DR. MUSTAFA M. ATASOY KİŞİSEL VERİLERİ SAKLAMA VE İMHA POLİTİKASI

İÇİNDEKİLER

1. POLİTİKANIN AMAÇ VE KAPSAMI
2. TANIMLAR
3. KAYIT ORTAMLARI
4. İŞLEME, SAKLAMA, İDARİ VE TEKNİK TEDBİRLER İLE İMHAYI GEREKTİREN HALLERE İLİŞKİN AÇIKLAMALAR
   • Saklamaya İlişkin Açıklamalar
     • Saklamayı Gerektiren Hukuki Sebepler
     • Saklamayı Gerektiren İşleme Araçları
   • İmhayı Gerektiren Sebepler
5. KİŞİSEL VERİLERİ İMHA TEKNİKLERİ
   • Kişisel Verilerin Silinmesi
   • Kişisel Verilerin Yok Edilmesi
   • Kişisel Verilerin Anonimleştirilmesi
     • Anonimleştirme Teknikleri

6. SAKLAMA VE İMHA SÜRELERİ
7. PERİYODİK İMHA SÜRESİ
8. SON HÜKÜMLER

 

 

 

1. POLİTİKANIN AMAÇ VE KAPSAMI

İşbu Kişisel Verileri Saklama ve İmha Politikası (bundan böyle “Politika” olarak anılacaktır.), veri sorumlusu sıfatıyla Mustafa M. Atasoy (FTA)’un 6698 Sayılı Kişisel Verilerin Korunması Kanunu (bundan böyle “KVKK” veya “Kanun” olarak anılacaktır.) ve özel hüküm içeren sair mevzuata uygun olarak muhafaza etmekte olduğu kişisel verileri, Kanun ve Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik (bundan böyle “Yönetmelik” olarak anılacaktır.) ve ilgili mevzuat uyarınca kişisel verileri saklama, silme, yok etme ve anonim hale getirme süreçleri hakkında usul ve esasları belirlemek, Kanun ve ilgili mevzuat kapsamındaki yükümlülüklerin yerine getirilmesi amacıyla hazırlanmıştır. Bu kapsamda kişisel veriler ve özel nitelikli kişisel veriler Kanun ve ilgili sair hukuki düzenlemelerde yer alan usul ve esaslara uygun olarak, ilgili kişinin açık rızası ile işlenebilir. Hukuki düzenlemelerde yer alan istisnalar saklıdır. Ek olarak Mustafa M. Atasoy’un sunduğu hizmetler Türkiye Cumhuriyeti kapsamında Türk Hukuku kuralları uygulanarak sunulmakla birlikte Avrupa Birliği vatandaşı veya Avrupa Birliği mevzuatı kapsamında olan Hizmet Alanlar ve ilgili kişiler için Avrupa Birliği Genel Veri Koruma Tüzüğü (“GDPR”) hükümleri dikkate alınmaktadır

İş bu Politika’nın uygulanması sürecinde çelişki doğması halinde öncelik sırasıyla Kanun ile Yönetmelik hükümleri ve Kişisel Verileri Koruma Kurumu ile kararları tatbik edilecektir.

İşbu Politika’da veya mevzuatta oluşabilecek revizyonlar tarih ve konu belirtilerek politikaya eklenecek, gerekli duyurular yapıldıktan sonra politikanın ayrılmaz bir parçası olarak kabul edilecektir.

Kişisel verilerin saklanmasına ve imhasına ilişkin iş ve işlemler, Dr. Mustafa M. Atasoy tarafından bu doğrultuda hazırlanmış olan işbu Politika’ya uygun olarak gerçekleştirilir. Dr. Mustafa M. Atasoy bünyesinde kişisel verilerin işlendiği tüm kayıt ortamları hakkında ve kişisel veri işlenmesine yönelik tüm faaliyetlerde bu Politika uygulanır.

 

 

2. TANIMLAR

Açık Rıza	Belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rızadır.
Anonim Hale Getirme	Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir suretle kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.
Çalışan	Dr. Mustafa M. Atasoy’un çalışanlarıdır.
Elektronik Ortam	Kişisel verilerin elektronik aygıtlar ile oluşturulabildiği, okunabildiği, değiştirilebildiği ve saklanabildiği ortamlardır.
Elektronik Olmayan Ortam	Elektronik ortamların dışında kalan tüm yazılı, basılı, görsel vb. diğer ortamlardır.
İlgili Kişi	Kişisel verisi işlenen gerçek kişidir.
İlgili Kullanıcı	Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişilerdir.
İmha	Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesidir.
Kanun	6698 Sayılı Kişisel Verilerin Korunması Kanunu
Kayıt Ortamı	Tamamen veya kısmen otomatik olan veya herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortamdır.
Kişisel Veri	Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgidir.
Kişisel Verilerin İşlenmesi	Kişisel verilerin tamamen veya kısmen otomatik olan veya herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, saklanması, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemdir.
Kurum	6698 Sayılı Kişisel Verilerin Korunması Kanunu kapsamında kurulan Kişisel Verileri Koruma Kurumu’dur.
Kurul	6698 Sayılı Kişisel Verilerin Korunması Kanunu kapsamında kurulan Kişisel Verileri Koruma Kurulu’dur.
Özel Nitelikli Kişisel Veri	Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileridir.
Periyodik İmha	Kanun’da yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemidir.
Politika	Kişisel Verileri Saklama ve İmha Politikasıdır.
Veri İşleyen	Veri sorumlusunun verdiği yetkiye dayanarak veri sorumlusu adına kişisel verileri işleyen gerçek veya tüzel kişilerdir.
Veri Sorumlusu	Kişisel verilerin işleme amaçları ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu gerçek veya tüzel kişilerdir.
Yönetmelik	28 Ekim 2017 tarihli Resmi Gazete’de yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik’tir.

