List of active policies
Name | Type | User consent |
---|---|---|
GÜVEN HASTANESİ A.Ş KİŞİSEL VERİ İŞLEME ENVANTERİ VE KİŞİSEL VERİLERİN KORUNMASI POLİTİKASI | Gizlilik Politikası | All users |
Summary
GİRİŞ
GÜVEN HASTANESİ ANONİM ŞİRKETİ (bundan böyle “Güven Hastanesi” veya “Hastane”
olarak ifade edilecektir) Şimşek Sokak No: 29 06540 Çankaya / ANKARA merkezinde yer
almaktadır.
Güven Hastanesi 6698 sayılı Kişisel Verilerin Korunması Hakkında Kanun (bundan böyle
‘’KVK Kanunu’’ olarak ifade edilecektir) kapsamında veri sorumlusu tüzel kişidir.
Kişisel veri sahipleri, kişisel verileri aşağıda belirtilen amaçlar dâhilinde 6698 sayılı KVK
Kanunu ve Güven Hastanesi’nin tabi olduğu sair mevzuat hükümleri gereğince kişisel
verileri toplanan, işlenen ve aktarılan gerçek kişilerdir.
Güven Hastanesi, kişisel verilerin güvenliği hususuna azami hassasiyet göstermektedir.
Bu bilinçle kişisel veri sahiplerinin kişisel verileri, 6698 sayılı KVK Kanunu, Kanun’un
ikincil düzenlemelerini teşkil eden sair mevzuata uygun olarak işlenmekte ve
saklanmaktadır.
Full policy
1 GÜVEN HASTANESİ A.Ş
KİŞİSEL VERİ İŞLEME ENVANTERİ VE KİŞİSEL VERİLERİN KORUNMASI POLİTİKASI
İÇİNDEKİLER
GİRİŞ
1.POLİTİKANIN HAZIRLANMA AMACI VE KAPSAMI
2. TANIMLAR VE KISALTMALAR
3. KİŞİSEL VERİLERİN İŞLENMESİNDE GENEL İLKELER
3.1. Hukuka ve dürüstlük kuralına uygunluk
3.2. Doğruluk ve güncellik
3.3. Belirli, açık ve meşru amaçlarla işleme
3.4. Verileri işlendikleri amaç ile bağlantılı, sınırlı ve ölçülü olarak işleme
3.5. Mevzuat hükümleri ile öngörülen veya işlenme amacının gerektirdiği süre ile sınırlı
olarak işleme
4. KİŞİSEL VERİLERİN İŞLENME ŞARTLARI
4.1.Kişisel Verilerin İşlenmesi Şartları
4.2.Özel Nitelikli Kişisel Verilerin İşlenmesi Şartları
5. KİŞİSEL VERİLERİN TOPLANMASI VE İŞLENMESİ YÖNTEMLERİ
5.1.Kişisel Veri Konusu Kişi Grupları
5.2.Veri Kategorizasyonu
5.3.Kişisel Veri Konusu Kişi Gruplarında Yer Alan Kişisel Veri Sahiplerinin Kişisel
Verilerinin Toplanması Ve İşlenmesinin Amaçları
5.4.Veri Konusu Kişi Grupları İle Bu Kişilere Ait Veri Kategorilerinin İlişkilendirilmesi
6. KİŞİSEL VERİLERİN AKTARILMASI İLKELERİ
7.KİŞİSEL VERİLERİN YURTDIŞINA AKTARILMASI
7.1.Kişisel Verilerin Yurtdışına Aktarılması
7.2. Özel Nitelikli Kişisel Verilerin Yurtdışına Aktarılması
8.KİŞİSEL VERİLERİN SAKLANMASI
9.KİŞİSEL VERİLERİN KORUNMASINA İLİŞKİN ALINAN TEDBİRLER
9.1. İdari Tedbirler
9.2. Teknik Tedbirler
10.VERİ SORUMLUSUNUN AYDINLATMA YÜKÜMLÜLÜĞÜ
11.VERİ SAHİBİNİN HAKLARI VE BU HAKLARINI KULLANMASI
11.1.1. Kişisel Veri Sahibinin Haklarını İleri Süremeyeceği Haller
11.1.2.Kişisel Veri Sahibinin Haklarını Kullanması
11.1.3.Kişisel Veri Sahibinin KVK Kurulu’na Şikâyette Bulunma Hakkı
11.2. Güven Hastanesi’nin Başvurulara Cevap Vermesi
11.2.1. Güven Hastanesi’nin Başvurulara Cevap Verme Usulü ve Süresi
11.2.2. Güven Hastanesi’nin Başvuruda Bulunan Kişisel Veri Sahibinden Talep Edebileceği
Bilgiler
11.2.3. Güven Hastanesi’nin Kişisel Veri Sahibinin Başvurusunu Reddetme Hakkı
12. REVİZYON VE YÜRÜRLÜKTEN KALDIRMA
13. YÜRÜRLÜK
14. YÜRÜTME
15. EKLER
2
GİRİŞ
GÜVEN HASTANESİ ANONİM ŞİRKETİ (bundan böyle “Güven Hastanesi” veya “Hastane”
olarak ifade edilecektir) Şimşek Sokak No: 29 06540 Çankaya / ANKARA merkezinde yer
almaktadır.
Güven Hastanesi 6698 sayılı Kişisel Verilerin Korunması Hakkında Kanun (bundan böyle
‘’KVK Kanunu’’ olarak ifade edilecektir) kapsamında veri sorumlusu tüzel kişidir.
Kişisel veri sahipleri, kişisel verileri aşağıda belirtilen amaçlar dâhilinde 6698 sayılı KVK
Kanunu ve Güven Hastanesi’nin tabi olduğu sair mevzuat hükümleri gereğince kişisel
verileri toplanan, işlenen ve aktarılan gerçek kişilerdir.
Güven Hastanesi, kişisel verilerin güvenliği hususuna azami hassasiyet göstermektedir.
Bu bilinçle kişisel veri sahiplerinin kişisel verileri, 6698 sayılı KVK Kanunu, Kanun’un
ikincil düzenlemelerini teşkil eden sair mevzuata uygun olarak işlenmekte ve
saklanmaktadır.
1. POLİTİKANIN HAZIRLANMA AMACI VE KAPSAMI
İşbu Politika ile Güven Hastanesi tarafından KVK Kanunu’na uyum için aşağıda
açıklanacak olan temel ilkeler çerçevesinde getirilecek düzenlemelerin Güven Hastanesi
bünyesinde hissedarlar, yetkililer, çalışanlar ve iş ortakları tarafından etkin bir şekilde
uygulanması amaçlanmaktadır.
İşbu Politika ile öngörülen temel düzenlemeler doğrultusunda Güven Hastanesi işleyişi
içerisinde kişisel verilerin işlenmesi ve korunması bakımından her türlü idari ve teknik
tedbir alınacak, gerekli iç prosedürler oluşturulacak, farkındalığın yükseltilmesi için
gerekli tüm eğitimler yapılacaktır. Hissedarlar, yetkililer, çalışanlar ve iş ortaklarının
KVKK süreçlerine uyumları için gerekli tüm tedbirler alınarak uygun ve etkin denetim
mekanizmaları kurulacaktır.
İşbu Politika, tüm bu süreçlerde gözetilecek temel ilkeleri ve KVK Kanunu ile getirilen
düzenlemeler uyarınca iç işleyişin yönlendirilmesi için Güven Hastanesi’nin
yükümlülüklerini düzenlenmektedir. KVK Kanunu ve ilgili mevzuat çerçevesinde
oluşturulacak iç prosedürler ile Güven Hastanesi’nin kişisel verilerin korunması
hususunda gerçekleştireceği uyum faaliyetleri düzenlenecektir. Güven Hastanesi’nin tüm
çalışanları görevlerini yerine getirirken işbu Politika ile getirilen düzenlemeler ile KVK
Kanunu ve ilgili tüm diğer mevzuat hükümlerine uygun hareket etmekte yükümlüdür.
