KİŞİSEL VERİLERİ SAKLAMA

DR. FATMA GENÇTÜRK ÖZER MUAYENEHANESİ

KİŞİSEL VERİLERİ SAKLAMA VE İMHA POLİTİKASI

1-İMHA POLİTİKASI’NIN NİTELİĞİ VE AMACI 

İşbu Kişisel Verileri Saklama ve İmha Politikası’nın temel amacı, kişisel verileri “veri sorumlusu” sıfatıyla, Dr. Fatma Gençtürk ÖZER tarafından, 6698 sayılı Kişisel Verilerin Korunması Kanunu ve ilgili mevzuat gereğince işlenecek olan kişilerin, “söz konusu verilerinin silinmesi, yok edilmesi ve/veya anonim hale getirilmesi, saklama ve imha faaliyetlerine ilişkin iş ve işlemler konusunda usul ve esasların” belirlenmesidir. 

2- İMHA POLİTİKASININ KAPSAMI

Dr. Fatma Gençtürk ÖZER’in muayenehanesine başvuran hastalar/vasiler/veliler, muayenehane çalışanları, çalışan adayları, hizmet sağlayıcılarına ait kişisel veriler işbu politika kapsamındadır. Dr. Fatma Gençtürk ÖZER tarafından kişisel verilerin işlendiği tüm kayıt ortamları ve kişisel veri işlenmesine yönelik faaliyetlerde bu politika uygulanmaktadır.   

3- SORUMLULUK VE GÖREV DAĞILIMLARI 

Veri sorumlusu sıfatıyla Dr. Fatma Gençtürk ÖZER Politikanın hazırlanması, geliştirilmesi, yürütülmesi, ilgili ortamlarda yayınlanması ve güncellenmesi, çalışanların politikaya uygun hareket etmesi, politikanın uygulanmasında ihtiyaç duyulan teknik çözümlerin sunulmasından sorumludur. 

Muayenehane çalışanları politika kapsamında alınmakta olan teknik ve idari tedbirlerin gereği gibi uygulanması, kişisel verilerin hukuka aykırı olarak işlenmesinin önlenmesi, kişisel verilere hukuka aykırı olarak erişilmesinin önlenmesi ve kişisel verilerin hukuka uygun saklanmasının sağlanması amacıyla kişisel veri işlenen tüm ortamlarda veri güvenliğini sağlamaya yönelik teknik ve idari tedbirlere uymak zorundadır.

4. KAYIT ORTAMLARI 

Kişisel veriler, Muayenehane tarafından, işbu Politika’nın “Elektronik Ortamlarda Saklanan Veriler” ve “Fiziki Ortamda Saklanan Veriler” başlıkları altında listelenen ortamlarda, hukuka uygun olarak güvenli bir şekilde saklanır. 

a) Elektronik Ortamda Saklanan Veriler 

-Sunucular (Etki alanı, yedekleme, e-posta, veritabanı, dosya paylaşım, vb.) 

-Yazılımlar (ofis yazılımları, portal, medikal programlar vb.) 

-Bilgi güvenliği cihazları (güvenlik duvarı, antivirüs vb.) 

-Kişisel bilgisayarlar (Masaüstü, dizüstü vb.) 

-Mobil cihazlar (İnternete bağlı olmayan tablet vb.) 

-Optik diskler (CD, DVD vb.) 

-Çıkartılabilir bellekler (USB, Hafıza Kartı vb.) 

b) Fiziki Ortamda Saklanan Veriler

-Kâğıt 

-Manuel veri kayıt sistemleri (hasta dosyaları, protokol defteri, teftiş ve denetim defteri, çalışma belgeleri, ziyaretçi giriş defteri ve mevzuat gereğince tutulması zorunlu olan diğer defterler vb.) 

-Yazılı, basılı, görsel ortamlar 

5.SAKLAMAYA İLİŞKİN AÇIKLAMALAR 

Muayenehane faaliyetleri kapsamında toplanan kişisel veriler 6698 Sayılı Kanun’un ilgili maddeleri uyarınca Veri Sorumlusu Dr. Fatma Gençtürk ÖZER tarafından aşağıda sayılan mevzuatlarda öngörülen süre kadar saklanmaktadır.

