AYDİLEK SAĞLIK HİZMETLERİ ANONİM ŞİRKETİ
KİŞİSEL VERİLERİ SAKLAMA ve İMHA POLİTİKASI
İÇİNDEKİLER
4.1. Saklamaya İlişkin Açıklamalar
4.1.1. Saklamayı Gerektiren Hukuki Sebepler
4.1.2. Saklamayı Gerektiren İşleme Araçları
5.1. Kişisel Verilerin Silinmesi
5.2. Kişisel Verilerin Yokedilmesi
5.3. Kişisel Verilerin Anonimleştirilmesi
5.3.1. Anonimleştirme Teknikleri
İşbu Kişisel Verileri Saklama ve İmha Politikası (bundan böyle “Politika” olarak anılacaktır), veri sorumlusu sıfatıyla Aydilek Sağlık Hizmetleri A.Ş. (kısaca “Sanita Sağlık Grubu” ve/veya “Şirket” olarak anılacaktır.)’nin 6698 Sayılı Kişisel Verilerin Korunması Hakkında Kanunu (bundan böyle “KVKK”veya “Kanun” olarak anılacaktır.) ve özel hüküm içeren sair mevzuata uygun olarak muhafaza etmekte olduğu kişisel verileri, Kanun ve Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik (bundan böyle “Yönetmelik” olarak anılacaktır.) ve ilgili mevzuat uyarınca kişisel verileri saklama, silme, yok etme ve anonim hale getirme süreçleri hakkındaki usul ve esasları belirlemek, Kanun ve ilgili mevzuat kapsamındaki yükümlülüklerin yerin getirilmesi amacıyla hazırlanmıştır. Bu kapsamda kişisel veriler ve özel nitelikli kişisel veriler Kanun ve ilgili sair hukuki düzenlemelerde yer alan usul ve esaslara uygun olarak, ilgili kişinin açık rızası ile işlenebilir. Hukuki düzenlemelerde yer alan istisnalar saklıdır. Ayrıca şirketimizin sunduğu hizmetler Türkiye Cumhuriyeti kapsamında Türk Hukuku kuralları uygulanarak sunulmakla birlikte Avrupa Birliği vatandaşı veya Avrupa Birliği mevzuatı kapsamında olan sağlık turisti hastalarımız ve ilgili kişiler için Avrupa Birliği Genel Veri Koruma Tüzüğü (“GDPR”) hükümleri dikkate alınmaktadır.
İşbu Politika’nın uygulanması sürecinde çelişki doğması halinde öncelikle sırasıyla KVKK ile Yönetmelik hükümleri ve Kişisel Verileri Koruma Kurumu ilke kararları tatbik edilecektir.
İşbu politikada veya mevzuatta oluşabilecek revizyonlar tarih ve konu belirtilerek politikaya eklenecek, gerekli duyurular yapıldıktan sonra politikanın ayrılmaz bir parçası olarak kabul edilecektir.
Kişisel verilerin saklanmasına ve imhasına ilişkin iş ve işlemler, Sanita Sağlık Grubu tarafından bu doğrultuda hazırlanmış olan işbu politikaya uygun olarak gerçekleştirilir. Sanita Sağlık Grubu bünyesinde kişisel verilerin işlendiği tüm kayıt ortamları hakkında ve kişisel veri işlenmesine yönelik tüm faaliyetlerde bu Politika uygulanır.
