Skip to content
Privacy Policy / KVVK
Your data is important for us
SAFA MANAV MUAYENEHANESİ
6698 SAYILI KVKK KAPSAMINDA
KİŞİSEL VERİN KORUNMASI VE İŞLENMESİ POLİTİKASI
1. GİRİŞ
Kişisel verilerin korunması, SAFA MANAV MUAYENEHANESİ en önemli öncelikleriarasındadır. Kişisel verilerin güvenliği konusunda gereken hassasiyet gösterilmekte, hasta mahremiyetine ve hastalarımıza ait her türlü kişisel verinin mümkün olan en iyi şekilde ve özenle işlenerek muhafaza edilmesine büyük önem verilmektedir. Hastalarımız yanısıra refakatçi, ziyaretçilerimiz, tüm çalışanlarımız ve işbirliğinde olduğumuz kurum ve kuruluş çalışanlarının; 6698 sayılı Kişisel Verilerin Korunması Kanunu ve Kişisel Sağlık Verilerinin İşlenmesi ve Mahremiyetinin Sağlanması hakkındaki yönetmelik ve ilgili mevzuatlara göre aşağıdaki temel ilkeler çerçevesinde Kişisel verileri korumak kurum politikası olarak benimsenmiştir.
• Kişisel verileri hukuka ve dürüstlük kurallarına uygun işleme,
• Kişisel verileri doğru ve gerektiğinde güncel tutma,
• Kişisel verileri belirli, açık ve meşru amaçlar için işleme,
• Kişisel verileri işlendikleri amaçla bağlantılı, sınırlı ve ölçülü işleme,
• Kişisel verileri ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza etme,
• Kişisel veri sahiplerini aydınlatma ve bilgilendirme,
• Kişisel veri sahiplerinin haklarını kullanması için gerekli sistemi kurma,
• Kişisel verilerin muhafazasında gerekli tedbirleri alma,
• Kişisel verilerin işleme amacının gereklilikleri doğrultusunda üçüncü kişilere aktarılmasında, ilgili mevzuata ve KVK Kurulu düzenlemelerine uygun davranma,
• Özel nitelikli kişisel verilerin işlenmesine ve korunmasına gerekli hassasiyeti gösterme,
• Kişisel verileri yasaya uygun olarak tanımlı şekil ve sürede silme ve imha etme
2. AMAÇ
Bu Politikanın ana amacı SAFA MANAV MUAYENEHANESİ tarafından hukuka uygun bir biçimde yürütülen kişisel veri işleme faaliyeti ve kişisel verilerin korunmasına yönelik yapılanlar konusunda açıklamalarda bulunmak, bu kapsamda hastalarımız, ziyaretçilerimiz, çalışanlarımız, iş ortaklarımız, tedarikçilerimiz başta olmak üzere kişisel verileri kurumumuz tarafından işlenen kişileri bilgilendirerek şeffaflığı sağlamaktır. SAFA MANAV MUAYENEHANESİ tarafından işlenen kişisel veriler verilen sağlık hizmetlerine bağlı olarak değişebilmekle birlikte otomatik ya da otomatik olmayan yöntemlerle toplanmaktadır. Hekimlerimiz, çalışanlarımız, iş ortaklarımız ve çalışanları ve her türlü ticari faaliyetler içine giren firmalar; sözlü, yazılı ya da elektronik olarak toplanan sağlık verileri başta olmak üzere özel nitelikli kişisel veriler ve genel nitelikli kişisel veriler, aşağıda yer alan amaçlarla işlenebilmektedir.
Kişisel veriler, her türlü sözlü, yazılı ya da elektronik ortamda, yukarıda yer verilen amaçlar ve sağlık hizmetlerinin belirlenen yasal çerçevede verilebilmesi ve bu çerçevede SAFA MANAVMUAYENEHANESİ sözleşmeler ve yasal yükümlülüklerini gereği gibi eksiksiz yerine getirilebilmesi amacı ile toplanır ve işlenir.
2. KAPSAM
Bu Politika; hastalarımız, ziyaretçilerimiz, kurum yetkilileri, çalışanlarımızın, işbirliği ve her türlü hukuki ilişki içinde olduğumuz kişi, kuruluş ve kurumların çalışanları, yetkililerinin ve üçüncü kişilerin otomatik olan veya olmayan yollarla işlenen aşağıda tanımlı kişisel verilerini kapsar.
Ad, soyad, TC Kimlik numarası, pasaport numası veya geçici TC Kimlik numarası, doğum yeri ve tarihi, cinsiyet, medeni hal, hastaları tanımlayan diğer kimlik verileri; adres, telefon numarası, elektronik posta adresi vb iletişim verileri, ödeme ve faturalama bilgileri gibi finansal veriler; elektronik olan veya olmayan yöntemlerle edinilebilecek sesli ve dijital bilgiler; tüm tıbbî teşhis, muayene, tedavi ve bakım hizmetlerinin yürütülmesi sırasında elde edilen kişisel sağlık verisi başta olmak üzere genel ve özel nitelikli kişisel veriler; sağlık hizmetlerinin finansmanı ve planlaması amacıyla özel sağlık sigortasına ilişkin veriler
Kişisel veri sahipleri gruplarına göre bu politikanın uygulama kapsamı Politikanın tamamı olabileceği gibi (örneğin hastalarımız gibi); yalnızca bir kısım hükümleri de (örneğin yalnızca çalışanlarımız, tedarikçilerimiz vb) olabilecektir
4. TANIMLAR
Açık Rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza
Anonim Hale Getirme: Kişisel verinin, kişisel veri niteliğini kaybedecek ve bu durumun geri alınamayacağı şekilde değiştirilmesidir. Örneğin maskeleme, toplulaştırma, veri bozma vb. tekniklerle kişisel verinin bir gerçek kişi ile ilişkilendirilemeyecek hale getirilmesi
İşbirliği İçerisinde Olduğumuz Kurumların Çalışanları ve Yetkilileri: Kurumumuzun her türlü iş ilişkisi içerisinde bulunduğu kurumlarda (iş ortağı, tedarikçi gibi, ancak bunlarla sınırlı olmaksınız) çalışan, bu kurumların yetkilileri dahil olmak üzere, gerçek kişiler
Kişisel Verilerin İşlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem
Kişisel Veri Sahibi: Kişisel verisi işlenen gerçek kişi. Örneğin: hastalar ve çalışanlar
Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi. Dolayısıyla tüzel kişilere ilişkin bilgilerin işlenmesi Kanun kapsamında değildir. Örneğin. ad soyad, TCKN, e-posta, adres, doğum tarihi, kredi kartı numarası, banka hesap numarası vb.
Hasta: Kurumumuza tetkik, tedavi için müracaat edip ayaktan ya da yatarak tedavi gören kişi
Özel Nitelikli Kişisel Veri: Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık kıyafet, dernek vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik veriler özel nitelikli veriler
Üçüncü Kişi: Kurumumuzun yukarıda bahsi geçen taraflarla arasındaki ticari işlem güvenliğinisağlamak veya bahsi geçen kişilerin haklarını korumak ve menfaat temin etmek üzere bu kişilerle ilişkili olan üçüncü taraf gerçek kişiler (Örneğin hizmet alınan firma çalışan veya yetkilileri, Refakatçi vb)
Veri İşleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel veri işleyen gerçek ve tüzel kişidir. Örneğin Kurumumuzun verilerini tutan bilişim firması, hasta verilerini sisteme giren tüm çalışanlar
Veri Sorumlusu: Kişisel verilerin işlenme amaçlarını ve vasıtalarını belirleyen, verilerin sistematik bir şekilde tutulduğu yeri (veri kayıt sistemi) yöneten kişi
Ziyaretçi: Kurumumuzun sahip olduğu fiziksel alanlara çeşitli amaçlarla girmiş olan veya internet sitelerimizi ziyaret eden gerçek kişiler
5. POLİTİKANIN VE İLGİLİ MEVZUATIN UYGULANMASI
Kişisel verilerin işlenmesi ve korunması yürürlükte bulunan ilgili kanuni düzenlemeler çerçevesinde yürütülür. SAFA MANAV MUAYENEHANESİ Kişisel Verilerin Korunması Politikası güncel yönetmeliklerle uyumlu olarak hazırlanmıştır.
Politika, ilgili mevzuat tarafından ortaya konulan kurallar çerçevesinde SAFA MANAVMUAYENEHANESİ uygulamaları ile entegre edilerek oluşturulmuştur. KVK Kanunu’ndaöngörülen yürürlük sürelerine bağlı kalarak gerekli hazırlıklarını yürütmektedir.Yukarıda belirtilen kişisel veriler gerektiğinde 3359 sayılı Sağlık Hizmetleri Temel Kanunu, Ayakta Teşhis Ve Tedavi Yapılan Özel Sağlık Kuruluşları Hakkında Yönetmelik, Özel Hastaneler Yönetmeliği, Kişisel Sağlık Verilerinin İşlenmesi ve Mahremiyetinin Korunması Yönetmeliği ve Sağlık Bakanlığı düzenlemeleri vb. mevzuat hükümleri çerçevesinde işlenebilecek, hastanelerimize ve/veya tedarikçilerimize/iş ortaklarımıza ait fiziki arşivler ve bilişim sistemlerine nakledilecektir. Sonuç olarak Kişisel veriler kurum prosedürlerinde tanımlı yasal sürelere uygun olarak hem dijital hem de fiziki ortamda korunacaktır.
6. KİŞİSEL VERİLERİN GÜVENLİĞİNİN SAĞLANMASI
Kurumumuz, işlemekte olduğu kişisel verilerin hukuka aykırı olarak işlenmesini önlemek ve verilerin muhafazasını sağlamak için optimum güvenlik düzeyini sağlamaya yönelik gerekli teknik ve idari tedbirleri almakta, bu kapsamda gerekli denetimleri yapmakta veya yaptırmaktadır.
Kurumumuz tarafından KVK Kanunu’nun 12nci maddesi uyarınca “veri güvenliğini” sağlamaya yönelik alınan aksiyonlar ve tedbirler aşağıda belirtilmektedir.
• Kurumumuz, kişisel verilerin hukuka uygun işlenmesini sağlamak için, teknolojik olanaklar ve uygulama maliyetine göre teknik ve idari önlemleri almaktadır. Çalışanlar, öğrendikleri kişisel verileri KVKK hükümlerine aykırı olarak başkasına açıklayamayacağı ve işleme amacı dışında kullanamayacağı ve bu yükümlülüğün görevden ayrılmalarından sonra da devam edeceği konusunda bilgilendirilmekte ve bu doğrultuda kendilerinden gerekli taahhütler alınmaktadır.
• Kurumumuz, kişisel verilerin tedbirsizlikle veya yetkisiz olarak açıklanmasını, erişimini, aktarılmasını veya başka şekillerdeki tüm hukuka aykırı erişimi önlemek için teknik ve idari tedbirler almaktadır.
• Kurumumuz, kişisel verilerin hukuka aykırı olarak işlenmesinin önlenmesi, verilere hukuka aykırı olarak erişilmesini önlenmesi ve verilerin hukuka uygun muhafazasını sağlanması konusunda kişisel verileri aktarmış olduğu iş ortakları ve tedarikçiler gibi veri işleyen kurumlar olarak farkındalıkları arttırmaktadır.
