Veri Saklama ve İmha Politikası

Veri Saklama ve İmha Politikası

  1. KAPSAM
İşbu Kişisel Veri Saklama ve İmha Politikası (“Politika”); EV DİŞ POLİKLİNİĞİ SAĞLIK HİZMETLERİ LİMİTED ŞİRKETİ (“EV DİŞ” veya “Şirket”)’nin (“Şirket”) kişisel veri işlediği süreçlere dâhil olan tüm Şirket müdürlük, birim ve çalışanları ile üçüncü tarafları kapsamaktadır. İşbu Politika; Şirket’in Kişisel Veriler üzerinde uygulayacağı tüm saklama ve imha faaliyetlerini kapsamaktadır. İşbu Politika sadece Kişisel Veriler’in imha ve saklama işlemleri için uygulanacaktır. Kanun, Yönetmelik veya sair mevzuatın kısmen veya tamamen değiştirilmesi, tadil edilmesi, güncellenmesi veya yürürlükten kaldırılması durumunda Şirket, Politika’yı yeni Kanun, Yönetmelik veya mevzuata uyumlu olacak şekilde güncelleyerek değiştirecektir.
  1. TANIMLAR
İşbu Politika’nın uygulanmasında kullanılan kavramlar aşağıda yer verilen anlamları ifade eder; 

Alıcı Grubu
Veri Sorumlusu tarafından Kişisel Veriler’in aktarıldığı gerçek veya tüzel kişilerin oluşturduğu gruptur.

İlgili Kullanıcı
Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere Veri Sorumlusu organizasyonu içerisinde veya Veri Sorumlusu’ndan aldığı yetki ve talimat doğrultusunda Kişisel Veriler’i işleyen kişilerdir.

İmha
Kişisel Veriler’in silinmesi, yok edilmesi veya anonim hale getirilmesidir.

Kanun
6698 Sayılı Kişisel Verilerin Korunması Kanunu’dur

Kayıt ortamı
Tamamen veya kısmen otomatik olan ya da herhangi bir Veri Kayıt Sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen Kişisel Veriler’in bulunduğu her türlü ortamdır.

Kişisel Veri İşleme Envanteri
Şirketin iş süreçlerine bağlı olarak gerçekleştirmekte oldukları Kişisel Veriler’i işleme faaliyetlerini; Kişisel Veriler’i işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturduğu ve Kişisel Veriler’in işlendikleri amaçlar için gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen Kişisel Veriler’i ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdığı envanterdir.
Kurul Kişisel Verileri Koruma Kurulu’dur.

Periyodik imha
Kanunda yer alan Kişisel Veriler’in işlenme şartlarının tamamının ortadan kalkması durumunda işbu Politika’da belirtilen belirli zaman aralıklarında Şirket tarafından resmen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemidir.

Sicil
Hali hazırda yürürlükte olmayan Veri Sorumluları Sicili Hakkında Yönetmelik düzenlemesine göre Kurul tarafından tutulacak Veri Sorumluları Sicilidir.

Veri Kayıt Sistemi
Kişisel Veriler’in belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemidir.

Veri Sorumlusu
Kişisel Veriler’in işleme amaçlarını ve vasıtalarını belirleyen, Veri Kayıt Sistemi’nin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir.

