preloader

PROF. DR. ÖZLEM ESEN MUAYENEHANESİ
KİŞİSEL VERİLERİN SAKLAMA VE İMHA POLİTİKASI
1
I. GİRİŞ
1.1.Politikanın Amacı
Anayasa’nın “Özel Hayatın Gizliliği” başlıklı 20. maddesi ile 6698 sayılı Kişisel Verilerin
Korunması Hakkında Kanun (“Kanun”) ve yürürlükte bulunan yönetmelik ve tebliğ
hükümleri uyarınca Prof. Dr. Özlem Esen Muayenehanesi tarafından elde edilen kişisel
verilerin işlenmesi, veri sahiplerinin (çalışan, çalışan adayları, hastalar, hasta yakınları,
tedarikçiler, stajyerler, ziyaretçiler ve diğer ilgili üçüncü kişilerin) başta özel hayatın gizliliği
olmak üzere temel hak ve özgürlüklerinin korunması ve kişisel verileri işleyen veri
sorumlusunun hukuka uygun olarak veri işleme faaliyetini gerçekleştirmesi, elde edilen kişisel
verilerin korunması, saklanması ve gerektiğinde imha edilmesine dair esasların belirlenmesi
bu Politika’nın amacını oluşturmaktadır.
1.2.Politikanın Kapsamı
Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilginin kişisel veri olarak
Prof. Dr. Özlem Esen Muayenehanesi tarafından veri sorumlusu sıfatıyla tamamen veya
kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik
olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi,
değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir
hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi her türlü işlemin
veri işleme faaliyeti olarak kabul edildiğinden hareketle Prof. Dr. Özlem Esen Muayenehanesi
tarafından gerçekleştirilen veri işleme faaliyetinin usul ve esaslarının oluşturulması bu
Politika’nın kapsamını belirlemektedir.
1.3.Politikanın ve İlgili Mevzuatın Uygulanması
Kişisel verileriniz ve kişisel sağlık verileriniz işbu politika metninde açıklanan amaçlar
ve 3359 sayılı Sağlık Hizmetleri Temel Kanunu, 663 sayılı Sağlık Bakanlığı ve Bağlı
Kuruluşların Teşkilat ve Görevleri Hakkında Kanun Hükmünde Kararname, Özel
Hastaneler Yönetmeliği, Kişisel Sağlık Verilerinin İşlenmesi ve Mahremiyetinin
Korunması Yönetmeliği, ilgili düzenlemeler ve başta 6698 sayılı Kanun olmak üzere, Kurul
tarafından yayımlanan yönetmelik, tebliğ, karar ve rehberlerde gösterilen kurallara uygun
hazırlanmıştır Prof. Dr. Özlem Esen Muayenehanesi tarafından Politika’nın yayım tarihinden
sonra Kanun veya ilgili sair mevzuatta değişiklik olması ve Politika’nın söz konusu
değişiklikle uyumsuz hale gelmesi durumunda değiştirilen hüküm ve kurallar uygulama alanı
2
bulacaktır. Kurul tarafından yayımlanan bilumum tebliğ, karar ve rehberler Prof. Dr. Özlem
Esen Muayenehanesi tarafından takip edilmekte, Politika ile öngörülen kurallar güncel
tutulmaktadır.
1.4.Politikanın Yürürlüğü
Politika, Prof. Dr. Özlem Esen Muayenehanesine ait www.profdrozlemesen.com internet
sitesinde yayımlanmış olup, yayımı tarihinde yürürlüğe girmiştir.
II. KİŞİSEL VERİLERİN KORUNMASINA İLİŞKİN HUSUSLAR
2.1. Kişisel Verilerin Güvenliğinin Sağlanması
6698 sayılı Kanun’un 12. maddesine göre veri sorumlusu;
● Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
● Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
● Kişisel verilerin muhafazasını sağlamak
amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü idari ve teknik
tedbirleri almakla yükümlüdür.
Açıklanan nedenlerle Prof. Dr. Özlem Esen Muayenehanesi, kişisel verilerin hukuka aykırı
olarak işlenmesini, 3. kişilere aktarılmasını ve açıklanmasını, yetkisiz erişimlerin ve başkaca
yollar ile ortaya çıkan güvenlik eksikliklerini önlemek için güvenlik tedbirlerini
uygulamaktadır. Alınan idari ve teknik tedbirlere ilişkin açıklamalar VI. KİŞİSEL
VERİLERİN KORUNMASI İÇİN ALINAN İDARİ VE TEKNİK TEDBİRLER
kısmında yer almaktadır.
2.2. Özel Nitelikli Kişisel Verilerin Korunması
Özel nitelikli kişisel verilerden, ilgili kişilerin sağlık verileri, ilgilinin açık rızası aranmaksızın
ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım
hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanın planlanması ve yönetim
amaçlarıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar
tarafından işlenebilir. Ayrıca türü fark etmeksizin, tüm özel nitelikli kişisel veriler, kanun
gereği ancak KVKK tarafından belirlenen yeterli önlemlerin alınması halinde işlenebilir.
Muayenehane faaliyetlerimiz kapsamında bizimle paylaştığınız kişisel verileriniz; otomatik
ya da otomatik olmayan yöntemler ile Prof. Dr. Özlem Esen Muayenehanesi tarafından
sağlanmakta olan kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve
bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi
3
amaçlarıyla; internet sitesi, anket, sosyal sorumluluk gibi sosyal medya uygulamaları dahil
tüm mecralar ile sözlü, yazılı, görsel ya da elektronik ortamda, danışma hattı/çağrı merkezi,
internet sitesi, sözlü, yazılı ve benzeri kanallar aracılığıyla elde edilerek, kaydedilerek,
depolanarak, değiştirilerek, yeniden düzenlenerek toplanmaktadır. KVKK kapsamında veriler
üzerinde gerçekleştirilen her türlü işlem “kişisel verilerin işlenmesi” olarak kabul
edilmektedir.
Ayrıca, hizmet sunumu için bilgi, randevu, şikâyet veya sair amaçlar ile danışma hattı veya
internet sayfamızı kullandığınızda, muayenehanemizi veya internet sitemizi ziyaret
ettiğinizde ve bu sitede gezdiğinizde kişisel verileriniz işlenebilecektir.