• Kurumumuzun veri sorumlusu olarak kişisel verileri işlerken uymak zorunda olduğu yükümlülükler ve bu konuda geliştirdiği hukuksal, idari ve teknik tedbirlere uyma zorunluluğu Kurumumuzun tedarikçi, iş ortağı gibi çeşitli sıfatlarla ilişkide olduğu veri işleyen kurumlara veri işleme konusunda gerçekleştirdikleri faaliyetin niteliğiyle uyumlu bir şekilde sözleşmeleryapılmaktadır
• Kurumumuz kendi bünyesinde gerekli denetimleri yapmakta veya yaptırmaktadır. Bu denetim sonuçları Kurumun iç işleyişi kapsamında konu ile ilgili bölüme raporlanmakta ve alınan tedbirlerin iyileştirilmesi için gerekli faaliyetler yürütülmektedir.
7. VERİ SAHİBİNİN HAKLARI
Kişisel veri sahipleri aşağıda sıralanan haklarına ilişkin taleplerini yazılı olarak şahsen başvuru ile ve özel yetkili vekaletname ile Kurumumuza iletmeleri durumunda Kurumumuz talebin niteliğine göre talebi en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandırmaktadır. Kişisel veri sahipleri;
• Kişisel veri işlenip işlenmediğini öğrenme,
• Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
• Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
• Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
• Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
• Kişisel verilerin silinmesini veya yok edilmesini isteme,
• Kişisel verilerin düzeltilmesi, silinmesi ya da yok edilmesi halinde bu işlemlerin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
• İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
• Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme haklarına sahiptir.
KVK Kanunu’nun 13üncü maddesinin 1inci fıkrası gereğince yukarıda belirtilen hakların kullanılması ile ilgili talebin “yazılı” olarak Kurumumuza (veri sorumlusuna) iletilmesi gerekmektedir.
KVK çerçevesinde belirtilen hakların kullanılması için, kimliği tespit edici gerekli bilgiler ve kullanmak istenilen haklara yönelik açıklamalarla birlikte talebin, Kanunun 11inci maddesinde belirtilen hangi hakkın kullanımına ilişkin olduğunun da belirtilerek kurumumuza iletilmesi; Talebe ilişkin başvurunun daha hızlı ve etkili bir şekilde cevaplandırılmasını sağlayacaktır.
8. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN GÜVENLİĞİNİN SAĞLANMASI
SAFA MANAV MUAYENEHANESİ kişisel verileri teknik ve idari olanakları ile titizlikle korumaktadır. Hastanemiz tarafından alınan güvenlik önlemleri, teknolojik olanaklar, olası riskler göz önünde bulundurularak optimum düzeyde sağlanmaktadır.
Bir grup kişisel veri, hukuka aykırı olarak işlendiğinde kişilerin mağduriyetine veya ayrımcılığa sebep olma riski nedeniyle KVK Kanununda “özel nitelikli kişisel veri” olarak tanımlanmıştır.
Bu veriler ; ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir.
KVK Kanunu ile “özel nitelikli” olarak belirlenen ve hukuka uygun olarak işlenen yukarıda tanımlı verilerin korunmasında hassasiyetle davranılmaktadır.
Özel nitelikli kişisel verilerin saklanması sırasında uygulanan teknik ve idari tedbirlerin detayıKurumumuz tarafından yayınlanan “Kişisel Verilerin Saklanması Ve İmha Politikası”ndabelirtilmiştir. İşbu idari ve teknik tedbirler Kişisel Verileri Koruma Kurulu tarafından yayınlanan Kurul kararına uygun şekilde oluşturulmuştur.
9. KİŞİSEL VERİ SAHİBİNİN AYDINLATILMASI VE BİLGİLENDİRİLMESİ
KVK Kanunu’nun 10’uncu maddesine uygun olarak, kişisel verilerin elde edilmesi sırasında kişisel veri sahiplerini aydınlatmaktadır. Bu kapsamda Kurumumuz tarafından kişisel veri sahiplerine kişisel verilerinin elde edilmesi sırasında Kurumumuzun kimliğini, kişisel verilerin hangi amaçla işleneceğini, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi ile kişisel veri sahibinin KVK Kanunu’nun 11’inci maddesi kapsamında sahip olduğu haklarla ilgili aydınlatma yapmaktadır.
Anayasa’nın 20’nci maddesinde herkesin, kendisiyle ilgili kişisel veriler hakkında bilgilendirilme hakkına sahip olduğu ortaya konulmuştur. Bu doğrultuda KVK Kanunu’nun 11’inci maddesinde kişisel veri sahibinin hakları arasında “bilgi talep etme” de sayılmıştır. Kurumumuz bu kapsamda, Anayasa’nın 20’inci ve KVK Kanunu’nun 11’inci maddelerine uygun olarak kişisel veri sahibinin bilgi talep etmesi durumunda gerekli bilgilendirmeyi yapmaktadır.
Kurumumuz kişisel veri sahipleri ile ilgililere , kişisel verilerin korunmasındaki kurum politikasını, çeşitli kamuoyuna açık dokümanlarla duyurarak, kişisel veri işleme faaliyetlerinde ilgilileri bilgilendirmeyi ve bu çerçevede hesap verilebilirliği ve şeffaflığı sağlamaktadır. Ayrıca Kurumumuz ilgili kişileri; kişilerin “açık rıza” sına başvurduğu zamanlar başta olmak üzere, kendi faaliyetleri ve kanundaki maddeler hakkında farklı yöntemlerle de bilgilendirmektedir.
10. KİŞİSEL VERİLERİN İŞLENMESİ
Kurumumuz, Anayasa’nın 20’ nci maddesine ve KVK Kanunu’nun 4’ncü maddesine uygun olarak, kişisel verilerin işlenmesi konusunda; doğru ve güncel ,hukuka ve dürüstlük kurallarına uygun; belirli, açık ve meşru amaçlar güderek; amaçla bağlantılı, sınırlı ve ölçülü bir biçimde kişisel veri işleme faaliyetinde bulunmaktadır.
Kurumumuz kanunlarda öngörülen veya kişisel veri işleme amacının gerektirdiği süre kadar kişisel verileri muhafaza etmektedir.
Kurumumuz, Anayasa’nın 20’nci ve KVK Kanunu’nun 5’inci maddeleri gereğince, kişisel verileri, kişisel verilerin işlenmesine ilişkin KVK Kanunu’nun 5’inci maddesindeki şartlardan bir veya bir kaçına dayalı olarak işlemektedir.
Kurumumuz, KVK Kanunu’nun 6’ncı maddesine uygun olarak özel nitelikli kişisel verilerin işlenmesi bakımından öngörülen düzenlemelere uygun hareket etmektedir.
Kurumumuz, KVK Kanunu’nun 8’inci ve 9’uncu maddelerine uygun olarak, kişisel verilerin aktarılması konusunda kanunda öngörülen ve KVK Kurulu tarafından ortaya konulan düzenlemelere uygun davranmaktadır.
Kişisel Verilerin Mevzuatta Öngörülen İlkelere Uygun Olarak İşlenmesi
Hukuka ve Dürüstlük Kuralına Uygun İşleme
Kurumumuz; kişisel verilerin işlenmesinde yasal düzenlemelerle getirilen ilkeler ile genel güven ve dürüstlük kuralına uygun hareket etmektedir. Kurumumuz, kişisel verilerin işlenmesinde orantılılık gerekliliklerini dikkate almaktadır, kişisel verileri amacın dışında kullanmamaktadır.
Kişisel Verilerin Doğru ve Gerektiğinde Güncel Olmasını Sağlama
Kurumumuz; kişisel veri sahiplerinin temel haklarını ve kendi yasal menfaatlerini dikkate alarak işlediği kişisel verilerin doğru ve güncel olmasını sağlayacak gerekli önlemleri almaktadır.
Belirli, Açık ve Meşru Amaçlarla İşleme
Kurumumuz, meşru ve hukuka uygun olan kişisel veri işleme amacını açık ve kesin olarak belirlemektedir. Kurumumuz, kişisel verileri sunmakta olduğu hizmetle bağlantılı ve bunlar için gerekli olan kadar işlemektedir. Kurumumuz tarafından kişisel verilerin hangi amaçla işleneceği henüz kişisel veri işleme faaliyeti başlamadan bildirilmektedir.
İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma
Kurumumuz, kişisel verileri belirlenen amaçların gerçekleştirilebilmesine elverişli bir biçimde işlemekte ve amacın gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınmaktadır. Örneğin sonradan ortaya çıkması muhtemel ihtiyaçların karşılanmasına yönelik kişisel veri işleme faaliyeti yürütülmemektedir.
İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç için Gerekli Olan Süre Kadar Muhafaza Etme
Kurumumuz, kişisel verileri ancak ilgili mevzuatta belirtildiği veya işlendikleri amaç için gerekli olan süre kadar muhafaza etmektedir. Bu kapsamda, Kurumumuz öncelikle ilgili mevzuatta kişisel verilerin saklanması için bir süre öngörülüp öngörülmediğini tespit etmekte, bir süre belirlenmişse bu süreye uygun davranmakta, bir süre belirlenmemişse kişisel verileri işlendikleri amaç için gerekli olan süre kadar saklamaktadır. Sürenin bitimi veya işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel veriler Kurumumuz tarafından silinmekte, yok edilmekte veya anonim hale getirilmektedir.
Kişisel Verilerin İşlenme Şartları
Kişisel verilerin korunması Anayasal bir haktır. Anayasa’nın 20’nci maddesinin üçüncü fıkrası gereğince, kişisel veriler ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilecektir. Kurumumuz bu doğrultuda ve Anayasa’ya uygun bir biçimde; kişisel verileri, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlemektedir.
Kurumumuz tarafından kişisel verilerin işlenmesine yönelik hukuki dayanaklar farklılık gösterse de, her türlü kişisel veri işleme faaliyetinde 6698 sayılı Kanun’un 4’ncü maddesinde belirtilen genel ilkelere uygun olarak hareket edilmektedir.
Kişisel veri sahibinin açık rıza vermesi, kişisel verilerin hukuka uygun olarak işlenmesine olanak tanıyan hukuki dayanaklardan yalnızca bir tanesidir. Açık rıza dışında, aşağıda yazan diğer şartlardan birinin varlığı durumunda da kişisel veriler işlenebilir. Kişisel veri işleme faaliyetinin dayanağı aşağıda belirtilen şartlardan yalnızca biri olabildiği gibi bu şartlardan birden fazlası da aynı kişisel veri işleme faaliyetinin dayanağı olabilir. İşlenen verilerin özel nitelikli kişisel veri olması halinde; aşağıda yer alan şartlar uygulanır.
• Kişisel Veri Sahibinin Açık Rızasının Bulunması
• Kanunlarda Açıkça Öngörülmesi
• Fiili İmkânsızlık Sebebiyle İlgilinin Açık Rızasının Alınamaması
• Sözleşmenin Kurulması veya İfasıyla Doğrudan İlgi Olması
• Kurumun Hukuki Yükümlülüğünü Yerine Getirmesi
• Kişisel Veri Sahibinin Kişisel Verisini Alenileştirmesi
• Bir Hakkın Tesisi veya Korunması için Veri İşlemenin Zorunlu Olması
Bina, Tesis Girişleri İle Bina Tesis İçerisinde Yapılan Kişisel Veri İşleme Faaliyetleri
Kurum’umuz tarafından güvenlik amacıyla kamera ile izleme faaliyeti yürütülmesinde KVK Kanunu’n da yer alan düzenlemelere uygun hareket edilmektedir.
