ER-PA ÖZEL DENİZLİ SAĞLIK HASTANESİ A.Ş.
ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN GÜVENLİĞİNE İLİŞKİN POLİTİKA
Doküman Bilgileri | |||
Doküman Adı: | ER-PA Özel Denizli Sağlık Hastanesi A.Ş. Özel Nitelikli Kişisel Verilerin Güvenliğine İlişkin Politika | ||
Hedef Kitle | ER-PA Özel Denizli Sağlık Hastanesi A.Ş. tarafından özel nitelikli kişisel verileri işlenen tüm gerçek kişiler | ||
Referans / Gerekçe | 6698 sayılı Kişisel Verilerin Korunması Kanunu ve sair ilgili ikincil düzenlemeler ile Kişisel Verileri Koruma Kurulu ilke kararları | ||
Onaylayan: | ER-PA Özel Denizli Sağlık Hastanesi A.Ş. Yönetim Kurulu | ||
İşbu Politika’nın hazırlanmış olduğu Türkçe dilindeki hali ile herhangi bir çeviri hali arasında bir uyuşmazlık çıktığı hallerde, Türkçe metin dikkate alınmalıdır.
İşbu belge ER-PA Özel Denizli Sağlık Hastanesi A.Ş.’nin yazılı izni olmaksızın çoğaltılıp dağıtılamaz.
ER-PA ÖZEL DENİZLİ SAĞLIK HASTANESİ A.Ş.
ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN GÜVENLİĞİNE İLİŞKİN POLİTİKA
(“Politika”)
1. TANIMLAR
İşbu Politika’da geçen tanımlar aşağıdaki anlamları ihtiva etmektedir: | ||||||||||||||||||||||||
|
2. POLİTİKA’NIN KAPSAMI
İşbu Politika, ER-PA Özel Denizli Sağlık Hastanesi A.Ş.’nin (“Şirket”) KVKK’nın 6’ncı maddesinin (4) numaralı fıkrası uyarınca Kurul tarafından alınan 31 Ocak 2018 tarihli ve 2018/10 sayılı Özel Nitelikli Kişisel Verilerin İşlenmesi ve Yeterli Önlemlerin Alınması ilke kararına istinaden, Özel Nitelikli Kişisel Verilerin İşlenmesi bakımından Şirket tarafından alınan güvenlik önlemlerini ve bu kapsamda Şirket tarafından uygulanan esasları ihtiva etmektedir.
3. ŞİRKET TARAFINDAN ALINAN GÜVENLİK ÖNLEMLERİ
3.1 Şirket tarafından Özel Nitelikli Kişisel Verilerin İşlenmesi bakımından alınan güvenlik önlemleri aşağıdaki gibidir:
3.1.1 Şirket tarafından Özel Nitelikli Kişisel Veri’lerin güvenliğine yönelik sistemli, kuralları net bir şekilde belli, yönetilebilir ve sürdürülebilir işbu Politika ve buna bağlı KVK Prosedürleri oluşturulmuştur.
3.1.2 Şirket tarafından veya Şirket’in konu hakkında hizmet desteği aldığı uzman eğitmenler tarafından Özel Nitelikli Kişisel Verilerin İşlenmesi süreçlerinde yer alan çalışanlara yönelik:
a) KVKK Düzenlemeleri ile Özel Nitelikli Kişisel Veri güvenliği konularında düzenli olarak eğitimler verilir,
b) gizlilik sözleşmeleri yapılır,
c) Özel Nitelikli Kişisel Veri’lere erişim yetkisine sahip kullanıcıların, yetki kapsamları ve süreleri net olarak tanımlanır,
d) Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri derhal kaldırılır. Bu kapsamda, Şirket tarafından kendisine tahsis edilen envanter iade alınır.
