ÇAKIRTEPE HASTANESİ
KİŞİSEL VERİ SAKLAMA VE İMHA POLİTİKASI

1. AMAÇ VE KAPSAM

İşbu Politika, 6698 sayılı Kişisel Verilerin Korunması Kanunu (K.V.K.K.) ve bu Kanuna dayanarak hazırlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik gereği hazırlanmış olup, Şirketin (ÇAKIRTEPE SAĞLIK HİZ.TUR.LTD.ŞTİ) kişisel verilerin saklanması ve imhasına yönelik esasları, saklama ve imha faaliyeti sürecinde izlenecek yöntemleri ve yükümlülükleri düzenlemektedir.

İşbu Politika, Kanunda tanımlandığı üzere, Şirketin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla verilerin işlendiği sistemlerde yer alan kişisel verileri ve özel nitelikli kişisel verileri kapsamaktadır.

2. GENEL KAPSAM VE YASAL DAYANAK

2.1. Kişisel Verilerin Saklanmasını Gerektiren Hukuki, Teknik ya da Diğer Sebepler

6698 sayılı Kişisel Verilerin Korunması Kanunu uyarınca, Şirket, ‘’Veri Sorumlusu’’ sıfatıyla;

Taşıma ve depolama faaliyetlerinin yürütülmesi amacıyla, bu faaliyetlerin doğrudan veya dolaylı taraflarından edinilen kişisel verileri, Kanun ve ilgili mevzuatlar uyarınca hazırlanan Kişisel Verilerin İşlenmesi ve Korunması Politikasında belirtildiği şekilde işleyebilecek, kaydedebilecek, muhafaza edebilecek, güncelleyebilecek ve ilgili mevzuatlarda öngörüldüğü üzere üçüncü kişilere aktarabilecektir.

Şirket tarafından, müşteri, çalışan, çalışan adayı, iş ortakları ve tedarikçiler vb. kişilerden kimlik, iletişim, müşteri, müşteri işlem, işlem güvenliği, hukuki işlem ve uyum bilgisi kategorilerine ait kişisel veriler işlenebilmektedir.

2.2. Kişisel Verilerin İşlenme Amaçları ve Hukuki Sebepler

Şirket tarafından;

• İşlenen kişisel veriler aydınlatma bildiriminde açıklanan işleme amaçlarının gerçekleştirilmesi, Şirketin özgülendiği faaliyetlerinin görülmesi ve müşterilere karşı olan yükümlülüklerin yerine getirilmesi, ilgili kayıt ve belgelerin düzenlenebilmesi, yerel ve uluslararası yasal mevzuatlar tarafından zorunlu tutulan bilgi ve belge saklama, raporlama, bilgilendirme, denetim vb. yükümlülükleri yerine getirilmesi,
• Bilgi işlem prosedürlerinin yerine getirilmesi, sistem altyapısı, alınan bilgi işlem destek hizmetlerinin gerektirmesi, ilgili hizmet ve ürünlere ilişkin olarak veri sahiplerine gerekli bilgilerin aktarılması amacıyla iletişim kurulabilmesi,
• Müşteri memnuniyetinin ölçülmesi ve arttırılması, şikâyet yönetimi, verilen hizmetlerle ilgili görüş ve öneri almak, sorun-hata bildirimlerinin alınabilmesi, şikâyet ve taleplere yönelik bilgi verilebilmesi,
• Ödeme işlemlerinin gerçekleştirilmesi, üçüncü kişiler ile lojistik iş birliğini sağlayarak gerekli bilgi ve belgelerin ulaştırılması,
• Resmi kurumlar ve ilgili mevzuat hükümleri uyarınca gerekli bilgi ve belge saklama, raporlama, bilgilendirme, denetim ve taraf olunan sözleşmelerin yerine getirilmesine ilişkin yükümlülüklerinin yerine getirilmesi,
• Resmi kurumlardan veya veri sahiplerinden gelen taleplerin incelenmesi, değerlendirilmesi ve cevaplandırılması,
• Şirket stratejilerinin belirlenmesi ve uygulanması amacı doğrultusunda; Şirket tarafından yürütülen finans operasyonları, sağlık hizmetleri finansmanı, planlaması ve sağlık hizmetlerinin verilmesi, iletişim, satın alma operasyonları (talep, teklif, değerlendirme, sipariş, bütçeleme, sözleşme), şirket içi sistem ve uygulama yönetimi operasyonları, hukuki faaliyetlerin yönetilmesi,

amaçlarıyla Kanunun 5. Ve 6. Maddelerinde öngörülen kişisel veri işleme ilke ve şartlarına uygun olarak işlenecektir.

