KİŞİSEL VERİ SAKLAMA VE İMHA POLİTİKASI
İşbu Kişisel Veri Saklama ve İmha Politikası (“Politika”), 6698 Sayılı Kişisel Verilerin Korunması Kanunu (“KVKK” ya da “Kanun”) ve Kanun’un ikincil düzenlemesini teşkil eden 28 Ekim 2017 tarihli Resmi Gazete’de yayımlanarak yürürlüğe giren Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik (“Yönetmelik”) uyarınca yükümlülüklerimizin yerine getirilmesi ve kişisel verilerin işlendikleri amaç için gerekli olan azami saklama süresinin belirlenmesi işlemi ile silme, yok etme ve anonim hale getirme işlemleri için dayanak olarak kullanılması ve bu işlemler hakkında ilgili kişilerin bilgilendirilmesi amacıyla, veri sorumlusu sıfatıyla Epion Sağlık Hizmetleri ve Tic. Ltd. Şti. tarafından hazırlanmıştır.
Bu politika, kurum nezdinde tutulan, kurumun tüm çalışanlarını, danışmanlarını ve kişisel veri paylaşımı söz konusu olan tüm durumlarda iştiraklerini, tedarikçilerini ve kurumun diğer hukuki ilişkiye girdiği gerçek ve tüzel kişileri, bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kanun ile tanımlanan kişisel verileri ve özel nitelikli kişisel verileri kapsamaktadır. Politikada aksi belirtilmedikçe kişisel veriler ve özel nitelikli kişisel veriler birlikte “Kişisel Veriler” olarak adlandırılacaktır.
Kurum içerisinde Kanun, Yönetmelik ve Politika ile belirtilen verinin imhasına dair gereklerin yerine getirilmesinde tüm çalışanlar, danışmanlar, dış hizmet sağlayıcıları ve diğer surette kurum nezdinde kişisel veri saklayan ve işleyen herkes bu gerekleri yerine getirmekten sorumludur. Her iş birimi kendi iş süreçlerinde ürettiği veriyi saklamak ve korumakla yükümlüdür.
KVK Kurulu ile yapılan tebligat veya yazışmaları veri sorumlusu adına tebellüğ veya kabul etme ve sicile kayıt gibi işlemlerin sorumluluğu “Veri Sorumlusu İrtibat Kişisindedir. “
Kısaltma | Tanım |
Açık Rıza | Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza. |
İlgili Kullanıcı | Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişilerdir. |
İmha | Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi. |
Kanun/KVKK | 6698 Sayılı Kişisel Verilerin Korunması Kanunu. |
Kayıt Ortamı | Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam. |
Kişisel Veri | Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi. |
Kişisel Verilerin İşlenmesi | Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem. |
Kişisel Verilerin Anonim Hale Getirilmesi | Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesi. |
Kişisel Verilerin Silinmesi | Kişisel verilerin silinmesi; kişisel verilerin İlgili Kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi. |
Kişisel Verilerin Yok Edilmesi | Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemi. |
Kurul | Kişisel Verileri Koruma Kurulu. |
Özel Nitelikli Kişisel Veri | Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri. |
Periyodik İmha | Kanun’da yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla re’sen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi. |
Veri Sahibi/İlgili Kişi | Kişisel verisi işlenen gerçek kişi. |
Veri Sorumlusu | Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi. |
Yönetmelik | 28 Ekim 2017 tarihinde Resmi Gazete’de yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik. |
Epion Sağlık Hizmetleri ve Tic. Ltd. Şti. tarafından kişisel verilerin saklanması ve imhasında aşağıda yer alan ilkeler çerçevesinde hareket edilmektedir:
1 a)Hukuk ve dürüstlük kurallarına uygun olma, b)Doğru ve gerektiğinde güncel olma, c)Belirli, açık ve meşru amaçlar için işlenme, d)İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma, e)İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.
Veri sahiplerine ait kişisel veriler, Epion Sağlık Hizmetleri ve Tic. Ltd. Şti. tarafından özellikle (i) hizmet faaliyetlerin sürdürülebilmesi, (ii) hukuki yükümlülüklerin yerine getirilebilmesi, (iii) çalışan haklarının ve yan haklarının planlanması ve ifası ile (iv) müşteri ilişkilerinin yönetilebilmesi, (V) kanunlarda öngörülmesi ve envanterde belirlenen amaclarıyla sayılan fiziki veyahut elektronik ortamlarda güvenli bir biçimde KVKK ve diğer ilgili mevzuatta belirtilen sınırlar çerçevesinde saklanmaktadır.
