BİRİNCİ BÖLÜM

KİŞİSEL VERİ SAKLAMA VE İMHA POLİTİKASI'NIN NİTELİĞİ VE AMACI

 

İşbu Kişisel Veri Saklama ve İmha Politikası (“Politika”), 6698 Sayılı Kişisel Verilerin Korunması Kanunu (“KVKK” ya da “Kanun”) ve Kanun’un ikincil düzenlemesini teşkil eden 28 Ekim 2017 tarihli Resmi Gazete’de yayımlanarak yürürlüğe giren Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik (“Yönetmelik”) uyarınca Hekimbey İŞ SAĞLIĞI VE GÜVENLİĞİ A.Ş. olarak veri sorumlusu sıfatıyla elimizde bulundurduğumuz kişisel verilerin KVKK ve sair mevzuatı gereği, yükümlülüklerimizi yerine getirmek ve ilgili kişileri kişisel verilerinizin işlendikleri amaç için gerekli olan azami saklama süresinin belirlenmesi esasları ile kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin şirketimiz tarafından uygulanacak usul ve esasların belirlenmesi amacıyla hazırlanmıştır.

Bu kapsamda, çalışanlarımızın, çalışan adaylarımızın, müşterilerimizin ve herhangi bir nedenle şirketimiz nezdinde kişisel verisi bulunan tüm gerçek kişilerin kişisel verileri Kişisel Verilerin İşlenmesi ve Korunması Politikası ve işbu Kişisel Veri Saklama ve İmha Politikası çerçevesinde kanunlara uygun olarak yönetilmektedir.

1.2 KAPSAM

Kurum çalışanları, çalışan adayları, hizmet sağlayıcıları, ziyaretçiler ve diğer üçüncü kişilere ait kişisel veriler bu Politika kapsamında olup Kurumun sahip olduğu ya da Kurumca yönetilen kişisel verilerin işlendiği tüm kayıt ortamları ve kişisel veri işlenmesine yönelik faaliyetlerde bu Politika uygulanır.

 

1.3. TANIMLAR

Açık Rıza	Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızadır.
İlgili Kullanıcı	Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişilerdir.
Kişisel Veri/Veriler	Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgidir.
Özel Nitelikteki Kişisel Veri/Veriler	Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık kıyafet, dernek vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir.
Kişisel Verilerin İşlenmesi	Kişisel Verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi,  kaydedilmesi, depolanması, muhafaza edilmesi değiştirilmesi,  yeniden düzenlenmesi, açıklanması, aktarılması, devralınması,  elde edilebilir hâle getirilmesi,    sınıflandırılması ya da kullanılmasının engellenmesi gibi             veriler   üzerinde gerçekleştirilen her türlü işlemdir.
Doğrudan Tanımlayıcılar	Tek başlarına,  ilişki içinde oldukları kişiyi  doğrudan     açığa çıkaran, ifşa eden ve ayırt edilebilir kılan tanımlayıcılarıdır.
Dolaylı Tanımlayıcılar	Diğer tanımlayıcılar ile bir araya gelerek ilişki içinde oldukları kişiyi açığa çıkaran,  ifşa eden ve ayırt edilebilir kılan tanımlayıcılarıdır.
Kişisel Veri Sahibi/İlgili Kişi	Şirket iç ve dış paydaşları, Şirket yetkilileri, şirket iş ortakları, tedarikçiler,  danışmanlarımız,  çalışanlarımız ve çalışan adaylarımız, ziyaretçilerimiz, müşterilerimiz, potansiyel müşteriler ve üçüncü kişiler,  resmi kurumlar, bankalar, bağımsız denetim kuruluşları gibi kişisel verisi şirket tarafından işlenen gerçek kişileri ifade eder.
Veri Sorumlusu	Kişisel verilerin işleme amaçlarını ve yöntemlerini belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan tüzel kişidir.
Veri İşleyen	Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel veri işleyen gerçek ve tüzel kişidir.
Kanun	6698 sayılı Kişisel Verilerin Korunması Kanunu’nu ifade eder.
Yönetmelik	28 Ekim 2017 tarihinde Resmi Gazete’de yayımlanan Kişisel Verilerin Silinmesi,      Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmeliktir.
KVK Kurulu	Kişisel Verileri Koruma Kurulu’dur.
Kayıt Ortamı	Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt     sisteminin  parçası  olmak     kaydıyla  otomatik  olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortamdır.
Kişisel Verilerin İşlenmesi, Korunması ve Gizlilik Politikası	https://hekimbey.com.tr/ adresinden ulaşılabilecek,  şirket elinde bulunan kişisel verilerin yönetilmesine ilişkin usul ve esasları belirleyen politikayı ifade eder.
Veri Kayıt Sistemi	Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği Kayıt sistemini ifade eder.
İmha	Kişisel verilerin silinmesi,  yok edilmesi veya anonim hale getirilmesidir.
Anonim Hale Getirme	Daha öncesinde bir kişiyle ilişkilendirilmiş olan verilerin, başka verilerle eşleştirilerek        dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.
Kişisel Verilerin Silinmesi	Kişisel verilerin silinmesi; kişisel verilerin İlgili Kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesidir.
Kişisel Verilerin Yok Edilmesi	Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.
Periyodik İmha	Kanun’da yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla re’sen gerçekleştirilecek silme,  yok etme veya anonim hale getirme işlemidir.