Kurumumuz binalarında ve tesislerinde güvenlik kamerasıyla izleme faaliyeti ile hasta, personel ,ziyaretçi, tedarikçi firma çalışanlarının giriş çıkışlarının takibine yönelik kişisel veri işleme faaliyetinde bulunulmaktadır.
Güvenlik kameraları kullanılması ve misafir giriş çıkışlarının kayıt altına alınması yoluyla Kurumumuz tarafından kişisel veri işleme faaliyeti yürütülmüş olmaktadır.
Bu kapsamda Kurumumuz Anayasa, KVK Kanunu ve ilgili diğer mevzuata uygun olarak hareket etmektedir.
Kurumumuzun bina, tesis girişlerinde ve tesis içerisinde kamera ile izleme sistemi vasıtasıyla ziyaretçilerimizin görüntü kayıtları ve gerekli yerlerde ses kayıtları alınmaktadır.
Kurumumuz, güvenlik kamerası ile izleme faaliyeti kapsamında; sunulan hizmetin kalitesini artırmak, güvenilirliğini sağlamak, kurumun, hasta ve çalışanların diğer kişilerin güvenliğini sağlamak ve hastaların aldıkları sağlık hizmeti ve diğer hizmetlere ilişkin menfaatlerini korumak gibi amaçlar taşımaktadır.
Dijital ortamda kaydedilen ve muhafaza edilen kayıtlara sadece yetkilendirilmiş kurum çalışanlarının ve/veya tedarikçi firma çalışanlarının erişimi bulunmaktadır.
Kurumumuz tarafından KVK Kanunu’nun 12nci maddesine uygun olarak, kamera ile izleme faaliyeti sonucunda elde edilen kişisel verilerin güvenliğinin sağlanması için gerekli teknik ve idari tedbirler alınmaktadır.
11. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİ
Kurumumuz tarafından, KVK Kanunu ile “özel nitelikli ”olarak belirlenen kişisel verilerin işlenmesinde, KVK Kanunu’nda öngörülen düzenlemelere hassasiyetle uygun davranılmaktadır.
KVK Kanunu’nun 6’ncı maddesinde, hukuka aykırı olarak işlendiğinde kişilerin mağduriyetine veya ayrımcılığa sebep olma riski taşıyan bir takım kişisel veri “özel nitelikli” olarak belirlenmiştir. Bu veriler; ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir.
KVK Kanunu’na uygun bir biçimde Kurumumuz tarafından; özel nitelikli kişisel veriler, KVK Kurulu tarafından belirlenecek olan yeterli önlemlerin alınması kaydıyla aşağıdaki durumlarda işlenmektedir:
• Kişisel veri sahibinin açık rızası var ise veya
• Kişisel veri sahibinin açık rızası yok ise;
• Kişisel veri sahibinin sağlığı ve cinsel hayatı dışındaki özel nitelikli kişisel veriler, kanunlar da öngörülen hallerde,
• Kişisel veri sahibinin sağlığına ve cinsel hayatına ilişkin özel nitelikli kişisel verileri ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenmektedir.
12. KİŞİSEL VERİLERİN AKTARILMASI
Kurumumuz hukuka uygun olan kişisel veri işleme amaçları doğrultusunda gerekli güvenlik önlemlerini alarak kişisel veri sahibinin kişisel verilerini ve özel nitelikli kişisel verilerini üçüncü kişilere aktarabilmektedir. Kurumumuz bu doğrultuda KVK Kanunu’nun 8inci maddesinde öngörülen düzenlemelere uygun hareket etmektedir.
Kişisel verileriniz, Kanun ve diğer mevzuat kapsamında ve yukarıda yer verilen amaçlarla Sağlık Bakanlığı, bağlı alt birimleri ve aile hekimliği merkezleri, özel sigorta şirketleri (sağlık, emeklilik ve hayat sigortası ve benzeri), Sosyal Güvenlik Kurumu, Emniyet Genel Müdürlüğü ve diğer kolluk kuvvetleri, Nüfus Genel Müdürlüğü, Türkiye Eczacılar Birliği, mahkemeler ve bununla bağlı kalmamak kaydıyla tüm kamu kurum ve kuruluşları, tıbbi teşhis için iş birliği içerisinde olduğumuz yurt içinde veya yurt dışında bulunan (açık rıza alınması halinde) laboratuvarlar, tıp merkezleri ve sağlık hizmeti sunan üçüncü kişiler, hastanın sevk edildiği veya hastanın kendisinin başvurduğu sağlık kuruluşu, yetki vermiş olduğunuz temsilcileriniz, bağlı olduğunuz ve/veya çalışmakta olduğunuz kurum, avukatlar, vergi danışmanları ve denetçiler de dâhil olmak üzere danışmanlık aldığımız üçüncü kişiler, düzenleyici ve denetleyici kurumlar ve resmi merciler, yurt içindeki veya yurt dışındaki sistemlere ve/veya Kurum’umuzun bağlı bulunduğu şirketler topluluğu bünyesindeki şirketler, hizmetlerinden faydalandığımız veya işbirliği içerisinde olduğumuz tedarikçilerimiz, destek hizmet sağlayıcılarımız ve iş ortaklarımız.
Kişisel Verilerin Yurtdışına Aktarılması
Kişisel verileriniz hiçbir şartta tarafımızca yurt dışına aktarılmamaktadır.
13. KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VE ANONİMLEŞTİRİLMESİ ŞARTLARI
Türk Ceza Kanunu’nun 138’inci maddesinde ve KVK Kanunu’nun 7’nci maddesinde düzenlendiği üzere ilgili kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde Kurumumuzun ilgili prosedürlerine istinaden veya kişisel veri sahibinin talebi üzerine kişisel veriler silinir, yok edilir veya anonim hâle getirilir.
Bu kapsamda Kurumumuz ilgili yükümlülüğünü yerine getirmek üzere ilgili iş birimlerini eğitmekte, görevlendirmekte ve farkındalıklarını arttırmaktadır.
Kurumumuz binalarına gelen kişilerin isim ve soyadları elde edilirken ya da Kurum nezdinde asılan ya da diğer şekillerde misafirlerin erişimine sunulan metinler aracılığıyla söz konusu kişisel veri sahipleri bu kapsamda aydınlatılmaktadırlar.
Kişisel verilerin silinmesi, yok edilmesi ve anonimleştirilmesi hakkında detaylı bilgilendirme Kurumumuz tarafından yayınlanan “Kişisel Verilerin Saklanması Ve İmha Politikası”ndeayapılmıştır.
14. POLİTİKANIN YÜRÜRLÜĞE GİRMESİ
SAFA MANAV MUAYENEHANESİ Kişisel Verilerin Korunması ve İşlenmesi Politikası 01/01/2023 tarihinde yürürlüğe girer. Politikanın tamamının veya belirli maddelerinin yenilenmesi durumunda Politikanın yürürlük tarihi yenilenen madde için o maddenin revize edildiği tarihtir.
SAFA MANAV MUAYENEHANESİ
6698 SAYILI KVKK KAPSAMINDA
KİŞİSEL VERİ SAKLAMA VE İMHA POLİTİKASI
1. BÖLÜM: İMHA POLİTİKASI’NIN NİTELİĞİ VE AMACI
GİRİŞ
Bu imha politikası SAFA MANAV MUAYENEHANESİ (Klinik) olarak, veri sorumlusu sıfatıyla elde ettiğimiz kişisel verilerin 6698 sayılı Kişisel Verilerin Korunması Kanunu ve ilgili mevzuat gereğince kişisel verilerin silinmesi, yok edilmesi ve/veya anonim hale getirilmesine ilişkin uygulanacak usul ve esasların belirlenmesi amacıyla hazırlanmıştır.
Bu kapsamda, çalışanlarımızın, çalışan adaylarımızın, stajyerlerimizin, hastalarımızın, ziyaretçilerimizin ve herhangi bir nedenle SAFA MANAV MUAYENEHANESİ bünyesinde kişisel verisi bulunan tüm gerçek kişilerin kişisel verileri Kişisel Verilerin İşlenmesi ve Korunması Politikası ve bu Kişisel Veri Saklama ve İmha Politikası çerçevesinde kanunlara uygun olarak yürütülmektedir.
TANIMLAR
Veri Sorumlusu | Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi |
İlgili kişi | Kişisel verisi işlenen gerçek kişiyi, |
İmha | Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesini |
Kanun | 07.04.2016 tarih ve 29677 sayılı Resmi Gazetede yayımlanan 6698 sayılı Kişisel Verilerin Korunması Kanununu, |
Yönetmelik | 28.10.2017 tarihli ve 30224 sayılı Resmi Gazetede yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmeliğini |
Kurul | Kişisel Verileri Koruma Kurulunu |
Kayıt ortamı | Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortamı |
Kişisel Verilerin İşlenmesi ve Korunması Politikası | Klinikin kişisel verilerin yönetilmesine ilişkin usul ve esasları belirleyen politikayı |
Veri kayıt sistemi | Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini |
ifade eder
2. BÖLÜM: ORTAMLAR VE GÜVENLİK TEDBİRLERİ
KİŞİSEL VERİLERİN SAKLANDIĞI ORTAMLAR
SAFA MANAV MUAYENEHANESİ nezdinde saklanan kişisel veriler, ilgili verinin niteliğine ve hukuki yükümlülüklerimize uygun şartlarda ve uygun bir kayıt ortamında tutulur.
Kişisel verilerin saklanması için kullanılan kayıt ortamları genel itibariyle aşağıda sayılanlardır. Ancak, bir kısım veriler sahip oldukları özel nitelikler ya da hukuki yükümlülüklerimiz nedeniyle burada gösterilen ortamlardan farklı bir ortamda tutulabilir. Şirket her durumda veri sorumlusu sıfatıyla hareket etmekte ve Kişisel Verileri Koruma Kanununa, Kişisel Verilerin İşlenmesi ve Korunması Politikasına ve bu Kişisel Veri Saklama ve İmha Politikasına uygun olarak işlemek ve korumaktadır.
ELEKTRONİK ORTAMLAR | ELEKTRONİK OLMAYAN ORTAMLAR |
|
|
ORTAMLARIN GÜVENLİĞİNİN SAĞLANMASI
SAFA MANAV MUAYENEHANESİ, kişisel verilerin güvenli bir şekilde saklanması ile hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi için ilgili kişisel veri ile tutulduğu ortamın niteliklerine uygun olarak gerekli tüm teknik ve idari tedbirleri almakta ayrıca bu konudaki gelişmeleri takip etmektedir.
Bu tedbirler, bunlarla kısıtlı olmamak üzere, ilgili kişisel verinin ve tutulduğu ortamın niteliğine uygun düştüğü ölçüde aşağıdaki idari ve teknik tedbirleri kapsar.