 

 

 

3. KAYIT ORTAMLARI

Kişisel veriler, aşağıdaki tabloda listelenen ortamlarda hukuka uygun olarak güvenli bir şekilde saklanır.

Elektronik Ortamlar

Elektronik Olmayan Ortamlar

•       Sunucular (Server – yedekleme, e-posta, web sitesi vb.) •       Yazılımlar (Ofis yazılımları özellikle OneNote uygulaması, Teachable vb) •       Bilgi güvenliği cihazları (Güvenlik duvarı, saldırı tespit ve engelleme, antivirüs vb.) •       Mobil cihazlar (telefon, tablet vb.) •       Optik diskler (CD, DVD vb.) •       Kişisel bilgisayarlar (Masaüstü, dizüstü) •       Çıkarılabilir bellekler (USB, Hafıza kartı vb.) •       Yazıcı, tarayıcı, fotokopi makinesi

•       Kağıt •       Manuel veri kayıt sistemleri (Tıbbi hasta dosyası, özlük dosyası, protokol defteri, tıbbi sorgulama formu başvuru formları, vb.) •       Yazılı, basılı ve görsel ortamlar

 

 

 

4. İŞLEME, SAKLAMA, İDARİ VE TEKBİK TEDBİRLER İLE İMHAYI GEREKTİREN HALLERE İLİŞKİN AÇIKLAMALAR

Kanunun 4. maddesinde kişisel verilerin işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli süre kadar muhafaza edilmesi gerektiği belirtilmiş, 5. ve 6. maddelerde ise kişisel verilerin işleme şartları sayılmıştır.

Kişisel veriler, Dr. Mustafa M. Atasoy tarafından sunulan hizmet amaçlarımız kapsamında www.fonksiyoneltip.com sitesinin kullanımı dahil sunduğumuz faaliyetler kapsamında, genel olarak faaliyetlerin sürdürülmesi, sağlık hizmeti sunumu, fonksiyonel tıp danışmanlığı, diyetisyen takibi, hukuki yükümlülüklerinin yerine getirilmesi, çalışan haklarının planlanması, kitap satışı, kurs ve eğitim hizmetlerinin gerçekleştirilmesi, iş ortakları ile süreçlerin işletilebilmesi amacıyla fiziki yahut elektronik ortamlarda güvenli bir biçimde Kanun ve ilgili mevzuatta belirtilen sınırlar çerçevesinde işlenir.

Kişisel verileri işleme amaçlarımız, Dr. Mustafa M. Atasoy Kişisel Verilen Korunması ve İşlenmesine İlişkin Aydınlatma Metni ile Dr. Mustafa M. Atasoy / FTA Kişisel Verilen Korunması ve İşlenmesine İlişkin Aydınlatma Metni kapsamında ayrıntılı olarak belirtilmiştir.

• Saklamaya İlişkin Açıklamalar

Faaliyetlerimiz çerçevesinde işlenen kişisel veriler, ilgili mevzuatta öngörülen veya işleme amaçlarımıza uygun süre kadar saklanır.

Kişisel verileri güvenli bir şekilde saklamak ve hukuka aykırı işlenmesini ve erişilmesini önlemek için Dr. Mustafa M. Atasoy olarak aldığımız teknik ve idari tedbirlere ilişkin açıklama ve bilgilendirme Dr. Mustafa M. Atasoy Kişisel Verilen Korunması ve İşlenmesine İlişkin Aydınlatma Metni ile Dr. Mustafa M. Atasoy / FTA Kişisel Verilen Korunması ve İşlenmesine İlişkin Aydınlatma Metni’nde ayrıntılı olarak belirtilmiştir.