3.1.3 Özel Nitelikli Kişisel Veri’lerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, elektronik ortam ise:
a) Veriler kriptografik yöntemler kullanılarak muhafaza edilir,
b) Kriptografik anahtarlar güvenli ve farklı ortamlarda tutulur,
c) Veriler üzerinde gerçekleştirilen tüm hareketlerin işlem kayıtları güvenli olarak loglanır,
d) Verilerin bulunduğu ortamlara ait güvenlik güncellemeleri sürekli olarak takip edilir, gerekli güvenlik testleri düzenli olarak Şirket tarafından yapılır veya yaptırılır, test sonuçları kayıt altına alınır,
e) Verilere bir yazılım aracılığı ile erişiliyorsa bu yazılıma ait kullanıcı yetkilendirilmeleri yapılır, bu yazılımların güvenlik testleri düzenli olarak Şirket tarafından yapılır veya yaptırılır, test sonuçları kayıt altına alınır,
f) Verilere uzaktan erişim gerekiyorsa en az iki kademeli kimlik doğrulama sistemi sağlanır.
3.1.4 Özel Nitelikli Kişisel Veri’lerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, fiziksel ortam ise:
a) Özel Nitelikli Kişisel Veri’lerin bulunduğu ortamın niteliğine göre yeterli güvenlik önlemleri (elektrik kaçağı, yangın, su baskını, hırsızlık vb. durumlara karşı) alınır,
b) Bu ortamların fiziksel güvenliği sağlanarak yetkisiz giriş çıkışların engellenir.
3.1.5 Özel Nitelikli Kişisel Veri’ler üçüncü kişilere aktarılacaksa:
a) Verilerin e-posta yoluyla aktarılması gerekiyorsa şifreli olarak kurumsal e-posta adresiyle veya Kayıtlı Elektronik Posta (KEP) hesabı kullanılarak aktarılır,
b) Taşınabilir bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerekiyorsa kriptografik yöntemlerle şifrelenir ve kriptografik anahtar farklı ortamda tutulur,
c) Farklı fiziksel ortamlardaki sunucular arasında aktarma gerçekleştiriliyorsa, sunucular arasında VPN kurularak veya sFTP yöntemiyle veri aktarımı gerçekleştirilir,
d) Verilerin kağıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması, ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemler alınır ve evrakın “gizlilik dereceli belgeler” formatında gönderimi sağlanır.
3.2 Şirket işbu Politika ile yukarıda belirtilen önlemlerin yanı sıra, https://www.saglikhastanesi.com.tr/kurumsal/kisisel-verilerin-korunmasi/sirket-onkv-saklama-ve-imha-politikasi/ adresinden erişilebilen ER-PA Özel Denizli Sağlık Hastanesi A.Ş. Kişisel Verilerin Korunması ve İşlenmesi Politikası’nda belirtilen uygun güvenlik düzeyini temin etmeye yönelik teknik ve idari tedbirleri almayı kabul eder.
İşbu Politika kapsamında Şirket içerisinde sorumluluklar sırasıyla çalışan, Komite ve denetimde Yönetim Kurulu şeklindedir. Bu kapsamda, işbu Politika’nın uygulanmasından sorumlu Komite, Şirket Yönetim Kurulu tarafından Yönetim Kurulu kararı ile atanır ve bu kapsamda değişiklikler de yine anılan yolla yapılır.
5. POLİTİKA’DA YAPILACAK DEĞİŞİKLİKLER
5.1 KVK Düzenlemeleri’nde işbu Politika’daki düzenlemeleri etkileyecek bir değişiklik olması yahut halinde yahut Şirket’in gerekli gördüğü hallerde zaman zaman Yönetim Kurulu onayı ile değiştirilebilir.
5.2 KVK Düzenlemeleri ve işbu Politika arasında bir uyumsuzluk olması halinde KVK Düzenlemeleri esas alınır.
6. POLİTİKA’NIN YÜRÜRLÜK TARİHİ
İşbu Politika’nın bu versiyonu 25/10/2019 tarihinde Şirket Yönetim Kurulu tarafından onaylanarak yürürlüğe girmiştir.