Yasal Gizlilik
KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASI
BİRİNCİ BÖLÜM
GİRİŞ, AMAÇ, KAPSAM, TANIMLAR
1. GİRİŞ
Bu politika ile kişisel verilerin işlenmesi ve korunması konusunda EPSİLON Ege Araştırma Geliştirme Özel Sağlık Hizm. Dan. Eğitim Org. Limited Şirketi tarafından benimsenecek ve uygulama noktasında dikkate alınacak ilkeler ortaya konulmaktadır.
2. AMAÇ
Kişisel verilerin işlenmesi ve korunması konusunda 6698 Sayılı Kanuna, Kişisel Verileri Koruma Kurulu kararlarına ve ikincil mevzuata uyum sağlanması için muayenehane kapsamında faaliyetlerin uyumlu şekilde yürütülmesi, kişisel verileri işlenen kişilerin en şeffaf ve doğru şekilde bilgilendirilmesi ve ilgili kanunlara göre kişisel verilerin korunması amaçlanmaktadır.
3. KAPSAM
İşbu politika, şirketin işlemekte olduğu kişisel verilere yönelik tüm faaliyetleri kapsar ve söz konusu faaliyetlere uygulanır. Çalışan, hasta ve sair ile ilgili kişilere ait kişisel verilerin otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen tüm kişisel verilere ilişkindir.
4. TANIMLAR
Açık rıza : Belirli bir konu hakkında yapılan bilgilendirmeden sonra özgür irade ile açıklanan olumlu onay beyanı.
Kişisel veri : Bulunduğu ortam gözetilmeden, gerçek kişilerle ilgili, onları belirleyen ya da belirlenebilir kılan her türlü veri ve bilgidir.
Birincil kişisel veriler: Normal şartlarda değişken olmayan (kan grubu, dna, parmak izi, göz rengi, doğum tarihi) kişisel verilerdir.
İkincil kişisel veriler : Değişken kişisel veriler (yaş, kredi kartı, spor klubü üyeliği gibi) dir.
Özel Nitelikli Kişisel Veri: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.
Kişisel verilerin işlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi.
İlgili kişi : Kişisel verisi işlenen gerçek kişi.
Kurul : Kişisel Verileri Koruma Kurulu.
Kurum : Kişisel Verileri Koruma Kurumu.
Veri işleyen : Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel
verileri işleyen gerçek veya tüzel kişi.
Veri kayıt sistemi : Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi.
Veri sorumlusu : Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi.
Anonim hâle getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesi.
Silme : Kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilmez ve tekrar kullanılamaz hale getirme işlemidir.
Yok Etme : Kişisel veriler hiçkimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirme işlemidir.
İKİNCİ BÖLÜM:
KİŞİSEL VERİLERİN İŞLENMESİ, AKTARILMASI
5. GENEL İLKELER:
Şirketimizde kişisel veriler ancak 6698 sayılı kanunda ve diğer kanunlarda öngörülen usul ve esaslara göre işlenir. Kişisel verilerin işlenmesinde aşağıdaki ilkelere uyulur.
5.1. Kişisel veriler, şirket tarafından hukuka ve dürüstlük kurallarına uygun ve ölçülülük esasına uygun olarak işlenir.
5.2. Şirket, kişisel verilerin eksiksiz, doğru ve güncel olması için her türlü gerekli önlemi alır.
5.3. Kişisel veriler, işlenmesinden önce Şirket tarafından kişisel verilerin hangi amaçlarla işleneceği belirlenir.
5.4. Gerekli aydınlatma yapılır ve gerekli hallerde açık rızaları alınır.
5.5. Şirket, kişisel verileri yalnızca Kişisel Verilerin Korunması Kanunu kapsamında (m. 5.2. ve 6.3) veya ilgili kişiden alınan açık rıza kapsamındaki amaç doğrultusunda (KVKK m. 5,1 ve 2) ölçülülük esasına uygun işler.
5.6. Şirket, kişisel verileri amaca uygun olarak gerektiği kadar muhafaza eder. Daha uzun süre muhafaza etmek istemesi halinde ise, yine Kişisel Verilerin Korunması Kanununda belirtilen yükümlülüklere uygun davranır.
6. KİŞİSEL VERİLERİN İŞLENME ŞARTLARI
Kişisel veriler, şirket tarafından ancak aşağıda belirtilen usul ve esaslar kapsamında işlenebilir.
