MEDİKAL ARAMA KURTARMA DERNEĞİ (DERNEK)
KİŞİSEL VERİLERİ SAKLAMA VE İMHA POLİTİKASI
- GİRİŞ
- AMAÇ VE KAPSAM
- GENEL UYGULAMA ESASLARI
- TANIMLAR VE KISALTMALAR
- KAYIT ORTAMLARI
- KİŞİSEL VERİLERİN İŞLENMESİNE DAİR TEMEL KAVRAMLARA DERNEĞİMİZİN YAKLAŞIMI
- Verisi Koruma Altında Olan İlgili Kişi
- İlgili Kişilerin Açık Rızasının Alınması
- Uygulamaya Konu Kişisel Veriler
- Uygulamaya Konu Kişisel Verilerin İşlenmesi
- Açık Rızanın Var Olması Halinde Kişisel Verilerin İşlenmesi
- Otomatik Veri İşleme
- Otomatik Olmayan Yollarla Veri İşleme
- Açık Rıza Yokluğunda Kişisel Verilerin İşlenmesi
- Açık Rızanın Var Olması Halinde Kişisel Verilerin İşlenmesi
- Kişisel Verilerin Silinmesi, Yok Edilmesi ve Anonim Hale Getirilmesi
- KİŞİSEL VERİLERİN İŞLENMESİNE DAİR TEMEL İLKELERE DERNEĞİMİZİN YAKLAŞIMI
- Genel
- Hukuka ve Dürüstlük Kuralına Uygunluk
- Doğru ve Güncel Olma
- Belirli, Açık ve Meşru Amaçlar İçin Veri İşleme
- Amaçla Bağlantılı, Sınırlı ve Ölçülü Veri İşleme
- Mevzuatta Öngörüldüğü veya Amaç İçin Gerekli Süre Kadar Muhafaza
- KİŞİSEL VERİLERİN İŞLENME ŞARTLARI
- KVKK Kapsamında Genel Olarak Kişisel Verilerin İşlenebileceği Şartlar
- KVKK Kapsamında Genel Olarak Özel Nitelikli Kişisel Verilerin İşlenebileceği Şartlar
- Derneğimizin Veri İşleme Amaçları
- SORUMLULUK VE GÖREV DAĞILIMLARI
- VERİ SORUMLULULARI SİCİLİNE KAYIT VE BİLDİRİM YÜKÜMLÜLÜĞÜ
- KİŞİSEL VERİLERİN AKTARILMASI KONUSUNDA YAKLAŞIMLAR
- Genel
- Kişisel Verilerin Yurt İçinde ve Yurt Dışına Aktarılması
- KİŞİSEL VERİLERİN SAKLANMASI
- KİŞİSEL VERİLERİN GÜVENLİĞİNİN SAĞLANMASI
- KİŞİSEL VERİLERİN İMHASI
- İmhayı Gerektiren Durumlar
- Kişisel Verilerin Silinmesi
- Kişisel Verilerin Yok Edilmesi
- Kişisel Verilerin Anonim Hale Getirilmesi
- SAKLAMA VE İMHA SÜRELERİ
- VERİ SAHİBİNİN KİŞİSEL VERİLERİNİN SİLİNMESİ, YOK EDİLMESİ VEYA ANONİM HALE GETİRİLMESİ TALEBİ ÜZERİNE UYGULANACAK SÜREÇLER
- KİŞİSEL VERİ SAHİBİNİN HAKLARI
- Genel
- Derneğimize Yapılacak Başvurular
- Başvuru ve Cevap Usulü
- Başvuru Maliyetine İlişkin Esaslar
- PERİYODİK İMHA SÜRESİ
- POLİTİKA’NIN YAYINLANMASI VE SAKLANMASI
- POLİTİKA’NIN GÜNCELLENME PERİYODU
- POLİTİKA’NIN YÜRÜRLÜĞÜ VE YÜRÜRLÜKTEN KALDIRILMASI
- GİRİŞ
Kişisel verilerin korunması, Medikal Arama Kurtarma Derneği (“DERNEK” veya “Dernek”) için büyük önem arz etmekte olup, Derneğimiz tarafından bu konuda azami hassasiyet gösterilmektedir. Bu doğrultuda, kişisel verilerin kişilerin beklentileri ile tutarlı bir şekilde ve yasalara uygun olarak işlenmesi, Derneğimizin temel yapı taşlarından biridir.
DERNEK olarak üyelerimizin, derneğimizden faydalananların, çalışanlarımızın, çözüm ortaklarımızın ve her ne sebeple olursa olsun bizle iletişim halinde olan diğer tüm ilgililerin kişisel verilerinin Türkiye Cumhuriyeti Anayasası, ülkemizin taraf olduğu Uluslararası Sözleşmeler ve 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) başta olmak üzere yürürlükteki tüm mevzuata uygun olarak işlenmesinde, saklanmasında ve imhasında gerekli tüm özeni göstermekteyiz.
Bu bakımdan tarafımız, Dernek faaliyetleri sırasında elde etmiş olduğumuz kişisel verileri başta Anayasa olmak üzere 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kısaca “KVKK” ve/veya ‘’Kanun’’ olarak anılacaktır.) Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik (Kısaca “Yönetmelik” olarak anılacaktır.) ve diğer ilgili mevzuata uygun şekilde hazırlanan işbu Kişisel Verileri Saklama ve İmha Politikası’nda (“Politika”) belirtilen genel prensipler ve düzenlemelere uygun şekilde saklamakta ve imha etmektedir.
- AMAÇ VE KAPSAM
Dernek faaliyetlerimizin sürdürülebilirliği ve verimliliği açısından çeşitli kişilerle düzenli olarak farklı iletişim araçları ile iletişim halinde olunması kaçınılmazdır. Birebir veya herhangi bir iletişim aracı vasıtasıyla (Sözlü iletişim, internet sitemizin kullanımı, sosyal medya araçları, çağrı merkezleri ve benzeri platformlar) çeşitli kişilerle iletişim halinde olmamız ve bu iletişim esnasında KVKK kapsamında olan bir takım kişisel verilerin tarafımızla paylaşılması söz konusu olabileceğinden, bu şekilde meydana gelen kişisel veri alışverişi işlemini belirli prensipler çerçevesinde düzenlemek gerekmektedir.
İşbu Politika ile DERNEK, KVKK kapsamındaki kişisel veri işleme faaliyetlerine konu gerçek kişi verilerinin saklanması ve imha edilmesine ilişkin Derneğimizin genel ilke ve prensiplerinin ortaya konulması olmak üzere bu hususlarla ilgili mevzuatla belirlenen yükümlülüklerin yerine getirilmesini hedeflemiştir.
İşbu Politika, DERNEK’ın kalite standartlarından ödün vermeden, dernek faaliyetlerinden istifade edenlerle, çalışanlarla ve diğer tüm ilgili kişilerle olan ilişkilerinin verimli ve sağlıklı olarak yürütebilmesi amacıyla otomatik veya otomatik olmayan yollarla işlenen her türlü verinin KVKK ve ilgili diğer tüm mevzuat kapsamında işlenmesi, kaydı ve bu bağlamda üçüncü kişilerle olan ilişkilerin yönetilmesi hususlarında bilgilendirme sağlar.
