6698 SAYILI KİŞİSEL VERİLERİN KORUNMASI KANUNU GEREĞİNCE
KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASI
HAKKINDA AYDINLATMA METNİ

KVKK Aydınlatma Metni'nin tamamını görüntülemek için tıklayınız.

Kişisel veri, bireylerin kimliklerini belirli hale getirmeye elverişli her türlü bilgi olarak tanımlanabilir. Bu bağlamda kişinin kimlik, iletişim, sağlık ve mali bilgileri gibi bilgiler, kişisel veri olarak nitelendirilmektedir. Günümüzde bu veriler, gerek özel sektör ve gerekse kamu sektörü tarafından bilişim sistemleri üzerinden otomatik yollarla sıkça kullanılmaktadır. Bu bilgilerin kullanılması bireyler ile mal ve hizmet sunanlar bakımından bazı kolaylıklar veya avantajlar sağlasa da, bu durum söz konusu bilgilerin istismar edilme riskini de beraberinde getirmektedir. Bu gerekçelerle kanun koyucu kişisel verilerin belli şartlar dahilinde işlenmesine, muhafaza edilmesine ve kontrolüne ilişkin esasların belirlenmesini gerekli görmüştür. Son yıllarda önem kazanan kişinin mahremiyet hakkı ile bilgi güvenliği hakkının korunması da bu kapsamda değerlendirilmektedir.

Anayasamızın 20’nci maddesinde yapılan düzenlemeyle bir Anayasal hak olan kişisel verilerin korunması, temel bir insan hakkı olarak güvence altına alınmış ve detayların kanunla düzenlenmesi öngörülmüştür. Buna bağlı olarak kişisel verilerin korunması özel kanunlarla da düzenlenmiş olup, SUNMED LAZER SAĞLIK VE GÜZELLİK MERKEZİ LTD.ŞTİ.’nin (Dr. Nilgün Soysal muayenehanesi) (Şirket, NSC veya “veri sorumlusu” olarak anılacaktır.) kurumsal olarak gözettiği en önemli yaklaşımları arasındadır. Buna göre şirketimiz kişisel verilerin korunmasına gerekli özeni göstermekte ve bunu KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ HAKKINDA BİR ŞİRKET POLİTİKASI haline getirmektedir. Buna bağlı olarak müşterilerinin, çalışanlarının, çalışan adaylarının, ziyaretçilerinin kişisel verilerinin gizlilik haklarına ve bilgilerinin korunmasına büyük önem vermekte, bu konuda tüm yasal düzenlemelere uyumlu hareket etmekte ve aşağıda detayları açıklanan esasları bu politika kapsamında uygulamaktadır.

Kişisel Verilerin Korunması ve İşlenmesi Hakkındaki işbu aydınlatma metninin amacı, kişisel verilerin işlenmesi ve korunması konusunda yürürlükte bulunan ilgili yasal düzenlemeler öncelikli uygulama alanı olacak şekilde Kanun’un 12’nci maddesine göre kişisel verilerin hukuka aykırı olarak açıklanmasını, kişisel verilere hukuka aykırı olarak erişimini, aktarılmasını veya herhangi bir şekilde meydana gelebilecek güvenlik eksikliklerini önlemek için, korunacak verinin niteliğine göre gerekli tedbirlerin alındığına, bu kapsamda Veri Sorumlusu sıfatıyla Şirketimizin, Kişisel Verileri Koruma Kurulu (Kurul) tarafından yayımlanmış ve/veya yayımlanacak olan mevzuata uygun olarak ilgili kişinin kişisel verilerinin korunması için en üst seviyede gerekli güvenlik kriterlerini sağlamaya yönelik idari ve teknik tedbirleri almakta, denetimleri yapmakta veya yaptırmakta olduğuna dair, Kanun’un 10’uncu maddesine göre aydınlatma yükümlülüğünün yerine getirilmesi kapsamında ilgili kişinin bilgilendirilmesidir.

Bu amacın gerçekleştirilebilmesi için ilgili kişilerin (faaliyeti kapsamında şirketimizden hizmet alanlar, çalışanlar, çalışan adayları, ziyaretçiler ve faaliyeti kapsamında şirketimizle hizmet sağlayıcı olarak ilişkide bulunan üçüncü kişilere ve çalışanlarına ait kişisel veriler) kişisel verileri aşağıda detayları açıklanan kapsam ve koşullarda işlenmektedir. Veri Sorumlusu sıfatıyla Kanun kapsamında bütün sorumluluklarımızı bu politikanın uygulanması kapsamında yerine getiriyoruz.

6698 sayılı Kanunun uygulanmasında:

  • a) Açık rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı,
  • b) Anonim hâle getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini,
  • c) Başkan: Kişisel Verileri Koruma Kurumu Başkanını,
  • ç) İlgili kişi: Kişisel verisi işlenen gerçek kişiyi,
  • d) Kişisel veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi,
  • e) Kişisel verilerin işlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi,
  • f) Kurul: Kişisel Verileri Koruma Kurulunu,
  • g) Kurum: Kişisel Verileri Koruma Kurumunu,
  • h) Veri işleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi,
  • ı) Veri kayıt sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini,
  • i) Veri sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi,
  • j) Yönetmelik: “Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi hakkında yönetmelik”
  • Ayrıca;
  • k) 5651 sayılı Kanun: İnternet ortamında yapılan yayınların düzenlenmesi ve bu yayınlar yoluyla işlenen suçlarla mücadele edilmesi hakkında kanun,
  • l) Bilgi: Verilerin anlam kazanmış biçimini,
  • m) Erişim: Bir internet ortamına bağlanarak kullanım olanağı kazanılmasını,
  • n) İnternet ortamı: Haberleşme ile kişisel veya kurumsal bilgisayar sistemleri dışında kalan ve kamuya açık olan internet üzerinde oluşturulan ortamı,
  • o) Veri: Bilgisayar tarafından üzerinde işlem yapılabilen her türlü değeri, ifade eder.

TEMEL İLKELER-SORUMLULUKLAR

Kişisel veriler, ancak 6698 sayılı Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenebilir. Buna göre veri sorumlusu olarak NSC;

  • • Kişisel verilerin işlenmesini Hukuka ve Dürüstlük Kuralına Uygun olarak yürütür.
  • • Kişisel Verilerin Doğru ve Gerektiğinde Güncel Olmasını Sağlamakla yükümlüdür.
  • • Kişisel verileri Belirli, Açık ve Meşru Amaçlarla İşlemektedir.
  • • Kişisel verilerin İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olmasına özen gösterir.
  • • Kişisel verileri İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç için Gerekli Olan Süre Kadar Muhafaza Etmektedir.
  • VERBİS kaydına göre veya Mevzuatta öngörülen sürenin bitimi veya kişisel verilerin işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel verileri siler, yok eder veya anonim hale getirir.


KİŞİSEL VERİLERİN İŞLENME ŞARTLARI

Kanunun 5’inci maddesine göre kişisel veriler ilgili kişinin açık rızası (belirli bir konuya ilişkin olan, bilgilendirilmeye dayalı olarak özgür iradeyle açıklanan) olmaksızın işlenemez. Buna bağlı olarak öncelikle ilgili kişi/veri sahibi aydınlatılmalıdır.

Aydınlatma ne zaman ve nasıl yapılmalıdır?

İlgili kişi/veri sahibinin kişisel verisini işlemek için Kanuna göre açık rızasının alınması gerekiyorsa, rızası alınmadan önce kişi Kanunda öngörülen esaslara göre aydınlatılmalıdır. Aydınlatma sonrasında kişinin açık rızasının alınamaması halinde, işlenmesi düşünülen veriye ilişkin faaliyet Kanunun 5’inci maddesinde sayılan ve açık rıza aranmaksızın veri işlenmesi mümkün olan iş veya işlemlerden değilse kişisel veri işlenmemelidir. Bu durumda açık rıza alınamayan iş veya işlemin varsa bir sonraki aşamasına ilişkin ürün ve/veya hizmet temininin sağlanamayabileceği hususu da ilgili kişiye belirtilmelidir.

Aşağıda Kanunun 5’inci maddesine göre tahdidi olarak sayılan ve veri işleme şartının mevcudiyeti kapsamında kişiden veri işlenmesi için açık rıza alınması gerekmeyen durumlarda ise aydınlatma yine veri işlenmeye başlamadan önce yapılmalı ve hangi verilerin neden işleneceği bu madde kapsamına uygun olarak açıklanmalıdır.

Aşağıdaki şartlardan birinin varlığı halinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür:

  • a. Kanunlarda Açıkça Öngörülmesi
  • b. Fiili İmkansızlık Sebebiyle İlgilinin Açık Rızasının Alınamaması
  • c. Bir Sözleşmenin Kurulması veya İfasıyla Doğrudan İlgili Olması
  • d. Veri Sorumlusunun Hukuki Yükümlülüğünü Yerine Getirmesi
  • e. İlgili Kişinin Kendisi Tarafından Alenileştirilmiş Olması
  • f. Bir Hakkın Tesisi veya Korunması için Veri İşlemenin Zorunlu Olması
  • g. Veri Sorumlusu’nun Meşru Menfaati için Veri İşlemenin Zorunlu Olması

  • Yukarıda sayılan durumlar haricinde ve/veya her hal ve durumda özel nitelikli kişisel verilerin işlenebilmesi için veri sahibinin açık rızası alınacaktır.

Bu aydınlatma ile tarafımızdan işletilmekte olan www.drnilgunestetik.com internet sitesinin/sitelerinin (Site) işletilmesi sırasında Site ziyaretçilerine (Veri Sahibi) çerezlerin kullanımı ile elde edilen kişisel verilerin işlenmesine ilişkin olarak bilgi verilmesi ve işbu metinde sitemizde hangi amaçlarla hangi tür çerezlerin kullanıldığını ve bu çerezlerin nasıl kontrol edilebileceğini size açıklamak amaçlanmıştır.

