1.AMAÇ;

Şirket içerisinde Kanun, Yönetmelik ve Politika ile belirtilen verinin imhasına dair gereklerin yerine getirilmesinde Şirket nezdinde kişisel veri saklayan ve işleyen tüm personel sorumludur. Her iş birimi kendi iş süreçlerinde ürettiği veriyi saklamak ve korumakla yükümlüdür

5.KİŞİSEL VERİLERİN SAKLANMASI

Saklamayı Gerektiren Hukuki Sebepler;

Şirket, iş faaliyetleri çerçevesinde işlenen kişisel verileri aşağıda belirtilen ilgili mevzuatta öngörülen sürelere uygun olarak muhafaza eder.

6698 Sayılı Kişisel Verileri Koruma Kanunu,6098 Sayılı Türk Borçlar Kanunu,5510 Sayılı Sosyal Sigortalar Ve Genel Sağlık Sigortası Kanunu, 5651 Sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi Ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun, 5018 Sayılı Kamu Mali Yönetimi Kanunu, 6331 Sayılı İş Sağlığı Ve Güvenliği Kanunu, 4982 Sayılı Bilgi Edinme Kanunu, 3071 Sayılı Dilekçe Hakkının Kullanılmasına Dair Kanun, 4857 Sayılı İş Kanunu, 5434 Sayılı Emekli Sağlığı Kanunu, 2828 Sayılı Sosyal Hizmetler Kanunu İşyeri Bina Ve Eklentilerde Alınacak Sağlık Ve Güvenlik Önlemlerine İlişkin Yönetmelik, Arşiv Hakkında Yönetmelik, 30701 Sayılı Diyaliz Merkezleri Hakkında Yönetmelik

bu kanunlar uyarınca ve yürürlükte olan diğer ikincil düzenlemeler çerçevesinde öngörülen saklama süreleri kadar saklanmaktadır.

Saklamayı Gerektiren Sebepler ;

• Kişisel verilerin sözleşmelerin kurulması ve ifası ile doğrudan doğruya ilgili olması nedeniyle saklanması,

• Kişisel verilerin bir hakkın tesisi, kullanılması veya korunması amacıyla saklanması,

• Kişisel verilerin kişilerin temel hak ve özgürlüklerine zarar vermemek kaydıyla Şirket’in meşru menfaatleri için saklanmasının zorunlu olması,

• Kişisel verilerin Şirket’in herhangi bir hukuki yükümlülüğünü yerine getirmesi amacıyla saklanması,

• Mevzuatta kişisel verilerin saklanmasının açıkça öngörülmesi,

• Veri sahiplerinin açık rızasının alınmasını gerektiren saklama faaliyetleri açısından veri sahiplerinin açık rızasının bulunması.

Şirketimiz, faaliyetleri çerçevesinde işlemekte olduğu kişisel verileri aşağıdaki amaçlar doğrultusunda saklar.

• Ticari faaliyetlerinin sürdürülebilmesi, ticari ilişkilerimizin düzenlenmesi ve ticari güvenliğin sağlanması,

• Hastalarımız, iş ortaklarımız, şirketimiz çalışanları ve diğer 3. kişilerin hukuki ve fiziki güvenliğinin temin edilmesi,

• Şirketimizin kurumsal işleyişinin sağlanması,

• İnsan kaynakları süreçlerini yürütmek.

• Kurumsal iletişim faaliyetlerinin yürütülmesi,

• Ziyaretçi kayıtlarının oluşturulması ve takibinin yapılması,

• Şirket güvenliğini sağlamak,

• İmzalanan sözleşmeler ve protokoller neticesinde iş ve işlemleri ifa edebilmek.

• Hukuki yükümlülüklerin yerine getirilebilmesi,

• Çalışan haklarının ve yan haklarının planlanması ve ifası ile hasta ilişkilerinin yönetilebilmesi

• VERBİS kapsamında, çalışanlar, veri sorumluları, irtibat kişileri, veri sorumlusu temsilcileri ve veri işleyenlerin tercih ve ihtiyaçlarını tespit etmek, verilen hizmetleri buna göre düzenlemek ve gerekmesi halinde güncellemek.

• Yasal raporlamalar yapmak.

• İleride doğabilecek hukuki uyuşmazlıklarda delil olarak ispat yükümlülüğü

amacıyla yukarıda sayılan fiziki veyahut elektronik ortamlarda güvenli bir biçimde KVKK ve diğer ilgili mevzuatta belirtilen sınırlar çerçevesinde saklanmaktadır .

6.KİŞİSEL VERİLERİN İMHASI

İmhayı Gerektiren Sebepler

Kişisel veriler;

• İşlenmesine esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası,

• İşlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,

• Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin açık rızasını geri alması,

• Kanunun 11 inci maddesi gereği ilgili kişinin hakları çerçevesinde kişisel verilerinin silinmesi ve yok edilmesine ilişkin yaptığı başvurunun Kurum tarafından kabul edilmesi,

• Kurumun, ilgili kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabı yetersiz bulması veya Kanunda öngörülen süre içinde cevap vermemesi hallerinde; Kurula şikâyette bulunması ve bu talebin Kurul tarafından uygun bulunması,

• Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olması ve kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması, durumlarında, Kurum tarafından ilgili kişinin talebi üzerine silinir, yok edilir ya da re’sen silinir, yok edilir veya anonim hale getirilir.