İKİNCİ BÖLÜM

ORTAMLAR VE GÜVENLİK TEDBİRLERİ

2.1. KİŞİSEL VERİLERİN SAKLANDIĞI ORTAMLAR

Şirketimiz nezdinde saklanan kişisel veriler, ilgili verinin niteliğine ve hukuki yükümlülüklerimize uygun bir kayıt ortamında tutulur. Kişisel verilerin saklanması için kullanılan kayıt ortamları genel itibariyle aşağıda sayılanlardır. Ancak, bir kısım veriler sahip oldukları özel nitelikler ya da hukuki yükümlülüklerimiz nedeniyle burada gösterilen ortamlardan farklı bir ortamda tutulabilir. Şirketimiz her halde veri sorumlusu sıfatıyla hareket etmekte ve kişisel verileri Kanun’a, Kişisel Verilerin İşlenmesi, Korunması ve Gizlilik Politikası’na ve işbu Kişisel Veri Saklama ve İmha Politikası’na uygun olarak işlemek ve korumaktadır.

1. Matbu ortamlar: Birim dolapları, arşiv gibi verilerin kağıt ya da mikrofilmler üzerine basılarak tutulduğu ortamlardır.
2. Yerel dijital ortamlar:   Şirketimiz bünyesinde yer alan sunucular, sabit ya da taşınabilir diskler gibi sair dijital ortamlardır. 
3. Bulut ortamlar: Şirketimiz bünyesinde yer almamakla birlikte, şirketimizin kullanımında olan, kriptografik yöntemlerle şifrelenmiş internet tabanlı sistemlerin kullanıldığı ortamlardır.
4. Elektronik ortamlar:  Genel İK ve Muhasebe Programları

 

2.1.1 SAKLAMA VE İMHAYA İLİŞKİN AÇIKLAMALAR

Kurum tarafından; çalışanlar, çalışan adayları, ziyaretçiler ve hizmet sağlayıcı olarak ilişkide bulunulan üçüncü kişilerin, kurumların veya kuruluşların çalışanlarına ait kişisel veriler Kanuna uygun olarak saklanır ve imha edilir.

Kanunun 3’üncü maddesinde “kişisel verilerin işlenmesi” kavramı tanımlanmış, 4’üncü maddesinde işlenen kişisel verinin işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli süre kadar muhafaza edilmesi gerektiği belirtilmiş,  5 ve 6’ncı maddelerde ise kişisel verilerin işleme şartları sayılmıştır.

Buna göre, Kurumumuz faaliyetleri çerçevesinde kişisel veriler, ilgili mevzuatta öngörülen veya işleme amaçlarımıza uygun süre kadar saklanır.

2.1.2 SAKLAMAYI GEREKTİREN HUKUKİ SEBEPLER

• Kurumda, faaliyetleri çerçevesinde işlenen kişisel veriler, ilgili mevzuatta öngörülen süre kadar muhafaza edilir. Bu kapsamda kişisel veriler;
• 6698 sayılı Kişisel Verilerin Korunması Kanunu,
• 6098 sayılı Türk Borçlar Kanunu,
• 4734 sayılı Kamu İhale Kanunu,
• 657 sayılı Devlet Memurlar Kanunu,
• 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu,
• 5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun,
• 5018 sayılı Kamu Mali Yönetimi Kanunu,
• 6361 sayılı İş Sağlığı ve Güvenliği Kanunu,
• 4982 sayılı Bilgi Edinme Kanunu
• 3071 sayılı Dilekçe Hakkının Kullanılmasına Dair Kanun,
• 4857 sayılı İş Kanunu,
• 2547 sayılı Yükseköğretim Kanunu,
• 5434 sayılı Emekli Sağlığı Kanunu,
• 2828 sayılı Sosyal Hizmetler Kanunu,
• İşyeri Bina ve Eklentilerinde Alınacak Sağlık ve Güvenlik Önlemlerine İlişkin Yönetmelik,
• Arşiv Hizmetleri Hakkında Yönetmelik,
• Bu kanunlar uyarınca yürürlükte olan diğer ikincil düzenlemeler çerçevesinde öngörülen saklama süreleri kadar saklanmaktadır.