Niteliği gereği hassasiyet arz eden ve 3. kişilerin eline geçmesi halinde veri sahibi kişilerin
mağduriyetine veya ayrımcılığa uğramasına sebep olabilecek veriler Kanun kapsamında
“Özel “Nitelikli Kişisel Veri” olarak kabul edilmiştir. Özel nitelikli kişisel veriler, kişinin ırk,
etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet,
dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik
tedbirleriyle ilgili verileri ile biyometrik ve genetik verilerinden oluşmaktadır. Veri sahibi
ilgili kişinin açık rızası olmaksızın özel nitelikli kişisel veriler işlenemez. Prof. Dr. Özlem
Esen Muayenehanesi tarafından özel nitelikli kişisel verilerin korunması için gerekli tüm
tedbirler alınmakta olup bu tür verilerin olabildiğince elde edilmemesi ve işlenmemesi esastır.
III. KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN HUSUSLAR
3.1. Kişisel Verilerin Mevzuatta Öngörülen İlkelere Uygun Olarak İşlenmesi
Kanun’un 4. maddesi uyarınca kişisel verileriniz işlenmesinde uygulanacak ilkeler şunlardır:
● Hukuka ve dürüstlük kuralına uygun olma,
● Doğru ve gerektiğinde güncel olma,
● Belirli, açık ve meşru amaçlar için işleme,
● İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma,
● İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar
muhafaza edilme.
3.2. Kişisel Verilerin İşlenme Şartları
Prof. Dr. Özlem Esen Muayenehanesi tarafından elde edilen kişisel veriler, Kanun’da
öngörülen istisnalar hariç olmak üzere, ilgili kişinin açık rızası olmaksızın işlenemez. Kişisel
verileriniz aşağıda gösterilen hallerde açık rıza olmaksızın işlenebilir:
4
● Kanunlarda açıkça öngörülmesi,
● Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına
hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden
bütünlüğünün korunması için zorunlu olması,
● Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla
sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
● Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
● İlgili kişinin kendisi tarafından alenileştirilmiş olması,
● Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
● İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun
meşru menfaatleri için veri işlenmesinin zorunlu olması.
3.3. Açık Rıza Alınması Yükümlülüğünün İstisnaları
a) Kanunlarda açıkça öngörülmesi
Veri işleme şartlarından birisi kanunlarda açıkça öngörülmüş olmasıdır. Kişisel verilerin
işlenebileceğine dair kanunlarda yer alan hükümler veri işleme şartı oluşturabilmektedir.
Böyle bir durumda ilgili kişinin açık rızasının alınması aranmamaktadır.
b) Fiili imkânsızlık
Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki
geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün
korunması için zorunlu olunan hallerde ilgili kişinin kişisel verileri açık rızası alınmaksızın
işlenebilmektedir.
c) Sözleşmenin kurulması veya ifasıyla doğrudan ilgili olması
Veri sahibi kişinin tarafı olduğu bir sözleşmenin kurulması veya sözleşmenin ifası sürecinde
veri işlemenin zorunlu bulunması halinde açık rıza alınmaksızın kişisel verinin işlenmesi
gündeme gelebilmektedir.
d) Prof. Dr. Özlem Esen Muayenehanesinin hukuki yükümlülüğünü yerine getirmesi
Veri sorumlusu sıfatıyla Prof. Dr. Özlem Esen Muayenehanesinin yerine getirmesi gereken
hukuki yükümlülüklerin ifası amacıyla açık rıza alınmaksızın kişisel veriler işlenebilmektedir.
e) İlgili kişi tarafından alenileştirilmiş olması
5
Veri sahibi ilgili kişi tarafından alenileştirilmiş bulunan kişisel veriler, başka bir deyişle
herhangi bir şekilde kamuya açıklanmış olan kişisel veriler açık rıza alınmaksızın
işlenebilmektedir. Bu durumda dahi alenileştirilmiş olan kişisel veri amacı dışında kullanıma
konu olamaz.
f) Bir hakkın tesisi, kullanılması ve korunması için zorunlu olması
Bir hakkın tesisi, kullanılması veya korunması için zorunlu olan hallerde ilgili kişinin kişisel
verilerinin açık rızası olmaksızın da işlenmesi mümkündür.
g) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla veri
sorumlusunun meşru menfaatleri için zorunlu olması
Kişisel verilerin işlenmesi veri sorumlusu açısından zorunlu bulunup da veri işleme faaliyeti
ilgili kişinin temel hak ve özgürlüklerine zarar vermeyecek ise açık rıza alınmaksızın kişisel
veriler işlenebilir.
Veri sorumlusunun meşru menfaati, gerçekleştirilecek olan işleme sonucunda elde edeceği
çıkara ve faydaya yöneliktir. Veri sorumlusunun elde edeceği fayda; meşru, ilgili kişinin temel
hak ve özgürlüğü ile yarışabilecek yeterli düzeyde etkin, belirli ve hâlihazırda mevcut olan bir
menfaatine ilişkin olmalıdır. Veri sorumlusunun gerçekleştirdiği güncel aktivitelerle ilişkili
ve ona yakın gelecekte fayda sağlayacak bir işlem olması gerekmektedir.
3.4. Özel Nitelikli Kişisel Verilerin İşlenmesi
Özel nitelikli kişisel verilerin işlenmesi Kanun’un 6. maddesine tabi olup ilgili kişinin açık
rızası olmaksızın işlenmesi yasaktır.
Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları,
kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti
ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel
veridir. Bu kapsamda yer alan veriler sınırlı sayıda olup yorum yoluyla genişletilemez.
Özelliği gereği özel nitelikli kişisel veriler, öğrenilmesi halinde ilgili kişinin ayrımcılığa ve
mağduriyete uğramasına neden olabilecek nitelikteki verilerdir. Bu nedenle diğer kişisel
verilere göre çok daha sıkı şekilde korunmaları gerekmektedir.
a) Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler
Sağlık ve cinsel hayata ilişkin kişisel veriler dışındaki özel nitelikli kişisel veriler kanunlarda
öngörülen hallerde ilgili kişinin açık rızası aranmaksızın işlenebilmektedir.
b) Sağlık ve cinsel hayata ilişkin özel nitelikli kişisel veriler
6
Sağlık ve cinsel hayata ilişkin özel nitelikli kişisel veriler ancak kamu sağlığının korunması,
koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri
ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında
bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenebilmektedir.