Teknik Tedbirler
SAFA MANAV MUAYENEHANESİ kişisel verilerin saklandığı tüm ortamların ilgili verinin ve verinin tutulduğu ortamın niteliklerine uygun olarak aşağıdaki teknik tedbirleri almaktadır:
- Kişisel verilerin tutulduğu ortamlarda yalnızca teknolojik gelişmelere uygun güncel ve güvenli sistemler kullanılmaktadır.
- Kişisel verilerin tutulduğu ortamlara yönelik güvenlik sistemleri kullanılmaktadır.
- Bilişim sistemleri üzerindeki güvenlik zafiyetlerinin tespitine yönelik güvenlik testleri ve araştırmaları yapılmakta, yapılan test ve araştırmaların sonucunda tespit edilen mevcut ya da muhtemel risk teşkil eden hususlar giderilmektedir.
- Kişisel verilerin güvenli olarak saklanmasını sağlayan veri yedekleme programları kullanılmaktadır.
- Elektronik olan veya olmayan ortamlarda saklanan kişisel verilere erişim, erişim prensiplerine göre sınırlandırılmaktadır.
- Kişisel verilerin işlendiği elektronik ortamlarda güçlü parolalar kullanılmaktadır.
- Kişisel verilerin tutulduğu ortamlara veriye erişim kısıtlanarak yalnızca yetkili kişilerin, kişisel verinin saklanma amacı ile sınırlı olarak bu verilere erişmesine izin verilmekte ve tüm erişimler kayıt altına alınmaktadır.
- Özel nitelikli kişisel verilere yazılım aracılığıyla erişildiği durumlarda yazılıma ait kullanıcı yetkilendirmeleri yapılmakta, kullanılan yazılımların güvenlik testleri yazılım sahibi olan kişi veya şirket tarafından düzenli olarak yaptırılmakta, bu durum periyodik olarak takib edilmektedir.
- Kişisel verilerin fiziki olarak tutulduğu ortamların güvenliğine ilişkin (kilit kullanımı, şifreli kasa kullanımı vb.) gerekli tedbirler alınmaktadır.
- Özeli nitelikli kişisel veriler fiziki olarak yalnızca kilit vasfını haiz ve erişimin yalnızca hekimde olduğu ortamlarda tutulmaktadır.
İdari Tedbirler
SAFA MANAV MUAYENEHANESİ kişisel verilerin saklandığı tüm ortamların ilgili verinin ve verinin tutulduğu ortamın niteliklerine uygun olarak aşağıdaki idari tedbirleri almaktadır:
- Kişisel verilere erişimi olan tüm SAFA MANAV MUAYENEHANESİ çalışanlarının bilgi güvenliği, kişisel veriler ve özel hayatın gizliliği konularında farkındalıklarının artırılması ve bilinçlendirilmesi için çalışmalar yapılmaktadır.
- Bilgi güvenliği, özel hayatın gizliliği ve kişisel verilerin korunması alanındaki gelişmeleri takip etmek ve gerekli aksiyonları almak üzere hukuki ve teknik danışmanlık hizmeti alınmaktadır.
- Klinik tarafından yürütülen faaliyetlere ilişkin çalışanlara gizlilik sözleşmeleri imzalanmaktadır.
- Kişisel veri işleme envanteri hazırlanmıştır.
- Kişisel verilerin teknik ya da hukuki gereklilikler nedeniyle üçüncü kişilere aktarılması halinde ilgili üçüncü kişilerle kişisel verilerin korunması amacıyla Gizlilik Sözleşmeleri imzalanmakta, ilgili üçüncü kişilerin bu protokollerdeki yükümlülüklerine uyması için gerekli tüm özen gösterilmektedir.
Kurum İçi Denetimi
SAFA MANAV MUAYENEHANESİ, Kanunun 12. maddesi uyarınca Kanun hükümlerinin ve bu Kişisel Veri Saklama ve İmha Politikası ile Kişisel Verilerin İşlenmesi ve Korunması Politikası hükümlerinin uygulanmasına ilişkin düzenli olarak kurum içi denetimler yapmaktadır.
Kurum içi denetimler sonucunda bu hükümlerin uygulanmasına ilişkin eksiklik veya kusurların tespit edilmesi halinde bu eksiklik ya da kusurlar en kısa zamanda giderilir.
Denetim sırasında ya da bir şekilde SAFA MANAV MUAYENEHANESİ sorumluluğunda bulunan kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edildiğinin anlaşılması hâlinde, bu durumu en kısa sürede ilgilisine ve KVK Kuruluna (72 saat içerisinde) bildirir.
3. BÖLÜM: KİŞİSEL VERİLERİN İMHASI
Saklama Ve İmhaya İlişkin Açıklamalar
SAFA MANAV MUAYENEHANESİ bünyesinde tutulan kişisel veriler Kanun ve ikincil mevzuat uyarınca, burada belirtilen amaç ve nedenlerle saklanmakta ve imha edilmektedir.
Saklama Nedenleri
Kanunun 3 üncü maddesinde kişisel verilerin işlenmesi kavramı tanımlanmış, 4 üncü maddesinde işlenen kişisel verinin işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli süre kadar muhafaza edilmesi gerektiği belirtilmiş, 5 ve 6 ncı maddelerde ise kişisel verilerin işleme şartları sayılmıştır.
Buna göre, SAFA MANAV MUAYENEHANESİ faaliyetleri çerçevesinde kişisel veriler, ilgili mevzuatta öngörülen veya işleme amaçlarımıza uygun süre kadar saklanır.
Saklamayı Gerektiren Hukuki Sebepler
Kurumda, faaliyetleri çerçevesinde işlenen kişisel veriler, ilgili mevzuatta öngörülen süre kadar muhafaza edilir. Bu kapsamda kişisel veriler;
- 6698 sayılı Kişisel Verilerin Korunması Kanunu,
- 6098 sayılı Türk Borçlar Kanunu,
- 6102 sayılı Türk Ticaret Kanunu,
- 213 Sayılı Vergi Usul Kanunu
- 6502 sayılı Tüketicinin Korunması Hakkında Kanun,
- 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu,
- 6361 sayılı İş Sağlığı ve Güvenliği Kanunu,
- 4982 Sayılı Bilgi Edinme Kanunu,
- 3359 sayılı Sağlık Hizmetleri Temel Kanunu
- 663 sayılı Sağlık Bakanlığı ve Bağlı Kuruluşlarının Teşkilat ve Görevleri Hakkında Kanun Hükmünde Kararname,
- 3071 sayılı Dilekçe Hakkının Kullanılmasına Dair Kanun,
- 4857 sayılı İş Kanunu,
- 2828 sayılı Sosyal Hizmetler Kanunu
- 1774 Sayılı Kimlik Bildirme Kanunu
- 1219 Sayılı Tababe Ve Şubatı Sanatlarının Tarzı İcrasına Daire Kanun
- İşyeri Bina ve Eklentilerinde Alınacak Sağlık ve Güvenlik Önlemlerine İlişkin Yönetmelik,
- Kişisel Sağlık Verilerinin İşlenmesi ve Mahremiyetinin Korunması Yönetmeliği
- Tıbbi Laboratuvarlar Yönetmeliği,
- Sağlıkta Kalitenin Geliştirilmesi ve Değerlendirilmesine Dair Yönetmelik
- Yataklı Tedavi Kurumları İşletme Yönetmeliği
- Ayakta Teşhis Ve Tedavi Yapılan Sağlık Kuruluşları Hakkında Yönetmelik
Bu kanunlar uyarınca yürürlükte olan diğer ikincil düzenlemeler çerçevesinde öngörülen saklama süreleri kadar saklanmaktadır.
Saklamayı Gerektiren İşleme Araçları
- İnsan kaynakları süreçlerini yürütmek
- Klinikin ürün ve hizmetlerin sunulması
- Tıbbi teşhis ve tedavinin yürütülmesi
- Koruyucu hekimlik faaliyetinin yürütülmesi
- Sağlık hizmetleri ile finansmanın sağlanması
- Klinikin hukuki, ticari ve fiziksel güvenliğini sağlamak
- İç denetim faaliyetlerinin yürütülmesi
- Saklama ve arşiv faaliyetlerinin yürütülmesi
- Klinikin kurumsal işleyişini sağlamak
- Ürün ve hizmete ilişkin iletişim kurmak
- İmzalanan sözleşmeler ve protokoller neticesinde iş ve işlemleri ifa edebilmek
- Yasal düzelemelerin gerektirdiği veya zorunlu kıldığı şekilde, hukuki yükümlülüklerin yerine getirilmesini sağlamak
- Yetkili kişi, kurum ve kuruluşlara bilgi verilmesi
- İstatiksel çalışmalar yapabilmek
- İleride doğabilecek hukuki uyuşmazlıklarda delil olarak ispat yükümlülüğü
- Yasal raporlamalar yapmak
- Finans ve muhasebe işlerinin yürütülmesi
- İletişim faaliyetlerinin yürütülmesi
- Hizmet alım ve satım ile operasyonlarının yürütülmesi
İmhayı Gerektiren Sebepler
Kişisel Veriler;
- İşlenmesine esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası,
- İşlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,
- Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştirdiği hallerde, ilgili kişinin açık rızasını geri alması
- Kanunun 11 inci maddesi gereği ilgili kişinin hakları çerçevesinde kişisel verilerinin silinmesi ve yok edilmesine ilişkin yaptığı başvurunun Kurum tarafından kabul edilmesi,
- Kurumun, ilgili kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendine yapılan başvuruyu reddetmesi, verdiği cevabı yetersiz bulması veya Kanunda öngörülen süre içinde cevap vermemesi hallerinde; Kurula şikayette bulunması ve bu talebin Kurul tarafından uygun bulunması,
- Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olması ve kişisel verileri daha uzun süre saklamaya haklı kılacak herhangi bir şartın mevcut olmaması,
durumlarında, Kurum tarafından ilgili kişinin talebi üzerine silinir, yok edilir ya da re’sen silinir, yok edilir veya anonim hale getirilir.
İMHA YÖNTEMLERİ
SAFA MANAV MUAYENEHANESİ Kanuna ve ilgili mevzuat ile Kişisel Verilerin İşlenmesi ve Korunması Politikasına uygun olarak sakladığı kişisel verileri, verilerin işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde ilgili kişinin talebi doğrultusunda ya da bu Kişisel Veri Saklama ve İmha Politikasında belirtilen süreler içinde re’sen siler, yok eder veya anonim hale getirir.
