verileri Koruma Kanunu ve ikincil düzenlemelere uyumunu sağlamak, kişisel veri politikasını uygulamak, yönetmek, takip etmek ve geliştirmek üzere, kurum yöneticisi, insan kaynakları sorumlusu, mali işler sorumlusu, kurum avukatının da içinde yer aldığı “Kişisel Verilerin Korunması Komitesi” oluşturulmuştur. Bu komitenin görevleri şöyle özetlenebilecektir:

• Kişisel verilerin korunması ve işlenmesi ile ilgili temel politikaları belirlemek, değiştirmek, geliştirmek

• Kişisel verilerin korunması ve işlenmesi ile ilgili politikaların uygulanmasını ve denetimini sağlamak, bu kapsamda kurum içi görevlendirmelerde bulunmak

• Kurumun, kişisel verilerin korunması ve işlenmesi ile ilgili politikalarına uyumu için yapılması gereken hususları tespit etmek, uygulanmasını sağlamak, gerekli tedbirleri almak,

• Kişisel verilerin korunması ve işlenmesi ile ilgili olarak ilgili kişiler nezdinde farkındalığı artırmak, bu kapsamda eğitimler tasarlamak ve uygulanmasını sağlamak.

• Kişisel verilerin korunması ve işlenmesi ile ilgili riskleri tespit ederek gerekli önlemlerin alınmasını sağlamak,

• Kişisel veri sahiplerinin başvurularını değerlendirmek ve karara bağlamak.

• Kişisel Verilerin Korunması konusundaki gelişmeleri ve düzenlemeleri takip etmek, kurumun bu gelişmelere ve düzenlemelere entegrasyonunu sağlamak,

SELÇUKLU HASTANESİ’nin tüm birimleri ve çalışanları, politika kapsamında alınan teknik ve idari tedbirlerin uygulanmasında sorumluluk taşımakla birlikte kişisel verilerle ilgili iş ve işlemler esas olarak mezkur komitenin görev kapsamında yapılacaktır.

20. KAYIT ORTAMLARI

Kişisel veriler, SELÇUKLU tarafından aşağıdaki tabloda gösterilen ve elektronik / elektronik olmayan şeklinde kategorize edilebilecek ortamlarda güvenli bir şekilde saklanır.

SELÇUKLU HASTANESİ’NDE KİŞİSEL VERİ SAKLAMA ORTAMLARI ŞÖYLEDİR:

ELEKTRONİK ORTAMLAR

ELEKTRONİK OLMAYAN ORTAMLAR

  1. Etki alanı, yedekleme, e-posta, veri tabanı, web, dosya paylaşımı gibi ana sunucular
  2. Portal, ofis yazılımları, medikal programlar gibi yazılımlar
  3. İdari kurumlarla entegrasyonu sağlayan meddata ve e-nabız gibi uygulamalar,
  4. Güvenlik duvarı, saldırı tespit ve engelleme, günlük kayıt dosyası, antivirüs antispam programı gibi bilgi güvenliği cihazları
  5. Masaüstü ve dizüstü kişisel bilgisayarlar
  6. Akıllı telefon ve tablet gibi mobil cihazlar
  7. CD, DVD gibi optik diskler
  8. USB bellek, hafıza kartı gibi çıkarılabilir bellekler
  9. Yazıcı, tarayıcı, fotokopi makinesi gibi cihazlar

 

  1. Kâğıt
  2. Anket formları, ziyaretçi giriş̧ defteri, santral kayıt defteri gibi manuel veri kayıt sistemleri
  3. Yazılı, basılı, görsel diğer ortamlar

 

21. KİŞİSEL VERİLERİN KORUNMASI İÇİN ALINAN TEKNİK VE İDARİ TEDBİRLER

Kişisel verilerin korunması ve hukuka uygun şekilde muhafaza edilmesi, hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi ile kişisel verilerin hukuka uygun olarak imha edilmesi için KVK Kurumu’nun yayınladığı Kişisel Veri Güvenliği Rehberi doğrultusunda gerekli idari ve teknik tedbirler alınmakta, politika ve prosedürler belirlenmektedir.

Kişisel verilerin güvenliğini sağlamak için SELÇUKLU HASTANESİ tarafından alınan idari ve teknik tedbirler şöyledir:

21.1 İDARİ TEDBİRLER

Kurumda kişisel verilerin korunması mevzuatına uyum sürecinde çok yönlü çalışmalar yapılmış olup bu çalışmalar halen devam ettirilmektedir. Bu kapsamda alınan tedbirleri ve yapılan çalışmaları şöyle özetlemek mümkündür:

  • Kişisel Verilerin Korunması mevzuatına uyum sürecinde ilk olarak, kurumun yürüttüğü tüm faaliyetler detaylı olarak tüm iş birimleri özelinde analiz edilerek bir kişisel veri işleme envanteri hazırlanmıştır. Bu envanter kapsamında riskli alanlar belirlenerek gerekli hukuki ve teknik tedbirler alınmıştır. Bu kapsamda, KVKK doğrultusunda hazırlanması gereken belgeler bu envanterdeki riskler göz önüne alınarak hazırlanmıştır.
  • Kişisel veri güvenliğine ilişkin politika ve prosedürler belirlenmiş, belirlenen bu politika ve prosedürlerin tam olarak uygulanması için düzenli kontrollere başlanmıştır. Bu kontroller sürekli hale getirilmiştir.
  • Kurumumuz tarafından gerçekleştirilen kişisel veri işleme faaliyetleri bilgi güvenliği sistemleri, teknik sistemlerle ve hukuki yöntemlerle denetlenmektedir.
  • Kurumumuz, çeşitli ihtiyaçlarını karşılayabilmek için zaman zaman harici hizmet sağlayıcı firmalardan hizmet alabilmektedir. Alınan hizmetin türüne göre zaman zaman veri aktarımı da yapılabilmektedir. Bu durumda söz konusu veri işleyen harici hizmet sağlayıcıların gerekli güvenlik önlemlerini aldığından emin olarak işlem yapılmaktadır. Bu kapsamda, veri işleyen ile yazılı bir sözleşme imzalanmaktadır.
  • Veri minimizasyonu prensibi benimsenmekte, bu prensip çerçevesinde kişisel veriler mümkün olduğunca azaltılmakta ve gerekli olmayan, güncelliğini yitirmiş ve bir amaca hizmet etmeyen kişisel veriler toplanmamakta, şayet KVKK’dan önceki dönemde toplandıysa kişisel veri saklama ve imha politikasına uygun bir şekilde imha edilmektedir.
  • Teknik hususlar konusunda uzman personel istihdam edilmektedir.
  • Çalışanların işe alınma süreçlerinde imzalanacak iş sözleşmelerinde gizliliğe ve veri güvenliğine ilişkin olarak hükümler belirlemiş olup çalışanlardan bu hükümlere uymasını istemektedir.
  • Çalışanlar, kişisel verilerin korunması konusunda düzenli olarak bilgilendirilmekte ve eğitilmektedir. Çalışanların rol ve sorumlulukları bu kapsamda gözden geçirilmiş ve görev tanımları revize edilmiştir.
  • Kişisel Verilerin Korunması konusu üst yönetim tarafından da sahiplenilmekte olup bu konuda özel bir komite oluşturulmuş (KVK Komitesi) ve çalışmaya başlamıştır.
  • Güvenlik politika ve prosedürlerine uymayan çalışanlara yönelik uygulanacak disiplin prosedürü hazırlanmıştır.
  • Kişisel veri işlemeye başlamadan önce kurum tarafından, ilgili kişileri aydınlatma yükümlülüğü yerine getirilmektedir. Bu kapsamda metinler oluşturulmuş, yol ve yöntemler belirlenmiştir. Aydınlatma yükümlülüğünün her mecrada uygun yöntemlerle yerine getirilip getirilmediği daimi olarak kontrol edilmektedir.
  • Kurum içi periyodik ve rastgele denetimler yapılmaktadır.
  • Teknolojik gelişmelere uygun şekilde teknik önlemler alınmakta, alınan önlemler periyodik olarak kontrol edilmekte, güncellenmekte ve yenilenmektedir.
  • Erişim yetkileri sınırlandırılmakta, yetkiler düzenli olarak gözden geçirilmektedir.
  • Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır.
  • Alınan teknik önlemler düzenli olarak yetkilisine raporlanmakta, risk oluşturan hususlar yeniden gözden geçirilerek gerekli teknolojik çözümlerin üretilmesi için çalışılmaktadır.

