Kişisel Veri İşleme ve Koruma Politikası

AMAÇ: Bu politikanın amacı, Firmamız tarafından 7 Nisan 2016 tarihli ve 29677 sayılı Resmi Gazetede yayımlanan, 24 Mart 2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanunu ve ilgili mevzuat ile düzenleyici kurum kararlarına uygun bir şekilde yürütülen kişisel veri işleme faaliyetleri ve kişisel verilerin korunmasına yönelik benimsenen sistemler konusunda açıklamalarda bulunmak, kurum içinde kişisel veri işlemeyi gerektiren süreçlerin düzenlenmesini ve denetlenmesini sağlamak, kişisel verilerin işlenmesi süreçlerinde yer alan birimlerde kişisel verilerin hukuka uygun şekilde işlenmesi bilincini geliştirmek ve bu bağlamda sorumluluk duygusunu yerleştirmek, kişisel veri işleme süreçlerimiz hakkında hastalarımız, hasta yakınlarımız, öğrencilerimiz, mezunlarımız, çalışan adaylarımız, çalışanlarımız, eski çalışanlarımız, yetkililerimiz, ziyaretçilerimiz, iş birliği içinde olduğumuz kurumların çalışanları, hissedarları ve yetkilileri ile üçüncü kişiler başta olmak üzere, kişisel verileri Firmamız tarafından işlenen kişileri bilgilendirerek veri işleme süreçlerimiz hakkında saydamlığı sağlamaktır.

KAPSAM: Bu politika, Firmamızın gerçekleştirmekte olduğu faaliyetler kapsamında, hastalarımızın, hasta yakınlarımızın, çalışan adaylarımızın, çalışanlarımızın, eski çalışanlarımızın, yetkililerimizin, ziyaretçilerimizin, işbirliği içinde olduğumuz tedarik şirketleri gibi çeşitli kurum/kuruluşların çalışanları, hissedarları ve yetkililerinin ve üçüncü kişilerin otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlemeye konu olan tüm kişisel verilerini kapsamaktadır.

İşbu politikamızda belirttiğimiz hususların kapsamı, işleme faaliyetinin türüne göre sayılan bu gruplardan tamamını kapsayabileceği gibi, örneğin tedarikçi şirket çalışanı gibi bir kısım grupları tamamen ya da kısmen de kapsayabilir.

SORUMLULAR: Bu prosedürün uygulanmasından tüm Firma çalışanları ve Ortakları sorumludur.

KISALTMALAR:

KVKK: Kişisel Verilerin Korunması Kanunu

TANIMLAR:

İşbu politikada kullanılan terimler aşağıdaki anlamları ifade edecek şekilde kullanılmış olup kanuni mevzuatta veya düzenleyici kurum kararlarında tanımlanan terimlerde, ilgili mevzuatta ya da kararlarda yapılacak bir değişiklik ile ilgili terim yerine farklı bir terim kullanılması yahut ilgili terime farklı bir anlam verilmesi halinde Firmamızce ayrıca bir değişiklik yapılmasına gerek olmaksızın, söz konusu terimler değişikliğin yürürlüğe girdiği tarihten itibaren işbu politikanın uygulanmasında değiştirilmiş hali ile dikkate alınacaktır:

Açık rıza : Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza,

Anonim hale getirme : Kişisel verinin, kişisel veri niteliğini kaybedecek ve bu durumun geri alınamayacağı şekilde, örneğin; karartma, maskeleme, toplulaştırma, veri bozma vb. tekniklerle bir gerçek kişi ile ilişkilendirilemeyecek hale getirilmesi,

Başvuru formu : Kişisel veri sahiplerinin haklarını kullanmak için yapacakları başvuruyu içerecek, politika kapsamında Mimar Sinan Mah. Şair Eşref Bulvarı No:82/1 İç kapı no:5 Konak İzmir adresinden ulaşılabilen başvurunun yöntemini açıklayan “6698 Sayılı Kişisel Verilerin Korunması Kanunu Uyarınca İlgili Kişi (Veri Sahibi) Talep Başvuru Formu”,

Çalışan adayı : Firmamıza herhangi bir yolla iş veya staj başvurusunda bulunmuş ya da özgeçmiş ve ilgili bilgilerini Firmamızın incelemesine açmış olan gerçek kişiler,

İmha : Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi,

İş birliği içinde olduğumuz kurum/kuruluşlar: Firmamızın her türlü iş ilişkisi içerisinde bulunduğu kurumlarda (iş ortağı, tedarikçi gibi, ancak bunlarla sınırlı olmaksızın) çalışan, bu kurumların hissedarları ve yetkilileri dâhil olmak üzere, çalışanları, hissedarları ve yetkilileri,

İş ortağı : Firmamızın faaliyetlerini yürütürken iş ortaklığı kurduğu taraflar,

Kişisel verilerin işlenmesi : Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem,

