Lütfen Bekleyiniz...

ER-PA ÖZEL DENİZLİ SAĞLIK HASTANESİ A.Ş.

Kişisel Verilerin Korunması ve İşlenmesi Politikası

(“Politika”)

 

Doküman Bilgileri

Doküman Adı:

ER-PA Özel Denizli Sağlık Hastanesi A.Ş. Kişisel Verilerin Korunması ve İşlenmesi Politikası

Hedef Kitle

ER-PA Özel Denizli Sağlık Hastanesi A.Ş. tarafından kişisel verileri işlenen tüm gerçek kişiler

Referans / Gerekçe

6698 sayılı Kişisel Verilerin Korunması Kanunu ve sair ilgili ikincil düzenlemeler

Onaylayan:

ER-PA Özel Denizli Sağlık Hastanesi A.Ş. Yönetim Kurulu

 

İşbu Politika’nın hazırlanmış olduğu Türkçe dilindeki hali ile herhangi bir çeviri hali arasında bir uyuşmazlık çıktığı hallerde, Türkçe metin dikkate alınmalıdır.

İşbu belge ER-PA Özel Denizli Sağlık Hastanesi A.Ş.’nin yazılı izni olmaksızın çoğaltılıp dağıtılamaz.

 

ER-PA ÖZEL DENİZLİ SAĞLIK HASTANESİ A.Ş. KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASI

1.     POLİTİKA’NIN AMACI VE GİZLİLİK TAAHHÜDÜ

1.1. 

Başta özel hayatınızın gizliliği olmak üzere, kişisel verilerinizin işlenmesinde temel hak ve özgürlükleriniz ile mahremiyetinizi korumak ve bu kapsamda kişisel verilerinizin güvenliğini temin etmek, ER-PA Özel Denizli Sağlık Hastanesi A.Ş.’nin (“Şirket”) en öncelikli değerleri ve amaçları arasında yer almaktadır. Bu kapsamda, işbu ER-PA Özel Denizli Sağlık Hastanesi A.Ş. Kişisel Verilerin Korunması ve İşlenmesi Politikası (“Politika”) çerçevesinde Şirketimiz tarafından gerçekleştirilen kişisel veri işleme faaliyetlerinin yürütülmesinde benimsenen ilkeler ve Şirketimizin veri işleme faaliyetlerinin başta 6698 sayılı Kişisel Verilerin Korunması Kanunu olmak üzere ilgili ikincil düzenleme ve uygulamalara uyumu bakımından benimsenen temel prensipler açıklanmakta ve böylelikle Şirketimiz, kişisel veri sahipleri olarak sizleri bilgilendirerek gerekli şeffaflığı sağlamaktadır.

1.2. 

Şirketimiz bu kapsamda, tam sorumluluk bilinci ile kişisel verilerinizi ilgili mevzuata, işbu Politika’ya ve Politika’ya bağlı olarak uygulanacak prosedürlere uygun olarak işlemeyi ve korumayı taahhüt etmektedir.

2.     POLİTİKA’NIN KAPSAMI

2.1. 

İşbu Politika, kişisel verileri işlenen tüm gerçek kişilerin otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen tüm kişisel verilerine ilişkindir.

2.2. 

İşbu Politika, Şirket’in işlemekte olduğu kişisel verilere yönelik tüm veri işleme faaliyetlerini kapsar ve söz konusu faaliyetlere uygulanır.

2.3. 

İşbu Politika, kişisel veri niteliği taşımayan verilere uygulanmaz.

2.4. 

İşbu Politika, ilgili mevzuatın gerektirmesi halinde yahut Şirket’in gerekli gördüğü hallerde zaman zaman Yönetim Kurulu onayı ile değiştirilebilir.

2.5. 

İlgili mevzuat düzenlemeleri ve işbu Politika arasında bir uyumsuzluk olması halinde ilgili mevzuat düzenlemeleri esas alınır.

3.     TANIMLAR

İşbu Politika’da geçen tanımlar aşağıdaki anlamları ihtiva etmektedir:

“Açık Rıza”

Belirli bir konuya ilişkin bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza,

Aydınlatma Yükümlülüğü

Kişisel Veri’lerin elde edilmesi sırasında Veri Sorumlusu veya yetkilendirdiği kişilerin, İlgili Kişi’lere KVKK’nın 10’uncu maddesi ve Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ kapsamında bilgi vermesine ilişki yükümlülük,

“İlgili Kişi”

Şirket tarafından veya Şirket adına yetkilendirilmiş kişiler/kurumlar tarafından Kişisel Veri’leri işlenen gerçek kişiler,

“İmha”

 

Kişisel Veri’lerin silinmesi, yok edilmesi veya anonim hale getirilmesi,

“Kişisel Veri”

Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi (işbu Politika kapsamında “Kişisel Veri” ifadesi uygun olduğu ölçüde aşağıda tanımlanan “Özel Nitelikli Kişisel Veri’leri” de kapsamaktadır),

“Kişisel Verilerin İşlenmesi”

Kişisel Veri’lerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veri üzerinde yapılan her türlü işlem,

Komite

Şirket’in Kişisel Verilerin Korunması Komitesi,

“Kurul”

Kişisel Verileri Koruma Kurulu,

Kurum

Kişisel Verileri Koruma Kurumu,

“KVKK”

6698 sayılı Kişisel Verilerin Korunması Kanunu,

“KVK Düzenlemeleri”

KVKK ile yürürlükte bulunan Kişisel Veri’lerin korunmasına ilişkin uygulanabilir uluslararası sözleşmeler, ilgili kanun ve düzenlemeler, Kurul kararları, Kurum rehberleri, sair düzenleyici ve denetleyici otorite, mahkeme ve diğer resmi makam kararları/talimatları ile ileride yürürlüğe girebilecek olan Kişisel Veri’lerin korunması alanındaki tüm düzenlemeler ve bunlarda yapılacak değişiklikler,

KVK Politikaları

Şirket’in Kişisel Veri’lerin korunması konusunda çıkardığı politikalar,

KVK Prosedürleri

Şirket’in, Şirket çalışanlarının ve Komite’nin KVK Politikaları kapsamında uyması gereken yükümlülükleri belirleyen prosedürler,

“Özel Nitelikli Kişisel Veri”

Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik veriler,

“Veri İşleyen”

Veri Sorumlusu’nun verdiği yetkiye dayanarak onun adına Kişisel Veri’leri işleyen gerçek veya tüzel kişi,

“Veri Sorumlusu”

 

Kişisel Veri’lerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi

anlamına gelmektedir.

4.     KİŞİSEL VERİLERİN İŞLENMESİ’NİN TEMEL İLKELERİ

4.1. 

Kişisel Veri’lerin Hukuka ve Dürüstlük Kurallarına Uygun Olarak İşlenmesi

 

Şirket, Kişisel Veri’leri, hukuka ve dürüstlük kurallarına uygun ve ölçülülük esasına dayalı olarak işler. Şirket, Kişisel Veri’leri bu kapsamda Şirket’in iş faaliyetlerinin gerektirdiği ölçüde ve bunlarla sınırlı olarak işler.

 

4.2. 

Kişisel Veri’lerin Doğru ve Gerektiğinde Güncel Olmasının Sağlanması

 

Şirket, Kişisel Veri’lerin işlendiği süre boyunca eksiksiz, doğru ve güncel olması için gerekli her türlü önlemi alır. Bu kapsamda Şirket, Kişisel Veri’lerin doğruluğunun ve güncelliğinin sağlanmasına ilişkin gerekli mekanizmaları kurar ve İlgili Kişi’nin KVKK Düzenlemeleri kapsamında Kişisel Veri’lerine yönelik değişiklik talepleri uyarınca ilgili Kişisel Veri’leri günceller.

 

4.3. 

Kişisel Veri’lerin Belirli, Açık ve Meşru Amaçlar Doğrultusunda İşlenmesi

 

Kişisel Verilerin İşlenmesi’nden önce Şirket tarafından Kişisel Veri’lerin hangi amaçla işleneceği belirlenir. Bu kapsamda Şirket, Kişisel Veri’lerin işlenme amaçlarını açıkça ortaya koymakta ve Kişisel Veri’leri iş faaliyetleri doğrultusunda bu faaliyetlerle bağlantılı amaçlar kapsamında işler. Bu doğrultuda İlgili Kişi’ler KVK Düzenlemeleri uyarınca bilgilendirilir ve gerekli hallerde söz konusu kişilerin Açık Rıza’ları temin edilir.

 

4.4. 

Kişisel Veri’lerin İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olması

 

Şirket, Kişisel Veri’leri yalnızca iş faaliyetlerinin gerektirdiği nitelikte ve ölçüde toplar ve belirlenen amaçlarla sınırlı olarak işler. Bu doğrultuda Şirket, belirlenen amaçların gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan Kişisel Veri’leri işlemekten kaçınır.

