Veri Saklama ve İmha Politikası

EKİP SAĞLIK HİZMETLERİ TİCARET ANONİM ŞİRKETİ KİŞİSEL VERİ SAKLAMA VE İMHA POLİTİKASI

• VERİ GİZLİLİĞİ TAAHHÜDÜ

Ekip Sağlık Hizmetleri Ticaret Anonim Şirketi (‘Şirket’), bünyesinde bulunan Kişisel Veriler bakımından işbu Politikaya ve Politikaya bağlı olarak uygulanacak prosedürlere
uygun davranmayı taahhüt eder.

• POLİTİKANIN AMACI

İşbu politikanın amacı, Şirket faaliyetlerine ilişkin 6698 sayılı Kişisel Verilerin
Korunması Kanunu (‘KVKK’) kapsamında, kişisel verilerin korunmasına yönelik yöntem
ve süreçlere ilişkin esasları belirlemektir.

• POLİTİKANIN KAPSAMI

Şirket çalışanları, çalışan adayları, hizmet sağlayıcıları, ziyaretçiler, hizmet alan kişiler (hastalar) ve diğer üçüncü kişilere ait kişisel veriler bu Politika kapsamında olup Şirketin sahip olduğu ya da Şirketçe yönetilen kişisel verilerin işlendiği tüm kayıt ortamları ve kişisel veri işlenmesine yönelik faaliyetlerde bu Politika uygulanır. İşbu Politika, KVKK ve ilgili mevzuat gerektirmesi halinde yahut Şirketin Veri Sorumlusu
Temsilcisi yahut yönetimin gerekli gördüğü hallerde, kanuni yükümlülükleri gözetmek
koşuluyla zaman zaman değiştirilebilir.

• TANIMLAR

• KİŞİSEL VERİ İŞLENMESİ İLKELERİ

5.1. Kişisel Verilerin Hukuka ve Dürüstlük Kurallarına Uygunluk Olarak İşlenmesi

Kişisel Veriler, Şirket tarafından hukuka ve dürüstlük kurallarına uygun ve ölçülülük
esasına dayalı olarak işlenir. Ölçülülük esası ile kast edilen, şirket faaliyetleri için
gerektiği kadar kişisel verinin, gerekli olan süre boyunca işlenmesidir.

5.2. Kişisel Verilerin Doğru ve Güncel Olması için Gerekli Önlemlerin Alınması

Şirket, Kişisel Verilerin eksiksiz, doğru ve güncel olması için her türlü gerekli önlemleri
alır ve Veri Sahibinin Kişisel Verilere yönelik değişiklik talep etmesi durumunda ilgili
Kişisel Verileri günceller.

5.3. Kişisel Verilerin Belirli, Meşru ve Açık Amaçlar Doğrultusunda İşlenmesi

Kişisel Verilerin işlenmesinden önce Şirket tarafından Kişisel Verilerin hangi amaçla
isleneceği belirlenir. Bu kapsamda, Veri Sahibi KVKK ve ilgili mevzuat kapsamında aydınlatılır ve gereken hallerde Açık Rızaları alınır.

5.4. Kişisel Verilerin İslendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü̈ Olması

Şirket, Kişisel Verileri, Veri Sahibinden alınan Açık Rıza kapsamındaki amaç doğrultusunda ve bununla bağlantılı olacak şekilde sınırlayarak ölçülülük esasına uygun olarak işler.

5.5. Kişisel Verilerin Gerektiği Kadar Muhafaza Edilmesi ve Silinmesi

5.5.1.  Şirket, Kişisel Verileri işlenme amacına uygun olarak şirket faaliyetleri için
gerektiği kadar ve ayrıca kanun, yönetmelik vb tüm yasal mevzuat kapsamında sorumluluğunun bulunduğu, hak sahipliğinin ispatı amacı ile korunması gerektiği süre kadar muhafaza eder. 

5.5.2.  Kişisel Veri İşleme amacının gerektirdiği süre sona erdikten sonra Kişisel
Veriler silinir, imha edilir veya anonim hale getirilir. İşbu halde, Şirketin Kişisel
Verileri aktardığı 3. Kişilerin de Kişisel Verileri Silmesi, Yok Etmesi yahut
Anonim Hale Getirmesi için gerekli bildirimler yapılır.