Kişisel veri : Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi. Örneğin; ad-soyadı, TCKN, cep telefonu numarası, e-posta, iletişim adresi vb.,

İlgili Kişi ( Veri Sahibi ) : Kişisel verisi işlenen gerçek kişi. Örneğin; hastalar, hasta yakınları, çalışanlar, ziyaretçiler,

Kişisel veri saklama ve imha politikası : Veri sorumlularının, kişisel verilerin işlendikleri amaç için gerekli olan azami süreyi belirleme işlemi ile silme, yok etme ve anonim hale getirme işlemi için dayanak yaptıkları politika,

KVK Kanunu : 7 Nisan 2016 tarihli ve 29677 sayılı Resmi Gazete’de yayımlanan, 24 Mart 2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanunu,

KVK Kurumu/Düzenleyici Kurum: Kişisel Verileri Koruma Kurumu,

Periyodik imha : Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi,

Politika : Uğur Alfatlı Firması Kişisel Verilerin Korunması ve İşlenmesi Politikası,

Özel nitelikli kişisel veri : Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik veriler,

Üçüncü kişi : Politika kapsamında farklı bir şekilde tanımlanmamış olan, kişisel verileri politika kapsamında işlenen gerçek kişiler (Örn. Hasta, Refakatçi, aile bireyleri ve yakınlar),

Veri işleyen : Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel veri işleyen gerçek ve tüzel kişi,

Veri sorumlusu : Kişisel verilerin işlenme amaçlarını ve vasıtalarını belirleyen, verilerin sistematik bir şekilde tutulduğu yeri (veri kayıt sistemi) yöneten kişi,

Ziyaretçi : Firmamızın sahip olduğu fiziksel yerleşkesine herhangi bir amaçla girmiş olan veya internet sitelerimizi ziyaret eden gerçek kişiler.

FAALİYET SÜREÇLERİ

KİŞİSEL VERİLERİN İŞLENEMSİNİN TEMEL İLKELERİ

Firmamız bünyesinde gerçekleştirilecek olan tüm kişisel veri işleme faaliyetlerimizi;

Hukuka ve dürüstlük kurallarına uygun olma,

Doğru ve gerektiğinde güncel olma,

Belirli, açık ve meşru amaçlar için işleme,

İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma,

İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme,

Kişisel verilerin saklanması için gerekli idari ve teknik tedbirleri alma,

Niteliği gereği özel koruma altına alınmış bulunan özel nitelikli kişisel verilerin işlenmesinde öngörülen kurallar doğrultusunda gerekli hassasiyetin gösterilmesini sağlama,

Kişisel veri sahiplerini mevzuatın gerektirdiği hallerde aydınlatma ve gerekli görülen hallerde açık rızalarını alma,

Kişisel verilerin aktarılmasında gerekli idari ve teknik tedbirleri alma, bu çerçevede aktarım yapılan üçüncü kişilerin de ilgili mevzuat ve düzenleyici kurum kararlarına uygun şekilde veri işlemesini denetleme,

Kanunda belirtilen ilkeleri ve yürürlükte olan mevzuatta öngörülen tüm hüküm ve koşullar ile hukukun genel ilkelerine uygun olarak gerçekleştirmekteyiz.

KİŞİSEL VERİLERİN İŞLENMESİNİN HUKUKİ NEDENLERİ

Firmamız, Anayasa’nın 20. ve 6698 Sayılı KVK Kanunu’nun 5. maddeleri gereğince, kişisel verileri, işlenen kişisel verinin niteliğine ve veri işleme sürecine bağlı olarak değişmekle birlikte kişisel verilerin işlenmesine ilişkin KVK Kanunu’nun 5/2. Maddesinde belirtilen aşağıdaki şartlardan bir veya birkaçına dayalı olarak işlemektedir:

Kanunlarda açıkça öngörülmesi,

Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,

Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,

Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,

İlgili kişinin kendisi tarafından alenileştirilmiş olması,

Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,

İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması,

Kanunda belirtilenlerin haricinde bir veri işleme söz konusu ise bu kişisel veri işlemeyi, veri sorumlusu olarak gerekli ve ölçülü olarak değerlendirip mutlaka Açık Rıza alınması yoluna gidilmektedir.

İşlenen kişisel verinin özel nitelikli kişisel veri olduğu durumlarda ise söz konusu Kanunu’nun 6. maddesine istinaden, kişisel veriler, kanunlarda öngörülmüş herhangi bir düzenleme yoksa; kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenme koşullarına uygun olarak işlenemiyorsa gereklilik ve ölçülülük ilkelerine uymak kaydıyla ilgilinin Açık Rızası kapsamında işlenmektedir.