İşbu Politika’ya ve ilgili mevzuat hükümlerine uyulmaması halinde, mevzuat hükümleri
ile öngörülen cezai ve hukuki sorumluluğun yanında, Güven Hastanesi’nde, olayın
mahiyetine göre, iş hayatını düzenleyen mevzuat çerçevesinde akdin haklı nedenle
feshine kadar gidebilecek olan yaptırımlar uygulanacaktır.
3
2. TANIMLAR VE KISALTMALAR
KISALTMA TANIM
AÇIK RIZA Belirli bir konuya ilişkin, bilgilendirilmeye
dayanan ve özgür iradeyle açıklanan rızayı
ifade eder.
İLGİLİ KULLANICI Verilerin teknik olarak depolanması,
korunması ve yedeklenmesinden sorumlu
olan kişi ya da birim hariç olmak üzere veri
sorumlusu organizasyonu içerisinde veya
veri sorumlusundan aldığı yetki ve talimat
doğrultusunda kişisel verileri işleyen
kişilerdir.
İMHA Kişisel verilerin silinmesi, yok edilmesi
veya anonim hale getirilmesi.
KANUN / KVKK 6698 Sayılı Kişisel Verilerin Korunması
Kanunu.
KAYIT ORTAMI Tamamen veya kısmen otomatik olan ya
da herhangi bir veri kayıt sisteminin
parçası olmak kaydıyla otomatik olmayan
yollarla işlenen kişisel verilerin
bulunduğu her türlü ortam.
KİŞİSEL VERİ Kimliği belirli veya belirlenebilir gerçek
kişiye ilişkin her türlü bilgi.
KİŞİSEL VERİLERİN İŞLENMESİ Kişisel verilerin tamamen veya kısmen
otomatik olan ya da herhangi bir veri kayıt
sisteminin parçası olmak kaydıyla
otomatik olmayan yollarla elde edilmesi,
kaydedilmesi, depolanması, muhafaza
edilmesi, değiştirilmesi, yeniden
düzenlenmesi, açıklanması, aktarılması,
devralınması, elde edilebilir hâle
getirilmesi, sınıflandırılması ya da
kullanılmasının engellenmesi gibi veriler
üzerinde gerçekleştirilen her türlü işlem.
KİŞİSEL VERİLERİN ANONİM HALE
GETİRİLMESİ
Kişisel verilerin, başka verilerle
eşleştirilerek dahi hiçbir surette kimliği
belirli veya belirlenebilir bir gerçek kişiyle
ilişkilendirilemeyecek hâle getirilmesi.
KİŞİSEL VERİLERİN SİLİNMESİ Kişisel verilerin silinmesi; kişisel verilerin
İlgili Kullanıcılar için hiçbir şekilde
4
erişilemez ve tekrar kullanılamaz hale
getirilmesi.
KİŞİSEL VERİLERİN YOK EDİLMESİ Kişisel verilerin hiç kimse tarafından
hiçbir şekilde erişilemez, geri getirilemez
ve tekrar kullanılamaz hale getirilmesi
işlemi.
KURUL Kişisel Verileri Koruma Kurulu
ÖZEL NİTELİKLİ KİŞİSEL VERİ Kişilerin ırkı, etnik kökeni, siyasi
düşüncesi, felsefi inancı, dini, mezhebi
veya diğer inançları, kılık ve kıyafeti,
dernek, vakıf ya da sendika üyeliği, sağlığı,
cinsel hayatı, ceza mahkûmiyeti ve
güvenlik tedbirleriyle ilgili verileri ile
biyometrik ve genetik verileri.
PERİYODİK İMHA Kanun’da yer alan kişisel verilerin işlenme
şartlarının tamamının ortadan kalkması
durumunda kişisel verileri saklama ve
imha politikasında belirtilen ve tekrar
eden aralıklarla re’sen gerçekleştirilecek
silme, yok etme veya anonim hale getirme
işlemi.
VERİ SAHİBİ / İLGİLİ KİŞİ Kişisel verisi işlenen gerçek kişi.
VERİ SORUMLUSU Kişisel verilerin işleme amaçlarını ve
vasıtalarını belirleyen, veri kayıt
sisteminin kurulmasından ve
yönetilmesinden sorumlu olan gerçek
veya tüzel kişi.
YÖNETMELİK Veri Sorumluları Sicili Hakkında
Yönetmelik
KVK Kanunu kapsamında Güven Hastanesi veri sorumlusu sıfatını haiz olacak olup
VERBİS sistemine kayıt olacaktır. Yönetmelik’in 11inci maddesinin 1inci fıkrasında
“Türkiye’de yerleşik olan tüzel kişilerin Kanun kapsamındaki veri sorumlusu
yükümlülükleri, ilgili mevzuat hükümlerine göre tüzel kişiliği temsil ve ilzama yetkili
yetkili organ veya ilgili mevzuatta belirtilen kişi veya kişiler marifetiyle yerine getirilir.
Tüzel kişiliği temsile yetkili organ Kanunun uygulanması bakımından yerine getirilecek
yükümlülükler ile ilgili olarak bir veya birden fazla kişiye görevlendirebilir” şeklinde
düzenleme yapılmıştır.
Yönetim Kurulu tarafından TTK’nın ilgili maddeleri uyarınca sınırları belirlenmiş olarak
şirketin yönetim ve temsili verilen kişiler TTK, TBK ve TCK kapsamında kendi yetki
sınırları dâhilinde gerçekleşen işlem ve eylemlerden sorumludur. Özellikle kollukta,
5
savcılıklarda, kamu kurumlarında ve mahkemelerde şirketi temsil etme ile ifade vermeye
yetkili olarak seçilmişlerdir.
Her bir departmanın Direktörü, departmanlardaki İlgili Kullanıcı’ların Kanun ve
Yönetmelik çerçevesinde hazırlanan işbu Politika ve İmha Politikası’na uygun davranıp
davranmadığını denetlemek ve Yönetim Kurulu ile İcra Kurulu’na raporlamakla yükümlü
olacaktır.
3.KİŞİSEL VERİLERİN İŞLENMESİNDE GENEL İLKELER
Güven Hastanesi, KVK Kanunu’nun 4. maddesi doğrultusunda işbu Politika kapsamında
kalan kişisel verileri aşağıdaki ilkelere uygun işleyeceğini kabul etmektedir:
3.1. Hukuka ve dürüstlük kuralına uygunluk
Güven Hastanesi, veri sorumlusu sıfatı ile ve basiretli bir tacir olarak Anayasa ve KVK
Kanunu başta olmak üzere yürürlükte olan ve yürürlüğe girecek olan tüm mevzuat
hükümlerine uygun olarak ve Medeni Kanun’un 2. maddesi ile öngörülen dürüstlük
kuralına uygun bir biçimde kişisel veri işleme faaliyetlerini yürüteceğini kabul
etmektedir.
3.2. Doğruluk ve güncellik
Güven Hastanesi, kişisel verilerin işlenmesi faaliyetlerinde, tekniğin elverdiği ölçüde
kişisel verilerin doğruluk ve güncelliğinin sağlanması için gerekli tüm tedbirleri
almaktadır.
İlgili kişinin veri sorumlusu sıfatı ile Güven Hastanesi’ne bildireceği talepler ve Güven
Hastanesi’nin bizzat gerekli göreceği durumlar doğrultusunda, hatalı veya güncel
olmayan kişisel verilerin düzeltilmesi ve doğruluğunun denetlenmesi için Güven
Hastanesi tarafından kurulan idari ve teknik mekanizmalar işletilecektir.
3.3. Belirli, açık ve meşru amaçlarla işleme
Güven Hastanesi tarafından kişisel veriler, ilgili mevzuat hükümlerinin gereklilikleri ile
sunulan veya sunulacak olan hizmetlerle sınırlı olarak hukuka uygun biçimde işlenmekte
olup kişisel verilerin işlenme amacı verilerin işlenmeye başlanmasından önce açık ve
kesin olarak belirlenmektedir.