Bu idari tedbirlerle kurumumuzun, KVKK ve sair mevzuata uyumu sağlanmaktadır.

21.2. TEKNİK TEDBİRLER

Kurumumuz tarafından toplanan, muhafaza edilen ve işlenen kişisel verilerle ilgili olarak idari tedbirlerin yansıra teknik tedbirler de alınmıştır. Bu kapsamda alınan teknik tedbirleri şu şekilde açıklamak mümkündür:

Erişim sınırlamaları: Kişisel veri içeren sistemlere erişim yetkileri sınırlandırılmakta ve düzenli olarak gözden geçirilmektedir. Bu kapsamda çalışanlara, yapmakta oldukları iş ve görevler ile yetki ve sorumlulukları için gerekli olduğu ölçüde erişim yetkisi tanınmakta ve kullanıcı adı ve şifre kullanılmak suretiyle ilgili sistemlere erişim sağlanmaktadır.

Anti virüs ve antispam yazılımları: Kötü amaçlı yazılımlardan korunmak için ayrıca, bilgi sistem ağını düzenli olarak tarayan ve tehlikeleri tespit eden antivirüs, antispam gibi ürünler kullanılmakta, ayrıca bunlar güncel tutularak gereken dosyaların düzenli olarak taranmaktadır. Farklı internet siteleri ve/veya mobil uygulama kanallarından kişisel veri temin edilecekse, bağlantıların SSL ya da daha güvenli bir yol ile gerçekleştirilmesi sağlanmaktadır.

Kişisel Veri İçeren Ortamların Güvenliğinin Sağlanması: Kişisel verilerin saklandığı cihazlarda ve kağıt ortamlarında, bu cihazların ve kağıtların çalınması veya kaybolması veya zarar görmemesi için gereken fiziksel güvenlik önlemleri alınmaktadır.

Bu ortamlar kilitli bir şekilde ve sadece yetkili kişilerin erişebileceği hale getirilmekte, bu alanlara erişimler kayıt altına alınarak ve 7/24 izlenerek uygunsuz erişimler veya erişim denemeleri kontrol altında tutulmaktadır. Söz konusu ortamlara ve kaynaklara yetkisiz erişim önlenmektedir.

Kişisel verilerin yer aldığı fiziksel ortamlar dış risklere (yangın, sel, ısı vb.) karşı uygun yöntemlerle korunmakta, yangın söndürme iklimlendirme gibi sistemler kurulamaktadır.

Siber Güvenliğin Sağlanması: Kişisel veri güvenliğinin sağlanması için siber güvenlik ürünleri kullanılmaktadır. Güvenlik duvarı, güvenlik protokolü ve ağ geçidi gibi tedbirler ile internet gibi ortamlardan gelen saldırılara karşı ilk savunma hattı oluşturulmaktadır. Bununla birlikte hemen hemen her yazılım ve donanım bir takım kurulum ve yapılandırma işlemlerine tabi tutulmaktadır. Yama yönetimi ve yazılım güncellemeleri ile yazılım ve donanımların düzgün bir şekilde çalışması sağlanmaktadır.

Şifreleme: Kişisel veri içeren sistemlere erişim yetkileri için güçlü şifre ve parolalar oluşturulurken, kişisel bilgilerle ilişkili ve kolay tahmin edilecek rakam ya da harf dizileri yerine büyük küçük harf, rakam ve sembollerden oluşacak kombinasyonların tercih edilmesi sağlanmaktadır. Ayrıca yaygın saldırılardan korunmak için şifre girişi deneme sayısının sınırlandırılması, düzenli aralıklarla şifre ve parolaların değiştirilmesinin sağlanması, yönetici hesabı ve admin yetkisinin sadece ihtiyaç olduğu durumlarda kullanılması için açılması ve veri sorumlusuyla ilişikleri kesilen çalışanlar için zaman kaybetmeksizin hesabın silinmesi ya da girişlerin kapatılması gibi yöntemlerle güvenlik tedbirleri artırılmaktadır.

Kişisel Verilerin Yedeklenmesi: Kişisel verilerin herhangi bir sebeple zarar görmesi, yok olması, çalınması veya kaybolması gibi hallerde kurum yedeklenen verileri kullanarak en kısa sürede faaliyete geçmeyi sağlamaktadır. Yedeklenen kişisel veriler sadece sistem yöneticisi tarafından erişilebilir olup, veri seti yedekleri ağ dışında tutulmaktadır.

Kişisel Veri Güvenliğinin Takibi: Bilişim ağlarında hangi yazılım ve servislerin çalıştığının kontrol edilmekte, bilişim ağlarında sızma veya olmaması gereken bir hareket olup olmadığı belirlenmekte, tüm kullanıcıların işlem hareketleri (log kayıtları gibi) düzenli olarak kaydedilmekte, güvenlik sorunlarının mümkün olduğunca hızlı bir şekilde raporlanması yapılmaktadır. Bu kapsamda periyodik olarak sızma testleri yapılmakta bilişim sistemlerine yönelik risk, tehdit, zafiyet ve varsa açıklar ortaya çıkarılarak gerekli önlemler alınmaktadır. Yine çalışanların sistem ve servislerdeki güvenlik zafiyetlerini ya da bunları kullanan tehditleri bildirmesi için raporlama prosedürü oluşturulmaktadır.