Açık Rıza |
Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza. |
Anonim Hale Getirme |
Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi. |
Çalışan |
Sanita Sağlık Grubu çalışanı. |
Elektronik Ortam |
Kişisel verilerin elektronik aygıtlar ile oluşturulabildiği, okunabildiği, değiştirilebildiği ve saklanabildiği ortamlar. |
Elektronik Olmayan Ortam |
Elektronik ortamların dışında kalan tüm yazılı, basılı, görsel vb. diğer ortamlar. |
İlgili Kişi |
Kişisel verisi işlenen gerçek kişi. |
İlgili Kullanıcı |
Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişiler. |
İmha |
Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi. |
Kanun |
6698 Sayılı Kişisel Verilerin Korunması Kanunu. |
Kayıt Ortamı |
Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam. |
Kişisel Veri |
Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi. |
Kişisel Verilerin İşlenmesi |
Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, saklanması, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem. |
Kurum |
6698 Sayılı Kişisel Verilerin Korunması Kanunu kapsamında kurulan Kişisel Verileri Koruma Kurumu. |
Kurul |
6698 Sayılı Kişisel Verilerin Korunması Kanunu kapsamında kurulan Bakanlar Kurulu Kararı ile üyeleri seçilen Kişisel Verileri Koruma Kurulu. |
Özel Nitelikli Kişisel Veri
|
Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri. |
Periyodik İmha |
Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla re’sen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi. |
Politika |
Kişisel Verileri Saklama ve İmha Politikası |
Veri İşleyen |
Veri sorumlusunun verdiği yetkiye dayanarak veri sorumlusu adına kişisel verileri işleyen gerçek veya tüzel kişi. |
Veri Sorumlusu |
Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu gerçek veya tüzel kişi. |
Yönetmelik |
28 Ekim 2017 tarihli Resmi Gazete’de yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik. |
Kişisel veriler, aşağıdaki tabloda listelenen ortamlarda hukuka uygun olarak güvenli bir şekilde saklanır.
Elektronik Ortamlar |
Elektronik Olmayan Ortamlar |
Sunucular (Server- yedekleme, e-posta, web sitesi, Fortigatecloud, windows active directory ) ü Yazılımlar (ofis yazılımları, BİLMED, arvento, e-fatura program vb.) ü Bilgi güvenliği cihazları (güvenlik duvarı, saldırı tespit ve engelleme, günlük kayıt dosyası, antivirüs vb.) ü Mobil cihazlar (telefon, tablet vb.) ü Optik Diskler (CD, DVD vb.) ü Kişisel bilgisayarlar (Masaüstü, dizüstü) ü Çıkartılabilir bellekler (USB, Hafıza Kart vb.) ü Yazıcı, tarayıcı, fotokopi makinesi |
ü Kağıt ü Manuel veri kayıt sistemleri (Tıbbi hasta dosyası, özlük doysası, hasta protokol defteri, başvuru formları, anket formları, ziyaretçi giriş defteri, hastaneye Kabul formu vb.) ü Yazılı, basılı, görsel ortamlar |
Kanunun 4. maddesinde kişisel verilerin işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli süre kadar muhafaza edilmesi gerektiği belirtilmiş, 5. ve 6. maddelerde ise kişisel verilerin işleme şartları sayılmıştır.
Kişisel veriler, Sanita Sağlık Grubu tarafından sunulan hizmet amaçlarımız, www.sanitasaglikgrubu.com sitesinin kullanımı dahil sunduğumuz faaliyetler kapsamında, genel olarak faaliyetlerin sürdürülmesi, sağlık hizmeti sunumu, tıbbi danışmanlık, hukuki yükümlülüklerin yerine getirilmesi, çalışan haklarının planlanması, kurs ve eğitim hizmetlerinin gerçekleştirilmesi, iş ortakları ile süreçlerin işletilebilmesi amacıyla fiziki yahut elektronik ortamlarda güvenli bir biçimde Kanun ve ilgili mevzuatta belirtilen sınırlar çerçevesinde işlenir.
Kişisel verileri işleme amaçlarımız Sanita Sağlık Grubu Kişisel Verilerin Korunması ve İşlenmesi Politikasında ayrıntılı olarak belirtilmiştir.
Faaliyetlerimiz çerçevesinde işlenen kişisel veriler, ilgili mevzuatta öngörülen veya işleme amaçlarımıza uygun süre kadar saklanır.
Kişisel verileri güvenli bir şekilde saklamak ve hukuka aykırı işlenmesini ve erişilmesini önlemek için Sanita Sağlık Grubu olarak aldığımız teknik ve idari tedbirlere ilişkin açıklama ve bilgilendirme Sanita Sağlık Grubu Kişisel Verilen Korunması ve İşlenmesine İlişkin Aydınlatma Metni’nde ayrıntılı olarak belirtilmiştir.