• Saklamayı Gerektiren Hukuki Sebepler

Faaliyetlerimiz çerçevesinde işlenen kişisel veriler, ilgili mevzuatta öngörülen süre kadar muhafaza edilir. Bu kapsamda kişisel veriler;

• 6698 Sayılı Kişisel Verilerin Korunması Kanunu
• 1219 Sayılı Tababet ve Şuabatı San’atlarının Tarzı İcrasına Dair Kanun
• 6098 Sayılı Türk Borçlar Kanunu
• 4857 Sayılı İş Kanunu
• 359 sayılı Sağlık Hizmetleri Temel Kanunu,
• 663 sayılı Sağlık Bakanlığı ve Bağlı Kuruluşlarının Teşkilat ve Görevleri Hakkında Kanun Hükmünde Kararname
• Ayakta Teşhis ve Tedavi Yapılan Özel Sağlık Kuruluşları Hakkında Yönetmelik
• Kişisel Sağlık Verileri Hakkında Yönetmelik
• İlgili diğer düzenlemeler ve bu kanunlar uyarınca yürürlükte olan diğer ikincil düzenlemeler

Çerçevesinde öngörülen saklama süreleri sonuna kadar saklanmaktadır.

 

 

• Saklamayı Gerektiren İşleme Araçları

Paylaştığınız hem özel nitelikteki kişisel veriler hem de genel nitelikteki kişisel veriler;

• 3359 sayılı Sağlık Hizmetleri Temel Kanunu, 1219 sayılı Tababet ve Şuabatı Sanatlarının Tarzı ve İcrasına Dair Kanun, 663 sayılı Sağlık alanında bazı düzenlemeler hakkında Kanun Hükmünde Kararname, Ayakta Teşhis ve Tedavi Yapılan Özel Sağlık Kuruluşları Hakkında Yönetmelik, Kişisel Verilerin Korunması Kanunu, Kişisel Sağlık Verileri Hakkında Yönetmelik ve ilgili diğer düzenlemelerde yer alan hukuki yükümlülüklerimizi yerine getirme,
• Kamu sağlığının korunması, koruyucu hekimlik, sağlık hizmeti sunumuna yönelik tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri sunumu,
• Online danışmanlık hizmeti sunumu,
• Eğitim hizmetleri sunumu,
• İlgili mevzuat kapsamında saklanması gereken sağlık verilerinize ilişkin bilgileri muhafaza etme,
• Kolluk Kuvvetleri, Mahkemeler, İcra Müdürlükleri, SGK, İŞKUR, elçilikler gibi resmi makamların yazılı taleplerine cevap verilmesi, ilgili mevzuat uyarınca Sağlık Bakanlığı ve diğer kamu kurum ve kuruluşları ile talep edilen bilgileri paylaşma,
• Kamu güvenliğine ilişkin hususlarda ve hukuki uyuşmazlıklarda, talep halinde ve mevzuat gereği savcılıklara, mahkemelere ve ilgili kamu görevlilerine bilgi verilmesi, hukuki süreçlerin yerine getirilmesi, ileride doğabilecek hukuki uyuşmazlıklarda ispat yükümlülüğünün yerine getirilebilmesi amacıyla delil olarak kullanılması,
• Muayenehanemiz adına muhtelif işlerin yürütülmesi amacıyla üst yönetim tarafından vekil tayin edilen çalışanlara vekaletname hazırlanması ve noterliklere onaylatılması,
• Sağlık hizmetlerin sunumu için finansman planlaması ve yönetilmesi, fatura tanzimi,
• Finans ve Muhasebe işlemlerinin yürütülmesi,
• Muayenehanemiz veri güvenliği kapsamında tüm gerekli teknik ve idari tedbirlerin alınması,
• Muayenehanemiz iç işleyişinin planlanması ve yönetilmesi, hizmetlerin geliştirilmesi, analiz yapma, risk yönetimi ve kalite süreçlerinin değerlendirilmesi,
• Suistimal ve yetkisiz işlemlerin izlenmesi ve engellenmesi,
• Randevu almanız halinde randevu hakkında sizi haberdar edebilme,
• Kimliğinizin doğrulanması,
• Kanuni ve sözleşmesel yükümlülüklerin yerine getirilmesi, imzalanan sözleşmeler ve protokoller neticesinde iş ve işlemlerin ifa edilebilmesi,
• Muayenehanemiz ile anlaşmalı olan kurumlarla ilişkinizi teyit edilmesi, sigortalısı olduğunuz sigorta şirketleri ya da üyesi olduğunuz anlaşmalı kurumlar ile sunulan sağlık hizmetinin finansmanı kapsamında talep ettikleri bilgilerin paylaşılması,
• Sağlık hizmetlerimize yönelik her türlü soru ve şikâyetinize cevap verilebilmesi,
• Hasta memnuniyetin ölçülmesi ve hasta memnuniyetinin geliştirilmesi, çalışanlarımızı eğitme ve geliştirme,
• İlaç veya tıbbi cihaz temini, malzeme ve laboratuvar süreçlerinin yerine getirilmesi,
• Risk yönetimi ve kalite geliştirme aktivitelerinin yerine getirilmesi,
• Pazarlama, Medya ve İletişim bölümleri tarafından kampanyalara katılım ve kampanya bilgisi verilmesi, pazarlama, tanıtım ve sair amaçlar ile web ve mobil kanallarda özel içeriklerin, somut ve soyut faydaların tasarlanması ve iletilebilmesi,
• Muayenehanemizin insan kaynakları politikalarının yürütülmesinin temini amacıyla da; çalışanlarımızın verileri, İş Kanunu ve çalışma ve sosyal güvenlik mevzuatı, iş sağlığı ve güvenliği ile yürürlükte olan diğer mevzuatın öngördüğü zorunlulukların ve faaliyetlerin mevzuata uygun yürütülmesinin yanı sıra performans düzeyini ve çalışan memnuniyetini arttırmak ve iş barışının sağlanması, özlük dosyasının oluşturulması,
• Çalışanların mesleki ve kişisel gelişimlerinin sağlanması için gerekli olan eğitimlerin verilmesi, çalışanların oryantasyonu,
• Muayenehanemizin güvenliğinin sağlanması, fiziksel mekan güvenliğinin temini,
• Bilgi güvenliği süreçlerinin yürütülmesi,
• İşlem güvenliğinin sağlanması,