3.5. Kişisel Veri Sahibinin Aydınlatılması ve Bilgilendirilmesi
Kişisel verilerin elde edilmesi sırasında Prof. Dr. Özlem Esen Muayenehanesinin veri
sorumlusu sıfatıyla veya yetkilendirdiği kişilerce, veri sahiplerine bilgilendirme
yapılmaktadır. Yapılan bilgilendirmeye dair usul ve esaslar Prof. Dr. Özlem Esen
Muayenehanesi tarafından yayımlanan Kişisel Verilerin Korunması Hakkında Aydınlatma
Metinlerinde belirtilmiş olup bilgilendirme özetle aşağıdaki unsurları içermektedir:
● Veri sorumlusu ve varsa temsilcisinin kimliği,
● Kişisel verilerin hangi amaçla işleneceği,
● Kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
● Kişisel veri toplamanın yöntemi ve hukuki sebebi,
● Kanun’un 11. maddesinde gösterildiği üzere ilgili kişinin hakları.
a) Veri sorumlusu ve temsilcisinin kimliği
Kanun’un 10. maddesine göre veri sahiplerinden (çalışan, çalışan adayları, hastalar, hasta
yakınları, tedarikçiler, eczaneler, ziyaretçiler, stajyerler ve diğer ilgili üçüncü kişiler) elde
edilen kişisel veriler veri sorumlusu sıfatıyla Prof. Dr. Özlem Esen Muayenehanesi tarafından
işlenmekte olup ilgili birime ait iletişim kvk@profdrozlemesen.com e-posta adresi veya
www.profdrozlemesen.com adresinden sağlanabilir.
b) Kişisel verilerin işlenme amaçları
Kişisel verilerin işlenmesi belirli, açık ve meşru amaçlarla gerçekleştirilmekte olup veri
sahiplerinin bilgilendirilmesi esasına dayanmaktadır. Elde edilen verilerinizin hangi amaçlarla
işlendiği Politika’nın V. PROF. DR. ÖZLEM ESEN MUAYENEHANESİ
TARAFINDAN İŞLENEN KİŞİSEL VERİLERİN KATEGORİZASYONU VE
İŞLEME AMAÇLARI kısmında yer almaktadır.
c) Kişisel verilerin aktarıldığı kişiler ve aktarılma amaçları
Veri sorumlusunun, veri sahibini aydınlatma yükümlülüğü çerçevesinde kişisel verilerin
aktarıldığı kişiler ve aktarılma amaçları açıkça belirtilmelidir. Kişisel veriler, veri sahibinin
açık rızası olmaksızın 3.kişilere aktarılamamaktadır. Prof. Dr. Özlem Esen Muayenehanesi
7
tarafından kişisel verilerin aktarıldığı alıcı grupları ve aktarılma amaçları IV. KİŞİSEL
VERİLERİN AKTARILMASI kısmında gösterilmiştir.
d) Kişisel veri toplamanın yöntemi ve hukuki sebebi
Kanun’un 5 ve 6. maddesine uygun olarak, kişisel veri işleme şartlarından hangisine
dayanılarak işlendiğinin veri sorumlusu tarafından açıkça belirtilmesi gerekir. Veri toplama
yöntemi ve aracılığı, veri sorumlusunca belirlenmektedir. Kişisel verilerin işlenme şartları,
yani hukuka uygunluk halleri, Kanunda (m.5-6) sınırlı sayıda sayılmış olup, bu şartlar
genişletilememektedir.
Veri sorumlusu Prof. Dr. Özlem Esen Muayenehanesi tarafından kişisel veri işleme
faaliyetinin amacının öncelikli olarak açık rıza dışındaki işleme şartlarından birine dayanıp
dayanmadığı değerlendirmesi yapılmakta, eğer bu amaç Kanunda belirtilen açık rıza dışındaki
şartlardan en az birini karşılamıyorsa, bu durumda veri işleme faaliyetinin devamı için kişinin
açık rızasının alınması yoluna gidilmektedir.
IV. KİŞİSEL VERİLERİN AKTARILMASI
4.1. Yurt İçi Aktarım
Kişisel veriler, ilgili kişinin açık rızası olmaksızın aktarılamaz. Ancak:
● 5 inci maddenin ikinci fıkrasında,
● Yeterli önlemler alınmak kaydıyla, 6 ncı maddenin üçüncü fıkrasında
belirtilen şartlardan birinin bulunması halinde, ilgili kişinin açık rızası aranmaksızın
aktarılabilir.
Buna göre, kanunlarda açıkça öngörülmesi (1), fiili imkansızlık nedeniyle rızasını
açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin ya da
bir başkasının hayatı veya vücut bütünlüğünün korunması için zorunlu olması (2), bir
sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla sözleşmenin
taraflarına ait kişisel verilerin işlenmesinin gerekli olması (3), veri sorumlusunun hukuki
yükümlülüğünü yerine getirebilmesi için zorunlu olması (4), ilgili kişinin kendisi tarafından
alenileştirilmiş olması (5), bir hakkın tesisi, kullanılması veya korunması için veri işlemenin
zorunlu olması (6), ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri
sorumlusunun meşru menfaatleri için veri işlemenin zorunlu olması halinde ilgili kişiye ait
kişisel veriler açık rızası alınmaksızın 3.kişilere aktarılabilecektir.
8
Kişisel verileriniz ve kişisel sağlık verileriniz işbu politika metninde açıklanan amaçlar
ve 3359 sayılı Sağlık Hizmetleri Temel Kanunu, 663 sayılı Sağlık Bakanlığı ve Bağlı
Kuruluşların Teşkilat ve Görevleri Hakkında Kanun Hükmünde Kararname, 6698 sayılı
Kişisel Verilerin Korunması Kanunu, Özel Hastaneler Yönetmeliği, Kişisel Sağlık
Verilerinin İşlenmesi ve Mahremiyetinin Korunması Yönetmeliği ve ilgili düzenlemeler
çerçevesinde;
Sözleşmesel ve kanuni yükümlülüklerimizin yerine getirilebilmesi ile muayenehanemizin
idari, ticari ve ekonomik faaliyetlerin gerçekleştirilebilmesi amaçlarıyla Sağlık
Bakanlığı, Sosyal Güvenlik Kurumu, Emniyet Genel Müdürlüğü ve sair kolluk
kuvvetleri, CİMER, SABİM, Çalışma Bakanlığı, Nüfus Genel Müdürlüğü, mahkemeler
ve icra daireleri, Türkiye Eczacılar Birliği, düzenleyici ve denetleyici kurumlar, sigorta
şirketleri, hastalar tarafından yetkilendirilen temsilciler, iş birliği yapılan laboratuvarlar
ve sair merkezleri ile Elektronik Tıbbi Kayıtlar ve Elektronik Sağlık Kayıtları
sistemlerine aktarılmaktadır.
Prof. Dr. Özlem Esen Muayenehanesi tarafından işlenen kişisel verilerinizin aktarıldığı alıcı
gruplarına dair bilgiler bu Politika’nın EK 4 – Kişisel Verilerin Aktarıldığı Üçüncü Kişiler
ve Aktarılma Amaçları kısmında yer almaktadır.
