KİŞİSEL VERİ SAKLAMA VE İMHA POLİTİKASI

1.AMAÇ

İşbu politika, MAYA OYB ESTETİK GÜZELLİK ÖZEL SAĞLIK VE ÖZEL EĞİTİM HİZ. TİC.

LTD. ŞTİ. tarafından işlenen kişisel verilerin saklanması ve imhasına yönelik usulleri ve esasları belirlemek ve veri sahiplerine bilgilendirme yapmak amacıyla hazırlanmıştır.

2.KAPSAM

Veri sorumlusu çalışanlarına, çalışan adaylarına, hastalarına (ürün veya hizmet alanlara), danışanlarına (potansiyel ürün veya hizmet alıcıları), iş ortaklarına, ziyaretçilerine, tedarikçilerine ve diğer üçüncü kişilere ait kişisel veriler bu politika kapsamındadır.

3.TANIMLAR

İşbu politikanın içinde geçen terimlerin açıklamaları aşağıdadır;

Açık rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı ifade eder.
İlgili Kullanıcı: Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişilerdir.
İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi.
Kayıt Ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam.
Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.
Kişisel         Verilerin İşlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.
Kişisel Verilerin Anonim             Hale Getirilmesi: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesi.
Kişisel         Verilerin Silinmesi: Kişisel verilerin silinmesi; kişisel verilerin İlgili Kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi.
Kişisel Verilerin Yok Edilmesi: Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemi.
Kurul: Kişisel Verileri Koruma Kurulu.
KVKK: 6698 Sayılı Kişisel Verilerin Korunması Kanunu

 

Mayasante: MAYA OYB ESTETİK GÜZELLİK ÖZEL SAĞLIK VE ÖZEL EĞİTİM HİZMETLERİ TİC. LTD. ŞTİ.
Özel Nitelikli Kişisel Veri: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik veriler.
Periyodik İmha: Kişisel verilerin işlenmesi için aranan şartların tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi.
Veri İşleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi
Veri Kayıt Sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi.
Veri Sahibi/İlgili Kişi: Kişisel verisi işlenen gerçek kişi.
Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi.
Yönetmelik: Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik

 

4.KİŞİSEL VERİLERİN SAKLANDIĞI KAYIT ORTAMLARI

Kişisel veriler, hukuka uygun olarak güvenli bir şekilde aşağıdaki ortamlarda saklanır;

Elektronik Ortam: Bilgisayar, mobil cihazlar(telefon, tablet), Çıkarılabilir ve taşınabilir bellekler (USB), Sunucular (yedekleme, e-posta, veri tabanı, web)
Elektronik Olmayan Ortam: Kağıt, yazılı ve basılı ortamlar (Dosya)

 

5.İDARİ VE TEKNİK TEDBİRLER

Mayasante tarafından KVKK’nın 7. ve 12. maddeleri göz önünde bulundurularak veri saklama, imha ile verilerin hukuka aykırı olarak işlenmesinin/erişilmesinin önlenmesi için teknik ve idari tedbirler alınır. Alınan tedbirler aşağıda belirtildiği gibidir;

5.1.  İdari Tedbirler;

  • Bilgi güvenliği ile kişisel veri/özel nitelikli kişisel veri işleme faaliyetleri hakkında çalışanlara eğitim
  • Çalışanların kullanıma ait bilgisayar, mobil cihaz araç gereçlerin, yetkisiz erişimlerin

önüne geçmek adına, yalnızca yetkili kişilerce kullanılması sağlanmaktadır. Saklanan kişisel verilere Mayasante içi erişimi iş tanımı gereği erişmesi gerekli personel ile sınırlandırılarak, erişimin sınırlandırılmasında verinin özel nitelikli olup olmadığı ve önem derecesi de dikkate alınmaktadır.

  • Çalışanlar ve veri işleyenler ile kişisel verilerin korunması taahhütnameleri ve gizlilik sözleşmeleri imzalanmaktadır.
  • Kişisel veri envanteri, veri politikaları ve aydınlatma metinleri oluşturulmaktadır.
  • Bilgi ve veri güvenliği yönetim sistemi kurulmakta ve işletilmektedir.