Amaçlarıyla işlenebilecektir.

• İmhayı Gerektiren Sebepler

Kişisel veriler;

• Kişisel verilerin işlenmesine, saklanmasına ve imhasına esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi ve yürürlükten kaldırılması,
• Kişisel verilerin işlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,
• Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin rızasını geri alması,
• İlgili kişinin, kanuni haklar çerçevesinde kişisel verilerinin silinmesi veya yok edilmesi talebinin veri sorumlusu tarafından incelenerek uygun görülmesi,
• Veri sorumlusunun, ilgili kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabın yetersiz bulunması veya Kanun’da öngörülen süre içince cevap vermemesi hallerinde; Kurul’a şikayette bulunulması ve bu talebin Kurul tarafından uygun bulunması,
• Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olmasına rağmen, kişisel verileri daha uzun süre saklamayı gerektirecek herhangi bir şartın olmaması,

durumlarında Dr. Mustafa M. Atasoy tarafından resen ya da ilgili kişinin talebi üzerine silinir, yok edilir, veya anonim hale getirilir.

5. KİŞİSEL VERİLERİN İMHA TEKNİKLERİ

Dr. Mustafa M. Atasoy, kişisel verileri ancak ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza etmektedir. Bu kapsamda, öncelikle ilgili mevzuatta kişisel verilerin saklanması için bir süre öngörülüp öngörülmediği tespit edilmekte, bir süre belirlenmişse bu süreye uygun davranılmakta, bir süre belirlenmemişse kişisel verilerin işlendikleri amaç için gerekli olan süre kadar saklanmaktadır. Sürenin bitimi veya işlenmesini gerektiren sebeplerin ortadan kalkması halinde, Dr. Mustafa Atasoy resen veya ilgilinin başvurusu üzerine kişisel verileri işbu Politika’ya göre silmekte, yok etmekte ve anonim hale getirmektedir.

Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesi ile ilgili yapılan bütün işlemler kayıt altına alınır ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az 3 (üç) yıl süreyle saklanır.

• Kişisel Verilerin Silinmesi

Kişisel verilerin silinmesi, kişisel verilerin hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Silinen verilere, veri sorumlusu hariç olmak üzere, ilgili kullanıcılar tarafından ulaşılamaz ve kullanılamaz. İlgili kişi, verinin saklanmasından, depolanmasından ve yedeklenmesinden sorumlu kişiler haricinde diğer tüm çalışanlardır. Silme işlemi, ilgili kullanıcının kişisel veriye hiçbir şekilde erişememesi, üzerinde herhangi bir işlem yapamaması, düzeltip değiştirememesi, silememesi, aktaramaması, görüp okuyamaması, paylaşamaması gibi kişisel veri işleme faaliyetlerinden hiçbirisini gerçekleştiremeyecek hale getirilmesi işlemidir. Kısaca, silme, doğrudan bir silme değil, işlenmiş olan kişisel verinin saklanması, depolanması, korunma amacıyla yedeklenmesi ve arşivlenmesidir.

Dr. Mustafa M. Atasoy, kendi organizasyonu içerisindeki ilgili iş biriminin kişisel verilerin işlenmesi için gerekli olan amacı ve saklama süresi sona erdikten sonra, bu iş biriminin (ilgili kullanıcı) ilgili kişisel verileri işlemesini engelleyecek teknik ve idari tedbirleri alır. Dr. Mustafa M. Atasoy organizasyonu içerisindeki diğer iş birimlerinin aynı kişisel veri için gerekli olan işleme amaçları ve saklama süreleri sona ermeden ilgili kişisel veriler silinemez, yok edilemez veya anonim hale getirilemez.

