Kişisel Veri Saklama ve İmha Politikası

1. AMAÇ VE KAPSAM

İşbu Politika, 6698 sayılı Kişisel Verilerin Korunması Kanunu (K.V.K.K.) ve bu Kanuna dayanarak hazırlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik gereği hazırlanmış olup, Şirketin (ÇAKIRTEPE SAĞLIK HİZ.TUR.LTD.ŞTİ) kişisel verilerin saklanması ve imhasına yönelik esasları, saklama ve imha faaliyeti sürecinde izlenecek yöntemleri ve yükümlülükleri düzenlemektedir.

İşbu Politika, Kanunda tanımlandığı üzere, Şirketin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla verilerin işlendiği sistemlerde yer alan kişisel verileri ve özel nitelikli kişisel verileri kapsamaktadır.

2. GENEL KAPSAM VE YASAL DAYANAK

2.1. Kişisel Verilerin Saklanmasını Gerektiren Hukuki, Teknik ya da Diğer Sebepler

6698 sayılı Kişisel Verilerin Korunması Kanunu uyarınca, Şirket, ‘’Veri Sorumlusu’’ sıfatıyla; Taşıma ve depolama faaliyetlerinin yürütülmesi amacıyla, bu faaliyetlerin doğrudan veya dolaylı taraflarından edinilen kişisel verileri, Kanun ve ilgili mevzuatlar uyarınca hazırlanan Kişisel Verilerin İşlenmesi ve Korunması Politikasında belirtildiği şekilde işleyebilecek, kaydedebilecek, muhafaza edebilecek, güncelleyebilecek ve ilgili mevzuatlarda öngörüldüğü üzere üçüncü kişilere aktarabilecektir.

Şirket tarafından, müşteri, çalışan, çalışan adayı, iş ortakları ve tedarikçiler vb. kişilerden kimlik, iletişim, müşteri, müşteri işlem, işlem güvenliği, hukuki işlem ve uyum bilgisi kategorilerine ait kişisel veriler işlenebilmektedir.

2.2. Kişisel Verilerin İşlenme Amaçları ve Hukuki Sebepler

Şirket tarafından;

  • İşlenen kişisel veriler aydınlatma bildiriminde açıklanan işleme amaçlarının gerçekleştirilmesi, Şirketin özgülendiği faaliyetlerinin görülmesi ve müşterilere karşı olan yükümlülüklerin yerine getirilmesi, ilgili kayıt ve belgelerin düzenlenebilmesi, yerel ve uluslararası yasal mevzuatlar tarafından zorunlu tutulan bilgi ve belge saklama, raporlama, bilgilendirme, denetim vb. yükümlülükleri yerine getirilmesi,
  • Bilgi işlem prosedürlerinin yerine getirilmesi, sistem altyapısı, alınan bilgi işlem destek hizmetlerinin gerektirmesi, ilgili hizmet ve ürünlere ilişkin olarak veri sahiplerine gerekli bilgilerin aktarılması amacıyla iletişim kurulabilmesi,
  • Müşteri memnuniyetinin ölçülmesi ve arttırılması, şikâyet yönetimi, verilen hizmetlerle ilgili görüş ve öneri almak, sorun-hata bildirimlerinin alınabilmesi, şikâyet ve taleplere yönelik bilgi verilebilmesi,
  • Ödeme işlemlerinin gerçekleştirilmesi, üçüncü kişiler ile lojistik iş birliğini sağlayarak gerekli bilgi ve belgelerin ulaştırılması,
  • Resmi kurumlar ve ilgili mevzuat hükümleri uyarınca gerekli bilgi ve belge saklama, raporlama, bilgilendirme, denetim ve taraf olunan sözleşmelerin yerine getirilmesine ilişkin yükümlülüklerinin yerine getirilmesi,
  • Resmi kurumlardan veya veri sahiplerinden gelen taleplerin incelenmesi, değerlendirilmesi ve cevaplandırılması,
  • Şirket stratejilerinin belirlenmesi ve uygulanması amacı doğrultusunda; Şirket tarafından yürütülen finans operasyonları, sağlık hizmetleri finansmanı, planlaması ve sağlık hizmetlerinin verilmesi, iletişim, satın alma operasyonları (talep, teklif, değerlendirme, sipariş, bütçeleme, sözleşme), şirket içi sistem ve uygulama yönetimi operasyonları, hukuki faaliyetlerin yönetilmesi,

amaçlarıyla Kanunun 5. Ve 6. Maddelerinde öngörülen kişisel veri işleme ilke ve şartlarına uygun olarak işlenecektir.