Faaliyetlerimiz çerçevesinde işlenen kişisel veriler, ilgili mevzuatta öngörülen süre kadar muhafaza edilir. Bu kapsamda kişisel veriler;
Çerçevesinde öngörülen saklama süreleri sonuna kadar saklanmaktadır.
Paylaştığınız hem özel nitelikteki kişisel veriler hem de genel nitelikteki kişisel veriler;
Amaçlarıyla işlenebilecektir.
Kişisel veriler;
durumlarında Sanita Sağlık Grubu tarafından resen ya da ilgili kişinin talebi üzerine silinir, yok edilir, veya anonim hale getirilir.
Sanita Sağlık Grubu kişisel verileri ancak ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza etmektedir. Bu kapsamda, öncelikle ilgili mevzuatta kişisel verilerin saklanması için bir süre öngörülüp öngörülmediği tespit edilmekte, bir süre belirlenmişse bu süreye uygun davranılmakta, bir süre belirlenmemişse kişisel veriler işlendikleri amaç için gerekli olan süre kadar saklanmaktadır. Sürenin bitimi veya işlenmesini gerektiren sebeplerin ortadan kalkması halinde, Sanita Sağlık Grubu tarafından re’sen veya ilgili kişinin başvurusu üzerine kişisel verileri işbu Politikası’ya göre silinmekte, yok edilmekte veya anonim hale getirilmektedir.
Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesiyle ile ilgili yapılan bütün işlemler kayıt altına alınır ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az 3 (üç) yıl süreyle saklanır.
Kişisel verilerin silinmesi, kişisel verilerin hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Silinen verilere, veri sorumlusu haricinde bulunan ilgili kullanıcılar tarafından ulaşılamaz ve kullanılamaz. İlgili kişi, verilerin saklanmasından, depolanmasından ve yedeklenmesinden sorumlu kişiler haricinde diğer tüm çalışanlardır. Silme işlemi, ilgili kullanıcının kişisel veriye hiçbir şekilde erişememesi, üzerinde herhangi bir işlem yapamaması, düzeltip değiştirememesi, silememesi, aktaramaması, görüp okuyamaması, paylaşamaması gibi kişisel veri işleme faaliyetlerinden hiçbirini gerçekleştiremeyecek hale getirilmesi işlemidir. Kısaca, silme, doğrudan bir silme değil, işlenmiş olan kişisel verilerin saklanması, depolanması, korunma amacıyla yedeklenmesi ve arşivlenmesidir.
Sanita Sağlık Grubu, kendi organizasyonu içerisindeki ilgili iş biriminin kişisel verilerin işlenmesi için gerekli olan amacı ve saklama süresi sona erdikten sonra, bu iş biriminin (ilgili kullanıcı) ilgili kişisel verileri işlemesini engelleyecek teknik ve idari tedbirleri alır.
Sanita Sağlık Grubu organizasyonu içerisindeki diğer iş birimlerinin aynı kişisel veri için gerekli olan işleme amaçları ve saklama süreleri sona ermeden ilgili kişisel veri silinmez, yok edilmez veya anonim hale getirilmez.
Kişisel verinin varlığı sözleşmesel, ticari, hukuki, idari işlemler gereğince doğması muhtemel hak taleplerine ilişkin ise söz konusu işleme ilişkin zamanaşımı süresince veriler muhafaza edilir. Bu konuda talep ve şirket politikası arasında bir çelişki doğması halinde çelişkinin giderilmesi amacı ile Kişisel Verileri Korunma Kurumu’na yazılı başvuru yapılır ve ilke kararı doğrultusunda işlem yapılır.
Erişim yetki ve kontrol matrisi ya da benzer bir sistem kullanarak her bir kişisel veri için ilgili kullanıcılar tespit edilir ve kullanıcıların erişim, geri getirme, tekrar kullanma gibi yetkilerinin ve yöntemlerinin tespiti yapılır akabinde İlgili kullanıcıların kişisel veriler kapsamındaki erişim, geri getirme, tekrar kullanma yetki ve yöntemlerinin kapatılması ve ortadan kaldırılmasına ilişkin işlem gerçekleştirilir.