Kurum dışında bulunan elektronik ortam ve cihazlar için alınan tedbirler:  Kurumumuzun, kurum dışında kişisel veri muhafaza ettiği herhangi bir alan yoktur. Bununla birlikte, kişisel veri güvenliği ihlalleri sıklıkla kişisel veri içeren cihazların (dizüstü bilgisayar, cep telefonu, flash disk vb.) çalınması ve kaybolması gibi nedenlerle ortaya çıktığı gözetilerek elektronik posta ya da posta ile aktarılacak kişisel verilerin de dikkatli bir şekilde ve yeterli tedbirler alınarak gönderilmektedir. Çalışanların şahsi elektronik cihazları ile bilgi sistem ağına erişim sağlaması durumunda bunlar için de yeterli güvenlik tedbirleri alınmaktadır.

Elektronik ortam ve cihazların çalınmasına ilişkin tedbirler: Kişisel veri içeren cihazların kaybolması veya çalınması gibi durumlara karşı erişim kontrol yetkilendirmesi ve/veya şifreleme yöntemlerinin kullanılması yöntemi uygulanmaktadır. Bu kapsamda şifre anahtarı, sadece yetkili kişilerin erişebileceği ortamda saklanmakta ve yetkisiz erişim önlenmektedir.

Bilgi Teknolojileri Sistemleri Tedariki, Geliştirme ve Bakım: Kurumumuz tarafından yeni sistemlerin tedariki, geliştirilmesi veya mevcut sistemlerin iyileştirilmesi ile ilgili ihtiyaçlar belirlenirken güvenlik gereksinimleri göz önüne alınmaktadır.

Kişisel Verilerin Bulutta Depolanması: Kurumumuz tarafından prensip olarak bulut depolama işlemi uygulanmamaktadır. Bununla birlikte, bulutta depolamanın yapıldığı istisnai anlarda, bulut depolama hizmeti sağlayıcısı tarafından alınan güvenlik önlemlerinin yeterli ve uygun olup olmadığına bakılmaktadır. Yine bulutta depolanan kişisel verilerin neler olduğu listelenmekte, yedeklenmekte, senkronizasyonu sağlanmaktadır. Buluta erişim için iki kademeli kimlik doğrulama ve şifreleme kontrolü uygulanmaktadır. Kişisel verilerin bulunduğu veri depolama alanlarına erişimler loglanarak uygunsuz erişimler veya erişim denemeleri ilgililere anlık olarak iletilmektedir.

Kişisel verilerin ele geçirilmesi ihtimaline ilişkin tedbirler: Alınan tüm tedbirlere rağmen, kişisel verilerin herhangi bir yolla ele geçirilmesi halinde kurumumuz, bu durumu KVKK 12.Madde gereğince en kısa sürede KVK Kurulu’na ve veri sahiplerine bildirmek ve sorumlular hakkında Cumhuriyet Savcılığı’na suç duyurusunda bulunmak için gerekli organizasyonu yapmıştır.

İmha edilen kişisel verilerle ilgili alınan tedbirler: Kurumumuz, silme, yok etme veya anonimleştirme yöntemlerinden biriyle imha edilen kişisel verilerin erişilemez veya tekrar kullanılamaz olması veya geri getirilememesi için gerekli tedbirleri almaktadır.

Kurumumuz yukarıda belirtilen tedbirlerle, kişisel verilerin muhafazasını sağlamaktadır.

22.  ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN KORUNMASI İÇİN ALINAN TEDBİRLER

KVKK 6.maddesinde belirtilen kişisel veriler hukuka aykırı olarak işlendiğinde kişilerin mağduriyetine veya ayrımcılığa sebep olma riski taşıdıkları için özel nitelikli kişisel veri olarak düzenlemiş ve bu verilerin işlenmesini daha hassas bir koruma benimsenmiştir.

Özel nitelikli kişisel veriler, önemine binaen işlenmesi ve korunması ile ilgili ayrı bir politika hazırlanmış ve yürürlüğe alınmıştır. Yukarıda kişisel verilerin korunması için alınan idari ve teknik tedbirler izah edilmiştir. Bu tedbirlere ilaveten özel nitelikli kişisel verilerle ilgili olarak;

  1. Kurumumuz KVKK’nın 10. maddesine uygun olarak, özel nitelikli kişisel verilerin elde edilmesi sırasında veri sahiplerini aydınlatmaktadır. Kural olarak özel nitelikli kişisel verilerin işlenebilmesi için veri sahibinin açık rızası gerektiğinden kurumumuz tarafından da veri sahiplerinden açık rıza alınmaktadır. Bu aşamada veri sahiplerine açık rızalarını belirli bir konuya ilişkin, bilgilendirilmeye dayalı olarak ve özgür iradeyle açıklama fırsatını sunmaktadır. Prensip olarak, özel nitelikli kişisel verilerin işlenmesi için ilgili kişilerin açık rızalarını yazılı olarak almaktadır. Ancak KVKK m. 6/3 uyarınca, KVKK m. 5/2’de belirtilen şartlardan herhangi birinin varlığı durumunda veri sahiplerinin açık rızası aranmamaktadır. Bunun yanında KVKK m. 6/3, sağlık ve cinsel hayata ilişkin kişisel verilerin kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebileceğini düzenlemektedir. 
  2. Hangi nedene dayanırsa dayansın, işleme süreçlerinde daima genel veri işleme ilkeleri dikkate alınmakta ve bu ilkelere uygunluk sağlanmaktadır. Kaldı ki kurumumuz tarafından özel nitelikli kişisel veriler, KVKK’ya uygun tedbirler alınarak ve gerekli denetimler yapılarak/yaptırılarak işlenmektedir.
  3. Nitekim kurumumuz veri minimizasyonu ilkesi gereği, özel nitelikli kişisel veriler, ilgili iş süreci için gerekli olmadığı sürece toplanmamakta ve yalnızca gerekli durumlarda işlenmektedir.
  4. Özel nitelikli kişisel veri işlenmesi durumunda kanuni yükümlülüklere uymak ve KVK Kurulu tarafından belirlenen önlemlere uyum sağlamak için gerekli görülen teknik ve idari tedbirler alınmaktadır. Bu kapsamda öncelikle, yukarıda kişisel verilerin korunması başlığı altında sıraladığımız tüm teknik ve idari tedbirler özel nitelikli kişisel veri işleme süreçlerinde de harfiyen uygulanmaktadır.
  5. Ayrıca özel nitelikli kişisel veri işleme süreçlerinde yer alan çalışanlara yönelik özel nitelikli kişisel veri güvenliği konusunda eğitimler verilmiş, gizlilik sözleşmeleri yapılmış, verilere erişim yetkisine sahip kullanıcıların yetkileri tanımlanmıştır.
  6. Prensip olarak özel nitelikli kişisel verilerin transferi yapılmamaktadır. Bununla birlikte transferin kaçınılmaz olduğu durumlarda;
    • e-posta yoluyla aktarılması gerekiyorsa şifreli olarak kurumsal e-posta adresiyle veya KEP hesabı kullanılarak aktarılmaktadır.
    • Taşınabilir bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerekiyorsa kriptografik yöntemlerle şifrelenmekte ve kriptografik anahtar farklı ortamda tutulmaktadır.
    • Sunucular arasında aktarma işlemi ise online olarak yapılmamakta, lazım gelen aktarmalar taşınabilir bellek, CD, DVD gibi ortamlar yoluyla yapılmakta, aktarımın yapıldığı ortamdan veriler kalıcı olarak silinmektedir.
    • Aktarımın kâğıt ortamında yapılması gerekiyorsa, evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemler alınmakta ve evrak “gizli” formatta gönderilmektedir.