 

2.1.3 SAKLAMAYI GEREKTİREN İŞLEME AMAÇLARI

• Kurum faaliyetleri çerçevesinde işlemekte olduğu kişisel verileri aşağıdaki amaçlar doğrultusunda saklar.
• İnsan kaynakları süreçlerini yürütmek,
• Kurumsal iletişimi sağlamak,
• Kurum güvenliğini sağlamak,
• İstatistiksel çalışmalar yapabilmek,
• İmzalanan sözleşmeler ve protokoller neticesinde iş ve işlemleri ifa edebilmek,
• VERBİS kapsamında, çalışanlar, veri sorumluları, irtibat kişileri, veri sorumlusu temsilcileri ve veri işleyenlerin tercih ve ihtiyaçlarını tespit etmek, verilen hizmetleri buna göre düzenlemek ve gerekmesi halinde güncellemek,
• Yasal düzenlemelerin gerektirdiği veya zorunlu kıldığı şekilde hukuki yükümlülüklerin yerine getirilmesini sağlamak,
• Kurum ile iş ilişkisinde bulunan gerçek/tüzel kişilerle irtibat sağlamak,
• Yasal raporlamalar yapmak,
• Çağrı merkezi süreçlerini yönetmek,
• İleride doğabilecek hukuki uyuşmazlıklarda delil olarak ispat yükümlülüğü.

2.1.4 İMHAYI GEREKTİREN SEBEPLER

Kişisel veriler;

• İşlenmesine esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası,
• İşlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,
• Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin açık rızasını geri alması,
• Kanunun 11 nci maddesi gereği ilgili kişinin hakları çerçevesinde kişisel verilerinin silinmesi ve yok edilmesine ilişkin yaptığı başvurunun Kurum tarafından kabul edilmesi,
• Kurumun, ilgili kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabı yetersiz bulması veya Kanunda öngörülen süre içerisinde cevap vermemesi hallerinde; Kurula şikayette bulunması ve bu talebin Kurul tarafından uygun bulunması,
• Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olması ve kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması,

durumlarında, Kurum tarafından ilgili kişinin talebi üzerine silinir, yok edilir ya da re’sen silinir, yok edilir veya anonim hale getirilir.

2.2. ORTAMLARIN GÜVENLİĞİNİN SAĞLANMASI

Kişisel verilerinizin güvenli bir şekilde saklanması, hukuka aykırı olarak işlenmesi, erişilmesinin önlenmesi ve verilerin hukuka uygun olarak imha edilmesi amacıyla KVKK’nın 12. Maddesindeki ilkeler çerçevesinde Şirketimiz, kişisel verilerin güvenli bir şekilde saklanması ile hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi için ilgili kişisel veri ile tutulduğu ortamın niteliklerine uygun olarak gerekli teknik ve idari tedbirleri almaktadır.

İşbu tedbirler, bunlarla kısıtlı olmamak üzere, ilgili kişisel verinin ve tutulduğu ortamın niteliğine uygun düştüğü ölçüde aşağıdaki idari ve teknik tedbirleri kapsar.

Şirketimiz tarafından alınmış olan idari ve teknik tedbirler aşağıda sayılmıştır:

2.2.1.  Teknik Tedbirler

Şirketimiz, kişisel verilerin saklandığı tüm ortamların ilgili verinin ve verinin tutulduğu ortamın niteliklerine uygun olarak başlıca aşağıdaki teknik tedbirleri almaktadır:

 

 

 

 

• Bilişim sistemleri üzerindeki güvenlik zafiyetlerinin tespitine yönelik güvenlik testleri ve araştırmaları yapılmakta, yapılan test ve araştırmaların sonucunda tespit edilen mevcut ya da muhtemel risk teşkil eden hususlar giderilmektedir.
• Kişisel verilerin tutulduğu ortamlara veriye erişim kısıtlanarak yalnızca yetkili kişilerin, kişisel verinin saklanma amacı ile sınırlı olarak bu verilere erişmesine izin verilmekte ve tüm erişimler kayıt altına alınmaktadır.
• Verilerin kurum dışına sızmasını engelleyecek veyahut gözlemleyecek teknik altyapının temin edilmesini ve ilgili matrislerin oluşturulması sağlanmaktadır. Düzenli olarak ve ihtiyaç oluştuğunda sızma testi hizmeti alarak sistem zafiyetlerinin kontrolü sağlanmaktadır.
• Şirketimiz bünyesinde kişisel verilerin tutulduğu ortamların güvenliğini sağlamak üzere yeterli teknik personel bulundurmaktadır.