Kişisel verilerin silinmesi işlemi, silinmesi gerekmeyen diğer verilere de sistem içerisinde erişilememe ve bu verileri kullanamama sonucunu doğuracak ise;
Veya
kaydıyla kişisel veriler silinmiş sayılacaktır.
Kişisel veriler aşağıdaki tabloda belirtilen yöntemlerle silinir.
Veri Kayıt Ortamı |
Açıklama |
Sunucularda Yer Alan Kişisel Veriler |
Sunucularda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler için sistem yöneticisi tarafından ilgili kullanıcıların erişim yetkisi kaldırılarak silme işlemi yapılır. |
Elektronik Ortamlarda Yer Alan Kişisel Veriler |
Elektronik ortamda yer alan kişisel verilerin saklanmasını gerektiren süre sona erenler, veritabanı yöneticisi hariç diğer çalışanlar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. Işletim sağladığı silme konutları (del, remove-item, rm gibi) kullanılarak ya da komutları uygulayan yazılımlar kullanılarak silinir. Ilgili kullanıcının silmesi yeterlidir. |
Fiziksel Ortamda Yer Alan Kişisel Veriler / Kağıt Ortamında Yer Alan Kişisel Veriler |
Fiziksel ortamda tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler için evrak arşivinden sorumlu birim yöneticisi hariç diğer çalışanlar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. Ilgili kullanıcının erişemeyeceği ve girip inceleme yapamayağı arşiv – saklama – depolma alanlarında ya da bu alanların ilgili bölümlerinde depolanmalıdır. Ilgili kullanıcılar bu muhafaza alanlarına girmemeli ve içeride bulunan kişisel veriler üzerinde herhangi bir işlem yapmamalıdır. Ya da saklama – depolama – arşiv alanlarının belirli bölümlerinde yine arşiv sorumluları haricinde hiç kimsenin erişemeyeceği kilitli alanlarda muhafaza edilerek slime işlemi gerçekleştirilmelidir.
|
Taşınabilir Medyada Bulunan Kişisel Veriler |
Flash tabanlı saklama ortamlarında tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler, sistem yöneticisi tarafından şifrelenerek ve erişim yetkisi sadece sistem yöneticisine verilerek şifreleme anahtarlarıyla güvenli ortamlarda saklanır. |
Bulut Ortamında Yer Alan Kişisel Veriler |
Bulut işletim sisteminde saklanan kişisel veriler elektronik ortamlarda kişisel verilerin silinmesine benzer bir biçimde bulut işletim sisteminin sağladığı silme komutları (del, remove – item, rm gibi), kullanılarak ya da bu komutları uygulayan yazılımlar kullanılarak ilgili kişisel veriler silinebilir. Bulut ortamına erişim için kullanılan şifreleme anahtarının değiştirilmesi yolu ile kullanıcıların söz konusu ortama erişimini kaldırarak da silme işlemi gerçekleştirilebilir. |
GDPR uygulama alanında olan sağlık turisti hastalar ve ilgili kişiler açısından GDPR hükümleri kapsamında silme hakkı ile bağlantılı olan unutulma hakkı ölçülülük ilkesi dikkate alınarak ilgili kişisel verinin toplanma ve işlenme amacı ve gerekliliği, meşru bir gerekçe olup olmadığı, hukuka aykırı veri işleme olduğu, çocuklar gibi hassas gruplara ilişkin veriler ile bağlantılı olduğu hususlar ile değerlendirilecektir.
Ayrıca GDPR uygulama alanında olan sağlık turisti hastalar ve ilgili kişiler açısından veri işleme kısıtlama hakkı da şartları mevcut ve KVKK açısından mümkün olduğu takdirde aşağıdaki hallerde verinin kısıtlanması talep edilebilir.