Saklamayı gerektiren sebepler aşağıdaki gibidir:
Yönetmelik uyarınca, aşağıda sayılan hallerde veri sahiplerine ait kişisel veriler Epion Sağlık Hizmetleri ve Tic. Ltd. Şti. tarafından re ’sen yahut talep üzerine silinir, yok edilir veya anonim hale getirilir:
Epion Sağlık Hizmetleri ve Tic. Ltd. Şti. tarafından KVKK ve diğer ilgili mevzuat hükümlerine uygun olarak elde edilen kişisel verilerinizin saklama ve imha sürelerinin tespitinde aşağıda sırasıyla belirtilen ölçütlerden yararlanılmaktadır:
Epion Sağlık Hizmetleri ve Tic. Ltd. Şti. tarafından tespit edilen saklama, imha ve periyodik imha sürelerine, Politika’nın ekinde yer alan ‘‘Kişisel Veri İşleme Envanteri’’nden ulaşabilirsiniz.
Saklama süresi dolan kişisel veriler, Politika’nın ekinde yer alan imha süreleri çerçevesinde, 6 aylık periyodlarla Politika’da yer verilen usullere uygun olarak imha edilir.
Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesiyle ilgili yapılan bütün işlemler kayıt altına alınır ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az 6 ay süreyle saklanır.
Veri sahiplerine ait kişisel veriler, Epion Sağlık Hizmetleri ve Tic. Ltd. Şti. tarafından aşağıdaki tabloda listelenen ortamlarda başta KVKK hükümleri olmak üzere ilgili mevzuata uygun olarak ve uluslararası veri güvenliği prensipleri çerçevesinde güvenli bir şekilde saklanmaktadır:
Kişisel verilerinizin güvenli bir şekilde saklanması, hukuka aykırı olarak işlenmesi, erişilmesinin önlenmesi ve verilerin hukuka uygun olarak imha edilmesi amacıyla KVKK’nın 12. maddesindeki ilkeler çerçevesinde, Epion Sağlık Hizmetleri ve Tic. Ltd. Şti. tarafından alınmış olan tüm idari ve teknik tedbirler aşağıda sayılmıştır:
Epion Sağlık Hizmetleri ve Tic. Ltd. Şti. idari tedbirler kapsamında;
Epion Sağlık Hizmetleri ve Tic. Ltd. Şti. teknik tedbirler kapsamında;
Kişisel veri saklama ve imha sürecinde yer alan personelin unvanlarına, birimlerine ve görev tanımlarına işbu Politika’nın EK-1’nde yer alan listeden ulaşabilirsiniz.
Epion Sağlık Hizmetleri ve Tic. Ltd. Şti. tarafından KVKK ve diğer ilgili mevzuata uygun olarak elde edilen kişisel veriler Kanun ve Yönetmelik’te sayılan kişisel veri işleme amaçlarının ortadan kalkması halinde Epion Sağlık Hizmetleri ve Tic. Ltd. Şti. tarafından resen yahut İlgili Kişinin başvurusu üzerine yine Kanun ve ilgili mevzuat hükümlerine uygun olarak aşağıda belirtilen teknikler ile imha edilecektir.
Epion Sağlık Hizmetleri ve Tic. Ltd. Şti. tarafından kişisel verilerin silinmesi ve yok edilmesi tekniklerine ilişkin usul ve esaslar aşağıda sayılmıştır:
Yazılımdan Güvenli Olarak Silme: Tamamen veya kısmen otomatik olan yollarla işlenen ve dijital ortamlarda muhafaza edilen veriler silinirken; İlgili Kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilecek biçimde verinin ilgili yazılımdan silinmesine ilişkin yöntemler kullanılır.
Bulut sisteminde ilgili verilerin silme komutu verilerek silinmesi; merkezi sunucuda bulunan dosya veya dosyanın bulunduğu dizin üzerinde ilgili kullanıcının erişim haklarının kaldırılması; veri tabanlarında ilgili satırların veri tabanı komutları ile silinmesi; veya taşınabilir medyada yani flash ortamında bulunan verilerin uygun yazılımlar kullanılarka silinmesi bu kapsamda sayılabilecektir.
Ancak, kişisel verilerin silinmesi işlemi, diğer verilere de sistem içerisinde erişilememe ve bu verileri kullanamama sonucunu doğuracak ise, aşağıdaki koşulların sağlanması kaydıyla, kişisel verilerin ilgili kişiyle ilişkilendirilemeyecek duruma getirilerek arşivlenmesi halinde de kişisel veriler silinmiş sayılacaktır.
Uzman Tarafından Güvenli Olarak Silme: Bazı durumlarda kendisi adına kişisel verileri silmesi için bir uzman ile anlaşabilir. Bu durumda, kişisel veriler bu konuda uzman olan kişi tarafından İlgili Kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilecek biçimde güvenli olarak silinir.