 

4.5. 

Kişisel Veri’lerin İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç için Gerekli Olan Süre Kadar Muhafaza Edilmesi

4.5.1.  

Şirket, Kişisel Veri’leri işlendikleri amaç için gerekli olan ve ilgili yasal mevzuatta öngörülen minimum süre kadar muhafaza eder. Bu kapsamda Şirket, öncelikle ilgili mevzuatta kişisel verilerin saklanması için bir süre öngörülüp öngörülmediğini tespit eder ve bir süre belirlenmişse bu süreye uygun davranır. Yasal bir süre mevcut değil ise Kişisel Veriler işlendikleri amaç için gerekli olan süre kadar saklanır.

4.5.2.  

Kişisel Veriler belirlenen saklama sürelerinin sonunda periyodik İmha sürelerine veya İlgili Kişi başvurusuna uygun olarak ve belirlenen İmha yöntemleri (silme ve/veya yok etme ve/veya anonimleştirme) ile İmha edilir. Bu durumda, Şirket’in Kişisel Veri’leri aktardığı üçüncü kişilerin de Kişisel Veri’leri silmesi, yok etmesi yahut anonim hale getirmesi sağlanır.

4.5.3.  

İmha süreçlerinin işletilmesinden Komite sorumludur. Bu kapsamda gerekli prosedür Komite tarafından oluşturulur.

5.     KİŞİSEL VERİLERİN İŞLENMESİ

Kişisel Veriler Şirket tarafından ancak aşağıda belirtilen usul ve esaslar kapsamında işlenebilir.

5.1. 

Açık Rıza

5.1.1.  

Kişisel Veriler, yalnızca aşağıda yer alan diğer Kişisel Veri işleme şartlarından herhangi birinin mevcut olmaması halinde İlgili Kişi’nin Açık Rıza’sı ile işlenir.

5.1.2.  

Bu halde Kişisel Veriler, İlgili Kişi’lere Aydınlatma Yükümlülüğü’nün yerine getirilmesi çerçevesinde yapılacak bilgilendirme sonrası ve İlgili Kişi’lerin özgür iradeleri ile Açık Rıza vermeleri halinde işlenir.

5.1.3.  

İlgili Kişi’lerden Açık Rıza, KVK Düzenlemeleri’ne uygun yöntemlerle temin edilir. Açık Rızalar ispatlanabilir şekilde Şirket tarafından KVK Düzenlemeleri kapsamında gereken süre ile muhafaza edilir.

5.1.4.  

Komite, tüm Kişisel Veri İşlenmesi süreçleri bakımından Aydınlatma Yükümlülüğü’nün yerine getirilmesini ve gerektiğinde Açık Rıza’nın alınmasını ve alınan Açık Rıza’nın muhafazasını sağlamakla yükümlüdür. Kişisel Veri işleyen tüm departman çalışanları Komite’nin talimatlarına, işbu Politika’ya ve KVK Prosedürleri’ne uymakla yükümlüdür.

 

5.2. 

Kanunlarda Açıkça Öngörülmesi

 

İlgili Kişi’nin Kişisel Veri’leri, Kişisel Verilerin İşlenmesi’ne ilişkin kanunda açıkça öngörülmekte ise diğer bir ifade ile ilgili kanunda Kişisel Verilerin İşlenmesi’ne ilişkin açıkça bir hüküm bulunması halinde işbu veri işleme şartının kapsamında işlenir.

 

5.3. 

Fiili İmkansızlık Sebebiyle İlgili Kişi’nin Açık Rızasının Alınamaması

 

Fiili imkansızlık nedeniyle Açık Rıza’sını açıklayamayacak durumda olan veya Açık Rıza’sına geçerlilik tanınamayacak olan kişinin kendisinin ya da başka bir kişinin hayatı veya beden bütünlüğünü korumak için Kişisel Veri’lerinin işlenmesi zorunlu olması halinde İlgili Kişi’nin Kişisel Veri’leri işbu veri işleme şartının kapsamında işlenir.

 

5.4. 

Sözleşmenin Kurulması veya İfasıyla Doğrudan İlgi Olması

 

İlgili Kişi’nin taraf olduğu bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, Kişisel Verilerin İşlenmesi’nin gerekli olması halinde İlgili Kişi’nin Kişisel Veri’leri işbu veri işleme şartının kapsamında işlenir.

 

5.5. 

Şirket’in Hukuki Yükümlülüğünü Yerine Getirmesi

 

Şirket’in hukuki yükümlülüklerini yerine getirmesi için Kişisel Veri işlemenin zorunlu olması halinde İlgili Kişi’nin Kişisel Veri’leri işbu veri işleme şartının kapsamında işlenir.

 

5.6. 

İlgili Kişi’nin Kişisel Veri’sini Alenileştirmesi

 

İlgili Kişi’nin Kişisel Veri’sini alenileştirmiş olması halinde ilgili Kişisel Veri’ler alenileştirme amacıyla sınırlı olarak işbu veri işleme şartının kapsamında işlenir.

 

5.7. 

Bir Hakkın Tesisi veya Korunması için Kişisel Veri İşlemenin Zorunlu Olması

 

Bir hakkın tesisi, kullanılması veya korunması için Kişisel Veri İşlemesi’nin zorunlu olması halinde İlgili Kişi’nin Kişisel Veri’leri işbu veri işleme şartının kapsamında işlenir.

 

5.8. 

Şirket’in Meşru Menfaati için Kişisel Veri İşlemenin Zorunlu Olması

 

İlgili Kişi’nin temel hak ve özgürlüklerine zarar vermemek kaydıyla, Şirket’in meşru menfaatleri için veri işlemesinin zorunlu olması halinde İlgili Kişi’nin Kişisel Veri’leri işbu veri işleme şartının kapsamında işlenir.

6.     ÖZEL NİTELİKLİ KİŞİSEL VERİ’LERİN İŞLENMESİ

6.1. 

Özel Nitelikli Kişisel Veriler, Şirket tarafından, işbu Politika’da belirtilen ilke ve esaslara uygun olarak ve Kurul’un belirleyeceği yöntemler de dahil olmak üzere gerekli her türlü idari ve teknik tedbirler alınarak ve aşağıdaki şartların varlığı halinde işlenir:

 

§    Sağlık ve cinsel hayat dışındaki Özel Nitelikli Kişisel Veriler, kanunlarda açıkça öngörülmesi diğer bir ifade ile ilgili kanunda Kişisel Verilerin İşlenmesi’ne ilişkin açıkça bir hüküm olması halinde İlgili Kişi’nin Açık Rıza’sı bulunmaksızın işlenir. Aksi halde, sağlık ve cinsel hayat dışındaki Özel Nitelikli Kişisel Veri’lerin işlenmesi için İlgili Kişi’nin Açık Rıza’nın mevcudiyeti aranmaktadır.

§    Sağlık ve cinsel hayata ilişkin Özel Nitelikli Kişisel Veriler, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler (örn. Şirket bordrosu altında çalışan işyeri hekimi) veya yetkili kurum ve kuruluşlar tarafından İlgili Kişi’nin Açık Rıza’sı bulunmaksızın işlenir. Aksi halde, Sağlık ve cinsel hayat dışındaki Özel Nitelikli Kişisel Veri’lerin işlenmesi için İlgili Kişi’nin Açık Rıza’nın mevcudiyeti aranmaktadır.

 

6.2. 

Şirket, Özel Nitelikli Kişisel Veri’lerin işlenmesi süreçlerinde yer alan çalışanlara yönelik:

6.2.1.  

KVK Düzenlemeleri ile Özel Nitelikli Kişisel Veri’lerin güvenliği konularında düzenli olarak eğitimler verir.

6.2.2.  

Gizlilik sözleşmeleri yapar.

 

6.2.3.  

Özel Nitelikli Kişisel Veri’lere erişim yetkisine sahip kullanıcıların yetki kapsamlarını ve sürelerini net olarak tanımlar.

 

6.2.4.  

Periyodik olarak yetki kontrollerini gerçekleştirir.

 

6.2.5.  

Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkilerini derhal kaldırır ve ilgili çalışana tahsis edilen envanteri derhal geri alır.

 

6.3. 

Özel Nitelikli Kişisel Veri’lerin elektronik ortamlara aktarılması durumunda, Özel Nitelikli Kişisel Veri’lerin işlendiği, muhafaza edildiği ve/veya erişildiği elektronik ortamlar ile ilgili olarak Şirket:

 

6.3.1.  

Özel Nitelikli Kişisel Veri’leri kriptografik yöntemler kullanarak muhafaza eder.

 

6.3.2.  

Kriptografik anahtarları güvenli ve farklı ortamlarda tutar.

 

6.3.3.  