Yönetmelik
Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Haline Getirilmesi Hakkında Yönetmelik’tir.
  1. AMAÇ VE KAPSAM
İşbu Politika, Kanunun 7. maddesi uyarınca oluşturulan Yönetmelik içerisinde yer alan Kişisel Veriler’in İmha’sından sorumlu olan gerçek veya tüzel kişiler hakkında uygulanır ve Şirket ile Şirket’in sözleşmesel olarak sorumlu kıldığı üçüncü kişiler tarafından uyulması gereken esasları belirler. Yönetmelik uyarınca Şirket, Sicile kayıt yükümlülüğü olan bir Veri Sorumlusu olarak, uhdesinde bulunan Kişisel Veriler’i Kişisel Veri Envanteri’ne uygun bir şekilde saklamak ve gerektiğinde İmha etmek için işbu Politika’yı hazırlamak ve uygun hareket etmek ile yükümlüdür. Kişisel Verilerin saklanması ve İmha’sında aşağıdaki ilkeler geçerli olacaktır:a) Kanunun 4 üncü maddesindeki genel ilkelere uyulacaktır. b) Şirket, işbu Politikayı hazırlamış olmanın tek başına Kişisel Veriler’in Yönetmelik, Kanun ve ilgili mevzuata uygun olarak imha edildiği anlamına gelmeyeceğini kabul etmektedir. c) Şirket, Kişisel Veriler’i saklarken yahut silerken, yok ederken veya anonim hale getirirken, Kanunun 12. Maddesinde yer alan güvenlik tedbirlerine, ilgili mevzuatta yer alan hükümlere, Kurulu’nun alacağı kararlara ve bu Politika’ya uygun hareket edeceğini kabul, beyan ve taahhüt eder. d) Şirket, bünyesinde bulundurduğu Kişisel Veriler’in amacı tamamen veya kısmen otomatik olan ya da herhangi bir kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen Kişisel Veriler’in imhası sırasında işbu Politika’ya ve Politika’ya bağlı olarak uygulanacak araç, program ve süreçlere uygunluk sağlayacağını taahhüt eder.e) Şirket, Kişisel Veriler’in güvenli bir şekilde saklanması ile hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi ile ilgili gerekli her türlü teknik ve idari tedbirleri alır. Söz konusu teknik ve idari tedbirler, Kişisel Veriler’in saklanması ve İmhası için kullanılacak yöntemlerle ilgili oluşturulan teknik kılavuzlarda tarif edilir.f) Şirket, Kişisel Veriler’i saklama ve imha süreçlerinde yer alacakların unvan, birim ve görev tanımlarını belirler.
  1. KAYIT ORTAMLARI
Şirket, işbu Politika ile Kişisel Veri içeren ve aşağıda sayılmış olan ortamlar ve bunlara ek olarak ortaya çıkabilecek diğer ortamlardaki Kişisel Veriler’i işbu Politika’nın kapsamına dahil etmeyi kabul eder.
  1. Şirket adına kullanılan bilgisayarlar / sunucular,
  2. Ağ cihazları,
  3. Ağ üzerinde veri saklanması için kullanılan paylaşımlı / paylaşımsız disk sürücüleri,
  4. Mobil telefonlar ve içerisindeki tüm saklama alanları,
  5. Kağıt,
  6. Mikrofiş,
  7. Yazıcı, kamera kaydı, parmak izi okuyucu gibi çevre birimler,
  8. Manyetik bantlar,
  9. Optik diskler,
  10. Flash hafızalar.

  1. KİŞİSEL VERİLER’İN İMHASINI GEREKTİREN DURUMLAR
Aşağıda belirtilen kapsamda bir ihlal olması durumunda Potansiyel Güvenlik İhlal durumu kabul edilerek Şirket tarafından ilgili güvenlik ihlal süreçleri işletilecek bunlara ilişkin rapor ve bildirimler gerekli görülen durumlarda Şirket yönetimi, Kurul ve ilgili Kişisel Veri sahipleri nezdinde paylaşılacaktır. Bu amaçla söz konusu rapor ve bildirimlerin yapılması için Şirket’in ihlal yönetimi süreçleri uygulanacaktır.  
  1. Kanun’a Aykırılık
Şirket, Kişisel Veriler’i Kanun’da belirtildiği şekle aykırı olarak işlemeyeceğini taahhüt eder.  Şirket, Kanun’un 5 ve 6. maddelerindeki Kişisel Veriler’in işlenmesi şartlarındaki istisnalar mevcut olmadığı sürece;
  1. Kanun’da belirtilen istisnalar dışında açık rızasını almadığı kişilerin Kişisel Veriler’ini saklamayacaktır. 
  2. İstisna kapsamında veya açık rıza kapsamında işlenen verilerin işleme amacının ortadan kalkması ve/veya yasal saklama sürelerinin dolması halinde Şirket bu Kişisel Veriler’i saklamayacak ve İmha edecektir. 