6.1. Kişisel veriler, ilgili kişiye aydınlatma yükümlülüğü yerine getirildikten sonra ilgili kişinin açık rızası alınarak işlenebilir. Açık rıza, Kişisel Verilerin Korunması Kanununda belirtilen hususlara uygun olarak alınır.
6.2. Şirket aşağıdaki şartların varlığı halinde, (md. 5,2 ve 6,3) ilgili kişinin açık rızası aranmaksızn kişisel veriyi işleyebilir.
a. Kanunlarda açıkça öngörülmesi.
b. Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
c. Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
d. Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
e. İlgili kişinin kendisi tarafından alenileştirilmiş olması.
f. Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
g. İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.
7. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENME ŞARTLARI
Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır.
Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması amacıyla açık rıza olmaksızın işlenebilir. Dolayısıyla Kişisel Verilerin Korunması Kanununda aksi öngörülünceye kadar bu veriler, açık rıza kapsamında veya sır saklama yükümlülüğü altında olan şirket tarafından işlenebilir.
Özel nitelikli kişisel veriler işlenirken kurul tarafından belirlenen önlemler alınır.
Özel nitelikli kişisel verilerin işlenmesini gerektiren her durumda ilgili çalışan tarafından veri sorumlusu bilgilendirilir.
8. KİŞİSEL VERİLERİN SAKLANMASI VE İMHASI
Kişisel Verileri Koruma Kanunu ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler re’sen veya ilgili kişinin talebi üzerine şirket tarafından silinir, yok edilir veya anonim hâle getirilir.
Kişisel verilerin imhası, 6698 Sayılı Kanun, “Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hâle Getirilmesi Hakkında Yönetmelik” ve bu yönetmelik kapsamında hazırlanan “Etkin Tıbbi Cihazlar Kişisel Veri Saklama ve İmha Politikası”na uygun olarak yerine getirilir.
Kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesine ilişkin diğer kanunlarda yer alan hükümler saklıdır.
9. KİŞİSEL VERİLERİN ÜÇÜNCÜ KİŞİLERE VERİ AKTARIMI
Şirket, kişisel verileri, KişiselVerilerin Korunması Kanununun 5nci maddenin 2nci fıkrasında ve yeterli önlemler alınmak kaydıyla 6ncı maddenin 3üncü fıkrasında belirlenen istisnai hallerde açık rıza aranmaksızın; bu haller dışında ise açık rıza alınmak şartıyla aktarım yapabilir.
Şirket, üçüncü bir gerçek ya da tüzel kişiye KişiselVerilerin Korunması Kanunundaki düzenlemelere uygun şekilde kişisel veri aktardığında; kişisel veri aktardığı üçüncü kişilerin de bu politikaya uymasını sağlar.
Üçüncü kişilerle akdedilen sözleşmelere gerekli koruyucu düzenlemeler eklenir.
Bu aktarımın KişiselVerilerin Korunması Kanununa uygun olmasını sağlamaktan Şirket ve yanında sigortalı çalışanları müteselsilen sorumludur.
10. YURTDIŞINDA BULUNAN ÜÇÜNCÜ KİŞİLERE KİŞİSEL VERİ AKTARIMI
Kişisel veriler, ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamaz.
10.1. Kişisel veriler, Kişisel Verilerin Korunması Kanunu’nun 5 inci maddenin ikinci fıkrası ile 6 ncı maddenin üçüncü fıkrasında belirtilen şartlardan birinin varlığı ve kişisel verinin aktarılacağı yabancı ülkede;
a) Yeterli korumanın bulunması,
b) Yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması,
kaydıyla ilgili kişinin açık rızası aranmaksızın yurt dışına aktarılabilir.
10.2. Yeterli korumanın bulunduğu ülkeler Kurulca belirlenerek ilan edilir.
10.3. Kurul yabancı ülkede yeterli koruma bulunup bulunmadığına ve 14.2- (b) bendi uyarınca izin verilip verilmeyeceğine;
a) Türkiye’nin taraf olduğu uluslararası sözleşmeleri,
b) Kişisel veri talep eden ülke ile Türkiye arasında veri aktarımına ilişkin karşılıklılık durumunu,
c) Her somut kişisel veri aktarımına ilişkin olarak, kişisel verinin niteliği ile işlenme amaç ve süresini,
ç) Kişisel verinin aktarılacağı ülkenin konuyla ilgili mevzuatı ve uygulamasını,
d) Kişisel verinin aktarılacağı ülkede bulunan veri sorumlusu tarafından taahhüt edilen önlemleri,
değerlendirmek ve ihtiyaç duyması hâlinde, ilgili kurum ve kuruluşların görüşünü de almak suretiyle karar verir.