3.4. Verileri işlendikleri amaç ile bağlantılı, sınırlı ve ölçülü olarak işleme
Güven Hastanesi tarafından kişisel veriler işlenme amaçları ile bağlantılı ve sınırlı olarak
ve bu amacın gerçekleşmesi için gerektiği ölçüde işlenmektedir. Bu kapsamda verilerin
işlenme amacı ile ilgili olmayan ve ihtiyaç duyulmayan kişisel verilerin işlenmesinden
kaçınılması temel esastır.
3.5. Mevzuat hükümleri ile öngörülen veya işlenme amacının gerektirdiği süre ile
sınırlı olarak işleme
6
Kişisel veriler, ilgili mevzuat hükümleri ile öngörülen süreler doğrultusunda veya
verilerin işlenme amacının gerektirdiği süre boyunca muhafaza edilmektedir.
Mevzuat hükümleri ile öngörülen sürenin sonunda veya verilerin işlenme amacının
gerektirdiği sürenin sonunda kişisel veriler Güven Hastanesi tarafından silinmekte, yok
edilmekte veya anonim hale getirilmektedir. Verilerin gerekli sürenin sonunda muhafaza
edilmesinin önlenmesi için gerekli idari ve teknik tedbirler alınacaktır.
4.KİŞİSEL VERİLERİN İŞLENME ŞARTLARI
KVK Kanunu ile kişisel verilerin işlenme koşulları düzenlenmiş olup, Güven Hastanesi
tarafından kişisel veriler aşağıda belirtilen söz konusu koşullara uygun olarak
işlenmektedir.
4.1.Kişisel Verilerin İşlenmesi Şartları
KVK Kanunu’nda sayılan istisnalar dışında, Güven Hastanesi ancak veri sahiplerinin açık
rızasını temin etmek suretiyle kişisel veri işlemektedir.
Kanun’da sayılan aşağıdaki hallerin varlığı durumunda ise, veri sahibinin açık rızası
olmasa dahi kişisel veriler işlenebilmektedir:
- Kanunlarda açıkça öngörülmesi,
- Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya
rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının
hayatı veya beden bütünlüğünün korunması için zorunlu olması,
- Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla
sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
- Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu
olması,
- Veri sahibinin kendisi tarafından alenileştirilmiş olması,
- Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
- Veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri
sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.
4.2.Özel Nitelikli Kişisel Verilerin İşlenmesi Şartları
Veri sahipleri açısından korunmasının çeşitli açılardan daha kritik önem teşkil ettiğine
inanılan özel nitelikli kişisel verilerin işlenmesinde ise Güven Hastanesi tarafından özel
hassasiyet gösterilmektedir. Bu kapsamda, Kurul tarafından belirlenen yeterli önlemlerin
alınması şartıyla bu tür veriler, veri sahiplerinin açık rızası olmaksızın işlenmemektedir.
Ancak, sağlık ve cinsel hayat ile ilgili veriler dışındaki özel nitelikli kişisel veriler,
kanunlarda öngörülen hallerde veri sahibinin açık rızası olmaksızın da işlenebilmektedir.
Bununla beraber, sağlık ve cinsel hayata ilişkin veriler ise yeterli önlemlerin alınması
şartıyla ve aşağıda sayılan sebeplerin varlığı halinde açık rızası alınmaksızın
işlenebilmektedir:
- Kamu sağlığının korunması,
7
- Koruyucu hekimlik,
- Tıbbî teşhis,
- Tedavi ve bakım hizmetlerinin yürütülmesi,
- Sağlık hizmetleri ile finansmanının planlanması ve yönetimi.
5.KİŞİSEL VERİLERİN TOPLANMASI VE İŞLENMESİ YÖNTEMLERİ
Güven Hastanesi, KVK Kanunu’na uygun olarak ve Yönetmelik’in 5inci,7inci,9uncu ve
10uncu maddesi kapsamında düzenlenmesi ve aşağıda yer alan bilgileri içermesi zorunlu
olan Kişisel Veri İşleme Envanteri’ne dayalı olarak gerçek kişilere ait kişisel verileri
işlemektedir.
İşbu Politika’da ayrıca Kişisel Veri İşleme envanteri başlığına yer verilmemiş olsa da işbu
başlık ve takip eden başlıklarda aşağıdaki bilgilerin yer alması halinde ilgili maddeler
“Kişisel Veri İşleme Envanteri” hükmünde sayılacaktır.
1. Kişisel veri işleme amaçları,
2. Veri kategorisi
3. Verilerin aktarıldığı alıcı grubu veya alıcı grupları
4. Veri konusu kişi grupları
5. Veri kategorisi ile veri konusu kişi gruplarının ilişkilendirilmesi
6. Yabancı ülkelere aktarımı öngörülen kişisel veriler
7. Veri güvenliğine ilişkin alınan tedbirler
8. Kişisel verilerin işlendikleri amaçlar için gerekli olan azami süre
5.1.Kişisel Veri Konusu Kişi Grupları
KİŞİSEL VERİ KONUSU KİŞİ GRUPLARI AÇIKLAMASI
GÜVEN HASTANESİ HİSSEDARLARI Güven Hastanesi’nin hisselerine sahip
olan gerçek kişiler.
GÜVEN HASTANESİ YETKİLİLERİ Güven Hastanesi’nin Yönetim Kurulu
üyeleri ve diğer yetkili gerçek kişiler.
GÜVEN HASTANESİ KİRACI, TEDARİKÇİ
VE TAŞERONLARI
Güven Hastanesi’nin bağımsız
bölümlerinde kira sözleşmesi
çerçevesinde faaliyetini sürdüren
kiracıların yetkili gerçek kişileri; Güven
Hastanesi’nin faaliyetlerini yerine
getirirken kullandığı tedarikçi ve
taşeronların yetkili gerçek kişileri ve bu
kişiler tarafından görevlendirilen
çalışanlar.
ÇALIŞAN / STAJYER Güven Hastanesi bünyesinde çalışan veya
staj yapan gerçek kişiler.
8
5.2. Veri Kategorizasyonu
VERİ KATEGORİZASYONU VERİ KATEGORİZASYONU AÇIKLAMASI
KİMLİK BİLGİSİ Kimliği belirli veya belirlenebilir bir
gerçek kişiye ait olduğu açık olan; kısmen
veya tamamen otomatik şekilde veya veri
kayıt sisteminin bir parçası olarak
otomatik olmayan şekilde işlenen; kişinin
kimliğine dair bilgilerin bulunduğu
verilerdir; ad-soyad, T.C. kimlik numarası,
uyruk bilgisi, anne adı-baba adı, nüfusa
kayıtlı olduğu yer ve diğer nüfus bilgileri,
doğum yeri, doğum tarihi, cinsiyet, medeni
durum gibi bilgileri içeren ehliyet, nüfus
cüzdanı ve pasaport gibi belgeler ile vergi
numarası, SGK numarası, imza bilgisi vb.
bilgiler
İLETİŞİM BİLGİSİ Kimliği belirli veya belirlenebilir bir
gerçek kişiye ait olduğu açık olan; kısmen
veya tamamen otomatik şekilde veya veri
kayıt sisteminin bir parçası olarak
otomatik olmayan şekilde işlenen; telefon
numarası, adres, e-mail adresi, faks
numarası, IP adresi gibi bilgiler
AİLE BİREYLERİ VE YAKIN BİLGİSİ Kimliği belirli veya belirlenebilir bir
gerçek kişiye ait olduğu açık olan; kısmen
veya tamamen otomatik şekilde veya veri
kayıt sisteminin bir parçası olarak
otomatik olmayan şekilde işlenen; Güven
Hastanesi tarafından yürütülen faaliyetler
çerçevesinde, kişisel veri sahibinin aile
bireyleri (ör. eş, anne, baba, çocuk),
yakınları ve acil durumlarda ulaşılabilecek
diğer kişiler hakkındaki bilgiler)
GÜVENLİK BİLGİSİ Kimliği belirli veya belirlenebilir bir
gerçek kişiye ait olduğu açık olan; kısmen
veya tamamen otomatik şekilde veya veri
kayıt sisteminin bir parçası olarak
9
otomatik olmayan şekilde işlenen; fiziksel
mekâna girişte, fiziksel mekânın içerisinde
kalış sırasında alınan kayıtlar ve belgelere
ilişkin kişisel veriler; kamera kayıtları,
taşıt plaka bilgileri, güvenlik noktasında
alınan kayıtlar, telefon aramalarında
alınan ses kayıtları vb.