5.2.  Teknik Tedbirler;

  • Ağ güvenliği ve uygulama güvenliği sağlanmaktadır.
  • Ağ yoluyla kişisel veri aktarımlarında kapalı sistem ağ kullanılmaktadır.
  • Çalışanlar için yetki matrisi oluşturulmuştur.
  • Erişim logları düzenli olarak tutulmaktadır.
  • Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır.
  • Güncel anti-virüs sistemleri kullanılmaktadır.
  • Güvenlik duvarları kullanılmaktadır.
  • Kağıt yoluyla aktarılan kişisel veriler için ekstra güvenlik tedbirleri alınmaktadır.
  • Kişisel veri güvenliğinin takibi yapılmaktadır.
  • Kişisel verilerin işlendiği elektronik ortamlarda güçlü parolalar kullanılmaktadır.
  • Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmaktadır.
  • Kişisel veri içeren fiziksel ortamların dış risklere (yangın, sel ) karşı güvenliği sağlanmaktadır.
  • Kişisel veriler mümkün olduğunca azaltılmaktadır.
  • Kullanıcı hesap yönetimi ve yetki kontrol sistemi uygulanmakta olup bunların takibi yapılmaktadır.
  • Özel nitelikli kişisel veri güvenliğine yönelik ayrı politika ve prosedür belirlenmiştir.

6.KİŞİSEL VERİLERİ SAKLAMA VE İMHA SEBEPLERİ

  • Saklama Gerektiren Sebeplere İlişkin Açıklamalar

İlgili kişiye ait veriler, Mayasante tarafından iş faaliyetlerinin yürütülebilmesi ile planlanması, hukuki yükümlülüklerin yerine getirilebilmesi, hastalara ve danışanlara hizmet sunulabilmesi, çalışanların haklarının temini amaçlarıyla elektronik ve elektronik olmayan ortamlarda güvenli bir biçimde KVKK ve ilgili mevzuatta belirtilen sınırlar çerçevesinde saklanmaktadır. Saklamayı gerektiren hukuki sebepler ve bu doğrultuda dikkate alınan mevzuat hükümleri aşağıdaki şekildedir;

  • Mevzuatta kişisel verilerin saklanmasının açıkça öngörülmesi,
  • Kişisel verilerin sözleşmelerin kurulması ve ifası ile doğrudan doğruya ilgili olması nedeniyle saklanması,
  • Bir hakkın tesisi, kullanılması veya korunması için veri saklamanın zorunlu olması,
  • İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla Mayasante’nin meşru menfaatleri için saklamanın zorunlu olması,
  • Mayasante’nin hukuki yükümlülüğünü yerine getirmesi için saklanması,
  • Veri sahiplerinin açık rızasının alınmasını gerektiren işleme faaliyetleri açısından veri

sahiplerinin açık rızasının bulunması

  • Ayakta Teşhis ve Tedavi Yapılan Özel Sağlık Kuruluşları Hakkında Yönetmelik
  • Hasta Hakları Yönetmeliği
  • Kişisel Sağlık Verileri Hakkında Yönetmelik
  • 6698 Sayılı Kişisel Verilerin Korunması Kanunu
  • 6098 Sayılı Türk Borçlar Kanunu
  • 6102 Sayılı Türk Ticaret Kanunu
  • 6331 sayılı İş Sağlığı ve Güvenliği Kanunu
  • 4857 Sayılı İş Kanunu
  • Bu kanunlar ve yönetmelikler uyarınca yürürlükte olan diğer ikincil mevzuat hükümleri.