Özel Nitelikli Kişisel Veriler üzerinde gerçekleştirilen tüm hareketlerin işlem kayıtlarını güvenli olarak loglar.

 

6.3.4.  

Özel Nitelikli Kişisel Veri’lerin bulunduğu ortamlara ait güvenlik güncellemelerini sürekli takip eder, gerekli güvenlik testlerini düzenli olarak yapar/yaptırır, test sonuçlarını kayıt altına alır.

 

6.3.5.  

Özel Nitelikli Kişisel Veri’lerin bir yazılım aracılığıyla erişiliyorsa bu yazılıma ait kullanıcı yetkilendirmelerini yapar, bu yazılımların güvenlik testlerini düzenli olarak yapar/yaptırır, test sonuçlarını kayıt altına alır.

 

6.3.6.  

Özel Nitelikli Kişisel Veri’lerin uzaktan erişim olması halinde en az iki kademeli kimlik doğrulama sistemi sağlar.

 

6.4. 

Özel Nitelikli Kişisel Veri’lerin fiziksel ortamda işlenmesi durumunda, verilerin işlendiği, muhafaza edildiği ve/veya erişildiği fiziksel ortamlar ile ilgili olarak Şirket:

 

6.4.1.  

Özel Nitelikli Kişisel Veri’lerin bulunduğu ortamın niteliğine göre yeterli güvenlik önlemleri (elektrik kaçağı, yangın, su baskını, hırsızlık vb. durumlara karşı) alır.

 

6.4.2.  

Bu ortamların fiziksel güvenliğini sağlayarak yetkisiz giriş çıkışları engeller.

 

6.5. 

Özel Nitelikli Kişisel Veri’lerin aktarılması halinde, Şirket:

 

6.5.1.  

Özel Nitelikli Kişisel Veri’lerin e-posta yoluyla aktarılmasının gerekmesi halinde şifreli kurumsal e-posta adresi veya Kayıtlı Elektronik Posta (KEP) hesabı kullanılır.

 

6.5.2.  

Özel Nitelikli Kişisel Veri’lerin taşınabilir bellek, CD, DVD gibi ortamlar yoluyla aktarımın gerekli olması halinde kriptografik yöntemlerle şifreleme yapılır ve kriptografik anahtar farklı ortamda tutulur.

 

6.5.3.  

Özel Nitelikli Kişisel Veri’lerin farklı fiziksel ortamlardaki sunucular arasında aktarılması gerekiyorsa, sunucular arasında VPN kurulur veya SFTP yöntemiyle aktarı gerçekleştirilir.

 

6.5.4.  

Özel Nitelikli Kişisel Veri’lerin kağıt ortamı yoluyla aktarımının gerekli olması halinde, evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemler alınır ve evrak “gizlilik dereceli belgeler” formatında gönderilir.

 

6.6. 

Yukarıdaki düzenlemelere ek olarak Komite, Özel Nitelikli Kişisel Veri’lerin güvenliğinin sağlanmasına ilişkin Kurul tarafından yayımlanan başta Kişisel Veri Güvenliği Rehberi olmak üzere KVK Düzenlemeleri’ne uygun önlemlerin alınması ve mekanizmaların kurulmasından sorumludur.

7.     ŞİRKET TARAFINDAN İŞLENEN KİŞİSEL VERİ’LER VE İŞLENME AMAÇLARI

 

Şirket nezdinde, KVK Düzenlemeleri uyarınca İlgili Kişiler bilgilendirilerek, Şirket’in Kişisel Veri işleme amaçları doğrultusunda, KVKK’nın 5’inci ve 6’ncı maddesinde belirtilen Kişisel Veri işleme şartlarından en az birine dayalı ve sınırlı olarak, başta Kişisel Verilerin İşlenmesi’ne ilişkin KVKK’nın 4’üncü maddesinde belirtilen ilkeler olmak üzere KVKK’da belirtilen genel ilkelere uygun bir şekilde Kişisel Veri’ler işlenmektedir. İşbu Politika’da belirtilen amaçlar ve şartlar çerçevesinde, işlenen Kişisel Veri kategorileri ve Kişisel Veri işleme amaçları hakkındaki detaylı bilgiler, işbu Politika’nın EK 1’inde (EK 1 - Kişisel Veri Kategorileri ve Kişisel Veri’lerin İşlenme Amaçları) yer almaktadır.

8.     KİŞİSEL VERİ’LERİN SAKLANMA SÜRESİ VE İMHASI

8.1. 

Şirket, Kişisel Veri’leri işlendikleri amaç için gerekli olan süre ve ilgili yasal mevzuatta öngörülen minimum süre kadar muhafaza eder. Bu kapsamda, Şirket öncelikle ilgili mevzuatta Kişisel Veri’lerin saklanması için bir süre öngörülüp öngörülmediğini tespit eder, bir süre belirlenmişse bu süreye uygun davranır. Yasal bir süre mevcut değil ise Kişisel Veriler işlendikleri amaç için gerekli olan süre kadar saklanır. Şirket tarafından Kişisel Veriler hiçbir surette gelecekte kullanma ihtimali göz önünde bulundurularak saklanmaz.

 

8.2. 

Şirket, Kişisel Veri işleme envanterine uygun olarak Kişisel Veri saklama ve İmha politikası oluşturur ve tüm İmha’ya (silme ve/veya yok etme ve/veya anonimleştirme) ilişkin faaliyetlerini KVK Düzenlemeleri ile ilgili Kişisel Veri saklama ve İmha politikası ile uyumlu şekilde gerçekleştirir. Kişisel Veriler, hazırlanan Kişisel Veri saklama ve İmha politikası kapsamında belirlenen saklama sürelerinin sonunda periyodik İmha sürelerine veya İlgili Kişi başvurusuna uygun olarak ve belirlenen İmha yöntemleri (silme ve/veya yok etme ve/veya anonimleştirme) ile İmha edilir. İmha süreçlerinin işletilmesinden Komite sorumludur. Bu kapsamda gerekli prosedür Komite tarafından oluşturulur. Bu kapsamda gerekli prosedür Komite tarafından oluşturulur.

9.     KİŞİSEL VERİ’LERİN AKTARILMASI

9.1. 

Şirket, hukuka uygun Kişisel Veri işleme amaçları doğrultusunda gerekli güvenlik önlemlerini alarak İlgili Kişi’lerin Kişisel Veri’lerini yurt içinde ve/veya yurt dışında bulunan üçüncü kişilere KVK Düzenlemeleri’ne uygun şekilde aktarabilir. Bu durumda, üçüncü kişiler ile akdedilen sözleşmelere gerekli koruyucu düzenlemeler eklenir.

 

9.2. 

İlgili Kişi’nin Açık Rıza’sı olmasa dahi aşağıda belirtilen şartlardan bir ya da birkaçının mevcut olması halinde KVK Düzenlemeleri’ne uygun şekilde gerekli idari ve teknik tedbirlerin alınması ile Kişisel Veriler Şirket tarafından üçüncü kişilere aktarılabilecektir:

 

 

§    Kişisel Veri’lerin aktarılmasına ilişkin ilgili faaliyetlerin kanunlarda açıkça öngörülmesi,

§    Kişisel Veri’lerin Şirket tarafından aktarılmasının bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili ve gerekli olması,

§    Kişisel Veri’lerin aktarılmasının Şirket’in hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,

§    Kişisel Veri’lerin İlgili Kişi tarafından alenileştirilmiş olması şartıyla, alenileştirme amacıyla sınırlı bir şekilde Şirket tarafından aktarılması,

§    Kişisel Veri’lerin Şirket tarafından aktarılmasının Şirket’in veya İlgili Kişi’nin veya üçüncü kişilerin haklarının tesisi, kullanılması veya korunması için zorunlu olması,

§    İlgili Kişi’nin temel hak ve özgürlüklerine zarar vermemek kaydıyla Şirket meşru menfaatleri için Kişisel Veri aktarımı faaliyetinde bulunulmasının zorunlu olması,

§    Fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünü koruması için zorunlu olması.

 

9.3. 

Yukarıdakilere ek olarak Kişisel Veriler, Kurul tarafından yeterli korumaya sahip olduğu ilan edilen yabancı ülkelere (“Yeterli Korumaya Sahip Yabancı Ülke”) yukarıdaki şartlardan herhangi birinin varlığı halinde aktarılabilir. Yeterli korumanın bulunmaması durumunda ise mevzuatta öngörülen veri aktarım şartları doğrultusunda Türkiye’deki ve ilgili yabancı ülkedeki Veri Sorumluları’nın yeterli bir korumayı yazılı olarak taahhüt ettiği ve Kurul’un izninin bulunduğu yabancı ülkelere (“Yeterli Korumayı Taahhüt Eden Veri Sorumlusunun Bulunduğu Yabancı Ülke”) aktarılabilir.