SAFA MANAV MUAYENEHANESİ tarafından en çok kullanılan silme, yok etme ve anonim hale getirme teknikleri aşağıda sıralanmaktadır:
Silme Yöntemleri
VERİ KAYIT ORTAMI | AÇIKLAMA |
Sunucularda Yer Alan Kişisel Verileri | Sunucularda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler için sistem yöneticisi tarafından ilgili kullanıcıların erişim yetkisi kaldırılarak silme işlemi yapılır |
Elektronik Ortamlarda Yer Alan Kişisel Veriler | Elektronik ortamda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, veritabanı yönetici hariç diğer çalışanlar (ilgili kullanıcılar) için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. |
Fiziksel Ortamda Yer Alan Kişisel Veriler | Fiziksel ortamda tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler için evrak arşivinden sorumlu birim yöneticisi hariç diğer çalışanlar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. Ayrıca, üzeri okunamayacak şekilde çizilerek/boyanarak/silinerek karartma işlemi de uygulanır |
Taşınabilir Medyada Bulunan Kişisel Veriler | Flash tabanlı saklama ortamlarında tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler, sistem yöneticisi tarafından şifrelenerek ve erişim yetkisi sadece sistem yöneticisine verilerek şifreleme anahtarlarıyla güvenli ortamlarda saklanır |
Yok Etme Yöntemleri
VERİ KAYIT ORTAMI | AÇIKLAMA |
Fiziksel Ortamda Yer Alan Kişisel Veriler | Kişisel veri barındıran optik ve manyetik medyanın eritilmesi, yakılması veya toz haline getirilmesi gibi fiziksel olarak yok edilmesi işlemidir. Optik veya manyetik medyayı eritmek, yakmak, toz haline getirmek ya da bir metal öğütücüden geçirmek gibi işlemlerle verilerin erişilmez kılınması sağlanır. |
Optik/Manyetik Medyada Yer Alan Kişisel Verilerin Yok Edilmesi | Optik medya ve manyetik medyada yer alan kişisel verilerden saklanmasını gerektiren süre sona erenlerin eritilmesi, yakılması veya toz haline getirilmesi gibi fiziksel olarak yok edilmesi işlemi uygulanır. Ayrıca, manyetik medya özel bir cihazdan geçirilerek yüksek değerde manyetik alana maruz bırakılması suretiyle üzerindeki veriler okunamaz hale getirilir. |
Anonimleştirme Yöntemleri
Anonimleştirme, kişisel verilerin başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesidir.
Değişkenleri çıkarma | İlgili kişiye ait kişisel verilerin içerisinde yer alan ve ilgili kişiyi herhangi bir şekilde tespit etmeye yarayacak doğrudan tanımlayıcıların bir ya da bir kaçının çıkarılmasıdır. Bu yöntem kişisel verinin anonim hale getirilmesi için kullanılabileceği gibi, kişisel veri içerisinde veri işleme amacına uygun düşmeyen bilgilerin bulunması halinde bu bilgilerin silinmesi amacıyla da kullanılabilir. |
Bölgesel gizleme | Kişisel verilerin toplu olarak anonim şekilde bulunduğu veri tablosu içinde istisna durumda olan veriye ilişkin ayırt edici nitelikte olabilecek bilgilerin silinmesi işlemidir. |
Genelleştirme | Birçok kişiye ait kişisel verinin bir araya getirilip, ayırt edici bilgileri kaldırılarak istatistiki veri haline getirilmesi işlemidir. |
Alt ve üst sınır kodlama / Global kodlama | Belli bir değişken için o değişkene ait aralıklar tanımlanarak kategorilendirilir. Değişken sayısal bir değer içermiyorsa bu halde değişken içindeki birbirine yakın veriler kategorilendirilir. Aynı kategori içinde kalan değerler birleştirilir. |
Mikro birleştirilme | Bu yöntem ile veri kümesindeki bütün kayıtlar öncelikle anlamlı bir sıraya göre dizilip sonrasında bütün küme belirli bir sayıda alt kümelere ayrılır. Daha sonra her alt kümenin belirlenen değişkene ait değerinin ortalaması alınarak alt kümenin o değişkenine ait değeri ortalama değer ile değiştirilir. Bu sayede veri içerisinde bulunan dolaylı tanımlayıcılar bozulmuş olacağından, verinin ilgili kişiyle ilişkilendirilmesi zorlaştırılır. |
Veri karma ve bozma | Kişisel veri içerisindeki doğrudan ya da dolaylı tanımlayıcılar başka değerlerle karıştırılarak ya da bozularak ilgili kişi ile ilişkisi koparılır ve tanımlayıcı niteliklerini kaybetmeleri sağlanır. |
SAKLAMA VE İMHA SÜRELERİ
Saklama Süreleri
VERİ SAHİBİ | VERİ KATEGORİSİ | VERİ SAKLAMA SÜRESİ |
Çalışan | İşe alım evrakları ile Sosyal Güvenlik Kurumuna gerçekleştirilen hizmet süresine ve ücrete dair bildirimlere esas özlük verileri | Hizmet akdinin sona ermesinden itibaren 10 yıl, hukuki bir süreç işliyorsa süreç sona erene kadar muhafaza edilir. |
Çalışan | İşe alım evrakları ile Sosyal Güvenlik Kurumuna gerçekleştirilen; hizmet süresine ve ücrete dair bildirimlere esas özlük verileri dışında kalan özlük verileri | Hizmet akdinin sona ermesinden itibaren 10 yıl, hukuki bir süreç işliyorsa süreç sona erene kadar muhafaza edilir |
Çalışan | İşyeri Kişisel Sağlık Dosyası İçeriğindeki Veriler | Hizmet akdinin sona ermesinden itibaren 10 yıl, hukuki bir süreç işliyorsa süreç sona erene kadar muhafaza edilir |
İş Ortağı/Çözüm Ortağı/Danışman | İş Ortağı/Çözüm Ortağı/Danışman ile Şirket arasındaki ticari ilişkinin yürütümüne dair kimlik bilgisi, iletişim bilgisi, finansal bilgiler, telefon aramalarında alınan ses kayıtları, İş Ortağı/Çözüm Ortağı/Danışman çalışanı verileri | 10 yıl süre ile saklanır. |
Çalışan Adayı | Çalışan Adayına ait özgeçmiş ve işe başvuru formunda yer alan bilgiler | En fazla 3 yıl saklanır. |
Stajyer(öğrenci) | Stajyer’e ait staj dosyasında yer alan bilgiler | Stajın sona ermesinden itibaren 10 yıl, hukuki bir süreç işliyorsa süreç sona erene kadar muhafaza edilir |
Ürün ve Hizmet Alıcısı (Hasta) | Ad, soyad, T.C. kimlik numarası, TC vatandaşı olmayanların pasaport numarası veya geçici T.C. kimlik numarası, doğum yeri, doğum tarihi, medeni hal, cinsiyet, anne baba adı, nüfus cüzdanı seri no, sıra no, aile sıra no vb. gibi kimlik verileri, telefon numarası, adres gibi iletişim verileri, kan grubu gibi sağlık verileri, avuç içi gibi biyometrik verileri, sigorta bilgisi gibi müşteri işlem bilgileri, sağlık verileri | Özel Hastaneler Yönetmeliği gereği en az 20 yıl süre ile saklanır. Hukuki bir süreç işliyorsa süreç sona erene kadar muhafaza edilir. |
Müşteri/Hasta/Ziyaretçi/Çalışan vs. | Kamera görüntüleri | 3 ay süre ile muhafaza edilir. |
Şirketin İşbirliği İçinde Olduğu Kurum/Firmalar (Tedarikçi, Hizmet Alımı vs.) | Şirketin İşbirliği İçinde Olduğu Kurum/Firmalar ile Şirket arasındaki ticari ilişkinin yürütümüne dair kimlik bilgisi, iletişim bilgisi, finansal bilgiler, Şirketin İşbirliği İçinde Olduğu Kurum/Firma çalışanı verileri | Sözleşmenin sona ermesinden itibaren 10 yıl süre ile saklanır. Hukuki bir süreç işliyorsa süreç sona erene kadar muhafaza edilir. |
NOT: Kanun ve diğer mevzuat uyarınca daha uzun bir süre düzenlenmiş olması ya da mevzuat uyarınca zamanaşımı, hak düşürücü süre, saklama süreleri vb. için daha uzun bir süre öngörülmüş olması halinde, mevzuat hükümlerindeki süreler azami saklama süresi olarak kabul edilir.
İmha Süreleri
SAFA MANAV MUAYENEHANESİ Kanun, ilgili diğer mevzuat, Kişisel Verilerin İşlenmesi ve Korunması Politikası ve bu Kişisel Verileri Saklama ve İmha Politikası uyarınca sorumlu olduğu kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde, kişisel verileri siler, yok eder veya anonim hale getirir.
İlgili kişi, Kanunun 11. ve 13. maddesine istinaden SAFA MANAV MUAYENEHANESİ başvurarak kendisine ait kişisel verilerin silinmesini veya yok edilmesini talep ettiğinde;
Kişisel verileri işleme şartlarının tamamı ortadan kalkmışsa; SAFA MANAV MUAYENEHANESİ talebe konu kişisel verileri talebi aldığı günden itibaren 30 (otuz) gün içinde gerekçesini açıklayarak uygun imha yöntemi ile siler, yok eder veya anonim hale getirir. SAFA MANAV MUAYENEHANESİ talebi almış sayılması için ilgili kişinin talebini Kişisel Verilerin İşlenmesi ve Korunması Politikasına uygun olarak yapmış olması gerekir. SAFA MANAV MUAYENEHANESİ, her halde yapılan işlemle ilgili ilgili kişiye bilgi verir.
Kişisel verileri işleme şartlarının tamamı ortadan kalkmamışsa, bu talep SAFA MANAV MUAYENEHANESİ tarafından Kanunun 13. maddesinin üçüncü fıkrası uyarınca gerekçesi açıklanarak ret edilebilir ve ret cevabı ilgili kişiye en geç 30 (otuz) gün içinde yazılı olarak ya da uygun yöntemlerle bildirilir.
PERİYODİK İMHA
Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda; SAFA MANAV MUAYENEHANESİ işleme şartları ortadan kalkmış olan kişisel verileri bu Kişisel Verileri Saklama ve İmha Politikasında belirtilen ve tekrar eden aralıklarla re’sen gerçekleştirilecek bir işlemle siler, yok eder veya anonim hale getirir. Yönetmeliğin 11 inci maddesi gereğince SAFA MANAV MUAYENEHANESİ periyodik imha süresini 6 ay olarak belirlemiştir. Buna göre SAFA MANAV MUAYENEHANESİ’da her yıl Haziran ve Aralık aylarında periyodik imha işlemleri yapılacaktır.
İMHA İŞLEMİNİN HUKUKA UYGUNLUĞUNUN DENETİMİ
SAFA MANAV MUAYENEHANESİ gerek talep üzerine gerekse periyodik imha süreçlerinde re’sen gerçekleştirdiği imha işlemlerini Kanuna, sair mevzuata, Kişisel Verilerin İşlenmesi ve Korunması Politikasına ve bu Kişisel Veri Saklama ve İmha Politikasına uygun olarak yapar.
SAFA MANAV MUAYENEHANESİ imha işlemlerinin bu düzenlemelere uygun olarak yapıldığını temin etmek amacıyla bir takım idari ve teknik tedbirler almaktadır.
Teknik Tedbirler
SAFA MANAV MUAYENEHANESİ;
- Bu politikada yer alan her bir imha yöntemine uygun teknik araç ve ekipman bulundurur.
- İmha işlemlerinin yapıldığı yerin güvenliğini sağlar.
- İmha işlemini yapan kişilerin erişim kayıtlarını tutar.
- İmha işlemini yapacak yetkin ve tecrübeli elemanlar istihdam eder veya gerektiğinde yetkin üçüncü kişilerden hizmet alır.
İdari Tedbirler
SAFA MANAV MUAYENEHANESİ
- İmha işlemini yapacak çalışanlarının bilgi güvenliği, kişisel veriler ve özel hayatın gizliliği konularında farkındalıklarının artırılması ve bilinçlendirilmesi için çalışmalar yapar.