4.2. Yurt Dışı Aktarım
Kişisel veriler, ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamaz. Şu kadar ki,
Kanun’un 5. maddenin ikinci fıkrası ile 6. maddenin üçüncü fıkrasında belirtilen şartlardan
birinin varlığı ve kişisel verinin aktarılacağı yabancı ülkede;
● Yeterli korumanın bulunması,
● Yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki
veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun
izninin bulunması,
kaydıyla ilgili kişinin açık rızası aranmaksızın yurt dışına aktarılabilir.
V. PROF. DR. ÖZLEM ESEN MUAYENEHANESİ TARAFINDAN İŞLENEN
KİŞİSEL VERİLERİN KATEGORİZASYONU VE İŞLENME AMAÇLARI
Veri sahibi ilgili kişiler Prof. Dr. Özlem Esen Muayenehanesi tarafından elde edilen veri
kategorizasyonu ve kişisel verilerin işlenmesinde gözetilen amaçlar her bir ilgili kişi
kategorisi için internet sitemizde yer alan aydınlatma metinlerinin ilgili kısımlarında
gösterilmiştir.
9
VI. KİŞİSEL VERİLERİN KORUNMASI İÇİN ALINAN İDARİ VE TEKNİK
TEDBİRLER
Kişisel verilerin güvenli bir şekilde saklanması ile hukuka aykırı olarak işlenmesi ve kişisel
verilere erişilmesinin önlenmesi için Prof. Dr. Özlem Esen Muayenehanesi tarafından idari ve
teknik tedbirler alınmaktadır.
Kişisel veri güvenliğinin sağlanması için Prof. Dr. Özlem Esen Muayenehanesi tarafından
işlenen tüm kişisel verilerin neler olduğunun, bu verilerin korunmasına ilişkin ortaya
çıkabilecek risklerin gerçekleşme olasılığının belirlenmesi yoluna gidilmekte; bu riskler
belirlenirken kişisel verilerin özel nitelikli kişisel veri olup olmadığı (1), mahiyeti gereği hangi
derecede gizlilik seviyesi gerektirdiği (2), güvenlik ihlali halinde ilgili kişi bakımından ortaya
çıkabilecek zararın niteliği ve niceliği (3) dikkate alınmaktadır.
Bu risklerin tanımlanması ve önceliğinin belirlenmesinden sonra; söz konusu risklerin
azaltılması ya da ortadan kaldırılmasına yönelik kontrol ve çözüm alternatifleri; maliyet,
uygulanabilirlik ve yararlılık ilkeleri doğrultusunda değerlendirilmeli, gerekli teknik ve idari
tedbirler planlanarak uygulamaya konulmaktadır.
6.1. İdari Tedbirler
Kişisel veri güvenliğini zedeleyecek saldırılar ile siber güvenliğe ilişkin, çalışanların sınırlı
bilgileri olsa dahi ilk müdahaleyi yapmaları, kişisel veri güvenliğinin sağlanması konusunda
büyük önem taşımaktadır. Bu nedenle veri sorumlusu sıfatıyla iç organizasyonumuzdaki
farkındalık ve bilgilendirme çalışmaları gerçekleştirilmektedir.
Çalışanların, kişisel verilerin hukuka aykırı olarak açıklanmaması ve paylaşılmaması gibi
konular hakkında gerekli eğitimin verilmesi, çalışanlara yönelik farkındalık çalışmaları
yapılması ve güvenlik risklerinin belirlenebildiği bir ortam oluşturulması; veri sorumlusu
nezdinde çalışan herkesin hangi konumda çalıştığına bakılmaksızın kişisel veri güvenliğine
ilişkin rol ve sorumlulukları, görev tanımlarında belirlenmesi ve çalışanların bu konudaki rol
ve sorumluluğunun farkında olması sağlanmaktadır.
Öte yandan çalışanların işe alınma süreçlerinin bir parçası olarak gizlilik anlaşmaları
imzalanmakta, çalışanların güvenlik politika ve prosedürlerine uymaması durumunda devreye
girecek bir disiplin süreci yürütülmektedir.
Kişisel veri güvenliğine ilişkin uygulanan politika ve prosedürlerde herhangi bir değişiklik
olması halinde değişikliğin çalışanlara bildirilmesi ve açıklanması amacıyla eğitimler
10
yapılarak veri güvenliği ve güvenliğe ilişkin tehditler hakkındaki bilgilendirmeler güncel
tutulmaktadır.
Kişisel veriler Kanun’un 4.maddesi (b) ve (d) bentleri uyarınca gerektiğinde doğru ve güncel
olmalı, ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar
muhafaza edilmelidir. Bu kapsamda işlenen veriler, veri işleme faaliyetinde gözetilmesi
gereken ilke ve kurallara uygun olarak işlenmekte, işlendikleri amaç için gerekli olan süre
kadar muhafaza edilmektedir Prof. Dr. Özlem Esen Muayenehanesi tarafından işlenen kişisel
verilerin saklama süreleri bu Politika’nın VIII. KİŞİSEL VERİLERİN SAKLANMASI VE
İMHASI kısmında gösterilmiştir.
Aşağıda yer alan tabloda veri güvenliğinin sağlanması adına alınmakta olan idari önlemlerin
özeti verilmiştir:
İdari Tedbirler
Kişisel Veri İşleme Envanterinin Hazırlanması
Kurumsal Politikalar (Erişim, Bilgi Güvenliği, Kullanım, Saklama ve İmha vb.)
Sözleşmeler (Veri Sorumlusu-Veri Sorumlusu, Veri Sorumlusu-Veri İşleyen Arasında)
Gizlilik Taahhütnameleri
Kurum İçi Periyodik ve/veya Rastgele Denetimler
Risk Analizleri
İş Sözleşmesi, Disiplin Yönetmeliği (Kanuna Uygun Hükümler İlave Edilmesi)
Kurumsal İletişim (Kriz Yönetimi, Kurul ve İlgili Kişiyi Bilgilendirme Süreçleri, İtibar
Yönetimi vb.)