NSC bina ve tesislerinde bulunduğunuz süre boyunca talep eden ziyaretçilerimize/misafirlerimize internet erişimi sağlanabilmektedir. Bu durumda internet erişimlerinize ilişkin log kayıtları 5651 Sayılı Kanun ve bu Kanuna göre düzenlenmiş ilgili mevzuata göre zorunlu olarak kayıt altına alınmakta; bu kayıtlar ancak yetkili kamu kurum ve kuruluşları tarafından talep edilmesi veya Şirket içinde gerçekleştirilecek denetim süreçlerinde ilgili hukuki yükümlülüğümüzü yerine getirmek amacıyla işlenmektedir.

Elde edilen log kayıtlarına yalnızca sınırlı sayıda Şirket çalışanının erişimi bulunmaktadır. Bahsi geçen kayıtlara erişimi olan Şirket çalışanları bu kayıtlara yalnızca yetkili kamu kurum ve kuruluşundan gelen talep veya denetim süreçlerinde kullanmak üzere erişmekte ve kayıtları hukuken yetkili olan kişilerle paylaşmaktadır. Kayıtlara erişimi olan sınırlı sayıda kişi gizlilik taahhütnamesi ile eriştiği verilerin gizliliğini koruyacağını beyan etmektedir.

Şirketimiz İnternet sitesi girişinde çerezlerin kullanımına ilişkin onay bilgisi yasal zorunluluk olarak tüm kullanıcılardan alınmaktadır. Şirketimizin bu faaliyetleri nedeniyle kişisel verilerin korunması ve işlenmesine ilişkin detaylı açıklamalar internet sitemizden erişilebilecek olan işbu KVKK metinleri içerisinde yer almaktadır.

İnternet sitelerimizi ziyaretleriniz sırasında deneyiminizi geliştirmek, kolaylaştırmak, sitenin doğru ve verimli çalışmasını sağlamak amacıyla Bilgi Teknolojileri dahilinde bazı teknolojilerden (çerezler-cookies) faydalanmak, kullanmak gerekmektedir. Çerezler, tarayıcınız tarafından bilgisayarınızın sabit diskinde saklanan küçük bilgiler olarak tanımlanabilir. Çerezler; kullanım ömrü, kullanım amacı, çerezin sahibi veya çerez yerleştiren tarafa göre çeşitli tasniflere tabi tutulur.


Sitemizde Kullanılan Çerezler

Zorunlu, fonksiyonel ve/veya analitik çerezler hiçbir hal ve şartta kimliğinizi tanımlayabilecek verileri toplamaz, saklamaz, işlemeye yol açmaz; bu nitelikleri nedeniyle KİŞİSEL VERİ olarak nitelendirilemez. Bilgisayarınıza zarar vermez, virüs barındırmaz. Ziyaretçiler tarafından sitenin nasıl? kullanıldığını anlamayı sağlar, istatistik verileri toplar ve bu veriler doğrultusunda içerik geliştirilmesine yardımcı olur. Gelecekteki olası ziyaretlerde faaliyetleri hızlandırmayı sağlar. Site ara yüzlerinin ve özelliklerinin olması gerektiği gibi kullanılması açısından zorunludur.

Reklamları kişiselleştirmek ve site trafiğini test ve analiz etmek amacıyla, kişiye bağlı temel hak ve özgürlüklerinize zarar vermemek için gerekli hukuki bildirimlere bağlı taahhütleri alınmış olarak meşru menfaatler kapsamında reklam çerezleri kullanılabilmektedir.


Çerez Tercihlerinizi Yönetebilme

Çerezlerin kullanımına yada kullanılmamasına ilişkin tercihlerinizi değiştirmek; çerezleri engellemek veya silmek için tarayıcınızın ayarlarını değiştirmek yeterli olacaktır. Hemen tüm tarayıcılarda sizlere çerezleri yönetme kapsamında uyarı seçenekleri sunulur. Bu kapsamda daha önce tarayıcınıza kaydedilmiş çerezlerin kabul edilmesi, reddedilmesi, sadece belli türdeki çerezlerin kabul edilmesi, bir sitenin bilgisayarınıza/cihazınıza çerez depolamayı talep etmesi halinde uyarı alınması ve çerezlerin silinmesi mümkündür. Çerezleri reddetme, devre dışı bırakma seçenekleri halinde tercihlerinizi sizin ayarlamanız gerekeceği gibi, ilgili sitenin bazı özellikleri ve hizmetlerinin de düzgün, beklendiği şekilde çalışmaması da söz konusu olabilir.

Bu teknolojilerin kullanımı başta 6698 sayılı “Kişisel Verilerin Korunması Kanunu” ve 5651 sayılı “İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun” olmak üzere mevzuata uygun şekilde gerçekleştirilmektedir. Veri Sahibi, herhangi bir kişisel verisinin Şirket tarafından kullanılmaması yönünde bir tercihte/talepte bulunması halinde Site’nin işleyişinden tam olarak faydalanamayabileceğini kabul ile bu kapsamda doğacak her türlü sorumluluğun kendisine ait olacağını beyan eder.

NSC olarak sitemizde kullandığımız çerezleri kullanmaktan vazgeçebilir, bunların türlerini veya fonksiyonlarını değiştirebilir veya sitemize yeni çerezler ekleyebiliriz. Dolayısıyla iş bu aydınlatma metninin hükümlerini dilediğimiz zaman değiştirme hakkını saklı tutuyoruz. Güncel aydınlatma metni üzerinde gerçekleştirilmiş olan her türlü değişiklik sitede veya kamuya açık herhangi bir mecrada yayınlanmakla birlikte yürürlük kazanacaktır. Son güncelleme tarihini metnin sonunda bulabilirsiniz.

NSC tarafından gerek işyeri, çalışan, müşteri güvenliğinin sağlanması amacıyla ve gerekse kamu düzeni açısından güvenliğe yönelik öngörülerle işbu metinde belirtilen amaçlarla, NSC plaza ve binalarında, tesislerinde güvenlik kameralarıyla izleme ile giriş çıkışların takibine yönelik kişisel veri işleme faaliyetinde bulunulmaktadır. Bu faaliyetler ile kişisel verilerin işlenmesi söz konusudur. Şirketimiz tarafından Kanun’un 12’nci maddesine uygun olarak, kamera ile izleme faaliyeti sonucunda elde edilen kişisel verilerin güvenliğinin sağlanması için gerekli teknik ve idari tedbirler alınmaktadır. Şirketimiz, güvenlik kamerası ile izleme faaliyeti kapsamında; sunulan hizmetin kalitesini artırmayı, güvenilirliğini sağlamayı, şirketin, müşterilerin ve diğer kişilerin güvenliğini sağlamayı ve müşterilerin aldıkları hizmete ilişkin menfaatlerini korumayı amaçlamaktadır. Misafir giriş-çıkış takibi yapılması amacıyla elde edilen veriler yalnızca bu amaçla işlenmekte ve ilgili kişisel veriler fiziki ortamda veri kayıt sistemine kaydedilmekte ve taahhüt edilen süresi boyunca saklanmaktadır.

Şirketimiz tarafından yürütülen kamera ile izleme faaliyeti, 5188 sayılı “Özel Güvenlik Hizmetlerine Dair Kanun” ve ilgili mevzuata uygun olarak sürdürülmektedir. Dijital ortamda kaydedilen ve muhafaza edilen kayıtlara yalnızca sınırlı sayıda Şirket çalışanının erişimi bulunmaktadır. Kayıtlara erişimi olan sınırlı sayıda kişi gizlilik taahhütnamesi ile eriştiği verilerin gizliliğini koruyacağını beyan etmektedir. Muayene odaları, tuvaletler, soyunma-giyinme kabinleri gibi yerlerde hiçbir şekilde izleme yapılmamaktadır.

Yukarıdaki açıklamalar kapsamında NSC’de kişisel verileriniz Kanunun 5’inci ve 6’ncı maddelerinde belirtilen kişisel veri işleme şartları ve amaçları dahilinde aşağıda belirtildiği şekilde gerçekleştirilecektir;


KİŞİSEL VERİ İŞLEME ŞARTLARI

Çalışan-çalışan adayı verileri:
Kanunlarda Açıkça Öngörülmesi, Veri Sorumlusunun Hukuki Yükümlülüğünü Yerine Getirmesi, Bir Sözleşmenin (İş) Kurulması veya İfasıyla Doğrudan İlgili Olması, Bir Hakkın Tesisi veya Korunması için Veri İşlemenin Zorunlu Olması, Veri Sorumlusu’nun Meşru Menfaati için Veri İşlemenin Zorunlu Olması:

İş başvurusu aşamasından başlamak suretiyle işe kabul halinde işe başlama ve çalışma hayatı ile ilgili zorunlu yasal girişlerin yapılması, sürdürülmesi ve gerektiğinde sona erdirilmesi amacıyla ayrıca açık rıza alınmasına gerek olmaksızın kişisel veri işlenebilmektedir.

Çalışan adayının işe kabul edilmemesi yada kendisinin başvurusundan vazgeçmesi halinde, çalışan adayına ait bilgiler yasal olarak daha uzun süreli bir saklama yükümlülüğünün getirilmemiş olması kaydıyla NSC’nin VERBİS kaydında öngörülen veri saklama süresi kadar muhafaza edilecek, bu sürenin sonunda silinecek, yok edilecek veya anonim hale getirilecektir. Ayrıntılı bilgiye aşağıda “KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VEYA ANONİM HÂLE GETİRİLMESİ” başlığı altında ulaşılabilir.

Müşteri, veli-vasi verileri:
Bir Sözleşmenin (Sağlık Hizmeti) Kurulması veya İfasıyla Doğrudan İlgili Olması, Veri Sorumlusunun Hukuki Yükümlülüğünü Yerine Getirmesi, Veri Sorumlusu’nun Meşru Menfaati için Veri İşlemenin Zorunlu Olması:

NSC, özel sağlık kurumları tarafından polikliniklerde sağlanan yatılı olmayan genel hekimlik uygulamaları kapsamında T.C. Sağlık Bakanlığı prosedürlerine göre Poliklinik vasfına haiz bir sağlık kuruluşu olarak MEDİKAL ESTETİK uygulamaları alanında faaliyet göstermekte olup, faaliyet konusu itibarıyla hekimlik uygulamaları kapsamında hizmet almak üzere başvuran hastalardan (reşit olmaması halinde velisinden yada hukuki duruma göre vasisinden) hasta kayıt ve onam formları başta olmak üzere yazılı bilgilendirme ve işlem onamı alınması amacıyla ayrıca açık rıza alınmasına gerek olmaksızın kişisel veri işlenebilmektedir.