- Bilgi güvenliği, özel hayatın gizliliği, kişisel verilerin korunması ve güvenli imha teknikleri alanındaki gelişmeleri takip etmek ve gerekli aksiyonları almak üzere hukuki ve teknik danışmanlık hizmeti alır.
- Teknik ya da hukuki gereklilikler nedeniyle imha işlemini üçüncü kişilere yaptırdığı durumlarda ilgili üçüncü kişilerle kişisel verilerin korunması amacıyla protokoller imzalar, ilgili üçüncü kişilerin bu protokollerdeki yükümlülüklerine uyması için gerekli tüm özeni gösterir.
- İmha işlemlerinin hukuka ve işbu Kişisel Veri Saklama ve İmha Politikasında belirtilen şart ve yükümlülüklere uygun olarak yapılıp yapılmadığını düzenli olarak denetler, gereken aksiyonları alır.
- Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesiyle ilgili yapılan bütün işlemleri kayıt altına alır ve söz konusu kayıtları, diğer hukuki yükümlülükler hariç olmak üzere süresiz saklar.
4. BÖLÜM: SORUMLULUKLAR VE GÖREV DAĞILIMI
SAFA MANAV MUAYENEHANESİ tüm birimleri ve çalışanları, sorumlu birimlerce Politika kapsamında alınmakta olan teknik ve idari tedbirlerin gereği gibi uygulanması, birim çalışanlarının eğitimi ve farkındalığının arttırılması, izlenmesi ve sürekli denetimi ile kişisel verilerin hukuka aykırı olarak işlenmesinin önlenmesi, kişisel verilere hukuka aykırı olarak erişilmesinin önlenmesi ve kişisel verilerin hukuka uygun saklanmasının sağlanması amacıyla kişisel veri işlenen tüm ortamlarda veri güvenliğini sağlamaya yönelik teknik ve idari tedbirlerin alınması konularında sorumlu birimlere aktif olarak destek verir.
Bu bağlamda görevli SAFA MANAV MUAYENEHANESİ çalışanlarının unvanları ve görev tanımları aşağıda belirtilmiştir:
Unvan | Görev Tanımı |
Doktor | Kanuna uyumluluk sürecinde yürütülen projelerde her türlü planlama, analiz, araştırma, risk belirleme çalışmalarını yapmak/yaptırmak/yönlendirmek; Kanun, Kişisel Verilerin İşlenmesi ve Korunması Politikası ve Kişisel Veri Saklama ve İmha Politikası uyarınca yürütülmesi gereken süreçleri yönetmek ve ilgili kişilerce gelen talepleri karara bağlamakla yükümlüdür. |
Personel | İlgili kişilerin taleplerinin incelenmesi ve değerlendirilmek üzere Veri Sorumlusu doktora raporlanmasından; Doktor tarafından değerlendirilen ve karara bağlanan ilgili kişi taleplerine ilişkin işlemlerin Doktor kararı uyarınca yerine getirilmesinden; saklama ve imha süreçlerinin denetiminin yapılmasından ve bu denetimlerin Doktora raporlanmasından; saklama ve imha süreçlerinin yürütülmesinden sorumludur. |
5. BÖLÜM: GÜNCELLEME VE UYUM
SAFA MANAV MUAYENEHANESİ, Kanunda yapılan değişiklikler nedeniyle, Kurum kararları uyarınca veya sektöründeki veya bilişim alanındaki gelişmeler doğrultusunda Kişisel Verilerin İşlenmesi ve Korunması Politikasında veya bu Kişisel Veri Saklama ve İmha Politikasında değişiklik yapma hakkını saklı tutar.
Bu Kişisel Veri Saklama ve İmha Politikasında yapılan değişiklikler derhal metne işlenir ve değişiklikler yayınlandığı tarihte yürürlüğe girer. Bu Politika ıslak imzalı şekilde 2 nüsha olarak SAFA MANAV MUAYENEHANESİ arşivlerinde saklanır. Politikanın değiştirilmesi durumunda yeni politika imza edilmesiyle birlikte yürürlüğe girmiş kabul edilir. Politika’nın ıslak imzalı eski nüshaları SAFA MANAV MUAYENEHANESİ arşivlerinde en az 5 yıl süreyle saklanır.
PRIVACY POLICY
SAFA MANAV CLINIC
PERSONAL DATA PROTECTION AND PROCESSING POLICY
WITHIN THE SCOPE OF LAW NO. 6698 (KVKK)
1. INTRODUCTION
The protection of personal data is among the top priorities of SAFA MANAV CLINIC. The necessary care is taken regarding the security of personal data, and great importance is attached to patient privacy and to ensuring that all personal data belonging to our patients is processed and preserved with the highest possible level of care. Protecting the personal data of our patients as well as companions, visitors, all employees, and employees of the institutions and organizations we cooperate with—within the framework of the Turkish Personal Data Protection Law No. 6698 (KVKK), the Regulation on the Processing of Personal Health Data and Ensuring Privacy, and other relevant legislation—has been adopted as an institutional policy in line with the following basic principles:
Processing personal data lawfully and in accordance with the rules of good faith;
Keeping personal data accurate and, where necessary, up to date;
Processing personal data for specific, explicit, and legitimate purposes;
Processing personal data in a manner that is relevant, limited, and proportionate to the purpose for which they are processed;
Retaining personal data for the period stipulated in the relevant legislation or required for the purpose for which they are processed;
Informing and notifying data subjects;
Establishing the necessary systems to enable data subjects to exercise their rights;
Taking the necessary measures for the safeguarding of personal data;
Acting in accordance with the relevant legislation and the decisions/regulations of the Personal Data Protection Board in transfers to third parties, as required by the purpose of processing;
Showing due care for the processing and protection of special categories of personal data;
Deleting and disposing of personal data in accordance with the law in the defined manner and within the defined time.
2. PURPOSE
The main purpose of this Policy is to provide explanations regarding the personal data processing activities carried out lawfully by SAFA MANAV CLINIC and the practices implemented for the protection of personal data, and to ensure transparency by informing individuals whose personal data are processed by our institution—primarily our patients, visitors, employees, business partners, and suppliers.
Although the personal data processed by SAFA MANAV CLINIC may vary depending on the healthcare services provided, they are collected through automated or non-automated methods. Our physicians, employees, business partners and their employees, and companies involved in any commercial activities may process special categories of personal data (especially health data) and general personal data collected verbally, in writing, or electronically, for the purposes listed below:
Performing medical diagnosis, treatment, and care services;
Protecting public health;
Planning and managing preventive medicine services and their financing;
Notifying patients regarding appointments;
Planning and managing internal clinical procedures;
Conducting analyses to improve healthcare services;
Training and developing our employees;
Protecting employees’ personnel processes and legal rights;
Monitoring and preventing abuse and unauthorized transactions;
Performing risk management and quality improvement activities;
Meeting legal and regulatory requirements;
Issuing invoices/billing for our services;
Verifying identity;
Verifying your relationship with institutions contracted with the Clinic;
Sharing information requested by private insurance companies within the scope of healthcare financing;
Responding to all questions and complaints regarding our healthcare services;
Taking all necessary technical and administrative measures within the scope of data security of our systems and applications;
Analyzing healthcare service usage and storing health data in order to improve and enhance the healthcare services we provide;
Preserving information regarding health data that must be retained under relevant legislation;
Ensuring financial reconciliation regarding healthcare services provided to you with contracted institutions, banks, and all organizations that collect healthcare expenses (public and private);
Sharing requested information with the Ministry of Health and other public institutions and organizations pursuant to relevant legislation;
Measuring patient satisfaction and increasing patient satisfaction;
Conducting communication activities;
Conducting goods/service procurement processes;
Conducting finance and accounting operations.
Personal data are collected and processed in any verbal, written, or electronic environment for the purposes stated above, to provide healthcare services within the legal framework, and to duly and fully fulfill SAFA MANAV CLINIC’s contractual and legal obligations.
3. SCOPE
This Policy covers the personal data of our patients, visitors, authorized representatives of institutions, our employees, the employees and authorized representatives of persons, organizations, and institutions with whom we cooperate and/or have any legal relationship, as well as third parties, which are processed through automated or non-automated means as defined below.
These data include: name, surname, Turkish ID number, passport number or temporary Turkish ID number; place and date of birth; gender; marital status; other identity data identifying the patient; contact data such as address, phone number, email; financial data such as payment and billing details; audio and digital data obtainable through electronic or non-electronic methods; general and special categories of personal data, especially personal health data obtained during all medical diagnosis, examination, treatment, and care services; and data relating to private health insurance for financing and planning of health services.
Depending on the data subject group, the implementation scope of this Policy may be the whole Policy (e.g., our patients) or only certain provisions (e.g., only employees, suppliers, etc.).
4. DEFINITIONS
Explicit Consent: Consent given freely, based on information, and relating to a specific matter.
Anonymization: Altering personal data in such a way that it loses its personal data nature and cannot be reversed. For example, making personal data impossible to associate with a real person through techniques such as masking, aggregation, data distortion, etc.
Employees and Authorized Persons of Institutions We Cooperate With: Natural persons, including authorized persons, working in institutions with which we have any business relationship (such as business partners, suppliers, etc., without limitation).
Processing of Personal Data: Any operation performed on personal data, such as obtaining, recording, storing, preserving, changing, reorganizing, disclosing, transferring, taking over, making available, classifying, or preventing the use of personal data, wholly or partially by automated means or, provided that it is part of a data recording system, by non-automated means.
Data Subject: The natural person whose personal data are processed (e.g., patients and employees).
Personal Data: Any information relating to an identified or identifiable natural person. Data relating to legal entities are not within the scope of the Law. Examples: name-surname, Turkish ID number, email, address, date of birth, credit card number, bank account number, etc.
Patient: A person who applies to our institution for tests/treatment and receives outpatient or inpatient treatment.
Special Categories of Personal Data: Data concerning race, ethnic origin, political opinion, philosophical belief, religion, sect or other beliefs, clothing, membership of associations/foundations/unions, health, sexual life, criminal convictions and security measures, biometric and genetic data.
Third Party: Third-party natural persons related to the above-mentioned persons to ensure the security of commercial transactions or to protect rights and provide benefits (e.g., employees/authorized persons of service providers, companions, etc.).
Data Processor: A natural or legal person who processes personal data on behalf of the data controller, based on the authority granted by the data controller (e.g., IT firm holding our data, employees entering patient data into the system).
Data Controller: The person who determines the purposes and means of processing personal data and manages the place where data are systematically stored (data recording system).
Visitor: Natural persons who enter our physical premises for various purposes or visit our websites.
5. IMPLEMENTATION OF THE POLICY AND RELEVANT LEGISLATION
Processing and protection of personal data are carried out within the framework of the relevant legal regulations in force. SAFA MANAV CLINIC’s Personal Data Protection Policy has been prepared in compliance with current regulations.