 

 

 

Kanun’un 12. maddesi uyarınca, kişisel verilerin saklandığı her türlü dijital ortam, bilgi güvenliği gereksinimlerini sağlayacak şekilde şifreli veyahut kriptografik yöntemler ile korunmaktadır.

2.2.2.  İdari Tedbirler

Şirketimiz, kişisel verilerin saklandığı tüm ortamların ilgili verinin ve verinin tutulduğu ortamın niteliklerine uygun olarak başlıca aşağıdaki idari tedbirleri almaktadır:

• Kişisel verilere erişimi olan tüm şirket çalışanlarının bilgi güvenliği, kişisel veriler ve özel hayatın gizliliği konularında farkındalıklarının artırılması ve bilinçlendirilmesi için çalışmalar yapılmakta, personele kişisel verilerin korunması mevzuatı ve veri güvenliği kapsamında gerekli eğitimler verilmektedir.
• Saklanan kişisel verilere şirket içi erişimi iş tanımı gereği erişmesi gerekli personel ile sınırlandırır. Erişimin sınırlandırılmasında verinin özel nitelikli olup olmadığı ve önem derecesi de dikkate alınır.

 

 

 

• Kendi tüzel kişiliği nezdinde Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapılmakta ve yaptırılmaktadır. Denetimler sonucunda ortaya çıkan gizlilik ve güvenlik zafiyetleri giderilmektedir.
• Kişisel veri işlemeye başlamadan önce Kurum tarafından, ilgili kişileri aydınlatma yükümlülüğü yerine getirilmektedir.
• Kişisel veri işleme envanteri hazırlanmıştır.
• Kurum içi periyodik ve rastgele denetimler yapılmaktadır.

 

2.2.3.  Şirket İçi Denetim

Şirketimiz, Kanun’un 12’nci maddesi uyarınca Kanun hükümlerinin ve işbu Kişisel Veri Saklama ve İmha Politikası ile Kişisel Verilerin İşlenmesi ve Korunması Politikası hükümlerinin uygulanmasına ilişkin şirket içi denetimler yapmaktadır.

Şirket içi denetimler sonucunda bu hükümlerin uygulanmasına ilişkin eksiklik ya da kusurların tespit edilmesi halinde bu eksiklik ya da kusurlar derhal giderilir.

Denetim sırasında ya da sair bir şekilde Şirketimiz sorumluluğunda bulunan kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edildiğinin anlaşılması hâlinde, şirketimiz bu durumu en kısa sürede ilgilisine ve Kurula bildirir.

ÜÇÜNCÜ BÖLÜM

KİŞİSEL VERİLERİN İMHASI

3.1. SAKLAMA VE İMHA NEDENLERİ

3.1.2.  İmha Nedenleri

Şirketimiz bünyesinde bulunan kişisel veriler ilgili kişinin talebi halinde ya da Kanun’un 5’nci ve 6’ncı maddelerinde sayılan nedenlerin ortadan kalkması halinde re’sen işbu imha politikası uyarınca silinir, yok edilir veya anonim hale getirilir.

Kanun’un 5’nci ve 6’ncı maddelerinde sayılan nedenler aşağıdakilerden ibarettir:

 

2. Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
3. Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.

 

4. Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
5. İlgili kişinin kendisi tarafından alenileştirilmiş olması.

 

 

3.2. İMHA YÖNTEMLERİ

Şirketimiz, Kanuna ve sair mevzuatı ile Kişisel Verilerin İşlenmesi ve Korunması Politikası’na uygun olarak sakladığı kişisel verileri, verilerin işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde ilgili kişinin talebi doğrultusunda ya da işbu Kişisel Veri Saklama ve İmha Politikasında belirtilen süreler içinde re’sen siler, yok eder veya anonim hale getirir.

3.2.1. Kişisel Verilerin Silinmesi

Şirketimiz tarafından kişisel veriler aşağıda belirtilen yöntemlerle silinebilir. 

Veri Kayıt Ortamı	Açıklama
Sunucularda Yer Alan Kişisel Veriler	Sunucularda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler için sistem yöneticisi tarafından ilgili kullanıcıların erişim yetkisi kaldırılarak silme işlemi yapılır.
Elektronik Ortamda Yer Alan Kişisel Veriler	Elektronik ortamda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, veri tabanı yöneticisi hariç diğer çalışanlar (ilgili kullanıcılar) için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir.
Fiziksel Ortamda Yer Alan Kişisel Veriler	Fiziksel ortamda tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler için evrak arşivinden sorumlu birim yöneticisi hariç diğer çalışanlar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. Ayrıca, üzeri okunamayacak şekilde çizilerek/boyanarak/silinerek karartma işlemi de uygulanır.
Taşınabilir Medyada Bulunan Kişisel Veriler	Flash tabanlı saklama ortamlarında tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler, sistem yöneticisi tarafından şifrelenerek ve erişim yetkisi sadece sistem yöneticisine verilerek şifreleme anahtarlarıyla güvenli ortamlarda saklanır.