Özel nitelikli kişisel veriler:
Özel nitelikli kişisel veriler veri sorumlusu tarafından, işbu politikada belirtilen ilkelere uygun olarak ve Kurul’un belirleyeceği usul ve esaslar da dahil olmak üzere gerekli her türlü idari ve teknik tedbirler alınarak ve aşağıdaki şartların varlığı halinde işlenmektedir:

a.Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler: kanunlarda açıkça öngörülen hâllerde veri sahibinin açık rızası aranmaksızın işlenebilir. Bunun dışındaki her hal ve durumda söz konusu özel nitelikli kişisel verilerin işlenebilmesi için veri sahibinin açık rızası alınacaktır.

b.Sağlık ve cinsel hayata ilişkin özel nitelikli kişisel veriler: ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.

Özel nitelikteki kişisel verileriniz arasında sayılan, sağlık ve cinsel hayat dışındaki kişisel verileriniz, ancak kanunlarda öngörülen hâllerde, açık rızanız aranmaksızın işlenebilecek, belirtilen gerçek veya tüzel kişilere aktarılabilecektir. Sağlık ve cinsel hayata ilişkin kişisel verileriniz ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanın planlanması ve yönetimi ile 6698 sayılı Kişisel Verilerin Korunması Kanunu yanında 3359 sayılı Sağlık Hizmetleri Temel Kanunu, 21.06.2019 tarihli Kişisel Sağlık Verileri Hakkında Yönetmelik ve ilgili diğer mevzuatta yer alan hukuki yükümlülüklerimizi yerine getirmek amacıyla açık rızanız aranmaksızın yukarıda sayılan gerçek veya tüzel kişilere aktarılabilecektir. Elektronik Tıbbi Kayıtlar ve Elektronik Sağlık kayıtları da bu kapsamdadır.

Bunun dışındaki her hal ve durumda söz konusu özel nitelikli kişisel verilerin işlenebilmesi için veri sahibinin açık rızası alınacaktır. Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır.

Söz konusu kişisel veriler yasal olarak daha uzun süreli bir saklama yükümlülüğünün getirilmemiş olması halinde NSC’nin VERBİS kaydında öngörülen veri saklama süresi kadar muhafaza edilecek, bu sürenin sonunda silinecek, yok edilecek veya anonim hale getirilecektir. Ayrıntılı bilgiye aşağıda “KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VEYA ANONİM HÂLE GETİRİLMESİ” başlığı altında ulaşılabilir.

Ziyaretçi verileri:
Bir Hakkın Tesisi veya Korunması için Veri İşlemenin Zorunlu Olması, Veri Sorumlusu’nun Meşru Menfaati için Veri İşlemenin Zorunlu Olması:

NSC tarafından gerek işyeri, çalışan, müşteri güvenliğinin sağlanması amacıyla ve gerekse kamu düzeni açısından güvenliğe yönelik öngörülerle işbu metinde belirtilen amaçlarla, ayrıca açık rıza alınmasına gerek olmaksızın NSC plaza ve binalarında, tesislerinde güvenlik kameralarıyla izleme ile giriş çıkışların takibine yönelik kişisel veri işleme faaliyetinde bulunulmaktadır. Kamera kaydı alındığına ilişkin görsel uyarılar uygun ebatlarda, yeteri kadar sayıda ve görünecek yerlerde asılmalıdır.

Söz konusu kişisel veriler yasal olarak daha uzun süreli bir saklama yükümlülüğünün getirilmemiş olması halinde NSC’nin VERBİS kaydında öngörülen veri saklama süresi kadar muhafaza edilecek, bu sürenin sonunda silinecek, yok edilecek veya anonim hale getirilecektir. Ayrıntılı bilgiye aşağıda “KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VEYA ANONİM HÂLE GETİRİLMESİ” başlığı altında ulaşılabilir.



KİŞİSEL VERİ İŞLEME AMAÇLARI

  • • Acil Durum Yönetimi Süreçlerinin Yürütülmesi
  • • Bilgi Güvenliği Süreçlerinin Yürütülmesi
  • • Çalışan Adayı / Stajyer / Öğrenci Seçme Ve Yerleştirme Süreçlerinin Yürütülmesi
  • • Çalışan Adaylarının Başvuru Süreçlerinin Yürütülmesi
  • • Çalışan Memnuniyeti Ve Bağlılığı Süreçlerinin Yürütülmesi
  • • Çalışanlar İçin İş Akdi Ve Mevzuattan Kaynaklı Yükümlülüklerin Yerine Getirilmesi
  • • Çalışanlar İçin Yan Haklar Ve Menfaatleri Süreçlerinin Yürütülmesi
  • • Denetim / Etik Faaliyetlerinin Yürütülmesi
  • • Eğitim Faaliyetlerinin Yürütülmesi
  • • Erişim Yetkilerinin Yürütülmesi
  • • Faaliyetlerin Mevzuata Uygun Yürütülmesi
  • • Finans Ve Muhasebe İşlerinin Yürütülmesi
  • • Fiziksel Mekan Güvenliğinin Temini
  • • Görevlendirme Süreçlerinin Yürütülmesi
  • • Hukuk İşlerinin Takibi Ve Yürütülmesi
  • • İletişim Faaliyetlerinin Yürütülmesi
  • • İnsan Kaynakları Süreçlerinin Planlanması
  • • İş Faaliyetlerinin Yürütülmesi / Denetimi
  • • İş Sağlığı / Güvenliği Faaliyetlerinin Yürütülmesi
  • • Mal / Hizmet Satın Alım Süreçlerinin Yürütülmesi
  • • Mal / Hizmet Satış Sonrası Destek Hizmetlerinin Yürütülmesi
  • • Mal / Hizmet Satış Süreçlerinin Yürütülmesi
  • • Müşteri İlişkileri Yönetimi Süreçlerinin Yürütülmesi
  • • Müşteri Memnuniyetine Yönelik Aktivitelerin Yürütülmesi
  • • Reklam / Kampanya / Promosyon Süreçlerinin Yürütülmesi
  • • Risk Yönetimi Süreçlerinin Yürütülmesi
  • • Saklama Ve Arşiv Faaliyetlerinin Yürütülmesi
  • • Sözleşme Süreçlerinin Yürütülmesi
  • • Talep / Şikayetlerin Takibi
  • • Taşınır Mal Ve Kaynakların Güvenliğinin Temini
  • • Ücret Politikasının Yürütülmesi
  • • Ürün / Hizmetlerin Pazarlama Süreçlerinin Yürütülmesi
  • • Veri Sorumlusu Operasyonlarının Güvenliğinin Temini
  • • Yetkili Kişi, Kurum Ve Kuruluşlara Bilgi Verilmesi
  • • Yönetim Faaliyetlerinin Yürütülmesi
  • • Ziyaretçi Kayıtlarının Oluşturulması Ve Takibi

Kanunun 8’inci ve 9’uncu maddelerinde düzenlenmiş olan kişisel veri aktarım şartlarına uygun hareket edilmesi koşuluyla NSC tarafından kişisel veri aktarımı gerçekleştirilebilir. Bu kapsamda kişisel verilerin üçüncü kişilerle paylaşılması veya kişisel verilerin üçüncü kişilerin erişimine açılması söz konusu olabilir. Toplanan kişisel verileriniz; Kanun ve diğer ilgili mevzuat kapsamında yer alan temel ilkelere uygun olarak ve Kanunun 8’inci ve 9’uncu maddelerinde belirtilen kişisel veri işleme şartları ve amaçlarına uygun olacak şekilde NSC tarafından aşağıda yer verilen amaçlarla iş ortaklarımıza, tedarikçilerimize, kanunen yetkili kamu kurumlarına ve gerçek yada tüzel özel kişilere aktarılabilmektedir.

Amacı doğrultusunda işlenmesi halinde veriler aşağıdaki durumlarda aktarılabilir:
Kişisel veri sahibinin açık rızası olmasa dahi aşağıda belirtilen şartlardan birinin ya da birkaçının mevcut olması halinde Şirketimiz tarafından gerekli özen gösterilerek ve Kurul tarafından öngörülen yöntemlerle gerekli tüm güvenlik önlemleri alınarak kişisel veriler üçüncü kişilere aktarılabilecektir:

  • • Kişisel verilerin aktarılmasına ilişkin ilgili faaliyetlerin kanunlarda açıkça öngörülmesi,
  • • Kişisel verilerin Şirket tarafından aktarılmasının bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili ve gerekli olması,
  • • Kişisel verilerin aktarılmasının Şirketimizin hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
  • • Kişisel verilerin veri sahibi tarafından alenileştirilmiş olması şartıyla, alenileştirme amacıyla sınırlı bir şekilde Şirketimiz tarafından aktarılması,
  • • Kişisel verilerin Şirket tarafından aktarılmasının Şirket’in veya veri sahibinin veya üçüncü kişilerin haklarının tesisi, kullanılması veya korunması için zorunlu olması,
  • • Veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla Şirket meşru menfaatleri için kişisel veri aktarımı faaliyetinde bulunulmasının zorunlu olması,
  • • Fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünü koruması için zorunlu olması.