7. KİŞİSEL VERİLERİN İMHA TEKNİKLERİ

Kişisel verilerin işlenmesine yönelik amaç unsurunun ortadan kalkması, açık rızanın geri alınmış olması veya Kanunun 5. ve 6. maddelerinde yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması ya da adı geçen maddelerde istisnalardan hiçbirinin uygulanamayacağı bir durumun söz konusu olması halinde, işlenme şartları ortadan kalkan kişisel veriler, ilgili iş birimi tarafından, iş ihtiyaçları göz önüne alınarak, Yönetmeliğin 7., 8., 9. veya 10. maddeleri ( Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi maddeleri ) kapsamında, uygulanan yöntemin gerekçesi de açıklanmak suretiyle silinir, yok edilir veya anonim hale getirilir

Kişisel Verilerin Silinmesi

Kişisel Verilerin Yok Edilmesi

Anonim Hale Getirme

Şirket Kişisel Verilerin Anonim hale getirilmesi aşamasında, Kişisel Verileri Koruma Kurumu’nun yayınladığı Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Rehberinde gösterilen Kişisel Verilerin Anonim hale getirilmesi yöntemlerinden uygun olanı kullanılır.

Periyodik gözden geçirmeler neticesinde veya herhangi bir anda veri işleme şartlarının ortadan kalkmış olduğu tespit edildiğinde ilgili kullanıcı veya veri sahibi, ilgili kişisel verinin kendi bünyesinde bulunan kayıt ortamından işbu prosedürüne göre silinmesine, yok edilmesine veya anonim hale getirilmesine karar verecektir. Tereddüt duyulan durumlarda Şirket Avukatından görüş alınarak işlem yapılacaktır.

8.VERİ SAHİBİ TALEBİ ÜZERİNE KİŞİSEL VERİLERİN İMHASI

Kişisel verinin sahibi gerçek kişi, Kanunun 13. maddesine istinaden “Kişisel Veri Sahibi Başvuru Formu” ile Şirket'e başvurarak kendisine ait kişisel verilerin silinmesini, yok edilmesini veya anonim hale getirilmesini talep ettiğinde, başvuru tarihinden itibaren en geç otuz gün içinde sonuçlandırılır. Kişisel verilerin silinmesi ya da yok edilmesine yönelik talepler ancak ilgili kişinin kimlik tespitinin yapılmış olması kaydıyla değerlendirilecektir.

Başvuru yapan kişisel veri sahibine başvuru formunda belirlenen yöntemler aracılığıyla bilgi verilir. Yasal gereklilikler nedeniyle işleme şartları kalkmadıysa; talebe konu kişisel verilerinin silinemeyeceği veri sahibine beyan edilir.

İlgili verinin işlendiği birim, kişisel verileri işleme şartlarının tamamının ortadan kalkıp kalkmadığını inceler. İşleme şartlarının tamamı ortadan kalkmışsa; talebe konu kişisel verileri en geç üç ay içerisinde siler, yok eder veya anonim hale getirir. Kişisel verileri işleme şartlarının tamamı ortadan kalkmış ve talebe konu kişisel veriler üçüncü kişilere aktarılmışsa, ilgili verinin işlendiği birim bu durumu derhal aktarım yapılan üçüncü kişiye bildirir ve üçüncü kişi nezdinde Yönetmelik kapsamında gerekli işlemlerin yapılmasını temin eder.

9.SAKLAMA VE İMHA SÜRELERİ

Şirket tarafından, faaliyetleri kapsamında işlenmekte olan kişisel verilerle ilgili olarak; süreçlere bağlı olarak gerçekleştirilen faaliyetler kapsamındaki tüm kişisel verilerle ilgili kişisel veri bazında saklama süreleri Kişisel Veri İşleme Envanterinde, veri kategorileri bazında saklama süreleri VERBİS’e kayıtta Şirket tarafından belirtilmiştir.

Periyodik imha ya da talep üzerine gerçekleştirilecek imha işlemlerinde söz konusu saklama ve imha süreleri dikkate alınacaktır. Saklama ve imha süreçleri yasal bir zorunluluk olmadığı sürece veri sahibinin talebi üzerine değişkenlik gösterebilir.

Şirket İşbu Prosedürde Kanun, Yönetmelik ve Politika ile belirtilen verinin imhasına dair sürelerde gerekliliklerini yerine getirmekte ve söz konusu sürelere riayet etmektedir.