  1. Kişisel Veri İşleme Şartlarının Ortadan Kalkması
Şirket, veri işlenme şartlarının güncelliğinden sorumludur ve bu sorumluluğunu Kişisel Veri işleyen ilgili tüm çalışanları ile paylaşır.Çalışanlar, veri işlenme şartlarının ortadan kalktığı durumlarda veri işlemeye devam etmeyecektir. Bu durumların tespiti ilgili iş biriminin önerisi ile İç Kontrol, Uyum ve Hukuk bölümü tarafından yapılır ve işbu Politika’ya uygun şekilde İmha işlemi gerçekleştirir. Şirket aşağıda listelenen ve Yönetmelik içinde de belirtilen ilgili durumlarda veri işlenme şartlarının ortadan kalktığını kabul eder:
  1. İlgili mevzuatın Kişisel Veriler’i işlemeye esas teşkil eden hükümlerinin değiştirilmesi veya yürürlükten kaldırılması; 
  2. Taraflar arasındaki sözleşmenin hiç kurulmamış olması, sözleşmenin geçersiz olması, sözleşmenin kendiliğinden sona ermesi, sözleşmenin feshi veya sözleşmeden dönülmesi,
  3. Kişisel Veriler’in işlenmesini gerektiren amacın ortadan kalkması,
  4. Kişisel Veriler’i işlemenin hukuka veya dürüstlük kuralına aykırı olması,
  5. Kişisel Veriler’i işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin rızasını geri alması,
  6. İlgili kişinin, Kanun’un 11’inci maddesinin (e) ve (f) bentlerindeki hakları çerçevesinde Kişisel Veriler’i işleme faaliyetine ilişkin yaptığı usule uygun başvurunun Şirket tarafından kabulü,
  7. Şirket, ilgili kişi tarafından Kişisel Veriler’inin İmha’sı talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabın yetersiz bulunması veya Kanun’da öngörülen süre içinde cevap vermemesi hallerinde; Kurul’a şikâyette bulunulması ve bu talebin Kurul tarafından uygun bulunması,
  8. Kişisel Veriler’in saklanmasını gerektiren azami süre geçmiş olmasına rağmen, Kişisel Veriler’i daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması.

  1. KİŞİSEL VERİLER’İN İMHASI
Kişisel Veriler’in İmhası, aşağıda detaylıca açıklanan verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi şeklinde üç farklı şekilde yapılabilir. Şirket bünyesinde ilgili iş birimleri, söz konusu Kişisel Veriler’in bulunduğu bilgi sistemleri ve uygulama sahipleri, İç Kontrol, Uyum ve Hukuk bölümü ve konuyla ilgili olabilecek diğer kişi ya da bölümler Kişisel Veriler’in İmhası için uygulanacak yönteme bu İmha’nın nedenine bağlı olarak yazılı karar verir. Bu yazılı karar gereğince işbu Politika’nın G) maddesindeki İmha yöntemlerinden biri Kurul’un yayınladığı Kişisel Verilerin Silinmesi Yok Edilmesi ve Anonim Hale Getirilmesi Rehberi’ne bağlı olarak uygulanır. Kişisel Veriler’in saklanması ve İmhası için kullanılacak yöntemlerle ilgili Şirket ayrıca teknik kılavuzlar oluşturur ve bunların uygulanmasını sağlar. Kişisel Veriler’in İmhası’nın takibi Şirket içerisindeki ilgili veri sahibi iş biriminin sorumluluğundadır. Veri sahibi iş birimi, verilerin İmhası için denetimi kendisi tarafından yapılmak kaydıyla Şirket’in farklı birimlerinden destek alır.