10.  ÖZEL NİTELİKLİ KİŞİSEL VERİ’LERİN AKTARILMASI

10.1.   

Özel Nitelikli Kişisel Veri’ler Şirket tarafından, işbu Politika’da belirtilen ilkelere uygun olarak ve Kurul’un belirleyeceği yöntemler de dahil olmak üzere gerekli her türlü idari ve teknik tedbirler alınarak ve aşağıdaki şartların varlığı halinde aktarılabilir:

 

 

§    Sağlık ve cinsel hayat dışındaki Özel Nitelikli Kişisel Veriler, kanunlarda açıkça öngörülmesi diğer bir ifade ile ilgili kanunda Kişisel Verilerin İşlenmesi’ne ilişkin açıkça bir hüküm olması halinde İlgili Kişi’nin Açık Rıza’sı bulunmaksızın işlenir. Aksi halde, Sağlık ve cinsel hayat dışındaki Özel Nitelikli Kişisel Veri’lerin işlenmesi için İlgili Kişi’nin Açık Rıza’nın mevcudiyeti aranmaktadır.

 

§    Sağlık ve cinsel hayata ilişkin Özel Nitelikli Kişisel Veriler, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler (örn. Şirket bordrosu altında çalışan işyeri hekimi) veya yetkili kurum ve kuruluşlar tarafından İlgili Kişi’nin Açık Rıza’sı bulunmaksızın işlenir. Aksi halde, sağlık ve cinsel hayat dışındaki Özel Nitelikli Kişisel Veri’lerin işlenmesi için İlgili Kişi’nin Açık Rıza’nın mevcudiyeti aranmaktadır.

 

10.2.   

Yukarıdakilere ek olarak Özel Nitelikli Kişisel Veri’ler, Yeterli Korumaya Sahip Yabancı Ülke’lere yukarıdaki şartlardan herhangi birinin varlığı halinde aktarılabilir. Yeterli korumanın bulunmaması durumunda ise mevzuatta öngörülen veri aktarım şartları doğrultusunda Yeterli Korumayı Taahhüt Eden Veri Sorumlusunun Bulunduğu Yabancı Ülke’lere aktarılabilir.

11.  ŞİRKET’İN AYDINLATMA YÜKÜMLÜLÜĞÜ

11.1.   

Şirket, KVKK’nın 10’uncu maddesine ve Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ hükümlerine uygun olarak, Kişisel Veri’lerin işlenmesinden önce İlgili Kişi’leri aydınlatır. Bu kapsamda Şirket, İlgili Kişi’leri KVK Düzenlemeleri’ne uygun olarak Kişisel Veri’lerinin Veri Sorumlusu olarak kim tarafından, hangi amaçlarla işlendiği, hangi amaçlarla kimlerle paylaşıldığı, hangi yöntemlerle toplandığı ve hukuki sebebi ve İlgili Kişi’lerin Kişisel Veri’lerinin işlenmesi kapsamında sahip olduğu hakları konusunda bilgilendirmektedir.

 

11.2.   

Tüm yeni Kişisel Veri işleme süreçlerinin Komite’ye raporlanması amacı ile gerekli KVK Prosedürleri Komite tarafından oluşturulur.

 

11.3.   

Veri İşleyen’in Şirket haricinde üçüncü bir kişi olması halinde, üçüncü kişinin yukarıda belirtilen yükümlülüklere uygun davranacağı yazılı bir sözleşme ile Kişisel Veri İşlenmesi’ne başlanmadan önce üçüncü kişi tarafından taahhüt edilir. Her bir çalışan, Şirkete üçüncü bir kişi tarafından Kişisel Veri aktarımı yapılan durumda işbu Politika’da ve KVK Prosedürleri’nde yer alan süreci kat etmekle yükümlüdür.

 

12.  İLGİLİ KİŞİ’LERİN HAKLARI

12.1.   

İlgili Kişi’ler, aşağıda yer alan haklara sahiptirler

 

§    Kişisel Veri’lerinin işlenip işlenmediğini öğrenme,

§    Kişisel Veri’leri işlenmişse buna ilişkin bilgi talep etme,

§    Kişisel Veri’lerinin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,

§    yurt içinde veya yurt dışında Kişisel Veri’lerinin aktarıldığı üçüncü kişileri bilme,

§    Kişisel Veri’lerinin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemin Kişisel Veri’lerinin aktarıldığı üçüncü kişilere bildirilmesini isteme,

§    Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması halinde, Kişisel Veri’lerinin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemin Kişisel Veri’lerinin aktarıldığı üçüncü kişilere bildirilmesini isteme,

§    işlenen verilerinin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,

§    Kişisel Veri’lerinin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması halinde, zararın giderilmesini talep etme.

12.2.   

İlgili Kişiler, işbu Politika’nın bölüm 12.1. bölümünde sayılmış haklarına ilişkin taleplerini Kurul’un belirlemiş olduğu yöntemlerle Şirket’e iletebileceklerdir. Bu doğrultuda [İlgili Kişi Başvuru Formuna Link Verilmelidir] adresinden ulaşılabilecek ER-PA Özel Denizli Sağlık Hastanesi A.Ş. İlgili Kişi Başvuru Formu’ndan yararlanabileceklerdir. Ancak, her halükarda güncel başvuru yöntemleri ve başvuru içeriği başvuru öncesinde ilgili mevzuattan kontrol edilmeli ve başvurular söz konusu usul ve esaslara uygun şekilde gerçekleştirilmelidir.

 

12.3.   

İlgili Kişi’lerin yukarıda sıralanan haklarına ilişkin taleplerini yazılı olarak Şirket’e iletmeleri durumunda Şirket, KVK Düzenlemeleri’ne uygun şekilde talebin niteliğine göre talebi en geç 30 (otuz) gün içinde ücretsiz olarak talebi sonuçlandırır. Taleplerin Veri Sorumlusu tarafından sonuçlandırılmasına ilişkin ayrıca bir maliyet doğması halinde ise, Kurul tarafından belirlenen tarifedeki ücretler Veri Sorumlusu tarafından talep edilebilir.

13.  KİŞİSEL VERİ YÖNETİMİ VE GÜVENLİĞİ

13.1.   

Şirket, KVK Düzenlemeleri kapsamındaki yükümlülüklerini yerine getirmek, işbu Politika’nın uygulanması için gerekli KVK Prosedürleri’nin hazırlanmasını ve uygulanmasını sağlamak ve denetlemek, bunların işleyişine yönelik önerilerde bulunmak üzere Komite oluşturur.

 

13.2.   

Şirket, KVK Düzenlemeleri’ne uygun olarak Kişisel Veri’lerin güvenliğinin temini için gerekli tüm idari ve teknik tedbirleri almaktadır. Bu kapsamda Şirket tarafından Kişisel Verilerin İşlenmesi faaliyetleri teknolojik imkanlar ve uygulama maliyetine göre teknik sistemlerle denetlenmektedir.

 

13.3.   

Kişisel Verilerin İşlenmesi faaliyetlerine yönelik teknik konularda bilgili personel istihdam edilmektedir.

 

13.4.   

Şirket çalışanları, Kişisel Veri’lerin korunmasına ve hukuka uygun olarak işlenmesine yönelik olarak bilgilendirilmekte ve eğitilmektedir.

 

13.5.   

Şirket’te Kişisel Veri’lere erişmesi gereken çalışanların söz konusu Kişisel Veri’lere erişimini sağlamak adına gerekli KVK Prosedürleri oluşturulur ve bunun oluşturulması ve uygulanmasından Komite sorumludur.

 

13.6.   

Şirket çalışanları, Kişisel Veri’lere yalnızca kendilerine tanımlanan yetki dahilinde ve ilgili KVK Prosedürleri’ne uygun olarak erişebilir.

 

13.7.   

Şirket çalışanları Kişisel Veri’lerin güvenliğinin yeterince sağlanmadığı şüphesinde olmaları yahut böyle bir güvenlik açığını tespitte bulunmaları halinde derhal durumu Komite’ye bildirir.

 

13.8.   

Kişisel Veri’lerin güvenliğine yönelik detaylı KVK Prosedürleri Komite tarafından oluşturulur.

 

13.9.   

Kendisine Şirket cihazı tahsis edilen her kişi, kendi kullanımına tahsis edilen cihazlarının güvenliğinden sorumludur.

 

13.10.    

Her bir Şirket çalışanı kendi sorumluluk alanında yer alan fiziki dosyaların güvenliğinden sorumludur.

 

13.11.    

KVK Düzenlemeleri kapsamında Kişisel Veri’lerin güvenliği için talep edilen veya ek olarak talep edilecek olan güvenlik önlemleri olması durumunda tüm çalışanlar ek güvenlik önlemlerine uymak ve bu güvenlik önlemlerinin sürekliliğini sağlamak ile yükümlüdür.