Kağıt Ortamında Bulunan Kişisel Verilerin Karartılması: Kişisel verilerin amaca yönelik olmayan kullanımını önlemek veya silinmesi talep edilen verileri silmek için ilgili kişisel verilerin fiziksel olarak kesilerek belgeden çıkartılması veya geri döndürülemeyecek ve teknolojik çözümlerle okunamayacak şekilde sabit mürekkep kullanılarak görünemeyecek hale getirilmesi, kapatılması yöntemidir.
Fiziksel Yok Etme: Kişisel veriler herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla da işlenebilmektedir. Bu tür veriler yok edilirken kişisel verinin sonradan kullanılamayacak biçimde fiziksel olarak yok edilmesi sistemi uygulanmaktadır.
KVKK ve ilgili diğer mevzuat hükümleri ile işbu Politika arasında uyumsuzluk olması halinde, öncelikle KVKK ve ilgili diğer mevzuat hükümleri uygulanacaktır.
Epion Sağlık Hizmetleri ve Tic. Ltd. Şti. tarafından hazırlanan işbu Politika 03.01.2022 tarihinde yürürlüğe girmiştir. Politika’da değişiklik olması durumunda, Politika’nın yürürlük tarihi ve ilgili maddeler bu doğrultuda güncellenecektir. Güncelleme tablosu Ek-3’te yer almaktadır.
EK-1
PERSONEL UNVAN, BİRİM VE GÖREV LİSTESİ
PERSONEL | GÖREV | SORUMLULUK |
Doktor | Veri İşleyen Sıfatıyla İş Ortağı Doktor- Kişisel veri saklama ve imha politikası uygulama sorumlusu | Görevi dahilinde olan süreçlerin saklama süresine uygunluğunun sağlanması ile periyodik imha süresi uyarınca kişisel veri imha sürecinin yönetimi |
Sekreter | Veri İşleyen Sıfatıyla İş Ortağı Sekreter – Kişisel veri saklama ve imha politikası uygulama sorumlusu | Görevi dahilinde olan süreçlerin saklama süresine uygunluğunun sağlanması ile periyodik imha süresi uyarınca kişisel veri imha sürecinin yönetimi |
Satış | Veri İşleyen Sıfatıyla İş Ortağı Satış – Kişisel veri saklama ve imha politikası uygulama sorumlusu | Görevi dahilinde olan süreçlerin saklama süresine uygunluğunun sağlanması ile periyodik imha süresi uyarınca kişisel veri imha sürecinin yönetimi |
Muhasebe | Muhasebe Departmanı- Kişisel veri saklama ve imha politikası uygulama sorumlusu | Görevi dahilinde olan süreçlerin saklama süresine uygunluğunun sağlanması ile periyodik imha süresi uyarınca kişisel veri imha sürecinin yönetimi |
Sosyal Medya | Sosyal Medya -Kişisel veri saklama ve imha politikası uygulama sorumlusu | Görevi dahilinde olan süreçlerin saklama süresine uygunluğunun sağlanması ile periyodik imha süresi uyarınca kişisel veri imha sürecinin yönetimi |
EK-2
SAKLAMA VE İMHA SÜRELERİ TABLOSU
Kurum tarafından işlenen verilere ait saklama ve imha süreleri Kişisel Veri İşleme Envanterinde süreç bazında tespit edilmiş olup, anılan Envanter’e kurum üzerinden erişilebilecektir.
Şirket’in ilgili kişisel veriyi kullanma amacı sona ermedi ise, ilgili mevzuat gereği ilgili kişisel veri için öngörülen saklama süresi tabloda yer alan sürelerden fazla ise veya ilgili konuya ilişkin dava zamanaşımı süresi kişisel yerinin tabloda yer alan sürelerden fazla saklanmasını gerektiriyorsa, tabloda yer alan süreler uygulanmayabilecektir. Bu halde kullanım amacı, özel mevzuat veya dava zamanaşımı süresinden hangisi daha sonra sona eriyor ise, o süre uygulama alanı bulacaktır.