 

3.2.2. Kişisel Verilerin Yok Edilmesi

Şirketimiz tarafından kişisel veriler aşağıda belirtilen yöntemlerle yok edilebilir.           

Veri Kayıt Ortamı	Açıklama
Fiziksel Ortamda Yer Alan Kişisel Veriler	Kâğıt ortamında yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, kağıt kırpma makinelerinde geri döndürülemeyecek şekilde yok edilir.
Optik Manyetik Medyada Yer Alan Kişisel Veriler	Optik medya ve manyetik medyada yer alan kişisel verilerden saklanmasını gerektiren süre sona erenlerin eritilmesi, yakılması veya toz haline getirilmesi gibi fiziksel olarak yok edilmesi işlemi uygulanır. Ayrıca, manyetik medya özel bir cihazdan geçirilerek yüksek değerde manyetik alana maruz bırakılması suretiyle üzerindeki veriler okunamaz hale getirilir.

 

3.2.3. Kişisel Verilerin Anonim Hale Getirilmesi 

Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir. Kişisel verilerin anonim hale getirilmiş olması için; kişisel verilerin, veri sorumlusu veya üçüncü kişiler tarafından geri döndürülmesi ve/veya verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekir.

Kurumumuz, hukuka uygun olarak işlenen kişisel verilerin işlenmesini gerektiren sebepler ortadan kalktığında kişisel verileri anonimleştirebilmektedir. KVK Kanunu‟nun 28. maddesine uygun olarak; anonim hale getirilmiş olan kişisel veriler araştırma, planlama ve istatistik gibi amaçlarla işlenebilir. Bu tür işlemeler KVK Kanunu kapsamı dışında olup, kişisel veri sahibinin açık rızası aranmayacaktır. Anonim hale getirilerek işlenen kişisel veriler KVK Kanunu kapsamı dışında olacağından kanunda düzenlenen haklar bu veriler için geçerli olmayacaktır. Anonimleştirme teknikleri;

1. Maskeleme (Masking):Veri maskeleme ile kişisel verinin temel belirleyici bilgisini veri seti içerisinden çıkartılarak kişisel verinin anonim hale getirilmesi yöntemidir. Örnek: Kişisel veri sahibinin tanımlanmasını sağlayan isim, TC Kimlik No vb. bilginin çıkartılması yoluyla kişisel veri sahibinin tanımlanmasının imkânsız hale geldiği bir veri setine dönüştürülmesi.
2. Toplulaştırma (Aggregation):Veri toplulaştırma yöntemi ile birçok veri toplulaştırılmakta ve kişisel veriler herhangi bir kişiyle ilişkilendirilemeyecek hale getirilmektedir. Örnek: Müşterilerin yaşlarının tek tek göstermeksizin X yaşında Z kadar müşteri bulunduğunun ortaya konulması.
3. Veri Türetme (Data Derivation): Veri türetme yöntemi ile kişisel verinin içeriğinden daha genel bir içerik oluşturulmakta ve kişisel verinin herhangi bir kişiyle ilişkilendirilemeyecek hale getirilmesi sağlanmaktadır. Örnek: Doğum tarihleri yerine yaşların belirtilmesi; açık adres yerine ikamet edilen bölgenin belirtilmesi.
4. Veri Karma (Data Shuffling, Permutation): Veri karma yöntemi ile kişisel veri seti içindeki değerlerinin karıştırılarak değerler ile kişiler arasındaki bağın kopartılması sağlanmaktadır. Örnek: Ses kayıtlarının niteliğinin değiştirilerek sesler ile veri sahibi kişinin ilişkilendirilemeyecek hale getirilmesi

3.3. SAKLAMA VE İMHA SÜRELERİ

3.3.1.   Saklama Süreleri

SÜREÇ	SAKLAMA SÜRESİ	İMHA SÜRESİ
İnsan Kaynakları Süreçlerinin Yönetilmesi	Faaliyetin Sona Ermesini Takiben 10 yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Satın Alma ve Pazarlama Süreçlerinin Yönetilmesi	Faaliyetin Sona Ermesini Takiben 10 yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Sözleşmelerin Hazırlanması	Sözleşmenin Sona Ermesini Takiben 10 yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
İletişim Faaliyetlerinin İcrası	Faaliyetin Sona Ermesini Takiben 10 yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Log Kayıt Takip Sistemleri	10 yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Donanım ve Yazılıma Erişim Süreçlerinin Yürütülmesi	2 yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Ziyaretçi	Faaliyetin Sona Ermesini Takiben 30 Gün	Faaliyetin Sona Ermesini Takiben 30 Gün
Kamera Kayıtları      İşe Giriş Muayane Formu(EK2)	Faaliyetin Sona Ermesini Takiben 30 Gün      Faaliyetin Sona Ermesini Takiben 30 Gün	Faaliyetin Sona Ermesini Takiben 30 Gün     Faaliyetin Sona Ermesini Takiben 30 Gün