SELÇUKLU HASTANESİ özel nitelikli kişisel verilerin önemi ve hassasiyeti nedeniyle, -genel olarak kişisel verilerin korunması için aldığı tedbirlere ilaveten- yukarıdaki önlem ve tedbirleri de alarak özel nitelikli kişisel verilerin güvenliğini sağlamaktadır.

23. SAKLAMA VE İMHAYA İLİŞKİN AÇIKLAMALAR

Site ziyaretçileri, hastalar, hasta yakınları, misafirler, iş ortakları, müşteriler, potansiyel müşteriler, çalışanlar, çalışan adayları, stajyerler, stajyer adayları, tedarikçiler, diğer üçüncü kişiler, kısaca veri ilgili kişilerine ait kişisel veriler SELÇUKLU tarafından kanuna uygun olarak saklanır ve imha edilir.

23.1 SAKLAMAYA İLİŞKİN AÇIKLAMALAR

Kişisel Verileri Koruma Kanununun 3. maddesinde kişisel verilerin işlenmesi kavramı tanımlanmıştır. Aynı kanunun 4. maddesinde işlenen kişisel verinin işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli süre kadar muhafaza edilmesi gerektiği belirtilmiştir. Kişisel Verileri Koruma Kanununun 5. ve 6. maddelerde de kişisel verilerin işleme şartları sayılmıştır.

Buna göre, SELÇUKLU’in faaliyetleri çerçevesinde kişisel veriler, Kişisel Verileri Koruma Kanunu başta olmak üzere ilgili mevzuatta öngörülen veya işleme amaçlarına uygun süre kadar saklanır.

13.1.1. SAKLAMAYI GEREKTİREN HUKUKİ SEBEPLER

SELÇUKLU HASTANESİ’nde, kurum faaliyetleri kapsamında işlenen kişisel veriler, ilgili mevzuatta öngörülen hukuki sebeplerle ve bu mevzuata göre belirlenen süre kadar muhafaza edilir. Bu kapsamda kişisel veriler;

  • 2219 sayılı Hususi Hastaneler Kanunu,
  • 3359 sayılı Sağlık Hizmetleri Temel Kanunu,
  • 6698 sayılı Kişisel Verilerin Korunması Kanunu,
  • 213 sayılı Vergi Usul Kanunu,
  • 6098 sayılı Türk Borçlar Kanunu,
  • 6102 Sayılı Türk Ticaret Kanunu,
  • 6100 Sayılı Hukuk Muhakemeleri Kanunu,
  • 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu,
  • 5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun,
  • 6331 Sayılı İş Sağlığı ve Güvenliği Kanunu,
  • 4982 Sayılı Bilgi Edinme Kanunu,
  • 4857 Sayılı İş Kanunu
  • 2828 sayılı Sosyal Hizmetler Kanunu
  • 663 sayılı Sağlık Bakanlığı ve Bağlı Kuruluşlarının Teşkilat ve Görevleri Hakkında Kanun Hükmünde Kararname,
  • Özel Hastaneler Yönetmeliği, Sağlık Uygulama Tebliği, Hasta Hakları Yönetmeliği, Kişisel Sağlık Verilerinin İşlenmesi ve Mahremiyetinin Korunması Yönetmeliği gibi Bu kanunlar uyarınca yürürlükte olan diğer ikincil düzenlemeler

Çerçevesinde, bu mevzuatta belirtilen sebeplerle ve öngörülen saklama süreleri kadar saklanmaktadır.

23.1.2. SAKLAMAYI GEREKTİREN İŞLEME AMAÇLARI

Saklamayı gerektiren işleme amaçları, yukarıda, “16. KİŞİSEL VERİLERİN TOPLANMA, İŞLENME VE SAKLANMA AMAÇLARI” başlığı altında detaylı olarak izah edilmiş olup, hacmi artırmamak bakımından burada yinelenmemiştir.

Saklamayı gerektiren işleme amaçları konusunda bilgi edinmek için anılan başlık altındaki açıklamaları incelemeniz uygun olacaktır.

23.2.3 İMHAYI GEREKTİREN SEBEPLER

Kurumumuz tarafından toplanan kişisel veriler,

  • Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş̧ olması ve kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması,
  • Toplanmasına ve işlenmesine esas teşkil eden mevzuat hükümlerinin değiştirilmesi veya ilgası,
  • Toplanmasını, işlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,
  • Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin açık rızasını geri alması,
  • Kişisel Verileri Koruma Kanununun 11. inci maddesi gereği ilgili kişinin hakları çerçevesinde kişisel verilerinin silinmesi ve yok edilmesine ilişkin yaptığı başvurunun SELÇUKLU HASTANESİ tarafından kabul edilmesi,
  • Veri sahibi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebini SELÇUKLU HASTANESİ’ne iletmesine rağmen bu başvurudan sonuç alamaması üzerine Kurul’a şikâyette bulunması ve bu talebin Kurul tarafından uygun bulunması,

Durumlarında, SELÇUKLU HASTANESİ tarafından ilgili kişinin talebi üzerine imha edilir.

24. KİŞİSEL VERİLERİN İMHASI

KVKK’nın 7. maddesi ve Türk Ceza Kanunu’nun 138. maddesi doğrultusunda kişisel veriler, ilgili kanun hükümlerine uygun olarak toplanmış olsa dahi, işlenmesini gerektiren veya haklı kılan sebeplerin ortadan kalkması hâlinde, kurumumuz tarafından re’sen veya kişisel veri sahibinin bu yöndeki talebi üzerine mevzuat hükümlerine uygun olarak imha edilir. Kurumumuzun ilgili mevzuat hükümleri gereğince kişisel verileri muhafaza etme hak ve/veya yükümlülüğünün olduğu durumlarda veri sahibinin talebini yerine getirmeme hakkı saklıdır.

Kişisel verilerin imhası, kurumumuz tarafından hazırlanan ve benimsenen Kişisel Verileri Saklama ve İmha Politikası kapsamda ele alınmıştır. Kişisel verilerin imhası aşamasında, mevzuat hükümlerine uygun olarak çeşitli yöntemler uygulanmaktadır.

24.1 KİŞİSEL VERİLERİN SİLİNMESİ:

Kişisel veriler ilgili kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren veya haklı kılan sebeplerin ortadan kalkması hâlinde, kurumumuz tarafından re’sen veya kişisel veri sahibinin bu yöndeki talebi üzerine mevzuat hükümlerine uygun olarak silinir.  Kişisel verilerin silinmesi, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Kurumumuzda, silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması için gerekli her türlü teknik ve idari tedbirler alınır.