KİŞİSEL VERİLERİN KORUNMASINA İLİŞKİN HUSUSLAR

KVK Kanunu’nun 12. Maddesi,

Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,

Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,

Kişisel verilerin muhafazasını sağlamak

Amacıyla söz konusu kanun uygun güvenlik düzeyini oluşturmaya yönelik her türlü teknik ve idari tedbirin alınması konusunda veri sorumlusuna yükümlülükler yüklemiştir. Söz konusu kanunda bulunan bu maddede belirtilen yükümlülüğe uygun olarak Firmamız, işleme faaliyetlerine konu olan kişisel verilerin güvenliğini sağlayabilmek için gerekli hukuki, teknik ve idari tedbirleri almaktadır.

Firmamız, kişisel verilerin hukuka uygun işlenmesini sağlamak için, teknolojik imkânlar dahilinde teknik ve idari tedbirler almaktadır. Çalışanlar, kişisel verileri 6698 Sayılı KVK Kanununda açıkça belirtilen hükümlere aykırı olarak başkasına açıklayamayacağı ve işleme amacı dışında kullanamayacağı, kişisel verileri başkalarının erişimine açık şekilde bulundurmamaları gerektiği ve bu yükümlülüklerin görevden ayrılmalarından sonra da devam edeceği konusunda bilgilendirilmekte ve bu doğrultuda kendilerinden taahhütler alınmaktadır.

Firmamız tarafından, 6698 Sayılı KVK Kanunu ile “özel nitelikli” olarak tanımlanan ve hukuk hukuk kurallarına uygun olarak işlenmesine özen gösterilen “özel nitelikli” kişisel verilerin korunmasında hassasiyet göstermektedir. Bu kapsamda, Firmamız tarafından, kişisel verilerin korunması için alınan teknik ve idari tedbirler ayrıca özel nitelikli kişisel veriler bakımından da özenle uygulanmakta ve gerekli denetimler sağlanmaktadır.

Firmamız, kişisel verilerin tedbirsizlikle veya yetkisiz olarak açıklanmasını, erişimini, aktarılmasını veya başka şekillerdeki tüm hukuka aykırı erişimi önlemek için korunacak verinin niteliği, teknolojik imkânlar dahilinde göre teknik ve idari tedbirler almaktadır. Firmamız kişisel verilerin hukuka aykırı olarak işlenmesinin önlenmesi, verilere hukuka aykırı olarak erişilmesinin önlenmesi ve verilerin hukuka uygun muhafazasının sağlanması konusunda kişisel verileri aktarmış olduğu iş ortakları ve tedarikçiler gibi veri işleyen kurumlar nezdinde sözleşmeler yapmaktadır.

Firmamızde gerçekleşen kişisel veri işleme faaliyetlerimizin denetlenmesi ve ilgili mevzuat ile düzenleyici kurum kararlarına uyum sağlanabilmesi ve bu uyum devamlılığının sağlanabilmesi ile gerekli güncellemelerin yapılabilmesi adına Firmamız bünyesinde Kişisel Verilerin Korunması ile ilgili Ekip oluşturulmuştur.

Firmamız, kişisel verilerin güvenli ortamlarda saklanması ve hukuka aykırı amaçlarla yok edilmesini, kaybolmasını veya değiştirilmesini önlemek için teknolojik imkânlar dahilinde gerekli teknik ve idari tedbirleri alınmaktadır.

Firmamız, KVK Kanunu’nun 12. maddesine uygun olarak, kendi bünyesinde oluşturduğu Ekip vasıtası ile gerekli denetimleri yapmakta veya yaptırmaktadır. Bu denetim sonuçları Firmanın iç işleyişi kapsamında konu ile Veri sorumlusuna raporlanmakta, öneri ve talimatları çerçevesinde yeni tedbirler alınmasını sağlamakta veya alınan tedbirlerin iyileştirilmesi için gerekli faaliyetler yürütülmektedir.

Firmamız, KVK Kanunu’nun 7. Maddesi ile 28.10.2017 tarih ve 30224 sayılı Resmî Gazete ‘de yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik’e uygun olarak kişisel veri saklama ve imha politikasını ayrıca oluşturmuştur.

KİŞİSEL VERİ SAHİBİNİN AYDINLATILMASI VE BİLGİLENDİRİLMESİ

Firmamız, KVK Kanunu’nun 10. Maddesi ile Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’in 4. Maddesine istinaden ilgili kişilerin aydınlatılmasını sağlamaktadır. Yapılan aydınlatmada ilgili maddelerde öngörülen ve aşağıda belirtilen konular yer almaktadır:

Veri sorumlusu olan Firmamızın kimliği,

Kişisel verileri hangi amaçla işlediğimiz/işleyebileceğimiz,

Kişisel verileri kimlere ve hangi amaçla aktarabileceğimiz, ç) Kişisel veri toplama yöntemlerimiz ve hukuki sebeplerimiz,

İlgili kişinin ( Veri Sahibi ) Kanunun 11. maddesinde sayılan ve işbu politikanın 4.6. maddesinde belirtilen diğer hakları.