10.GÜVENLİK TEDBİRLERİ

Şirket çalışanları, Kişisel Verileri kazayla veya yasadışı bir şekilde imha olma, kaybolma, tahrif edilme, yetkisiz ifşa veya yetkisiz erişim risklerine (Güvenlik Olayı) karşı koruma amacıyla aşağıdaki de dahil tüm makul güvenlik önlemlerini alırlar;

• Kişisel Verilere erişimi sadece görevlerinin ifası esnasında bu bilgilere erişmesi zorunlu olan çalışanlarla sınırlı tutmak.

• Uygunsa, şifre korumalı elektronik dosyaları kullanmak.

• Kişisel Verileri içeren dosyaları düzenli saklamak ve bu dosyalara fiziksel erişimi gerektiği gibi ve uygun şekilde kısıtlamak.

• Kişisel Verilere yetkisiz erişim veya Kişisel Verilerin usulsüz kullanımı gibi olay ve durumlardan haberdar olduğunda bunları derhal âmirine bildirmekle yükümlüdür.

Kişisel Veriler, Şirket bünyesinde ilgili yasal saklama/zamanaşımı süreleri müddetince bulundurulmakta olup, bu verilerle ilişkili faaliyetlerin ve işbu Prosedür’de de belirtilen amaçların gerçekleştirilmesi için gerekli süre boyunca saklanmaktadır. Kullanım amacı sonlanan ve yasal saklama süresi/zamanaşımı sona eren Kişisel Veriler ise, KKK’nın 7’nci maddesi uyarınca Şirket tarafından silinmekte, yok edilmekte veya anonim hale getirilmektedir.

11.KİŞİSEL VERİLERİN İMHA SÜRELERİN KONTROL EDİLMESİ VE İMHA ;

Kişisel veriyi işleyen ya da saklayan tüm kullanıcılar ve veri sahibi birimler işlemeyle ilgili şartların ortadan kalkıp kalkmadığını en geç altı aylık periyodlar içerisinde, kullandıkları veri kayıt ortamlarında gözden geçireceklerdir.

Kişisel veri işleyen tüm departmanlar ve çalışanlar işledikleri kişisel verilerin faaliyet/süre kapsamında saklama süresinin başladığı tarihi içeren rapor hazırlayarak Şirket Kuruluna sunacaklardır.

Kurul söz konusu raporlar doğrultusunda 6 (altı) AY aralıklar ile olması gereken Şirket periyodik imha süreçlerinde, saklama süresi dolan kişisel verilerin imhası için gün ve saati belirler ve Genel Müdür'den de onay alarak imha süresini başlatır.İmha süreçlerine ilişkin tüm işlemler kayıt altına alınır ve 3 (üç) yıl saklanır.

Kanun kapsamında Şirket veri sorumlusu sıfatıyla, Yönetmelik’in 11. maddesinin 1. fıkrasına dayanarak, Kanunun veri saklama ve imha süreci uygulanması bakımından yükümlülükleri yerine getirilecek personelin unvanlarına, birimlerine ve görev tanımlar aşağıdadır;

sınırları belirlenmiş bu kişiler Türk Ticaret Kanunu, Borçlar Kanunu ve Türk Ceza Kanunu kapsamında kendi yetki sınırları içinde gerçekleşen işlem ve eylemlerden sorumludur. Özellikle Kollukta, Savcılıklarda, kamu kurumlarında ve mahkemelerde Şirket'i temsil etme ile ifade vermeye yetkili olarak Şirket Kişisel Verileri Koruma Kurulu Başkanı seçilmiştir. Her bir departman sorumlusu, departmanlardaki ilgili kullanıcıların Kanun ve Yönetmelik çerçevesinde hazırlanan İşbu Politika ve Kişisel Veri Politikasına uygun davranıp davranmadığını denetlemekle yükümlü olacaktır. Tüm departman sorumluları belirtilen periyodik imha sürelerinde İşbu Politika doğrultusunda gerçekleştirdiği işlemleri Şirket KVK Kurulu Başkan'ına raporlayacaktır. Bu raporlar için yapılan çalışma sonuçlarında çıkan karar uygulamaya konulacaktır.

12.KİŞİSEL VERİLERİ SAKLAMA VE İMHA PROSEDÜRÜNÜN GÜNCELLENMESİ

Prosedür, 6 aylık periyodlar ve ya ihtiyaç duyulduğunda gerekli bölümleri gözden geçirilir ve gerekli olan bölümler güncellenir. İşbu Kişisel Veri Saklama ve İmha Prosedüründe yapılan değişiklikler derhal metne işlenir ve değişikliklere ilişkin açıklamalar politikanın sonunda açıklanır.

Şirket Kişisel veri sahibinin başvurusu veya bir mahkemenin bildirimi üzerine, ilgili kullanıcı ve birimler, periyodik denetleme süresine bakmaksızın kullandıkları veri kayıt ortamlarında bu gözden geçirmeyi yapacaklardır.

13.YÜRÜRLÜLÜK

İşbu prosedür……………..…. tarihinde yürürlülüğe girer.