Kişisel Verileri Saklama ve İmha Politikası (“Politika”)
1.BÖLÜM: GİRİŞ
a) Amaç ve Kapsam
Kişisel Verileri Saklama ve İmha Politikası (“Politika”), veri sorumlusu sıfatıyla Saygı Hastanesi Sağlık Hizmetleri Anonim Şirketi (“Şirket”/ “Veri Sorumlusu”) tarafından 6698 sayılı Kanun ve buna bağlı mevzuat gereği ve özellikle KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VEYA ANONİM HALE GETİRİLMESİ HAKKINDA YÖNETMELİK gereklilikleri doğrultusunda, tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin usul ve esasların belirlenmesi amacıyla hazırlanmıştır.
Bu kapsamda Politika; sorumluluk ve görev dağılımları, kayıt ortamları, saklama ve imha süreçleri, teknik ve idari tedbirler, imha teknikleri, saklama ve imha süreleri ile yürürlük ve güncellemeye ilişkin düzenlemeleri içerir.
İşbu Politika’nın VERBİS beyanı ile çelişmesi ya da Politika’da eksik bir husus bulunması durumunda VERBİS beyanı esas alınır ve Politika ivedilikle VERBİS beyanına göre güncellenir.
b) Kısaltmalar ve Tanımlar
Alıcı Grubu : Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisi.
Açık Rıza : Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.
Anonim Hale Getirme : Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi.
Çalışan : Bir iş akdiyle veri sorumlusuna bağlı olarak çalışan personel.
Elektronik Ortam: Kişisel verilerin elektronik aygıtlar ile oluşturulabildiği, okunabildiği, değiştirilebildiği ve yazılabildiği ortamlar.
Elektronik Olmayan Ortam: Elektronik ortamların dışında kalan tüm yazılı, basılı, görsel vb. diğer ortamlar.
İlgili Kişi : Kişisel verisi işlenen gerçek kişi.
İlgili Kullanıcı : Veri sorumlusunun iş organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişiler.
İmha : Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi.
Kanun/KVKK: 6698 Sayılı Kişisel Verilerin Korunması Kanunu.
Kayıt Ortamı : Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam.
Kişisel Veri : Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.
Kişisel Veri İşleme Envanteri : Veri sorumlusunun iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter.
Kişisel Verilerin İşlenmesi : Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, saklanması, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.
Kurul : Kişisel Verileri Koruma Kurulu
Özel Nitelikli Kişisel Veri : Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri.
Periyodik İmha: Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla re’sen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi.
Periyodik Olmayan İmha: İmhanın periyodik imha dışında saklama süresi biten kişisel verilerin imha edilmesi suretiyle gerçekleştirilmesi
Politika : Kişisel Verileri Saklama ve İmha Politikası
Muhatap veri sorumlusu: Alıcı grubu içinde veri sorumlusundan veri sorumlusuna aktarım yapıldığı hallerde, Şirket’in ilişki kapsamında veri aktardığı muhatap veri sorumlusu.
Veri İşleyen : Veri sorumlusunun verdiği yetkiye dayanarak veri sorumlusu adına kişisel verileri işleyen gerçek veya tüzel kişi.
Veri Kayıt Sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi.
Veri Sorumlusu : Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasında ve yönetilmesinden sorumlu gerçek veya tüzel kişi sıfatıyla Saygı Hastanesi Sağlık Hizmetleri Anonim Şirketi’ni
Yönetmelik : 28 Ekim 2017 tarihli Resmi Gazetede yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik.
Çalışanların Özel Sorumluluğu: Çalışanların iş akdi kapsamında görevlerini ifa ederken kişisel verileri koruması bakımından Politika kapsamında belirlenen ve işverenlikçe özelleştirilmiş disiplinel ve/veya Politika’daki kriterlerin varlığı halinde hukuki sorumluluk.