Bu haller şunlardır;
GDPR uygulama alanında olan sağlık turisti hastalar ve ilgili kişiler açısından GDPR hükümleri kapsamında veri taşınabilirliği hakkı ölçülülük ilkesi dikkate alınarak somut talebe göre değerlendirilecektir. Veri sorumlusu olarak şirketimizin meşru bir çıkarı olduğu durumlarda veya yasal bir yükümlülüğün yerine getirilmesi durumlarında veri taşınabilirliği hakkı uygulanamayacaktır.
GDPR kapsamında ilgili kişilerin unutulma hakkı, veri kısıtlama hakkı, veri taşınabilirliği hakkına ilişkin açıklamalar verilerin yok edilmesi ve anonimleştirilmesi bölümleri için de geçerlidir.
Kişisel verilerin yok edilmesi, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.
Kişisel veriler, aşağıda belirtilen yöntemlerle yok edilir:
Veri Kayıt Ortamı |
Açıklama |
Fiziksel Ortamda Yer Alan Kişisel Veriler |
Kâğıt ortamında yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, kâğıt kırpma makinelerinde geri döndürülemeyecek şekilde yok edilir. Kağıtlar taranarak elektronik ortama aktarılmış ise bulundukları elektronik ortam şartlarına göre de manyetize etme, fiziksel yok etme veya üzerine yazma yöntemlerinden uygun olan seçilerek yok etme işlemi gerçekleştirilir. Ayrıca, üzeri okunamayacak şekilde çizilerek / boyanarak / silinerek karartma işlemi de uygulanır. Karartma işlemi, ilgili evrak üzerindeki kişisel verilerin, mümkün olan durumlarda kesilmesi, mümkün olmayan durumlarda ise geri döndürülemeyecek ve teknolojik çözümlerle okunamayacak şekilde sabit mürekkep kullanılarak ilgili kullanıcılara görünemez hale getirilmesi şeklinde yapılır. |
Optik / Manyetik Medyada Yer Alan Kişisel Veriler |
Optik medya ve manyetik medyada yer alan kişisel verilerden saklanmasını gerektiren süre sona erenlerin eritilmesi, yakılması veya toz haline getirilmesi gibi fiziksel olarak yok edilmesi işlemi uygulanır. Ayrıca, manyetik medya özel bir cihazdan geçirilerek yüksek değerde manyetik alana maruz bırakılması suretiyle üzerindeki veriler okunamaz hale getirilir. |
Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir. Sanita Sağlık Grubu tarafından kişisel verilerin anonim hale getirilmiş olması için; veri sorumlusu, alıcı veya alıcı grupları tarafından; geri döndürme ve verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kişisel verilerin kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekir.
Kişisel verilerin hangi hallerde anonimleştirileceği ve anonimleştirme işlemi için hangi yöntemin seçileceği işlemin özelliklerine göre veri sorumlusu tarafından belirlenir ve bu doğrultuda gerekli olan teknik tedbirler alınır.
Anonimleştirme yöntemi seçilirken; Verinin niteliği, Verinin büyüklüğü, Verinin fiziki ortamlarda bulunma yapısı, Verinin çeşitliliği, Veriden sağlanmak istenen fayda / işleme amacı, Verinin işlenme sıklığı, Verinin aktarılacağı tarafın güvenilirliği, Verinin anonim hale getirilmesi için harcanacak çabanın anlamlı olması, Verinin anonimliğinin bozulması halinde ortaya çıkabilecek zararın büyüklüğü, etki alanı,
Verinin dağıtıklık/merkezilik oranı, Kullanıcıların ilgili veriye erişim yetki kontrolü, Anonimliği bozacak bir saldırı kurgulanması ve hayata geçirilmesi için harcayacağı çabanın anlamlı olması ihtimali dikkate alınır.
Kişisel verinin bazı alanlarına silme veya yıldızlama işlemi gerçekleştirilerek kişinin belirlenemez hale getirilmesidir. Örnek; TC kimlik numarasının bir kısmının yıldızlanması (19*********).
Verilerin kümülatif hale getirilmesi ve akabinde toplam değerlerinin yansıtılmasını ifade eder. Örnek; Başvuran kadın hastaların X kadar olması ve sayının 0’unun üniversite mezunu, p’inin yüksek lisans mezunu olması gibi.