2.3. Kişisel Verilerin Hukuka Uygun Olarak İmha Edilmesi için Alınmış Teknik ve İdari Tedbirler, Kişisel Verilerin İşleme Şartlarının Ortadan Kalkması Durumunda İzlenecek Prosedür

Kişisel verileri koruma komitesi, kişisel veri işleme envanterinde yer alan kişisel verilerin işlenmesi ile ilgili şartların ortadan kalkıp kalkmadığını altışar aylık periyodlar halinde veri kayıt sistemlerinde denetler.

Kurulun veya mahkemenin bildirimi üzerine, periyodik denetleme süresine bakılmaksızın kişisel verileri koruma komitesi tarafından kararların/bildirimlerin derhal gereği yapılır.

Kişisel verileri koruma komitesi tarafından yapılan periyodik denetimler sonucunda veri işleme şartlarının ortadan kalktığı tespit edilen kişisel verilerle ilgili olarak, işbu Politikaya göre verinin muhafaza edilmesine veya silme, yok etme veya anonim hale getirilmesine karar verilir.

Kişisel veri koruma komitesi, Şirketin itiraz, temyiz vb. yasal hakları saklı kalmak kaydıyla Kurum veya mahkeme tarafından verilen müzekkere veya kararları derhal uygular.

Kişisel Verilerin işlenmesi ile ilgili bir dava açılması ve bu davanın Kurumsal Müşteriye / Şirketimize bildirilmiş olması halinde delillerin yok olmasını önlemek amacıyla, Kanunun 5. ve 6. Maddesinde öngörülen veri işleme şartları sağlanmasa dahi, Kişisel Verileri Koruma Komitesi kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi işlemini yargılama sonuna kadar durdurur.

Kişisel verilerin silinmesi işlemi, diğer verilere de sistem içerisinde erişilememe ve bu verileri kullanamama sonucunu doğuracak ise;

Kişisel verilerin ilgili kişiyle ilişkilendirilemeyecek duruma getirilerek arşivlenmesini, başka herhangi bir kurum, kuruluş ve/veya kişinin erişimine kapalı olmasını, kişisel verilere yalnızca erişimin gerektirdiği ölçüde Kişisel Verileri Koruma Komitesi ve kişisel verilerin saklanmasından sorumlu olan teknik personel tarafından erişilmesini sağlayacak şekilde gerekli teknik ve idari tedbirler alınır ve bu suretle kişisel verilerin silinmesi işlemi yerine getirilir.

Herhangi bir veri kayıt sisteminin parçasını teşkil eden ve otomatik olmayan yollarla işlenen kişisel verilerin silinmesi;

Kişisel Verileri Koruma Komitesi ve verilerin muhafazasından sorumlu teknik personel haricindeki kullanıcıların erişiminin sınırlandırılması yoluyla yapılır.

Bu işlemlerin yapılması için Şirket tarafından bu fonksiyonları yerine getirecek olan yazılımlar ve diğer teknik araç ve gereçler kullanılır.

Veri sahibinin, kişisel verisinin imhasına ilişkin bir talepte bulunması veya imhaya ilişkin Kurul veya mahkeme kararı olması veya kişisel veri işleme şartlarının ortadan kalkması/zamanaşımı süresinin dolması durumunda, Kişisel Verileri Koruma Komitesi imhası talep edilen kişisel veriyi muhafaza edildiği fiziksel veya elektronik kayıt ortamlarında ilgili kullanıcıların erişimine kapatır.

Silinen, yok edilen veya anonim hale getirilen verilerle ilgili olarak veri imha tutanağı tutulur ve bu tutanaklar üç yıl boyunca saklanır.

Veri sahibinin kişisel verilerin imhası talebi, kişisel verileri işleme şartlarının tamamen ortadan kalkmış olması koşuluyla, Şirket yetkilileri tarafından talebin alınmasını takiben 30 gün içinde gerçekleştirilir.

Şirketin, Kişisel verileri işleme şartları ortadan kalkmamışsa veya aksine mevzuat, Kurul veya mahkeme kararı yoksa kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi talebini reddetme hakkı bulunmaktadır.

