Özel Nitelikli Kişisel Veri Yönetim Politikası
Özel Nitelikli Kişisel Veri Yönetim Politikası
ÖZEL NİTELİKLİ KİŞİSEL VERİ YÖNETİMİ POLİTİKASI
A. KAPSAM
- İşbu Özel Nitelikli Kişisel Veri Yönetimi Politikası (‘’Politika’’) EV DİŞ POLİKLİNİĞİ SAĞLIK HİZMETLERİ LİMİTED ŞİRKETİ (“Şirket”) bünyesinde Kişisel Veriler’i işleyen herhangi bir sürece dâhil olan tüm departmanları, çalışanları ve üçüncü tarafları kapsamaktadır.
- İşbu Politika; Şirket’in Özel Nitelikli Kişisel Veriler’in güvenliğine yönelik kuralları tanımlayacak ve bu alandaki yönetimi sağlayacak tüm faaliyetleri kapsayacak olup, bunu sürdürmek adına her adımda uygulanacaktır.
- İşbu Politika Özel Nitelikli Kişisel Veri olmayan veriler hakkında uygulanmayacaktır.
- Konuyla alakalı yeni mevzuatın belirlenmesi veya ilgili mevzuatın güncellenmesi durumunda, Şirket politikasını ilgili mevzuata uyumlu olacak şekilde güncelleyerek mevzuat gerekliliklerine uyacaktır.
- İşbu Politika’nın Şirket tarafından uygulanmasında hukuki bir engel olduğuna kanaat getirdiği durumlarda, Şirket uygulayacağı adımları, gerek görmesi durumunda Üst Yönetim’e danışarak, işbu Politika’yı yeniden belirleyebilecektir.
Alıcı Grubu :
Veri Sorumlusu tarafından Kişisel Veriler’in aktarıldığı gerçek veya tüzel kişi kategorisidir.
Envanter :
Veri Sorumluları’nın iş süreçlerine bağlı olarak gerçekleştirmekte oldukları Kişisel Veriler’i işleme faaliyetlerini; Kişisel Veriler’i işleme amaçlarını, veri kategorisini, aktarılan Alıcı Grubu’nu ve veri konusunu kişi grubuyla ilişkilendirerek oluşturan ve detaylandıran envanterdir.
İlgili Karar :
“Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler” ile ilgili Kişisel Verileri Koruma Kurulu’nun 31.01.2018 tarihli, 2018/10 sayılı kararıdır.
İlgili kullanıcı :
Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere Veri Sorumlusu organizasyonu içerisinde veya Veri Sorumlusu’ndan aldığı yetki ve talimat doğrultusunda Kişisel Veriler’i işleyen kişilerdir.
Kanun :
6698 Sayılı Kişisel Verilerin Korunması Kanunu’dur.
Kayıt Ortamı :
Tamamen veya kısmen otomatik olan ya da herhangi bir Veri Kayıt Sistemi’nin parçası olmak kaydıyla otomatik olmayan yollarla işlenen Kişisel Veriler’in bulunduğu her türlü ortama verilen addır.
Kişisel Veri işleme :
Kişisel Veriler’in tamamen veya kısmen otomatik olan ya da herhangi bir Veri Kayıt Sistemi’nin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi ifade eder.
Kişisel Veri :
Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgidir ve kişinin fiziksel, ekonomik, kültürel, sosyal veya psikolojik kimliğini ifade eden somut bir içerik taşıması veya kimlik, vergi numarası gibi herhangi bir kayıtla ilişkilendirilmesi sonucunda kişinin belirlenmesini sağlayan tüm halleri kapsar.
Kurul :
Kişisel Verileri Koruma Kurulu’dur.
Özel Nitelikli Kişisel Veri :
Kanun’da belirtildiği üzere kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileridir.Sicil : Başkanlık tarafından tutulan Veri Sorumluları Sicili’dir (Verbis).
Veri Kayıt Sistemi :
Kişisel Veriler’in belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemidir.
Veri Sorumlusu :
Kişisel Veriler’in işleme amaçlarını ve vasıtalarını belirleyen, Veri Kayıt Sistemi’nin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir
Yönetmelik :
Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Haline Getirilmesi Hakkında Yönetmelik’tir.
C. AMAÇ VE KAPSAM
İşbu Politika, Kanun’un 6. maddesi uyarınca oluşturulan Yönetmelik içerisinde yer alan “Özel Nitelikli Kişisel Verilerin İşlenme Şartları” sorumlu olan gerçek veya tüzel kişiler hakkında uygulanacak ve Şirket ile Şirket’in sözleşmesel olarak sorumlu kıldığı üçüncü kişiler tarafından uyulması gereken esasları belirleyecektir.Kişisel Verileri Koruma Kurulu’nun 07.03.2018 tarihli Resmi Gazete’de yayımlanan, 31.01.2018 tarihli Kararı uyarınca Şirket, Sicile kayıt yükümlülüğü olan bir Veri Sorumlusu olarak, uhdesinde bulunan Özel Nitelikli Kişisel Verileri; Kişisel Veri İşleme Envanteri’ne uygun bir şekilde saklamaktan, bu verilerin güvenliğine yönelik kuralları tanımlamaktan ve yönetimini sağlayacağı tüm faaliyetleri kapsayarak işbu Politika’ya uygun hareket etmekle yükümlüdür.