FİNANSAL BİLGİ Kimliği belirli veya belirlenebilir bir
gerçek kişiye ait olduğu açık olan; kısmen
veya tamamen otomatik şekilde veya veri
kayıt sisteminin bir parçası olarak
otomatik olmayan şekilde işlenen; Güven
Hastanesi’nin kişisel veri sahibi ile kurmuş
olduğu hukuki ilişkinin tipine göre
değişkenlik gösteren bilgi, belge ve
kayıtlara ilişkin işlenen finansal kişisel
veriler ile banka hesap numarası, banka
hesap bilgileri,(IBAN no, hesap sahibi vb.)
kredi kartı bilgisi vb. ve çalışanlara ilişkin
finansal ve maaş detayları, bordrolar, prim
hak edişleri, prim tutarları, icra takip
dosyalarına ilişkin dosya ve borç bilgileri,
banka hesap cüzdanı, asgari geçim
indirimi bilgisi, özel sağlık sigortası tutarı
vb. bilgiler.
ÖZLÜK BİLGİSİ (PERFORMANS
DEĞERLENDİRME VERİLERİ, KARİYER
GELİŞİM VERİLERİ, ÇALIŞMA VE İZİN
GÜNLERİNE İLİŞKİN KAYITLAR)
Kimliği belirli veya belirlenebilir bir
gerçek kişiye ait olduğu açık olan; kısmen
veya tamamen otomatik şekilde veya veri
kayıt sisteminin bir parçası olarak
otomatik olmayan şekilde işlenen; Güven
Hastanesi ile çalışma ilişkisi içerisinde
olan gerçek kişilerin özlük haklarının
oluşmasına temel olacak ve özlük
dosyasında yer alması kanunen zorunlu
tutulan bilgiler (Öğrenim durumu,
sertifika ve diploma bilgileri, yabancı dil
bilgileri, eğitim ve beceriler, CV, aldığı
kurslar, İzin kıdem baz tarihi, izin kıdem
ilave gün, izin grubu, çıkış/dönüş tarihi,
gün, izine çıkış nedeni, izinde bulunacağı
adres/telefon, pozisyon adı, departmanı
ve birimi, unvanı, son işe giriş tarihi, işe
giriş çıkış tarihleri, sigorta giriş/emeklilik,
10
sosyal güvenlik no, esnek saatlerde
çalışma durumu, seyahat durumu çalışma
gün sayısı, çalıştığı projeler, aylık toplam
mesai bilgisi, kıdem tazminatı baz tarih,
kıdem tazminatı ilave gün, grevde geçen
gün, çalışan internet erişim logları, giriş
çıkış logları elde edilmesine yönelik
işlenen her türlü kişisel veri ve çalışanın
bulunduğu pozisyonda ilerleyebilmesi için
gerekli olan performans, eğitim ve
beceriler, hangi tarihte hangi eğitimi aldığı
bilgisi, e-posta, imzalı katılım formu,
müşteri ile görüşme kalite değerlendirme
formu, aylık performansının
değerlendirilmesi ve hedef gerçekleştirme
durumu, aktivite) bilgileri.
ÖZEL NİTELİKLİ KİŞİSEL VERİ Kimliği belirli veya belirlenebilir bir
gerçek kişiye ait olduğu açık olan; kısmen
veya tamamen otomatik şekilde veya veri
kayıt sisteminin bir parçası olarak
otomatik olmayan şekilde işlenen; KVK
Kanunu’nun 6. maddesinde belirtilen
veriler (ör. kan grubu da dâhil sağlık
verileri, biyometrik veriler, din ve üye
olunan dernek bilgisi gibi)
TALEP VE ŞİKAYET YÖNETİMİ BİLGİSİ Kimliği belirli veya belirlenebilir bir
gerçek kişiye ait olduğu açık olan; kısmen
veya tamamen otomatik şekilde veya veri
kayıt sisteminin bir parçası olarak
otomatik olmayan şekilde işlenen; Güven
Hastanesi’ne yöneltilmiş olan her türlü
talep veya şikâyetin alınması ve
değerlendirilmesine ilişkin kişisel veriler
5.3.Kişisel Veri Konusu Kişi Gruplarında Yer Alan Kişisel Veri Sahiplerinin Kişisel
Verilerinin Toplanması Ve İşlenmesinin Amaçları
Güven Hastanesi, hissedar ve yetkililerinin kişisel verilerini, Türk Ticaret Kanunu, Vergi
Usul Kanunu, İş Kanunu ve ilgili sair mevzuattan kaynaklanan yasal yükümlülükleri
çerçevesinde Giriş kısmında yazılı olan faaliyetlerin gerçekleştirilebilmesi amacıyla
işlemektedir. İşbu kişisel veriler resmi kurumlarda Güven Hastanesi’ne ilişkin olarak
11
tutulan kayıtlardan, şirket genel kurul ve yönetim kurulu toplantı tutanaklarından,
şirketin kurumsal ve yönetim süreçlerine ilişkin tutulan evraklardan elde edilmektedir.
Güven Hastanesi, hastanenin bağımsız bölümlerinde kira sözleşmesi çerçevesinde
faaliyetini sürdüren kiracıların yetkili gerçek kişilerine ait veri kategorisinde yer alan
verilerini; taraflar arasında bulunan kira sözleşmesinin ifasının sağlanabilmesi,
hastanenin genel güvenliğinin ve düzeninin sağlanmasında veri sorumlusunun üzerine
düşen yükümlülük nedeniyle tüm kiracıların kurallara uygun davranmasının sağlanması
ve sözleşmelerde yer alan yükümlülüklerin ihlali halinde sözleşmeye uygun ifanın
sağlanabilmesi için ihtarnameler çekilebilmesi, icra ve dava yollarına başvurulabilmesi ve
diğer tedbirlerin alınabilmesi amacıyla kaydeder.
Hastanede bulunan kiracıların kişisel verileri kira sözleşmesi, zeyilnameler, ek
sözleşmeler, protokoller, mail yazışmaları, kiracıların kendileri tarafından verilen
kartvizitler aracılığı ile elde edilmektedir.
Güven Hastanesi, hastanenin faaliyetlerinin yerine getirilmesinde yardımcı olan tedarikçi
ve taşeronların yetkili gerçek kişilerinin ve bu tedarikçi ve taşeronlar tarafından
görevlendirilen gerçek kişi çalışanlarının görevlerini yerine getirip getirmediğini kontrol
etmek ve şirketin faaliyetlerinin düzenini sağlamak amacıyla kaydeder. Tedarikçi ve
taşeronların kişisel verileri, kendileri ile kurulan iletişim sonucu yollanan ve alınan emailler,
yapılan telefon görüşmeleri ile kartvizit ve internet sitesi bilgilerinin aktarılması
yoluyla elde edilmektedir.
Güven Hastanesi, bünyesinde çalışan personellerin ve stajyerlerin kişisel verilerini, SGK
kaydının yapılabilmesi için, yürürlükteki İş Kanunu ve İş Sağlığı ve Güvenliği Kanunu’nun
uygulamaları kapsamında kişilerin personel özlük dosyasında bulunması zorunlu
evrakların tamamlanması amacıyla talep etmekte ve işlemektedir. İşbu kişisel veriler, işe
giriş ve iş başvurusu aşamasında açık rızaları ile ilettikleri öz geçmiş, iş başvuru formları,
aday havuzu hizmetleri veren insan kaynakları yazılım programlarının (Kariyer.net,
LinkedIn gibi) sunduğu özgeçmiş görüntüleme yöntemleri, mülakat esnasında
kendilerine sorulan ve rızaları ile yanıtladıkları sorulara verdikleri cevaplar aracılığıyla
elde edilmektedir.