 

13.12.    

Şirket içerisinde işlenen Kişisel Veri’lerin tamamı Şirket tarafından “Gizli Bilgi” olarak kabul edilir.

 

13.13.    

Şirket çalışanları, Kişisel Veri’lerin güvenliğine ve gizliliğine ilişkin yükümlülüklerinin, iş ilişkisinin sona ermesinden sonra da devam edeceği konusunda bilgilendirilmiş ve Şirket çalışanlarından bu kurallara uymaları yönünde taahhüt alınmıştır.

14.  DENETİM

 

Şirket, KVK Düzenlemeleri’ne, işbu Politika’ya ve KVK Prosedürleri’ne Şirket’in tüm çalışanları ve Veri İşleyen’lerinin uygun hareket ettiğini düzenli olarak hiçbir ön bildirimde bulunmaksızın her zaman ve re’sen denetleme hakkını haizdir ve bu kapsamda gerekli rutin denetimleri yapar. Komite, bu denetimlere dair KVK Prosedürleri oluşturur ve anılan prosedürlerin uygulanmasını sağlar.

15.  SORUMLULUKLAR

 

İşbu Politika’nın hazırlanmasından, revize edilmesinden ve uygulanmasından sorumlu Komite Şirket Yönetim Kurulu tarafından Yönetim Kurulu kararı ile atanır ve bu kapsamda değişiklikler de yine anılan yolla yapılır.

16.  POLİTİKA’DA YAPILACAK DEĞİŞİKLİKLER

 

16.1.   

Şirket tarafından işbu Politika zaman zaman Yönetim Kurulu onayı ile değiştirilebilir.

 

16.2.   

Şirket, güncel Politika versiyonunu aşağıdaki internet sitesi adresi üzerinden İlgili Kişi’lerin erişimine sunar.

 

İlgili İnternet Sitesi Adres(ler)i: https://www.saglikhastanesi.com.tr/kurumsal/kisisel-verilerin-korunmasi/sirket-onkv-saklama-ve-imha-politikasi/

17.  POLİTİKA’NIN YÜRÜRLÜK TARİHİ

 

İşbu Politika’nın bu versiyonu __/__/2020 tarihinde Şirket Yönetim Kurulu tarafından onaylanarak yürürlüğe girmiştir.


EK 1 - Kişisel Veri Kategorileri ve Kişisel Veri’lerin İşlenme Amaçları

 

 

Kişisel Veri Kategorisi

Kişisel Veri İşleme Amaçları

 

Araç Verisi

·       Faaliyetlerin Mevzuata Uygun Yürütülmesi

·       İş Faaliyetlerinin Yürütülmesi / Denetimi

·       Taşınır Mal Ve Kaynakların Güvenliğinin Temini

·       Yetkili Kişi, Kurum Ve Kuruluşlara Bilgi Verilmesi

Biyometrik Veri

·       Diğer - Randevu Oluşturulması ve Takibi

·       Diğer - Tıbbi Teşhis, Tedavi ve Bakım Hizmetlerinin Yürütülmesi

·       Faaliyetlerin Mevzuata Uygun Yürütülmesi

·       İnsan Kaynakları Süreçlerinin Planlanması

·       İş Faaliyetlerinin Yürütülmesi / Denetimi

·       Performans Değerlendirme Süreçlerinin Yürütülmesi

·       Yetkili Kişi, Kurum Ve Kuruluşlara Bilgi Verilmesi

Ceza Mahkumiyeti Ve Güvenlik Tedbirleri Verisi

·       Çalışanlar İçin İş Akdi Ve Mevzuattan Kaynaklı Yükümlülüklerin Yerine Getirilmesi

·       İnsan Kaynakları Süreçlerinin Planlanması

·       Yetkili Kişi, Kurum Ve Kuruluşlara Bilgi Verilmesi

Cinsel Hayat Verisi

·       Diğer - Tıbbi Teşhis, Tedavi ve Bakım Hizmetlerinin Yürütülmesi

·       Faaliyetlerin Mevzuata Uygun Yürütülmesi

·       Yetkili Kişi, Kurum Ve Kuruluşlara Bilgi Verilmesi

Dernek Üyeliği Verisi

·       Diğer - Randevu Oluşturulması ve Takibi

·       Diğer - Sağlık Hizmetleri ile Finansmanının Planlanması ve Yönetimi

·       Faaliyetlerin Mevzuata Uygun Yürütülmesi

·       Yetkili Kişi, Kurum Ve Kuruluşlara Bilgi Verilmesi

Finans Verisi

·       Çalışanlar İçin İş Akdi Ve Mevzuattan Kaynaklı Yükümlülüklerin Yerine Getirilmesi

·       Çalışanlar İçin Yan Haklar Ve Menfaatleri Süreçlerinin Yürütülmesi

·       Diğer - Randevu Oluşturulması ve Takibi

·       Diğer - Tıbbi Teşhis, Tedavi ve Bakım Hizmetlerinin Yürütülmesi

·       Faaliyetlerin Mevzuata Uygun Yürütülmesi

·       Finans ve Muhasebe İşlerinin Yürütülmesi

·       Hukuk İşlerinin Takibi Ve Yürütülmesi

·       İnsan Kaynakları Süreçlerinin Planlanması

·       Lojistik Faaliyetlerinin Yürütülmesi

·       Mal / Hizmet Satın Alım Süreçlerinin Yürütülmesi

·       Sözleşme Süreçlerinin Yürütülmesi

·       Ücret Politikasının Yürütülmesi

·       Yetkili Kişi, Kurum Ve Kuruluşlara Bilgi Verilmesi

Fiziksel Mekan Güvenliği Verisi

·       Fiziksel Mekan Güvenliğinin Temini

·       Taşınır Mal Ve Kaynakların Güvenliğinin Temini

·       Faaliyetlerin Mevzuata Uygun Yürütülmesi

·      Yetkili Kişi, Kurum Ve Kuruluşlara Bilgi Verilmesi

Felsefi İnanç, Din, Mezhep ve Diğer İnançlar Verisi

·       Çalışan Adayı / Stajyer / Öğrenci Seçme Ve Yerleştirme Süreçlerinin Yürütülmesi

·       Çalışanlar İçin İş Akdi Ve Mevzuattan Kaynaklı Yükümlülüklerin Yerine Getirilmesi

·       Diğer - Randevu Oluşturulması ve Takibi

·       Diğer - Sağlık Hizmetleri ile Finansmanının Planlanması ve Yönetimi

·       Diğer - Tıbbi Teşhis, Tedavi ve Bakım Hizmetlerinin Yürütülmesi

·       Faaliyetlerin Mevzuata Uygun Yürütülmesi

·       Finans ve Muhasebe İşlerinin Yürütülmesi

·       Hukuk İşlerinin Takibi Ve Yürütülmesi

·       İnsan Kaynakları Süreçlerinin Planlanması

·       İş Faaliyetlerinin Yürütülmesi / Denetimi

·       Mal / Hizmet Satın Alım Süreçlerinin Yürütülmesi

·       Sözleşme Süreçlerinin Yürütülmesi

·       Yetkili Kişi, Kurum Ve Kuruluşlara Bilgi Verilmesi

Genetik Veri

·       Diğer - Tıbbi Teşhis, Tedavi ve Bakım Hizmetlerinin Yürütülmesi

Görsel ve İşitsel Veri

·       Çalışan Adayı / Stajyer / Öğrenci Seçme Ve Yerleştirme Süreçlerinin Yürütülmesi

·       Çalışan Adaylarının Başvuru Süreçlerinin Yürütülmesi

·       Çalışan Memnuniyeti Ve Bağlılığı Süreçlerinin Yürütülmesi

·       Çalışanlar İçin İş Akdi Ve Mevzuattan Kaynaklı Yükümlülüklerin Yerine Getirilmesi