  1. Kişisel Veriler’in Silinmesi
Tamamen veya kısmen otomatik yollarla işlenen Kişisel Veriler’in silinmesi; söz konusu Kişisel Veriler’in ilgili kullanıcılar tarafından hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.Herhangi bir Veri Kayıt Sistemi’nin parçasını teşkil eden ve otomatik olmayan yollarla işlenen Kişisel Veriler’in silinmesi sürecinde, yasal saklama süreleri göz önünde bulundurularak silme işlemine konu olacak Kişisel Veriler belirlenir. Şirket Kişisel Veriler’e erişim ve yetkilendirme anlamında Şirket’in mevcut durumda bilgi sistemleri ve uygulamaları üzerinde yürütmekte olduğu rol ve yetki matrisleri dâhilinde güncellemelerini yapar ve ilgili kullanıcıları tespit eder.  İlgili Kullanıcılar’ın erişim, geri getirme, tekrar kullanma gibi yetkileri ve yöntemleri bu kapsamda tespit edilir. Şirket, Kişisel Veriler’i sildiği durumlarda, verileri hiçbir şekilde erişilemez veya tekrar kullanılamaz hale getirir. Şirket, bu işlemi yaparken verilerin hiçbir kullanıcı tarafından erişilemez veya tekrar kullanılamaz olduğunu garanti eder. 
  1. Kişisel Veriler’in Yok Edilmesi
Kişisel Veriler’in yok edilmesi, Kişisel Veriler’in hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.Yok etme işlemi, Şirket’in verileri fiziksel kayıt ortamlarında işlediği durumlarda yapılacaktır ve Şirket bu verileri tekrar geri getirilmesi mümkün olmayacak hale getirmekle yükümlüdür. Kağıt ve mikrofiş ortamları için bu işlem gerçekleştirilirken ortamı kağıt imha veya kırpma makinaları ile anlaşılmaz boyutta geri birleştirilemeyecek şekilde küçük parçalara bölünerek yok edilecektir. Ayrıca, Şirket bu kapsamda üçüncü taraflardan İmha hizmeti alabilir. 
  1. Kişisel Veriler’in Anonimleştirilmesi
Anonim hale getirme işlemi, Şirket’in Kişisel Veriler’i tamamen veya kısmen otomatik yollarla işlediği durumlarda, bu verilerin başka verilerle eşleştirilse dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir. Şirket, ilgili veri kümesindeki tüm doğrudan ve/veya dolaylı tanımlayıcıları çıkartarak ya da değiştirilerek, ilgili kişinin kimliğinin saptanabilmesinin engelleyerek bir grup veya kalabalık içinde ayırt edilebilir olma özelliğini, bir gerçek kişiyle ilişkilendirilemeyecek şekilde kaybetmesini sağlar. Verilerin anonimleştirilmesi sırasında Şirket, tek yönlü fonksiyonlar ile şifreleme gibi yöntemler kullanabilir. 
  1. KİŞİSEL VERİLER’İN İMHA YÖNTEMLERİ VE SÜRECİ
Kişisel Veriler’in İmhası için Şirket, İmha sırasında kullanılabilecek tüm yöntemleri işbu Politika ve eklerinde tanımlar. Veri sahibi iş birimi, işbu Politika içerisindeki uygun yöntemi uygun duruma göre belirleyerek uygulamakla yükümlüdür. Kişisel Veriler’in İmhası sırasında Şirket vereceği yazılı karara göre aşağıdaki yöntemlerden uygun olanı seçerek İmha’yı gerçekleştirir: 
  1. Üzerine Yazma
Manyetik medya ve yeniden yazılabilir optik medya üzerine yazılımlarla en az 7 kez 0 ve 1’lerden oluşan rassal veriler yazılarak eski verinin okunamaz hale getirilmesi işlemidir.
  1. Manyetize Etme
Manyetik medyanın yüksek değerde manyetik alanda fiziksel değişime sokularak üzerindeki verinin okunamaz hale getirilmesi işlemidir.
  1. Fiziksel Yok Etme
Optik medya veya manyetik medyanın eritme, toz haline getirme, öğütme ve benzeri işlemlerle fiziksel olarak yok edilmesi işlemidir. Manyetize etme veya üzerine yazma metotlarının başarısız olduğu durumlarda uygulanabilir.
  1. Bulut İmhası
Bulut sistemler üzerinde tutulan Kişisel Veriler’in İmha bildiriminin anlaşmalı servis sağlayıcıya yapılmasının ardından Kişisel Veriler’in şifreleme anahtarlarının tüm kopyalarının İmha edilmesi işlemidir. 
  1. Çevresel Sistemlerde Yer Alan Kişisel Verilerin İmhası
Yazıcı, parmak izi ünitesi, kapı giriş turnikesi gibi sistemler içerisinde yer alan Kişisel Veriler’i barındıran mevcut ise iç ünite, mevcut değil ise tüm cihaz üzerinde üzerine yazma, manyetize etme veya fiziksel yok etme uygulanarak yapılması gereken İmha işlemidir. Bu tip İmhalar’ın, cihazların yedekleme, bakım ve benzeri işlemlere tabi olmasından önce uygulanması zorunludur. 