- GENEL UYGULAMA ESASLARI
İşbu Politika, Derneğimizin KVKK ile belirlenen amaç ve kapsam doğrultusunda uygulamada direkt kaynak olarak esas alınacaktır fakat Politika konusuna doğrudan uygulanabilir nitelikte bulunan mevzuat öncelikli olarak uygulama alanına sahiptir. Derneğimizin deklare ettiği işbu Politika metni ile mevzuat arasında herhangi bir uyumsuzluk olması durumunda, tarafımız mevzuatın direkt olarak uygulanacağını kabul eder ve bu konuda gerekli özeni gösterir.
Politika’nın uygulanabilirliği, mevzuata uyum açısından soyut uygulama ve Dernek içi teknik tedbirler açısından da somut uygulama olarak ikiye ayrılmaktadır. Soyut uygulamada, tarafımız, mevzuat hükümlerine tam uyumlu olarak tüm yükümlülükleri yerine getirme hususunda gerekli tüm tedbirleri almaktadır. Somut uygulama bakımından ise Derneğimiz, mevzuata uyumluluğun teknik olarak sağlanabilmesi için ihtiyaç duyulan teknik sistemleri, çalışanlarımız, çözüm ortaklarımız ve hizmet aldığımız üçüncü kişiler aracılığı ile temin etmekte olup, gerekli tüm hazırlıkları yapmaktadır.
Derneğimiz, kişisel verilerin korunması ile ilgili mevzuatta uygulama değişikliklerinin meydana gelmesi durumunda, yeni uygulamalara uyum sağlama konusunda gerekli tedbirlerin vakit kaybetmeksizin alınmasına özen gösterecektir. Bu kapsamda, Derneğimiz, kişisel veri mevzuatının uygulanması bakımından, dernek faaliyetinden istifade edenlere, çalışanlarına, çözüm ortaklarına ve kendisi ile iletişim halinde olan diğer tüm kişilere karşı güncel kalmayı görev bilir.
- TANIMLAR VE KISALTMALAR
İşbu Politika içerisinde yer alan tanımlara ek olarak aşağıda yer alan tanım ve kısaltmalar, yanlarında denk gelen açıklamayı ifade etmektedir.
Açık Rıza | Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza. |
Alıcı Grubu | Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisi. |
Anonim Hale Getirme | Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesi. |
Doğrudan Tanımlayıcılar | Tek başlarına, ilişki içinde oldukları kişiyi doğrudan açığa çıkaran, ifşa eden ve ayırt edilebilir kılan tanımlayıcılar. |
Dolaylı Tanımlayıcılar | Diğer tanımlayıcılar ile bir araya gelerek ilişki içinde oldukları kişiyi açığa çıkaran, ifşa eden ve ayırt edilebilir kılan tanımlayıcılar. |
İlgili Kullanıcı | Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişiler. |
İmha | Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi. |
Kanun | 6698 Sayılı Kişisel Verilerin Korunması Kanunu. |
Karartma
|
Kişisel verilerin bütününün, kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek şekilde üstlerinin çizilmesi, boyanması ve buzlanması gibi işlemlerdir. |
Kayıt Ortamı | Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam. |
Kişisel Veri | Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi. |
Kişisel Veri İşleme Envanteri | Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter. |
Kişisel Verilerin İşlenmesi | Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem. |
Kişisel Veri Sahibi | Kişisel verisi işlenen gerçek kişi. |
Kurul | Kişisel Verileri Koruma Kurulu. |
Maskeleme | Kişisel verilerin belli alanlarının, kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek şekilde silinmesi, üstlerinin çizilmesi, boyanması ve yıldızlanması gibi işlemler. |
Özel Nitelikli Kişisel Veri | Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir. |
Periyodik İmha | Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi. |
Sicil | Kişisel Verileri Koruma Kurumu Başkanlığı tarafından tutulan veri sorumluları sicili. |
Silme | Kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemi. |
Veri Kayıt Sistemi | Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi. |
Veri İşleyen | Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi. |
Veri Sorumlusu | (MEDAK) Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi. |
Yok Etme | Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemi. |
- KAYIT ORTAMLARI
DERNEK, KVKK kapsamındaki veri işleme faaliyetlerine konu tüm kişisel verileri, tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu ortamlarda saklamaktadır.
Kişisel verilerin saklanması için kullanılan kayıt ortamları genel itibariyle aşağıda sayılanlardır. Ancak, bir kısım veriler sahip oldukları özel nitelikler ya da hukuki yükümlülüklerimiz nedeniyle burada gösterilen ortamlardan farklı bir ortamda tutulabilir. DERNEK, her durumda veri sorumlusu sıfatıyla hareket etmekte ve Kişisel Verileri Koruma Kanunu ile diğer mevzuata ve işbu Kişisel Verileri Saklama ve İmha Politikası’na uygun olarak işlemek ve korumaktadır.
Kayıt Ortamları:
Yerel Matbu ortamlar : Verilerin kâğıt ya da mikrofilmler üzerine basılarak tutulduğu ortamlardır.
Yerel dijital ortamlar : DERNEK bünyesinde yer alan sunucular, sabit ya da taşınabilir diskler, optik diskler, mobil cihazlar, yazıcı, tarayıcı, fotokopi makinesi, e-posta hesapları, kişisel ya da masaüstü bilgisayarlar, DERNEK çalışanlarının araçları (örn. cep telefonu), yedekleme alanları gibi tüm dijital ortamlardır.
Bulut ortamlar : DERNEK bünyesinde yer almamakla birlikte, DERNEK kullanımında olan, kriptografik yöntemlerle şifrelenmiş internet tabanlı sistemlerin kullanıldığı ortamlardır.
- KİŞİSEL VERİLERİN İŞLENMESİNE DAİR TEMEL KAVRAMLARA DERNEĞİMİZİN YAKLAŞIMI
- Verisi Koruma Altında Olan İlgili Kişi
Derneğimiz, KVKK kapsamında tüzel kişilere ait kişisel verilerin korunması hususu düzenlenmediğinden, yalnızca gerçek kişilerin verilerinin korunması konusunda tedbirler almaktadır. İlgili kişilerin, KVKK düzenleme amacına uygun olarak verilerinin korunmasına, özel hayatın gizliliğine, mahremiyet hakkına ve bilgi güvenliğine saygı duymakta ve bu konuda gerekli tedbirleri özenle almaktadır.
KVKK kapsamında mevcut kişisel veri tanımı gereği, tüzel kişilere ait verilerin korunması ancak tüzel kişiye ait bir verinin herhangi bir gerçek kişiyi belirlemesi veya belirlenebilir kılması halinde söz konusu olmaktadır. Derneğimiz, bu bağlamda menfaati korunması gereken gerçek kişi için de gerekli tedbirleri almaktadır.
- İlgili Kişilerin Açık Rızasının Alınması
Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza şeklinde tanımlanan “açık rıza” kavramı kapsamında Derneğimiz, kişisel verileri ve özel nitelikli kişisel verileri, ilgili kişinin açık rızası olmadan işlemez ve üçüncü kişilere aktarmaz. Keza, kişisel verilerin yurtdışına aktarımı konusunda da Derneğimiz, KVKK ile tam uyumlu hareket eder.