6698 Sayılı KVK Kanunu’nun 10. Maddesine uygun olarak, kişisel verilerin elde edilmesi esnasında, kişisel verilerin ilgili kişiden elde edilmemesi durumunda ise Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’in 6. Maddesine uygun olarak,

Kişisel verilerin elde edilmesinden itibaren kanunen belirlen süre içerisinde,

Kişisel verilerin ilgili kişi ile iletişim amacıyla kullanılacak olması durumunda, ilk iletişim kurulması esnasında,

Kişisel verilerin aktarılacak olması halinde, kişisel verilerin ilk kez aktarımının yapılacağı esnada,

yerine getirilmektedir.

KİŞİSEL VERİLERİN AKTARILMASI

Firmamız hukuka uygun bir şekilde kişisel veri işleme amaçları doğrultusunda gerekli güvenlik önlemlerini almak sureti ile ilgili Kişinin ( Veri Sahibi ) kişisel verilerini ve özel nitelikli kişisel verilerini üçüncü kişilere aktarabilmektedir. Bu doğrultuda KVK Kanunu’nun 8. maddesinde öngörülen düzenlemelere uygun hareket edilmektedir. Kişisel verilerin yurtdışına aktarılması durumunda, KVK Kurulu tarafından belirlenen yöntemlerden uygun olanı kullanılmaktadır. Bu bağlamda KVK Kanunu’nun 9. maddesinde öngörülen düzenlemelere uygun hareket edilmektedir.

İLGİLİ KİŞİ ( VERİ SAHİBİ ) HAKLARININ GÖZETİLMESİ; İLGİLİ KİŞİ ( VERİ SAHİBİ ) TALEPLERİNİN DEĞERLENDİRİLMESİ

KVK Kanunu’nun 11. Maddesinde veri sahibinin hakları düzenlenmiş olup, veri sorumlusuna başvurularak kullanılabilecek haklar şunlardır:

Kişisel veri işlenip işlenmediğini öğrenme,

Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,

Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme, ç) Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,

Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,

KVK Kanunu’nun 7. maddesinde öngörülen şartlar (KVK Kanunu ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren mücbir sebeplerin ortadan kalkması hâlinde) çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme,

(d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,

İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,

ğ) Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme.

İlgili kişiler ( Veri Sahibi ) tarafından Firmamıza iletilecek taleplerin değerlendirilebilmesi ve ilgli kişilere ( Veri Sahibi ) gereken bilgilendirmenin yapılması için KVK Kanunu’nun 13. maddesine uygun olarak gerekli Ekip oluşturulmuş olup gerekli hukuki, idari ve teknik düzenlemeler de bu Ekip tarafından yürütülmektedir.

Bu madde kapsamında ilgili kişi ( Veri Sahibi ) için öngörülen başvuru yolları aşağıdaki şekilde tanımlanmıştır.

İlgili kişi ( Veri Sahibi ) talep başvuru formunun imzalı bir kopyasını “ Uğur Alfatlı Şirketi, Mimar Sinan Mah. Şair Eşref Bulvarı No:82/1 İç kapı no:5 Konak İzmir ” adresine şahsen başvurarak ya da özel yetki içeren vekaletname ile yetkilendirilmiş vekil aracıyla,

İlgili kişi ( Veri Sahibi ) talep başvuru formunun imzalı bir kopyasını “ Uğur Alfatlı Şirketi, Mimar Sinan Mah. Şair Eşref Bulvarı No:82/1 İç kapı no:5 Konak İzmir” adresine iadeli taahhütlü mektup yoluyla,

İlgili kişi ( Veri Sahibi ) talep başvuru formunun imzalı bir kopyasını [email protected] e-posta adresine elektronik imzalı olarak,

İlgili kişi talep başvuru formunun imzalı bir kopyasını [email protected] e-posta adresine.

Burada öngörülen yollara başvurulabilmesi için başvuru sahibinin, kimliğini belirleyen belgelerini tercih ettiği yöntem vasıtası ile Firmamıza iletmesi gerektiği ilan edilmiş olup, ilgili kişilerin ( Veri Sahibi ) dikkatine sunulmuştur.

Bu kapsamda gelen bir talep için Firmamızın takip edeceği yöntem aşağıdaki belirtilmiştir.

Kanuni düzenlemelere uygun olarak, ilgili kişiler ( Veri Sahibi ) tarafından yukarıda öngörülen yöntemlerden biri ile Firmamıza iletilen talepler, talebin niteliğine göre değerlendirilerek kanunda belirtilen sürede ve en geç 30 (otuz) gün içerisinde talep sahibine, ücretsiz olarak söz konusu talep hakkında cevap verilecektir.