5.5.3. Silme, Yok Etme ve Anonim Hale Getirme süreçlerinin işletilmesinden Veri
Sorumlusu Temsilcisi sorumludur. Bu kapsamda gerekli prosedür Veri
Sorumlusu Temsilcisi tarafından oluşturulur.

• KİŞİSEL VERİLERİN SAKLANDIĞI ORTAMLAR

Şirket nezdinde saklanan kişisel veriler, ilgili verinin niteliğine ve hukuki yükümlülüklerimize uygun bir kayıt ortamında tutulur. Kişisel verilerin saklanması için kullanılan kayıt ortamları genel itibariyle aşağıda sayılanlardır. Ancak, bir kısım veriler sahip oldukları özel nitelikler ya da hukuki yükümlülüklerimiz nedeniyle burada gösterilen ortamlardan farklı bir ortamda tutulabilir. Şirket her halükarda veri sorumlusu sıfatıyla hareket etmekte ve işbu Kişisel Veri Saklama ve İmha Politikası’na uygun olarak işlemek ve korumaktadır.

6.1.  ORTAMLARIN GÜVENLİĞİNİN SAĞLANMASI

Şirket, kişisel verilerin güvenli bir şekilde saklanması ile hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi için ilgili kişisel veri ile tutulduğu ortamın niteliklerine uygun olarak gerekli tüm teknik ve idari tedbirleri almaktadır. İşbu tedbirler, sayılanlarla sınırlı olmamak üzere, ilgili kişisel verinin ve tutulduğu ortamın niteliğine uygun düştüğü ölçüde aşağıdaki idari ve teknik tedbirleri kapsar.

6.1.1. Teknik Tedbirler

Şirket, kişisel verilerin ve verinin tutulduğu ortamın niteliklerine uygun olarak aşağıdaki teknik tedbirleri almaktadır:

• Sızma (penetrasyon) testleri ile kurumumuz bilişim sistemlerine yönelik risk, tehdit, zafiyet ve varsa açıklıklar ortaya çıkarılarak gerekli önlemler alınmakta
• Kurumun bilişim sistemleri teçhizatı, yazılım ve verilerin fiziksel güvenliği için gerekli önlemler alınmakta
• Erişim yetki ve rol dağılımları için prosedürleri oluşturulmakta ve uygulanmakta
• Kişisel verilerin güvenli olarak saklanmasını sağlayan yedekleme programları kullanılmakta,
• Çevresel tehditlere karşı bilişim sistemleri güvenliğinin sağlanması için donanımsal (sistem odasına sadece yetkili personelin girişini sağlayan erişim kontrol sistemi, 7/24 çalışan izleme sistemi yerel alan ağını oluşturan kenar anahtarların fiziksel güvenliğinin sağlanması, yangın söndürme sistemi, iklimlendirme sistemi vb.) ve yazılımsal (güvenlik duvarları, atak önleme sistemleri, ağ erişim kontrolü, zararlı yazılımları engelleyen sistemler vb.) önlemler alınmakta,
• Erişimler kayıt altına alınarak uygunsuz erişimler kontrol altında tutulmakta,
• Saklama ve imha politikasına uygun imha süreçleri tanımlanmakta ve uygulanmakta ve kişisel verilerin işlendiği elektronik ortamlarda güçlü parolalar kullanılmakta,
• Hukuka aykırı işlemeyi önlemeye yönelik riskler belirlenmekte, bu risklere uygun teknik tedbirler alınmakta,
• Yetki matrisi uygulanmakta,
• Hukuka aykırı işleme tespiti halinde ilgili kişiye ve kurula bildirmek için bir sistem ve altyapı oluşturulmakta,
• Kişisel verilerin güvenli olarak saklanmasını sağlayan yedekleme programları kullanılmakta,
• Güvenli kayıt tutma (loglama) sistemleri kullanılmakta,
• Bilgi sistemleri güncel halde tutulmakta,
• Kişisel verilerin işlendiği elektronik ortamlarda güçlü parolalar kullanılmakta,
• Özel nitelikli kişisel verilerin güvenliğine yönelik politika ve prosedürler belirlenmekte,
• Erişim yetki ve rol dağılımı net olarak tanımlanmakta, periyodik yetki kontrolleri gerçekleştirilmekte,
• Bu verilerin işlendiği elektronik ortamda kriptografik yöntemler kullanılmakta, kriptografik anahtarlar güvenli ortamlarda tutulmakta,
• İşlem kayıtları loglanmakta,
• Güvenlik testleri düzenli yapılmakta,
• E-Posta yoluyla aktarım gerekiyorsa şifreli olarak kurumsal e-posta veya kep kullanılarak, sunucular arasında aktarım ise sftp yöntemiyle gerçekleştirilmektedir.

