KİŞİSEL VERİLERİN SAKLANMASI VE İMHA POLİTİKASI

 

  1. AMAÇ

Ürofiz Tıbbi Malzemeler Sağlık Hizmetleri Sanayi ve Dış Ticaret A.Ş.(Bundan sonra “ÜROFİZ” veya “ŞİRKET” olarak anılacaktır., kişisel verileri işlendikleri amaç için gerekli olan süre ve ilgili faaliyetin tabi olduğu yasal mevzuatta öngörülen minimum sürelere uygun olarak muhafaza etmektedir. Bu kapsamda, Şirketimiz öncelikle ilgili mevzuatta kişisel verilerin saklanması için bir süre öngörülüp öngörülmediğini tespit etmekte, bir süre belirlenmişse bu süreye uygun davranmaktadır. Yasal bir süre mevcut değil ise kişisel veriler işlendikleri amaç için gerekli olan süre kadar saklanmaktadır. Kişisel veriler belirlenen saklama sürelerinin sonunda periyodik imha sürelerine veya veri sahibi başvurusuna uygun olarak ve belirlenen imha yöntemleri (silme ve/veya yok etme ve/veya anonimleştirme) ile imha edilmektedir.

Şirketimize ait Kişisel Veri Saklama ve İmha Politikası(bundan sonra “Politika” olarak anılacaktır.) 6698 Sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) ve Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik(“Yönetmelik”) uyarınca yükümlülüklerimizi yerine getirmek amacıyla ve kişisel verilerin işlendikleri amaçlar doğrultusunda azami saklama süreleri ile Silme, Yok Etme ve Anonim Hale Getirme hususlarına ilişkin usul ve esaslar hakkında bilgi vermek amacıyla hazırlanmıştır.

 

  1. KAPSAM

 

Bu politika Şirketimiz çalışanları, çalışan adayları, üçüncü kişi çalışanları, hizmet sağlayıcıları, ziyaretçiler ve diğer üçüncü kişilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin işlenmesi, korunması ve imhasına ilişkin usul ve esasları belirlemektedir.

 

  1. KİŞİSEL VERİLERİN SAKLANMASINI GEREKTİREN SEBEPLER

3.1. HUKUKİ SEBEPLER

  • 6698 Sayılı Kişisel Verilerin Korunması Kanunu
  • 6098 Sayılı Türk Borçlar Kanunu
  • 6102 Sayılı Türk Ticaret Kanunu
  • 5510 Sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu
  • 6331 Sayılı İş Güvenliği ve Güvenliği Kanunu
  • 4857 Sayılı İş Kanunu
  • Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik
  • 3359 sayılı Sağlık Hizmetleri Temel Kanunu
  • 663 sayılı Sağlık Bakanlığı ve Bağlı Kuruluşlarının Teşkilat ve Görevleri Hakkında Kanun Hükmünde Kararname
  • Özel Hastaneler Yönetmeliği

3153 Sayılı Radyoloji Radiyom ve Elektrikle Tedavi ve Diğer Fizyoterapi Müesseseleri Hakkında Kanun, Sosyal Güvenlik Kurumu Sağlık Uygulama Tebliği

  • Kişisel Sağlık Verilerinin İşlenmesi ve Mahremiyetinin Sağlanması Hakkında Yönetmelik

3.2. DİĞER SEBEPLER

  • Hizmet standartlarımızı yükseltmek ve geliştirmek amacıyla,
  • Mevzuattaki kanunlar uyarınca, şirketimiz tarafından düzenlenmesi gereken ticari defterleri, faturaları, banka çek ve bordroları düzenleyebilmek amacıyla,
  • Çalışanların, misafirlerin ve kliniğimize ait binaların güvenliğini sağlayabilmek ve giriş-çıkışları kontrol edebilmek amacıyla,
  • Çalışan adaylarının işe alım süreçlerinin değerlendirilmesi, çalışanların özlük dosyalarının oluşturulması ve kliniğimizin insan kaynakları politikalarının sürdürülmesi amacıyla,
  • Şirketimizin halka açık alanlarında bulunan misafirlerin internete erişimini sağlamak amacıyla,
  • Şirketimizin kurumsal yazışmalarının yapılması amacıyla,
  • Gerekli kalite ve standart denetimlerimizi yapabilmek ya da kanun ve yönetmelikler ile belirlenmiş sair yükümlülüklerimizin yerine getirilmesi amacıyla,
  • Bilgilerin tutarlılığına ilişkin iç denetimimizin sağlanması amacıyla,
  • Hukuk işlerinin takibi amacıyla,
  • Kimlik tespiti ve doğrulaması amacıyla,
  • Şirketimizin ve sizlerin güvenliğini sağlamak amacıyla,
  • Anlaşmalı kurumlarla olan hak sahipliğinizi sorgulama, sağlık hizmetine ilişkin finansal mutabakatın sağlanması, kurumlarca talep edilen bilgileri paylaşma amacıyla,
  • Hastalarımıza özel ilaç, tıbbi malzeme veya cihaz temini amacıyla,
  • Kamu sağlığının korunması amacıyla,
  • Koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi amacıyla,
  • Sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla,
  • İleride doğabilecek hukuki uyuşmazlıklar ve müşteri memnuniyeti için delil amacıyla.