KVKK sorumlusu personeller: Politikanın ve mevzuatın veri sorumlusu nezdinde uygulanma ve güncellemesinden sorumlu olan idari çalışanlar ve/veya yöneticiler
KVKK Heyeti: Politikanın ve mevzuatın veri sorumlusu nezdinde uygulanma ve güncellemesinden sorumlu olan idari çalışanlar ve/veya yöneticilerin heyet halinde takip ve koordinasyonu ile aldığı kararlar
2. BÖLÜM: SORUMLULUK VE GÖREV DAĞILIMLARI
1) Çalışanların Özel Sorumluluğunun Kapsamı
Veri sorumlusunun tüm çalışanları görevlerini yerine getirirken; a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek, c) Kişisel verilerin muhafazasını sağlamak zorundadır.
Çalışanlar katıldıkları eğitim/ler sonucu ve kendilerine yapılan sözlü ve yazılı bildirimler çerçevesinde gerekli her türlü teknik ve idari tedbire uymak ve bu tedbirlerin uygulanmasında yaşanan en hafif düzeydeki herhangi bir ihmal ya da ihlali yöneticisine derhal ve yazılı olarak bildirmek zorundadır. İşyerinde planlı ya da plansız denetimler neticesinde ya da herhangi bir sebeple kişisel verilerin korunması bakımından çalışanın ihmal veya ihlalinin tespit edilmesi halinde iki tanık eşliğinde tutanak tutulur ve çalışanın özlük dosyasına işlenir.
Çalışanlar iş ilişkisi kapsamında doğrudan ya da dolaylı olarak öğrendikleri ya da kendisinin zilyetliğine bırakılmış elektronik ya da elektronik olmayan kayıt ortamında bulunan kişisel verileri özlük dosyalarında yer alan taahhütnameye ve 6698 sayılı Kanun hükümleri ile ikincil mevzuata aykırı olarak başkasına açıklayamaz ve işleme amacı dışında kullanamazlar. Bu yükümlülük görevden ayrılmalarından sonra da devam eder.
İşbu madde kapsamında iş hukuku mevzuatından kaynaklanan düzenlemeler ile adli veya cezai gereklilikler ve idari disiplin hükümleri saklıdır.
2) Çalışanların Özel Sorumluluğu Bakımından Yaptırımlar
Çalışanların yukarıdaki özel sorumluluğu bakımından, çalışanın ihmali herhangi bir ihlale sebebiyet vermediyse; iki tanık imzasıyla düzenlenmiş tutanağa istinaden veri sorumlusu tarafından yürürlükteki İş Kanunu başta olmak üzere iş ilişkisini düzenleyen mevzuata göre çalışana disiplin işlemi uygulanır. Sürecin takip ve koordinasyonu İnsan Kaynakları Direktörlüğü tarafından yapılır ve disiplin yaptırımı olarak belirlenen husus yahut varsa başkaca hukuki sonuç çalışana tebliğ edilir. Bu hususta İş Kanunu’ndaki disiplin yaptırımları esas alınır.
Ayrıca denetimler sonucunda iki defa uyarı almış çalışanın iş ilişkisi, işverenlik tarafından mutlaka gözden geçirilerek İş Kanunu ve ilgili mevzuat çerçevesinde iş akdinin feshedilip edilmeyeceğine süresi içinde karar verilir ve çalışana tebliğ edilir. Bu durum geçerli sebeple fesih oluşturur.
İşverenlik tarafından eğitim verilmiş olmasına rağmen; kişisel verilerin korunması bakımından çalışanın fiili ya da herhangi bir eylemde bulunmaması ile gerçekleşen en hafif düzeydeki ihmalin, herhangi bir ihlale sebebiyet vermesi halin gereklerine göre mümkün ya da mevcut ise, yürürlükteki iş mevzuatının sair hükümleri saklı kalmak kaydıyla, bu fiil ya da eylemsizlik hali tek başına İş Kanunu madde 25/II kapsamında İşçinin Doğruluk ve Bağlılığa Uymayan Davranış nedeniyle iş akdinin işverenlikçe haklı ve bildirimsiz feshine karine teşkil eder. Somut halin gereklerine göre sair haklı sebeple fesih nedenleri saklıdır.
Çalışanların özel sorumluluğu kapsamındaki herhangi bir ihmalin ya da ihlalin Kurul’a bildirilmeyi gerektirir nitelikte bir veri ihlali olması gerekmez.