·       Diğer - Tıbbi Teşhis, Tedavi ve Bakım Hizmetlerinin Yürütülmesi

·       Eğitim Faaliyetlerinin Yürütülmesi

·       Faaliyetlerin Mevzuata Uygun Yürütülmesi

·       İletişim Faaliyetlerinin Yürütülmesi

·       İnsan Kaynakları Süreçlerinin Planlanması

·       İş Sağlığı / Güvenliği Faaliyetlerinin Yürütülmesi

·       Müşteri İlişkileri Yönetimi Süreçlerinin Yürütülmesi

·       Reklam / Kampanya / Promosyon Süreçlerinin Yürütülmesi

·       Yetkili Kişi, Kurum Ve Kuruluşlara Bilgi Verilmesi

Hasta (Müşteri) İşlem Verisi

·       Denetim/Etik Faaliyetlerinin Yürütülmesi

·       Diğer - Randevu Oluşturulması ve Takibi

·       Diğer - Sağlık Hizmetleri ile Finansmanının Planlanması ve Yönetimi

·       Diğer - Tıbbi Teşhis, Tedavi ve Bakım Hizmetlerinin Yürütülmesi

·       Faaliyetlerin Mevzuata Uygun Yürütülmesi

·       Hukuk İşlerinin Takibi Ve Yürütülmesi

·       İç Denetim/ Soruşturma / İstihbarat Faaliyetlerinin Yürütülmesi

·       İş Faaliyetlerinin Yürütülmesi / Denetimi

·       İş Sürekliliğinin Sağlanması Faaliyetlerinin Yürütülmesi

·       Müşteri İlişkileri Yönetimi Süreçlerinin Yürütülmesi

·       Müşteri Memnuniyetine Yönelik Aktivitelerin Yürütülmesi

·       Saklama Ve Arşiv Faaliyetlerinin Yürütülmesi

·       Talep / Şikayetlerin Takibi

·       Taşınır Mal Ve Kaynakların Güvenliğinin Temini

·       Veri Sorumlusu Operasyonlarının Güvenliğinin Temini

·       Yetkili Kişi, Kurum Ve Kuruluşlara Bilgi Verilmesi

Hukuki İşlem Verisi

·       Çalışanlar İçin İş Akdi Ve Mevzuattan Kaynaklı Yükümlülüklerin Yerine Getirilmesi

·       Denetim/Etik Faaliyetlerinin Yürütülmesi

·       Faaliyetlerin Mevzuata Uygun Yürütülmesi

·       Hukuk İşlerinin Takibi Ve Yürütülmesi

·       İnsan Kaynakları Süreçlerinin Planlanması

·       Saklama Ve Arşiv Faaliyetlerinin Yürütülmesi

·       Yetkili Kişi, Kurum Ve Kuruluşlara Bilgi Verilmesi

İletişim Verisi

·       Acil Durum Yönetimi Süreçlerinin Yürütülmesi

·       Bilgi Güvenliği Süreçlerinin Yürütülmesi

·       Çalışan Adayı / Stajyer / Öğrenci Seçme Ve Yerleştirme Süreçlerinin Yürütülmesi

·       Çalışan Adaylarının Başvuru Süreçlerinin Yürütülmesi

·       Çalışanlar İçin İş Akdi Ve Mevzuattan Kaynaklı Yükümlülüklerin Yerine Getirilmesi

·       Çalışanlar İçin Yan Haklar Ve Menfaatleri Süreçlerinin Yürütülmesi

·       Denetim/Etik Faaliyetlerinin Yürütülmesi

·       Diğer - Kamu Sağlığının Korunması

·       Diğer - Randevu Oluşturulması ve Takibi

·       Diğer - Sağlık Hizmetleri ile Finansmanının Planlanması ve Yönetimi

·       Diğer - Tıbbi Teşhis, Tedavi ve Bakım Hizmetlerinin Yürütülmesi

·       Eğitim Faaliyetlerinin Yürütülmesi

·       Erişim Yetkilerinin Yürütülmesi

·       Faaliyetlerin Mevzuata Uygun Yürütülmesi

·       Finans ve Muhasebe İşlerinin Yürütülmesi

·       Hukuk İşlerinin Takibi Ve Yürütülmesi

·       İç Denetim/ Soruşturma / İstihbarat Faaliyetlerinin Yürütülmesi

·       İletişim Faaliyetlerinin Yürütülmesi

·       İnsan Kaynakları Süreçlerinin Planlanması

·       İş Faaliyetlerinin Yürütülmesi / Denetimi

·       İş Sağlığı / Güvenliği Faaliyetlerinin Yürütülmesi

·       İş Sürekliliğinin Sağlanması Faaliyetlerinin Yürütülmesi

·       Lojistik Faaliyetlerinin Yürütülmesi

·       Mal / Hizmet Satın Alım Süreçlerinin Yürütülmesi

·       Müşteri İlişkileri Yönetimi Süreçlerinin Yürütülmesi

·       Müşteri Memnuniyetine Yönelik Aktivitelerin Yürütülmesi

·       Reklam / Kampanya / Promosyon Süreçlerinin Yürütülmesi

·       Saklama Ve Arşiv Faaliyetlerinin Yürütülmesi

·       Sözleşme Süreçlerinin Yürütülmesi

·       Talep / Şikayetlerin Takibi

·       Ürün / Hizmetlerin Pazarlama Süreçlerinin Yürütülmesi

·       Yetkili Kişi, Kurum Ve Kuruluşlara Bilgi Verilmesi

İşlem Güvenliği Verisi

·       Bilgi Güvenliği Süreçlerinin Yürütülmesi

·       Diğer - Randevu Oluşturulması ve Takibi

·       Erişim Yetkilerinin Yürütülmesi

·       Faaliyetlerin Mevzuata Uygun Yürütülmesi

·       İç Denetim/ Soruşturma / İstihbarat Faaliyetlerinin Yürütülmesi

·       İş Faaliyetlerinin Yürütülmesi / Denetimi

·       İş Sürekliliğinin Sağlanması Faaliyetlerinin Yürütülmesi

·       Müşteri İlişkileri Yönetimi Süreçlerinin Yürütülmesi

·       Taşınır Mal Ve Kaynakların Güvenliğinin Temini

·       Yetkili Kişi, Kurum Ve Kuruluşlara Bilgi Verilmesi

Kimlik Verisi

·       Acil Durum Yönetimi Süreçlerinin Yürütülmesi

·       Bilgi Güvenliği Süreçlerinin Yürütülmesi

·       Çalışan Adayı / Stajyer / Öğrenci Seçme Ve Yerleştirme Süreçlerinin Yürütülmesi

·       Çalışan Adaylarının Başvuru Süreçlerinin Yürütülmesi

·       Çalışan Memnuniyeti Ve Bağlılığı Süreçlerinin Yürütülmesi

·       Çalışanlar İçin İş Akdi Ve Mevzuattan Kaynaklı Yükümlülüklerin Yerine Getirilmesi

·       Çalışanlar İçin Yan Haklar Ve Menfaatleri Süreçlerinin Yürütülmesi

·       Denetim/Etik Faaliyetlerinin Yürütülmesi

·       Diğer - Kamu Sağlığının Korunması

·       Diğer - Randevu Oluşturulması ve Takibi

·       Diğer - Sağlık Hizmetleri ile Finansmanının Planlanması ve Yönetimi

·       Diğer - Tıbbi Teşhis, Tedavi ve Bakım Hizmetlerinin Yürütülmesi

·       Eğitim Faaliyetlerinin Yürütülmesi

·       Erişim Yetkilerinin Yürütülmesi

·       Faaliyetlerin Mevzuata Uygun Yürütülmesi

·       Finans ve Muhasebe İşlerinin Yürütülmesi

·       Görevlendirme Süreçlerinin Yürütülmesi

·       Hukuk İşlerinin Takibi Ve Yürütülmesi

·       İç Denetim/ Soruşturma / İstihbarat Faaliyetlerinin Yürütülmesi

·       İletişim Faaliyetlerinin Yürütülmesi

·       İnsan Kaynakları Süreçlerinin Planlanması

·       İş Faaliyetlerinin Yürütülmesi / Denetim

·       İş Sağlığı / Güvenliği Faaliyetlerinin Yürütülmesi

·       İş Süreçlerinin İyileştirilmesine Yönelik Önerilerin Alınması Ve Değerlendirilmesi

·       İş Sürekliliğinin Sağlanması Faaliyetlerinin Yürütülmesi

·       Lojistik Faaliyetlerinin Yürütülmesi

·       Mal / Hizmet Satın Alım Süreçlerinin Yürütülmesi

·       Mal / Hizmet Üretim Ve Operasyon Süreçlerinin Yürütülmesi

·       Müşteri İlişkileri Yönetimi Süreçlerinin Yürütülmesi

·       Müşteri Memnuniyetine Yönelik Aktivitelerin Yürütülmesi

·       Performans Değerlendirme Süreçlerinin Yürütülmesi

·       Reklam / Kampanya / Promosyon Süreçlerinin Yürütülmesi

·       Saklama Ve Arşiv Faaliyetlerinin Yürütülmesi

·       Sözleşme Süreçlerinin Yürütülmesi

·       Talep / Şikayetlerin Takibi

·       Taşınır Mal Ve Kaynakların Güvenliğinin Temini

·       Ücret Politikasının Yürütülmesi

·       Veri Sorumlusu Operasyonlarının Güvenliğinin Temini

·       Yetkili Kişi, Kurum Ve Kuruluşlara Bilgi Verilmesi

Lokasyon Verisi

·       Diğer - Randevu Oluşturulması ve Takibi

·       Faaliyetlerin Mevzuata Uygun Yürütülmesi

·       İş Faaliyetlerinin Yürütülmesi / Denetimi

·       Müşteri İlişkileri Yönetimi Süreçlerinin Yürütülmesi

·       Taşınır Mal Ve Kaynakların Güvenliğinin Temini

Mesleki Deneyim Verisi

·       Çalışan Adayı / Stajyer / Öğrenci Seçme Ve Yerleştirme Süreçlerinin Yürütülmesi