Açık rıza kavramının unsurlarının iş hayatına yansımaları bakımından Derneğimiz gerekli tedbirleri alır. Bu bağlamda, açık rızanın belirli bir konuya ilişkin olmasından dolayı, Derneğimiz açık rıza öncesinde ilgili konuyu somutlaştırma yükümlülüğünü yerine getirir. Açık rızanın bilgilendirmeye dayalı olması kuralı gereğince, Derneğimiz, açık rıza konusu işleme ilişkin gerekli detaylı bilgilendirmeyi yapar ve yine açık rızanın özgür iradeyle açıklanması kapsamında kişisel veri açıklayan taraflara gerekli şeffaflığı sağlar.
Açık rızanın bilgilendirmeye dayanması hususunda, Derneğimiz, KVKK 10. madde kapsamında aydınlatma yükümlülüğünü eksiksiz olarak yerine getirmek üzere gerekli tedbirleri alır. Bu bağlamda, Derneğimiz, ilgili kişilere yönelik aydınlatma metinlerini hazırlar fiziki ya da elektronik olarak ilgililere sunulabilecek halde tutar.
- Uygulamaya Konu Kişisel Veriler
KVKK kapsamında belirli veya belirlenebilir nitelikteki bir kişiye ait her türlü bilgi olarak tanımlanan kişisel verinin, kişisel olmayan verilerden ayrı tutulmasına ilişkin olarak Derneğimiz gerekli özeni göstermektedir.
Derneğimiz, KVKK gereğince kişisel verinin belli bir kimsenin kimliği, etnik kökeni, fiziksel özellikleri, sağlık, eğitim, istihdam, ekonomik durumu, aile hayatı, haberleşmeleri, ikamet adresi, kredi kartı bilgileri, sosyal güvenlik numarası, T.C. kimlik numarası, pasaport numarası, özgeçmişi, resim, görüntü ve ses kayıtları, kişisel düşünce ve inançları, sosyal üyelikleri genetik ve sağlık verileri ve bunlarla sınırlı olmaksızın buna benzer hususlar olduğunun bilincindedir.
- Uygulamaya Konu Kişisel Verilerin İşlenmesi
- Açık Rızanın Var Olması Halinde Kişisel Verilerin İşlenmesi
Derneğimiz tarafından kişisel veriler, KVKK 2. maddesi ile uyumlu olarak tamamen veya kısmen otomatik olan veya herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenmektedir.
- Otomatik Veri İşleme
Derneğimizin çeşitli unsurları, her biri kendi amacına uygun olmak üzere, çeşitli yollarla veri işlemektedir. Bu bağlamda, bilgisayar, işlemci sahibi cihazlar, yazılım ve donanım özellikleri aracılığıyla önceden hazırlanan algoritmalar kapsamında insan müdahalesi olmadan kendiliğinden işlem yapma kabiliyetini haiz bilişim sistemlerimiz üzerinde otomatik veri işleme gerçekleşebilmektedir.
- Otomatik Olmayan Yollarla Veri İşleme
Derneğimiz, otomatik olmayan yollarla elde edilen verilerin işlenmesinin KVKK kapsamı dışında olmadığının bilincindedir. Bu bağlamda, kişisel veriler elektronik veya fiziki ortamda manuel olarak oluşturulabilmektedir ve amacımıza uygun olarak çeşitli kategorilerde sınıflandırılabilmektedir.
- Açık Rıza Yokluğunda Kişisel Verilerin İşlenmesi
Derneğimiz, İş, Vergi, Ticaret ve diğer ilgili mevzuat gereği birtakım verileri kanun hükmü uyarınca işleyebilmektedir. Aynı şekilde 6698 sayılı Kanunun 5. Maddesinin 2. Fıkrası kapsamında, fiili imkânsızlık, hakkın korunması, hakkın tesisi, hakkın kullanılması, meşru menfaat, kişi lehine veya kendiliğinden aleniyet kazandırma gibi durumlarda ve veri sorumlusu olarak hukuki yükümlülüklerin yerine getirilebilmesi için zorunlu olan veriler, KVKK sınırları içerisinde olmak üzere açık rıza yokluğunda da işlenebilmektedir.
- Kişisel Verilerin Silinmesi, Yok Edilmesi ve Anonim Hale Getirilmesi
Derneğimiz, çeşitli yollarla mevzuata uygun olarak elde ettiği kişisel verileri, ilgili mevzuatta belirlenen süre veya işlendikleri amaca uygun olarak gerekli olan süre kadar muhafaza etmektedir.
Kişisel verinin türüne göre Derneğimiz mevzuatta bu veriler için özel bir süre öngörülüp öngörülmediğini tespit eder ve mevcut ise öngörülen süre kadar veriyi yine mevzuatta belirlenen şartlar dâhilinde saklar. Herhangi bir sürenin öngörülmediği durumlarda ise Derneğimiz, amaca uygunluk kriteri kapsamında, ilgili verinin alınma amacının devamlılığı süresince veriyi saklar.
Mevzuatın öngördüğü bir sürenin olması halinde, ilgilinin sürenin sona ermesi ile birlikte veya herhangi bir süre öngörülmemişse, amacın gerçekleşmesi ile birlikte ilgili veriler Derneğimizce silinir, yok edilir veya anonim hale getirilir. Derneğimiz tarafından verilerin silinmesi ve yok edilmesi esnasında verilerin gizliliğine gelecekte zarar gelmemesi adına gerekli önlemler alınır.
Anonimleştirme söz konusu olduğunda ise anonimleştirmeye ilişkin temel tekniklerden bazıları olan maskeleme, toplulaştırma, veri türetme, veri karması gibi tekniklerinden, ilgili konuya uygun olanına göre gerekli işlemler yapılır.
- KİŞİSEL VERİLERİN İŞLENMESİNE DAİR TEMEL İLKELERE DERNEĞİMİZİN YAKLAŞIMI
- Genel
Derneğimiz, ulusal mevzuat gereği mevcut olan temel ilkelere ve uluslararası kabul görmüş ilkelere saygılı olarak veri işlemektedir. Derneğimiz, kişisel verileri, hukuka ve dürüstlük kurallarına uygun şekilde, belirli, açık ve meşru amaçlar kapsamında, doğru ve gerektiğinde güncel olma şartıyla, işlendikleri amaçla bağlantılı olma ve işlendikleri amaç için gerekli olan süre kadar muhafaza edilme koşullarına uygun olarak işlemektedir.
- Hukuka ve Dürüstlük Kuralına Uygunluk
Derneğimiz, kişisel verilerin işlenmesinde mevzuat ile getirilen ilkelere ve dolayısıyla hukuka uygun hareket eder. Aynı şekilde, Derneğimiz, veri işleme amacına uygun olarak ve nihai veri işleme hedefinden sapmadan, ilgili veri sahibi kişilerin çıkarlarını ve makul düzeydeki beklentilerini dürüstlük kuralı çerçevesinde gözeterek veri işler. Bu bağlamda, Derneğimiz, veri sahibi ile muhatap olurken yeteri derecede şeffaf hareket eder ve veri sahibini asgari olarak kanunun aradığı seviyede bilgilendirir.