6.1.2. İdari Tedbirler

Şirket, kişisel verilerin ve verinin tutulduğu ortamın niteliklerine uygun olarak aşağıdaki İdari tedbirleri almaktadır:

• Kişisel veri işlemeye başlamadan önce kurum tarafından, ilgili kişilere aydınlatma yükümlülüğü yerine getirilmekte,
• Çalışanlara gizlilik sözleşmeleri imzalatılmakta,
• Güvenlik politika ve prosedürlerine uymayan çalışanlara yönelik uygulanacak disiplin prosedürü uygulanmakta,
• Kurum içi periyodik ve rastgele denetimler yapılmakta ve çalışanlara yönelik bilgi güvenliği eğitimleri verilmekte,
• Çalışanların niteliği ve teknik bilgi/becerisinin geliştirilmesi, kişisel verilerin hukuka aykırı işlenmenin önlenmesi, kişisel verilere hukuka aykırı erişilmesinin önlenmesi, kişisel verilerin muhafazasının sağlanması, iletişim teknikleri ve ilgili mevzuatlar hakkında eğitimler verilmekte,
• Özel nitelikli kişisel verilerin işlenmesi süreçlerinde yer alan çalışanlara veri güvenliği konularında düzenli eğitimler verilmekte,
• Bu verilerin işlendiği ve saklandığı ortamların güvenlik önlemleri alınmakta,
• Yetkisiz giriş çıkışlar engellenmekte,
• Kağıt ortamında aktarımı gerekiyorsa evrak “gizlilik dereceli belgeler” formatında gönderilmektedir.

6.1.3. Şirket İçi Denetim

ŞİRKET, Kişisel verilerin hukuka aykırı olarak işlenmesini ve erişilmesini önlemek, en uygun şekilde muhafazasını sağlamak amacı ile şirket içi denetimler yapmaktadır. Şirket içi denetimler sonucunda bu hükümlerin uygulanmasına ilişkin eksiklik ya da aykırılık tespit edilmesi halinde bu eksiklik veya aykırılık kusurlar derhal giderilir. Denetim sırasında ya da sair bir şekilde Şirket sorumluluğunda bulunan kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edildiğinin anlaşılması hâlinde, Şirket bu durumu en kısa sürede ilgilisine ve Kurula bildirir.

7. KİŞİSEL VERİLERİN İMHASI

7.1. Saklama Nedenleri

Şirket bünyesinde saklanan ve işlenen kişisel verilere ilişkin amaç ve nedenler;

• İşveren olarak iş sözleşmelerinden ve mevzuattan kaynaklanan yasal yükümlülüklerin yerine getirilmesi,
• İşe alım faaliyetleri süreçlerinin yürütülmesi,
• SGK, İşkur ve diğer resmi ve yetkili mercilerin taleplerinin yerine getirilmesi,
• İşyeri güvenliğinin sağlanması,
• Mesai saatlerinin takibinin yapılması,
• Faaliyetlerin başta sağlık mevzuatları olmak üzere tüm mevzuatlara uygun olarak yürütülmesi,
• Saklama ve arşiv yükümlülüklerinin yerine getirilmesi,
• Fiziksel mekan güvenliğinin sağlanması,
• Hizmet alım sözleşmesinden kaynaklanan yükümlülüklerin yerine getirilmesi,
• Finans ve muhasebe faaliyetlerinin yürütülmesi,
• Hukuk işlerinin takibi ve yürütülmesi,
• Hizmet verilmesi süreçleri ile hizmete dayalı sözleşme ilişkilerinin yürütülmesi,
• Yönetim faaliyetlerinin yürütülmesi.