  1. SAKLAMA VE İMHA SÜRELERİ
  1. Periyodik İmha ve Yasal Saklama Süreleri
Yasal saklama ve İmha sürelerini dolduran fiziksel ve elektronik veriler, periyodik olarak İmha edilir. Şirket, İmha yükümlülüğünün ortaya çıktığı tarihi takip eden ilk Periyodik İmha işleminde, Kişisel Veriler’i İmha eder. Periyodik İmha, tüm Kişisel Veriler için 6 aylık zaman aralıklarında gerçekleştirilir. Periyodik İmha sırasında baz alınacak yasal saklama süreleri, Şirketin Kişisel Veri Envanteri’nde belirlenmiştir (EK). İmha işlemi, İmha yükümlülüğünün doğmasını takiben ilk Periyodik İmha sırasında uygulanır. İmha edilen Kişisel Veriler’e ilişkin tüm işlemler kayıt altına alınır ve bu kayıtlar 3 yıl süre ile saklanır. 
  1. Veri Sahiplerinin Talep Etmesi Durumunda İmha Süreci
Veri sahiplerinin Şirket’e başvurarak kendisine ait Kişisel Veriler’in İmhası’nı talep ettiği durumlarda Şirket, Kişisel Veriler’i işleme şartlarının mevcut durumunu kontrol eder. Söz konusu kontrol sonucunda;  
  • Kişisel Veriler’i işleme şartlarının tamamının ortadan kalktığı anlaşılırsa, talebe konu Kişisel Veriler işbu Politika’da belirtilen karar ve yöntemlere uygun olarak en geç otuz gün içinde İmha edilir ve ilgili kişiye bilgi verilir.
  • Kişisel Veriler’i işleme şartlarının ortadan kalktığı ve talebe konu olan Kişisel Veriler’in üçüncü kişilere aktarıldığı anlaşılmışsa Şirket bu durumu ilgili üçüncü kişiye bildirir ve üçüncü kişi nezdinde Yönetmelik kapsamında gerekli işlemlerin yapılmasını temin eder. 
  • Kişisel Veriler’i işleme şartlarının tamamı ortadan kalkmamışsa, Şirket ilgili veri sahibine gerekçesini açıklayarak talebi reddedebilir ve ret cevabını ilgili kişiye en geç otuz gün içinde yazılı olarak ya da elektronik ortamda bildirir.
Veri sahiplerinden gelecek taleplerin karşılanması ve yanıtlanması amacıyla Şirket bünyesinde Kişisel Veri Sahiplerinden Gelen Talep ve Şikayetlerin Yönetimi Süreci oluşturulur. 
  1. SAKLAMA VE İMHA SÜREÇLERİNDE YETKİLENDİRME
Şirket, Kişisel Veriler’i saklama ve İmha süreçlerinde görev alanlar ve iş tanımları aşağıdaki gibidir; 
  • KVKK Çalışma Grubu: Kişisel Veriler’in saklanması ve İmhası konusunda Şirket’in ilgili iş birimleriyle beraber çalışarak politika ve yöntemler hakkında karar verir, Politika ve eklerinin güncel tutulmasına sağlar, gerekli durumlarda Şirket’in ilgili birimleri ile yakın çalışarak Politika’nın Kanun ve Yönetmeliğe uygun ve doğru şekilde yürütülmesini temin eder. 
  • İç Kontrol, Uyum ve Hukuk: Kişisel Veriler’in saklanması ve İmhası ile ilgili hukuki konularda danışmanlık yapar,  Kanun, Yönetmelik ve ilgili mevzuat değişikliği halinde ilgili iş birimlerine gerekli bilgilendirmeyi yapar. Politika’nın Kanun ve Yönetmeliğe uygun olarak yürütülmesini temin eder. 
  • Bilgi teknolojileri: Politika’da belirtilen karar ve yöntemler ışığında ilgili İmha ve saklama süreçlerinin Kanun ve Yönetmeliğe uygun şekilde gerçekleştirilmesini sağlar. 
  • Şirket’in ilgili iş birimleri: Kişisel Veriler’in saklanması ve İmhası konusunda politika ve yöntemlerin belirlenmesi için görüş ve gerekçelerini belirtir ve işbu Politika nezdinde yürütülmesi aksiyonların takibini yapar. 

  1. POLİTİKA’DA YAPILACAK DEĞİŞİKLİKLER
  1. Kanun, Yönetmelik veya sair mevzuatın kısmen veya tamamen değiştirilmesi, tadil edilmesi, güncellenmesi veya yürürlükten kaldırılması durumunda, Şirket Politikayı yeni Kanun, Yönetmelik veya mevzuata uyumlu olacak şekilde güncelleyerek değiştirecektir.
  2. Şirket, Politika üzerinde yaptığı değişiklikler incelenebilecek olacak şekilde güncellenen Politika’yı e-posta yolu ile çalışanlarıyla paylaşacak ve kurumsal intranet üzerinden 
  3. çalışanlarının erişimine sunacaktır. 


  1. POLİTİKA’NIN YÜRÜRLÜK TARİHİ
İşbu Politika 01.01.2022 tarihinde yürürlüğe girmiştir.