Kişisel veriler çeşitli kayıt ortamlarında saklanabildiklerinden kayıt ortamlarına uygun yöntemlerle silinmektedir. Buna ilişkin örnekler aşağıda yer almaktadır:

Sunucularda yer alan verilerin silinmesi: Sunucularda bulunan verilerin silinmesi sırasında önce kullanıcıların erişim yetkisi kaldırılmakta akabinde silme işlemi yapılmaktadır. Bu işlem gerçekleştirildikten sonra kullanıcıların verileri geri getirme yetkilerinin olmadığı gözetilmektedir.

Taşınabilir medyada bulunan kişisel verilerin silinmesi: Flash tabanlı saklama ortamlarındaki kişisel veriler, şifreli olarak saklanmakta olup bu ortamlardaki veriler uygun yazılımlar kullanılarak silinmektedir.

Veri tabanlarında bulunan kişisel verilerin silinmesi: Kişisel veriler veri tabanı yöneticisi hariç̧ diğer çalışanlar (ilgili kullanıcılar) için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmektedir. Akabinde veri tabanı komutları ile silinmektedir.

Bulut sistemlerinde yer alan kişisel verilerin silinmesi: Bulut sisteminde veriler silme komutu verilerek silinmektedir. Bu işlem gerçekleştirildikten sonra kullanıcıların bulut sistemi üzerinde silinmiş verileri geri getirme yetkilerinin olmadığı gözetilmektedir.

Fiziksel ortamda bulunan kişisel verilerin silinmesi: Kâğıt ortamında bulunan kişisel veriler karartma yöntemi kullanılarak silinmektedir. Karartma işlemi, ilgili evrak üzerindeki kişisel verilerin, mümkün olan durumlarda kesilmesi, mümkün olmayan durumlarda ise geri döndürülemeyecek ve teknolojik çözümlerle okunamayacak şekilde sabit mürekkep kullanılarak (çizilerek/boyanarak/silinerek) ilgili kullanıcılara görünemez hale getirilmesi şeklinde yapılır.

24.2. KİŞİSEL VERİLERİN YOK EDİLMESİ

Kişisel veriler ilgili kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren veya haklı kılan sebeplerin ortadan kalkması hâlinde, kurumumuz tarafından re’sen veya kişisel veri sahibinin bu yöndeki talebi üzerine mevzuat hükümlerine uygun olarak yok edilir. Kişisel verilerin yok edilmesi, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Kurumumuzda, yok edilen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması için gerekli her türlü teknik ve idari tedbirler alınır.

Kişisel veriler çeşitli kayıt ortamlarında saklanabildiklerinden kayıt ortamlarına uygun yöntemlerle yok edilmektedir. Buna ilişkin örnekler aşağıda yer almaktadır:

Fiziksel olarak yok etme: Kişisel veriler herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla da işlenebilmektedir. Bu tür veriler yok edilirken kişisel verinin sonradan kullanılamayacak biçimde fiziksel olarak yok edilmesi sistemi uygulanmaktadır.   

Yazılımdan güvenli olarak silme yoluyla yok etme: Tamamen veya kısmen otomatik olan yollarla işlenen ve dijital ortamlarda muhafaza edilen veriler yok edilirken, bir daha kurtarılamayacak biçimde verinin ilgili yazılımdan silinmesine ilişkin yöntemler kullanılmaktadır.

Uzman tarafından güvenli olarak yok etme: Bazı durumlarda kişisel verileri silmesi için bir uzman ile anlaşabilir. Bu durumda, kişisel veriler bu konuda uzman olan kişi tarafından bir daha kurtarılamayacak biçimde güvenli olarak yok edilir.

Karartma: Bazı durumlarda kişisel veriler fiziksel olarak okunamayacak hale güvenli olarak yok edilir.

24.2.1. KİŞİSEL VERİLERİN YOK EDİLMESİ YÖNTEMLERİ

Kişisel verilerin yok edilmesi için, verilerin bulunduğu tüm kopyaların tespit edilmesi ve verilerin bulunduğu sistemlerin türüne göre aşağıda yer verilen yöntemlerden bir ya da birkaçının kullanılmasıyla tek tek yok edilir.

Kağıt ve mikrofiş ortamlardan yok etme: Söz konusu ortamlardaki kişisel veriler, kalıcı ve fiziksel olarak ortam üzerine yazılı olduğundan ana ortam edilir. Bu işlem gerçekleştirilirken ortam, kağıt imha veya kırpma makinaları ile anlaşılmaz boyutta, geri birleştirilemeyecek şekilde küçük parçalara bölünür. Orijinal kağıt formattan, tarama yoluyla elektronik ortama aktarılan kişisel verilerin ise bulundukları elektronik ortama göre, aşağıda elektronik ortamlar için izah edilen yöntemlerden biri ile birkaçı uygulanarak yok etme işlemi uygulanır.

Elektronik ortamlardan yok etme: Elektronik ortamlarda bulunan kişisel veriler, bulunduğu elektronik ortama göre bir veya birkaç yöntemle yok edilir.

  • De-manyetize etme: Manyetik medyanın özel bir cihazdan geçirilerek yüksek değerde bir manyetik alana maruz bırakılması ile üzerindeki verilerin okunamaz biçimde bozulması işlemidir.
  • Fiziksel yok etme: Optik medya ve manyetik medyanın eritilmesi, yakılması veya bir metal öğütücüden geçirmek suretiyle toz haline getirilmesi gibi işlemlerle veriler erişilmez kılınır.
  • Üzerine yazma: Manyetik medya ve yeniden yazılabilir optik medya üzerine rastgele veriler yazarak eski verinin kurtarılmasının önüne geçilmesi işlemidir. Bu işlem özel yazılımlar kullanılarak yapılmaktadır.
  • Bazı komutlar kullanılması suretiyle yok etme: Bazı elektronik ortamlar, örneğin flash tabanlı ortamlar ATA (SATA, PATA vb.), SCSI (SCSI Express vb.) ara yüzüne sahiptir. Bu ara yüze sahip olanlar, destekleniyorsa komutunu kullanmak suretiyle yok edilir.
  • Şifreleme anahtarlarının tüm kopyalarının yok edilmesi: Bazı elektronik sistemlerde (örneğin bulut depolama alanları) kişisel verilerin depolanması ve kullanımı sırasında, kriptografik yöntemlerle şifrelenmesi ve şifreleme anahtarları kullanılması gerekmektedir. Bulut bilişim hizmet ilişkisi sona erdiğinde, kişisel verileri kullanılır hale getirmek için gerekli şifreleme anahtarlarının tüm kopyalarının yok edilmesi, bu suretle ulaşılmasının imkansız hale getirilmesi gerekir.