Derneğimiz, haklarını kullanırken tüm faaliyetlerinde olduğu gibi, veri işleme faaliyetinde de Türk Medeni Kanunu’nun 2. maddesi gereği, güven kurallarına uygun ve makul bir kimseden beklenen şekilde davranır ve dürüstlük kuralından sapmaz. Bu kapsamda, ilgili kişilerin mümkün olan en az miktar verisi işlenir, veri sahiplerinin öngöremeyeceği tarzda davranışlar sergilenmez, veri sahiplerinin makul beklentileri gözetilir, özel hayatın gizliliği ihlal edilmez ve makul olmayan veriler ilgili kişiden talep edilmez.
- Doğru ve Güncel Olma
Derneğimiz, kişilerin kendisine doğru ve güvenilir bilgi sağlaması için gerekli kanalları tesis eder fakat kendisine sunulan bilginin salt doğruluğunu garanti edemez. Derneğimiz tarafından doğru bilgi yaklaşımı, veri sahibinin Derneğimize sağladığı verinin sağlandığı hali ile saklanması ve işlenmesidir. Kişiler tarafından yanlış sağlanan bilgiler neticesinde Derneğimizin uğrayacağı zararlara dair yasal hakları saklı olmakla birlikte, veri sahibinin veri aktarımı anında sağladığı bilginin olduğu gibi ve değişmeden saklanması konusunda Derneğimiz gerekli tedbirleri alır. Veri sahibinin, Derneğimizde mevcut verisini uygun iletişim kanalları vasıtasıyla güncelleyebilmesi için Derneğimiz gerekli olanakları sağlar. Bu kapsamda, veri sahibi, kişisel verisinin doğruluğu ve güncelliği ile ilgili Derneğimize ulaşabilir ve talepte bulunabilir.
Derneğimiz, kişisel verilerin doğru ve güncel tutulabilmesini teminen, kişisel verilerin elde edildiği kaynakların belirli olması, kişisel verilerin toplandığı kaynağın doğruluğunun makul ölçülerde test edilmesi, kişisel verilerin doğru olmamasından kaynaklı taleplerin göz önünde bulundurulması ve bu kapsamda makul önlemlerin alınması konularında gerekli özeni gösterir.
- Belirli, Açık ve Meşru Amaçlar İçin Veri İşleme
Derneğimiz, kişisel verileri işleme amaçlarını direkt olarak açıkladığı hukuki işlem ve metinlerde belirlilik ve açıklık ilkesine riayet eder ve metinlerini buna uygun olarak kaleme alır, kalem aldığı metinlerin anlaşılabilir olmasına özen gösterir. Bu kapsamda, işlenmeye konu veriler, meşru veriler olup, Derneğimizin faaliyet alanı ve faaliyet ihtiyaçları dâhilinde sunulan hizmetlerimizle ilgili ve bağlantılı verilerdir.
- Amaçla Bağlantılı, Sınırlı ve Ölçülü Veri İşleme
Derneğimiz, faaliyetlerinin sürdürülebilirliğini teminen, işlenen verilerin Dernek amaçlarının gerçekleştirilebilmesine elverişli olmasına dikkat eder. Amaca uygun olmayan, gereksiz, ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınılır. Bu kapsamda, Derneğimiz, ölçülülük ilkesi gereğince, veri işlenmesi ve amacımız arasındaki makul dengeyi kurmaya özen gösterir.
- Mevzuatta Öngörüldüğü veya Amaç İçin Gerekli Süre Kadar Muhafaza
Derneğimiz, işbu Politika’nın 5.5. paragrafında belirtildiği üzere, çeşitli yollarla mevzuata uygun olarak elde ettiği kişisel verileri ilgili mevzuatta belirlenen süre veya işlendikleri amaca uygun olarak gerekli olan süre kadar muhafaza etmektedir. Bu kapsamda, idari ve teknik önlemler alınır ve uygun güvenlik düzeyi temin edilerek veriler muhafaza edilir.
Derneğimiz, kişisel verilerin muhafaza edilmesine yönelik mevzuatta sınırlayıcı bir süre var ise, bu süreye mutlak surette riayet eder. Bu şekilde bir sürenin öngörülmemiş olması halinde ise, amacımıza uygun süre kadar veriler muhafaza edilir.
Mevzuat gereği belirli bir süre boyunca saklanması gereken veriler, o süre sonuna kadar hukuki yükümlülüklerin yerine getirilebilmesini teminen saklanır.
Mevzuatın öngördüğü bir sürenin olması halinde, sürenin sona ermesi ile birlikte veya herhangi bir süre öngörülmemişse, amacın gerçekleşmesi ile birlikte ilgili veriler Derneğimizce silinir, yok edilir veya anonim hale getirilir.
- KİŞİSEL VERİLERİN İŞLENME ŞARTLARI
Derneğimiz tarafından işlenen kişisel veriler işlenme şartlarının direkt kaynağı KVKK ile belirlenen kurallardan oluşmaktadır ve söz konusu veriler tamamen KVKK’ya uyumlu olarak işlenmektedir. Bu kapsamda, verilerin işlenme şartları aşağıda belirtilmiştir.
- KVKK Kapsamında Genel Olarak Kişisel Verilerin İşlenebileceği Şartlar
- Kişisel veri sahibinin açık rızası var ise,
- Kanunlarda kişisel verinin işleneceğine ilişkin açık bir düzenleme var ise,
- Kişisel veri sahibi fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda ise veya rızasına hukuki geçerlilik tanınan kişinin veya başkasının hayatı veya beden bütünlüğünün korunması için zorunlu ise,
- Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olmak kaydıyla sözleşmenin taraflarına ait kişisel verinin işlenmesi gerekli ise,
- Hukuki yükümlülüklerin yerine getirilmesi için kişisel veri işlenmesi zorunlu ise,
- Kişisel veriler, kişisel veri sahibi tarafından alenileştirilmiş ise,
- Kişisel veri işlenmesi bir hakkın tesisi, kullanılması veya korunması için zorunlu ise,
- Kişisel veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, meşru menfaatler için kişisel veri işlenmesi zorunlu ise,
Yukarıda sayılan sebeplere istinaden Derneğimiz, KVKK’ya uygun olarak kişisel verileri işleyebilmektedir.
- KVKK Kapsamında Genel Olarak Özel Nitelikli Kişisel Verilerin İşlenebileceği Şartlar
Kişisel veri sahibinin açık rızası var ise;
- Kişisel veri sahibinin sağlığı ve cinsel hayatı dışındaki özel nitelikli kişisel verileri (ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik veriler) kanunlarda öngörülen hallerde;
- Kişisel veri sahibinin sağlığına ve cinsel hayatına ilişkin özel nitelikli kişisel verileri ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, analiz, sağlık hizmetleri, ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenebilmektedir.