Eğitim ve Farkındalık Faaliyetleri (Bilgi Güvenliği ve Kanun)
Veri Sorumluları Sicil Bilgi Sistemine (VERBİS) Bildirim
Kişisel Veri Güvenliği Politika ve Prosedürleri
Kişisel Veri Güvenliği Sorunlarının Hızlı Bir Şekilde Raporlanması
Kişisel Veri Güvenliğinin Takibi Yapılması
11
Çalışanlar İçin Veri Güvenliği Hükümleri İçeren Disiplin Düzenlemeleri Oluşturulması
Kişisel Veriler Mümkün Olduğunca Azaltılması
Erişim, Bilgi Güvenliği, Kullanım, Saklama ve İmha Konularında Kurumsal Politikalar
Hazırlanması ve Uygulanması
Görev Değişikliği Olan veya İşten Ayrılan Çalışanların Bu Alandaki Yetkileri Kaldırılması
İmzalanan Sözleşmelerde Veri Güvenliği Hükümlerine Yer Verilmesi
Mevcut Risk ve Tehditlerin Belirlenmesi
Kurum İçi Periyodik ve/veya Rastgele Denetimler Yapılması
Özel Nitelikli Kişisel Veri Güvenliğine Yönelik Protokol ve Prosedürler Belirlenmiş ve
Uygulanması
Veri İşleyen Hizmet Sağlayıcılarının, Veri Güvenliği Konusunda Farkındalığı Sağlanması
6.2. Teknik Tedbirler
Kişisel veri içeren bilgi teknoloji sistemlerimin internet üzerinden 3. kişilerin yetkisiz erişim
ve tehditlerine karşı korunması amacıyla alınan tedbirler arasından güvenlik duvarı ve ağ
geçitleri kullanılmaktadır. Kullanılan güvenlik duvarı ile bilgi ağına gerçekleşen ihlallerin
durdurulması sağlanmakta, ağ geçidi ile çalışanların kişisel veri güvenliği bakımından tehdit
teşkil eden internet siteleri veya online platformlara erişimlerinin kısıtlanması sağlanmaktadır.
Ayrıca yazılım ve donanımların düzgün biçimde çalışması ve sistemler için alınan güvenlik
tedbirlerinin yeterli olup olmadığına ilişkin düzenli kontroller sağlanmaktadır. Kişisel veri
içeren sistemlere erişim sınırlandırılmış olup bu kapsamda çalışanlara yapmakta oldukları iş
ve görevler ile yetki ve sorumlulukları için gerekli olduğu ölçüde erişim yetkisi tanınmakta,
kullanıcı adı ve şifre kullanmak suretiyle ilgili sistemlere erişim sağlanmaktadır. Söz konusu
şifreler oluşturulurken kişisel bilgilerle ilişkili ve kolay tahmin edilecek rakam ya da harf
dizilerinden mümkün olduğunca kaçınılmaktadır.
Veri sorumlusu organizasyonu içinde erişim yetki ve kontrol matrisleri oluşturulmakta, kötü
amaçlı yazılımlardan korunmak için ayrıca, bilgi sistem ağını düzenli olarak tarayan ve
tehlikeleri tespit eden antivirüs, antispam gibi ürünler kullanılmaktadır.
12
Veri güvenliğinin sağlanması adına kişisel veri içeren kağıt ortamındaki evraklar ile
sunucular, yedekleme cihazları, CD, DVD, USB ve benzer diğer saklama cihazlarının
yalnızca yetkili personelin erişimine açık tutulması ve bu konuda fiziksel güvenliğin
artırılması için gerekli önlemler alınmaktadır.
Aşağıda yer alan tabloda veri güvenliğinin sağlanması adına alınmakta olan idari önlemlerin
özeti verilmiştir:
Teknik Tedbirler
Yetki Matrisi
Yetki Kontrol
Erişim Logları
Kullanıcı Hesap Yönetimi
Ağ Güvenliği
Uygulama Güvenliği
Şifreleme
Saldırı Tespit ve Önleme Sistemleri
Veri Kaybı Önleme Yazılımları
Yedekleme
Güvenlik Duvarları
Güncel Anti-Virüs Sistemleri
Silme, Yok Etme veya Anonim Hale Getirme
Anahtar Yönetimi
VII. BİNA, TESİS GİRİŞLERİ İLE BİNA VE TESİS İÇERİSİNDE YAPILAN
KİŞİSEL VERİ İŞLEME FAALİYETİ
7.1. Bina, Tesis Girişlerinde ve İçerisinde Yürütülen Kamera ile İzleme Faaliyeti
13
Özel Güvenlik Hizmetlerine Dair Kanun kapsamında Prof. Dr. Özlem Esen Muayenehanesi
binası, çalışma alanları, ortak alanlar, otopark ve çevresinde güvenliğin sağlanması, Prof. Dr.
Özlem Esen Muayenehanesinin ve diğer kişilerin güvenliğini sağlamaya ilişkin menfaatlerin
korunması amacıyla kamera ile izleme faaliyeti gerçekleştirilmektedir. Kamera ile izleme
faaliyeti Kanun ile uyumlu olarak yürütülmekte olup gerek Kanun’da gerekse de işbu
Politika’da sayılan veri işleme şartları kapsamında gerçekleştirilmektedir.
7.2. Bina, Tesis Girişlerinde ve İçerisinde Yürütülen Misafir Giriş Çıkışlarının Takibi
Prof. Dr. Özlem Esen Muayenehanesi binasına giriş çıkışların kontrolü ve takibi, güvenliği
sağlanması amacıyla Prof. Dr. Özlem Esen Muayenehanesine ziyarette bulunan misafirlere ait
kimlik bilgileri kişisel veri işleme faaliyetine konu edilmektedir. İşbu faaliyet kapsamında
işlenen kişisel veriler yalnızca misafirlerin giriş ve çıkışlarının yapılması amacıyla sınırlı
olarak gerçekleştirilmekte olup ilgili kişisel veriler elektronik veya fiziksel ortamda veri kayıt
sistemine kaydedilmektedir.
VIII. KİŞİSEL VERİLERİN SAKLANMASI VE İMHASI
8.1. Kişisel Verilerin Saklanma Süreleri
Prof. Dr. Özlem Esen Muayenehanesi nezdinde tutulan kişisel verileriniz, veri işleme
faaliyetinin gerekli olduğu süre kadar muhafaza edilmekte; kişisel verilerin silinmesi, yok
edilmesi veya anonim hale getirme yükümlülüğünün ortaya çıkması halinde, bu
yükümlülüğün ortaya çıktığı tarihi takip eden ilk periyodik imha süresi içinde silinir, yok edilir
veya anonim hale getirilir.
Prof. Dr. Özlem Esen Muayenehanesi, kişisel verilerinizin silinmesi, yok edilmesi veya
anonim hale getirilmesinde Kanun’un 4.maddesinde gösterilen genel ilkeler ile 12.
maddesinde gösterilen teknik ve idari tedbirlere uygun hareket etmektedir.
Tarafımızca kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesine dair bütün
işlemler kayıt altına alınmakta olup kanuni yükümlülük gereğince en az 30 yıl süreyle kişisel
verilerin işlenmesi süresince muhafaza edilmektedir.