·       Çalışan Adaylarının Başvuru Süreçlerinin Yürütülmesi

·       Çalışanlar İçin İş Akdi Ve Mevzuattan Kaynaklı Yükümlülüklerin Yerine Getirilmesi

·       Çalışanlar İçin Yan Haklar Ve Menfaatleri Süreçlerinin Yürütülmesi

·       Denetim/Etik Faaliyetlerinin Yürütülmesi

·       Diğer - Randevu Oluşturulması ve Takibi

·       Diğer - Tıbbi Teşhis, Tedavi ve Bakım Hizmetlerinin Yürütülmesi

·       Faaliyetlerin Mevzuata Uygun Yürütülmesi

·       İletişim Faaliyetlerinin Yürütülmesi

·       İnsan Kaynakları Süreçlerinin Planlanması

·       İş Faaliyetlerinin Yürütülmesi / Denetimi

·       İş Sağlığı / Güvenliği Faaliyetlerinin Yürütülmesi

·       İş Sürekliliğinin Sağlanması Faaliyetlerinin Yürütülmesi

·       Mal / Hizmet Satın Alım Süreçlerinin Yürütülmesi

·       Mal / Hizmet Üretim Ve Operasyon Süreçlerinin Yürütülmesi

·       Müşteri İlişkileri Yönetimi Süreçlerinin Yürütülmesi

·       Müşteri Memnuniyetine Yönelik Aktivitelerin Yürütülmesi

·       Reklam / Kampanya / Promosyon Süreçlerinin Yürütülmesi

·       Saklama Ve Arşiv Faaliyetlerinin Yürütülmesi

·       Talep / Şikayetlerin Takibi

·       Veri Sorumlusu Operasyonlarının Güvenliğinin Temini

·       Yetkili Kişi, Kurum Ve Kuruluşlara Bilgi Verilmesi

Özlük Verisi

·       Bilgi Güvenliği Süreçlerinin Yürütülmesi

·       Çalışan Memnuniyeti Ve Bağlılığı Süreçlerinin Yürütülmesi

·       Çalışanlar İçin İş Akdi Ve Mevzuattan Kaynaklı Yükümlülüklerin Yerine Getirilmesi

·       Denetim/Etik Faaliyetlerinin Yürütülmesi

·       Eğitim Faaliyetlerinin Yürütülmesi

·       Erişim Yetkilerinin Yürütülmesi

·       Faaliyetlerin Mevzuata Uygun Yürütülmesi

·       Finans ve Muhasebe İşlerinin Yürütülmesi

·       Hukuk İşlerinin Takibi Ve Yürütülmesi

·       İç Denetim/ Soruşturma / İstihbarat Faaliyetlerinin Yürütülmesi

·       İletişim Faaliyetlerinin Yürütülmesi

·       İnsan Kaynakları Süreçlerinin Planlanması

·       İş Faaliyetlerinin Yürütülmesi / Denetimi

·       İş Sağlığı / Güvenliği Faaliyetlerinin Yürütülmesi

·       İş Süreçlerinin İyileştirilmesine Yönelik Önerilerin Alınması Ve Değerlendirilmesi

·       İş Sürekliliğinin Sağlanması Faaliyetlerinin Yürütülmesi

·       Performans Değerlendirme Süreçlerinin Yürütülmesi

·       Taşınır Mal Ve Kaynakların Güvenliğinin Temini

·       Ücret Politikasının Yürütülmesi

·       Yetkili Kişi, Kurum Ve Kuruluşlara Bilgi Verilmesi

Sağlık Bilgileri

·       Acil Durum Yönetimi Süreçlerinin Yürütülmesi

·       Çalışan Adayı / Stajyer / Öğrenci Seçme Ve Yerleştirme Süreçlerinin Yürütülmesi

·       Çalışan Adaylarının Başvuru Süreçlerinin Yürütülmesi

·       Çalışanlar İçin İş Akdi Ve Mevzuattan Kaynaklı Yükümlülüklerin Yerine Getirilmesi

·       Denetim/Etik Faaliyetlerinin Yürütülmesi

·       Diğer - Kamu Sağlığının Korunması

·       Diğer - Randevu Oluşturulması ve Takibi

·       Diğer - Sağlık Hizmetleri ile Finansmanının Planlanması ve Yönetimi

·       Diğer - Tıbbi Teşhis, Tedavi ve Bakım Hizmetlerinin Yürütülmesi

·       Faaliyetlerin Mevzuata Uygun Yürütülmesi

·       Finans ve Muhasebe İşlerinin Yürütülmesi

·       Hukuk İşlerinin Takibi Ve Yürütülmesi

·       İç Denetim/ Soruşturma / İstihbarat Faaliyetlerinin Yürütülmesi

·       İnsan Kaynakları Süreçlerinin Planlanması

·       İş Faaliyetlerinin Yürütülmesi / Denetimi

·       İş Sağlığı / Güvenliği Faaliyetlerinin Yürütülmesi

·       İş Süreçlerinin İyileştirilmesine Yönelik Önerilerin Alınması Ve Değerlendirilmesi

·       İş Sürekliliğinin Sağlanması Faaliyetlerinin Yürütülmesi

·       Mal / Hizmet Satın Alım Süreçlerinin Yürütülmesi

·       Müşteri İlişkileri Yönetimi Süreçlerinin Yürütülmesi

·       Müşteri Memnuniyetine Yönelik Aktivitelerin Yürütülmesi

·       Saklama Ve Arşiv Faaliyetlerinin Yürütülmesi

·       Sözleşme Süreçlerinin Yürütülmesi

·       Talep / Şikayetlerin Takibi

·       Ücret Politikasının Yürütülmesi

·       Veri Sorumlusu Operasyonlarının Güvenliğinin Temini

·       Yetkili Kişi, Kurum Ve Kuruluşlara Bilgi Verilmesi

·       Yönetim Faaliyetlerinin Yürütülmesi

Sendika Üyeliği Verisi

·       Diğer - Randevu Oluşturulması ve Takibi

·       Diğer - Sağlık Hizmetleri ile Finansmanının Planlanması ve Yönetimi

·       Faaliyetlerin Mevzuata Uygun Yürütülmesi

·       Yetkili Kişi, Kurum Ve Kuruluşlara Bilgi Verilmesi

Vakıf Üyeliği Verisi

·       Diğer - Randevu Oluşturulması ve Takibi

·       Diğer - Sağlık Hizmetleri ile Finansmanının Planlanması ve Yönetimi

·       Faaliyetlerin Mevzuata Uygun Yürütülmesi

·       Yetkili Kişi, Kurum Ve Kuruluşlara Bilgi Verilmesi

Talep / Şikayet Verisi

·       Bilgi Güvenliği Süreçlerinin Yürütülmesi

·       Çalışan Memnuniyeti Ve Bağlılığı Süreçlerinin Yürütülmesi

·       Diğer - Randevu Oluşturulması ve Takibi

·       Faaliyetlerin Mevzuata Uygun Yürütülmesi

·       İş Süreçlerinin İyileştirilmesine Yönelik Önerilerin Alınması Ve Değerlendirilmesi

·       İş Sürekliliğinin Sağlanması Faaliyetlerinin Yürütülmesi

·       Müşteri İlişkileri Yönetimi Süreçlerinin Yürütülmesi

·       Müşteri Memnuniyetine Yönelik Aktivitelerin Yürütülmesi

·       Saklama Ve Arşiv Faaliyetlerinin Yürütülmesi

·       Talep / Şikayetlerin Takibi

 


 

ER-PA ÖZEL DENİZLİ SAĞLIK HASTANESİ A.Ş.

ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN GÜVENLİĞİNE İLİŞKİN POLİTİKA

 

Doküman Bilgileri

Doküman Adı:

ER-PA Özel Denizli Sağlık Hastanesi A.Ş. Özel Nitelikli Kişisel Verilerin Güvenliğine İlişkin Politika

Hedef Kitle

ER-PA Özel Denizli Sağlık Hastanesi A.Ş. tarafından özel nitelikli kişisel verileri işlenen tüm gerçek kişiler

 

Referans / Gerekçe

6698 sayılı Kişisel Verilerin Korunması Kanunu ve sair ilgili ikincil düzenlemeler ile Kişisel Verileri Koruma Kurulu ilke kararları

Onaylayan:

ER-PA Özel Denizli Sağlık Hastanesi A.Ş. Yönetim Kurulu

 

İşbu Politika’nın hazırlanmış olduğu Türkçe dilindeki hali ile herhangi bir çeviri hali arasında bir uyuşmazlık çıktığı hallerde, Türkçe metin dikkate alınmalıdır.