 

• Mevzuat uyarınca daha uzun bir süre düzenlenmiş olması ya da mevzuat uyarınca zamanaşımı, hak düşürücü süre, saklama süreleri vb. için daha uzun bir süre öngörülmüş olması halinde, mevzuat hükümlerindeki süreler azami saklama süresi olarak kabul edilir.
• Ayrıca evrakın niteliği gereği, ticari veya yasal gerekçelerle, daha uzun süre saklama ihtiyacının hasıl olması halinde, yukarıdaki sürelere tabi olmaksızın, azami 20 yıla kadar ilgili evrakların saklanması mümkündür.

 

3.3.2.  İmha Süreleri

Şirketimiz, Kanun, ilgili mevzuat, Kişisel Verilerin İşlenmesi ve Korunması Politikası ve işbu Kişisel Verileri Saklama ve İmha Politikası uyarınca sorumlu olduğu kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde, kişisel verileri siler, yok eder veya anonim hale getirir.

Kurumumuzla, ilgili kanunlarda ve mevzuatlarda öngörülmesi durumunda kişisel verileri bu mevzuatlarda belirtilen süre boyunca saklanmaktadır. Kişisel verilerin ne kadar süre boyunca saklanması gerektiğine ilişkin mevzuatta bir süre düzenlenmemişse, kişisel veriler kurumumuz o veriyi işlerken sunduğu hizmetlerle bağlı olarak kurumumuzun uygulamaları ve ticari yaşamının teamülleri uyarınca işlenmesini gerektiren süre kadar işlenmekte daha sonra silinmekte, yok edilmekte veya anonim hale getirilmektedir. Kişisel verilerin işlenme amacı sona ermiş; ilgili mevzuat ve kurumun belirlediği saklama sürelerinin de sonuna gelinmişse; kişisel veriler yalnızca olası hukuki uyuşmazlıklarda delil teşkil etmesi veya kişisel veriye bağlı ilgili hakkın ileri sürülebilmesi veya savunmanın tesis edilmesi amacıyla saklanabilmektedir. Buradaki sürelerin tesisinde bahsi geçen hakkın ileri sürülebilmesine yönelik zaman aşımı süreleri ile zaman aşımı sürelerinin geçmesine rağmen daha önce aynı konularda kurumumuza yöneltilen taleplerdeki örnekler esas alınarak saklama süreleri belirlenmektedir. Bu durumda saklanan kişisel verilere herhangi bir başka amaçla erişilmemekte ve ancak ilgili hukuki uyuşmazlıkta kullanılması gerektiği zaman ilgili kişisel verilere erişim sağlanmaktadır. Burada da bahsi geçen süre sona erdikten sonra kişisel veriler silinmekte, yok edilmekte veya anonim hale getirilmektedir.

3.4. PERİYODİK İMHA

HEKİMBEY OSGB, Kişisel verileri mevzuatta öngörülen minimum süre kadar muhafaza etmektedir. Bu kapsamda, kurumumuz öncelikle ilgili mevzuatta kişisel verilerin saklanması için bir süre öngörülüp öngörülmediğini tespit etmekte, bir süre belirlenmişse bu süreye uygun davranmaktadır. Yasal bir süre mevcut değil ise kişisel veriler işlendikleri amaç için gerekli olan süre kadar saklanmaktadır. Kişisel veriler belirlenen saklama sürelerinin sonunda periyodik imha sürelerine veya veri sahibi başvurusuna uygun olarak ve belirlenen imha yöntemleri (silme ve/veya yok etme ve/veya anonimleştirme) ile imha edilmektedir. Kurumumuz, kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde, kişisel verileri siler, yok eder veya anonim hale getirir.

Kurumumuz, kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden üç ay içinde, kişisel verileri siler, yok eder veya anonim hale getirir.

Kurumumuz, ilgili kişi, Kanunun 11 inci ve 13 üncü maddelerine istinaden veri sorumlusuna başvurarak kendisine ait kişisel verilerin silinmesini veya yok edilmesini talep ettiğinde;

Kişisel verileri işleme şartlarının tamamı ortadan kalkmışsa; veri sorumlusu talebe konu kişisel verileri siler, yok eder veya anonim hale getirir. Veri sorumlusu, ilgili kişinin talebini en geç otuz gün içinde sonuçlandırır ve ilgili kişiye bilgi verir.