The Policy has been created by integrating it with SAFA MANAV CLINIC practices within the framework of rules set by legislation. In accordance with the effective periods stipulated in the KVKK, necessary preparations are carried out. When necessary, the personal data specified above may be processed within the framework of legislation such as the Law on the Basic Health Services No. 3359, the Regulation on Private Healthcare Organizations Providing Outpatient Diagnosis and Treatment, the Regulation on Private Hospitals, the Regulation on the Processing and Protection of Personal Health Data and Ensuring Privacy, and Ministry of Health regulations, and may be transferred to physical archives and IT systems belonging to our hospitals and/or suppliers/business partners. As a result, personal data will be protected both digitally and physically in line with the legal retention periods defined in institutional procedures.
6. ENSURING THE SECURITY OF PERSONAL DATA
Our institution takes the necessary technical and administrative measures to ensure an optimal security level to prevent the unlawful processing of personal data and to ensure their safeguarding, and conducts or commissions audits in this context.
In accordance with Article 12 of the KVKK, the actions and measures taken to ensure “data security” are as follows:
Our institution takes technical and administrative measures, considering technological possibilities and implementation costs, to ensure lawful processing of personal data. Employees are informed that they cannot disclose personal data they learn to others contrary to KVKK provisions, nor use them outside the processing purpose, and that this obligation continues even after leaving employment; and necessary undertakings are obtained from them.
Our institution takes technical and administrative measures to prevent careless or unauthorized disclosure, access, transfer, or any other unlawful access.
Our institution raises awareness among data processors such as business partners and suppliers to which personal data are transferred regarding preventing unlawful processing, preventing unlawful access, and ensuring lawful preservation.
Contracts are executed with data processors (e.g., suppliers, business partners) in accordance with the nature of the processing activity, requiring compliance with the legal, administrative, and technical measures developed by our institution as data controller.
Our institution carries out or commissions internal audits. Audit results are reported to the relevant department within internal operations and improvement activities are carried out for the measures taken.
In case processed personal data are obtained by others through unlawful means, our institution operates a system that ensures notification to the data subject and the Personal Data Protection Board as soon as possible, in accordance with Article 12 of the KVKK.
7. RIGHTS OF THE DATA SUBJECT
If data subjects submit their requests regarding the rights listed below to our institution in writing, by personal application, and via a specifically authorized power of attorney, our institution finalizes the request free of charge as soon as possible and at the latest within thirty (30) days, depending on the nature of the request. Data subjects have the right to:
Learn whether personal data are processed;
Request information if personal data have been processed;
Learn the purpose of processing and whether data are used in accordance with that purpose;
Know the third parties to whom personal data are transferred domestically or abroad;
Request correction if personal data are incomplete or inaccurate;
Request deletion or destruction of personal data;
Request that correction, deletion, or destruction be notified to third parties to whom personal data have been transferred;
Object to an outcome against themselves arising from analysis exclusively through automated systems;
Request compensation for damages if personal data are processed unlawfully.
Pursuant to Article 13/1 of the KVKK, the request to exercise these rights must be submitted to our institution (data controller) in writing.
Providing identity information and explanations regarding the requested right, and specifying which right under Article 11 of the KVKK is being exercised, will allow faster and more effective handling of applications.
8. ENSURING THE SECURITY OF SPECIAL CATEGORIES OF PERSONAL DATA
SAFA MANAV CLINIC protects personal data with due care within its technical and administrative means. Security measures taken by our institution are ensured at an optimal level considering technological possibilities and potential risks.
A group of personal data is defined in the KVKK as “special categories of personal data” due to the risk that unlawful processing may cause victimization or discrimination. These include: race, ethnic origin, political opinion, philosophical belief, religion, sect or other beliefs, clothing, membership of associations/foundations/unions, health, sexual life, criminal convictions and security measures, biometric and genetic data.
We act with heightened sensitivity in protecting such data processed lawfully. Details of technical and administrative measures applied during the storage of special categories of personal data are specified in our “Personal Data Retention and Destruction Policy.” These measures have been created in accordance with the decision published by the Personal Data Protection Board.
9. INFORMING AND NOTIFYING THE DATA SUBJECT
In accordance with Article 10 of the KVKK, we inform data subjects at the time personal data are obtained. In this scope, we provide information on: our identity; the purposes of processing; to whom and for what purposes processed personal data may be transferred; the method and legal basis of data collection; and the rights of the data subject under Article 11 of the KVKK.
Article 20 of the Constitution states that everyone has the right to be informed about personal data relating to them. Accordingly, Article 11 of the KVKK includes the right to “request information.” In this context, if a data subject requests information, we provide the necessary information in accordance with Article 20 of the Constitution and Article 11 of the KVKK.
Our institution publicly announces its policy on the protection of personal data through documents available to the public, thereby ensuring accountability and transparency. We also inform relevant persons through various methods, particularly when we request their explicit consent, regarding our activities and relevant provisions of the law.
10. PROCESSING OF PERSONAL DATA
In accordance with Article 20 of the Constitution and Article 4 of the KVKK, our institution processes personal data in a manner that is accurate and up to date, lawful and in line with good faith, for specific, explicit, and legitimate purposes, and in a way that is relevant, limited, and proportionate to the purpose.
Our institution retains personal data for the period stipulated by law or required by the purpose of processing.
In accordance with Articles 20 of the Constitution and 5 of the KVKK, our institution processes personal data based on one or more of the conditions set out in Article 5 of the KVKK.
In accordance with Article 6 of the KVKK, our institution acts in compliance with the provisions regarding processing of special categories of personal data.
In accordance with Articles 8 and 9 of the KVKK, our institution acts in compliance with legal and Board regulations regarding transfers of personal data.
Processing in Accordance with the Principles Stipulated in Legislation
Lawfulness and Good Faith
Our institution acts in compliance with legal principles and the general rule of trust and good faith. Proportionality is observed and data are not used outside the intended purpose.
Accuracy and Up-to-dateness
Our institution takes necessary measures to ensure personal data are accurate and, where required, up to date, considering data subjects’ fundamental rights and our legal interests.
Specific, Explicit and Legitimate Purposes
We clearly and precisely determine the legitimate and lawful purposes. We process data only to the extent necessary for the service provided, and communicate the purposes before processing begins.
Relevance, Limitation and Proportionality
We process data in a manner suitable for achieving the stated purposes and avoid processing data that are unrelated or unnecessary. We do not process data for hypothetical future needs.
Retention for the Required Period
We retain personal data only for the period stipulated in legislation or required for processing purposes. We first determine whether legislation provides a specific retention period. If a period is specified, we comply with it; if not, we retain data for the required duration. Upon expiry of the period or when the reason requiring processing ceases, data are deleted, destroyed, or anonymized.
Conditions for Processing Personal Data
Protection of personal data is a constitutional right. Under Article 20(3) of the Constitution, personal data may be processed only in cases stipulated by law or with explicit consent.
Explicit consent is only one legal basis. Personal data may also be processed if at least one of the following conditions exists (and in the case of special categories of personal data, the relevant conditions apply):
Existence of explicit consent;
Explicitly stipulated by laws;
Inability to obtain consent due to factual impossibility;
Directly related to the establishment or performance of a contract;
Necessity for the institution to fulfill its legal obligation;
The data subject has made the personal data public;
Necessity for the establishment, exercise, or protection of a right;
Necessity for the legitimate interests of our institution.
Processing Activities at Building/Facility Entrances and Within Premises
Our institution conducts camera surveillance for security purposes in accordance with the KVKK. We perform personal data processing activities to monitor entry and exit of patients, personnel, visitors, and supplier employees.
By using security cameras and recording visitor entries and exits, personal data processing is carried out. Our institution acts in compliance with the Constitution, the KVKK, and other relevant legislation.
Within our building and facilities, visitors’ image recordings and, where necessary, audio recordings are obtained through the camera system.
The purposes include improving service quality, ensuring reliability, ensuring the safety of the institution, patients, employees, and others, and protecting patients’ interests related to healthcare and other services received.
Access to digitally recorded and stored records is granted only to authorized employees and/or authorized employees of service providers. Necessary technical and administrative measures are taken to ensure security of personal data obtained through camera surveillance, in accordance with Article 12 of the KVKK.
11. PROCESSING OF SPECIAL CATEGORIES OF PERSONAL DATA
Our institution acts with due care to comply with the provisions of the KVKK regarding processing of special categories of personal data.
Article 6 of the KVKK identifies certain personal data as “special categories” due to the risk of victimization or discrimination if processed unlawfully. These include: race, ethnic origin, political opinion, philosophical belief, religion, sect or other beliefs, clothing, membership of associations/foundations/unions, health, sexual life, criminal convictions and security measures, biometric and genetic data.
In accordance with the KVKK, special categories of personal data may be processed provided that adequate measures determined by the Personal Data Protection Board are taken:
If the data subject has explicit consent; or
If there is no explicit consent:
For special categories other than health and sexual life: in cases stipulated by law;
For health and sexual life data: only for the purposes of protecting public health, preventive medicine, medical diagnosis, treatment and care services, and planning and management of healthcare services and financing, by persons under confidentiality obligation or authorized institutions and organizations.
12. TRANSFER OF PERSONAL DATA
Our institution may transfer personal data and special categories of personal data to third parties for lawful processing purposes, by taking necessary security measures. We act in accordance with Article 8 of the KVKK.
For the purposes stated above and within the scope of the Law and other legislation, your personal data may be transferred to: the Ministry of Health and its affiliated units and family medicine centers; private insurance companies; the Social Security Institution; the General Directorate of Security and other law enforcement; the Directorate of Population; the Turkish Pharmacists’ Association; courts; and other public institutions and organizations; laboratories, medical centers and third-party healthcare providers in Türkiye or abroad (if explicit consent is obtained) with whom we cooperate for medical diagnosis; the healthcare institution to which the patient is referred or applies; your authorized representatives; the institution you are affiliated with and/or employed by; third parties from whom we receive consultancy services including lawyers, tax advisors and auditors; regulatory and supervisory authorities and official bodies; domestic or foreign systems; companies within the group of companies to which our institution is affiliated; our suppliers, support service providers and business partners whose services we use or with whom we cooperate.
Transfer Abroad
Your personal data are not transferred abroad under any circumstances by us.
13. CONDITIONS FOR DELETION, DESTRUCTION AND ANONYMIZATION OF PERSONAL DATA
As regulated in Article 138 of the Turkish Penal Code and Article 7 of the KVKK, even if personal data have been processed in accordance with law, if the reasons requiring processing cease to exist, personal data are deleted, destroyed, or anonymized pursuant to our relevant procedures or upon the request of the data subject.
In this scope, our institution trains relevant business units, assigns responsibilities, and increases awareness to fulfill its obligations.
When obtaining names and surnames of individuals entering our premises, and through texts posted at our institution or otherwise made accessible to visitors, data subjects are informed within this scope.
Detailed information regarding deletion, destruction, and anonymization is provided in our “Personal Data Retention and Destruction Policy” published by our institution.
14. ENTRY INTO FORCE
SAFA MANAV CLINIC Personal Data Protection and Processing Policy enters into force on 01/01/2023. In case of renewal of the entire Policy or certain articles, the effective date for the renewed article is the revision date of that article.
SAFA MANAV CLINIC
PERSONAL DATA RETENTION AND DESTRUCTION POLICY
WITHIN THE SCOPE OF LAW NO. 6698 (KVKK)
1. SECTION: NATURE AND PURPOSE OF THE DESTRUCTION POLICY
INTRODUCTION
This destruction policy has been prepared by SAFA MANAV CLINIC (the “Clinic”), in its capacity as data controller, to determine the procedures and principles to be applied regarding deletion, destruction and/or anonymization of personal data obtained by us in accordance with Law No. 6698 and relevant legislation.