– 6698 sayılı Kişisel Verilerin Korunması Kanunu, 

-1219 sayılı Tababet ve Şuabat’ı Sanatlarının Tarzı İcrasına Dair Kanun, 

-6098 sayılı Türk Borçlar Kanunu, 

-5237 sayılı Türk Ceza Kanunu, 

-5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu, 

-3359 sayılı Sağlık Hizmetleri Temel Kanunu, 

-6331 sayılı İş Sağlığı ve Güvenliği Kanunu, 

-4857 sayılı İş Kanunu, 

-Ayakta Teşhis ve Tedavi Yapılan Özel Sağlık Kuruluşları Hakkında Yönetmelik, 

-İş Sağlığı ve Güvenliği Hizmetleri Yönetmeliği, 

-Hasta Hakları Yönetmeliği, 

-Tıbbi Deontoloji Tüzüğü, 

-Türk Tabipleri Birliği Hekimlik Meslek Etiği Kuralları, 

-İlgili diğer kanunlar ve bu kanunlar uyarınca yürürlükte olan diğer ikincil düzenlemeler 

çerçevesinde öngörülen saklama süreleri kadar saklanmaktadır. 

6.SAKLAMAYI GEREKTİREN İŞLEME AMAÇLARI 

Muayenehane faaliyetleri çerçevesinde işlenen kişisel veriler aşağıdaki amaçlar doğrultusunda saklanır. 

-İmzalanan sözleşmeler ve protokoller neticesinde iş ve işlemleri ifa edebilmek. 

-İleride doğabilecek hukuki uyuşmazlıklarda delil olarak ispat yükümlülüğü. 

-Yasal düzenlemelerin gerektirdiği veya zorunlu kıldığı şekilde, hukuki yükümlülüklerin yerine getirilmesini sağlamak. 

7.İMHAYI GEREKTİREN SEBEPLER 

 Kişisel veriler; 

-İşlenmesine esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası, 

-İşlenmesini veya saklanmasını gerektiren amacın ortadan kalkması, 

-Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin açık rızasını geri alması, 

-6698 sayılı Kanunun 11. maddesi gereği ilgili kişinin hakları çerçevesinde kişisel verilerinin silinmesi ve yok edilmesine ilişkin yaptığı başvurunun veri sorumlusu tarafından kabul edilmesi,

-Veri Sorumlusunun ilgili kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabın yetersiz bulunulması veya Kanunda öngörülen süre içinde cevap vermemesi hallerinde; Kurula başvuruda bulunulması ve bu talebin Kurul tarafından uygun bulunması, 

-Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olması ve kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması, 

Durumlarında veri sorumlusu tarafından ilgili kişinin talebi üzerine silinir, yok edilir ya da re’sen silinir, yok edilir veya anonim hale getirilir. 

8. TEKNİK TEDBİRLER 

Veri sorumlusu tarafından, işlediği kişisel verilerle ilgili olarak alınan teknik tedbirler aşağıda sayılmıştır: 

-Kişisel verilerin hukuka aykırı işlenmesini önlemeye yönelik teknik kontroller yapılarak risk, tehdit, zafiyet, açıklıklar belirlenmekte, bu risklere uygun teknik tedbirlerin alınması sağlanmakta, kontrol sonuçları kayıt altına alınmaktadır. 

-Elektronik ortamda saklanan özel nitelikteki kişisel veriler de dâhil olmak üzere tüm kişisel verilerin güvenliği için gerekli önlemler alınmaktadır. Bu kapsamda; güvenlik duvarları, ağ erişim kontrolü, zararlı yazılımları engelleyen sistemler, güvenlik yamaları kullanılmaktadır. Bilgi sistemleri güncel tutulmakta, veri yedekleme programları kullanılmakta, kişisel verilerin işlendiği elektronik ortamlarda güçlü parolalar kullanılmakta, elektronik ortamlar kriptografik yöntemler kullanılarak muhafaza edilmekte, kriptografik anahtarlar güvenli ortamlarda tutulmaktadır. 

-Kişisel verilerin bulunduğu elektronik olan veya olmayan saklama alanlarına erişimler kayıt altına alınarak uygunsuz erişimler veya erişim denemeleri kontrol altında tutulmakta, erişim yetkilendirmesi yapılmakta, silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması için gerekli tedbirler alınmaktadır. 

-Muayenehane’de özel nitelikli kişisel veri işlendiği göz önünde bulundurularak çalışanlara özel nitelikli kişisel veri güvenliği konusunda eğitimler verilmekte, gizlilik sözleşmeleri yapılmaktadır. 

-Muayenehane’de özel nitelikli veriler de dâhil olmak üzere tüm kişisel verilerin tutulduğu bilişim sistemleri teçhizatının, yazılımlarının ve bunların muhafaza edildiği ve/veya erişildiği ortamların fiziksel güvenliği için gerekli önlemler (yetkisiz kişilerin erişiminin sınırlanması, (yangın söndürme sistemi, iklimlendirme sistemi vb.) alınmaktadır. 