- Derneğimizin Veri İşleme ve Saklama Amaçları
Dernek faaliyetlerimizin sürdürülebilirliği ve verimliliği açısından veri sahipleri ile Derneğimizin düzenli olarak çeşitli iletişim araçları ile iletişim halinde olması gerekmektedir.
Kişisel verileriniz, öncelikle, Derneğimizin kalite standartlarından ödün vermeden, dernek faaliyetlerinden istifade edenler, çalışanları ve diğer tüm ilgili kişilerle olan ilişkilerinin verimli ve sağlıklı olarak yürütebilmesi amacıyla işlenmektedir.
Bu kapsamda, Dernek faaliyetlerimizin sağlıklı yürütülmesi adına sizlerle iletişim halinde olabilmek, sizlere sunduğumuz hizmetleri, gereksinimleriniz yönünde geliştirmek ve memnuniyetinizi artırmak, yine bu amaçla memnuniyetinizi ölçebilmek ve bunların sonuçlarından pozitif yönde yararlanabilmek, sizlerle iletişim halinde olduğumuz amaca uygun olarak ilgilenebileceğiniz konularda sizleri bilgilendirebilmek, çalışanlarımızla birlikte Dernek içi verimliliği artırmak, hukuki ve idari yükümlülüklerimizi yerine getirebilmek, etkinlik yönetimini sağlıklı olarak sağlayabilmek, talep ve şikâyet yönetimi, mevzuata uyumluluk, ziyaretçi kayıtlarını takip edebilmek ve insan kaynakları politikalarımızı yönetebilmek ve bunlarla sınırlı olmaksızın Dernek faaliyetlerimize uygun benzeri amaçlarla işlenebilmektedir.
- SORUMLULUK VE GÖREV DAĞILIMLARI
Derneğimizin tüm birimleri ve çalışanları, sorumlu birimlerce Politika kapsamında alınmakta olan teknik ve idari tedbirlerin gereği gibi uygulanması, çalışanların eğitimi ve farkındalığının arttırılması, izlenmesi ve sürekli denetimi ile kişisel verilerin hukuka aykırı olarak işlenmesinin önlenmesi, kişisel verilere hukuka aykırı olarak erişilmesinin önlenmesi ve kişisel verilerin hukuka uygun saklanmasının sağlanması amacıyla, kişisel veri işlenen tüm ortamlarda veri güvenliğini sağlamaya yönelik teknik ve idari tedbirlerin alınması konularında sorumlu birimlere aktif olarak destek verir.
Kişisel verilerin saklama ve imha süreçlerinde görev alanların unvanları, birimleri ve görev tanımlarına ait dağılım Tablo 1’de verilmiştir.
Tablo 1: Kişisel Veri Saklama ve imha süreçleri görev dağılımı
GÖREVLİ PERSONEL |
BİRİM |
GÖREV |
…….
|
……. |
Çalışanların politikaya uygun hareket etmesi, kişisel verilerin saklanması, güvenliği, imha edilmesi ve anonimleştirilmesinden sorumludur.
|
|
|
|
MEDAK KVK Kanunu’nun 16. maddesine ve Veri Sorumluları Sicili Hakkında Yönetmelik usul ve esaslarına uygun olarak, Veri Sorumluları Sicili’ne kaydolmuştur. Kayıt başvurusunda Veri Sorumluları Sicili’ne sunulan bilgiler aşağıda yer almaktadır:
- Kişisel verilerin işlenme amacı,
- Veri sahibi kişi grupları ve bu kişilere ait işlenen kişisel veri kategorileri hakkında bilgiler,
- Kişisel verilerin aktarılabileceği kişi veya kişi grupları,
- Yurt dışına aktarımı yapılabilecek kişisel veriler,
- İşlenen kişisel verilerin güvenliğini sağlamaya yönelik alınan tedbirler,
- Kişisel verilerin işlenme amacının gerektirdiği azami muhafaza edilme süresi
- KİŞİSEL VERİLERİN AKTARILMASI KONUSUNDA YAKLAŞIMLAR
- Genel
KVKK 8. ve 9. maddelerine uygun olarak, işlenmekte olan kişisel veriler üçüncü kişilere aktarılabilmektedir. Derneğimizin yurt içi ve yurt dışında hizmet aldığımız, ilişki halinde bulunduğumuz üçüncü kişilerle Dernek amaçlarımızı gerçekleştirme amacına yönelik olarak, Derneğimizin faaliyetlerini yerine getirmek için gerekli hizmetlerin Derneğimize sunulmasını temin etmek amacıyla, hukuken yetkili kamu kurum ve kuruluşlarının yetkileri dâhilinde talep ettikleri bilgilerin sağlanması amacıyla ve işbu Politika’nın 12. maddesinde belirtilen diğer amaçlar dâhilinde aktarılabilmektedir.
Kişisel verileriniz,
5253 sayılı Dernekler Kanunu
3359 sayılı Sağlık Hizmetleri Temel Kanunu,
8049 sayılı Türk Medeni Kanunu
6098 sayılı Türk Borçlar Kanunu,
5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu,
6331 sayılı İş Sağlığı ve Güvenliği Kanunu,
4982 Sayılı Bilgi Edinme Kanunu,
4857 sayılı İş Kanunu,
6698 Sayılı Kişisel Verilerin Korunması Kanunu,
Kişisel Sağlık Verilerinin İşlenmesi ve Mahremiyetinin Korunması Yönetmeliği
Sağlık Bakanlığı düzenlemeleri ve benzeri mevzuat hükümleri çerçevesinde;
Sözleşmesel ve kanuni yükümlülüklerimizin yerine getirilebilmesi ile Derneğimizin faaliyetlerin gerçekleştirilebilmesi, MEDAK’ın verimliliği ile iş ve işçi bulma politikalarının geliştirilebilmesi, sürdürülebilirliğin sağlanabilmesi, iş sözleşmesi kapsamında işverenin sahip olduğu yükümlülüklerin yerine getirilebilmesi, iş süreçlerinin devamlılığı ve faaliyetlerin gereği gibi yürütülebilmesi, Dernek bünyesindeki işlerin idaresi, yönetimi, yürütülebilmesi, Dernek amaç ve politikalarının uygulanabilmesi, iş akışının verimli bir şekilde yönetilip yürütülebilmesi amaçları ile;
- Sosyal Güvenlik Kurumu,
- Sivil Toplumla İlişkiler Genel Müdürlüğü
- Emniyet Genel Müdürlüğü ve diğer kolluk kuvvetleri,
- Nüfus Genel Müdürlüğü,
- Türkiye Eczacılar Birliği,
- Kişisel Verileri Koruma Kurumu,
- Maliye Bakanlığı,
- Çalışma ve Sosyal Güvenlik Bakanlığı,
- Türkiye İş Kurumu (İş-Kur),
- Bilgi Teknolojileri ve İletişim Kurumu
- Adli makamlar,
- Tıbbi teşhis ve tedavi için iş birliği içerisinde olduğumuz yurt içinde bulunan laboratuvarlar, tıp merkezleri, ambulans, tıbbi cihaz ve sağlık hizmeti sunan kurumlar,
- Yetki vermiş olduğunuz kanuni temsilcileriniz,
- Çalışmakta olduğumuz avukatlar, vergi danışmanları ve denetçiler de dâhil olmak üzere danışmanlık aldığımız üçüncü kişiler,
- Düzenleyici ve denetleyici kurumlar ve resmi merciler,
- Hizmetlerinden faydalandığımız veya işbirliği içerisinde olduğumuz tedarikçilerimiz, destek hizmet sağlayıcılarımız, arşiv hizmeti sağlayıcılarımız ve iş ortaklarımız ile paylaşılabilecektir.