İşverenliğin, ihlal neticesinde doğmuş bir zararı kusur oranında çalışana rücu hakkı vardır.
Yukarıdaki tüm hususlar bakımından İş Kanunu’nun ve ilgili mevzuatın sair hükümleri saklıdır.
3) Saklama ve İmha Süreçleri Görev Dağılımı
KVKK sorumluları aşağıdaki gibidir.
Yönetim Kurulu Başkan Vekili : Çalışanların politikaya uygun hareket etmesinden sorumludur.
Kalite Yönetimi Direktörü: Veri Envanteri, Aydınlatma Bildirimleri ve Politika’nın hazırlanması, geliştirilmesi, yürütülmesi, ilgili ortamlarda yayınlanması ve güncellenmesinden sorumludur.
Bilgi Teknolojileri Direktörü: Politika’nın uygulanmasında ihtiyaç duyulan teknik çözümlerin sunulmasından sorumludur.
İnsan Kaynakları Direktörü: Politika kapsamında çalışanların sorumluluğundan ve eğitimlerinden sorumludur.
Arşiv Direktörü: Politika kapsamında imha süreçlerinden sorumludur.
Diğer direktörler/müdürler: Görevlerine uygun olarak Politikanın, direktörü/müdürü oldukları birim tarafından yürütülmesinden sorumludur.
3.BÖLÜM: KAYIT ORTAMLARI
Elektronik ortamlar: Sunucular (Etki alanı, yedekleme, e-posta, veritabanı, web, dosya paylaşım, vb.) Yazılımlar (ofis yazılımları, portal, İÇ YAZILIMLAR.) Bilgi güvenliği cihazları (güvenlik duvarı, saldırı tespit ve engelleme, günlük kayıt dosyası, antivirüs vb. ) Kişisel bilgisayarlar (Masaüstü, dizüstü) Mobil cihazlar (telefon, tablet vb.) Optik diskler (CD, DVD vb.) Çıkartılabilir bellekler (USB, Hafıza Kart vb.) Yazıcı, tarayıcı, fotokopi makinesi
Elektronik olmayan ortamlar: Kağıt Manuel veri kayıt sistemleri (anket formları, başvuru formları, eğitim formları, bilgi formları) Yazılı, basılı, görsel ortamlar (Hastane içi doldurulabilir sair evraklar)
4. BÖLÜM: SAKLAMA VE İMHA SÜREÇLERİ
Veri sorumlusu tarafından;
Kimlik, İletişim, Lokasyon, Özlük, Hukuki İşlem, Müşteri İşlem, Fiziksel Mekan Güvenliği, İşlem Güvenliği , Risk Yönetimi, Finans , Mesleki Deneyim, Pazarlama, Görsel ve İşitsel Kayıtlar, Sağlık Bilgileri, Ceza Mahkumiyeti ve Güvenlik Tedbirleri, Biyometrik Veri kategorilerinde kişisel veriler Kanuna uygun olarak saklanır ve imha edilir. Bu kapsamda saklama ve imhaya ilişkin detaylı açıklamalara aşağıda sırasıyla yer verilmiştir. Kişisel veriler, ilgili mevzuatta öngörülen veya işleme amaçlarımıza uygun süre kadar saklanır. Veri kategorilerinin güncel hali ile VERBİS beyanında çelişki yaşanması halinde, VERBİS beyanında belirtilen esas alınır.
a) Saklamayı Gerektiren Hukuki ve Teknik Sebepler
-
Kanunlarda açıkça öngörülmesi.
-
Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
-
Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
-
Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
-
İlgili kişinin kendisi tarafından alenileştirilmiş olması.
-
Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
-
İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.
-
Kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi,
-
Kişinin açık rızasının varlığı,
başta olmak üzere mevzuattan kaynaklanan sair hukuki ve teknik sebeplerle işlenir ve saklanır.
b) Saklamayı Gerektiren İşleme Amaçları
Saklamayı gerektiren işleme amaçları aşağıdaki gibi olup, yukarıda belirtilen veri kategorileri bakımından her biri için amaçlar VERBİS üzerinden beyan edilir.