10.4. Kişisel veriler, uluslararası sözleşme hükümleri saklı kalmak üzere, Türkiye’nin veya ilgili kişinin menfaatinin ciddi bir şekilde zarar göreceği durumlarda, ancak ilgili kamu kurum veya kuruluşunun görüşü alınarak Kurulun izniyle yurt dışına aktarılabilir.
10.5. Kişisel verilerin yurt dışına aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklıdır.
ÜÇÜNCÜ BÖLÜM
HAKLAR VE YÜKÜMLÜLÜKLER
11. ŞİRKETİN AYDINLATMA YÜKÜMLÜLÜĞÜ
Şirket, KişiselVerilerin Korunması Kanunu’nun 10. Maddesine uygun olarak kişisel verilerin işlenmesinden önce ilgili kişiyi aydınlatır. Aydınlatma yükümlülüğü kapsamında ilgili kişiye yapılacak olan bildirimler şu unsurları içerir:
11.1. Veri sorumlusunun ve varsa temsilcisinin kimliği.
11.2. Kişisel verilerin hangi amaçla işleneceği.
11.3. İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılacağı.
11.4. Kişisel veri toplamanın yöntemi ve hukuki sebebi.
11.5. İlgili kişinin KVKK 11. md. sayılan diğer hakları.
11.6. Şirket, T.C. Anayasanın 20. ve Kişisel Verilerin Korunması Kanununun 11. Maddesi gereği bilgi talep etmesi halinde gerekli bilgilendirmeyi yapmak,
12. VERİ SAHİBİNİN HAKLARININ GÖZETİLMESİ VE TALEPLERİNİN DEĞERLENDİRİLMESİ (KVKK m. 11 ve 13)
Şirket tarafından kişisel verisi işlenen ilgili kişi; muayenehanemize başvurarak kendisiyle ilgili;
12.1. Şirket tarafından kişisel verilerin işlenip işlenmediğini öğrenme.
12.2. İşlenmişse buna ilişkin bilgi talep etme.
12.3. İşlenme amacını ve bunların amaca uygun kullanılıp kullanılmadığını öğrenme.
12.4. Yurt içinde ya da yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme.
12.5. Kişisel verinin eksik ya da yanlış işlenmiş olması halinde bunların düzeltilmesini talep etme.
12.6. Kişisel verilerin işlenme sebepleri ortadan kalktığında Şirket tarafından kişisel verilerin silinmesini, yok edilmesini veya anonim hale getirilmesini isteme.
12.7. KVKK md. 11 (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
12.8. İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
12.9. Kişisel verilerin kanuna aykırı olarak işlenmesi nedeni ile ilgili kişinin zarara uğraması halinde zararın giderilmesini talep etme haklarına sahiptir.
Şirket, kişisel verilerini elinde bulundurduğu ilgili kişinin, yukarıda belirtilen kendisiyle ilgili taleplerine Kişisel Verilerin Korunması Kanununda belirtili hükümlerine uygun şekilde cevap verir.
13. KİŞİSEL VERİ SAHİBİNİN HAKLARINI KULLANMASI
13.1. İlgili kişi, bu Kanunun uygulanmasıyla ilgili taleplerini yazılı olarak veya Kurulun belirleyeceği diğer yöntemlerle veri sorumlusuna iletir.
13.2. Veri sorumlusu başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandırır. Ancak, işlemin ayrıca bir maliyeti gerektirmesi hâlinde, Kurulca belirlenen tarifedeki ücret alınabilir.
13.3. Veri sorumlusu talebi kabul eder veya gerekçesini açıklayarak reddeder ve cevabını ilgili kişiye yazılı olarak veya elektronik ortamda bildirir. Başvuruda yer alan talebin kabul edilmesi hâlinde veri sorumlusunca gereği yerine getirilir. Başvurunun veri sorumlusunun hatasından kaynaklanması hâlinde alman ücret ilgiliye iade edilir.
13.4. Başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hâllerinde; ilgili kişi, veri sorumlusunun cevabını öğrendiği tarihten itibaren otuz ve her hâlde başvuru tarihinden itibaren altmış gün içinde Kurula şikâyette bulunabilir.