Diğer yandan, onarım veya bakıma gönderilecek elektronik ortamlardaki kişisel veriler, cihaz bakım, onarım işlemi için üretici, satıcı, servis gibi üçüncü kurumlara aktarılmadan önce içinde yer alan kişisel veriler yukarıda bahsedilen yöntemlerin bir ya da birkaçı kullanılmak suretiyle yok edilmekte, yok etmenin mümkün ya da uygun olmadığı durumlarda, veri saklama ortamı sökülerek saklanmakta ve sadece arızalı parçalar gönderilmekte, dışarıdan bakım, onarım gibi amaçlarla gelen personelin, kişisel verileri kopyalayarak kurum dışına çıkartmasının engellenmesi için gerekli önlemler alınmaktadır.

24.3. KİŞİSEL VERİLERİN ANONİM HALE GETİRİLMESİ

Kişisel verilerin anonimleştirilmesi, kişisel verilerin geri döndürülememesi ve/veya başka verilerle eşleştirilmesi gibi uygun tekniklerin kullanılması yoluyla dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesidir.

Anonim hale getirilmiş olan kişisel veriler KVKK 28. maddesine uygun olarak araştırma, planlama ve istatistik gibi amaçlarla işlenebilir. Bu tür işlemeler KVK Kanunu kapsamı dışında olup, kişisel veri sahibinin açık rızası aranmayacaktır.

Kurumumuz hukuka uygun olarak işlenen kişisel verilerin işlenmesini gerektiren sebepler ortadan kalktığında lüzumu halinde, gerekli her türlü teknik ve idari tedbirleri almak şartıyla kişisel verileri aşağıdaki yöntemlerden biriyle anonimleştirebilmektedir.

24.3.1. KİŞİSEL VERİLERİN ANONİM HALE GETİRİLMESİ YÖNTEMLERİ

Anonim hale getirme, bir veri kümesindeki tüm doğrudan ve/veya dolaylı tanımlayıcıların çıkartılarak ya da değiştirilerek, ilgili kişinin kimliğinin saptanabilmesinin engellenmesi veya bir grup veya kalabalık içinde ayırt edilebilir olma özelliğini bir gerçek kişiyle ilişkilendirilemeyecek şekilde kaybetmesidir.

Bu özelliklerin engellenmesi veya kaybedilmesi sonucunda belli bir kişiye işaret etmeyen veriler, anonim hale getirilmiş veri sayılır. Diğer bir ifadeyle anonim hale getirilmiş veriler bu işlem yapılmadan önce gerçek bir kişiyi tespit eden bilgiyken bu işlemden sonra ilgili kişi ile ilişkilendirilemeyecek hale gelmiştir ve kişiyle bağlantısı kopartılmıştır. Şu durumda, anonim hale getirmiş olabilmek için veri ile bu verinin tanımladığı kişi arasındaki bağın kopartılması gerekecektir.

Kişisel verinin tutulduğu veri kayıt sistemindeki kayıtlara uygulanan otomatik olan veya olmayan gruplama, örnekleme, maskeleme, veri türetme, veri karma, genelleştirme, rastgele hale getirme gibi yöntemlerle yürütülen bağ koparma işlemlerinin hepsine anonim hale getirme yöntemleri adı verilir.

Hangi yöntemin uygulanması suretiyle anonimleştirme işleminin yapılacağı, veriye dair özelliklere göre değişmektedir. Kurumumuz hangi yöntemlerin uygulanacağına; Verinin niteliği, büyüklüğü, ortamlarda bulunma yapısı, çeşitliliği, veriden sağlanmak istenen fayda / işleme amacı, verinin işleme sıklığı, verinin aktarılacağı tarafın güvenilirliği, verinin anonim hale getirilmesi için harcanacak çabanın anlamlı olması, verinin anonimliğinin bozulması halinde ortaya çıkabilecek zararın büyüklüğü, etki alanı, anonimliği bozacak bir saldırı için harcanacak çabanın anlamlı olması gibi hususları değerlendirerek karar vermektedir.

Buna göre, kurumumuz tarafından çoğunlukla kullanılan anonim hale getirme yöntemleri şunlardır:

Veri Türetme: Mevcut detay verilerin daha genel karşılıklarıyla değiştirilmesidir.

Veri Karma: Veri kümesi içinde değerlerin karıştırılarak toplam faydaya zarar vermeden kişilerin tespit edilebilirlik özelliğinin yok edilmesini ifade eder.

Toplulaştırma/genelleştirme: İlgili kişisel veriyi özel bir değerden daha genel bir değere çevirme işlemidir. Kişisel verilerin kümülatif hale getirilerek toplam değerlerin yansıtılmasını ifade eder.

Maskeleme: Kişisel verilerin belli alanlarının silinerek veya yıldızlanarak kişiyi belirtemez hale getirilmesidir.

Örnekleme: Örnekleme yönteminde bütün veri kümesi yerine, kümeden alınan bir alt küme açıklanır veya paylaşılır. Böylelikle bütün veri kümesinin içinde yer aldığı bilinen bir kişinin açıklanan ya da paylaşılan örnek alt küme içinde yer alıp almadığı bilinmediği için kişilere dair isabetli tahmin üretme riski düşürülmüş olur.

Mikro birleştirme: Mikro birleştirme yönteminde tüm veriler ilk olarak anlamlı bir sıraya dizilerek (büyükten küçüğe gibi) gruplara ayrılıp, grupların ortalaması alınarak elde edilen değer mevcut gruptaki ilgili verilerin yerine yazılarak anonimleştirme sağlanır.

Kurumumuzda, yukarıda yöntemlerden bir veya birkaçı ile anonim hale getirilen verilerin, çeşitli çabalarla anonimliğinin bozulamaması için gerekli tedbirleri almakta, periyodik kontrolleri yapılmakta ve anonimliğin devamlılığı sağlanmaktadır.

25. SAKLAMA VE İMHA SÜRELERİ

Kişisel veriler, toplandıkları amacı yerine getirmek için gerekli süre boyunca saklanmaktadır. Bu süreler her bir iş süreci özelinde ayrı ayrı belirlenmektedir.

Kişisel verilerin ne kadar süre boyunca saklanması gerektiğine ilişkin mevzuatta bir süre belirtilmemişse kişisel verilerin imha süreleri belirlerken aşağıdaki kriterler dikkate alınmaktadır

  • Sağlık sektöründe genel teamül gereği kabul edilen süre,
  • Veri sahibiyle tesis edilen hukuki ilişkinin devam edeceği süre,
  • Kişisel verileri hukuken saklamak zorunda olduğu süre,
  • Kurumumuzun elde edeceği meşru menfaatin hukuka ve dürüstlük kurallarına uygun olarak geçerli olacağı süre,
  • Verinin saklanmasının yaratacağı risk, maliyet ve sorumlulukların hukuken devam edeceği süre,
  • Verinin doğru ve gerektiğinde güncel tutulmasının gerekliliği ve bunun belirlenen süre için mümkün olup olmadığı,
  • Veri sorumlusu tarafından, kişisel veriye bağlı bir hakkın ileri sürülmesi için belirlenen zamanaşımı süresi.