Kişisel verinin varlığı sözleşmesel, ticari, hukuki, idari işlemler gereğince doğması muhtemel hak taleplerine ilişkin ise söz konusu işleme ilişkin zamanaşımı süresince veriler muhafaza edilir. Bu konuda talep ve politikamız arasında bir çelişki doğması halinde çelişkinin giderilmesi amacıyla Kurum’a yazılı başvuru yapılır ve ilke kararı doğrultusunda işlem yapılır.

Erişim yetki ve kontrol matrisi ya da benzer bir sistem kullanarak her bir kişisel veri için ilgili kullanıcılar tespit edilir ve kullanıcıların erişim, geri getirme, tekrar kullanma gibi yetkilerinin ve yöntemlerinin tespiti yapılır. Akabinde ilgili kullanıcıların kişisel veriler kapsamındaki erişim, geri getirme, tekrar kullanma yetki ve yöntemlerinin kapatılması ve ortadan kaldırılmasına ilişkin işlem gerçekleştirilir.

Kişisel verilerin silinmesi işlemi, silinmesi gerekmeyen diğer verilere de sistem içerisinde erişilememe ve bu verileri kullanamama sonucunu doğuracak ise;

1. Kişisel verilerin anonim hale getirilerek arşivlenmesi veya
2. Başka herhangi bir kurum, kuruluş veya kişinin erişimine kapalı olması ve kişisel verilere yalnızca yetkili kişiler tarafından erişilmesini sağlayacak şekilde gerekli her türlü teknik ve idari tedbirlerin alınması,

kaydıyla kişisel veriler silinmiş sayılacaktır.

Kişisel veriler aşağıdaki tabloda belirtilen yöntemlerle silinir.

 

 

 

 

Veri Kayıt Ortamı	Açıklama
Sunucularda Yer Alan Kişisel Veriler	Sunucularda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler için sistem yöneticisi tarafından ilgili kullanıcıların erişim yetkisi kaldırılarak silme işlemi yapılır.
Elektronik Ortamlarda Yer Alan Kişisel Veriler	Elektronik ortamda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, veri tabanı yöneticisi hariç diğer çalışanlar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. İşletim sağladığı silme komutları (del, remove-item, rm gibi) kullanılarak ya da bu komutları uygulayan yazılımlar kullanılarak silinir. İlgili kullanıcının silinmesi yeterlidir.
Fiziksel Ortamda Yer Alan Kişisel Veriler ve Kağıt Ortamında Yer Alan Kişisel Veriler	Fiziksel ortamda tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler için evrak arşivinden sorumlu birim yöneticisi hariç diğer çalışanlar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. İlgili kullanıcının erişemeyeceği ve girip inceleme yapamayacağı arşiv / saklama / depolama alanlarında ya da bu alanların ilgili bölümlerinde depolanmalıdır. İlgili kullanıcılar bu muhafaza alanlarına girmemeli ve içeride bulunan kişisel veriler üzerinde herhangi bir işlem yapmamalıdır. Ya da saklama / depolama / arşiv alanlarının belirli bölümlerinde yine arşiv sorumluları haricinde hiç kimsenin erişemeyeceği kilitli alanlarda muhafaza edilerek silme işlemi gerçekleştirilmelidir.
Taşınabilir Medyada Yer Alan Kişisel Veriler	Flash tabanlı saklama ortamlarında tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler, sistem yöneticisi tarafından şifrelenerek ve erişim yetkisi sadece sistem yöneticisine verilerek şifreleme anahtarlarıyla güvenli ortamlarda saklanır.
Bulut Ortamında Yer Alan Kişisel Veriler	Bulut işletim sisteminde saklanan kişisel veriler elektronik ortamlarda kişisel verilerin silinmesine benzer bir biçimde bulut işletim sisteminin sağladığı silme komutları (del, remove – item, rm gibi), kullanılarak ya da bu komutları uygulayan yazılımlar kullanılarak ilgili kişisel veriler silinebilir. Bulut ortamına erişim için kullanılan şifreleme anahtarının değiştirilmesi yolu ile kullanıcıların söz konusu ortama erişimini kaldırarak da silme işlemi gerçekleştirilebilir.

 

GDPR uygulama alanında olan Hizmet Alanlar ve ilgili kişiler açısından GDPR hükümleri kapsamında silme hakkı ile bağlantılı olan unutulma hakkı ölçülülük ilkesi dikkate alınarak ilgili kişisel verinin toplanma ve işlenme amacı ve gerekliliği, meşru bir gerekçe olup olmadığı, hukuka aykırı veri işleme olduğu, çocuklar gibi hassas gruplara ilişkin veriler ile bağlantılı olduğu hususlar ile değerlendirilecektir.

Ayrıca GDPR uygulama alanında olan Hizmet Alanlar ve ilgili kişiler açısından veri işleme kısıtlama hakkı da şartları mevcut ve KVKK açısından mümkün olduğu takdirde aşağıdaki hallerde verinin kısıtlanması talep edilebilir.