Buna göre:

  • • NSC tarafından gerçekleştirilen ticari faaliyetin sürdürülmesi,
  • • Hukuki yükümlülüklerin takibi ve yerine getirilebilmesi,
  • • Sözleşmesel yükümlülüklerin takibi ve yerine getirilmesi,
  • • Verilen hizmetlerin ve/veya iş stratejilerinin planlanması, işlemlerin gerçekleştirilmesi, buna bağlı olarak gerek NSC ve gerekse NSC ile iş ilişkisi içerisinde olan ilgili 3. gerçek veya tüzel kişilerin hukuki, teknik ve ticari iş güvenliğinin temini,
  • • Site ve/veya mobil uygulama veya hizmet sunulan ürünlerin toplu istatistiksel verilerini, ziyaretçi hareket, hizmet alma tercihlerini analiz etmek ve anlamak,
  • • Klinik hizmetleri, randevusu, hizmet sonrası müşteri memnuniyeti, müşterilerimizle ilgili iletişimi sağlamak amacıyla, randevu-ödeme-banka-finans bilgileri-SGK, sigorta şirketi onayı, provizyon durumunu bildirmek için telefon - whatsapp araması yapılabilmesi, SMS-MMS, e-posta, ticari elektronik ileti bildirimleri gönderilmesi,
  • • Lansman, kampanya, etkinlik duyuruları, promosyon, anket ve pazarlama içerikleri göndermek ve bilgi vermek,
  • • Verilen hizmetin, Sitenin ve/veya mobil uygulamanın güvenliğini güçlendirmek,
  • • Yararlanılması kişinin sağlıkla ilgili durumunun elvermesine bağlı hizmetlerin alınabilmesi,

gibi amaçlarından biri yada bir kaçı kapsamında işlenen kişisel verilerin aktarımı söz konusu olabilecektir.

Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri Kanunun 8 inci maddesine göre ilgili kişinin açık rızası olmaksızın aktarılamaz.
Kişisel verilerin aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklıdır.

Kanun’un 9’ncu maddesine göre; Kişisel veriler, ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamaz. NSC tarafından VERBİS kaydında belirtilen düzenlemeye uygun olarak halen işlenen herhangi bir kişisel veri yurtdışına aktarılmamaktadır.

VERİ SORUMLUSU

SUNMED LAZER SAĞLIK VE GÜZELLİK MERKEZİ LTD.ŞTİ. (Dr. Nilgün Soysal muayenehanesi) KVKK’na göre Veri Sorumlusu sıfatıyla “Prof. Dr. Ahmet Taner Kışlalı Mah. Alacaatlı Cad. G/1 Blok No: 9 Hilmi Barlas Yaşam Merkezi Çayyolu/ANKARA” adresinde Özel sağlık kurumları tarafından polikliniklerde sağlanan yatılı olmayan genel hekimlik uygulamaları kapsamında T.C. Sağlık Bakanlığı prosedürlerine göre Poliklinik vasfına haiz bir sağlık kuruluşu olarak MEDİKAL ESTETİK uygulamaları ile faaliyet göstermektedir. NSC, 286431 sicil numarası ile Ankara Ticaret Sicili Müdürlüğü’ne ve 7840268482 vergi numarası ile Doğanbey Vergi Dairesi’ne kayıtlı olup, MERSİS Numarası: 41 44 512795 594 448’dir. Web adresi: www.drnilgunestetik.com dur.

Dolayısıyla, işbu aydınlatma metni söz konusu tüm unvanlarla ilgili faaliyetler ve verilen hizmetler için geçerli olup, belirtilen tüm web adreslerinden gerekli bilgilendirmelere ulaşılabilecektir.

NSC, halen güncel hükümleri içermekte olan işbu aydınlatma metni hükümlerini yasal mevzuata uygun olacak şekilde dilediği zaman internet sayfası üzerinden yayımlamak suretiyle güncelleyebilir ve değiştirebilir. Yapılan güncelleme ve değişiklikler yayınlandığı tarihten itibaren geçerli olacaktır.

Avrupa Birliği vatandaşı ve diğer yabancı ülke vatandaşı müşterilerimiz için bilgilendirme ve aydınlatma, talebi halinde metnin İngilizce tercümesi veya tercüman yardımıyla yapılabilecektir.

KVKK 11’inci maddesine göre (gerçek kişi olmak kaydıyla) herkes veri sahibi/ilgili kişi sıfatıyla herkes, veri sorumlusuna başvurarak kendisiyle ilgili;

  • a. Kişisel veri işlenip işlenmediğini öğrenme,
  • b. Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
  • c. Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
  • d. Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
  • e. Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
  • f. 7nci maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme,
  • g. (e) ve (f) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
  • h. İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
  • i. Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme haklarına sahiptir.


BAŞVURU VE ŞİKÂYET HAKKI

Veri sorumlusuna başvuru:
Kanunun 13’üncü maddesine göre İlgili kişi, bu Kanunun uygulanmasıyla ilgili taleplerini yazılı olarak veya Kurulun belirleyeceği diğer yöntemlerle veri sorumlusuna iletir.

Veri sorumlusu başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandırır. Ancak, işlemin ayrıca bir maliyeti gerektirmesi hâlinde, Kurulca belirlenen tarifedeki ücret alınabilir.

Veri sorumlusu talebi kabul eder veya gerekçesini açıklayarak reddeder ve cevabını ilgili kişiye yazılı olarak veya elektronik ortamda bildirir. Başvuruda yer alan talebin kabul edilmesi hâlinde veri sorumlusunca gereği yerine getirilir. Başvurunun veri sorumlusunun hatasından kaynaklanması hâlinde alınan ücret ilgiliye iade edilir.

Kişisel Veri Sahibinin Haklarını Kullanması
Kişisel veri sahipleri, yukarıda (Kişisel Veri Sahibinin Hakları) başlığı altında sayılmış haklarına ilişkin taleplerini Kurul’un belirlemiş olduğu yöntemlerden tercih edeceği şekilde Şirketimize iletebilecektir. Bu doğrultuda https://www.drnilgunestetik.com/KVVK-basvuru-formu.pdf adresinden ulaşılabilecek “SUNMED/NSC_Veri Sahibi Başvuru Formu”ndan yararlanılabilecektir.

Kurula şikâyet:
Kanunun 14’üncü maddesine göre Başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hâllerinde;

  • 1. İlgili kişi, veri sorumlusunun cevabını öğrendiği tarihten itibaren otuz ve her hâlde başvuru tarihinden itibaren altmış gün içinde Kurula şikâyette bulunabilir.
  • 2. 13’üncü madde uyarınca başvuru yolu tüketilmeden şikâyet yoluna başvurulamaz.
  • 3. Kişilik hakları ihlal edilenlerin, genel hükümlere göre tazminat hakkı saklıdır.

Şikâyet üzerine veya resen incelemenin usul ve esasları:
Kanunun 15’inci maddesine göre Kurul, şikâyet üzerine veya ihlal iddiasını öğrenmesi durumunda resen, görev alanına giren konularda gerekli incelemeyi yapar.

  • 1. 01/11/1984 tarihli ve 3071 sayılı Dilekçe Hakkının Kullanılmasına Dair Kanunun 6’ncı maddesinde belirtilen şartları taşımayan ihbar veya şikâyetler incelemeye alınmaz.
  • 2. Devlet sırrı niteliğindeki bilgi ve belgeler hariç; veri sorumlusu, Kurulun, inceleme konusuyla ilgili istemiş olduğu bilgi ve belgeleri on beş gün içinde göndermek ve gerektiğinde yerinde inceleme yapılmasına imkân sağlamak zorundadır.
  • 3. Şikâyet üzerine Kurul, talebi inceleyerek ilgililere bir cevap verir. Şikâyet tarihinden itibaren altmış gün içinde cevap verilmezse talep reddedilmiş sayılır.
  • 4. Şikâyet üzerine veya resen yapılan inceleme sonucunda, ihlalin varlığının anlaşılması hâlinde Kurul, tespit ettiği hukuka aykırılıkların veri sorumlusu tarafından giderilmesine karar vererek ilgililere tebliğ eder. Bu karar, tebliğden itibaren gecikmeksizin ve en geç otuz gün içinde yerine getirilir.
  • 5. Şikâyet üzerine veya resen yapılan inceleme sonucunda, ihlalin yaygın olduğunun tespit edilmesi hâlinde Kurul, bu konuda ilke kararı alır ve bu kararı yayımlar. Kurul, ilke kararı almadan önce ihtiyaç duyması hâlinde, ilgili kurum ve kuruluşların görüşlerini de alabilir.
  • 6. Şikâyet üzerine veya resen yapılan inceleme sonucunda, ihlalin yaygın olduğunun tespit edilmesi hâlinde Kurul, bu konuda ilke kararı alır ve bu kararı yayımlar. Kurul, ilke kararı almadan önce ihtiyaç duyması hâlinde, ilgili kurum ve kuruluşların görüşlerini de alabilir.

Kanunun 12’nci maddesine göre Veri Sorumlusu;

  • a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
  • b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
  • Kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.