Mevcutta bulunan detaylı verilerin değiştirilerek daha genel verilerin elde edilmesidir. Örnek; Doğum tarihi bilgisinin gün/ay/yıl detayları yerine yaş aralığı şeklinde yazılması (20-25 yaş) gibi.
Veri kümesi içinde değerlerin karıştırılması ve akabinde toplam faydaya hasar vermeden kişilerin tespit edilebilme özelliğinin yok edilmesini ifade eder. Örnek; Yaş ortalaması alınmak istenen bir toplulukta kişilerin yaşlarını gösteren değerlerin birbirleri ile değiştirilerek veri karması yapılıp o kişiye ulaşılmasının ortadan kaldırılması gibi.
Kişisel verilerin saklanma süresi belirlenirken yasal düzenlemelerin getirdiği yükümlülükler göz önüne alınmaktadır. Yasal düzenlemeler dışında, kişisel verilerin işlenme amaçları dikkate alınarak saklama süresi belirlenmektedir. Veri işleme amacının ortadan kalkması halinde, verilerin tutulmasına olanak sağlayan başka bir hukuki sebep veya dayanak bulunmadığı sürece veriler silinir, yok edilir veya anonim hale getirilir.
Kişisel verilerin işlenme amacı sona ermiş; ilgili mevzuat ve Sanita Sağlık Grubu’nun belirlediği saklama sürelerinin de sonuna gelinmişse; kişisel veriler yalnızca olası hukuki uyuşmazlıklarda delil teşkil etmesi veya kişisel veriye bağlı ilgili hakkın ileri sürülebilmesi veya savunmanın tesis edilmesi amacıyla saklanabilmektedir. Buradaki sürelerin tesisinde bahsi geçen hakkın ileri sürülebilmesine yönelik zamanaşımı süreleri ile zamanaşımı sürelerinin geçmesine rağmen daha önce aynı konularda yöneltilen emsal taleplerdeki örnekler esas alınarak saklama süreleri belirlenmektedir. Söz konusu süreler aşağıdaki tabloda gösterilmektedir. Bu süreler sona erdikten sonra kişisel veriler silinmekte, yok edilmekte veya anonim hale getirilmektedir.
Söz konusu kişisel verinin saklanmasına ilişkin olarak, mevzuatta öngörülen sürenin sona ermesi veya ilgili mevzuatta söz konusu verinin saklanmasına ilişkin olarak herhangi bir süre öngörülmemiş olması durumunda, veriler, veri sorumlusu tarafından, 6 aylık periyodlarda silinir, yok edilir ya da anonim hale getirilir.
Kurum tarafından aksine bir karar alınmadıkça, kişisel verileri silme, yok etme veya anonim hale getirme yöntemlerinden uygun olanı Sanita Sağlık Grubu tarafından seçilir.
İlgili kişi Sanita Sağlık Grubu’na başvurarak kendisine ait kişisel verilerin silinmesini veya yok edilmesini talep ettiğinde ilgili talep kişisel verilerin işleme şartlarının kalkıp kalkmadığına göre değerlendirilir. Kişisel verilerin işleme şartları tamamen ortadan kalkmışsa Sanita Sağlık Grubu talebe konu kişisel verileri siler, yok eder veya anonim hale getirir. Kişisel verilerin işleme şartları tamamı ortadan kalkmamışsa ilgili talep gerekçesi açıklanarak reddedilir. Talepler her durumda 30 gün içinde sonuçlandırılarak ilgili kişiye bildirilir.