1. Acil Durum Yönetimi Süreçlerinin Yürütülmesi
2. Bilgi Güvenliği Süreçlerinin Yürütülmesi
3. Çalışan Adayı / Stajyer / Öğrenci Seçme Ve Yerleştirme Süreçlerinin Yürütülmesi
4. Çalışan Adaylarının Başvuru Süreçlerinin Yürütülmesi
5. Çalışan Memnuniyeti Ve Bağlılığı Süreçlerinin Yürütülmesi
6. Çalışanlar İçin İş Akdi Ve Mevzuattan Kaynaklı Yükümlülüklerin Yerine Getirilmesi
7. Çalışanlar İçin Yan Haklar Ve Menfaatleri Süreçlerinin Yürütülmesi
8. Denetim / Etik Faaliyetlerinin Yürütülmesi
9. Eğitim Faaliyetlerinin Yürütülmesi
10. Erişim Yetkilerinin Yürütülmesi
11. Faaliyetlerin Mevzuata Uygun Yürütülmesi
12. Finans Ve Muhasebe İşlerinin Yürütülmesi
13. Firma / Ürün / Hizmetlere Bağlılık Süreçlerinin Yürütülmesi
14. Fiziksel Mekan Güvenliğinin Temini
15. Görevlendirme Süreçlerinin Yürütülmesi
16. Hukuk İşlerinin Takibi Ve Yürütülmesi
17. İç Denetim/ Soruşturma / İstihbarat Faaliyetlerinin Yürütülmesi
18. İletişim Faaliyetlerinin Yürütülmesi
19. İnsan Kaynakları Süreçlerinin Planlanması
20. İş Faaliyetlerinin Yürütülmesi / Denetimi
21. İş Sağlığı / Güvenliği Faaliyetlerinin Yürütülmesi
22. İş Süreçlerinin İyileştirilmesine Yönelik Önerilerin Alınması Ve Değerlendirilmesi
23. İş Sürekliliğinin Sağlanması Faaliyetlerinin Yürütülmesi
24. Lojistik Faaliyetlerinin Yürütülmesi
25. Mal / Hizmet Satın Alım Süreçlerinin Yürütülmesi
26. Mal / Hizmet Satış Sonrası Destek Hizmetlerinin Yürütülmesi
27. Mal / Hizmet Satış Süreçlerinin Yürütülmesi
28. Mal / Hizmet Üretim Ve Operasyon Süreçlerinin Yürütülmesi
29. Müşteri İlişkileri Yönetimi Süreçlerinin Yürütülmesi
30. Müşteri Memnuniyetine Yönelik Aktivitelerin Yürütülmesi
31. Organizasyon Ve Etkinlik Yönetimi
32. Pazarlama Analiz Çalışmalarının Yürütülmesi
33. Performans Değerlendirme Süreçlerinin Yürütülmesi
34. Reklam / Kampanya / Promosyon Süreçlerinin Yürütülmesi
35. Risk Yönetimi Süreçlerinin Yürütülmesi
36. Saklama Ve Arşiv Faaliyetlerinin Yürütülmesi
37. Sosyal Sorumluluk Ve Sivil Toplum Aktivitelerinin Yürütülmesi
38. Sözleşme Süreçlerinin Yürütülmesi
39. Sponsorluk Faaliyetlerinin Yürütülmesi
40. Stratejik Planlama Faaliyetlerinin Yürütülmesi
41. Talep / Şikayetlerin Takibi
42. Taşınır Mal Ve Kaynakların Güvenliğinin Temini
43. Tedarik Zinciri Yönetimi Süreçlerinin Yürütülmesi
44. Ücret Politikasının Yürütülmesi
45. Ürün / Hizmetlerin Pazarlama Süreçlerinin Yürütülmesi
46. Veri Sorumlusu Operasyonlarının Güvenliğinin Temini
47. Yabancı Personel Çalışma Ve Oturma İzni İşlemleri
48. Yatırım Süreçlerinin Yürütülmesi
49. Yetenek / Kariyer Gelişimi Faaliyetlerinin Yürütülmesi
50. Yetkili Kişi, Kurum Ve Kuruluşlara Bilgi Verilmesi
51. Yönetim Faaliyetlerinin Yürütülmesi
52. Ziyaretçi Kayıtlarının Oluşturulması Ve Takibi
53. Diğer
c) İmhayı Gerektiren Sebepler
Kişisel veriler;
-
İşlenmesine esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası,
-
İşlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,
-
Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin açık rızasını geri alması,
-
Kanunun 11 inci maddesi gereği ilgili kişinin hakları çerçevesinde kişisel verilerinin silinmesi ve yok edilmesine ilişkin yaptığı başvurunun kabul edilmesi,
-
İlgili kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile veri sorumlusuna yapılan başvurunun reddi, yetersizliği veya Kanunda öngörülen süre içinde cevap verilmemesi gerekçeleriyle; Kurul tarafından başvurudaki mezkur talebin uygun bulunması,
-
Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olması ve kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması, durumlarında,
veri sorumlusu tarafından ilgili kişinin talebi üzerine silinir, yok edilir ya da re’sen silinir, yok edilir veya anonim hale getirilir.