2.3. Kişisel Verilerin Hukuka Uygun Olarak İmha Edilmesi için Alınmış Teknik ve İdari Tedbirler, Kişisel Verilerin İşleme Şartlarının Ortadan Kalkması Durumunda İzlenecek Prosedür

Kişisel verileri koruma komitesi, kişisel veri işleme envanterinde yer alan kişisel verilerin işlenmesi ile ilgili şartların ortadan kalkıp kalkmadığını altışar aylık periyodlar halinde veri kayıt sistemlerinde denetler. Kurulun veya mahkemenin bildirimi üzerine, periyodik denetleme süresine bakılmaksızın kişisel verileri koruma komitesi tarafından kararların/bildirimlerin derhal gereği yapılır.

Veri sahibinin kişisel verilerin imhası talebi, kişisel verileri işleme şartlarının tamamen ortadan kalkmış olması koşuluyla, Şirket yetkilileri tarafından talebin alınmasını takiben 30 gün içinde gerçekleştirilir. Şirketin, Kişisel verileri işleme şartları ortadan kalkmamışsa veya aksine mevzuat, Kurul veya mahkeme kararı yoksa kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi talebini reddetme hakkı bulunmaktadır. Ret kararı gerekçesiyle birlikte, İrtibat Kişisi tarafından talep tarihinden itibaren 30 gün içinde yazılı olarak veya elektronik ortamda talepte bulunan veri sahibine bildirilir.

2.4. Kişisel Verilerin Güvenli Bir Şekilde Saklanması ile Hukuka Aykırı Olarak İşlenmesinin ve Kişisel Verilere Erişilmesinin Önlenmesi için Alınmış Olan İdari ve Teknik Tedbirler

Kişisel veriler, Kanuna ve ilgili mevzuatlara uygun şekilde muhafaza edilmesi ve erişilmesine ilişkin alınmış idari ve teknik tedbirler kapsamında; bilgi güvenliği politikası, idari metinler ve politika, prosedür ve işlem talimatlarıyla güvence altına alınır.

2.5. Kişisel Verileri Saklama ve İmha Süreçlerinde Yer Alanların Görev ve Sorumlulukları

2.5.1. Kişisel Verileri Koruma Komitesi

Kişisel Verileri Koruma Komitesi;

  • İşbu politikanın uygulanmasını sağlamak,
  • İlgili mevzuatlarda yapılan değişiklikleri, Kurul ve mahkeme kararlarını ve altyapıdaki değişiklikleri takip etmek,
  • Veri saklama ve imha ile ilgili faaliyetleri takip etmek, bu faaliyetlerin işbu Politika ile uyumlu olup olmadığının denetlemek, işbu Politikaya aykırı bir faaliyetin tespit edilmesi durumunda bu aykırılığın giderilmesini sağlamak,
  • Kurum tarafından yapılan tebligat veya yazışmaları veri sorumlusu adına tebellüğ veya kabul etmek,
  • Kurum tarafından veri sorumlusuna yöneltilen talepleri veri sorumlusu adına almak ve cevaplarını Kuruma iletmek,
  • Kurul tarafından başka bir usul ve esasın belirlenmemiş olması halinde ilgili kişilerin Kanunun 13’üncü maddesinin birinci fıkrası uyarınca veri sorumlusuna yönelteceği başvuruları veri sorumlusu adına almak ve cevapları iletmek,
  • Veri sorumlusu adına Sicile ilişkin iş ve işlemleri yapmak,
  • Veri sorumlusu adına sicile kayıt sırasında irtibat kişisi bilgilerini sicile işlemek,
  • İşbu politikada yer alan diğer yükümlülükleri takip etmek ve yerine getirmek,

görev ve sorumluluklarını gerçekleştirmekle yükümlüdür.