Within this scope, personal data of our employees, employee candidates, interns, patients, visitors, and all natural persons whose personal data are held within SAFA MANAV CLINIC for any reason are processed and protected in accordance with the Personal Data Processing and Protection Policy and this Personal Data Retention and Destruction Policy.
DEFINITIONS
Data Controller: The natural or legal person responsible for establishing and managing the data recording system, determining the purposes and means of processing personal data.
Relevant Person (Data Subject): The natural person whose personal data are processed.
Destruction: Deletion, destruction, or anonymization of personal data.
Law: The Personal Data Protection Law No. 6698, published in the Official Gazette dated 07.04.2016 and numbered 29677.
Regulation: The Regulation on the Deletion, Destruction or Anonymization of Personal Data, published in the Official Gazette dated 28.10.2017 and numbered 30224.
Board: The Personal Data Protection Board.
Recording Medium: Any medium where personal data are stored, processed wholly or partially by automated means or by non-automated means provided that they are part of a data recording system.
Personal Data Processing and Protection Policy: The policy determining procedures and principles for managing personal data at the Clinic.
Data Recording System: The recording system where personal data are structured and processed according to certain criteria.
2. SECTION: MEDIA AND SECURITY MEASURES
MEDIA WHERE PERSONAL DATA ARE STORED
Personal data stored within SAFA MANAV CLINIC are kept in appropriate recording media under conditions suitable for the nature of the relevant data and our legal obligations.
In general, the recording media used are:
Electronic Media
Servers (backup, email, web, file sharing)
Software (office software, portal, MEDULA, VERBIS, CRM, ERP)
Information security devices (anti-virus, log files)
Personal computers (desktop, laptop)
Mobile devices (phone, tablet)
Optical discs (CD, DVD)
Removable storage (USB, memory card)
Printer, scanner, photocopy machine
Closed-circuit camera recording systems
Non-Electronic Media
Paper
Manual data recording systems (forms, visitor entry logbook, patient registry book, etc.)
Written, printed, and visual media
ENSURING SECURITY OF MEDIA
SAFA MANAV CLINIC takes all necessary technical and administrative measures appropriate to the nature of the personal data and the environment where they are stored, to ensure secure storage and to prevent unlawful processing and access, and monitors developments in this area.
Technical Measures
Using up-to-date and secure systems compatible with technological developments;
Using security systems for storage environments;
Performing security tests and research to detect vulnerabilities; eliminating detected or potential risks;
Using backup programs ensuring secure storage;
Restricting access to personal data according to access principles;
Using strong passwords in electronic environments;
Allowing access only to authorized persons limited to the purpose of storage and logging all access;
Implementing user authorizations for software access to special categories of personal data and regularly having software security tests performed by the software owner/vendor, with periodic follow-up;
Taking physical security measures for environments holding personal data (locks, safes, etc.);
Keeping special categories of personal data physically only in locked environments where access is solely held by the physician.
Administrative Measures
Increasing awareness and training of all employees with access to personal data regarding information security, personal data, and privacy;
Obtaining legal and technical consultancy to follow developments and take necessary actions;
Having employees sign confidentiality agreements;
Preparing a personal data processing inventory;
Signing confidentiality agreements with third parties where data are transferred due to technical or legal requirements and ensuring their compliance with obligations in these agreements.
INTERNAL AUDIT
SAFA MANAV CLINIC conducts regular internal audits regarding implementation of the Law and the provisions of this Policy and the Personal Data Processing and Protection Policy, pursuant to Article 12 of the Law.
If deficiencies are detected, they are remedied as soon as possible.
If it is understood that personal data under our responsibility have been obtained unlawfully, the Clinic notifies the relevant person and the Board as soon as possible (within 72 hours).
3. SECTION: DESTRUCTION OF PERSONAL DATA
Explanations on Retention and Destruction
Personal data held within SAFA MANAV CLINIC are retained and destroyed for the purposes and reasons stated herein, in accordance with the Law and secondary legislation.
Retention Reasons
Under Articles 4, 5, and 6 of the KVKK, personal data must be relevant, limited, proportionate, and retained for the period stipulated by legislation or necessary for the purpose. Accordingly, personal data are retained for the period required by legislation or our processing purposes.
Legal Grounds Requiring Retention
Personal data processed within the scope of our activities are retained for the period stipulated by legislation, including but not limited to:
Law No. 6698 on Protection of Personal Data
Turkish Code of Obligations No. 6098
Turkish Commercial Code No. 6102
Tax Procedure Law No. 213
Consumer Protection Law No. 6502
Social Insurance and General Health Insurance Law No. 5510
Occupational Health and Safety Law No. 6361
Right to Information Law No. 4982
Basic Health Services Law No. 3359
Decree Law No. 663 on the Organization and Duties of the Ministry of Health and Affiliated Institutions
Law No. 3071 on the Right to Petition
Labor Law No. 4857
Social Services Law No. 2828
Identity Notification Law No. 1774
Law No. 1219 on the Practice of Medicine and Branches of Medical Arts
Regulation on Health and Safety Measures in Workplace Buildings and Annexes
Regulation on Processing and Protection of Personal Health Data and Ensuring Privacy
Medical Laboratories Regulation
Regulation on Improvement and Evaluation of Quality in Healthcare
Regulation on the Operation of Inpatient Treatment Institutions
Regulation on Health Institutions Providing Outpatient Diagnosis and Treatment
and other secondary regulations currently in force.
Processing Tools Requiring Retention
Conducting HR processes
Providing the Clinic’s products and services
Conducting medical diagnosis and treatment
Conducting preventive medicine activities
Ensuring financing of healthcare services
Ensuring the Clinic’s legal, commercial, and physical security
Conducting internal audits
Conducting retention and archiving activities
Ensuring corporate operations
Communicating regarding products and services
Performing operations under signed contracts and protocols
Fulfilling legal obligations required by regulations
Providing information to authorized persons/institutions
Conducting statistical studies
Evidence obligations for possible future legal disputes
Legal reporting
Conducting finance and accounting
Conducting communication activities
Conducting procurement/sales and operations
Reasons Requiring Destruction
Personal data are deleted, destroyed, or anonymized upon the data subject’s request or ex officio when:
The relevant legal provisions are amended or repealed;
The purpose requiring processing or retention ceases to exist;
Processing was based solely on explicit consent and consent is withdrawn;
The Clinic accepts a deletion/destruction request under Article 11;
The Clinic rejects the request, finds it insufficient, or fails to respond in time and the Board accepts the complaint;
The maximum retention period has expired and there is no justified condition for longer retention.
DESTRUCTION METHODS
Deletion Methods
Server data: When retention expires, access authorization of relevant users is removed and deletion is performed by the system administrator.
Electronic media: Data whose retention expires are made inaccessible and unusable for employees other than the database administrator.
Physical media: Data whose retention expires are made inaccessible and unusable for employees other than the unit manager responsible for archives; additionally, redaction/blacking-out is applied (crossing out/painting/erasing so it cannot be read).
Portable media: Data stored in flash-based media are encrypted by the system administrator; access is limited to the system administrator; encryption keys are stored in secure environments.
Destruction Methods
Physical media containing personal data: Physical destruction such as melting, burning, pulverizing, or shredding to render data irretrievable.
Optical/magnetic media: Physical destruction or rendering unreadable (e.g., exposing magnetic media to a high magnetic field with a special device).
Anonymization Methods
Anonymization is transforming personal data so that they cannot be associated with an identified or identifiable natural person, even when matched with other data. Methods include:
Removing variables (removing direct identifiers);
Regional masking (removing distinguishing outlier information);
Generalization (turning data into statistical form by removing distinguishing details);
Lower/upper bound coding / global coding (categorizing values into ranges);
Micro-aggregation (replacing values with subgroup averages);
Data mixing and distortion (shuffling/distorting identifiers to break linkage).
RETENTION AND DESTRUCTION PERIODS
Retention Periods (Examples)
Employee: Personnel data tied to recruitment documents and social security reporting (service and wage) — retained for 10 years after termination; longer if a legal process continues.
Employee: Other personnel data — retained for 10 years after termination; longer if a legal process continues.
Employee: Workplace personal health file contents — retained for 10 years after termination; longer if a legal process continues.
Business partner/solution partner/consultant: Identity, contact, financial data; call recordings; employee data — retained for 10 years.
Job applicant: CV and application form information — retained for up to 3 years.
Intern: Internship file information — retained for 10 years after internship ends; longer if a legal process continues.
Patient (service recipient): Identity, contact, health data, biometric data (e.g., palm), insurance/customer transaction information — retained at least 20 years under the Private Hospitals Regulation; longer if a legal process continues.
Customer/Patient/Visitor/Employee etc.: CCTV recordings — retained for 3 months.
Suppliers/service providers: Identity, contact, financial data, employee data related to the business relationship — retained for 10 years after the contract ends; longer if a legal process continues.
Note: If longer periods are stipulated under legislation or limitation periods, those periods are accepted as the maximum retention period.
Destruction Periods and Periodic Destruction
When the obligation to delete/destroy/anonymize arises, the Clinic performs destruction in the first periodic destruction process following that date.
If the data subject applies under Articles 11 and 13 requesting deletion/destruction:
If all processing conditions cease to exist, the Clinic deletes/destroys/anonymizes within 30 days and informs the applicant.
If conditions have not fully ceased, the request may be rejected with reasons and notified within 30 days.
Periodic destruction interval: Determined as 6 months. Accordingly, periodic destruction is carried out every June and December.
Audit of Legal Compliance of Destruction
The Clinic performs destruction processes upon request and periodically in compliance with the Law and relevant policies, and takes technical and administrative measures to ensure compliance.
Technical measures include: having appropriate tools/equipment, securing the destruction area, keeping access logs of personnel performing destruction, employing competent staff or obtaining services from competent third parties.
Administrative measures include: training and awareness; consultancy; protocols with third parties; regular audits; keeping records of all destruction activities and retaining those records indefinitely (subject to other legal obligations).
4. SECTION: RESPONSIBILITIES AND TASK DISTRIBUTION
All units and employees of SAFA MANAV CLINIC actively support responsible units in implementing technical and administrative measures, training staff, monitoring and auditing processes, preventing unlawful processing and access, and ensuring lawful retention.
Titles and duties:
Doctor: Responsible for planning, analysis, research, risk assessment, managing compliance processes, and deciding on data subject requests.
Personnel: Responsible for reviewing requests and reporting to the data controller doctor; carrying out actions based on the doctor’s decision; auditing retention/destruction processes and reporting; and executing retention/destruction processes.
5. SECTION: UPDATES AND COMPLIANCE
SAFA MANAV CLINIC reserves the right to amend the Personal Data Processing and Protection Policy and/or this Personal Data Retention and Destruction Policy due to legislative changes, Board decisions, or sector/IT developments.
Amendments are incorporated into the text immediately and enter into force on the publication date. This Policy is kept in the Clinic archives in 2 wet-signed copies. In case of amendments, the new policy is deemed to have entered into force upon signature. Wet-signed old copies are retained in the Clinic archives for at least 5 years.