- Bordro işlemlerinin yürütülebilmesi ve ilgili verilerin güncellenmesi amacı ile …. muhasebe programında işleyebiliyoruz. (Bu veriler, uygulamanın kendi veri kayıt ortamında saklanmaktadır.)
Derneğimizin tüzel kişiliği altında farklı birimleri arasında yapmış olduğu bilgi aktarımı, kişisel verilerin aktarılması kapsamında değerlendirilmez.
Derneğimiz tarafından, veri sahibinin tarafımıza sağlayacağı açık rızası kapsamında ve KVKK 9. maddesi ile uyumlu olarak kişisel veriler yurt dışına aktarılabilecektir. Aktarım yapılacak ülkede kişisel verilerin korunması konusunda yeterli korumanın bulunması veya yeterli korumanın bulunmaması durumunda veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kişisel Verileri Koruma Kurulu’nun izninin bulunması kaydıyla ilgili kişinin açık rızası aranmaksızın yurt dışına aktarılabilir.
Elde ettiğimiz kişisel veriler, MEDAK’ın faaliyetlerinin yerine getirebilmesi amacıyla, uygun süre zarfında fiziksel veya elektronik ortamda güvenli bir şekilde saklanmaktadır. Söz konusu faaliyetler kapsamında MEDAK tarafından kişisel verilerin korunmasına ilişkin olarak KVKK başta olmak üzere, ilgili tüm mevzuatta öngörülen yükümlülüklere uygun hareket edilmektedir. İlgili mevzuatlar uyarınca, kişisel verilerin daha uzun süre saklanmasına cevaz verilen veya zorunlu tutulan haller müstesna olmak kaydıyla, kişisel verilerin işlenme amaçlarının sona ermesi durumunda, MEDAK tarafından re’sen yahut “Veri Sahibi Başvuru Formu” aracılığıyla veri sahiplerinin talebi üzerine veriler silinecek, yok edilecek yahut anonimleştirilecektir. Kişisel verilerin söz konusu yöntemler vasıtasıyla silinmesi durumunda, bu veriler tekrar hiçbir şekilde kullanılamayacak ve geri getirilemeyecek şekilde imha edilecektir.
Kişisel verilerin saklanması kişisel verilerin bulunduğu birim sorumlusu tarafından yerine getirilecektir.
MEDAK olarak Dernek faaliyetleri çerçevesinde işlediğimiz kişisel verilerinizin KVKK ve ilgili mevzuata uygun olarak muhafaza edilmesi ve güvenliğinin sağlanması için gerekli görülen teknik ve idari tedbirleri, gerekli teknolojik alt yapı çerçevesinde yerine getiriyor; bu doğrultuda veri ihlali, yetkisiz erişim, veri kaybı, verilerin izinsiz değiştirilmesi ve benzer tehditlere karşı önlem alarak gerekli denetimleri gerçekleştiriyoruz.
Bu kapsamda, mevcut risk ve tehditleri tespit ediyor, çalışanlarımızı eğiterek farkındalık çalışmaları gerçekleştiriyor, kişisel veri güvenliğine ilişkin politika ve prosedürleri belirliyoruz.
Derneğimiz bünyesinde aşağıdaki teknik ve idari tedbirler alınmış olup, bu tedbirlerin gereği gibi uygulanması amacıyla gerekli kontroller gerçekleştirilmektedir.
Kişisel verilerin güvenliğinin sağlanması kişisel verilerin güvenliğinden sorumlu birim tarafından yerine getirilecektir.
- Ağ güvenliği ve uygulama güvenliği sağlanmaktadır.
- Bilgi teknolojileri sistemleri tedarik, geliştirme ve bakımı kapsamındaki güvenlik önlemleri alınmaktadır.
- Çalışanlar için veri güvenliği hükümleri içeren disiplin düzenlemeleri mevcuttur.
- Çalışanlar için veri güvenliği konusunda belli aralıklarla eğitim ve farkındalık çalışmaları yapılmaktadır.
- Erişim logları düzenli olarak tutulmaktadır.
- Gizlilik taahhütnameleri yapılmaktadır.
- Güncel anti-virüs sistemleri kullanılmaktadır.
- Güvenlik duvarları kullanılmaktadır.
- İmzalanan sözleşmeler veri güvenliği hükümleri içermektedir.
- Kişisel veri güvenliği politika ve prosedürleri belirlenmiştir.
- Kişisel veri güvenliği sorunları hızlı bir şekilde raporlanmaktadır.
- Kişisel veri güvenliğinin takibi yapılmaktadır.
- Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmaktadır.
- Kişisel veri içeren fiziksel ortamların dış risklere (yangın, sel vb.) karşı güvenliği sağlanmaktadır.
- Kişisel veri içeren ortamların güvenliği sağlanmaktadır.
- Kişisel veriler mümkün olduğunca azaltılmaktadır.
- Kişisel veriler yedeklenmekte ve yedeklenen kişisel verilerin güvenliği de sağlanmaktadır.
- Log kayıtları kullanıcı müdahalesi olmayacak şekilde tutulmaktadır.
- Siber güvenlik önlemleri alınmış olup uygulanması sürekli takip edilmektedir.
- Veri işleyen hizmet sağlayıcılarının, veri güvenliği konusunda farkındalığı sağlanmaktadır.
- Veri işleyenlerle gizlilik sözleşmeleri imzalanmaktadır.
- Derneğimiz nezdinde periyodik ve rastgele denetimler yaptırılmaktadır.
- Özel nitelikli kişisel veriler için ilave teknik ve idari tedbirler alınmıştır.
MEDAK’ın faaliyetleri çerçevesinde işlenen kişisel veriler, işlenme amacı çerçevesinde ve bu amacı sağlamak için gerekli olan süreler boyunca ve ilgili mevzuat çerçevesinde öngörülen saklama süresince saklanır.
İşlevini yitiren, saklama süresi dolan, mevzuat çerçevesinde mümkün olması halinde veri sahibince imha edilmesi istenen veriler, KVKK madde 7’de sayılan kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi yöntemlerinden uygun olanı kullanılarak imha edilir.
Yapılan işlemler “Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik” ile “Kişisel Sağlık Verilerinin İşlenmesi ve Mahremiyetinin Sağlanması Hakkında Yönetmelik” te belirtilen süre, usul ve esaslara uygun olarak yerine getirilecektir.
Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesiyle ilgili yapılan bütün işlemler kayıt altına alınır ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az üç yıl süreyle saklanır.
Kişisel verilerin imhası, kişisel verilerin bulunduğu sorumlu tarafından yerine getirilecektir.