Ret kararı gerekçesiyle birlikte, İrtibat Kişisi tarafından talep tarihinden itibaren 30 gün içinde yazılı olarak veya elektronik ortamda talepte bulunan veri sahibine bildirilir.

2.4. Kişisel Verilerin Güvenli Bir Şekilde Saklanması ile Hukuka Aykırı Olarak İşlenmesinin ve Kişisel Verilere Erişilmesinin Önlenmesi için Alınmış Olan İdari ve Teknik Tedbirler

Kişisel veriler, Kanuna ve ilgili mevzuatlara uygun şekilde muhafaza edilmesi ve erişilmesine ilişkin alınmış idari ve teknik tedbirler kapsamında;

bilgi güvenliği politikası, idari metinler ve politika, prosedür ve işlem talimatlarıyla güvence altına alınır.

İşbu Politika ve Politikada yapılacak değişiklik ve düzenlemeler tüm Şirket çalışanlarına bildirilir.

Ayrıca, K.V.K.K.’na uyum çalışmaları kapsamında tüm Şirket personeli bilgilendirilir, gerekli eğitimler verilir ve önemli gelişmeler tüm Şirket çalışanlarına bildirilir.

İşbu Politikada belirtilen görev ve yükümlülüklerinin yerine getirilmesi ile ilgili denetim ve takip Kişisel Verileri Koruma Komitesi tarafından yapılır.

Politikada belirtilen görev ve yükümlülüklerin ihlal edilmesi durumunda, derhal ihlalde bulunan çalışanın bağlı olduğu ilgili birim Yöneticisine bildirilir ve aykırılığın giderilmesi için ilgili Yönetici gerekli tedbirleri alır.

Politikaya aykırı davranan çalışan hakkında yapılacak işlem için disiplin cezaları uygulanabileceği gibi ihlalin ağırlığına göre iş akdinin geçerli veya haklı nedenle feshi de gerçekleştirilebilir.

İşbu Politika gereklerinin yerine getirilmesi için Şirket tarafından gerekli yazılımlar/sistemler/uygulamalar kullanılır ve mevzuattaki değişiklikler ile Şirkete tebliğ edilen Kurul veya mahkeme kararları nedeniyle oluşabilecek değişiklikler İrtibat Kişisi ve Kişisel Verileri Koruma Komitesi tarafından takip edilir.

Gerekli değişiklikler, değişikliğin meydana gelmesinden itibaren en kısa sürede gerçekleştirilir.

2.5. Kişisel Verileri Saklama ve İmha Süreçlerinde Yer Alanların Görev ve Sorumlulukları

2.5.1. Kişisel Verileri Koruma Komitesi

Kişisel Verileri Koruma Komitesi;

• İşbu politikanın uygulanmasını sağlamak,
• İlgili mevzuatlarda yapılan değişiklikleri, Kurul ve mahkeme kararlarını ve altyapıdaki değişiklikleri takip etmek,
• Veri saklama ve imha ile ilgili faaliyetleri takip etmek, bu faaliyetlerin işbu Politika ile uyumlu olup olmadığının denetlemek, işbu Politikaya aykırı bir faaliyetin tespit edilmesi durumunda bu aykırılığın giderilmesini sağlamak,
• Kurum tarafından yapılan tebligat veya yazışmaları veri sorumlusu adına tebellüğ veya kabul etmek,
• Kurum tarafından veri sorumlusuna yöneltilen talepleri veri sorumlusu adına almak ve cevaplarını Kuruma iletmek,
• Kurul tarafından başka bir usul ve esasın belirlenmemiş olması halinde ilgili kişilerin Kanunun 13’üncü maddesinin birinci fıkrası uyarınca veri sorumlusuna yönelteceği başvuruları veri sorumlusu adına almak ve cevapları iletmek,
• Veri sorumlusu adına Sicile ilişkin iş ve işlemleri yapmak,
• Veri sorumlusu adına sicile kayıt sırasında irtibat kişisi bilgilerini sicile işlemek,
• İşbu politikada yer alan diğer yükümlülükleri takip etmek ve yerine getirmek,

görev ve sorumluluklarını gerçekleştirmekle yükümlüdür.

2.5.2. İrtibat Kişisinin Görev ve Yetkileri

İrtibat kişisi, veri sahibinin veri sorumlusuna yönelteceği taleplerin cevaplandırılması konusunda iletişimi sağlamakla görevlidir.