Kurumumuzun tarafından işlenmekte olan kişisel verilerle ilgili olarak belirlenen saklama süreleri, (veri, kategori ve sürece göre) Kişisel Veri İşleme Envanterinde, Verbis’e kayıtta ve Kişisel Veri Saklama ve İmha Politikasında detaylı şekilde gösterilmiştir.

Söz konusu saklama süreleri üzerinde, gerekmesi halinde kurumumuz tarafından güncellemeler yapılmaktadır.

Saklama sürelerinin sona ermesi halinde ise kişisel verilerin saklanması için başkaca bir sebep bulunmuyorsa kişisel veriler KVKK’ya uygun şekilde imha edilmektedir. Bu kapsamda veriler silme veya yok etme veya anonim hale getirme işlemine tabi tutulmaktadır.

Bu bilgiler çerçevesinde, veri sahibine ve veri türüne göre kurumumuz tarafından benimsenen kişisel veri saklama süreleri şöyledir:

VERİ SAHİBİ

VERİ TÜRÜ

VERİ SAKLAMA SÜRESİ

Ürün ve hizmet alıcısı (Hasta)

Ad, soyad, T.C. kimlik numarası, TC vatandaşı olmayanların pasaport numarası veya geçici T.C. kimlik numarası, doğum yeri, doğum tarihi, medeni hal, cinsiyet, anne baba adı, nüfus cüzdanı seri no, sıra no, aile sıra no vb. gibi kimlik verileri, telefon numarası, adres gibi iletişim verileri, kan grubu gibi sağlık verileri, avuç içi gibi biyometrik verileri, sigorta bilgisi gibi müşteri işlem bilgileri, sağlık verileri, kan grubu

Tedavinin devamında ve hitamını takip eden yıldan itibaren 20 yıl

Hasta yakını, refakatçi

Ad-soyad, TC kimlik no gibi kimlik verileri, adres, telefon numarası gibi iletişim verileri

Tedavinin devamında ve hitamını takip eden yıldan itibaren 20 yıl

Çalışan adayı

Ad, soyad, doğum yeri, doğum tarihi, medeni hali, özgeçmiş bilgileri gibi kimlik verileri, üniversite adı, mezun olduğu bölüm, mezuniyet tarihi gibi, daha önce çalışılan yerler - hizmet cetveli, sürücü belgesi, askerlik durumu, resim, referanslar gibi özlük verileri, telefon numarası, adres, e-posta adresi iletişim verileri, resim gibi görsel kayıtları, engellilik durumu gibi sağlık verileri

Alındığı tarihten itibaren 2 yıl

Stajyer adayı ve stajyerler

Ad, soyad, doğum yeri, doğum tarihi, medeni hali, özgeçmiş bilgileri gibi kimlik verileri, üniversite adı, mezun olduğu bölüm, mezuniyet tarihi gibi, daha önce çalışılan yerler - hizmet cetveli, sürücü belgesi, askerlik durumu, resim, referanslar gibi özlük verileri, telefon numarası, adres, e-posta adresi iletişim verileri, banka IBAN no gibi finansal bilgiler, kan grubu gibi sağlık bilgileri, din gibi felsefi inanç mezhep din bilgileri

Staj yapılmaması halinde alındığı tarihten itibaren 2 yıl, staj yapılması halinde stajın tamamlanmasından itibaren 10 yıl

Çalışanlar

Ad, soyad, TCKN, telefon numarası, adres, doğum yeri, doğum tarihi, e-posta adresi, medeni hali, özgeçmiş bilgileri, üniversite adı, mezun olduğu bölüm, mezuniyet tarihi, daha önce çalışılan yerler - hizmet cetveli, anne baba adı, KPSS puanı, bakmakla yükümlü olduğu kişilerin ad ve soyad bilgisi, nüfus cüzdanı seri no, sıra no, aile sıra no vb. bordro bilgileri, disiplin soruşturması, işe giriş-çıkış belgeleri, performans raporları, izin bilgileri vb., diploma bilgileri, gidilen kurslar, meslek içi eğitim bilgileri, sertifikalar, mezuniyet notları vb., diploma, ceza mahkumiyeti ve güvenlik tedbirleri, sağlık bilgisi, imza, banka iban numarası, adli makamlarla yazışmalardaki bilgiler ve dava dosyasındaki bilgiler, adli sicil kaydı, kan grubu, din

İş akdinin devamında ve hitamını takip eden yıldan itibaren 20 yıl

Hissedarlar, ortaklar

Ad soyad, TCKN, banka iban bilgileri, imza

İş ilişkisinin devamında ve hitamını takip eden yıldan itibaren 10 yıl

İş Ortağı/Çözüm Ortağı/Danışman ile bunların çalışanları

İş ortağı/çözüm ortağı/danışman ile kurumumuz arasındaki ticari ilişkinin yürütülmesi kapsamında; kimlik bilgisi, iletişim bilgisi, finansal bilgiler, telefon aramalarında alınan ses kayıtları, imza, vergi dairesi bilgileri

İş ilişkisinin devamında ve hitamını takip eden yıldan itibaren 10 yıl

Ziyaretçi

Ad, soyad, TCKN, telefon numarası, araç plakası ile güvenlik kamerası kayıtları, telefon aramalarında alınan ses kayıtları

Alındığı tarihten itibaren 2 yıl

İnternet Sitesi ve sosyal medya hesabı ziyaretçisi

İnternet sitesi ziyaretçisine ait gezinme hareketleri bilgileri

Alındığı tarihten itibaren 2 yıl

Açık rıza formu ile alınmış diğer kişisel veriler

Yukarıda tanımlanmamış diğer sebeplerle açık rıza formu ile alınmış ad, soyad, TCKN iletişim bilgileri, ödeme bilgileri ve yöntemleri, gezinme hareketleri bilgileri,  telefon aramalarında alınan ses kayıtları, ürün/hizmet tercihleri, işlem geçmişi, özel gün bilgileri vb.

Alındığı tarihten itibaren 2 yıl

Konuyla ilgili mevzuat uyarınca daha uzun bir süre düzenlenmiş olması ya da mevzuat uyarınca zamanaşımı, hak düşürücü süre veya saklama süreleri için daha uzun bir süre belirlenmişse mevzuat hükümlerindeki süreler azami saklama süresi olarak kabul edilir.

26. PERİYODİK İMHA SÜRESİ

Kurumumuz, periyodik imha süresini 6 ay olarak belirlemiştir. Buna göre her yıl Haziran ve Aralık aylarında kişisel verilerin muhafaza süreleri kontrol edilecek ve imha şartları gerçekleşenler için periyodik imha işlemi gerçekleştirilir.