6.2.  Saklamayı Gerektiren İşleme Amaçları

Mayasante, ilgili kişinin kişisel verilerini aşağıda yer alan çeşitli amaçlarla işleyebilir;

  • Çalışanlar İçin İş Akdi ve Mevzuat Kaynaklı Yükümlülüklerin Yerine Getirilmesi
  • Çalışanlar İçin Yan Haklar ve Menfaatleri Süreçlerinin Yürütülmesi
  • Çalışan Adaylarının Başvuru Süreçlerinin Yürütülmesi
  • Faaliyetlerin Mevzuata Uygun Yürütülmesi
  • Finans ve Muhasebe İşlerinin Yürütülmesi
  • İş Faaliyetlerinin Yürütülmesi/Denetimi
  • İş Süreçlerinin İyileştirilmesine Yönelik Önerilerin Alınması ve Değerlendirilmesi
  • Müşteri İlişkileri Yönetimi Süreçlerinin Yürütülmesi
  • Talep/Şikayetlerin Takibi
  • Sözleşme Süreçlerinin Yürütülmesi
  • Pazarlama Analiz Çalışmalarının Yürütülmesi
  • Müşteri Memnuniyetine Yönelik Aktivitelerin Yürütülmesi
  • İş Sağlığı / Güvenliği Faaliyetlerinin Yürütülmesi
  • Fiziksel Mekan Güvenliğinin Temini
  • Erişim Yetkilerinin Yürütülmesi
  • Saklama ve Arşiv Faaliyetlerinin Yürütülmesi
  • Bilgi Güvenliği Süreçlerinin Yürütülmesi
  • İleride Doğabilecek Hukuki Uyuşmazlıklarda Delil Olarak İspat Yükümlülüğünün Sağlanması

6.3.  İmhayı Gerektiren Sebeplere İlişkin Açıklamalar

Aşağıda sayılan hallerde kişisel veriler, Mayasante tarafından re’sen yahut ilgili kişinin talebi üzerine silinir, yok edilir veya anonim hale getirilir;

  • Kişisel verilerin   işlenmesine   esas   teşkil   eden   ilgili mevzuat hükümlerinin değiştirilmesi veya kaldırılması,
  • Kişisel verilerin işlenmesinin açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin açık rızasını geri alması,
  • Kişisel verilerin işlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,
  • İlgili kişinin, KVKK’nın 11. md. kapsamındaki hakları çerçevesinde yaptığı kişisel verilerinin silinmesi veya yok edilmesine ilişkin başvurunun veri sorumlusu tarafından kabul edilmesi ya da Kurulun gereğinin yapılması yönünde karar
  • Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olması ve kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması

7.       VERİ SİLME, YOK ETME VE ANONİM HALE GETİRME

Mayasante tarafından işlenen kişisel veriler; yasal şartların ve/veya sürelerin ortadan kalkması üzerine ilgili kişinin talebi doğrultusunda veya Mayasante tarafından kendiliğinden silinir, yok edilir veya anonim hale getirilir. Kurul tarafından aksine bir karar alınmadıkça, kişisel verileri kendiliğinden silme, yok etme veya anonim hale getirme yöntemlerinden uygun olanı veri sorumlusu tarafından seçilir. Ancak, ilgili kişinin talebi halinde uygun yöntem gerekçesi açıklanarak seçilir.

7.1.  Silme

Sunucularda Yer Alan Kişisel Veriler: Sunucularda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler için sistem yöneticisi tarafından ilgili kullanıcıların erişim yetkisi kaldırılarak silme işlemi yapılır.

Elektronik Ortamda Yer Alan Kişisel Veriler: Elektronik ortamda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, veri tabanı yöneticisi hariç diğer ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir.

Elektronik Olmayan(Fiziksel) Ortamda Yer Alan Kişisel Veriler: Fiziksel (Elektronik olmayan) ortamda tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler için evrak arşivinden sorumlu kişi hariç diğer çalışanlar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. Ayrıca, üzeri okunamayacak/anlaşılamayacak şekilde çizilerek/boyanarak/silinerek karartma işlemi de uygulanır.

Taşınabilir Bellekte Bulunan Kişisel Veriler: Flash tabanlı saklama ortamlarında tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler, sistem yöneticisi tarafından şifrelenerek ve erişim yetkisi sadece sistem yöneticisine verilerek şifreleme anahtarlarıyla güvenli ortamlarda saklanır.

7.2.  Yok Etme

Fiziksel(Elektronik Olmayan) Ortamda Yer Alan Kişisel Veriler: Fiziksel ortamda tutulan belgeler evrak imha makineleri ile tekrar bir araya getirilemeyecek şekilde yok edilir.