Verilerin saklanması ve imhasına ilişkin Prof. Dr. Özlem Esen Muayenehanesi tarafından
görevlendirilen kişisel veriler uzmanı personel, kişisel verilerin saklanması ve imhası
politikasının yürütülmesi ve gözetiminden sorumlu kişidir.
8.2. Kişisel Verileri Silme, Yok Etme ve Anonimleştirme Yükümlülüğü
14
Prof. Dr. Özlem Esen Muayenehanesi tarafından işlenmiş kişisel veriler, Kanun’un 7.maddesi
ile Kişisel Verileri Koruma Kurulu tarafından hazırlanan 28 Ekim 2017 tarihli ve 30224 sayılı
Resmi Gazete’de yayımlanan “Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale
Getirilmesi Hakkında Yönetmelik” hükümlerine uygun olarak işlenmesini gerektiren
sebeplerin ortadan kalkması halinde re’sen veya ilgili veri sahibinin talebi üzerine silinmekte,
yok edilmekte veya anonim hale getirilmektedir.
a) Kişisel verilerin silinmesi
Kişisel verilerin silinmesi, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve
tekrar kullanılamaz hale getirilmesi işlemidir.
Silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması için
gerekli her türlü teknik ve idari tedbirler alınmaktadır.
b) Kişisel verilerin yok edilmesi
Kişisel verilerin yok edilmesi, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez,
geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Veri sorumlusu, kişisel
verilerin yok edilmesiyle ilgili gerekli her türlü teknik ve idari tedbirleri almakla yükümlüdür.
c) Kişisel verilerin anonim hale getirilmesi
Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi
hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale
getirilmesidir.
Kişisel verileriniz anonim hale getirilmek üzere Prof. Dr. Özlem Esen Muayenehanesi
tarafından gerekli her türlü teknik ve idari tedbirler alınmakla birlikte kişisel veri saklama ve
imha politikamıza uygun yöntemler uygulanarak anonim hale getirilir.
8.3. Kişisel Verilerin Silinmesi, Yok Edilmesi ve Anonimleştirilmesi Teknikleri
Prof. Dr. Özlem Esen Muayenehanesi tarafından işlenmiş kişisel verilerin silinmesi, yok
edilmesi veya anonim hale getirilmesi teknikleri aşağıda gösterilmiş olup, işlenen kişisel
verinin niteliğine göre tekniklerden hangisinin uygulanacağı değişiklik gösterebilmektedir.
Bunun için öncelikle silme, yok etme veya anonim hale getirme işlemine konu teşkil eden
kişisel verilerin belirlenmesi (1), erişim yetki ve kontrol matrisi ya da benzer bir sistem
kullanarak her bir kişisel veri için ilgili kullanıcıların tespit edilmesi (2), ilgili kullanıcıların
erişim, geri getirme, tekrar kullanma gibi yetkilerinin ve yöntemlerinin tespit edilmesi (3),
15
ilgili kullanıcıların kişisel veriler kapsamındaki erişim, geri getirme, tekrar kullanma yetki ve
yöntemlerinin kapatılması ve ortadan kaldırılması (4) gerekmektedir.
Kişisel verilerin silinmesinde izlenen yol şu şekildedir:
● Bulut veya uygulama türü çözümlerde silme komutu verme,
● Kağıt ortamında bulunan verilerde karartma, kesilme veya görünemez hale getirme,
● Taşınabilir medyada bulunan verilerde uygun yazılımlar kullanarak silme işlemi.
Kişisel verilerin yok edilmesinde izlenen yol şu şekildedir:
● Optik medya ve manyetik medyanın eritilmesi, yakılması veya toz haline getirilmesi
suretiyle fiziksel yok etme,
● Kağıt veya elektronik ortamda yapılan diğer yok etme işlemleri.
IX. KİŞİSEL VERİ SAHİBİNİN HAKLARI VE BU HAKLARIN KULLANILMASI
9.1. Kişisel Veri Sahibinin Hakları
6698 sayılı Kanun gereğince, veri sahibi sıfatıyla:
● Kişisel verilerinizin işlenip işlenmediğini öğrenme,
● Kişisel verileriniz işlenmişse buna ilişkin bilgi talep etme,
● Kişisel verilerinizin işlenme amacını ve bunların amacına uygun kullanılıp
kullanılmadığını öğrenme,
● Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
● Kişisel verilerin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini
isteme,
● 7. maddede öngörülen şartlar çerçevesinde kişisel verilerinizin silinmesini veya yok
edilmesini isteme,
● Eksik veya yanlış işleme halinde bunların düzeltilmesi ile verilerin silinmesi veya yok
edilmesine ilişkin işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini
isteme,
● İşlenen verilerinizin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi
suretiyle aleyhinize bir sonucun ortaya çıkmasına itiraz etme,
● Kişisel verilerinizin kanuna aykırı olarak işlenmesi sebebiyle zarara uğranılması
halinde zararın giderilmesini talep etme
16
haklarınız bulunmaktadır.
9.2. Kişisel Veri Sahibinin Haklarını Kullanması
İlgili kişi veri sahibi tarafından Kanun’un uygulanması ile ilgili talepler,
kvk@profdrozlemesen.com irtibat e-posta adresine veya Harbiye Mahallesi Halaskargazi
Caddesi Lotus Nişantaşı Kat:2 Daire:1 Şişli/İstanbul adresine yazılı biçimde Prof. Dr. Özlem
Esen Muayenehanesine iletilmelidir. Başvuru taleplerinde Prof. Dr. Özlem Esen
Muayenehanesi tarafından internet sitesinde yayımlanan “Veri Sahibi Başvuru Formu”
kullanılması gerekmektedir.
9.3. Prof. Dr. Özlem Esen Muayenehanesinin Başvurulara Cevap Vermesi
Başvuru talebinin niteliğine göre en kısa sürede Prof. Dr. Özlem Esen Muayenehanesi
tarafından sonuçlandırılmaktadır. Bu süre talebin tarafımıza uygun şekilde tebliğinden
itibaren 30 günü aşamaz. Şu kadar ki, işlemin herhangi bir maliyeti gerektirmesi halinde
Kişisel Verileri Koruma Kurulu tarafından belirlenen tarifeye göre ücret talep edilebilir.