13.5. Başvuru yolu tüketilmeden şikâyet yoluna başvurulamaz.
13.6. Kişilik hakları ihlal edilenlerin, genel hükümlere göre tazminat hakkı saklıdır.
14. VERİ GÜVENLİĞİNE İLİŞKİN YÜKÜMLÜLÜKLER:
14.1. Şirketimizde;
14.2.
a. Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
b Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
c. Kişisel verilerin muhafazasını sağlamak,
amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirleri alır.
14.3. Şirket, kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi hâlinde, KVKK md.12 birinci fıkrasında belirtilen tedbirlerin alınması hususunda bu kişilerle birlikte müştereken sorumludur.
14.4. Şirket, bünyesinde, bu Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapar.
14.5. Gerek veri sorumlusu olarak Şirketimizde gerekse veri aktarımı yaptığımız üçüncü kişiler veri sorumlusu olarak ve veri işleyen kişiler, öğrendikleri kişisel verileri 6698 sayılı kanun hükümlerine aykırı olarak başkasına açıklayamaz ve işleme amacı dışında kullanamazlar. Bu yükümlülük görevden ayrılmalarından sonra da devam eder.
14.6. İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.
15. KİŞİSEL VERİ SAHİBİNİN HAKLARINI İLERİ SÜREMEYECEĞİ HALLER
Kişisel Verilerin Korunması Kanununun hükümleri aşağıdaki hâllerde uygulanmaz:
a) Kişisel verilerin, üçüncü kişilere verilmemek ve veri güvenliğine ilişkin yükümlülüklere uyulmak kaydıyla gerçek kişiler tarafından tamamen kendisiyle veya aynı konutta yaşayan aile fertleriyle ilgili faaliyetler kapsamında işlenmesi.
b) Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi.
c) Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi,
ç) Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi.
d) Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi.
(2) Kişisel Verilerin Korunması Kanununun amacına ve temel ilkelerine uygun ve orantılı olmak kaydıyla veri sorumlusunun aydınlatma yükümlülüğünü düzenleyen 10 uncu, zararın giderilmesini talep etme hakkı hariç, ilgili kişinin haklarını düzenleyen 11 inci ve Veri Sorumluları Siciline kayıt yükümlülüğünü düzenleyen 16 ncı maddeleri aşağıdaki hâllerde uygulanmaz:
a) Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması.
b) İlgili kişinin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi.
c) Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması.
ç) Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması.
16. VERİ SORUMLUSUNA BAŞVURU
Şirket, 6698 sayılı kanun ve bu kanunun uygulanmasına yönelik hazırlığı politika ve prosedürlerin yürürlüğünü sağlamak için yönetim yapısı kurmuştur.
Veri sorumlusuna başvuruda bulunmak için “veri sahibi başvuru formu” hazırlanmıştır
Politikaları yönetmek üzere, “Kişisel Veri ve Kriz Komitesi” kurulmuştur. Komitenin görevleri veri sorumlusu tarafından belirlenir, komite işleyiş talimatında anlatılır.
DÖRDÜNCÜ BÖLÜM
DİĞER HÜKÜMLER
17. ŞİRKET İÇERİSİNDE YAPILAN KİŞİSEL VERİ İŞLEME FAALİYETLERİ İLE İNTERNET SİTESİ ÜZERİNDE YAPILAN VERİ İŞLEME FAALİYETLERİ
a. İnternet Sitesi Ziyaretçileri
Şirkete ait internet sitesini ziyaret eden kişilerin site içerisindeki internet hareketleri, kendilerine özelleştirilmiş içerikler gösterilebilmesi ve çevrimiçi reklamcılık faaliyetlerinde bulunulabilmesi için (teknik vasıtalar ile örneğin cookie) kaydedilmektedir. Şirketimize ait bu faaliyetleri ile ilgili detaylı açıklamalar internet sitemizde yer almaktadır.
18. POLİTİKADA YAPILACAK DEĞİŞİKLİKLER
Veri sorumlusu tarafından işbu politika gerekli görüldüğü hallerde değiştirilebilir.
19. POLİTİKANIN YÜRÜRLÜK TARİHİ
İşbu politikanın işbu versiyonu 21.06.2021 tarihinde veri sorumlusu Şirket tarafından onaylanarak yürürlüğe girmiştir.
EPSİLON EGE ARAŞ. GELİŞ.
ÖZEL SAĞ. HİZ. DAN. EĞ. ORG.
LTD. ŞTİ.