İşlemin ayrıca bir maliyet gerektirdiğinin anlaşılması halinde bu durumun anlaşılmasından itibaren derhal talep sahibine bu konuda bilgi verilecek ve KVK Kurumu tarafından yayınlanmış güncel tarifeler dikkate alınarak talep sahibinin bu maliyeti karşılaması gerektiği bilgisi iletilecektir

KİŞİSEL VERİLERİN İMHA EDİLMESİ

İşbu politikanın 6.2. maddesinde belirtilen hukuki sebepler çerçevesinde işlenen kişisel veri işleme şartlarının, kişisel veri özelinde tamamen ortadan kalkması halinde bu kişisel veriler resen veya ilgili kişinin ( Veri Sahibi ) talebi üzerine silinmek, yok edilmek veya anonim hâle getirilmek suretiyle imha edilmektedir.

Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesinde, işbu politikanın 6.1. maddesinde belirtilen temel ilkeler ile bu kişisel verilerin korunması için alınması gereken teknik ve idari tedbirlere, ilgili mevzuat hükümlerine, Kurul kararlarına ve “Kişisel Veri Saklama ve İmha Politikasına uygun hareket edilmektedir.

İşbu madde kapsamında imha edilen verilerin, herhangi bir zamanda üçüncü kişilere aktarılmış olması halinde, gerçekleştirilen işlemle ilgili olarak bu üçüncü kişilere de bilgi verilerek üçüncü kişilerin de gerekli işlemleri yapması temin edilir.

YÖNTEM

POLİTİKANIN VE MEVZUATIN UYGULANMASI

Firmamız tarafından gerçekleştirilen kişisel veri işleme faaliyetlerinde öncelikli olarak yürürlükte bulunan mevzuat hükümleri ile niteliğine uygun düştüğü ölçüde düzenleyici kurum kararları uygulanır. İşbu politikada öngörülen herhangi bir husus ile belirtilen hüküm ya da kararların uyumsuz olması halinde kişisel veri sahiplerinin en lehine olan kurallar dikkate alınır.

YÜRÜRLÜK TARİHİ

Firmamız tarafından düzenlenen işbu politika 15.03.2022 tarihinde yürürlüğe girmiştir. İşbu politikada yer alan bir kısım maddeler kısmen ya da tamamen değiştirilir ise ilgili değişiklik, değişikliğin yayınlandığı tarih itibariyle yürürlüğe girmiş olacaktır

KAPSAM

• İşbu Özet Nitelikli Kişisel Veri yönetimi Politikası “ Uğur Alfatlı Şirketi“ (“ Firma") bünyesinde bulunan bütün kişisel verileri işleyen tüm departmanları, çalışanları ve 3.parti firmları ve çalışanlarını kapsamaktadır.
• işbu Politika; Firma'nin özel nitelikli kişisel verilerin güvenligine yönelik kuralları tanımalayarak bu alandaki yönetimi sağlayacak tüm faliyetleri kapsayacak ve söz konusu sürecin her adımında uygulanması sağlanacaktır.
• İşbu Politika Özel Nitelikli Kişisel veri olmayan bütün veriler hakkında uygulanmayacaktır.
• Konu ile alakalı olarak Mevzuatın belirlenmesi veya ilgili mevzuat’ın güncellenmesi durumunda, Firma iş bu politikayı ilgili mevzuata uyumlu olacak şekilde güncellenmesini sağlayarak gerekliliklere uyum sağlanacaktır.
• İşbu Politikanın “Firma “ tarafından uygulanmasında hukuki bir engel olduguna kanaat getirildiği durumlarda “ Firma “ uygulayacağı adımları, gerek görmesi durumunda bir üst Yönetime danışarak, söz konusu bu Politikayı yeniden belirleyebilecektir.

TANIMLAR

Kanun	6698 Sayılı Kişisel Verilerin Korunması Kanunu
Yönetmelik	Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Haline Getirilmesi Hakkında Yonetmelik
ilgili Karar	"Özel Nitelikli Kişisel Verilerin işlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler" ile ilgili KVKK Kurulu' nun 31/01/2018 tarihli, 2018/10 sayılı kararıdır.
Kurul	Kişisel Verileri Koruma Kurulu
Kayıt ortamı	Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulundugu her turlu ortama verilen addır.
Kişisel veri	Kimligi belirli veya belirlenebilir gercek kişiye ilişkin her türlü bilgidir ve kişinin fiziksel, ekonomik, kültürel, sosyal veya psikolojik kimligini ifade eden somut bir icerik taşıması veya kimlik, vergi numarası gibi herhangi bir kayıtla ilişkilendirilmesi sonucunda kişinin belirlenmesini saglayan tüm hallerini kapsar.
Kişisel veri işleme envanteri	Veri sorumlularının iş süreçlerine bagli olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçlarını , veri kategorisini, aktarılan alıcı grubunu ve veri konusunu kişi grubuyla ilişkilendirerek oluşturan ve detaylandıran envanterdir.
Özel Nitelikli Kişisel Veri	işbu kanunda belirtilen Özel Nitelikli Kişisel Veriler, işlenmeleri halinde sahipleri hakkında ayrımcılık yapılmasina neden olma riski taşıyan verilerdir.
Sicil	Başkanlık tarafindan tutulan Veri Sorumlulan Sicilidir (VERBiS) .
Veri kayıt sistemi	Kişisel verilerin belirli kriterlere gore yapılandırılarak işlendigi kayıt sistemidir
Veri Sorumlusu	Kişisel verilerin işleme amaçlarını ve kurallarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu gerçek veya tüzel kişidir.
Alıcı grubu	Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişiler kategorisidir
ilgili kullanıcı	Verilerin teknik saklanması korunması ve yedeklenmesinden sorumlu olan kişi veya veri sorumlusundan yetki ve talimat doğrultusunda veri işleyen kişilerdir.