D. KAYIT ORTAMLARI
Şirket, işbu Politika ile Kişisel Veri içeren ve aşağıda sayılmış olan ortamlar ve bunlara ek olarak ortaya çıkabilecek diğer ortamlardaki Kişisel Veriler’i Politika’nın kapsamına dahil etmeyi kabul eder.
- Şirket adına kullanılan bilgisayarlar/sunucular
- Ağ cihazları
- Ağ üzerine veri saklanması için kullanılan paylaşımlı / paylaşımsız disk sürücüleri,
- Mobil telefonlar ve içerisindeki tüm saklama alanları,
- Kağıt
- Mikrofiş
- Yazıcı, parmak izi okuyucu gibi çevre birimler
- Manyetik bantlar,
- Optik diskler,
- Flash hafızalar.
E. ÖZEL NİTELİKLİ KİŞİSEL VERİ
a. Özel Nitelikli Kişisel Veri İşlenmesine İlişkin Genel İlkeler
Şirket, Kişisel Veriler’in güvenli bir şekilde saklanması ile hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi ile ilgili gerekli her türlü teknik ve idari tedbirleri alır.Şirket, Kişisel Veriler’i Kanun’da belirtildiği şekle aykırı olarak işleyemeyeceğini taahhüt eder. Şirket, Kanun’un 6. maddesi 3. fıkrasındaki Özel Nitelikli Kişisel Veriler’in işlenmesi şartlarındaki istisnalar mevcut olmadığı sürece;
- Kanun’da belirtilen istisnalar dışında açık rızası almadığı kişilerin Özel Nitelikli Kişisel Verileri’ni saklaması yasaktır.
- Şirket, Özel Nitelikli Kişisel Veriler’i sakladığı durumlarda, verileri ilgili mevzuata bağlı kalarak Şirket yöneticilerinin bilgisi dahilinde açık rıza alınması durumunda işler.
Sağlık ve cinsel hayat dışındaki Özel Nitelikli Kişisel Veriler, kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri, kanunlarda öngörülen hallerde ilgili kişinin açık rızası aranmaksızın işlenebilir durumdadır.Sağlık ve cinsel hayata ilişkin Kişisel Veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlaması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir durumdadır.Kişisel Veriler Şirket bünyesinde veri sahiplerinden alınan açık rıza aracılığıyla işlenmekte olup, bu veriler ancak işbu Politika’nın “Özel Nitelikli Kişisel Verilerin İşlenmesine İlişkin Genel İlkeler” bölümünde belirtilen kontroller çerçevesinde işlem görmektedir. Şirket ile veri sahibi arasındaki ilişkinin türüne ve niteliğine, kullanılan iletişim kanalarına ve bahsi geçen amaç bilgisine bağlı olarak çeşitlenmekte ve farklılaşmaktadır. Bu veriler Kişisel Veri İşleme Envanteri içerisinde belirtilmiştir.
c. Özel Nitelikli Kişisel Verilerin İşlenme Amaçları
Kişisel Veriler, Kişisel Veri İşleme Envanteri içerisinde belirtilen amaçlar kapsamında işlenebilmekte olup, bu amaçların ve ilgili yasal sürelerin öngördüğü müddetçe saklanabilmektedir.
d. Özel Nitelikli Kişisel Verilerin Aktarılması
Şirket, işbu Politika’nın “Özel Nitelikli Verilerin İşlenme Amaçları” bölümünde örneklendirilen amaçlar çerçevesinde ve KVKK’nın 8 ve 9’uncu maddeleri uyarınca yurt içi ve yurt dışı veri aktarımı yapabilmektedir ve Kişisel Veriler bu kapsamda kullanılan sunucu ve elektronik ortamlarda işlenerek saklanabilmektedir. Şirket tarafından hazırlanmış Kişisel Veri İşleme Envanteri’nde veri aktarımı gerçekleşen taraflar ve veri aktarım amaçları detaylı bir şekilde belirtilmiştir. Kişisel Verileri Koruma Kurulu’nun 07.03.2018 tarihli Resmi Gazete’de yayımlanan, 31.01.2018 tarihli kararı uyarınca Şirket, Özel Nitelikli Kişisel Veriler’i aktaracak ise;
- Verilerin e-posta yoluyla aktarılması gerekiyorsa, şifreli olarak kurumsal e-posta adresi ile veya kayıtlı elektronik posta (KEP) hesabı kullanılarak aktarılır.
- Taşınabilir bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerekiyorsa kriptografik yöntemlerle şifrelenmesi ve kriptografik anahtarın farklı ortamda tutulur.
- Farklı fiziksel ortamlardaki sunucular arasında, aktarma gerçekleştiriliyorsa, sunucular arasında VPN kurularak veya SFTP yöntemi ile veri aktarımının gerçekleştirilir.