27. VERİ SAHİPLERİNİN KİŞİSEL VERİLERİN KORUNMASINA YÖNELİK HAKLARI

Veri sahipleri, SELÇUKLU HASTANESİ nezdinde tutulan verileriyle ilgili olarak, dilediği zaman SELÇUKLU HASTANESİ’ne başvurarak kişisel verilerin;

  • İşlenip işlenmediğini, işlenme amacını ve bu amaca uygun kullanıp kullanılmadığını öğrenebilir ve işlenmiş ise bu konuda her türlü bilgiyi isteyebilir.
  • Yurt içinde ve yurt dışında verilerinizin paylaşıldığı üçüncü kişileri öğrenebilir bu konuda bilgi isteyebilir.
  • Verilerinizin eksik ya da hatalı işlendiğini düşünülüyorsa bu hataların düzeltilmesini, ve/veya bu kişisel verilerin imha edilmesini, yine silme ve yok etmeye ilişkin işlemlerin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteyebilir.
  • Kanunun 7. maddesinde öngörülen şartlar çerçevesinde bilgilerin silinmesini ya da yok edilmesini talep edebilir.
  • Bilgilerin aktarıldığı üçüncü kişilere yukarıda belirtilen taleplerin bildirilmesini ve aynı işlemleri gerçekleştirmelerini isteyebilir.
  • Bilgilerin otomatik sistemler ile analiz edilmesi nedeniyle aleyhe bir sonucun ortaya çıkmasına itiraz edilebilir.
  • Kişisel verilerinizin hukuka aykırı olarak kaydedildiğini, kullanıldığı veya işlendiği düşünülüyorsa ve bu sebeple bir zarara uğrandığı kanaati oluşmuşsa bu zararınızın giderilmesi istenebilir.

 

27.1. VERİ SAHİPLERİNİN KİŞİSEL VERİLERİN KORUNMASINA YÖNELİK HAKLARININ KULLANILMA USULÜ

SELÇUKLU HASTANESİ nezdindeki kişisel veriler yukarıda ifade edilen teknik ve idari usullerle titizlikle korunmakta ve gerekli güvenlik tedbirleri alınmaktadır.

Kanun kapsamında yer alan ve yukarıda da belirtilen haklardan yararlanmak için SELÇUKLU HASTANESİ’ne yazılı başvuru yapılabilecektir.

Bu çerçevede başvurular;

  1. “Kişisel Verilerin Korunması Kanunu Uyarınca Başvuru Formu” isimli belgeyi https://selcukluhastanesi.com/gizlilik-veri-sahibi-basvuru-formu-5-detay.html adresinden temin ederek doldurduktan sonra ıslak imzalı bir nüshasının bizzat elden veya noter aracılığı ile veya iadeli taahhütlü olarak “Sakabaşı Mah. 860. Sk. No:4 Merkez/KARAMAN” adresine iletilmesi,
  2. SELÇUKLU HASTANESİ veri tabanında kayıtlı gerçek kişi e-posta adresi varsa, bu e-posta adresi üzerinden muhasebe@selcukluhastanesi.com VE info@selcukluhastanesi.com adreslerine   e-posta gönderilmesi,

Yöntemlerinden biriyle yapılabilecektir.

Kişisel veri sahibi olarak, yukarıda belirtilen hakları kullanmak için yapılacak ve kullanım talep edilen hakka ilişkin açıklamaları içeren başvuruda; talep edilen hususun açık ve anlaşılır olması, talep edilen konunun veri sahibinin şahsı ile ilgili olması veya başkası adına hareket ediyor ise bu konuda noter tarafından tasdiklenmiş özel vekâletname ibraz edilmesi gerekecektir.

Başvurularda yer alan talepler, talebin niteliğine göre en kısa sürede ve en geç 30 (otuz) gün içinde sonuçlandırılacaktır. Başvuru işleminin ek bir maliyeti gerektirmesi hâlinde, Kişisel Verileri Koruma Kurulu tarafından belirlenen tarifedeki ücret alınacaktır.

Başvurularda, ad-soyad, imza, T.C. kimlik numarası, ikamet veya işyeri adresi, e-posta adresi, telefon numarası talep konusu unsurlarının bulunması “Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ” uyarınca zorunludur. Konuya ilişkin bilgi ve belgeler de başvuruya eklenir. Söz konusu unsurları barındırmayan başvurular kurumumuz tarafından reddedilecektir.

Kurumumuz, başvuruda bulunan kişinin kişisel veri sahibi olup olmadığını tespit etmek veya başvuruyu tam olarak anlayabilmek adına başvurucudan bilgi ve belge talep edebilir, soru yöneltebilir. Kurumumuz başvuruyu değerlendirdikten sonra gerekçesini açıklayarak başvuruyu reddedebilir.

Kişisel veri sahibi KVKK 14. maddesi gereğince başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hâllerinde, kurumumuzun cevabını öğrendiği tarihten itibaren otuz gün, ve herhâlde başvuru tarihinden itibaren altmış gün içinde Kişisel Verileri Koruma Kurulu’na şikâyette bulunabilir.

28. POLİTİKANIN YAYINLANMASI VE SAKLANMASI

Politika, ıslak imzalı (basılı kâğıt) ve elektronik ortamda olmak üzere iki farklı ortamda yayımlanır. Politika elektronik ortamda internet sayfasında paylaşılır. Basılı kâğıt nüshası da kurumumuz nezdinde oluşturulan KVKK dosyasında saklanır.

29. POLİTİKANIN GÜNCELLENMESİ

SELÇUKLU HASTANESİ tarafından kabul edilen bu politika ihtiyaç̧ duyuldukça gözden geçirilir ve gerekli olan bölümler güncellenir. Aynı şekilde zaman içinde değişebilecek mevzuat hükümleri ve kurum politikalarında meydana gelebilecek değişiklikler sebebiyle bu bildirimde güncellemeler yapabilecektir. Politikanın en güncel versiyonu web sitesinde yayınlanacaktır.

30. POLİTİKANIN YÜRÜRLÜĞÜ VE YÜRÜRLÜKTEN KALDIRILMASI

Politika, SELÇUKLU HASTANESİ’nin internet sitesinde yayınlanmasının ardından yürürlüğe girmiş kabul edilir. Yürürlükten kaldırılmasına karar verilmesi halinde, eski nüshaları yönetim kurulu tarafından iptal edilerek (iptal yazılarak) imzalanır ve en az 5 yıl süre ile saklanır.

31. DİĞER HUSUSLAR

  • KVKK ve ilgili diğer mevzuat hükümleri ile işbu politika arasında uyumsuzluk olması halinde, öncelikle KVKK ve ilgili diğer mevzuat hükümleri uygulanacaktır.
  • Kullanıcı/Kullanıcılar, web sitesine girmeden önce bu Kişisel Verilerin Korunması Politikasını okuduklarını, konu hakkında bilgi sahibi olduklarını ve aydınlandıklarını, burada belirtilen tüm hususlara uyacaklarını kabul etmiş olurlar.
  • Kurumumuz tarafından hazırlanan bu politika KARAMAN SELÇUKLU SAĞLIK HİZM. SAN. VE TİC.AŞ yönetim kurulu tarafından alınan karar uyarınca yürürlüğe girmiştir.

KARAMAN SELÇUKLU SAĞLIK HİZM. SAN. VE TİC.AŞ (ÖZEL KARAMAN SELÇUKLU HASTANESİ)