İrtibat kişisinin Kanunda öngörülen görev ve yetkileri aşağıda sayılmıştır;

• Kurul tarafından başka bir usul ve esas belirlenmediği taktirde, veri sahiplerinin Veri Sorumlusuna yönelteceği başvuruları Veri Sorumlusu adına almak ve Kişisel Verileri Koruma Komitesine iletmek,
• Kurul tarafından başka bir usul ve esas belirlenmediği taktirde, veri sahiplerinin başvurularını Veri Sorumlusunun cevabını Veri Sorumlusu adına iletmek,
• Şirket, Ticaret Kanunu ve düzenlemeleri çerçevesinde denetimlerde istenecek her türlü bilgi ve belgeyi vermek, defter ve belgeleri ibraz etmek ve incelemeye hazır tutmak zorunda olup, Şirket işlemleri ile ilgili tüm bilgi ve belgeyi 10 yıl boyunca tutmak,

3. KİŞİSEL VERİLERİ SAKLAMA VE İMHA SÜRELERİ

Şirket, Ticaret Kanunu ve ilgili düzenlemeler gereği denetimlerde istenecek her türlü bilgi ve belgeyi vermek, defter ve belgeleri ibraz etmek ve incelemeye hazır tutmakla yükümlü olup, ilgili tüm bilgi ve belgeler Şirket tarafından 10 yıl boyunca muhafaza edilecektir.

6098 sayılı Borçlar Kanunu 146. Maddesinde alacaklar için genel zamanaşımı süresinin 10 yıl olarak belirtilmiş olması ve 6102 sayılı Türk Ticaret Kanunu 82. Maddesinde belgelerin 10 yıl saklama zorunluluğunun bulunması sebebiyle, Veri Sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi, meşru menfaatlerinin korunması ve ihtiyaç halinde belgelerin adli mercilere verilebilmesi amacıyla kişisel veriler son işlem tarihinden itibaren 10 yıl süre ile saklanır.

İş Sağlığı ve Güvenliği Hizmetleri Yönetmeliği m.7/1-b hükmünde öngörüldüğü üzere Şirket çalışanlarına ait sağlık ve güvenlik kayıtları 15 yıl süreyle, 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanununun ilgili maddeleri gereği, Şirket çalışanlarına ait sağlık ve güvenlik kayıtları dışındaki diğer kişisel veriler 10 yıl süreyle muhafaza edilir.

Destek hizmeti firmaları, kurumsal müşteriler ve tedarikçi firmalardan temin edilen kişisel veriler;

6098 sayılı Borçlar Kanunu 146. Maddesinde alacaklar için genel zamanaşımı süresinin 10 yıl olarak düzenlenmesi ve 6102 sayılı Türk Ticaret Kanunu 82. Maddesinde belgelerin 10 yıl saklanmasının öngörülmesi sebebiyle, Şirketin hukuki yükümlülüğünü yerine getirebilmesi, meşru menfaatlerinin korunması ve talep edilmesi halinde belgelerin adli mercilere sunulabilmesi amacıyla son işlem tarihinden itibaren 10 yıl süre ile muhafaza edilir.

Kişisel Verilerin Saklama ve İmha Süreleri Tablosu

İlgili Kişi	Açıklama	Saklama/İmha süresi
Şirket işlemlerinin doğrudan ya da dolaylı tarafları	Kişisel Veri	10 yıl
Personel	Kişisel Veri	10 yıl
Personel	Sağlık ve Güvenlik Kayıtları	15 yıl
Destek hizmeti sunucusu/Tedarikçi	Kişisel Veri	10 yıl

Tabloda öngörülen sürelerin bitimini takip eden ilk 6 aylık periyodik imha zaman aralığında kişisel veriler ilgili kullanıcıların erişimine kapatılarak silinir.

İlgili kullanıcıların erişimine kapatılan kişisel veriler sadece erişimin gerektirdiği ölçüde Kişisel Verileri Koruma Komitesinin ve verileri saklamakla görevli olan teknik personelin erişimine açık olacak şekilde arşivlenir.

4. YÜRÜRLÜK

• İşbu Politika Yönetim Kurulu Kararı ile kabul edilmiştir.
• İşbu Politika Yönetim Kurulu tarafından kabul edildiği tarihte yürürlüğe girer.
• İşbu Politika hükümleri Kişisel Verileri Koruma Komitesi tarafından yürütülür.