Buna göre;
i. Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik olarak alınan idari tedbirler şu şekildedir:
  • • İnsan faktörünün olduğu her işte veri güvenliğinde en temel tedbirin empati yapmak olacağı bilinci çalışanlara aşılanmaktadır.
  • • Çalışanların teknik bilgi/becerilerinin geliştirilmesi sağlanmaktadır.
  • • Kişisel verilerin hukuka aykırı işlenmenin önlenmesi, kişisel verilere hukuka aykırı erişilmesinin önlenmesi, kişisel verilerin muhafazasının sağlanması, iletişim teknikleri ve yürürlükteki ilgili mevzuat hakkında eğitimler verilmektedir.
  • • Gizlilik sözleşmeleri ve taahhütnameler hazırlanmakta, gerekliliği anlatılarak çalışanlara imzalatılmaktadır.
  • • Güvenlik politika ve prosedürlerine uymayan çalışanlara yönelik uygulanacak disiplin prosedürü uygulanmaktadır.
  • • İlgili kişileri aydınlatma yükümlülüğü yerine getirilmektedir.
  • • Şirket içi periyodik ve rastgele denetimler yapılmaktadır.
  • • Çalışanlara yönelik bilgi güvenliği eğitimleri verilmektedir.
  • • Kişisel veri güvenliğine ilişkin bilincin arttırılması, içselleştirilmesinin sağlanması hedeflenmektedir.
  • • Kişisel Veri Envanteri hazırlanmıştır. Kayıtlara göre gerektiğinde güncellenir.
  • • Özel nitelikli kişisel verilerin güvenliğine yönelik olarak belirlenen prosedürler uygulanmaktadır.
  • • Kişisel verilerin mevzuat elverdiği ölçüde azaltılması hedeflenmektedir.
  • • Kâğıt yoluyla aktarılan kişisel veriler en aza indirilmekte ve zorunluluk halinde gereken güvenlik tedbirleri alınmaktadır.
  • • Veri ihlali en kısa sürede ilgilisine ve Kurul’a bildirilecektir.

ii. Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik olarak alınan teknik tedbirler şu şekildedir:
  • • Öncelikle profesyonel yaklaşım hedeflenmekte ve buna göre yetkin ve tecrübeli bir Bilgi-İşlem firması ile çalışmaya önem verilmektedir.
  • • Donanımsal ve yazılımsal bileşen seçiminde pahalı olandan ziyade işlevsel olan tercih edilmektedir.
  • • Şirketin bilişim sistemleri teçhizatı, yazılım ve verilerin fiziksel güvenliği için gerekli önlemler alınmaktadır.
  • • Hukuka aykırı işlemeyi önlemeye yönelik riskler belirlenmekte, bu risklere uygun teknik tedbirler alınmakta, erişim yetki ve rol dağılımları için prosedürler oluşturulmakta ve uygulanmaktadır.
  • • Yetki matrisi uygulanmakta, erişimler ve uygunsuz erişimler kayıt altına alınarak uygunsuz erişimler kontrol altında tutulmaktadır.
  • • Saklama ve imha politikasına uygun imha süreçleri tanımlanmakta ve uygulanmaktadır.
  • • Hukuka aykırı işleme tespiti halinde ilgili kişiye ve kurula bildirmek için bir sistem ve altyapı oluşturulmaktadır.
  • • Güvenlik açıkları takip edilerek uygun güvenlik yamaları yüklenmektedir.
  • • Bilgi sistemleri güncel halde tutulmaktadır.
  • • Kişisel verilerin işlendiği elektronik ortamlarda güçlü parolalar ve güvenli kayıt tutma (loglama) sistemleri kullanılmaktadır.
  • • Kişisel verilerin güvenli olarak saklanmasını sağlayan yedekleme programları kullanılmaktadır.
  • • Kullanıcı parolalarının, siber saldırı yöntemlerine karşı korunmasını teminen, güvenli ve güncel karma (hashing) algoritmaları kullanılmaktadır.
  • • IP (Internet Protocol Address) adresinden yapılacak başarısız giriş denemesi sayısı sınırlandırılmıştır.
  • • İlgili kişilerin en az son 5 adet başarılı ve başarısız giriş denemeleri ile ilgili bilgileri görüntülenebilmektedir.
  • • İlgili kişilere aynı parolanın birden fazla platformda kullanılmaması gerektiği hatırlatılmaktadır.
  • • Yeni oluşturulan parolaların, eski parolalarla (en az son üç parolayla) aynı olmasının engellenmesi, kullanıcı hesaplarına girişlerde bilgisayar ile insan davranışlarını ayırt edici güvenlik kodu gibi teknolojilerin (CAPTCHA, dört işlem vb.) kullanılması, erişime izin verilen IP adreslerinin sınırlandırılması sağlanmıştır.
  • • Sistemlere giriş yapılan parolaların uzunluğunun asgari 10 karakter olması, büyük-küçük harf, rakam ve özel karakterlerin bir arada kullanılmasına yönelik güçlü parola oluşturulması sağlanmıştır.
  • • Sistemlere giriş için üçüncü parti yazılımlar veya servisler kullanılırken bu yazılımların ve servislerin güvenlik güncelleştirmelerinin düzenli olarak gerçekleştirilmesi ve gerekli kontrollerin yapılması sağlanmaktadır.

Bunların yanında Kurul’un yayınladığı tavsiye kararları da göz önünde bulundurularak teknik ve maddi imkanlar elverdiği ölçüde:
  • • Çift kademeli kimlik doğrulama (two-factor authentication) sistemi kurulması,
  • • Hesaplara sık erişim sağlayan cihazlar haricinde farklı cihazlar üzerinden giriş yapılması durumunda, giriş bilgilerinin e-posta/sms vb. yöntemlerle ilgili kişilerin iletişim adreslerine iletilmesinin sağlanması,
  • • Ayrıca, ISO 27001 sertifikası başvuru koşulları oluşturulması,

çalışmaları da devam etmektedir.

1.Veri sorumlusu, kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi hâlinde, birinci fıkrada belirtilen tedbirlerin alınması hususunda bu kişilerle birlikte müştereken sorumludur.

Böyle bir durumun söz konusu olması halinde yukarıda belirtilen idari ve teknik tedbirlerin kendi adına kişisel veri işleyecek gerçek veya tüzel kişi tarafından da aynı şekilde alınmasını sağlayacak hukuki düzenlemeler imza altına alınacak, takibi, denetlemesi ve güncellenmesi sağlanacaktır.

2.Veri sorumlusu, kendi kurum veya kuruluşunda, bu Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak zorundadır.

Bu zorunluluk kapsamında rutin ve rastgele denetim faaliyetleri yürütülmekte olup, öncelikle Veri Sorumlusu İrtibat Kişisi ve Bilgi İşlem Sorumlusu yetki ve kontrolünde iç denetim birimleri oluşturulmuştur. Denetim birimlerinin belli periyotlarda şirket yönetimine raporlama yapmaları sağlanmıştır. Gerekli olması, gerekli görülmesi halinde bağımsız denetim kuruluşlarından da hizmet alınması öngörülmektedir.

3.Veri sorumluları ile veri işleyen kişiler, öğrendikleri kişisel verileri bu Kanun hükümlerine aykırı olarak başkasına açıklayamaz ve işleme amacı dışında kullanamazlar. Bu yükümlülük görevden ayrılmalarından sonra da devam eder.

Kanunun bu emredici hükmünün yerine getirilmesine yönelik bilgilendirme ilgili kişiler nezdinde yapılmış, gereken hususlar hukuki düzenleme ile hüküm altına alınmıştır.

4.İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.

Bu madde kapsamında herhangi bir veri ihlalinin tespiti halinde durum Kanunda belirlenen yöntemlere uygun olarak derhal ilgili kişiye ve Kurula bildirilecek, takibi sağlanacaktır.

VERİ SORUMLULARI SİCİLİ

Kanunun 16’ncı maddesine göre:
(1)Kurulun gözetiminde, Başkanlık tarafından kamuya açık olarak Veri Sorumluları Sicili tutulur.
(2)Kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce Veri Sorumluları Siciline kaydolmak zorundadır. Ancak, işlenen kişisel verinin niteliği, sayısı, veri işlemenin kanundan kaynaklanması veya üçüncü kişilere aktarılma durumu gibi Kurulca belirlenecek objektif kriterler göz önüne alınmak suretiyle, Kurul tarafından, Veri Sorumluları Siciline kayıt zorunluluğuna istisna getirilebilir.
(3)Veri Sorumluları Siciline kayıt başvurusu aşağıdaki hususları içeren bir bildirimle yapılır:

  • a) Veri sorumlusu ve varsa temsilcisinin kimlik ve adres bilgileri.
Şirketimiz Kurulca belirlenen kriterler doğrultusunda Veri Sorumlusu sıfatına haiz olmakla, süresinde ve yukarıda belirtilen hususları içeren bir bildirimle Veri Sorumluları Siciline kayıt yükümlülüğünü yerine getirmiştir.
  • b) Kişisel verilerin hangi amaçla işleneceği.
İşbu metnin KİŞİSEL VERİLERİN İŞLENMESİ başlığı altında ayrıntılı olarak açıklanmıştır.
  • c) Veri konusu kişi grubu ve grupları ile bu kişilere ait veri kategorileri hakkındaki açıklamalar.