7.3. Anonim Hale Getirme

Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.

Maskeleme (Masking): Veri maskeleme, kişisel verinin temel belirleyici bilgisini veri seti içerisinden çıkartılarak kişisel verinin anonim hale getirilmesi yöntemidir

7. VERİ SAKLAMA VE İMHA SÜRELERİ İLE PERİYODİK İMHA SÜRELERİ

Mayasante tarafından kişisel verilerin saklama süresi belirlenirken; öncelikle yasal mevzuatta söz konusu kişisel verinin saklanmasına ilişkin olarak bir süre öngörülmüş ise bu süreye riayet Bunun haricinde Kişisel Veri Envanteri, VERBİS ve işbu Politikadaki süreler dikkate alınır. Diğer yandan, periyodik imha süresi 6 ay olarak belirlenmiştir. Buna göre, Mayasante’de her yıl Ağustos ve

Şubat aylarında periyodik imha işlemi gerçekleştirilir.Verilerin saklama ve imha süreleri aşağıda belirtildiği gibidir;

Süreç Saklama Süresi İmha Süresi
İnsan Kaynakları İş İlişkisinin sona Saklama süresinin
Faaliyetlerinin ermesinden itibaren 10 bitimini takip eden
Yürütülmesi yıl ilk periyodik imha
süresinde
Sözleşme Faaliyetlerinin Sözleşmenin sona Saklama süresinin
Yürütülmesi ermesinden itibaren 10 bitimini takip eden
yıl ilk periyodik imha
süresinde
Hasta/Danışan Hukuki ilişkinin sona Saklama süresinin
İşlemlerinin ermesinden itibaren 10 bitimini takip eden
Yürütülmesi yıl ilk periyodik imha
süresinde
Muhasebe ve Finansal 10 yıl Saklama süresinin
İşlemlere İlişkin bitimini takip eden
Faaliyetlerin ilk periyodik imha
Yürütülmesi süresinde
Fiziksel Mekan 22 gün Saklama süresi bitimi
Güvenliğinin halinde kendiliğinden
Sağlanması (Kamera imha edilmektedir.
Kayıtları)

9. SORUMLULUK VE GÖREV

Mayasante’nin tüm çalışanları/birimleri; kişisel verilerin hukuka uygun olarak elde edilmesi, işlenmesi ve saklanması konusunda sorumlu kişilere tam ve aktif destek verir. Politika kapsamında alınan idari ve teknik tedbirlerin uygulanmasında, birim çalışanlarının eğitilmesinde, çalışanların farkındalığının sağlanmasında, artırılmasında ve izlenmesinde, kişisel verilere hukuka aykırı olarak erişilmesinin önlenmesinde ve kişisel verilerin hukuka uygun olarak muhafazasında tüm çalışanlar ve/veya birimler, sorumlu kişilere destek olur.

Kişisel verilerin saklama ve imha süreçlerinde görev alanların unvanları ve görev tanımlarına ait dağılım aşağıdaki tabloda yer almaktadır;

Unvan Sorumluluk
Hasta Kabul Yetkilisi

Hasta Hizmetleri Destek Görevlisi Hasta İletişim Sorumlusu

İdari Personel Hekim/Hemşire

Görevlerine uygun olarak Politikanın yürütülmesinden ve destek verilmesinden sorumludur.

 

10.   POLİTİKANIN YAYINLANMASI, SAKLANMASI VE GÜNCELLENMESİ

İşbu Politika, ıslak imzalı (basılı kağıt) ve elektronik ortamda olmak üzere iki farklı ortamda yayınlanır, internet sayfasında kamuoyuna ilan edilir. Basılı kağıt nüshası Mayasante bünyesinde saklanır. Politika, ihtiyaç duyuldukça gözden geçirilir ve gerekli bölümler güncellenir.

11.   YÜRÜRLÜK

İşbu politika, imza tarihinde yürürlüğe girmiş kabul edilir.

2024 Tüm haklarımız saklıdır.