VERİ TİPİ DETAYLARI |
SAKLAMA SÜRESİ |
İMHA SÜRESİ |
Hastaya İlişkin Veriler (ad soyad, TC No, doğum tarihi ve yılı, tıbbi bilgiler/tıbbi öykü,/tetkik/ kullanılan ilaç, kan grubu,sağlık verisi ile bağlantılı genetik veriler, e-posta, adres, telefon, din bilgisi, poliklinik kameralarında alınan veriler, uyruk, bilgisi, anne ve baba adı, cinsiyet, pasaport no, özel sağlık sigortası verileri, ağız içi ölçüleri, hastanın öncesi/sonrası fotoğrafları ve görüntüleri, ağız , ağız içi, çene vb. tıbbi görüntüleri / yüze ait görüntüler, şikayet/memnuniyete ilişkin başvuru verileri, müşteri temsilcileri ya da hasta hizmetleri tarafından çağrı merkezi standartları gereği tutulan sesli görüşme kayıtları) |
Tıbbi hasta dosyası içerisinde bulunması gerekli belgeler kapsamında işlenen veriler bütünüyle hasta ile hukuki ilişkinin sona ermesinden itibaren 20 yıl
Geçmiş tetkik sonuçları ve raporlarının saklanmasının dişhekimi tarafından gerekli görülmemesi halinde 3 ay
Poliklinik kameralarında alınan veriler ise kayıt tarihinden itibaren 2 ay
Müşteri temsilcileri ya da çağrı merkezinde tutulan sesli görüşme kayıtları kayıt tarihinden itibaren 5 yıl
|
Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Hastaya İlişkin Ödeme Araçları Bilgisi (IBAN, kredi kartı bilgisi) |
Hasta / Danışan ile hukuki ilişkinin sona ermesinden itibaren 10 yıl |
Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Hasta Yakınına İlişkin Veriler (ad-soyad, telefon, şikayet/memnuniyete ilişkin başvuru verileri, hasta ile yakınlık bilgisi, IBAN, kredi kartı bilgisi, poliklinik kameralarında alınan veriler müşteri temsilcileri ya da hasta hizmetleri tarafından çağrı merkezi standartları gereği tutulan sesli görüşme kayıtları) |
Hasta dosyasının bir parçası olduğundan Hasta Yakını ile hukuki ilişkinin sona ermesinden itibaren 20 yıl
Poliklinik kameralarında alınan veriler ise kayıt tarihinden itibaren 2 ay
Müşteri temsilcileri ya da çağrı merkezinde tutulan sesli görüşme kayıtları kayıt tarihinden itibaren 5 yıl
IBAN, kredi kartı bilgisi 10 yıl
|
Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Hasta Adayına İlişkin Veriler (ad soyad, telefon, e-posta, doğum tarihi, başvuruya temel şikayet, müşteri temsilcileri ya da hasta hizmetleri tarafından çağrı merkezi standartları gereği tutulan sesli görüşme kayıtları, online görüşme esnasındaki görsel ve işitsel veriler) |
Hastaya fiziksel muayene yapılmadığı takdirde hasta adayı verisi olarak ilişkinin sona ermesinden itibaren 1 yıl
Müşteri temsilcileri ya da çağrı merkezinde tutulan sesli görüşme kayıtları kayıt tarihinden itibaren 5yıl |
Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
İnsan Kaynakları Süreçlerinin Yürütülmesi / Çalışanlara İlişkin Veriler ( ad soyad, TC No, nüfus cüzdan fotokopisi, din bilgisi (eski TC kimliği olan çalışanlarda) özgeçmiş bilgileri, resmi yerleşim yeri bilgisi, cep telefonu, kişisel e-posta adresi, kan grubu, banka hesap numarası bilgileri, diploma, doğum tarihi, cinsiyet, ücret verisi, medeni durum, doğum yeri bilgisi, uyruk, öğrenim durumu, mezuniyet bilgileri, işe başlama tarihi, sosyal güvenlik numarası, işgörmezlik rapor bilgileri, yabancı dil bilgisi, referans verisi, vukuatlı adli sicil kaydı, sağlık bilgileri, parmak izi, özlük dosyasına konacak fotoğraf, lokasyon verileri, mesleki oda verileri, poliklinik kameralarında alınan veriler) |
Referans verisi ve sağlık raporu hariç özlük ve ceza mahkumiyetine ilişkin veriler iş ilişkisinin sona ermesinden itibaren 10 yıl
Referans verisi işe başladıktan itibaren 1 yıl
Sağlık raporu 15 yıl
Araç takip lokasyon verileri Arvento tarafından saklanıyor.