“ Firma “ bünyesinde oluşturulmuş olan Kişisel Verilerin Korunması Ve İslenmesi Politikası, Saklama İmha Politikası ve diğer politikalar içerisinde bulunan tanımlar işbu politika içinde geçerlidir.

AMAÇ 

Söz konusu Politika KVKK Kanunun 6. Maddesi uyarınca oluşturulan Yönetmelik içerisinde bulunan “ Özel Nitelikli Kişisel Verilerin İşlenme Şartları “ sorumlu olan gerçek ve tüzel kişiler hakkında uygulanacak ve “Firma “ ile “ Firma “‘nin sözleşmeye tabi olarak sorumlu kıldığı üçüncü kişiler tarafından da uyulması gereken esasları belirleyecektir.

KVKK kurulunun ( 07/02/2018 tarihinde Resmi Gazete de yayınlamıştır.) 31/01/2018 tarihli kararı uyarınca “ Firma “ , Sicile kayıt ( VERBİS ) yükümlülüğü olan bir Veri Sorumlusu olduğu için uhdesinde bulunan Kişisel Verileri, Kişisel Verileri İşleme Envanterine uygun bir şekilde işlemek, Saklamak, söz konusu verilerin güvenliğinin sağlanmasına yönelik kuralları tanımlamaktan ve üst yönetimin sağlayacağı tüm faaliyetleri kapsayan bir politika hazırlayarak bu politikaya uygun hareket etmekle yükümlüdür.

Kişisel verilerin saklanması ve imhasında aşağıdaki kurallar geçerli olacaktır.

• KVKK Kanunun 4. Maddesindeki genel ilkelere uyulacaktır.
• “ Firma “ Kişisel verileri Saklarken, Silerken, İmha ederken veya Anonimleştirirken KVKK Kanunun 12. Maddesinde yer alan güvenlik tedbirlerine ve ayrıca ilgili mevzuatta yer alan hükümlere, KVKK Kurulunun alacağı kararlara, Veri güveliği rehberinde belirtildiği gibi İdari ve Teknik tedbirlere ve Politika ’ya uygun hareket edeceğini Kabul, beyan ve taahhüt eder.
• “ Firma “ Bu Politikayı hazırlayarak tek başına Kişisel Verilerin Yönetmelik, İlgili Mevzuat ve Kanununa uygun olarak silindiği, imha edildiği veya Anonimleştirildiği anlamına gelmeyeceğini Kabul etmektedir.
• Kişisel verilerin tamamen veya kısmen otomatik yollarla alınan veya herhangi bir kayıt sisteminin parçası olarak otomatik olmayan yollarla işlenen kişisel verilerin silinmesi, imha edilmesi veya Anonimleştirilmesi sırasında “ Firma “ bu Politika ‘ya bağlı olarak hareket eder.
• 
  

KAYIT ORTAMLARI

Kişisel veri içeren ve aşağıda belirtilen ortamlar, bunlara ek olarak ortaya çıkabilecek diğer ortamlardaki kişisel verileri Söz konusu Politikanın kapsamına dahil etmeyi kabul eder.

• Şirket adına kullanılan Bilgisayar/sunucular/mobil cihazlar
• Şirket adına kullanılan Bilgisayar/sunucular/mobil cihazların Saklama alanları
• Manyetik Bant, Optik Disk, Mikro Fiş
• Ağ Cihazları
• USB Hard disk, USB Bellek
• Yazıcı, Parmak izi, Yüz Okuma gibi çevre birimleri
• Kağıt
• Ağ üzerinde veri saklanması yedeklenmesi amacı ile paylaşımlı / paylaşımsız Sürücüler

ÖZEL NİTELİKLİ KİŞİSEL VERİ

• Özel Nitelikli Kişisel Veri İşlenmesine İlişkin Genel İlkeler

• “ Firma “ kişisel verilerin güvenli bir şekilde saklanması, hukuka aykırı bir şekilde işlenmesi ve erişimin engellenmesi ile ilgili her türlü idari ve teknik tedbirleri almaktadır.
• “ Firma “ KVKK Kanunda da belirtildiği şekle göre veri işleyeceğini taahhüt eder.
• “ Firma “ KVKK Kanunun 6.Maddesi 3. Fıkrası gereği Özel Nitelikli Kişisel Verilerin işlenmesi şartlarındaki istisnaların olmadıkları durumlarda;