Kişisel verileri işleme şartlarının tamamı ortadan kalkmış ve talebe konu olan kişisel veriler üçüncü kişilere aktarılmışsa veri sorumlusu bu durumu üçüncü kişiye bildirir; üçüncü kişi nezdinde bu kanun ve yönetmelik kapsamında gerekli işlemlerin yapılmasını temin eder.

Kişisel verileri işleme şartlarının tamamı ortadan kalkmamışsa, bu talep veri sorumlusunca Kanunun 13 üncü maddesinin üçüncü fıkrası uyarınca gerekçesi açıklanarak reddedilebilir ve ret cevabı ilgili kişiye en geç otuz gün içinde yazılı olarak ya da elektronik ortamda bildirilir.

3.5. İMHA İŞLEMİNİN HUKUKA UYGUNLUĞUNUN DENETİMİ

Şirketimiz, gerek talep üzerine gerekse periyodik imha süreçlerinde resen gerçekleştirdiği imha işlemlerini Kanuna, sair mevzuata, Kişisel Verilerin İşlenmesi ve Korunması Politikasına ve işbu Kişisel Veri Saklama ve İmha Politikasına uygun olarak yapar. Şirketimiz, imha işlemlerinin bu düzenlemelere uygun olarak yapıldığını temin etmek amacıyla bir takım idari ve teknik tedbirler almaktadır.

3.5.1.  Teknik Tedbirler

 

 

 

 

3.5.2.  İdari Tedbirler

 

 

 

• İmha işlemlerinin hukuka ve işbu Kişisel Veri Saklama ve İmha Politikasında belirtilen şart ve yükümlülüklere uygun olarak yapılıp yapılmadığını düzenli olarak denetler, gereken aksiyonları alır.
• Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesiyle ilgili yapılan bütün işlemleri kayıt altına alır ve söz konusu kayıtları, diğer hukuki yükümlülükler hariç olmak üzere en az üç yıl süreyle saklar.

DÖRDÜNCÜ BÖLÜM

4.1. KİŞİSEL VERİ KOMİTESİ

 

Şirket bünyesinde bir Kişisel Veri Komitesi kurar. Kişisel Veri Komitesi, ilgili kişilerin verilerinin hukuka, Kişisel Verilerin İşlenmesi ve Korunması Politikasına ve Kişisel Veri Saklama ve İmha Politikasına uygun olarak saklanması ve işlenmesi için gerekli işlemleri yapmak/yaptırmak ve süreçleri denetlemekle yetkili ve görevlidir.

Kişisel Veri Komitesi bir yönetici, iki idari uzman ve iki teknik uzman olmak üzere beş kişiden oluşur. 

Kişisel Veri Komitesinde görevli şirket çalışanlarının unvanları ve görev tanımları aşağıda belirtilmiştir:

UNVAN	GÖREV TANIMI
Kişisel    Veri        Komitesi Yöneticisi	Kanuna uyumluluk sürecinde yürütülen projelerde her türlü planlama,  analiz,     araştırma,  risk belirleme çalışmalarını yönlendirmek;  Kanun,  Kişisel Verilerin İşlenmesi ve Korunması Politikası ve Kişisel Veri Saklama ve İmha Politikası uyarınca yürütülmesi gereken süreçleri yönetmek ve ilgili kişilerce gelen talepleri karara bağlamakla yükümlüdür.
KVK Uzmanı (Teknik, İdari)	İlgili kişilerin taleplerinin incelenmesi ve değerlendirilmek (Hukuk, Teknik ve İdari) üzere Kişisel Veri Komitesi Yöneticisine raporlanmasından; Kişisel Veri Komitesi Yöneticisi tarafından değerlendirilen ve karara bağlanan ilgili kişi taleplerine ilişkin işlemlerin Kişisel Veri Komitesi Yöneticisinin kararı uyarınca yerine getirilmesinden; saklama ve imha süreçlerinin denetiminin yapılmasından ve bu denetimlerin Kişisel Veri Komitesi Yöneticisine raporlanmasından; saklama ve imha süreçlerinin yürütülmesinden sorumludur.

 

KVK VERİ KOMİTESİ

CENGİZ YILMAZ	KİŞİSEL VERİ KOMİTESİ YÖNETİCİSİ
MUSTAFA ACAR	KVK UZMANI ( TEKNİK, İDARİ)
ALİ MEFTUN BÜKBÜZ
SERHAN GÜL
TÜRKER KARAMAN

 

4.2 KİŞİSEL VERİ İMHA KOMİSYONU

Şirket bünyesinde bir Kişisel Veri İmha Komisyonu kurar. Kişisel Veri İmha Komisyonu, ilgili kişilerin verilerinin hukuka, Kişisel Verilerin İşlenmesi ve Korunması Politikasına ve Kişisel Veri Saklama ve İmha Politikasına uygun olarak saklanması, silinmesi ve anonimleştirilmesi için gerekli işlemleri yapmak/yaptırmak yetkili ve görevlidir. İmha Komisyonu, kullanılmasına ve muhafazasına lüzum görülmeyen her türlü malzemenin imhası, ayıklama ve imha komisyonlarının nihai kararı ile yapılır.