VERİ KATEGORİSİ VERİ KONUSU KİŞİ GRUBU
1.Kimlik
Ad soyad, Anne - baba adı, Anne kızlık soyadı,
Doğum tarihi, Doğum yeri, Medeni hali, Nüfus cüzdanı seri sıra no, TC kimlik no v.b
  • • Çalışan Adayı
  • • Çalışan
  • • Hissedar/Ortak
  • • Ürün veya Hizmet Alan Kişi
  • • Veli / Vasi / Temsilci
2.İletişim
Adres no, E-posta adresi, İletişim adresi,
Kayıtlı elektronik posta adresi (KEP), Telefon no v.b
  • • Çalışan Adayı
  • • Çalışan
  • • Hissedar/Ortak
  • • Ürün veya Hizmet Alan Kişi
  • • Veli / Vasi / Temsilci
3.Lokasyon
Bulunduğu yerin konum bilgileri v.b.
  • • Çalışan Adayı
  • • Çalışan
  • • Hissedar/Ortak
  • • Ürün veya Hizmet Alan Kişi
  • • Veli / Vasi / Temsilci
4.Özlük
Bordro bilgileri, Disiplin soruşturması,
İşe giriş belgesi kayıtları, Mal bildirimi bilgileri, Özgeçmiş bilgileri,
Performans değerlendirme raporları v.b.
  • • Çalışan Adayı
  • • Çalışan
  • • Hissedar/Ortak
  • • Ürün veya Hizmet Alan Kişi
  • • Veli / Vasi / Temsilci
5.Hukuki İşlem
Adli makamlarla yazışmalardaki bilgiler, Dava dosyasındaki bilgiler v.b.
  • • Çalışan Adayı
  • • Çalışan
  • • Hissedar/Ortak
  • • Ürün veya Hizmet Alan Kişi
  • • Veli / Vasi / Temsilci
6.Müşteri İşlem
Çağrı merkezi kayıtları, Fatura, senet,
çek bilgileri, Gişe dekontlarındaki bilgiler, Sipariş bilgisi, Talep bilgisi v.b.
  • • Çalışan Adayı
  • • Çalışan
  • • Hissedar/Ortak
  • • Ürün veya Hizmet Alan Kişi
  • • Veli / Vasi / Temsilci
7.Fiziksel Mekan Güvenliği
Çalışan ve ziyaretçilerin giriş çıkış kayıt bilgileri, Kamera kayıtları v.b.
  • • Çalışan Adayı
  • • Çalışan
  • • Hissedar/Ortak
  • • Ürün veya Hizmet Alan Kişi
  • • Veli / Vasi / Temsilci
8.İşlem Güvenliği
IP adresi bilgileri, İnternet sitesi giriş çıkış bilgileri, Şifre ve parola bilgileri v.b.
  • • Çalışan Adayı
  • • Çalışan
  • • Hissedar/Ortak
  • • Ürün veya Hizmet Alan Kişi
  • • Veli / Vasi / Temsilci
9.Risk Yönetimi
Ticari, teknik, idari risklerin yönetilmesi için işlenen bilgiler v.b.
  • • Çalışan Adayı
  • • Çalışan
  • • Hissedar/Ortak
  • • Ürün veya Hizmet Alan Kişi
  • • Veli / Vasi / Temsilci
10.Finans
Bilanço bilgileri, Finansal performans bilgileri, Kredi ve risk bilgileri, Malvarlığı bilgileri v.b.
  • • Çalışan Adayı
  • • Çalışan
  • • Hissedar/Ortak
  • • Ürün veya Hizmet Alan Kişi
  • • Veli / Vasi / Temsilci
11.Mesleki Deneyim
Diploma bilgileri, Gidilen kurslar, Meslek içi eğitim bilgileri, Sertifikalar, Transkript bilgileri v.b.
  • • Çalışan Adayı
  • • Çalışan
  • • Hissedar/Ortak
  • • Ürün veya Hizmet Alan Kişi
  • • Veli / Vasi / Temsilci
12.Pazarlama
Alışveriş geçmişi bilgileri, Anket, Çerez kayıtları, Kampanya çalışmasıyla elde edilen bilgiler v.b.
  • • Çalışan Adayı
  • • Çalışan
  • • Hissedar/Ortak
  • • Ürün veya Hizmet Alan Kişi
  • • Veli / Vasi / Temsilci
13.Görsel ve İşitsel Kayıtlar
Görsel ve İşitsel kayıtlar v.b.
  • • Çalışan Adayı
  • • Çalışan
  • • Hissedar/Ortak
  • • Ürün veya Hizmet Alan Kişi
  • • Veli / Vasi / Temsilci
21.Sağlık Bilgileri
Engellilik durumuna ait bilgiler, Kan grubu bilgisi, Kişisel sağlık bilgileri, Kullanılan cihaz ve protez bilgileri v.b.
  • • Çalışan Adayı
  • • Çalışan
  • • Hissedar/Ortak
  • • Ürün veya Hizmet Alan Kişi
  • • Veli / Vasi / Temsilci
23.Ceza Mahkumiyeti ve Güvenlik Tedbirleri
Ceza mahkumiyetine ilişkin bilgiler, Güvenlik tedbirlerine ilişkin bilgiler v.b.
  • • Çalışan Adayı
  • • Çalışan
  • • Hissedar/Ortak
  • • Ürün veya Hizmet Alan Kişi
  • • Veli / Vasi / Temsilci
26.Diğer
Özel sağlık sigortası ve bireysel emeklilik sigortası poliçe bilgileri v.b.
  • • Çalışan Adayı
  • • Çalışan
  • • Hissedar/Ortak
  • • Ürün veya Hizmet Alan Kişi
  • • Veli / Vasi / Temsilci


  • ç) Kişisel verilerin aktarılabileceği alıcı veya alıcı grupları.
Veri Sorumlusunun sakladığı verileri aktarım yapabileceği alıcı ve/veya alıcı grupları aşağıda listelenmiştir.
  • • Gerçek kişiler veya özel hukuk tüzel kişileri,
  • • İş Ortakları,
  • • Tedarikçiler,
  • • Yetkili Kamu Kurum ve Kuruluşları,
  • d) Yabancı ülkelere aktarımı öngörülen kişisel veriler.
Veri Sorumlusu olarak halen herhangi bir kişisel verinin yabancı ülkelere aktarımı öngörülmemektedir.
  • e) Kişisel veri güvenliğine ilişkin alınan tedbirler.
İşbu metnin VERİ GÜVENLİĞİNE İLİŞKİN YÜKÜMLÜLÜKLER başlığı altında ayrıntılı olarak açıklanmıştır.
  • f) Kişisel verilerin işlendikleri amaç için gerekli olan azami süre.
Söz konusu kişisel verilerin işlendikleri amaç için gerekli olan azami süre, yasal olarak daha uzun süreli bir saklama yükümlülüğünün getirilmemiş olması halinde NSC’nin VERBİS kaydında öngörülen 10 yıldır. (4) Üçüncü fıkra uyarınca verilen bilgilerde meydana gelen değişiklikler derhâl Başkanlığa bildirilir.
(5) Veri Sorumluları Siciline ilişkin diğer usul ve esaslar yönetmelikle düzenlenir.

Kanunun 7’nci maddesine göre:

  • (1) Bu Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hâle getirilir.
  • (2) Kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesine ilişkin diğer kanunlarda yer alan hükümler saklıdır.
  • (3) Kişisel verilerin silinmesine, yok edilmesine veya anonim hâle getirilmesine ilişkin usul ve esaslar yönetmelikle düzenlenir.
Söz konusu, “KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VEYA ANONİM HALE GETİRİLMESİ HAKKINDA YÖNETMELİK” 28 Ekim 2017 tarihli Resmî Gazetede yayımlanmış ve 01/01/2018 tarihinden itibaren yürürlüğe girmiştir.

Yönetmeliğin 5’inci maddesine göre:

  • (1) Kanunun 16’ncı maddesi gereğince Veri Sorumluları Siciline kayıt olmakla yükümlü olan veri sorumluları, kişisel veri işleme envanterine uygun olarak kişisel veri saklama ve imha politikası hazırlamakla yükümlüdür.
  • (2) Kişisel veri saklama ve imha politikası hazırlanmış olması; kişisel verilerin Kanuna ve Yönetmeliğe uygun biçimde saklandığı, silindiği, yok edildiği veya anonim hale getirildiği anlamına gelmez.

Kişisel veri saklama ve imha politikasının kapsamı:
Yönetmeliğin 6’ncı maddesine göre:

Kişisel veri saklama ve imha politikası asgari olarak;
  • a) Kişisel veri saklama ve imha politikasının hazırlanma amacına,
  • b) Kişisel veri saklama ve imha politikası ile düzenlenen kayıt ortamlarına,
  • c) Kişisel veri saklama ve imha politikasında yer verilen hukuki ve teknik terimlerin tanımlarına,
  • ç) Kişisel verilerin saklanmasını ve imhasını gerektiren hukuki, teknik ya da diğer sebeplere ilişkin açıklamaya,
  • d) Kişisel verilerin güvenli bir şekilde saklanması ile hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi için alınmış teknik ve idari tedbirlere,
  • e) Kişisel verilerin hukuka uygun olarak imha edilmesi için alınmış teknik ve idari tedbirlere,
  • f) Kişisel verileri saklama ve imha süreçlerinde yer alanların unvanlarına, birimlerine ve görev tanımlarına,
  • g) Saklama ve imha sürelerini gösteren tabloya,
  • ğ) Periyodik imha sürelerine,
  • h) Mevcut kişisel veri saklama ve imha politikasında güncelleme yapılmış ise söz konusu değişikliğe,
ilişkin bilgileri kapsar.
Buna göre:
KİŞİSEL VERİ SAKLAMA VE İMHA POLİTİKASININ HAZIRLANMA AMACI, NSC’de gerçekleştirilmekte olan saklama ve imha faaliyetlerine ilişkin iş ve işlemler konusunda usul ve esasları belirlemektir.
Kişisel veri saklama ve imha politikası ile düzenlenen KAYIT ORTAMLARI: Kişisel veriler, veri sorumlusu tarafından aşağıda listelenen ortamlarda hukuka uygun olarak güvenli bir şekilde saklanır.
Elektronik olmayan ortamlar:
  • i. Kağıt
  • ii. Manuel veri kayıt sistemleri (anket formları, ziyaretçi giriş defteri, v.b.)
  • iii. Yazılı, basılı, görsel ortamlar

Elektronik ortamlar:
  • i. Sunucular (Etki alanı, yedekleme, e-posta, veritabanı, web, dosya paylaşım, vb.)
  • ii. Yazılımlar (ofis yazılımları, anti virüs yazılımları, faaliyet alanı ile ilgili portal v.b.)
  • iii. Bilgi güvenliği cihazları (güvenlik duvarı, saldırı tespit ve engelleme, günlük kayıt dosyası, anti virüs vb. )
  • iv. Kişisel bilgisayarlar (Masaüstü, dizüstü)
  • v. Mobil cihazlar (telefon, tablet vb.)
  • vi. Optik diskler (CD, DVD vb.)
  • vii. Çıkartılabilir bellekler (USB, Hafıza Kartı vb.)
  • viii. Yazıcı, tarayıcı, fotokopi makinesi

Kişisel veri saklama ve imha politikasında yer verilen hukuki ve teknik terimlerin tanımları şöyledir:
  • a) Alıcı grubu: Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisini,
  • b) İlgili kullanıcı: Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişileri,
  • c) İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesini,
  • ç) Kanun: 24/3/2016 tarihli ve 6698 Sayılı Kişisel Verilerin Korunması Kanununu,
  • d) Kayıt ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortamı,
  • e) Kişisel veri işleme envanteri: Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanteri,
  • f) Kişisel veri saklama ve imha politikası: Veri sorumlularının, kişisel verilerin işlendikleri amaç için gerekli olan azami süreyi belirleme işlemi ile silme, yok etme ve anonim hale getirme işlemi için dayanak yaptıkları politikayı,
  • g) Kurul: Kişisel Verileri Koruma Kurulunu,
  • ğ) Periyodik imha: Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemini,
  • h) Sicil: Kişisel Verileri Koruma Kurumu Başkanlığı tarafından tutulan veri sorumluları sicilini,
  • ı) Veri kayıt sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini,
  • i) Veri sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi, ifade eder. Burada yer almayan tanımlar ve kavramlar için Kanundaki tanımlar geçerlidir.