3.3. İMHA SEBEPLERİ

  • Kişisel verilerin işlenmesine esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası,
  • Yukarıda 3.1. ve 3.2. maddede yer alan sebeplerden herhangi birinin zorunlu olmaktan çıkması veya şirketin ilgili maddenin içeriği ile ilgili politikasını değiştirmesi,
  • Açık rızayı gerektiren hallerde, veri sahibinin açık rızasını geri alması,
  • Şirketimizde kayıtlı kişisel veri için, ilgili kişinin şirketimize yaptığı başvuru sonucu şirketimiz değerlendirmesi sonucu başvuran veri sahibinin haklı bulunması veya şirketimizce talebin reddi sonucu talebin Kurul tarafından uygun görülmesi,
  • Şirketimizde kayıtlı kişisel veri için, ilgili kişinin Kişisel Verilerin İmha edilmesi için yaptığı başvurunun Kurum tarafından kabul edilmesi,
  • Otomatik olan yollarla herhangi bir Kişisel Veri işlendiğinin tespit edilmesi,
  • Kişisel Verilerin saklanmasını gerektiren azami sürelerin dolması,
  • Kişisel Verilerin saklanmasını gerektirecek mevcut sebeplerin ortadan kalkması,

Yukarıda belirtilen durumlarda Kişisel Verileriniz şirketimiz tarafından silinir, yok edilir veya anonim hale getirilir.

 

  1. KİŞİSEL VERİLERİN GÜVENLİ BİR ŞEKİLDE SAKLANMASI İLE HUKUKA AYKIRI İŞLENMESİ VE EŞİRİLMESİNİN ÖNLENMESİ İÇİN ALINMIŞ TEDBİRLER

4.1. TEKNİK TEDBİRLER

  • Kişisel verilerin otomatik veya başka yollarla hukuka aykırı olarak işlenme ihtimali göz önünde bulundurularak, bu riskler belirlenerek tedbirler alınmaktadır.
  • Ağ güvenliği ve uygulama güvenliği sağlanmaktadır.
  • Anahtar yönetimi uygulanmaktadır.
  • Bilgi teknolojileri sistemleri tedarik, gelistirme ve bakımı kapsamındaki güvenlik önlemleri alınmaktadır.
  • Bulutta depolanan kişisel verilerin güvenliği sağlanmaktadır.
  • Çalışanlar için yetki matrisi oluşturulmuştur.
  • Erişim logları düzenli olarak tutulmaktadır.
  • Güncel anti-virüs sistemleri kullanılmaktadır.
  • Güvenlik duvarları kullanılmaktadır.
  • Kişisel veriler yedeklenmekte ve yedeklenen kişisel verilerin güvenliği de sağlanmaktadır.
  • Log kayıtları kullanıcı müdahalesi olmayacak şekilde tutulmaktadır.
  • Özel nitelikli kişisel veriler için güvenli şifreleme / kriptografik anahtarlar kullanılmakta ve farklı birimlerce yönetilmektedir.
  • Saldırı tespit ve önleme sistemleri kullanılmaktadır.
  • Siber güvenlik önlemleri alınmış olup uygulanması sürekli takip edilmektedir.
  • Şifreleme yapılmaktadır.

4.2. İDARİ TEDBİRLER

  • Şirketimiz tarafından, kişisel veri işlemeden önce ilgili kişiler için aydınlatma yükümlülüğü yerine getirilmektedir.
  • Şirketimiz tarafından kişisel veri envanteri oluşturulmuş olup kategoriler tespit edilmiştir. Şirket politikalarımız ve hayatın olağan akışı içerisinde oluşabilecek yeni kategoriler tespit edilerek sürekli risk analizleri ve mevcut durum tespitleri yapılmaktadır.
  • Çalışanlarımıza Kişisel Verilerin Korunması Hukuku ve ilgili mevzuat kapsamında eğitimler verilmiş, şirketimiz bünyesinde çalışmaya yeni başlayan her çalışanımıza da oryantasyon sürecinde eğitimler verilmektedir.
  • Çalışanlarımıza Kişisel Verilerin Korunması Hukuku ve ilgili mevzuat kapsamında verilen eğitimler sonrasında şirketimiz faaliyetleri süreçlerinde öğrenecekleri ve ulaşabilecekleri kişisel veriler ile ilgili gizlilik sözleşmeleri imzalatılmış ve herhangi bir kişisel verinin mevzuata aykırı olarak üçüncü kişi veya kurumlarla paylaşılması halinde bu durumun işverence haklı fesih sebebi olacağı bilgisi verilmiştir.
  • Mevcut kişisel verilerin ilgili amacın gerçekleştirilmesi yönünde kullanılıp kullanılmadığına ilişkin denetimler yapılmaktadır.
  • Çalışanlarımıza ait kişisel verilerin yer aldığı özlük dosyaları şirket içerisinde yetkililer dışında kimsenin erişemeyeceği bir şekilde saklanmaktadır. Kişisel veri içeren fiziksel ortamların dış risklere (yangın, sel vb.) karşı güvenliği sağlanmaktadır.
  • Erişim, bilgi güvenliği, kullanım, saklama ve imha konularında kurumsal politikalar hazırlanmış ve uygulamaya başlanmıştır.
  • Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır.
  • Kağıt yoluyla aktarılan kişisel veriler için ekstra güvenlik tedbirleri alınmakta ve ilgili evrak gizlilik dereceli belge formatında gönderilmektedir.
  • Kişisel veri güvenliği politika ve prosedürleri belirlenmiştir.
  • Kişisel veri güvenliğinin takibi yapılmaktadır.
  • Kişisel veriler mümkün olduğunca azaltılmaktadır.