Güven Hastanesi, kendisine iş başvurusu yapan gerçek kişilerden kişisel verilerini, kişiyle
işe alım sürecinde mülakat amaçlı iletişim kurmak ve mülakat sırasında kişinin nitelikleri
ve deneyimleri ile işe alım yapılacak açık pozisyonun uyumlu olup olmadığını tespit etmek
amacıyla talep etmekte ve işlemektedir. İşbu kişisel veriler, başvuru yapan kişilerin kendi
açık rızaları ile öz geçmişlerini insan kaynakları departmanına yollamaları, mülakat
esnasında kendi rızaları ile sorulan soruları yanıtlamaları ya da ilan yayınlama ve aday
havuzu hizmetleri veren insan kaynakları yazılım programlarının (Kariyer.net, LinkedIn
gibi) sunduğu özgeçmiş görüntüleme yöntemleri ile elde edilmektedir.
Güven Hastanesi, işbirliği içerisinde olduğu iş ortaklarının çalışanları ve yetkili gerçek
kişilerinin verilerini iş ortaklığının kurulma amaçları çerçevesinde kaydetmektedir. Mal
ve hizmet tedarikçilerinden temin edilen ve alışveriş merkezinin ticari faaliyetlerini
yerine getirmek için gerekli hizmetlerin Güven Hastanesi’nde sunulmasının sağlanması
ve bunun denetlenmesi amacıyla bu kişilerin kişisel verilerini kaydeder. İşbu kişisel
12
veriler imzalanan sözleşmeler, gönderilen faturalar, cihaz teslim tutanakları, mail
yazışmaları, telefon ve sair yollarla kurulan iletişim ile kartvizitlerden elde edilmektedir.
Güven Hastanesi’nin faaliyet gösterdiği yerleşkeye gelen tüm ziyaretçilerin plaka bilgileri,
şikâyet ve talep formunda yer alan bilgileri, kimlik bilgileri hastanenin faaliyet gösterdiği
yerleşkenin güvenliğinin sağlanması amacıyla elde edilmektedir. Kişilerin talep ve
şikâyetlerini iletmek için Call Center veya hastanenin ilgili departmanlarını araması
halinde, hizmet kalitesinin sağlanması amacıyla kişilerin ses kayıtları işlenmektedir.
Bankoda, danışmada veya Wİ-Fİ giriş ekranında kişiler tarafından sağlanan veriler,
hizmet kalitesinin sağlanması, faaliyetlerin yerine getirilmesi ve güvenlik sebepleriyle
işlenmektedir. Güven Hastanesi yerleşkesini her ne sebeple olursa olsun ziyaret eden
kişilerin görüntüleri 7/24 güvenlik kamera görüntüsü yöntemleri ile elde edilmektedir.
5.4.Veri Konusu Kişi Grupları İle Bu Kişilere Ait Veri Kategorilerinin
İlişkilendirilmesi
KİŞİSEL VERİ KATEGORİZASYONU İLGİLİ KİŞİSEL VERİNİN İLİŞKİLİ
OLDUĞU VERİ SAHİBİ KATEGORİSİ
KİMLİK BİLGİSİ Şirket hissedarları, yönetim kurulu
üyeleri, icra kurulu üyeleri, çalışanları,
stajyerleri, yetkilileri, taşeron ve
tedarikçiler, kiracılar, hizmet sunucular,
hizmet sunma teklifinde bulunanlar,
çalışma veya staj başvurusu yapanlar,
ziyaretçi ve hastalar, hastanenin sunmakta
olduğu herhangi bir hizmetten yararlanan
veya yararlanma talebi ile başvuran tüm
kişiler, şirketin işbirliği içinde olduğu
kurum ve kuruluşlarda çalışanlar ile
bunların aile ve yakınları
İLETİŞİM BİLGİSİ Şirket hissedarları, yönetim kurulu
üyeleri, icra kurulu üyeleri, çalışanları,
stajyerleri, yetkilileri, taşeron ve
tedarikçiler, kiracılar, hizmet sunucular,
hizmet sunma teklifinde bulunanlar,
çalışma veya staj başvurusu yapanlar,
ziyaretçi ve hastalar, hastanenin sunmakta
olduğu herhangi bir hizmetten yararlanan
veya yararlanma talebi ile başvuran tüm
kişiler, şirketin işbirliği içinde olduğu
kurum ve kuruluşlarda çalışanlar ile
bunların aile ve yakınları
13
AİLE BİREYLERİ VE YAKIN BİLGİSİ Şirket hissedarları, yönetim kurulu
üyeleri, icra kurulu üyeleri, çalışanları,
stajyerleri, yetkilileri, taşeron ve
tedarikçiler, kiracılar, hizmet sunucular,
hizmet sunma teklifinde bulunanlar,
çalışma veya staj başvurusu yapanlar,
ziyaretçi ve hastalar, hastanenin sunmakta
olduğu herhangi bir hizmetten yararlanan
veya yararlanma talebi ile başvuran tüm
kişiler, şirketin işbirliği içinde olduğu
kurum ve kuruluşlarda çalışanlar ile
bunların aile ve yakınları
GÜVENLİK BİLGİSİ Şirket hissedarları, yönetim kurulu
üyeleri, icra kurulu üyeleri, çalışanları,
stajyerleri, yetkilileri, taşeron ve
tedarikçiler, kiracılar, hizmet sunucular,
hizmet sunma teklifinde bulunanlar,
çalışma veya staj başvurusu yapanlar,
ziyaretçi ve hastalar, hastanenin sunmakta
olduğu herhangi bir hizmetten yararlanan
veya yararlanma talebi ile başvuran tüm
kişiler, şirketin işbirliği içinde olduğu
kurum ve kuruluşlarda çalışanlar ile
bunların aile ve yakınları
FİNANSAL BİLGİ Şirket hissedarları, yönetim kurulu
üyeleri, icra kurulu üyeleri, çalışanları,
stajyerleri, yetkilileri, taşeron ve
tedarikçiler, kiracılar, hizmet sunucular,
hizmet sunma teklifinde bulunanlar,
çalışma veya staj başvurusu yapanlar,
ziyaretçi ve hastalar, hastanenin sunmakta
olduğu herhangi bir hizmetten yararlanan
veya yararlanma talebi ile başvuran tüm
kişiler, şirketin işbirliği içinde olduğu
kurum ve kuruluşlarda çalışanlar ile
bunların aile ve yakınları
ÖZLÜK BİLGİSİ (PERFORMANS
DEĞERLENDİRME VERİLERİ, KARİYER
GELİŞİM VERİLERİ, ÇALIŞMA VE İZİN
GÜNLERİNE İLİŞKİN KAYITLAR)
Şirket hissedarları, yönetim kurulu
üyeleri, icra kurulu üyeleri, çalışanları,
stajyerleri, yetkilileri, taşeron ve
tedarikçiler, kiracılar, hizmet sunucular,
şirketin işbirliği içinde olduğu kurum ve
kuruluşlarda çalışanlar
14
ÖZEL NİTELİKLİ KİŞİSEL VERİ Şirket hissedarları, yönetim kurulu
üyeleri, icra kurulu üyeleri, çalışanları,
stajyerleri, yetkilileri, taşeron ve
tedarikçiler, kiracılar, hizmet sunucular,
hizmet sunma teklifinde bulunanlar,
çalışma veya staj başvurusu yapanlar,
ziyaretçi ve hastalar, hastanenin sunmakta
olduğu herhangi bir hizmetten yararlanan
veya yararlanma talebi ile başvuran tüm
kişiler, şirketin işbirliği içinde olduğu
kurum ve kuruluşlarda çalışanlar ile
bunların aile ve yakınları
TALEP VE ŞİKÂYET YÖNETİMİ BİLGİSİ Hastanenin sunmakta olduğu hizmet ve
faaliyetleri ile ilgili talep veya şikâyette
bulunan kişiler, hastanenin sunmakta
olduğu hizmetlerden yararlanan veya
yararlanmak isteyenler
6. KİŞİSEL VERİLERİN AKTARILMASI İLKELERİ:
Güven Hastanesi veri sahiplerinin kişisel verilerini, 6698 sayılı KVK Kanunu’nun 5. ve 6.
maddelerinde belirtilen kişisel veri işleme şartları kapsamında ve işbu Politika’da
belirtilmiş amaçlarla sınırlı olarak, KVK Kanunu’nun 8. ve 9. maddelerine uygun olmak
suretiyle 3. kişi ve kurumlara aktarabilecektir.