17
EK – 1: Tanımlar
Açık rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı,
Anonim hâle getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği
belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini,
Alıcı grubu: Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi
kategorisini,
Doğrudan tanımlayıcılar: Tek başlarına, ilişki içinde oldukları kişiyi doğrudan açığa çıkaran, ifşa
eden ve ayırt edilebilir kılan tanımlayıcıları,
Dolaylı tanımlayıcılar: Diğer tanımlayıcılar ile bir araya gelerek ilişki içinde oldukları kişiyi açığa
çıkaran, ifşa eden ve ayırt edilebilir kılan tanımlayıcıları,
İlgili kişi: Kişisel verisi işlenen gerçek kişiyi,
İlgili kullanıcı: Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu
olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri
sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen gerçek veya tüzel
kişileri,
İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesini,
Kanun: 24/3/2016 tarihli ve 6698 Sayılı Kişisel Verilerin Korunması Kanununu,
Karartma: Kişisel verilerin bütününün, kimliği belirli veya belirlenebilir bir gerçek kişiyle
ilişkilendirilemeyecek şekilde üstlerinin çizilmesi, boyanması ve buzlanması gibi işlemleri,
Kayıt ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin
parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü
ortamı,
Kişisel veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi,
Kişisel verilerin işlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi
bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi,
kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi,
açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da
kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi,
Kurul: Kişisel Verileri Koruma Kurulunu,
Kurum: Kişisel Verileri Koruma Kurumunu,
18
Veri işleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen
gerçek veya tüzel kişiyi,
Veri kayıt sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini,
Veri sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin
kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi
Kimlik Bilgileri: Adınız, soyadınız, T.C. kimlik numaranız, pasaport numaranız veya geçici T.C.
kimlik numaranız, doğum yeri ve tarihiniz, medeni haliniz, cinsiyetiniz, sigorta veya hasta protokol
numaranız ve sizi tanımlayabileceğimiz diğer kimlik verileriniz;
İletişim Bilgileri: Adresiniz, telefon numaranız, elektronik posta adresiniz ve sair iletişim
verileriniz, müşteri temsilcileri ya da hasta hizmetleri tarafından çağrı merkezi standartları gereği
tutulan sesli görüşme kayıtlarınız ile elektronik posta, mektup veya sair vasıtalar aracılığı ile
tarafımızla iletişime geçtiğinizde elde edilen kişisel verileriniz;
Muhasebe Bilgileri: Banka hesap numaranız, IBAN numaranız, kredi kartı bilginiz, faturalama
bilgileriniz gibi finansal verileriniz; sağlık hizmetlerinin finansmanı ve planlaması amacıyla özel
sağlık sigortasına ilişkin verileriniz ve Sosyal Güvenlik Kurumu verileriniz; kliniğimizi ziyaret
etmeniz halinde güvenlik ve denetim amaçlı tutulmakta olan kamera kayıtları görüntüleriniz,
Sağlık Bilgileri: Laboratuvar sonuçlarınız, test sonuçlarınız, muayene verileriniz, randevu
bilgileriniz, reçete bilgileriniz dahil ancak bunlarla sınırlı olmaksızın tıbbî teşhis, tedavi ve bakım
hizmetlerinin yürütülmesi sırasında veya bunların bir sonucu olarak elde edilen her türlü sağlık ve
cinsel hayata ilişkin kişisel verileriniz Prof. Dr. Özlem Esen Muayenehanesi iş başvurusunda
bulunmanız halinde bu hususta temin edilen özgeçmiş dâhil sair kişisel verileriniz ile Prof. Dr.
Özlem Esen Muayenehanesi çalışanı ya da ilişkili çalışan olmanız halinde hizmet akdiniz ile ilgili
her türlü kişisel verileriniz.
EK – 2: Kişisel Veri Sahipleri (İlgili Kişiler)
Veri Sahibi Kategorileri Açıklama
Çalışan
Prof. Dr. Özlem Esen Muayenehanesi bünyesinde çalışan kişileri
ifade etmektedir.
Çalışan Adayı
Prof. Dr. Özlem Esen Muayenehanesine özgeçmiş göndererek
veya başka yöntemlerle iş başvurusu yapan gerçek kişileri ifade
etmektedir.
19
Stajyer
Prof. Dr. Özlem Esen Muayenehanesi bünyesinde eğitimini aldığı
mesleği, meslek bilgisini artırmak için uygulamalı olarak kullanan
kişileri ifade etmektedir.
Hasta
Prof. Dr. Özlem Esen Muayenehanesinin sunduğu hizmetlerden
yararlanan gerçek kişileri ifade etmektedir.
Hasta Yakını
Prof. Dr. Özlem Esen Muayenehanesinin sunduğu hizmetleri
kullanan hastaların refakatçileri veya yakınlarını ifade etmektedir.
Tedarikçi
Kendisinden hizmet tedarik edilen gerçek kişiler ile tüzel kişi
çalışanları ifade etmektedir.
Ziyaretçi
Prof. Dr. Özlem Esen Muayenehanesini ziyaret eden 3. kişileri
ifade etmektedir.
İlgili Diğer 3. Kişiler Prof. Dr. Özlem Esen Muayenehanesine başvuran, iletişim kuran
sayılanlar dışında kalan kişileri ifade etmektedir.
EK – 3: Kişisel Verilerin Aktarıldığı Üçüncü Kişiler
Aktarılan Kişi/Birim Aktarılma Amacı
Sağlık Bakanlığı
Toplum sağlığı ve mevzuat gereğince aktarılması gereken
bilgilerin aktarılması.
Sosyal Güvenlik Kurumu
Çalışanların, Çalışan Adaylarının ve Hastaların Sosyal
Güvenlik kapsamında işlemlerinin gerçekleştirilmesi amacıyla
bilgilerin aktarılması.
Yetkili Kamu Kurum ve
Kuruluşları
İlgili kamu kurum ve kuruluşlarının Prof. Dr. Özlem Esen
Muayenehanesinden talep ettiği bilgi ve belgelerin amacıyla
sınırlı olarak paylaşılması/aktarılması.
Tedarikçiler
Tedarikçi kimselerden alınan hizmetlerin temini amacıyla
sınırlı olarak kişisel verilerin aktarılması.