- İşlenmesine esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası,
- İşlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,
- Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin açık rızasını geri alması,
- Kanunun 11 inci maddesi gereği ilgili kişinin hakları çerçevesinde kişisel verilerinin silinmesi ve yok edilmesine ilişkin yaptığı başvurunun MEDAK tarafından kabul edilmesi,
- Hastanenin, ilgili kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabı yetersiz bulması veya Kanunda öngörülen süre içinde cevap vermemesi hallerinde; Kurula şikâyette bulunması ve bu talebin Kurul tarafından uygun bulunması,
- Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olması ve kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması
- Sunucularda Yer Alan Kişisel Veriler : Sunucularda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler için sistem yöneticisi tarafından ilgili kullanıcıların erişim yetkisi kaldırılarak silme işlemi yapılır.
- Elektronik Ortamda Yer Alan Kişisel Veriler : Elektronik ortamda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, veri tabanı yöneticisi hariç diğer çalışanlar (ilgili kullanıcılar) için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir.
- Fiziksel Ortamda Yer Alan Kişisel Veriler : Fiziksel ortamda tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler için evrak arşivinden sorumlu birim yöneticisi hariç diğer çalışanlar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. Ayrıca, üzeri okunamayacak şekilde çizilerek/boyanarak/silinerek karartma işlemi de uygulanır.
- Taşınabilir Medyada Bulunan Kişisel Veriler : Flash tabanlı saklama ortamlarında tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler, sistem yöneticisi tarafından şifrelenerek ve erişim yetkisi sadece sistem yöneticisine verilerek şifreleme anahtarlarıyla güvenli ortamlarda saklanır.
- Fiziksel Ortamda Yer Alan Kişisel Veriler : Kâğıt ortamında yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, kâğıt kırpma makinelerinde geri döndürülemeyecek şekilde yok edilir.
- Optik / Manyetik Medyada Yer Alan Kişisel Veriler : Optik medya ve manyetik medyada yer alan kişisel verilerden saklanmasını gerektiren süre sona erenlerin eritilmesi, yakılması veya toz haline getirilmesi gibi fiziksel olarak yok edilmesi işlemi uygulanır. Ayrıca, manyetik medya özel bir cihazdan geçirilerek yüksek değerde manyetik alana maruz bırakılması suretiyle üzerindeki veriler okunamaz hale getirilir.
Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.
- SAKLAMA VE İMHA SÜRELERİ
MEDAK tarafından, faaliyetlerimiz kapsamında işlenmekte olan kişisel verilerle ilgili olarak;
- Süreçlere bağlı olarak gerçekleştirilen faaliyetler kapsamındaki tüm kişisel verilerle ilgili kişisel veri bazında saklama süreleri Kişisel Veri İşleme Envanterinde,
- Veri kategorileri bazında saklama süreleri VERBİS’e kayıtta,
- Süreç bazında saklama süreleri ise Kişisel Verileri Saklama ve İmha Politikasında
yer alır. Söz konusu saklama süreleri üzerinde, gerekmesi halinde Derneğimiz tarafından güncellemeler yapılır.
Saklama süreleri sona eren kişisel veriler için re’sen silme, yok etme veya anonim hale getirme işlemi MEDAK tarafından yerine getirilir.
Tablo 2: Süreç bazında saklama ve imha süreleri tablosu
SÜREÇ |
SAKLAMA SÜRESİ |
İMHA SÜRESİ
|
Çalışan adaylarının işe alım süreçlerinin yürütülmesi
|
İşe alım sürecinin tamamlanmasından itibaren 3 ay |
Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
|
İş Kanunu Kapsamında Saklanan Özlük Dosyasına İlişkin Veriler |
İş ilişkisinin sona ermesinden itibaren 10 yıl
|
Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
|
İş Kanunu Kapsamında Saklanan Veriler (Örn. Kıdem tazminatı, ihbar tazminatı, kötüniyet tazminatı, eşit davranma ilkesine aykırılık tazminatına konu olabilecek bilgiler, bordro kayıtları, yıllık izin gün sayısı vb.) |
İş ilişkisinin sona ermesinden itibaren 10 yıl
|
Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
|
İş Sağlığı ve Güvenliği Mevzuatı Kapsamında Toplanan Veriler (Örn: İşe giriş sağlık testleri, sağlık raporları, İSG Eğitimleri, İş Sağlığı ve Güvenliği faaliyetlerine ilişkin kayıtlar vb.) |
İş ilişkisinin sona ermesinden itibaren 10 yıl
|
Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
|
SGK Mevzuatı kapsamında tutulan veriler (Örn: İşe giriş bildirgeleri, pirim/hizmet belgeleri vb.)
|
İş ilişkisinin sona ermesinden itibaren 10 yıl |
Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
|
İş Kanunu Uyarınca: Çalışan ile ilgili Mahkeme/icra bilgi taleplerinin cevaplanması |
İş İlişkisinin sona ermesinden itibaren 10 Yıl |
Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
|
İnsan kaynakları süreçleri |
Faaliyetin sona ermesinden itibaren 10 yıl |
Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
|
Üye/gönüllü kayıtlarının tutulması
|
20 yıl
|
Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
|
Sözleşmeler |
Sözleşmenin sona ermesinden itibaren 10 yıl |
Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Çerezler ve log kayıtları |
2 yıl |
Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Muhasebe ve finansal işlemlere ilişkin kayıtları |
10 Yıl |
Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Çevrimiçi ziyaretlere ilişkin trafik bilgileri |
2 Yıl |
Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
|
Dernek Üyeleri ve Yönetim Kurulu Üyelerine ait Bilgiler (Örn: Huzur hakkı vb.)
|
10 yıl |
Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
|
Dernek Faaliyetleri Uyarınca, Saklanması Gereken Dernek Defterleri, Dernek Defterlerinde Yer Alan Kayıtlara Dayanarak Oluşturulan Belgeler, Finansal Tablolar vb. İşlenen Kişisel Veriler |
10 Yıl |
Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
|
Mal ve Hizmetleri Tanıtmak, Pazarlamak, İşletmesini Tanıtmak ya da Kutlama ve Temenni gibi İçeriklerle Tanınırlığı Artırmak Amacıyla Alıcıların Elektronik İletişim Adreslerine Gönderilen Elektronik İletilere İlişkin Onay Kayıtları |
1 Yıl |
Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
|
Mal ve Hizmetleri Tanıtmak, Pazarlamak, İşletmesini Tanıtmak ya da Kutlama ve Temenni gibi İçeriklerle Tanınırlığı Artırmak Amacıyla Alıcıların Elektronik İletişim Adreslerine Gönderilen Elektronik İletilere İlişkin Onay Kayıtları Dışındaki Veriler |
1 Yıl |
Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Sözleşmeden Kaynaklı İlişkilerde İşlenen Kişisel Veriler (Örn: Dernek Yetkilisi, Ad Soyad, imza sirküleri vb.) |
Sözleşmenin sona ermesinden itibaren 10 yıl |
Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Vergisel Kayıtlara İlişkin Kişisel Veriler ile Fatura/Gider Pusulası/Makbuz gibi Vergi Usul Kanunu Uyarınca Tutulması gereken Belgelerle işlenen Kişisel Veriler
|
5 yıl |
Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Derneğimizin faaliyetlerine ilişkin diğer kayıtların tutulması
|
Faaliyetin son ermesinden itibaren 10 yıl
|
Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
|
- VERİ SAHİBİNİN KİŞİSEL VERİLERİNİN SİLİNMESİ, YOK EDİLMESİ VEYA ANONİM HALE GETİRİLMESİ TALEBİ ÜZERİNE UYGULANACAK SÜREÇLER
Veri Sahibi, Kanunun uygulanmasıyla ilgili taleplerini yazılı olarak veya Kurulun belirleyeceği diğer yöntemlerle MEDAK’a iletir. MEDAK, talebi kabul eder veya gerekçesini açıklayarak reddeder ve cevabını ilgili kişiye yazılı olarak veya elektronik ortamda en geç otuz gün içinde bildirir. Başvuruda yer alan talebin kabul edilmesi hâlinde gereği yerine getirilecektir.