Aktarımda bulunulan yukarıda belirtilen kişilerin kapsamı ve veri aktarım amaçları
aşağıda belirtilmektedir. Bu kişi ve Kurumlar;
a- Güven Hastanesi bağlı kurum ve kuruluşları ile iş ortakları,
b- Güven Hastanesi tedarikçi/kiracı/ taşeronları
c- Güven Hastanesi hissedarları,
d- Güven Hastanesi yetkilileri,
e- Hukuken bilgi almaya yetkili kamu kurum ve kuruluşları,
f- Hukuken bilgi almaya yetkili özel hukuk tüzel kişileridir.
VERİ AKTARIMI
YAPILABİLECEK ALICI
GRUPLARI
ALICI GRUPLARININ
TANIMI
AKTARIM AMACI
BAĞLI KURUM VE
KURULUŞLAR İLE İŞ
ORTAKLARI
Güven Hastanesi
faaliyetlerini yerine
getirirken birlikte proje
yürütülen, hizmet alınan,
ortaklık kurulan kurum ve
kuruluşlar ile Güven
Hastanesi’nin ilişkili
şirketleri (ör. Özel sağlık
İş ortaklığı, ilişkili şirketler
veya bağlı kurum ve
kuruluşların faaliyet
amaçları ile ilintili ve sınırlı
olarak
15
sigortaları, aracı ve asistan
firmalar vb.)
TEDARİKÇİ / KİRACI /
TAŞERONLARI
Güven Hastanesi ticari ve
medikal faaliyetlerini
yürütürken şirketin emir
ve talimatlarına uygun
olarak sözleşme temelli
yahut sözleşme olmaksızın
münferit olarak şirkete
hizmet sunan taraflar,
tedarikçileri;
Güven Hastanesi’nde
sözleşme temelli olarak
bağımsız bölümlerde ticari
faaliyet sürdüren taraflar,
kiracıları;
Güven Hastanesi’nin
faaliyetlerini yerine
getirirken kullandığı
üçüncü kişi, firma ya da
kuruluşlar tedarikçiyi
Güven Hastanesi A.Ş’nin
tedarikçi, kiracı ve
taşeronlardan sağladığı
hizmetleri yerine getirmesi
ile ilintili ve sınırlı olarak
HİSSEDARLARI Güven Hastanesi
hissedarları gerçek kişiler
İlgili mevzuat hükümlerine
göre Güven Hastanesi’nin
ticari ve medikal
faaliyetlerine ilişkin
stratejilerin tasarlanması,
en üst düzeyde yönetiminin
sağlanması ve denetim
amaçlarıyla sınırlı olarak
YETKİLİLERİ Güven Hastanesi yönetim
kurulu üyeleri ve diğer
yetkili gerçek kişiler
İlgili mevzuat hükümlerine
göre Güven Hastanesi’nin
ticari ve medikal
faaliyetlerine ilişkin
stratejilerin tasarlanması,
en üst düzeyde yönetiminin
sağlanması ve denetim
amaçlarıyla sınırlı olarak
HUKUKEN BİLGİ ALMAYA
YETKİLİ KAMU KURUM /
KURULUŞLARI
İlgili mevzuat hükümlerine
göre Güven Hastanesi’nden
bilgi ve belge almaya yetkili
kamu hukuk kurum ve
kuruluşları (Ör. Sosyal
Güvenlik Kurumu vb.)
İlgili kamu kurum ve
kuruluşlarının hukuki
yetkisi dâhilinde talep
ettiği amaçlarla sınırlı
olarak.
16
HUKUKEN BİLGİ ALMAYA
YETKİLİ ÖZEL HUKUK
TÜZEL KİŞİLERİ
İlgili mevzuat hükümlerine
göre Güven Hastanesi’nden
bilgi ve belge almaya yetkili
özel hukuk kişileri
İlgili özel hukuk kişilerinin
hukuki yetkisi dâhilinde
talep ettiği amaçla sınırlı
olarak.
7.KİŞİSEL VERİLERİN YURTDIŞINA AKTARILMASI
Güven Hastanesi, KVK Kurulu tarafından yeterli korumaya sahip olduğu ilan edilen
yabancı ülkelere (“Yeterli Korumaya Sahip Yabancı Ülke”) veya yeterli korumanın
bulunmaması durumunda, Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının
yeterli bir korumayı yazılı olarak taahhüt ettiği ve KVK Kurulu’nun izninin bulunduğu
yabancı ülkelere (“Yeterli Korumayı Taahhüt Eden Veri Sorumlusunun Bulunduğu
Yabancı Ülke”) kişisel verileri aktarabilmektedir.
Güven Hastanesi bu doğrultuda KVK Kanunu’nun 9. Maddesinde öngörülen
düzenlemelere uygun hareket etmektedir.
7.1 Kişisel Verilerin Yurtdışına Aktarılması
Güven Hastanesi meşru ve hukuka uygun kişisel veri işleme amaçları doğrultusunda
kişisel veri sahibinin açık rızası var ise veya kişisel veri sahibinin açık rızası yok ise
aşağıdaki hallerden birinin varlığı durumunda kişisel verileri Yeterli Korumaya Sahip
veya Yeterli Korumayı Taahhüt Eden Veri Sorumlusunun Bulunduğu Yabancı Ülkelere
aktarabilmektedir:
- Kanunlarda kişisel verinin aktarılacağına ilişkin açık bir düzenleme var ise,
- Kişisel veri sahibinin veya başkasının hayatı veya beden bütünlüğünün korunması
için zorunlu ise ve kişisel veri sahibi fiili imkânsızlık nedeniyle rızasını
açıklayamayacak durumda ise veya rızasına hukuki geçerlilik tanınmıyorsa;
- Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olmak kaydıyla
sözleşmenin taraflarına ait kişisel verinin aktarılması gerekli ise,
- Güven Hastanesi’nin hukuki yükümlülüğünü yerine getirmesi için kişisel veri
aktarımı zorunlu ise,
- Kişisel veriler, kişisel veri sahibi tarafından alenileştirilmiş ise,
- Kişisel veri aktarımı bir hakkın tesisi, kullanılması veya korunması için zorunlu ise,
- Kişisel veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, Güven
Hastanesi’nin meşru menfaatleri için kişisel veri aktarımı zorunlu ise.
7.2. Özel Nitelikli Kişisel Verilerin Yurtdışına Aktarılması
Güven Hastanesi gerekli özeni göstererek, gerekli güvenlik tedbirlerini alarak ve KVK
Kurulu tarafından öngörülen yeterli önlemleri alarak; meşru ve hukuka uygun kişisel veri
işleme amaçları doğrultusunda kişisel veri sahibinin özel nitelikli verilerini aşağıdaki
durumlarda Yeterli Korumaya Sahip veya Yeterli Korumayı Taahhüt Eden Veri
Sorumlusunun Bulunduğu Yabancı Ülkelere aktarabilmektedir.
- Kişisel veri sahibinin açık rızası var ise veya
- Kişisel veri sahibinin açık rızası yok ise;
o Kişisel veri sahibinin sağlığı ve cinsel hayatı dışındaki özel nitelikli kişisel
verileri (ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya
diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, ceza
17
mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve
genetik verilerdir), kanunlarda öngörülen hallerde,
o Kişisel veri sahibinin sağlığına ve cinsel hayatına ilişkin özel nitelikli kişisel
verileri ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi
teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile
finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü
altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından
işlenmesi kapsamında.