 

İşbu belge ER-PA Özel Denizli Sağlık Hastanesi A.Ş.’nin yazılı izni olmaksızın çoğaltılıp dağıtılamaz.

 

ER-PA ÖZEL DENİZLİ SAĞLIK HASTANESİ A.Ş.

ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN GÜVENLİĞİNE İLİŞKİN POLİTİKA

(“Politika”)

1.          TANIMLAR

İşbu Politika’da geçen tanımlar aşağıdaki anlamları ihtiva etmektedir:

“Kişisel Veri”

Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi,

“Komite”

Şirket’in Kişisel Verilerin Korunması Komitesi,

“Kurul”

Kişisel Verileri Koruma Kurulu,

“Kurum”

Kişisel Verileri Koruma Kurumu,

“KVKK”

6698 sayılı Kişisel Verilerin Korunması Kanunu,

“KVK Düzenlemeleri”

KVKK ile yürürlükte bulunan Kişisel Veri’lerin korunmasına ilişkin uygulanabilir uluslararası sözleşmeler, ilgili kanun ve düzenlemeler, Kurul kararları, Kurum rehberleri, sair düzenleyici ve denetleyici otorite, mahkeme ve diğer resmi makam kararları/talimatları ile ileride yürürlüğe girebilecek olan Kişisel Veri’lerin korunması alanındaki tüm düzenlemeler ve bunlarda yapılacak değişiklikler,

“KVK Politikaları”

Şirket’in Kişisel Veri’lerin korunması konusunda çıkardığı politikalar,

“KVK Prosedürleri”

Şirket’in, Şirket çalışanlarının ve Komite’nin KVK Politikaları kapsamında uyması gereken yükümlülükleri belirleyen prosedürler,

“Özel Nitelikli Kişisel Veri”

Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik veriler,

“Özel Nitelikli Kişisel Verilerin İşlenmesi”

Özel Nitelikli Kişisel Veri’lerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veri üzerinde yapılan her türlü işlem,

“Veri Envanteri”

Şirket’in iş süreçlerine bağlı olarak gerçekleştirmekte oldukları Kişisel Veri’leri işleme faaliyetlerini; Kişisel Veri’leri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturduğu ve Kişisel Veri’lerin işlendikleri amaçlar için gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen Kişisel Veri’leri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdığı envanter,

anlamına gelmektedir.

 

2.          POLİTİKA’NIN KAPSAMI

İşbu Politika, ER-PA Özel Denizli Sağlık Hastanesi A.Ş.’nin (“Şirket”) KVKK’nın 6’ncı maddesinin (4) numaralı fıkrası uyarınca Kurul tarafından alınan 31 Ocak 2018 tarihli ve 2018/10 sayılı Özel Nitelikli Kişisel Verilerin İşlenmesi ve Yeterli Önlemlerin Alınması ilke kararına istinaden, Özel Nitelikli Kişisel Verilerin İşlenmesi bakımından Şirket tarafından alınan güvenlik önlemlerini ve bu kapsamda Şirket tarafından uygulanan esasları ihtiva etmektedir.

 

3.          ŞİRKET TARAFINDAN ALINAN GÜVENLİK ÖNLEMLERİ

3.1       Şirket tarafından Özel Nitelikli Kişisel Verilerin İşlenmesi bakımından alınan güvenlik önlemleri aşağıdaki gibidir:

 

3.1.1      Şirket tarafından Özel Nitelikli Kişisel Veri’lerin güvenliğine yönelik sistemli, kuralları net bir şekilde belli, yönetilebilir ve sürdürülebilir işbu Politika ve buna bağlı KVK Prosedürleri oluşturulmuştur.

3.1.2      Şirket tarafından veya Şirket’in konu hakkında hizmet desteği aldığı uzman eğitmenler tarafından Özel Nitelikli Kişisel Verilerin İşlenmesi süreçlerinde yer alan çalışanlara yönelik:

a)   KVKK Düzenlemeleri ile Özel Nitelikli Kişisel Veri güvenliği konularında düzenli olarak eğitimler verilir,

b)  gizlilik sözleşmeleri yapılır,

c)   Özel Nitelikli Kişisel Veri’lere erişim yetkisine sahip kullanıcıların, yetki kapsamları ve süreleri net olarak tanımlanır,

d)  Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri derhal kaldırılır. Bu kapsamda, Şirket tarafından kendisine tahsis edilen envanter iade alınır.

3.1.3      Özel Nitelikli Kişisel Veri’lerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, elektronik ortam ise:

a)   Veriler kriptografik yöntemler kullanılarak muhafaza edilir,

b)  Kriptografik anahtarlar güvenli ve farklı ortamlarda tutulur,

c)   Veriler üzerinde gerçekleştirilen tüm hareketlerin işlem kayıtları güvenli olarak loglanır,

d)  Verilerin bulunduğu ortamlara ait güvenlik güncellemeleri sürekli olarak takip edilir, gerekli güvenlik testleri düzenli olarak Şirket tarafından yapılır veya yaptırılır, test sonuçları kayıt altına alınır,

e)   Verilere bir yazılım aracılığı ile erişiliyorsa bu yazılıma ait kullanıcı yetkilendirilmeleri yapılır, bu yazılımların güvenlik testleri düzenli olarak Şirket tarafından yapılır veya yaptırılır, test sonuçları kayıt altına alınır,

f)   Verilere uzaktan erişim gerekiyorsa en az iki kademeli kimlik doğrulama sistemi sağlanır.

3.1.4      Özel Nitelikli Kişisel Veri’lerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, fiziksel ortam ise:

a)   Özel Nitelikli Kişisel Veri’lerin bulunduğu ortamın niteliğine göre yeterli güvenlik önlemleri (elektrik kaçağı, yangın, su baskını, hırsızlık vb. durumlara karşı) alınır,

b)  Bu ortamların fiziksel güvenliği sağlanarak yetkisiz giriş çıkışların engellenir.

 

3.1.5      Özel Nitelikli Kişisel Veri’ler üçüncü kişilere aktarılacaksa:

a)   Verilerin e-posta yoluyla aktarılması gerekiyorsa şifreli olarak kurumsal e-posta adresiyle veya Kayıtlı Elektronik Posta (KEP) hesabı kullanılarak aktarılır,

b)  Taşınabilir bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerekiyorsa kriptografik yöntemlerle şifrelenir ve kriptografik anahtar farklı ortamda tutulur,

c)   Farklı fiziksel ortamlardaki sunucular arasında aktarma gerçekleştiriliyorsa, sunucular arasında VPN kurularak veya sFTP yöntemiyle veri aktarımı gerçekleştirilir,

d)  Verilerin kağıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması, ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemler alınır ve evrakın “gizlilik dereceli belgeler” formatında gönderimi sağlanır.

 

3.2       Şirket işbu Politika ile yukarıda belirtilen önlemlerin yanı sıra, https://www.saglikhastanesi.com.tr/kurumsal/kisisel-verilerin-korunmasi/sirket-onkv-saklama-ve-imha-politikasi/ adresinden erişilebilen ER-PA Özel Denizli Sağlık Hastanesi A.Ş. Kişisel Verilerin Korunması ve İşlenmesi Politikası’nda belirtilen uygun güvenlik düzeyini temin etmeye yönelik teknik ve idari tedbirleri almayı kabul eder.

 

4.          SORUMLULUKLAR

İşbu Politika kapsamında Şirket içerisinde sorumluluklar sırasıyla çalışan, Komite ve denetimde Yönetim Kurulu şeklindedir. Bu kapsamda, işbu Politika’nın uygulanmasından sorumlu Komite, Şirket Yönetim Kurulu tarafından Yönetim Kurulu kararı ile atanır ve bu kapsamda değişiklikler de yine anılan yolla yapılır.

 

5.          POLİTİKA’DA YAPILACAK DEĞİŞİKLİKLER

5.1       KVK Düzenlemeleri’nde işbu Politika’daki düzenlemeleri etkileyecek bir değişiklik olması yahut halinde yahut Şirket’in gerekli gördüğü hallerde zaman zaman Yönetim Kurulu onayı ile değiştirilebilir.

5.2       KVK Düzenlemeleri ve işbu Politika arasında bir uyumsuzluk olması halinde KVK Düzenlemeleri esas alınır.

6.          POLİTİKA’NIN YÜRÜRLÜK TARİHİ

İşbu Politika’nın bu versiyonu __/__/2020 tarihinde Şirket Yönetim Kurulu tarafından onaylanarak yürürlüğe girmiştir.

 

 

  

Ara Onlıne Randevu