• “ Firma “ Özel Nitelikli Kişisel Verileri sakladığı durumlarda, söz konusu verileri mevzuata bağlı kalmak şartı ile “ Firma “ ‘ nin ( varsa Hukuk Birimi’nin ve ) KVKK Ekibinin bilgisi dahilinde Açık Rıza alınması şartı ile işler.
• KVKK Kanunda belirtilmiş olan istisnalar dışında Veri Sahibinin Açık Rıza ‘sının alınmadığı durumlarda söz konusu kişisel verileri saklaması yasaktır.

• “ Firma “ tarafından İşlenen Özel Nitelikli Kişisel Veriler

• Sağlık ve Cinsel hayata ilişkin kişisel veriler ancak Koruyucu Hekimlik, Sağlık Hizmetleri, Kamu Sağlığının korunması, Tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ve finansmanının planlanması ve yönetimi amacı ile sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafında ilgili Kişinin ( Veri Sahibi ) Açık Rıza alınmadan işlenebilir durumdadır.
• Sağlık ve Cinsel hayat dışındaki özel nitelikli kişisel veriler, kişilerin etnik kökeni, siyasi düşüncesi, ırkı, mezhebi, dini inancı, felsefi görüşü veya diğer inançları, dernek, vakıf yada sendika üyeliği, kılık kıyafeti, ceza mahkumiyeti ve güvenlikle ilgili verileri, genetik ve biyometrik verileri; kanunda öngörülen durumlarda ilgili kişinin ( Veri sahibi ) Açık Rıza aranmaksızın işlenebilir.
• Kişisel veriler “ Firma “ tarafından ilgili kişinin ( Veri Sahibi ) Açık Rızası alınmak sureti ile işlenmekte olup, Söz konusu bu Politikanın “ Verilerin İşlenmesine ilişkin Genel İlkeler “ kısmında belirtildiği şekilde işlem görmektedir. “ Firma “ ile İlgili Kişi ( Veri Sahibi ) arasındaki ilişkinin cinsine, türüne ve niteliğine bağlı olarak, kullanılan iletişim modellerine ve sözü geçen amaca göre farklılaşmakta ve çeşitlenmektedir. Bu veriler ayrıca Kişisel Veri Envanterinde belirtilmiştir.

• Özel Nitelikli Kişisel Verilerin İşlenme Amaçları

Özel Nitelikli Kişisel veriler Kişisel Veri İşleme Envanterinde belirtilen amaçlar kapsamında işlenmektedir ve bu amaçlar kapsamında ilgili yasaların ön gördüğü süreler içinde saklanabilmektedir.

• Özel Nitelikli Kişisel Verilerin Aktarılması

• “ Firma “ Söz konusu Politikanın “ Özel Nitelikli Kişisel Verilerin İşlenme Amaçları “  kısmındaki belirtilen amaçlar çerçevesinde KVKK ‘nın 8. Ve 9. Maddelerinde belirtildiği üzere yurtiçi ve yurtdışı veri aktarımı yapmaktadır.( Bulut hizmeti kullanılıyorsa ) Söz konusu kişisel veriler bu kapsam dahilinde kullanılan sunucu ve elektronik ortamlarda işlenerek saklanabilmektedir.
• “ Firma “ tarafından hazırlanan Kişisel Veri Envanterinde veri aktarımı gerçekleştirilen taraflar ayrıca belirtilmiştir. Yapılan bu veri aktarımların niteliği ve paylaşımda bulunulan taraflar, İlgili Kişi ( Veri sahibi ) ile “ Firma arasında bulunan ilişki cinsine, niteliğine ve türüne, yapılan aktarımın amacına ve ilgili yasal dayanaklara bağlı olarak değişmektedir. Ayrıca diğer şartlar KVKK Gizlilik Politikasında tanımlanmış olup burada belirtilen tedbir ve aksiyonlar geçerlidir.

Kişisel verileri koruma kurulunun 07/03/2018 tarihli Resmi Gazetede yayınlanan 31/1/2018 tarihli kararı uyarınca “ Firma “, Özel Nitelikli veri aktaracaksa;

• Veriler e-posta yolu ile aktarılması durumda şifreli olarak kurumsal e-posta adresi üzerinden veya KEP ( Kayıt Elektronik Posta ) yolu ile aktarılır,
• Taşınabilir USB Bellek, CD,DVD gibi medya ortamları yolu ile aktarılıyorsa kriptografik metotlar kullanarak aktarılır,
• Değişik Lokasyonda bulunan fiziksel sunucular arasında aktarma gerçekleştirilecekse, söz konusu sunucular arasında VPN veya SFTP tarzı yöntemlerle veri aktarılır,
• Veriler kağıt ortamı yolu ile aktarılıyorsa, söz konusu evrakların çalınması, kaybolması veya yetkisiz kişiler tarafından ele geçirilmesi gibi riskler göz önünde bulundurularak evraklar gizlilik dereceli belgeler formatına dönüştürülerek aktarılır,