Güven Hastanesi’nin elde etmiş olduğu kişisel veriler kural olarak yurtdışı ile
paylaşılmamaktadır. Yabancı uyruklu kişilerin, Türk uyruklu olup da yurt dışında
yaşayanların veya yabancı ülkede kurulu şirketler aracılığıyla Güven Hastanesi’ne gelen
kişilerin kişisel verileri ilgili kamu kurumu, sigorta şirketi veya aracı kurum ve kuruluşlar
ile paylaşılabilmektedir.
8. KİŞİSEL VERİLERİN SAKLANMASI
Elde ettiğimiz kişisel veriler, Güven Hastanesi’nin medikal ve ticari faaliyetlerini yerine
getirebilmesi amacıyla, uygun süre zarfında fiziksel veya elektronik ortamda güvenli bir
şekilde saklanmaktadır.
Söz konusu faaliyetler kapsamında, Güven Hastanesi tarafından kişisel verilerin
korunmasına ilişkin olarak KVK Kanunu başta olmak üzere, ilgili tüm mevzuatta
öngörülen yükümlülüklere uygun hareket edilmektedir.
İlgili mevzuatlar uyarınca, kişisel verilerin daha uzun süre saklanmasına cevaz verilen
veya zorunlu tutulan haller müstesna olmak kaydıyla, kişisel verilerin işlenme
amaçlarının sona ermesi durumunda, kişisel veriler re’sen Güven Hastanesi tarafından
veya ilgililerin talebi üzerine silinecek, yok edilecek veya anonim hale getirilecektir.
Kişisel verilerin söz konusu yöntemler vasıtasıyla silinmesi durumunda, bu veriler tekrar
hiçbir şekilde kullanılamayacak ve geri getirilemeyecek şekilde imha edilecektir.
Ancak veri sorumlusunun meşru menfaatinin olduğu durumlarda, işlenme amacının ve
ilgili kanunlarda belirtilen sürelerin de sona ermesine rağmen veri sahiplerinin temel hak
ve özgürlüklerine zarar vermemek kaydıyla kişisel veriler, Borçlar Kanunu’nda veya
Güven Hastanesi’ni ilgilendiren sair mevzuatta belirlenen zamanaşımı süreleri dolana
kadar saklanabilecektir. Bahsi geçen zamanaşımı süresinin sona ermesinin ardından
kişisel veriler silinecek, yok edilecek yahut anonim hale getirilecektir.
9. KİŞİSEL VERİLERİN KORUNMASINA İLİŞKİN ALINAN TEDBİRLER
Güven Hastanesi, KVK Kanunu’nda belirlenen şartlara uygun olarak, işlemekte olduğu
kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, verilere hukuka aykırı olarak
erişilmesini önlemek ve verilerin muhafazasını sağlamak için uygun güvenlik düzeyini
sağlamaya yönelik gerekli teknik ve idari tedbirleri almakta, bu kapsamda gerekli
denetimleri yapmak veya yaptırmaktadır.
İşlenen kişisel verilerin teknik ve idari tüm tedbirler alınmış olmasına rağmen, kanuni
olmayan yollarla üçüncü kişiler tarafından ele geçirilmesi durumunda, Güven Hastanesi
bu durumu mümkün olan en kısa süre içerisinde ilgili birimlere haber verir.
18
9.1.Teknik Tedbirler:
- Teknolojideki gelişmelere uygun teknik önlemler alınmakta, alınan önlemler
periyodik olarak güncellenmekte ve yenilenmektedir.
- İş birimi bazında belirlenen hukuksal uyum gerekliliklerine uygun olarak erişim
ve yetkilendirme teknik çözümleri devreye alınmaktadır.
- Erişim yetkileri sınırlandırılmakta yetkiler düzenli olarak gözden geçirilmektedir.
- Alınan teknik önlemler periyodik olarak kontrol edilmekte, risk teşkil eden
hususlar yeniden değerlendirilerek gerekli teknolojik çözüm üretilmektedir.
- Virüs koruma sistemleri ve güvenlik duvarlarını içeren yazılımlar ve donanımlar
kurulmaktadır.
- Teknik konularda bilgili personel istihdam edilmekte ve sistem zafiyetlerinin
kontrolü sağlanmaktadır.
- Kişisel verilerin toplandığı uygulamalardaki güvenlik açıklarını saptamak için
düzenli olarak güvenlik taramalarından geçirilmektedir. Bulunan açıkların
kapatılması sağlanmaktadır
- Kişisel verilerin geri dönüştürülemeyecek ve denetim izi bırakmayacak şekilde
yok edilmesi sağlanmaktadır.
9.2.İdari Tedbirler:
- Çalışanlar, kişisel verilere hukuka aykırı erişimi engellemek için alınacak teknik
tedbirler konusunda eğitilmektedir.
- Çalışanlara Hukuk Müşaviri tarafından KVK Kanunu hakkında eğitim
verilmektedir.
- İş birimi bazında kişisel veri işlenmesi hukuksal uyum gerekliliklerine uygun
olarak Güven Hastanesi içinde kişisel verilere erişim ve yetkilendirme süreçleri
tasarlanmakta ve uygulanmaktadır.
- Güven Hastanesi, personeli ile arasındaki ilişkiyi düzenleyen ve kişisel veri içeren
her türlü belgeye kişisel verilerin hukuka uygun olarak işlenmesi için KVK Kanunu
ile öngörülen yükümlülüklere uygun hareket edilmesi gerektiği, kişisel verilerin
ifşa edilmemesi gerektiği, kişisel verilerin hukuka aykırı olarak kullanılmaması
gerektiği ve kişisel verilere ilişkin gizlilik yükümlülüğünün Güven Hastanesi ile
olan iş akdinin sona ermesinden sonra dahi devam ettiği yönünde kayıtlar eklemiş
olup personelin bu yükümlülüklere uymaması iş akdinin feshine varabilecek
yaptırımların uygulanmasını gerektirmekte ve Güven Sağlık Grubu Davranış
İlkeleri Yönergesi’nde özel olarak düzenlenmektedir.
- Çalışanlar, öğrendikleri kişisel verileri KVK Kanunu hükümlerine aykırı olarak
başkasına açıklayamayacağı ve işleme amacı dışında kullanamayacağı ve bu
yükümlülüğün görevden ayrılmalarından sonra da devam edeceği konusunda
bilgilendirilmekte ve bu doğrultuda kendilerinden gerekli taahhütler
alınmaktadır.
- Güven Hastanesi tarafından kişisel verilerin hukuka uygun olarak aktarıldığı
kişiler ile akdedilen sözleşmelere; kişisel verilerin aktarıldığı kişilerin, kişisel
verilerin korunması amacıyla gerekli güvenlik tedbirlerini alacağına ve kendi
kuruluşlarında bu tedbirlere uyulmasını sağlayacağına ilişkin hükümler
eklenmektedir.
19
- Güven Hastanesi, işlenen kişisel verilerin hukuka aykırı yollarla başkaları
tarafından elde edilmesi hâlinde, bu durumu en kısa sürede ilgilisine ve Kurul’a
bildirir.
- Güven Hastanesi kişisel verilerin işlenmesi hakkında bilgili ve deneyimli personel
istihdam eder ve personeline kişisel verilerin korunması mevzuatı ve veri
güvenliği kapsamında gerekli eğitimleri verir.
- Güven Hastanesi, kendi tüzel kişiliği nezdinde Kanun hükümlerinin uygulanmasını
sağlamak amacıyla gerekli denetimleri yapar ve yaptırır. Denetimler sonucunda
ortaya çıkan gizlilik ve güvenlik zafiyetlerini giderir.