20
EK- 4: Kişisel Verilerin Aktarılma Amaçları
Prof. Dr. Özlem Esen Muayenehanesi tarafından elde edilen her türlü kişisel veriniz sayılan
amaçlar doğrultusunda işlenebilecektir; kimliğinizi teyit etme, kamu sağlığının korunması,
koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile
finansmanının planlanması ve yönetimi, kliniğimizin işleyişi ile günlük operasyonların
planlanması ve yönetilmesi, ilaç temini, randevu almanız halinde randevu hakkında sizi
bilgilendirebilme, risk yönetimi ve kalite geliştirme faaliyetlerinin yerine getirilmesi, sağlık
hizmetlerinin geliştirmesi amacıyla değerlendirmelerde bulunma, araştırma yapılması, yasal ve
düzenleyici gereksinimlerin yerine getirilmesi, klinik ile anlaşmalı olan kurumlarla ilişkinizin teyit
edilmesi, sağlık hizmetlerimiz karşılığında faturalandırma yapılması, sağlık hizmetlerinin
finansmanı kapsamında özel sigorta şirketleri ile talep edilen bilgilerin paylaşılması, ilgili mevzuat
uyarınca Sağlık Bakanlığı ve ilgili kamu kurum ve kuruluşları ile talep edilen bilgilerin
paylaşılması, sağlık hizmetlerimize ilişkin her türlü soru ve şikâyetinize cevap verilmesi,
kliniğimizin sistem ve uygulamalarının veri güvenliği kapsamında tüm gerekli teknik ve idari
tedbirlerin alması, sunduğumuz sağlık hizmetlerinin geliştirilmesi ve iyileştirilmesi amacıyla
sağlık hizmetleri kullanımınızın analiz edilmesi ve sağlık verilerinizi saklanması, düzenleyici ve
denetleyici kurumlarla, resmi mercilerin talep ve denetimleri doğrultusunda gerekli bilgilerin temin
edilmesi, çalışanlarımızın eğitimi ve geliştirilmesi, suiistimal ve yetkisiz işlemlerin izlenmesi,
engellenmesi ve işlemlerin geri alınması, ilgili mevzuat gereği saklanması gereken sağlık
verilerinize ilişkin bilgilerin muhafaza edilmesi, anlaşmalı olduğumuz kurumlarla size sunulan
sağlık hizmetlerine ilişkin finansal mutabakat sağlanması, hasta memnuniyetinin ölçülmesi ve
bunlarla sınırlı olmaksızın, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, geliştirilmesi
sağlık hizmetleri ile finansmanının planlanması ve yönetimi, hasta memnuniyetinin arttırılması,
araştırma ve benzeri amaçlar.
21
EK-5: Süreler
Kişisel Veri Kategorisi Saklama Süresi Yasal Dayanak
Sağlık Verileri (Biyometrik ve genetik
ve muayene verileri, laboratuvar, test,
tahlil ve tetkik sonuçları, check-up ve
reçete bilgileri hasta kayıtları ve bunlarla
sınırlı olmamak üzere sağlık verileri ve
gerekli hallerde alınan hasta yakın
bilgileri)
Kişisel veri işleme
faaliyetinin sona
ermesinden itibaren
30 Yıl
Özel Hastaneler Yönetmeliği,
Türk Ceza Kanunu
Muhasebe ve Finansal İşlemlere
İlişkin tüm Kayıtlar
10 Yıl
6102 Sayılı Kanun, 213 Sayılı
Kanun
Çerezler ve Log Kayıtları
6 Ay – En Fazla 2
Yıl
5651 Sayılı İnternet Kanunu
Çevrim içi Ziyaretçilere İlişkin
Trafik Bilgileri
2 Yıl 5651 Sayılı Kanun
Tedarikçilere İlişkin Kişisel Veriler
Hukuki ilişki sona
erdikten sonra 10
Yıl
6102 Sayılı Kanun, 6098 Sayılı
Kanun ve 213 Sayılı Kanun
Kişisel Verileri Koruma Kurulu
İşlemleri 10 Yıl
KVKK Tarafından Yayınlanan
Kişisel Verileri Koruma Kurumu
Kişisel Veri Saklama ve İmha
Politikası
Sözleşmeler
Sözleşmenin Sona
Ermesinden
İtibaren 10 Yıl
6102 Sayılı Kanun ve 6098
Sayılı Kanun
22
İnsan Kaynakları Süreçleri
Faaliyetin Sona
Ermesinden
İtibaren 10 Yıl
4857 Sayılı İş Kanunu ve İlgili
Mevzuat
Ziyaretçi Kaydı
Etkinliğin Sona
ermesinden İtibaren
2 Yıl
KVKK Tarafından Yayınlanan
Kişisel Verileri Koruma Kurumu
Kişisel Veri Saklama Ve İmha
Politikası
İş Kanunu Kapsamında Saklanan
Özlük Dosyasına İlişkin Veriler
İş İlişkisinin sona
ermesinden itibaren
10 Yıl
4857 Sayılı İş Kanunu ve İlgili
Mevzuat ve 6098 Sayılı Türk
Borçlar Kanunu
İSG Mevzuatı Kapsamında
Toplanan Veriler (Sağlık raporları,
İSG Eğitimleri, İş Sağlığı ve Güvenliği
faaliyetlerine ilişkin kayıtlar vb.)
İş İlişkisinin sona
ermesinden itibaren
15 Yıl
6331 Sayılı İş Sağlığı ve
Güvenliği Kanunu ve İlgili
Mevzuat
SGK Mevzuatı kapsamında
tutulan veriler (İşe giriş bildirgeleri,
pirim/hizmet belgeleri vb.)
İş İlişkisinin sona
ermesinden itibaren
10 Yıl
5510 Sayılı Sosyal Sigortalar ve
Genel Sağlık Sigortası Kanunu
ve İlgili Mevzuat
İş Başvurusu Başvuru Kabul
Edilmediği Takdirde Aday
Başvurularına İlişkin Veriler (CV,
Özgeçmiş, Cover Letter, Başvuru
Formu vb.)
1 Yıl Sektörel teamüller geçerli.
Sözleşmeden Kaynaklı İlişkilerde
İşlenen Kişisel Veriler
Sözleşmenin Sona
Ermesine Müteakip
10 Yıl
6098 Sayılı Türk Borçlar
Kanunu
23
Vergisel Kayıtlara İlişkin Kişisel
Veriler
5 Yıl 213 Sayılı Vergi Usul Kanunu
CCTV Kameraları Uyarınca
Güvenlik Amaçlı Olarak İşlenen
Kişisel Veriler (Kamera Kayıtları)
90 Gün Sektörel Teamül
Muayanehane İnternet Ağının
Kullanılması, İnternet Giriş ve
Uzaktan Bağlantı esnasında
İşlenen Trafik Bilgileri (IP adres,
verilen hizmetin başlama ve bitiş
zamanı, yararlanılan hizmetin türü,
aktarılan veri miktarı ve varsa abone
kimlik bilgileri vb.)
2 Yıl
5651 Sayılı İnternet Ortamında
Yapılan Yayınların
Düzenlenmesi ve Bu Yayınlar
Yoluyla İşlenen Suçlarla
Mücadele Edilmesi Hakkında
Kanun
Ölmüş Bir Kişinin Kişisel Verileri En Az 20 Yıl
21.06.2018 Tarih ve 30808
Sayılı Resmi Gazetede yayınlan
Kişisel Sağlık verileri Hakkında
Yönetmelik