• Veri İşleme Şartlarının Ortadan Kalkması

• “ Firma “ Özel Nitelikli Kişisel Veri İşlenme şartlarının güncel tutulmasında sorumludur ve bu sorumluluğu tüm veri işleyenleri ile paylaşır.
• “ Firma “ çalışanları, veri işleme şartlarının ortadan kalktığı durumlarda veri işlemeye devam edemezler.
• “ Firma “ aşağıda bulunan listeye ve Yönetmelik’te belirtilen durumlara göre Özel Nitelikli Kişisel Veri işlenme şartlarının ortadan kalktığını kabul eder;

• Kişisel verileri işlemenin hukuka ve dürüstlük ilkesine aykırı olması,
• Kişisel verilerin işlenmesini gerektirecek amacın ortadan kalkması,
• Kişisel veri işlemenin sadece Açık Rıza şartlarına istinaden gerçekleştiği durumlarda, İlgili kişinin Açık Rızasını geri çekmesi durumunda,

Bu kapsamda “ Firma “ tarafından Kişisel veri Saklama ve İmha Politikasında tanımlı olan tedbirler ve bu çerçevede alınacak olan aksiyonlar geçerli olacaktır.

• Özel Nitelikli Kişisel verilerin Güvenliği

Özel Nitelikli Kişisel verilerin işlenmesinde, KVKK Kurulunca belirlenen yeterli önlemlerin alınması esastır. Özel Nitelikli Kişisel verilerin güvenliği, Kişisel verileri koruma kurulunun 07/03/2018 tarihinde Resmi Gazetede yayınlanan 31/1/2018 tarihli kararı uyarınca aşağıdaki şekilde belirlenmiştir.(İDARİ TEDBİRLER)

• Söz konusu Veri Sorumlusu ile Çalışanlar arasında gizlilik sözleşmeleri yapılır,
• Verilere erişim yetkisine sahip kullanıcıların yetki kapsamları ve süreleri tanımlanmıştır,
• Özel Nitelikli Kişisel verilerin işlenme süreçlerinde çalışanlarına yönelik kanun, mevzuat ve yönetmelikler konusunda ,KVKK Kurulunun yayınlayacağı her türlü karar ve rehber ile ilgili her türlü konularda düzenli olarak eğitim ve bilgi verilir.
• Yetki Kontrolleri periyodik olarak gerçekleştirilir,
• Görev değişikliği veya işten ayrılma durumlarında bu alanda var olan yetkiler kontrol edilerek yetkiler derhal kapatılarak, veri sorumlusu tarafında kendilerine zimmet formu ile tahsis edilenler ilgili prosedür gereği geri alınır.

Özeli Nitelikli Kişisel verilerin muhafaza edildiği, işlendiği ve/veya erişimin sağlandığı ortamlar dijital ortamlar ( elektronik ) ise;

• Kişisel verilerin bulunduğu tüm ortamların güvenlikleri sağlanır ve güncellemeler konusunda gerekli takipler yapılır,

Özel Nitelikli Kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği fiziksel ortamlarda ise;

• Özel Nitelikli Kişisel verilerin bulunduğu fiziksel ortamlara yetkisiz giriş-çıkış engellenmiştir,
• Özel Nitelikli Kişisel verilerin bulunduğu ortamların niteliğine uygun yeterli güvenlik önlemleri ( Yangın, Su baskını, hırsızlık, elektrik kaçağı vb. Durumlara karşı alınan önlemler ) alınmıştır,

İş Bu Politika Veri sorumlusu “ Diş Hekimi  tarafından onaylandığı tarihten itibaren yürürlüğe girecek ve ilgili yerlerde yayınlanacaktır. Politikada yapılması gereken değişikliklerin yürürlüğe konulması konusunda gereken çalışmalar tarafından yapılacak ve yürürlüğe konulacaktır.

Mevzuat değişiklikleri, atıf yapılan bir teknik standarttaki değişme, Kişisel Verileri Koruma Kurulu'nun işlemleri ve/veya vereceği kararlar ile mahkeme kararlan doğrultusunda “Firma“ bu Politikayı gözden geçirme ve gerekli durumlarda Politikayı güncelleme, değiştirme veya ortadan kaldırıp yeni bir Politika oluşturma hakkını gizli ve saklı tutar.

“ Firma “, Politika üzerinde yaptığı tüm değişiklikleri güncellenen en son halini e-posta ,yazılı doküman ve/veya kurumsal intranet üzerinden çalışanları ile paylaşacak ve erişimlerine sunacaktır.

Politikanın Yürürlük Tarihi :