- Güven Hastanesi, kişisel verileri aktardığı üçüncü şahısların da, işbu Politika ve
KVK Kanunu hükümleri doğrultusunda verileri hukuka uygun olarak işleme ve
muhafaza etme ve verilere hukuka uygun olarak erişme yükümlülüklerini yerine
getirmesinden KVK Kanunu’nun 12. maddesi uyarınca sorumludur. Bu nedenle
Güven Hastanesi, üçüncü kişilere veri aktarılırken yapılacak sözleşmeler ve her
türlü düzenlemede bu şartların sağlanmasını ve kendisine denetim yapma yetkisi
verilmesini içeren taahhütler almalıdır. Yine Güven Hastanesi tüm personelini
kişisel verilerin üçüncü şahıslara aktarılması süreçlerinden doğan sorumluluklar
yönünden özel olarak bilgilendirmelidir.
9.3. Kişisel Verilerin Korunması Konusunda Alınan Tedbirlerin Denetimi:
KVK Kanunu kapsamında Güven Hastanesi veri sorumlusu sıfatını haiz olacak olup
VERBİS sistemine kayıt olacaktır.
Yönetmelik’in 11inci maddesinin 1inci fıkrasında “Türkiye’de yerleşik olan tüzel kişilerin
Kanun kapsamındaki veri sorumlusu yükümlülükleri, ilgili mevzuat hükümlerine göre
tüzel kişiliği temsil ve ilzama yetkili yetkili organ veya ilgili mevzuatta belirtilen kişi veya
kişiler marifetiyle yerine getirilir. Tüzel kişiliği temsile yetkili organ Kanunun
uygulanması bakımından yerine getirilecek yükümlülükler ile ilgili olarak bir veya birden
fazla kişiye görevlendirebilir” şeklinde düzenleme yapılmıştır.
Yönetim kurulu tarafından TTK’nın ilgili maddeleri uyarınca sınırları belirlenmiş olarak
şirketin yönetim ve temsili verilen kişiler TTK, BK ve TCK kapsamında kendi yetki sınırları
dâhilinde gerçekleşen işlem ve eylemlerden sorumludur.
Özellikle kollukta, savcılıklarda, kamu kurumlarında ve mahkemelerde şirketi temsil etme
ile ifade vermeye yetkili olarak seçilmişlerdir.
Her bir departmanın Direktörü, departmanlardaki İlgili Kullanıcı’ların Kanun ve
Yönetmelik çerçevesinde hazırlanan işbu Politika ve İmha Politikası’na uygun davranıp
davranmadığını denetlemek ve Yönetim Kurulu ile İcra Kurulu’na raporlamakla yükümlü
olacaktır. Karar alınmasını gerektiren durumlarda Hukuk Müşavirliği’nin görüşü
alındıktan Yönetim Kurulu’nun karar almasını müteakip alınan karar uygulamaya
konulacaktır.
10.VERİ SORUMLUSUNUN AYDINLATMA YÜKÜMLÜLÜĞÜ
Güven Hastanesi, KVK Kanunu’nun 10. maddesine uygun olarak kişisel veri sahibinin
haklarını kendisine bildirmekte, bu hakların nasıl kullanılacağı konusunda kişisel veri
sahibine yol göstermektedir.
20
Güven Hastanesi, kişisel veri sahiplerinin haklarının değerlendirilmesi ve kişisel veri
sahiplerine gereken bilgilendirmenin yapılması için KVK Kanunu’nun 13. maddesine
uygun olarak gerekli kanalları, iç işleyişi, idari ve teknik düzenlemeleri yürütmektedir.
KVK Kanunu’nun 10. maddesi kapsamında, veri sahiplerinin, kişisel verilerin elde
edilmesinden önce yahut en geç elde edilmesi sırasında aydınlatılması gerekmektedir. Söz
konusu aydınlatma yükümlülüğü çerçevesinde veri sahiplerine iletilmesi gereken bilgiler
şunlardır:
1.Veri sorumlusunun ve varsa temsilcisinin kimliği,
2.Kişisel verilerin hangi amaçla işleneceği,
3.İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
4.Kişisel veri toplamanın yöntemi ve hukuki sebebi,
5.KVK Kanunu’nun 11. maddesinde sayılan diğer haklar.
Güven Hastanesi, aydınlatma yükümlülüğünü yerine getirmek amacıyla, süreç ve verileri
işlenen kişiler bazında, yukarıda belirtilen KVK Kanunu hükmü kapsamında veri
sahiplerine sunulmak üzere aydınlatma beyanları hazırlamıştır.
Aydınlatma beyanlarının veri sahiplerine sunulmasının ardından, Güven Hastanesi’nin
faaliyetlerini yürütebilmesi için veri sahibinin açık rızasının alınmasını gerektiren veri
işleme faaliyetleri ve veri kategorileri için de açık rıza beyanları hazırlanmıştır.
Öte yandan, KVK Kanunu’nun 28(1) maddesi çerçevesinde sayılan durumlarda Güven
Hastanesi’nin aydınlatma yükümlülüğü bulunmamaktadır.
11.2. GÜVEN HASTANESİ’NİN BAŞVURULARA CEVAP VERMESİ
11.2.1. Güven Hastanesi’nin Başvurulara Cevap Verme Usulü ve Süresi
Kişisel veri sahibinin, bu bölümün 11.1.2. başlıklı kısmında yer alan usule uygun olarak
talebini Güven Hastanesi’ne iletmesi durumunda Güven Hastanesi talebin niteliğine göre
en geç otuz gün içinde ilgili talebi ücretsiz olarak sonuçlandıracaktır.
Ancak, KVK Kurulunca bir ücret öngörülmesi hâlinde, Güven Hastanesi tarafından
başvuru sahibinden KVK Kurulunca belirlenen tarifedeki ücret alınacaktır.
11.2.2. Güven Hastanesi’nin Başvuruda Bulunan Kişisel Veri Sahibinden Talep
Edebileceği Bilgiler
Güven Hastanesi, başvuruda bulunan kişinin kişisel veri sahibi olup olmadığını tespit
etmek adına ilgili kişiden bilgi talep edebilir. Kişisel veri sahibinin başvurusunda yer alan
hususları netleştirmek adına, kişisel veri sahibine başvurusu ile ilgili soru yöneltebilir.
11.2.3. Güven Hastanesi’nin Kişisel Veri Sahibinin Başvurusunu Reddetme Hakkı
Güven Hastanesi aşağıda yer alan hallerde başvuruda bulunan kişinin başvurusunu,
gerekçesini açıklayarak reddedebilir:
21
(1) Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma,
planlama ve istatistik gibi amaçlarla işlenmesi.
(2) Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini,
ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç
teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade
özgürlüğü kapsamında işlenmesi.
(3) Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini
veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu
kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler
kapsamında işlenmesi.
(4) Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin
olarak yargı makamları veya infaz mercileri tarafından işlenmesi.
(5) Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli
olması.
(6) Kişisel veri sahibi tarafından kendisi tarafından alenileştirilmiş kişisel verilerin
işlenmesi.
(7) Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu
kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme
veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için
gerekli olması.
(8) Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik
ve mali çıkarlarının korunması için gerekli olması.
(9) Kişisel veri sahibinin talebinin diğer kişilerin hak ve özgürlüklerini engelleme ihtimali
olması
(10) Orantısız çaba gerektiren taleplerde bulunulmuş olması
(11) Talep edilen bilginin kamuya açık bir bilgi olması.
12. REVİZYON VE YÜRÜRLÜKTEN KALDIRMA
İşbu Politika’nın revizyon edilmesi veya yürürlükten kaldırılması halinde Politika’nın
revizyon edilmiş hali veya yeni politika örneği ilgili yerlerde ilan edilecektir.
13. YÜRÜRLÜK
İşbu Politika 28.01.2018 tarihinde yürürlüğe girer.
14. YÜRÜTME
İşbu Politika’nın yürütülmesinden veri sorumlusu ve veri sorumlusunun
yükümlülüklerini yerine getirmekle yükümlü olan Güven Hastanesi’nin yönetim
kurulunun KVK Kanunu ve Veri Koruma Kurulu düzenlemeleri kapsamındaki tüm iş ve
işlemlerin takibinden ve koordinasyonundan sorumlu olmak üzere tüm departman
Direktörleri sorumludur.