2.5.2. İrtibat Kişisinin Görev ve Yetkileri

İrtibat kişisi, veri sahibinin veri sorumlusuna yönelteceği taleplerin cevaplandırılması konusunda iletişimi sağlamakla görevlidir. İrtibat kişisinin Kanunda öngörülen görev ve yetkileri aşağıda sayılmıştır;

  • Kurul tarafından başka bir usul ve esas belirlenmediği taktirde, veri sahiplerinin Veri Sorumlusuna yönelteceği başvuruları Veri Sorumlusu adına almak ve Kişisel Verileri Koruma Komitesine iletmek,
  • Kurul tarafından başka bir usul ve esas belirlenmediği taktirde, veri sahiplerinin başvurularını Veri Sorumlusunun cevabını Veri Sorumlusu adına iletmek,
  • Şirket, Ticaret Kanunu ve düzenlemeleri çerçevesinde denetimlerde istenecek her türlü bilgi ve belgeyi vermek, defter ve belgeleri ibraz etmek ve incelemeye hazır tutmak zorunda olup, Şirket işlemleri ile ilgili tüm bilgi ve belgeyi 10 yıl boyunca tutmak,

3. KİŞİSEL VERİLERİ SAKLAMA VE İMHA SÜRELERİ

Şirket, Ticaret Kanunu ve ilgili düzenlemeler gereği denetimlerde istenecek her türlü bilgi ve belgeyi vermek, defter ve belgeleri ibraz etmek ve incelemeye hazır tutmakla yükümlü olup, ilgili tüm bilgi ve belgeler Şirket tarafından 10 yıl boyunca muhafaza edilecektir.

6098 sayılı Borçlar Kanunu 146. Maddesinde alacaklar için genel zamanaşımı süresinin 10 yıl olarak belirtilmiş olması ve 6102 sayılı Türk Ticaret Kanunu 82. Maddesinde belgelerin 10 yıl saklama zorunluluğunun bulunması sebebiyle, Veri Sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi, meşru menfaatlerinin korunması ve ihtiyaç halinde belgelerin adli mercilere verilebilmesi amacıyla kişisel veriler son işlem tarihinden itibaren 10 yıl süre ile saklanır.

İş Sağlığı ve Güvenliği Hizmetleri Yönetmeliği m.7/1-b hükmünde öngörüldüğü üzere Şirket çalışanlarına ait sağlık ve güvenlik kayıtları 15 yıl süreyle, 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanununun ilgili maddeleri gereği, Şirket çalışanlarına ait sağlık ve güvenlik kayıtları dışındaki diğer kişisel veriler 10 yıl süreyle muhafaza edilir.

Destek hizmeti firmaları, kurumsal müşteriler ve tedarikçi firmalardan temin edilen kişisel veriler; 6098 sayılı Borçlar Kanunu 146. Maddesinde alacaklar için genel zamanaşımı süresinin 10 yıl olarak düzenlenmesi ve 6102 sayılı Türk Ticaret Kanunu 82. Maddesinde belgelerin 10 yıl saklanmasının öngörülmesi sebebiyle, Şirketin hukuki yükümlülüğünü yerine getirebilmesi, meşru menfaatlerinin korunması ve talep edilmesi halinde belgelerin adli mercilere sunulabilmesi amacıyla son işlem tarihinden itibaren 10 yıl süre ile muhafaza edilir.

Tabloda öngörülen sürelerin bitimini takip eden ilk 6 aylık periyodik imha zaman aralığında kişisel veriler ilgili kullanıcıların erişimine kapatılarak silinir. İlgili kullanıcıların erişimine kapatılan kişisel veriler sadece erişimin gerektirdiği ölçüde Kişisel Verileri Koruma Komitesinin ve verileri saklamakla görevli olan teknik personelin erişimine açık olacak şekilde arşivlenir.

4. YÜRÜRLÜK

  • İşbu Politika Yönetim Kurulu Kararı ile kabul edilmiştir.
  • İşbu Politika Yönetim Kurulu tarafından kabul edildiği tarihte yürürlüğe girer.
  • İşbu Politika hükümleri Kişisel Verileri Koruma Komitesi tarafından yürütülür.
‹‹ Ana Sayfaya Dön