Kişisel verilerin saklanmasını ve imhasını gerektiren hukuki, teknik ya da diğer sebeplere ilişkin açıklamalar: Veri sorumlusu tarafından; çalışanlar, çalışan adayları, hastalar, ziyaretçiler ve hizmet sağlayıcı olarak ilişkide bulunulan üçüncü kişilerin, kurumların veya kuruluşların çalışanlarına ait kişisel veriler Kanuna uygun olarak saklanır ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli süre kadar muhafaza edildikten sonra imha edilir.
Saklamayı gerektiren hukuki sebepler:
  • • 6698 sayılı “Kişisel Verilerin Korunması Kanunu”
  • • 5188 sayılı “Özel Güvenlik Hizmetlerine Dair Kanun”
  • • 5651 sayılı “İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun”
  • • 1219 sayılı “Tababet ve Şuabatı Sanatlarının Tarzı İcrasına Dair Kanun”
  • • 1593 sayılı “Umumi Hıfzıssıhha Kanunu”
  • • 3359 sayılı “Sağlık Hizmetleri Temel Kanunu”
  • • 4857 sayılı “İş Kanunu”
  • • 5510 sayılı “Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu”
  • • 6331 sayılı İş Sağlığı ve Güvenliği Kanunu,
  • • 15.02.2008 tarih ve 26788 sayılı RG’de yayımlanan “Ayakta Teşhis ve Tedavi Yapılan Özel Sağlık Kuruluşları Hakkında Yönetmelik”
  • • 28.10.2017 tarih ve 30224 sayılı RG’de yayımlanan “Kı̇şı̇sel Verı̇lerı̇n Sı̇lı̇nmesı̇, Yok Edı̇lmesı̇ veya Anonı̇m Hale Getı̇rı̇lmesı̇ Hakkında Yönetmelı̇k”
  • • 21 Haziran 2019 tarih ve 30808 sayılı RG’de yayımlanan “Kı̇şı̇sel Sağlık Verı̇lerı̇ Hakkında Yönetmelik”
  • • 6098 sayılı “Türk Borçlar Kanunu”
  • • 6102 sayılı “Türk Ticaret Kanunu”
  • • Vergi ve Finans Mevzuatı ve bu kanunlar uyarınca yürürlükte olan diğer ikincil düzenlemeler çerçevesinde öngörülen saklama süreleri kadar saklanmaktadır.

Saklamayı Gerektiren İşleme Amaçları: NSC, faaliyetleri çerçevesinde işlemekte olduğu kişisel verileri aşağıdaki amaçlar doğrultusunda saklamaktadır.
  • • T.C. Sağlık Bakanlığı prosedürlerine göre Poliklinik vasfına haiz bir sağlık kuruluşu olarak hizmet vermek,
  • • Tabi olunan hukuki zorunlulukları ve yasal yükümlülükleri yerine getirmek,
  • • Sözleşmeler ve diğer yasal düzenlemeler kapsamında iş ve işlemleri ifa edebilmek,
  • • Hasta kaydı, protokol kaydı ve arşivi oluşturmak,
  • • Yasal raporlamalar yapmak,
  • • İnsan kaynakları süreçlerini yürütmek,
  • • İşyeri güvenliğini sağlamak,
  • • İletişim sağlamak,

İmhayı Gerektiren Sebepler: Kişisel veriler:
  • • İşlenmesine esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası,
  • • İşlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,
  • • Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin açık rızasını geri alması,
  • • Kanunun 11’inci maddesi gereği ilgili kişinin hakları çerçevesinde kişisel verilerinin silinmesi ve yok edilmesine ilişkin yaptığı başvurunun Kurum tarafından kabul edilmesi,
  • • Kurumun, ilgili kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabı yetersiz bulması veya Kanunda öngörülen süre içinde cevap vermemesi hallerinde; Kurula şikâyette bulunması ve bu talebin Kurul tarafından uygun bulunması,
  • • Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olması ve kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması, durumlarında,
Kurum tarafından ilgili kişinin talebi üzerine silinir, yok edilir ya da re’sen silinir, yok edilir veya anonim hale getirilir.

Kişisel verilerin güvenli bir şekilde saklanması ile hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi için alınmış teknik ve idari tedbirlere ilişkin bilgiler: Kişisel verilerin güvenli bir şekilde saklanması, hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi ile kişisel verilerin hukuka uygun olarak imha edilmesi için Kanunun 12’nci maddesiyle Kanunun 6’ncı maddesi dördüncü fıkrası gereği özel nitelikli kişisel veriler için Kurul tarafından belirlenerek ilan edilen yeterli önlemler çerçevesinde NSC tarafından teknik ve idari tedbirler alınır, takip edilir, gerekiyorsa değiştirilir.

Teknik Tedbirler:
  • • Öncelikle insan kaynağına yatırım hedeflenmekte ve buna göre yetkin, tecrübeli ve kadrolu Bilgi-İşlem çalışanı istihdamı hedeflenmektedir. Bu gerçekleşse bile halen olduğu gibi dışarıdan profesyonel hizmet alımı da devam edecektir.
  • • Donanımsal ve yazılımsal bileşen seçiminde pahalı olandan ziyade işlevsel olan tercih edilmektedir.
  • • Şirketin bilişim sistemleri teçhizatı, yazılım ve verilerin fiziksel güvenliği için gerekli önlemler alınmaktadır.
  • • Hukuka aykırı işlemeyi önlemeye yönelik riskler belirlenmekte, bu risklere uygun teknik tedbirler alınmakta, erişim yetki ve rol dağılımları için prosedürler oluşturulmakta ve uygulanmaktadır.
  • • Yetki matrisi uygulanmakta, erişimler ve uygunsuz erişimler kayıt altına alınarak uygunsuz erişimler kontrol altında tutulmaktadır.
  • • Saklama ve imha politikasına uygun imha süreçleri tanımlanmakta ve uygulanmaktadır.
  • • Hukuka aykırı işleme tespiti halinde ilgili kişiye ve kurula bildirmek için bir sistem ve altyapı oluşturulmaktadır.
  • • Güvenlik açıkları takip edilerek uygun güvenlik yamaları yüklenmektedir.
  • • Bilgi sistemleri güncel halde tutulmaktadır.
  • • Kişisel verilerin işlendiği elektronik ortamlarda güçlü parolalar ve güvenli kayıt tutma (loglama) sistemleri kullanılmaktadır.
  • • Kişisel verilerin güvenli olarak saklanmasını sağlayan yedekleme programları kullanılmaktadır.

İdari Tedbirler:
  • • İnsan faktörünün olduğu her işte veri güvenliğinde en temel tedbirin empati yapmak olacağı bilinci çalışanlara aşılanmaktadır.
  • • Çalışanların teknik bilgi/becerilerinin geliştirilmesi sağlanmaktadır.
  • • Kişisel verilerin hukuka aykırı işlenmenin önlenmesi, kişisel verilere hukuka aykırı erişilmesinin önlenmesi, kişisel verilerin muhafazasının sağlanması, iletişim teknikleri ve yürürlükteki ilgili mevzuat hakkında eğitimler verilmektedir.
  • • Gizlilik sözleşmeleri ve taahhütnameler hazırlanmakta, gerekliliği anlatılarak çalışanlara imzalatılmaktadır.
  • • Güvenlik politika ve prosedürlerine uymayan çalışanlara yönelik uygulanacak disiplin prosedürü uygulanmaktadır.
  • • İlgili kişileri aydınlatma yükümlülüğü yerine getirilmektedir.
  • • Şirket içi periyodik ve rastgele denetimler yapılmaktadır.
  • • Çalışanlara yönelik bilgi güvenliği eğitimleri verilmektedir.
  • • Kişisel veri güvenliğine ilişkin bilincin arttırılması, içselleştirilmesinin sağlanması hedeflenmektedir.
  • • Kişisel Veri Envanteri hazırlanmıştır. Kayıtlara göre gerektiğinde güncellenir.
  • • Özel nitelikli kişisel verilerin güvenliğine yönelik olarak belirlenen prosedürler uygulanmaktadır.
  • • Kişisel verilerin mevzuat elverdiği ölçüde azaltılması hedeflenmektedir.
  • • Kâğıt yoluyla aktarılan kişisel veriler en aza indirilmekte ve zorunluluk halinde gereken güvenlik tedbirleri alınmaktadır.
  • • Veri ihlali en kısa sürede ilgilisine ve Kurul’a bildirilecektir.

Kişisel verilerin hukuka uygun olarak imha edilmesi için alınmış teknik ve idari tedbirler:



KİŞİSEL VERİLERİ İMHA TEKNİKLERİ

İlgili mevzuatta öngörülen süre ya da işlendikleri amaç için gerekli olan saklama süresinin sonunda kişisel veriler, Veri Sorumlusu tarafından re’sen veya ilgili kişinin başvurusu üzerine yine ilgili mevzuat hükümlerine uygun olarak aşağıda belirtilen tekniklerle imha edilir.
Kişisel Verilerin Silinmesi: Kişisel veriler Veri Sorumlusu tarafından/gözetiminde aşağıdaki tabloda belirtilen yöntemlerle silinir.