- Verilerin kağıt ortamı yoluyla aktarımı gerekiyorsa, evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemlerin alınması ve evrak gizlilik derecesine göre belge formatında gönderilebilir.
- Veri İşleme Şartlarının Ortadan Kalkması
- Kişisel Verilerin işlenmesini gerektiren amacın ortadan kalkması,
- Kişisel Veriler’i işleminin hukuka veya dürüstlük kuralına aykırı olması,
- Kişisel Veriler’i işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin rızasını geri alması.
e. Özel Nitelikli Kişisel Verilerin Güvenliği
Özel Nitelikli Kişisel Veriler’in işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır. Kişisel Verileri Koruma Kurulu’nun 07.03.2018 tarihli Resmi Gazete’de yayımlanan, 31.01.2018 tarihli Kararı uyarınca aşağıdaki şekilde belirlenmiştir.
- Özel Nitelikli Kişisel Veriler’in işlendiği süreçlerde yer alan çalışanlara yönelik Kanun, alt mevzuat ve Kurul’un yayımlayacağı her tür karar ve rehber ile Özel Nitelikli Kişisel Veri güvenliği konularında düzenli olarak eğitim verilir.
- Söz Konusu çalışanlar ile Veri Sorumlusu arasında gizlilik sözleşmeleri yapılır.
- Verilere erişim yetkisine sahip kullanıcıların yetki kapsamları ve süreleri net olarak tanımlanır.
- Periyodik olarak yetki kontrolleri gerçekleştirilir.
- Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkilerinin derhal kaldırılması, bu kapsamda, Veri Sorumlusu tarafından kendisine tahsis edilen envanterin iade alınması gerekmektedir. Bu durumda Şirket, tarafından onaylanmış envanterin güncellenmesine ilişkin prosedür gereğince belirlenmiş ilkelere uyum geçerlidir.
- Veriler kriptografik yöntemler kullanılarak muhafaza edilir.
- Kriptografik anahtarlar güvenli ve farklı ortamlarda tutulur.
- Veriler üzerinde gerçekleştirilen tüm hareketlerin işlem kayıtlarının denetim izleri tutulur ve söz konusu denetim izlerinin güvenliği sağlanır.
- Verilerin bulunduğu ortamlara ait güvenlik güncellemeleri sürekli olarak takip edilir, gerekli güvenlik testlerinin düzenli olarak yapılması/yaptırılması, test sonuçlarının kayıt altına alınması ve tespitlere ilişkin aksiyon planlarının oluşturulması sağlanır.
- Verilere bir yazılım aracılığı ile erişiliyorsa bu yazılıma ait uygun kullanıcı yetkilendirmelerinin yapılması, bu yazılımların güvenlik testlerinin düzenli olarak gerçekleştirilmesi/yaptırılması, test sonuçlarının kayıt altına alınması ve tespitlere ilişkin aksiyon planlarının oluşturulması sağlanır.
- Verilere uzaktan erişim gerekiyorsa en az iki kademeli kimlik doğrulama sistemi saplanır.
- Özel Nitelikli Kişisel Veriler’in bulunduğu ortamın niteliğine göre yeterli güvenlik önlemlerinin (elektrik kaçağı, yangın, su baskını, hırsızlık vb. durumlara karşı) alındığından emin olunur.
- Bu ortamların fiziksel güvenliğini sağlanarak yetkisiz giriş çıkışlar engellenir.
F. POLİTİKA YÜRÜRLÜK VE GÜNCELLEMELER
İşbu Politika Şirket tarafından onaylandığı tarihte yürürlüğe girecektir. Politika’da yapılacak değişiklikler ve bu değişikliklerin yürürlüğe konulması konusunda gereken çalışmalar KVKK Çalışma Grubu tarafından yapılacak ve değişiklikler Şirket onayından sonra yürürlüğe girecektir.Ancak mevzuat değişiklikleri, atıf yapılan bir teknik standarttaki değişme, Kişisel Verileri Koruma Kurulu’nun işlemleri ve/veya vereceği kararlar ile mahkeme kararları doğrultusunda Şirket bu Politika’yı gözden geçirme ve gerekli durumlarda Politika’yı güncelleme, değiştirme veya ortadan kaldırım yeni bir Politika oluşturma hakkını saklı tutar. Şirket, Politika üzerinde yaptığı değişiklikler incelenebilecek olacak şekilde güncellenen Politika’yı e-posta yolu ile çalışanlarıyla paylaşacak ve kurumsal intranet üzerinden çalışanlarının erişimine sunacaktır.Politika, olağan olarak yılda bir defa gözden geçirilir ve gerektiğinde güncellenir. Politika’nın yürürlükten kaldırılmasına ilişkin olarak karar verme yetkisi Şirket’e aittir.
G. POLİTİKA’NIN YÜRÜRLÜK TARİHİ
İşbu Politika 01.01.2022 tarihinde yürürlüğe girer.