Saklamayı gerektiren herhangi bir sebebin varlığı halinde, imha sebebi olsa bile imha gerçekleşmez.
5. BÖLÜM: TEKNİK VE İDARİ TEDBİRLER
a) Teknik Tedbirler
1. Ağ güvenliği ve uygulama güvenliği sağlanmaktadır.
2. Ağ yoluyla kişisel veri aktarımlarında kapalı sistem ağ kullanılmaktadır.
3. Anahtar yönetimi uygulanmaktadır.
4. Bilgi teknolojileri sistemleri tedarik, geliştirme ve bakımı kapsamındaki güvenlik önlemleri alınmaktadır.
5. Bulutta depolanan kişisel verilerin güvenliği sağlanmaktadır.
6. Çalışanlar için veri güvenliği hükümleri içeren disiplin düzenlemeleri mevcuttur.
7. Çalışanlar için veri güvenliği konusunda belli aralıklarla eğitim ve farkındalık çalışmaları yapılmaktadır.
8. Çalışanlar için yetki matrisi oluşturulmuştur.
9. Erişim logları düzenli olarak tutulmaktadır.
10. Erişim, bilgi güvenliği, kullanım, saklama ve imha konularında kurumsal politikalar hazırlanmış ve uygulamaya başlanmıştır.
11. Gerektiğinde veri maskeleme önlemi uygulanmaktadır.
12. Gizlilik taahhütnameleri yapılmaktadır.
13. Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır. 14. Güncel anti-virüs sistemleri kullanılmaktadır.
15. Güvenlik duvarları kullanılmaktadır.
16. İmzalanan sözleşmeler veri güvenliği hükümleri içermektedir.
17. Kağıt yoluyla aktarılan kişisel veriler için ekstra güvenlik tedbirleri alınmakta ve ilgili evrak gizlilik dereceli belge formatında gönderilmektedir.
18. Kişisel veri güvenliği politika ve prosedürleri belirlenmiştir.
19. Kişisel veri güvenliği sorunları hızlı bir şekilde raporlanmaktadır.
20. Kişisel veri güvenliğinin takibi yapılmaktadır.
21. Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmaktadır.
22. Kişisel veri içeren fiziksel ortamların dış risklere (yangın, sel vb.) karşı güvenliği sağlanmaktadır.
23. Kişisel veri içeren ortamların güvenliği sağlanmaktadır.
24. Kişisel veriler mümkün olduğunca azaltılmaktadır.
25. Kişisel veriler yedeklenmekte ve yedeklenen kişisel verilerin güvenliği de sağlanmaktadır. 26. Kullanıcı hesap yönetimi ve yetki kontrol sistemi uygulanmakta olup bunların takibi de yapılmaktadır.