9. İDARİ TEDBİRLER 

Veri sorumlusu tarafından, işlediği kişisel verilerle ilgili olarak alınan idari tedbirler aşağıda sayılmıştır: 

-Çalışanlara yönelik, kişisel verilerin hukuka aykırı olarak işlenmenin önlenmesi, kişisel verilerin hukuka aykırı olarak erişilmesinin önlenmesi, kişisel verilerin muhafazasının sağlanması ile ilgili olarak eğitim ve bilgilendirme yapılmaktadır.

-Veri sorumlusu tarafından yürütülen faaliyetlere ilişkin çalışanlara ve iş ortaklarına gizlilik sözleşmeleri imzalatılmaktadır. 

-Kişisel veri işlemeye başlamadan önce veri sorumlusu tarafından, ilgili kişileri aydınlatma yükümlülüğü yerine getirilmektedir. 

-Kişisel veri işleme envanteri hazırlanmıştır. 

-Muayenehane içi periyodik ve rastgele denetimler yapılmaktadır. 

-Çalışanlara yönelik bilgi güvenliği eğitimleri verilmektedir. 

10. KİŞİSEL VERİ İMHA TEKNİKLERİ 

İlgili mevzuatta öngörülen süre ya da işlendikleri amaç için gerekli olan saklama süresinin sonunda kişisel veriler, veri sorumlusu tarafından re’sen veya ilgili kişinin başvurusu üzerine yine ilgili mevzuat hükümlerine uygun olarak aşağıda belirtilen tekniklerle imha edilir. 

a)Kişisel Verilerin Silinmesi

Kişisel veriler aşağıda belirtilen yöntemlerle silinir: 

Sunucularda yer alan kişisel veriler: Sunucularda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler için veri sorumlusu tarafından ilgili kullanıcıların erişim yetkisi kaldırılarak silme işlemi yapılır. 

Elektronik ortamda yer alan kişisel veriler: Elektronik ortamda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, erişilemez ve tekrar kullanılamaz hale getirilir. 

Fiziksel ortamda yer alan kişisel veriler: Fiziksel ortamda tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. Ayrıca, üzeri okunamayacak şekilde çizilerek/boyanarak/silinerek karartma işlemi de uygulanır. 

Taşınabilir medyada bulunan kişisel veriler: Flash tabanlı saklama ortamlarında tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler, veri sorumlusu tarafından şifrelenerek ve erişim yetkisi sadece veri sorumlusuna verilerek şifreleme anahtarlarıyla güvenli ortamlarda saklanır. 

b)Kişisel Verilerin Yok Edilmesi

Kişisel veriler aşağıda belirtilen yöntemlerle yok edilir: 

Fiziksel ortamda yer alan kişisel veriler: Kâğıt ortamında yer alan kişisel verilerden saklanmasını gerektiren süresi sona erenler, kâğıt kırpma makinelerinde geri döndürülemeyecek şekilde yok edilir. 

Optik/Manyetik medyada yer alan kişisel veriler: Optik medya ve manyetik medyada yer alan kişisel verilerden saklanmasını gerektiren süre sona erenlerin eritilmesi, yakılması veya toz haline getirilmesi gibi fiziksel olarak yok edilmesi işlemi uygulanır. Ayrıca, manyetik medya özel bir cihazdan geçirilerek yüksek değerde manyetik alana maruz bırakılması suretiyle üzerindeki veriler okunamaz hale getirilir.

c) Kişisel Verilerin Anonim Hale Getirilmesi 

Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir. Muayenehanede kullanılan anonimleştirme yöntemleri şu şekildedir: 

Değişkenleri çıkarma: İlgili kişiye ait kişisel verilerin içerisinde yer alan ve ilgili kişiyi herhangi bir şekilde tespit etmeye yarayacak doğrudan tanımlayıcıların bir ya da birkaçının çıkarılmasıdır. 

Bölgesel gizleme: Kişisel verilerin toplu olarak anonim şekilde bulunduğu veri tablosu içinde istisna durumda olan veriye ilişkin ayırt edici nitelikte olabilecek bilgilerin silinmesi işlemidir. 

Genelleştirme: Birçok kişiye ait kişisel verinin bir araya getirilip, ayırt edici bilgileri kaldırılarak istatistiki veri haline getirilmesi işlemidir. 

Alt ve Üst Sınır Kodlama: Belli bir değişken için o değişkene ait aralıklar tanımlanarak kategorilendirilir. Değişken sayısal bir değer içermiyorsa bu halde değişken içindeki birbirine yakın veriler kategorilendirilir. Aynı kategori içinde kalan değerler birleştirilir. 