VERİ KAYIT ORTAMI AÇIKLAMA
Sunucularda Yer Alan Kişisel Veriler Sunucularda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler için bilgi-işlem yöneticisi tarafından ilgili kullanıcıların erişim yetkisi kaldırılarak silme işlemi yapılır.
Elektronik Ortamda Yer Alan Kişisel Veriler Elektronik ortamda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, veritabanı yöneticisi hariç diğer çalışanlar (ilgili kullanıcılar/zamanında yetkili olsa dahi) için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir.
Fiziksel Ortamda Yer Alan Kişisel Veriler Fiziksel ortamda tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler için evrak arşivinden sorumlu birim yöneticisi hariç diğer çalışanlar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. Ayrıca, üzeri okunamayacak şekilde çizilerek/boyanarak/silinerek karartma işlemi de uygulanır.
Taşınabilir Medyada Bulunan Kişisel Veriler Flash tabanlı saklama ortamlarında tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler, sistem yöneticisi tarafından şifrelenerek ve erişim yetkisi sadece sistem yöneticisine verilerek şifreleme anahtarlarıyla güvenli ortamlarda saklanır.
Bulut Hizmeti Alınıyorsa Bulut Ortamında Tutulan Kişisel Veriler Yukarıda belirtilen Veri Kayıt Ortamlarında yer alan kişisel verilerden silinenlerin Bulut Hizmeti alınması ve Ortamda tutulması halinde Bulut Ortamında da yedekleme yapılmaksızın ve geri getirilme yetkisi olmaksızın silinmesi sağlanır.


Kişisel Verilerin Yok Edilmesi: Kişisel veriler Veri Sorumlusu tarafından/gözetiminde aşağıdaki tabloda belirtilen yöntemlerle yok edilir.

VERİ KAYIT ORTAMI AÇIKLAMA
Fiziksel Ortamda Yer Alan Kişisel Veriler Kâğıt ortamında yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, kâğıt kırpma makinelerinde geri döndürülemeyecek şekilde yok edilir.
Optik / Manyetik Medyada Yer Alan Kişisel Veriler Optik medya ve manyetik medyada yer alan kişisel verilerden saklanmasını gerektiren süre sona erenlerin eritilmesi, yakılması veya toz haline getirilmesi gibi fiziksel olarak yok edilmesi işlemi uygulanır. Ayrıca, manyetik medya özel bir cihazdan geçirilerek yüksek değerde manyetik alana maruz bırakılması suretiyle üzerindeki veriler okunamaz hale getirilir.

Kişisel Verilerin Anonim Hale Getirilmesi: Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.
Kişisel verilerin anonim hale getirilmiş olması için; kişisel verilerin, veri sorumlusu veya üçüncü kişiler tarafından geri döndürülmesi ve/veya verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekir.
Bu kapsamda Veri Sorumlusu tarafından Bileşen Çıkarma/Ekleme – Değişken Çıkarma/Ekleme – Genelleştirme - Maskeleme - Veri Türetme gibi, bilinen ve/veya ileride geliştirilecek/ortaya çıkabilecek teknikler uygulanabilir.
Kişisel verileri saklama ve imha süreçlerinde yer alanların unvanları, birimleri ve görev tanımları:
Şirket Müdürü:
Aynı zamanda veri sorumlusu irtibat kişisi olup, tüm çalışanların NSC kişisel veri politikası kapsamında aldığı ve/veya ileride uygulamaya alabileceği tüm teknik ve idari tedbirlere uygun hareket etmesini teminden ve denetiminden sorumludur. Bilgi-İşlem Hizmet Birimi:
Kadrolu olmamakla birlikte, verilen hizmet doğrultusunda NSC kişisel veri politikası kapsamında uygulamada ihtiyaç duyulan teknik tedbirlerin alınmasından, tedbirlerin denetlenmesinden ve yeni çözümlerin sunulmasından sorumludur. Çalışanlar:
NSC kişisel veri politikası kapsamında Şirket bünyesindeki görev tanımlarına ve görevlerine uygun olarak işbu politikanın esaslarına uygun yürütülmesinden, eğitim ve denetim faaliyetlerine katılım göstermekle kişisel gelişimin ve kişisel verilerin korunmasına ilişkin farkındalığın arttırılmasından sorumludur. Böylece kişisel verilere hukuka aykırı olarak erişilmesinin ve işlenmesinin önlenmesi süreçlerinde de aktif olarak rol alırlar.



SAKLAMA VE İMHA SÜRELERİ

Veri Sorumlusu tarafından, faaliyetleri kapsamında işlenmekte olan kişisel verilerle ilgili olarak;

  • • Süreçlere bağlı olarak gerçekleştirilen faaliyetler kapsamındaki tüm kişisel verilerle ilgili kişisel veri bazında saklama süreleri Kişisel Veri İşleme Envanterinde;
  • • Veri kategorileri bazında saklama süreleri VERBİS’e kayıtta;
  • • Süreç bazında saklama süreleri ise Kişisel Veri Saklama ve İmha Politikasında yer alır.

Söz konusu saklama süreleri üzerinde, gerekmesi halinde Veri Sorumlusu tarafından güncellemeler yapılabilir. Saklama süreleri sona eren kişisel veriler için re’sen silme, yok etme veya anonim hale getirme işlemi Veri Sorumlusu tarafından yerine getirilir.

Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesiyle ilgili yapılan bütün işlemler Veri Sorumlusu tarafından kayıt altına alınır. Bu kayıtlar, ilgili hukuki yükümlülükler kapsamında belirtilen sürede saklanır.

Kişisel verileri ilgili kişinin talep etmesi durumunda silme ve yok etme süreleri:
“Kı̇şı̇sel Verı̇lerı̇n Sı̇lı̇nmesı̇, Yok Edı̇lmesı̇ veya Anonı̇m Hale Getı̇rı̇lmesı̇ Hakkında Yönetmelı̇k” 12’nci maddesine göre:
İlgili kişi, Kanunun 13’üncü maddesine istinaden NSC’ye başvurarak kendisine ait kişisel verilerin silinmesini veya yok edilmesini talep ettiğinde;
  • a) Kişisel verileri işleme şartlarının tamamı ortadan kalkmışsa; veri sorumlusu talebe konu kişisel verileri siler, yok eder veya anonim hale getirir. Veri sorumlusu, ilgili kişinin talebini en geç otuz gün içinde sonuçlandırır ve ilgili kişiye bilgi verir.
  • b) Kişisel verileri işleme şartlarının tamamı ortadan kalkmış ve talebe konu olan kişisel veriler üçüncü kişilere aktarılmışsa: veri sorumlusu bu durumu üçüncü kişiye bildirir; üçüncü kişi nezdinde bu Yönetmelik kapsamında gerekli işlemlerin yapılmasını temin eder.
  • c) Kişisel verileri işleme şartlarının tamamı ortadan kalkmamışsa; bu talep veri sorumlusunca Kanunun 13 üncü maddesinin üçüncü fıkrası uyarınca gerekçesi açıklanarak reddedilebilir ve ret cevabı ilgili kişiye en geç otuz gün içinde yazılı olarak ya da elektronik ortamda bildirilir.


Saklama ve imha sürelerini gösteren tablo

SÜREÇ SAKLAMA SÜRESİ İMHA SÜRESİ
Hasta Kayıtları/Onam Kayıtları Veli/Vasi Kayıtları 10 YIL Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Poliklinik Kayıtları 10 YIL Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Çalışan/Diğer Mahkeme/İcra Kayıtları İş İlişkisinin sona ermesinden itibaren 10 Yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Muhasebe ve Vergi Kayıtları 10 YIL Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Sözleşmeler Sözleşmenin sona ermesini takiben 10 yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
İş Kanunu Kapsamında Saklanan Çalışan Şahsi Sicil Dosyasına İlişkin Veriler İş İlişkisinin sona ermesinden itibaren 10 Yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Çalışan Adayları Kayıtları Başvuru Tarihinden İtibaren 10 Yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
İş Kanunu Kapsamında Saklanan Diğer Veriler İş İlişkisinin sona ermesinden itibaren 5 Yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Sosyal Güvenlik Mevzuatı kapsamında tutulan veriler İş İlişkisinin sona ermesinden itibaren 10 Yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
İş Sağlığı ve Güvenliği Mevzuatı Kapsamında Toplanan Veriler İş İlişkisinin sona ermesinden itibaren 10 Yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Hizmet Sağlayıcılara İlişkin Kişisel Veriler İş İlişkisinin sona ermesinden itibaren 10 Yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
İnsan Kaynakları Süreçlerine İlişkin Kayıtlar Faaliyetin sona ermesini takiben 10 yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
İç Yazışmalar/E-mail Yazışmaları 10 YIL Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Log Kayıt Takibine İlişkin Veriler 10 YIL Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Kamera Kayıtları 1 AY Saklama süresinin bitimini takip eden ilk periyodik imha süresinde

PERİYODİK İMHA SÜRESİ

“Kişisel Verı̇lerı̇n Sı̇lı̇nmesı̇, Yok Edı̇lmesı̇ veya Anonı̇m Hale Getı̇rı̇lmesı̇ Hakkında Yönetmeliğin” 11’inci maddesi gereğince NSC, periyodik imha süresini 6 ay olarak belirlemiştir. Buna göre, NSC’de her yıl Haziran ve Aralık aylarında periyodik imha işlemi gerçekleştirilir.
Buna bağlı olarak kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde, kişisel veriler silinir, yok edilir veya anonim hale getirilir.

Politika’nın Yayınlanması ve Saklanması:

Bu doküman, ıslak imza içermesinin gerektiği hallerde basılı kâğıtta, aksi Şirket yönetimi tarafından kararlaştırılmadığı sürece Veri Sorumlusu irtibat kişisi imza yetkilisi olacak şekilde ıslak imzalı ve Veri Sorumlusunun internet sayfasında olmak üzere iki farklı ortamda yayımlanır. İlgili kişiler için internet sayfasından ulaşabilecek şekilde kamuya açıklanır. Islak imzalı ve güncel hali işyerinde Veri Sorumlusu irtibat kişisi tarafından tutulması zorunlu KVKK dosyasında saklanır.

Politika’nın Güncellenmesi

Politika, Yasal ve teknik gereklilikler kapsamında ihtiyaç duyuldukça gözden geçirilir ve gerekli olan bölümler güncellenir. 21.03.2022 tarihli revizyon ile bu versiyonu metnin güncel halidir.

Veri Sorumlusu
SUNMED LAZER SAĞLIK VE GÜZELLİK MERKEZİ LTD.ŞTİ.
(Dr. Nilgün Soysal Muayenehanesi)

Dr. Nilgün Soysal'a Sorun