7.2. İmha Nedenleri

Şirket bünyesinde bulunan kişisel veriler ilgili kişinin talebi halinde ya da Kanun’un 5’nci ve 6’ncı maddelerinde sayılan nedenlerin ortadan kalkması halinde resen işbu imha politikası uyarınca silinir, yok edilir veya anonim hale getirilir. Bu nedenler;

• Kanunlarda açıkça öngörülmesi.
• Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla,
• Sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
• Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
• İlgili kişinin kendisi tarafından alenileştirilmiş olması,
• Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
• İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması,

7.3. İmha Yöntemleri

Şirket, Kanuna ve sair mevzuat ile Kişisel Verilerin İşlenmesi ve Korunması Politikasına uygun olarak sakladığı kişisel verileri, verilerin işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde ilgili kişinin talebi doğrultusunda ya da işbu Kişisel Veri Saklama ve İmha Politikasında belirtilen süreler içinde re’sen siler, yok eder veya anonim hale getirir. Şirket tarafından en çok kullanılan imha yöntemleri aşağıdaki gibidir:

7.3. 1.Silme Yöntemleri

7.3.2. Yok Etme Yöntemleri

7.4 SAKLAMA VE İMHA SÜRELERİ

7.4.1. Saklama Süreleri

Mevzuat uyarınca daha uzun bir süre düzenlenmiş olması ya da mevzuat uyarınca zamanaşımı, hak düşürücü süre, saklama süreleri vb. için daha uzun bir süre öngörülmüş olması halinde, mevzuat hükümlerindeki süreler azami saklama süresi olarak kabul edilir.

7.4.2.   İmha Süreleri

Şirket; Kanun, ilgili mevzuat, Kişisel Verilerin İşlenmesi ve Korunması Politikası ve işbu Kişisel Verileri Saklama ve İmha Politikası uyarınca sorumlu olduğu kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde, kişisel verileri siler, yok eder veya anonim hale getirir.

İlgili kişi, Kanunun 13’ncü maddesine istinaden Şirket’ e başvurarak kendisine ait kişisel verilerin silinmesini veya yok edilmesini talep ettiğinde;

1. Kişisel verileri işleme şartlarının tamamı ortadan kalkmışsa; Şirket talebe konu kişisel verileri, talebi aldığı günden itibaren 30 (otuz) gün içinde gerekçesini açıklayarak uygun imha yöntemi ile siler, yok eder veya anonim hale getirir.  Şirket’ in talebi almış sayılması için ilgili kişinin talebini Kişisel Verilerin İşlenmesi ve Korunması Politikasına uygun olarak yapmış olması gerekir. Şirket, her halde yapılan işlemle ilgili kişiye bilgi verir.

1. Kişisel verileri işleme şartlarının tamamı ortadan kalkmamışsa, bu talep Şirket tarafından Kanunun 13’ncü maddesinin üçüncü fıkrası uyarınca gerekçesi açıklanarak reddedilebilir ve ret cevabı ilgili kişiye en geç otuz gün içinde yazılı olarak ya da elektronik ortamda bildirilir.

7.5. PERİYODİK İMHA

Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda; Şirket işleme şartları ortadan kalkmış olan kişisel verileri işbu Kişisel Verileri Saklama ve İmha Politikasında belirtilen ve tekrar eden aralıklarla re’sen gerçekleştirilecek bir işlemle siler, yok eder veya anonim hale getirir.

Periyodik imha süreçleri ilk kez 01/01/2018 tarihinde başlar ve her 6 (altı) ayda bir tekrar eder.

7.6. İMHA İŞLEMİNİN HUKUKA UYGUNLUĞUNUN DENETİMİ

Şirket, gerek talep üzerine gerekse periyodik imha süreçlerinde re’sen gerçekleştirdiği imha işlemlerini Kanuna, sair mevzuata, Kişisel Verilerin İşlenmesi ve Korunması Politikasına ve işbu Kişisel Veri Saklama ve İmha Politikasına uygun olarak yapar.

8. GÜNCELLEME VE UYUM

Şirket, Kanunda yapılan değişiklikler nedeniyle, Kurum kararları uyarınca ya da sektördeki ya da bilişim alanındaki gelişmeler doğrultusunda Kişisel Verilerin İşlenmesi ve Korunması Politikasında ya da işbu Kişisel Veri Saklama ve İmha Politikasında değişiklik yapma hakkını saklı tutar.

İşbu Kişisel Veri Saklama ve İmha Politikasında yapılan değişiklikler derhal metne işlenir ve değişikliklere ilişkin açıklamalar politikanın sonunda açıklanır.