Bu haller şunlardır;

• Kişisel verinin doğruluğuna itiraz ettiği durumlarda ilgili itirazın incelenmesi süresi boyunca,
• İşleme faaliyetinin yasa dışı olması durumunda kişinin verinin silinmesini değil verinin kısıtlanmasını talep ettiği durumlarda,
• İşleme amacı açısından artık ilgili kişisel veriye ihtiyaç duyulmaması ancak ilgili kişinin hukuki bir iddia için bu verilere ihtiyacı olduğu durumlarda,
• İlgili kişinin bir itirazı olduğunda veri sorumlusunun meşru gerekçesi ile ilgili kişinin meşru gerekçesinin değerlendirilmesi durumlarında bu değerlendirme süreci kadar,

GDPR uygulama alanında olan Hizmet Alanlar ve ilgili kişiler açısından GDPR hükümleri kapsamında veri taşınabilirliği hakkı ölçülülük ilkesi dikkate alınarak somut talebe göre değerlendirilecektir. Veri sorumlusu olarak Mustafa M. Atasoy’un meşru bir çıkarı olduğu durumlarda veya yasal bir yükümlülüğün yerine getirilmesi durumlarında veri taşınabilirliği hakkı uygulanamayacaktır.

GDPR kapsamında ilgili kişilerin unutulma hakkı, veri kısıtlama hakkı, veri taşınabilirliği hakkına ilişkin açıklamalar verilerin yok edilmesi ve anonimleştirilmesi bölümleri için de geçerlidir.

 

 

 

 

 

 

 

 

 

 

• Kişisel Verilerin Yok Edilmesi

Kişisel verilerin yok edilmesi, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.

Veri Kayıt Ortamı	Açıklama
Fiziksel Ortamda Yer Alan Kişisel Veriler	Kağıt ortamında yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, kağıt kırpma makinelerinde geri döndürülemeyecek şekilde yok edilir. Kağıtlar taranarak elektronik ortama aktarılmış ise bulundukları elektronik ortam şartlarına göre de manyetize etme, fiziksel yok etme veya üzerine yazma yöntemlerinden uygun olan seçilerek yok etme işlemi gerçekleştirilir. Ayrıca, üzeri okunamayacak şekilde çizilerek / boyanarak / silinerek karartma işlemi de uygulanır. Karartma işlemi, ilgili evrak üzerindeki kişisel verilerin, mümkün olan durumlarda kesilmesi, mümkün olmayan durumlarda ise geri döndürülemeyecek ve teknolojik çözümlerle okunamayacak şekilde sabit mürekkep kullanılarak ilgili kullanıcılara görünemez hale getirilmesi şeklinde yapılır.
Optik / Manyetik Medyada Yer Alan Kişisel Veriler	Optik medya ve manyetik medyada yer alan kişisel verilerden saklanmasını gerektiren süre sona erenlerin eritilmesi, yakılması veya toz haline getirilmesi gibi fiziksel olarak yok edilmesi işlemi uygulanır. Ayrıca, manyetik medya özel bir cihazdan geçirilerek yüksek değerde manyetik alana maruz bırakılması suretiyle üzerindeki veriler okunamaz hale getirilir.

 

 

• Kişisel Verilerin Anonim Hale Getirilmesi

Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir. Dr. Mustafa M. Atasoy tarafından kişisel verilerin anonim hale getirilmiş olması için; veri sorumlusu, alıcı veya alıcı grupları tarafından; geri döndürme ve verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kişisel verilerin kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekir.

Kişisel verilerin hangi hallerde anonimleştirileceği ve anonimleştirme işlemi için hangi yöntemin seçileceği işlemin özelliklerine göre veri sorumlusu tarafından belirlenir ve bu doğrultuda gerekli olan teknik tedbirler alınır.

Anonimleştirme yöntemi seçilirken; verinin niteliği, verinin büyüklüğü, verinin fiziki ortamlarda bulunma yapısı, verinin çeşitliliği, veriden sağlanmak istenen fayda / işleme amacı, verinin işlenme sıklığı, verinin aktarılacağı tarafın güvenilirliği, verinin anonim hale getirilmesi için harcanacak çabanın anlamlı olması, verinin anonimliğinin bozulması halinde ortaya çıkabilecek zararın büyüklüğü, etki alanı, verinin dağıtıklık / merkezilik oranı, kullanıcıların ilgili veriye erişim yetki kontrolü, anonimliği bozacak bir saldırı kurgulanması ve hayata geçirilmesi için harcayacağı çabanın anlamlı olması ihtimali dikkate alınır.

• Anonimleştirme Teknikleri

1. Maskeleme

Kişisel verinin bazı alanlarına silme veya yıldızlama işlemi gerçekleştirilerek kişinin belirlenemez hale getirilmesidir. Örnek; TC kimlik numarasının bir kısmının yıldızlanması (19*********).