Log kayıtları kapsamında alınan lokasyon verileri ise Log sunucumuz bulunmadığı için windows active directory 32 mb saklıyor saklama süresi log yoğunluğuna göre değişmektedir. Fortigatecloud 6 ay süre ile log kayıtlarını tutmaktadır
Poliklinik kameralarında alınan veriler ise kayıt tarihinden itibaren 2 ay
Diğer risk yönetimi ve işlem güvenliği verileri şirket faaliyette olduğu sürece
|
Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
İnsan Kaynakları Süreçlerinin Yürütülmesi / Çalışanlara İlişkin Veriler (acil durumlarda bilgi verileceklerin iletişim bilgileri)
|
İş ilişkisi süresi boyunca |
Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
İnsan Kaynakları Süreçlerinin Yürütülmesi / Çalışanlara Adayına İlişkin Veriler (ad soyad, telefon, referans, özgeçmiş) |
İşe alım gerçekleşmezse siliniyor
|
Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Hizmet Alınan Şahıs Şirketi Yetkilisine İlişkin Veriler (ad soyadı, TC No, adres, şirket e-posta adresi, iş telefonu / kişisel cep telefonu)
|
Sözleşmesel ilişkinin sona ermesinden itibaren 10 yıl |
Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Websitesi Ziyaretçisine İlişkin Veriler (çerez kayıtları, IP adresi, log kayıtları) |
Websitesinin kullanımından itibaren Çerez kayıtları 2 yıl IP adresi 10 yıl log kayıtları 6 ay ve/veya 32 mb sakalama alanı dolana kadar
|
Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
İlgili Kişiye İlişkin Veriler (adli makamlar ile yapılan yazışmalardaki bilgiler) |
Hukuki ilişkinin sona ermesinde itibaren 20 yıl |
Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Misafire İlişkin Veriler (ad soyad, doğum yılı, TC kimlik no) |
İnternet wifi ağına girilmesi halinde girişin sona ermesinden itibaren 2 yıl
Fiziksel ziyaret halinde ziyaret tarihinden itibaren 6 ay |
Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Hissedar/Ortağa İlişkin Veriler (ad soyad, telefon, adres, mesleki deneyim, poliklinik kameralarında alınan görüntü ve ses verisi) |
İlişkinin sona ermesinden itibaren 10 yıl
Poliklinik kameralarında alınan görüntü ve ses verileri 2 ay |
Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Stajyere İlişkin Veriler (ad soyad, telefon, mesleki deneyim, poliklinik kameralarında alınan görüntü ve ses verisi |
Sözleşmesel ilişkinin sona ermesinden itibaren 5 yıl
Poliklinik kameralarında alınan görüntü ve ses verileri 2 ay |
Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Risk Yönetimi / İşlem Güvenliği Verileri (şirkete ait şifre ve parola bilgileri ve Ticari, teknik, idari risklerin yönetilmesi için işlenen bilgiler) |
Şirket faaliyeti devam ettiği sürece |
Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Sanita Sağlık Grubu periyodik imha süresini 6 ay olarak belirlemiştir. Buna göre, her yıl Haziran ve Aralık ayında düzenli olarak periyodik imha işlemi gerçekleştirilmektedir.
Bu Politika 15.12.2021 tarihinde onaylanmıştır. Bu tarih itibariyle geçerli ve bağlayıcı olacaktır.
Sanita Sağlık Grubu Kişisel Verilerin Korunması ve İşlenmesi Politikası işbu Politika’nın eki ve ayrılmaz parçasıdır.
İşbu politikanın duyurulması ve yürütülmesi İnsan Kaynakları Departmanı tarafından gerçekleştirilecektir.
EKLER : Sanita Sağlık Grubu Kişisel Verilerin Korunması ve İşlenmesi Politikası
DÖKÜMAN TARİHÇESİ |
||
Versiyon |
Yayın Tarihi |
Değişikliğin Tanımı |
|
|
|
Hazırlayan |
İnceleyen |
Onaylayan |
|
|
|
Web sitemiz üzerinden online olarak randevunuzu alabilirsiniz.