27. Kurum içi periyodik ve/veya rastgele denetimler yapılmakta ve yaptırılmaktadır.
28. Log kayıtları kullanıcı müdahalesi olmayacak şekilde tutulmaktadır.
29. Mevcut risk ve tehditler belirlenmiştir.
30. Özel nitelikli kişisel veri güvenliğine yönelik protokol ve prosedürler belirlenmiş ve uygulanmaktadır.
31. Özel nitelikli kişisel veriler elektronik posta yoluyla gönderilecekse mutlaka şifreli olarak ve KEP veya kurumsal posta hesabı kullanılarak gönderilmektedir.
32. Özel nitelikli kişisel veriler için güvenli şifreleme / kriptografik anahtarlar kullanılmakta ve farklı birimlerce yönetilmektedir.
33. Saldırı tespit ve önleme sistemleri kullanılmaktadır.
34. Siber güvenlik önlemleri alınmış olup uygulanması sürekli takip edilmektedir.
35. Şifreleme yapılmaktadır.
36. Taşınabilir bellek, CD, DVD ortamında aktarılan özel nitelikli kişiler veriler şifrelenerek aktarılmaktadır.
37. Veri işleyen hizmet sağlayıcılarının veri güvenliği konusunda belli aralıklarla denetimi sağlanmaktadır.
38. Veri işleyen hizmet sağlayıcılarının, veri güvenliği konusunda farkındalığı sağlanmaktadır.
b) İdari Tedbirler
Veri sorumlusu tarafından, işlediği kişisel verilerle ilgili olarak alınan idari tedbirler aşağıda sayılmıştır:
Veri Sorumluları Sicil Bilgi Sistemine (VERBİS) Bildirim gerçekleştirilmektedir.
Çalışanların niteliğinin geliştirilmesine yönelik, kişisel verilerin hukuka aykırı olarak işlenmenin önlenmesi, kişisel verilerin hukuka aykırı olarak erişilmesinin önlenmesi, kişisel verilerin muhafazasının sağlanması, iletişim teknikleri, teknik bilgi beceri ve mevzuat hakkında eğitimler verilmektedir.
Çalışanların iş akdinde gizlilik hükümleri, özlük dosyalarında çalışanların kişisel verilerine ilişkin muvafakatname, çalışanların iş akdi çerçevesindeki görev ve sorumlulukları bakımından ise kişisel verilerin korunmasına ilişkin taahhütnameleri mevcuttur.
Güvenlik politika ve prosedürlerine uymayan çalışanlara yönelik uygulanacak disiplin prosedürü işbu Politika’da çalışanların özel sorumluluğu kapsamında belirlenmiştir.
Kişisel veri işlemeye başlamadan önce veri sorumlusu tarafından ilgili kişileri aydınlatma yükümlülüğü yerine getirilmektedir.
Kişisel veri işleme envanteri hazırlanmıştır.
Veri sorumlusunun işyerlerinde periyodik ve rastgele denetimler yapılmaktadır.
Çalışanlara yönelik bilgi güvenliği eğitimleri verilmektedir.
6. BÖLÜM: İMHA TEKNİKLERİ
İlgili mevzuatta öngörülen süre ya da işlendikleri amaç için gerekli olan saklama süresinin sonunda kişisel veriler, veri sorumlusu tarafından re’sen veya ilgili kişinin başvurusu üzerine yine ilgili mevzuat hükümlerine uygun olarak aşağıda belirtilen tekniklerle imha edilir.
a) Silme, Yok Etme veya Anonim Hale Getirme
Sunucularda Yer Alan Kişisel Veriler: Sunucularda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler için sistem yöneticisi tarafından ilgili kullanıcıların erişim yetkisi kaldırılarak silme işlemi yapılır.
Elektronik Ortamda Yer Alan Kişisel Veriler: Elektronik ortamda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, veritabanı yöneticisi hariç diğer çalışanlar (ilgili kullanıcılar) için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir.
Fiziksel Ortamda Yer Alan Kişisel Veriler: Fiziksel ortamda tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler için evrak arşivinden sorumlu birim yöneticisi hariç diğer çalışanlar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. Ayrıca, üzeri okunamayacak şekilde çizilerek/boyanarak/silinerek karartma işlemi de uygulanır.