Makro Birleştirme: Bu yöntem ile veri kümesindeki bütün kayıtlar öncelikle anlamlı bir sıraya göre dizilip sonrasında bütün küme belirli bir sayıda alt kümelere ayrılır. Daha sonra her alt kümenin belirlenen değişkene ait değerinin ortalaması alınarak alt kümenin o değişkenine ait değeri ortalama değer ile değiştirilir. Bu sayede veri içerisinde bulunan dolaylı tanımlayıcılar bozulmuş olacağından, verinin ilgili kişiyle ilişkilendirilmesi zorlaştırılır. 

Veri karma ve bozma: Kişisel veri içerisindeki doğrudan ya da dolaylı tanımlayıcılar başka değerlerle karıştırılarak ya da bozularak ilgili kişi ile ilişkisi koparılır ve tanımlayıcı niteliklerini kaybetmeleri sağlanır.

11.SAKLAMA VE İMHA SÜRELERİ 

SÜREÇSAKLAMA SÜRESİİMHA SÜRESİ

İnsan Kaynakları Süreçleri İle       Hizmet akdinin sona ermesinden itibaren                                   

İşveren Yükümlülüklerinin             10 yıl, hukuki bir süreç işliyorsa    

Yerine Getirilmesi                            süreç sona erene kadar saklanır. 

(5510 sayılı Kanunun 86/1 maddesi) 

İş Sağlığı Ve Güvenliğine Hizmet akdinin sona ermesinden itibaren  Saklama Süresinin

İlişkin Yükümlülüklerin        15 yıl, hukuki bir süreç işliyorsa süreç                bitimini takip eden   

Yerine Getirilmesi                sona erene kadar saklanır.                                   İlk periyodik imha

                                               (İş Sağlığı ve Güvenliği Hizmetleri                      süresinde

Yönetmeliğinin 7.maddesi) 

Sağlık Hizmeti Sunumu      İlgili hukuki düzenlemeler ve 

sağlık hizmetinin gerekleri uyarınca 

20 yıl süreyle saklanır. Hukuki bir süreç 

işliyorsa süreç sona erene kadar saklanır. 

(6098 sayılı Türk Borçlar Kanunu’nun 146, 

147, 478. maddeleri, 5237 sayılı Türk Ceza 

Kanunu’nun 66-72 maddeleri, Özel Hastaneler 

Yönetmeliğinin 49. maddesi) 

3. Kişilerden Hizmet            Sözleşmenin sona ermesinden itibaren 10

Alınması                                yıl, hukuki bir süreç işliyorsa süreç 

sona erene kadar saklanır.

(6098 sayılı Türk Borçlar Kanunu’nun 146.maddesi) 

NOT: Kanun ve diğer mevzuat uyarınca daha uzun bir süre düzenlenmiş olması ya da mevzuat uyarınca zamanaşımı, hak düşürücü süre, saklama süreleri vb. için daha uzun bir süre öngörülmüş olması halinde, mevzuat hükümlerindeki süreler azami saklama süresi olarak kabul edilir. 

a) PERİYODİK İMHA SÜRESİ 

Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmeliğin 11. maddesi gereğince veri sorumlusu, periyodik imha süresini 6 ay olarak belirlemiştir. Buna göre, muayenehanede her yıl Haziran ve Aralık aylarında periyodik imha işlemi gerçekleştirilir. 

12.POLİTİKANIN YAYINLANMASI VE SAKLANMASI 

Politika ıslak imzalı olarak basılı kâğıtta düzenlenir ve muayenehanede ilgili dosyalarda saklanır. Muayenehanenin bir internet sayfası olması halinde politika aynı zamanda internet sayfasında da kamuya açıklanır.

13. POLİTİKANIN GÜNCELLENME PERİYODU 

Politika, ihtiyaç duyuldukça gözden geçirilir ve gerekli olan bölümler güncellenir. 

14. POLİTİKANIN YÜRÜRLÜĞÜ VE YÜRÜRLÜKTEN KALDIRILMASI 

Politika veri sorumlusu tarafından VERBİS kaydının tamamlanmasının ardından yürürlüğe girmiş kabul edilir. Yürürlükten kaldırılmasına karar verilmesi halinde Politika’nın ıslak imzalı eski nüshaları veri sorumlusu tarafından iptal edilerek (iptal kaşesi vurularak veya iptal yazılarak) imzalanır ve en az 5 yıl süre ile muayenehanede ilgili dosyalarda saklanır. 

Veri Sorumlusu

Dr. Fatma Gençtürk ÖZER