Komisyon her bir birim için bir imha listesi ve imhanın yapıldığına dair imha tutanağı tutulur. İkişer nüsha olarak hazırlanan imha listeleri ve tutanakları, bunlarla ilgili yazışma ve onaylar, aidiyetleri göz önüne alınarak gruplandırılır. Bu nüshalardan birincisi birim, ikincisi şirket arşivinde muhafaza edilir. Listeler, denetime hazır vaziyette en az 3 yıl süre ile saklanır.

Kişisel Veri İmha Komisyonu bir başkan, 3 üye olmak üzere 4 kişiden oluşur. 

Kişisel Veri İmha Komisyonu görevli şirket çalışanlarının unvanları ve görev tanımları aşağıda belirtilmiştir:

UNVAN	GÖREV TANIMI
BAŞKAN	İmha işleminden sorumlu yetkili
ÜYE	İmha işleminden sorumlu personel

 

KİŞİSEL VERİ İMHA KOMİSYONU

MUSTAFA ACAR	BAŞKAN
İBRAHİM YALÇIN	ÜYE
TEKİN YENEL
LEYLA KAYGUSUZ

BEŞİNCİ BÖLÜM

POLİTİKA’NIN YAYINLANMASI VE SAKLANMASI

 

Politika, Mesul Müdür tarafından onaylandıktan sonra kurumun web sayfasından yayınlanır. Eşzamanlı olarak internet ortamında tüm Bölüm/Birimlerle paylaşılır. Politikanın yürürlükten kaldırılmasına karar verilmesi halinde, Politika‟nın ıslak imzalı eski nüshaları Mesul Müdürü tarafından iptal edilerek (iptal kaşesi vurularak) imzalanır ve kurum arşivinde saklanır.

5.1 GÜNCELLEME VE UYUM

Şirketimiz, Kanunda yapılan değişiklikler nedeniyle, Kurum kararları uyarınca ya da sektördeki ya da bilişim alanındaki gelişmeler doğrultusunda Kişisel Verilerin İşlenmesi ve Korunması Politikasında ya da işbu Kişisel Veri Saklama ve İmha Politikasında değişiklik yapma hakkını saklı tutar.

İşbu Kişisel Veri Saklama ve İmha Politikasında yapılan değişiklikler derhal metne işlenir ve değişikliklere ilişkin açıklamalar politikanın sonunda açıklanır.

KVKK ve ilgili diğer mevzuat hükümleri ile işbu Politika arasında uyumsuzluk olması halinde, öncelikle KVKK ve ilgili diğer mevzuat hükümleri uygulanacaktır.

 

5.2 POLİTİKA’NIN GÜNCELLENME PERİYODU

 

Politika, ihtiyaç duyuldukça gözden geçirilir ve gerekli olan bölümler güncellenir.

5.3 POLİTİKANIN YÜRÜRLÜĞÜ

İşbu Politika onaylandığı tarih (01/08/2023) itibari ile yürürlüğe girer. Yürürlüğe giren politika; başta kanun olmak üzere ve yürürlükteki mevzuat ile bu politika‟da yer verilen düzenlemelerin çelişmesi halinde mevzuat hükümleri uygulanır. HEKİMBEY OSGB, yasal düzenlemelere paralel olarak Politika‟da değişiklik yapma hakkını saklı tutar. Politika‟nın güncel haline HEKİMBEY OSGB (https://hekimbey.com.tr/) web sitesinden erişilebilirsiniz.

5.4 YÜRÜTME

İşbu Politika‟nın yürütülmesinden veri sorumlusu ve veri sorumlusunun yükümlülüklerini yerine getirmekle yükümlü olan HEKİMBEY OSGB’nin yönetim kurulunun KVK Kanunu ve Veri Koruma Kurulu düzenlemeleri kapsamındaki tüm iş ve işlemlerin takibinden ve koordinasyonundan sorumlu olmak üzere tüm Bölüm/Birimler Sorumluları sorumludur.

5.5 POLİTİKA ONAY SAYFASI

HEKİMBEY OSGB, 6698 Sayılı Kişisel Verilerin Korunması Kanunu gereğince hazırlanan “Kişisel Verilerin İşlenmesi, Korunması ve Politikası” tarafımızca incelenerek ve kurumun web sayfası ve intranet ortamında yayınlanması uygun görülmüştür.