1. Toplulaştırma / Kümülatif Data Yaratma

Verilerin kümülatif hale getirilmesi ve akabinde toplam değerlerinin yansıtılmasını ifade eder. Örnek; Başvuran kadın hastaların X kadar olması ve sayının %30’unun üniversite mezunu, %70’inin yüksek lisans mezunu olması gibi.

1. Veri Türetme

Mevcutta bulunan detaylı verilerin değiştirilerek daha genel verilerin elde edilmesidir. Örnek; Doğum tarihi bilgisinin gün/ay/yıl detayları yerine yaş aralığı şeklinde yazılması (20-25 yaş) gibi.

1. Veri Karması

Veri kümesi içinde değerlerin karıştırılması ve akabinde toplam faydaya hasar vermeden kişilerin tespit edilebilme özelliğinin yok edilmesini ifade eder. Örnek; Yaş ortalaması alınmak istenen bir toplulukta kişilerin yaşlarını gösteren değerlerin birbirleri ile değiştirilerek veri karması yapılıp o kişiye ulaşılmasının ortadan kaldırılması gibi.

 

 

 

 

 

 

 

 

 

6. SAKLAMA VE İMHA SÜRELERİ

Kişisel verilerin saklanma süresi belirlenirken yasal düzenlemelerin getirdiği yükümlülükler göz önüne alınmaktadır. Yasal düzenlemeler dışında, kişisel verilerin işlenme amaçları dikkate alınarak saklama süresi belirlenmektedir. Veri işleme amacının ortadan kalkması halinde, verilerin tutulmasına olanak sağlayan başka bir hukuki sebep veya dayanak bulunmadığı sürece veriler silinir, yok edilir veya anonim hale getirilir.

Kişisel verilerin işlenme amacı sona ermiş; ilgili mevzuat ve Dr. Mustafa M. Atasoy’un belirlediği saklama sürelerinin de sonuna gelinmişse; kişisel veriler yalnızca olası hukuki uyuşmazlıklarda delil teşkil etmesi veya kişisel veriye bağlı ilgili hakkın ileri sürülebilmesi veya savunmanın tesis edilmesi amacıyla saklanabilmektedir. Buradaki sürelerin tesisinde bahsi geçen hakkın ileri sürülebilmesine yönelik zamanaşımı süreleri ile zamanaşımı sürelerinin geçmesine rağmen daha önce aynı konularda yöneltilen emsal taleplerdeki örnekler esas alınarak saklama süreleri belirlenmektedir. Söz konusu süreler aşağıdaki tabloda gösterilmektedir. Bu süreler sona erdikten sonra kişisel veriler silinmekte, yok edilmekte veya anonim hale getirilmektedir.

Söz konusu kişisel verinin saklanmasına ilişkin olarak, mevzuatta öngörülen sürenin sona ermesi veya ilgili mevzuatta söz konusu verinin saklanmasına ilişkin olarak herhangi bir süre öngörülmemiş olması durumunda, veriler, veri sorumlusu tarafından, 6 aylık periyodlarda silinir, yok edilir ya da anonim hale getirilir.

Kurum tarafından aksine bir karar alınmadıkça, kişisel verileri silme, yok etme veya anonim hale getirme yöntemlerinden uygun olanı Dr. Mustafa M. Atasoy tarafından seçilir.

İlgili kişi Dr. Mustafa M. Atasoy’a başvurarak kendisine ait kişisel verilerin silinmesini veya yok edilmesini talep ettiğinde ilgili talep kişisel verilerin işleme şartlarının kalkıp kalkmadığına göre değerlendirilir. Kişisel verilerin işleme şartları tamamen ortadan kalkmışsa Dr. Mustafa M. Atasoy talebe konu kişisel verileri siler, yok eder veya anonim hale getirir. Kişisel verilerin işleme şartları tamamı ortadan kalkmamışsa ilgili talep gerekçesi açıklanarak reddedilir. Talepler her durumda 30 gün içinde sonuçlandırılarak ilgili kişiye bildirilir.