Talebe konu kişisel verilerin işleme şartlarının tamamı ortadan kalkmışsa, talebe konu kişisel veriler silinir, yok edilir ya da anonim hale getirilir.
Kurul tarafından aksine bir karar alınmadıkça, kişisel verileri re’sen silme, yok etme veya anonim hale getirme yöntemlerinden uygun olanı MEDAK tarafından seçilecektir. İlgili kişinin talebi halinde MEDAK uygun yöntemi gerekçesini açıklayarak seçer.
Talebe konu kişisel veriler üçüncü kişilere aktarılmışsa bu durum üçüncü kişiye bildirilecek; üçüncü kişi nezdinde Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik kapsamında gerekli işlemlerin yapılması temin edilecektir.
Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesi kişisel verilerin bulunduğu birim tarafından yerine getirilecektir.
- KİŞİSEL VERİ SAHİBİNİN HAKLARI
- Genel
Derneğimiz, KVKK gereğince ilgili kişilerin KVKK uygulamasına yönelik taleplerini iletebilme ve kişisel verilerine ilişkin haklarını korumaları için mevcut hak arama yöntemlerine saygı duyar. Bu sebeple, Derneğimiz, kendisine yapılacak her türlü başvuruyu özenli bir şekilde değerlendirir ve KVKK’da belirlenen süre sınırları içerisinde veri sahibinin talebini cevaplandırır.
- Derneğimize Yapılacak Başvurular
Kanun ve ilgili mevzuatlar uyarınca; ilgili kişilerin, Derneğimize başvurarak;
- Kişisel veri işlenip işlenmediğini öğrenme,
- Kişisel veriler işlenmişse buna ilişkin bilgi talep etme,
- Kişisel sağlık verilerine erişim ve bu verileri isteme,
- Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
- Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
- Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
- Kişisel verilerin silinmesini veya yok edilmesini isteme,
- Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesine ve/veya kişisel verilerin silinmesini veya yok edilmesine ilişkin işlemlerin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
- İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
- Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme hakları bulunmaktadır.
Derneğimiz bu kapsamda yapılacak tüm başvuruları KVKK ve Kişisel Verileri Koruma Kurulu’nun belirlediği usul dâhilinde cevaplandırır.
- Başvuru ve Cevap Usulü
İlgili kişiler, yapacakları başvuruları direkt olarak Derneğimize yönlendirir.
Veri sahipleri, KVKK’nın 11. ve 13. maddeleri uyarınca; veri sorumlusu sıfatı taşıyan Derneğimize, KVKK ‘nın uygulanmasıyla ilgili talepleri “Veri Sahibi Başvuru Formu” nu doldurarak;
- Veri sahibi başvuru formunun ıslak imzalı bir kopyasını “Kavaklıdere Mah. Atatürk Bulv. 185 Kat: 5/6 İç Kapı No : 19 KavaklıdereÇankaya/Ankara” adresine şahsen başvurarak,
- Veri sahibi başvuru formunun ıslak imzalı bir kopyasını “Kavaklıdere Mah. Atatürk Bulv. 185 Kat: 5/6 İç Kapı No : 19 KavaklıdereÇankaya/Ankara” adresine iadeli taahhütlü mektupla göndererek,
- Veri sahibi başvuru formunu [email protected] e-posta adresine veya Derneğimizin ….. KEP adresine elektronik imzalı olarak, iletebilirsiniz.
Derneğimize yapılacak başvurular, KVKK 13. maddesi gereğince yazılı olarak veya Kişisel Verileri Koruma Kurulu tarafından belirlenecek diğer yöntemlerle, niteliklerine göre mümkün olan en kısa sürede ve en geç 30 gün içinde cevaplandırılır.
Derneğimiz, kendisine yapılan başvuruları reddetmesi, veri sahibi tarafından verilen cevabın yetersiz bulunması veya süresinde cevap verilmemesi gibi nedenlerle veri sahibinin cevabı öğrenmesinden itibaren 30 ve her halde başvuru tarihinden itibaren 60 gün içinde Kişisel Verileri Koruma Kurulu’na şikâyette bulunabileceğinin bilincindedir. Bu sebeple, Derneğimiz, makul olan başvuruları reddetmeme, veri sahibine yeterli ve süresinde cevap verme konularına özen gösterir.
- Başvuru Maliyetine İlişkin Esaslar
Kural olarak Derneğimize yapılan başvurular ücretsiz olarak sonuçlandırılır. Başvuruların değerlendirilmesinin ek bir maliyet doğurması halinde, Derneğimiz, Kişisel Verileri Koruma Kurulu tarafından belirlenen tarifedeki ücretleri başvuruda bulunan veri sahibinden isteme hakkını saklı tutar.
- PERİYODİK İMHA SÜRESİ
Yönetmeliğin 11 inci maddesi gereğince MEDAK, periyodik imha süresini 6 ay olarak belirlemiştir. Buna göre, MEDAK’da her yıl Haziran ve Aralık aylarında periyodik imha işlemi gerçekleştirilir.
- POLİTİKA’NIN YAYINLANMASI VE SAKLANMASI
Politika, ıslak imzalı (basılı kâğıt) ve elektronik ortamda olmak üzere iki farklı ortamda yayımlanır, internet sayfasında kamuya açıklanır. Basılı kâğıt nüshası da MEDAK dosyasında saklanır.
- POLİTİKA’NIN GÜNCELLENME PERİYODU
Politika, ihtiyaç duyuldukça gözden geçirilir ve gerekli olan bölümler güncellenir.
- POLİTİKA’NIN YÜRÜRLÜĞÜ VE YÜRÜRLÜKTEN KALDIRILMASI
MEDİKAL ARAMA KURTARMA DERNEĞİ |
Politika, MEDAK internet sitesinde yayınlanmasının ardından yürürlüğe girmiş kabul edilir. Yürürlükten kaldırılmasına karar verilmesi halinde, Politika’nın ıslak imzalı eski nüshaları MEDAK tarafından iptal edilerek (iptal kaşesi vurularak veya iptal yazılarak) imzalanır ve en az 10 yıl süre ile MEDAK’da saklanır.