SÜREÇ | SAKLAMA SÜRESİ | İMHA SÜRESİ |
AGİ Süreçlerinin Yürütülmesi | Hukuki İlişki Sona Erene Kadar + 10 YIL | Saklama süresinin bitimini takiben 180 gün içerisinde
|
İnsan Kaynakları Yönetimi ve Özlük Dosyası | Hukuki İlişki Sona Erene Kadar + 10 YIL | Saklama süresinin bitimini takiben 180 gün içerisinde
|
Hukuksal Süreç Evrakları | Hukuki İlişki Sona Erene Kadar + 10 YIL | Saklama süresinin bitimini takiben 180 gün içerisinde
|
Hissedar süreçleri | Hissedar İş Süresi Boyunca | Saklama süresinin bitimini takiben 180 gün içerisinde
|
Sözleşmelerin hazırlanması | 10 YIL | Saklama süresinin bitimini takiben 180 gün içerisinde
|
İşe alım | İş ilişkisinin sona ermesine müteakip 10 yıl | Saklama süresinin bitimini takiben 180 gün içerisinde
|
Bordrolama | Hukuki İlişki Sona Erene Kadar + 10 YIL | Saklama süresinin bitimini takiben 180 gün içerisinde
|
Eğitim Süreçleri | 10 YIL | Saklama süresinin bitimini takiben 180 gün içerisinde
|
Faturalandırma Süreci
| 10 YIL | Saklama süresinin bitimini takiben 180 gün içerisinde
|
İşlem Güvenliği Şifre Bilgileri | 10 YIL | Saklama süresinin bitimini takiben 180 gün içerisinde
|
Bilgi İşlem Süreçleri | İş Akdi Süresi Boyunca | Saklama süresinin bitimini takiben 180 gün içerisinde
|
Sağlık ve Muayene Süreçleri | Hukuki İlişki Sona Erene Kadar + 10 YIL | Saklama süresinin bitimini takiben 180 gün içerisinde
|
Vekaletname Süreçleri | Hukuki İlişki Sona Erene Kadar + 10 YIL | Saklama süresinin bitimini takiben 180 gün içerisinde
|
Sosyal Medya Tanıtım Süreci | Açık Rıza Süresi Boyunca | Saklama süresinin bitimini takiben 180 gün içerisinde
|
Denetim Süreçleri | 10 YIL | Saklama süresinin bitimini takiben 180 gün içerisinde
|
İş Başvuru Süreçlerinin Yürütülmesi | 1 YIL
| Saklama süresinin bitimini takiben 180 gün içerisinde |
Girişlerde Fiziksel Mekan Güvenliğinin Sağlanması Kamera Kayıtları | 1 AY | Saklama süresinin bitimini takiben 15 gün içerisinde
|
Yıllık izin Takip Süreci | Hukuki İlişki Sona Erene Kadar + 10 YIL | Saklama süresinin bitimini takiben 180 gün içerisinde
|
Zimmet Süreçleri | Hukuki İlişki Sona Erene Kadar + 10 YIL | Saklama süresinin bitimini takiben 180 gün içerisinde
|
Ödeme işlemleri | Hukuki İlişki Sona Erene Kadar + 10 YIL | Saklama süresinin bitimini takiben 180 gün içerisinde |
Personel Mali Süreçleri | Hukuki İlişki Sona Erene Kadar + 10 YIL | Saklama süresinin bitimini takiben 180 gün içerisinde |
Sözleşme sürecinin bir bölümü ve sözleşmenin muhafazası | Hukuki İlişki Sona Erene Kadar + 10 YIL | Saklama süresinin bitimini takiben 180 gün içerisinde |
Hizmet Satış Süreçlerinin Yürütülmesi | 10 YIL | Saklama süresinin bitimini takiben 180 gün içerisinde |
Müşteri Yönetim Talep Süreci
| 10 YIL | Saklama süresinin bitimini takiben 180 gün içerisinde |
Potansiyel Müşteri Hizmet Süreçleri | 2 YIL | Saklama süresinin bitimini takiben 180 gün içerisinde |
Randevu Süreçleri | 2 YIL | Saklama süresinin bitimini takiben 180 gün içerisinde |
Satınalma Süreçleri | 10 YIL | Saklama süresinin bitimini takiben 180 gün içerisinde |
Dış Satış Süreci | 10 YIL | Saklama süresinin bitimini takiben 180 gün içerisinde |
Şirket, işbu politika ve bu politikaya bağlı ve ilişkili diğer politikaları, bu politikalarda belirtilen işleme ve imha süreçlerini yönetmek üzere, aynı zamanda üst yönetim tarafından uyum için belirlenen aksiyonların yerine getirilmesinden sorumlu “Kişisel Verilerin Korunması Komitesi” veya bu konuda sorumlu olacak kişi veya kişiler atanır.
Bu kapsamda ilgili kişi veya komite tarafından yürütülecek işler:
İşbu Politika Şirket’in internet sitesinde (www.epion.com.tr) yayınlanır ve talep üzerine kişisel veri sahiplerinin erişimine sunulur.
İşbu Politika gerek duyulan hallerde ve ihtiyaç halinde güncellenir ve değişiklik yine internet sitesinde yayınlanmak suretiyle yürürlüğe girer.