VERİ TİPİ DETAYLARI	SAKLAMA SÜRESİ	İMHA SÜRESİ
Hasta / Danışana İlişkin Veriler (ad soyad, TC No, doğum tarihi, tıbbi bilgiler, sağlık verisi ile bağlantılı cinsel hayat verileri ve genetik veriler, din verisi, telefon, e-posta, beslenme alışkanlığı, sosyal hayat bilgileri, boy – kilo, adres, pasaport no, medeni durum / partner bilgisi, iş ve aile hayatına ilişkin bilgiler, online danışmanlık hizmetlerinde; görüntü, ses, görüşme kapsamında geçen veriler,)	Hasta / Danışan ile hukuki ilişkinin sona ermesinden itibaren 20 yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Hasta / Danışana İlişkin Ödeme Araçları Bilgisi (IBAN, hesap numarası, müşteri banka numarası)	Hasta / Danışan ile hukuki ilişkinin sona ermesinden itibaren 10 yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Hasta Yakını / Danışan Yakını (telefon, e-posta)	Hasta dosyasının bir parçası olduğundan Hasta Yakını / Danışan Yakını ile hukuki ilişkinin sona ermesinden itibaren 20 yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Hasta / Danışan Adayına İlişkin Veriler (ad soyad, telefon, e-posta, doğum tarihi, tıbbi bilgiler)	Randevu değerlendirme sonucuna kadar, hastaya randevu verilmez ise tüm kayıtlar silinir.	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
İnsan Kaynakları Süreçlerinin Yürütülmesi / Çalışanlara İlişkin Veriler ( ad soyad, TC No, nüfus cüzdan fotokopisi, din bilgisi (eski TC kimliği olan çalışanlarda) özgeçmiş bilgileri, resmi yerleşim yeri bilgisi, cep ve ev telefonu, muayenehane tarafından tahsil edilmiş telefon, kişisel e-posta adresi ve muayenehane e-posta adresi, , agi hesaplaması, ehliyet bilgileri, kan grubu, banka hesap numarası bilgileri, doğum tarihi, cinsiyet, ücret verisi, medeni durum, doğum yeri bilgisi, uyruk, öğrenim durumu, mezuniyet bilgileri, işe başlama tarihi, sosyal güvenlik numarası, işgörmezlik rapor bilgileri, yabancı dil bilgisi, çocuk bilgisi, referans verisi, eğitim ve tecrübe bilgileri)	İş ilişkisinin sona ermesinden itibaren 10 yıl       Referans verisi işe başladıktan itibaren 1 yıl   Çocuk verisi, ehliyet ve ev telefonu verisi çalışma süresi boyunca	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
İnsan Kaynakları Süreçlerinin Yürütülmesi / Çalışanlara İlişkin Veriler (acil durumlarda bilgi verileceklerin iletişim bilgileri)	Çalışma süresi boyunca	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Çalışan Adayına İlişkin Veriler (ad soyad, telefon, referans, özgeçmiş bilgileri)	İş ilişkisinin sona ermesinden itibaren 1 yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Hizmet Alınan Şahıs Şirketi Yetkilisine İlişkin Veriler (ad soyadı, TC No, şirket e-posta adresi, iş telefonu / kişisel cep telefonu, adres)	Sözleşmesel ilişkinin sona ermesinden itibaren 10 yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Hizmet Alınan Tüzel Kişi Yetkilisine İlişkin Veriler (ad soyad, TC No, şirket e-posta adresi, iş telefonu / kişisel cep telefonu, adres)	Sözleşmesel ilişkinin sona ermesinden itibaren 10 yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Kurs Katılımcısına İlişkin Veriler (ad soyad, banka hesap numarası bilgileri, adres, e-posta, telefon,)	İlişkinin sona ermesinden itibaren 20 yıl   Banka hesap numarası bilgileri ilişkinin sona ermesinden itibaren 10 yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Eğitmene İlişkin Veriler (ad soyad, adres, e-posta, telefon, banka hesap bilgileri, özgeçmiş bilgisi)	İlişkinin sona ermesinden itibaren 10 yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Eğitmene İlişkin Veriler (görsel ve işitsel kayıtlar)	Kurs modüllerinin yayında kaldığı süre boyunca ve sonrasında 10 yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Kitap Satışı / Müşteriye İlişkin Veriler (ad soyad, adres, e-posta, telefon, )	Kitap satışından itibaren 5 yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
İlgili Kişiye İlişkin Veriler (adli makamlar ile yapılan yazışmalardaki bilgiler)	Hukuki ilişkinin sona ermesinden itibaren 20 yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Websitesi Ziyaretçisine İlişkin Veriler / Pazarlama Verileri (çerez kayıtları, IP adresi, log kayıtları)	Web sitesi ziyaretinin sona ermesinden itibaren çerez kayıtları 2 yıl, IP adresi ve log kayıtları 10 yıl	Saklama süresinin bitimini takip eden ilk periyodik imha süresinde

 

7. PERİYODİK İMHA SÜRESİ

Dr. Mustafa M. Atasoy, imha süresini 6 ay olarak belirlemiştir. Buna göre, her yıl Haziran ve Aralık ayında düzenli olarak periyodik imha işlemi gerçekleştirilmektedir.

8. SON HÜKÜMLER

Bu Politika 30.12.2021 tarihinde onaylanmıştır. Bu tarih itibariyle geçerli ve bağlayıcı olacaktır.

Dr. Mustafa M. Atasoy Kişisel Verilerin Korunması ve İşletilmesi Politikası işbu Politika’nın eki ve ayrılmaz parçasıdır.

İşbu politikanın duyurulması ve yürütülmesi veri sorumlusu yetkili Mustafa M. Atasoy tarafından gerçekleştirilecektir.

 

DOKÜMAN TARİHÇESİ

 

Versiyon	Yayın Tarihi	Değişiklik Tanımı

 

Hazırlayan	İnceleyen	Onaylayan