Taşınabilir Medyada Bulunan Kişisel Veriler: Flash tabanlı saklama ortamlarında tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler, sistem yöneticisi tarafından şifrelenerek ve erişim yetkisi sadece sistem yöneticisine verilerek şifreleme anahtarlarıyla güvenli ortamlarda saklanır.
Fiziksel Ortamda Yer Alan Kişisel Veriler: Kâğıt ortamında yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, kâğıt kırpma makinelerinde geri döndürülemeyecek şekilde yok edilir.
Optik / Manyetik Medyada Yer Alan Kişisel Veriler: Optik medya ve manyetik medyada yer alan kişisel verilerden saklanmasını gerektiren süre sona erenlerin eritilmesi, yakılması veya toz haline getirilmesi gibi fiziksel olarak yok edilmesi işlemi uygulanır. Ayrıca, manyetik medya özel bir cihazdan geçirilerek yüksek değerde manyetik alana maruz bırakılması suretiyle üzerindeki veriler okunamaz hale getirilir.
İstatistiki veriler ve birim bazlı performans ölçümleri başta olmak üzere; kişisel verilerin, veri sorumlusu veya üçüncü kişiler tarafından geri döndürülmesi ve/veya verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilir. Talep veya kanuni gereklilik halinde de anonimleştirme yapılır.
7. BÖLÜM: SAKLAMA VE İMHA SÜRELERİ
a) Veri bazlı saklama ve imha süreleri
Sürelerin güncel hali ile VERBİS beyanında çelişki yaşanması halinde, VERBİS beyanında belirtilen esas alınır.
1-Kimlik: Ölüm gerçekleştikten sonra 20 yıl
2-İletişim: Hukuki ilişki + 10 yıl
3-Lokasyon: Hukuki İlişki + 1 yıl
4-Özlük: İstihdam/Hukuki İlişki + 10 yıl
5-Hukuki İşlem: Hukuki İlişki + 20 yıl
6-Müşteri İşlem: Hukuki İlişki + 5 yıl
7-Fiziksel Mekan Güvenliği: 2 Ay
8-İşlem Güvenliği: 2 Yıl
9-Risk Yönetimi: 10 Yıl
10-Finans: Hukuki İlişki + 10 yıl
11-Mesleki Deneyim: Hukuki İlişki + 10 yıl
12-Pazarlama: Hukuki İlişki + 2 yıl
13-Görsel Ve İşitsel Kayıtlar: Hukuki İlişki + 10 yıl
14-Sağlık Bilgileri: Ölüm gerçekleştikten sonra 20 yıl
15-Ceza Mahkûmiyeti Ve Güvenlik Tedbirleri: İstihdam süresince
16 -Biyometrik Veri: Ölüm gerçekleştikten sonra 20 yıl
b) Periyodik saklama ve imha süreleri
Yönetmeliğin 11 inci maddesi gereğince veri sorumlusu, periyodik imha süresini 6 ay olarak belirlemiştir. Buna göre, veri sorumlusu tarafından her yıl Haziran ve Aralık aylarında periyodik imha işlemi gerçekleştirilir.
8. BÖLÜM: POLİTİKANIN YAYINLANMASI VE GÜNCELLENMESİ
Politika, ıslak imzalı (basılı kâğıt) ve elektronik ortamda olmak üzere iki farklı ortamda yayımlanır, internet sayfasında kamuya açıklanır. Basılı kâğıt nüshası da Kalite Yönetimi Direktörlüğü’nde saklanır. Politika, ihtiyaç duyuldukça gözden geçirilir ve gerekli olan bölümler güncellenir.
9. BÖLÜM: YÜRÜRLÜK VE YÜRÜRLÜKTEN KALDIRMA SÜRECİ
Politika, internet sitesinde yayınlanmasının ardından yürürlüğe girmiş kabul edilir. Yürürlükten kaldırılmasına karar verilmesi halinde, Politika’nın ıslak imzalı eski nüshaları iptal edilerek (iptal kaşesi vurularak veya iptal yazılarak) imzalanır ve en az 5 yıl süre ile Kalite Direktörlüğü’nde saklanır.