info@avrupagozgaziemir.com
+90 (232) 251 24 25 (PBX)
Bizimle İletişime Geçin

+90 (507) 460 00 80

BİLGİ GÜVENLİĞİ VE KİŞİSEL VERİLERİN KORUNMASI PROSEDÜRÜ

DOKÜMAN KODU : BY.PR.004 YAYIN TARİHİ : 04.03.2024 REVİZYON NO : 00 REVİZYON TARİHİ : SAYFA NO / SAYISI : 1 / 11

1. AMAÇ

KVKK yürürlüğe girdiği tarihten itibaren, ticari faaliyetlerimizi yerine getirirken herhangi bir şekilde temas ettiğimiz tüm gerçek kişilere ait kişisel verilerin korunmasına ve bu çerçevede KVKK’da yer alan gerekliliklerin eksiksiz olarak yerine getirilmesine büyük önem vermekteyiz.

Bu prosedür’ün temel amacı, şirket tarafından hukuka uygun bir biçimde yürütülen kişisel veri işleme faaliyeti ve kişisel verilerin korunmasına yönelik benimsenen sistemler konusunda açıklamalarda bulunmak, bu kapsamda müşterilerimiz, potansiyel müşterilerimiz, çalışanlarımız, çalışan adaylarımız, şirket yetkililerimiz, ziyaretçilerimiz, işbirliği içinde olduğumuz kurumların çalışanları, yetkilileri ve kişisel verisi işlenen üçüncü kişiler başta olmak üzere kişisel verileri şirketimiz tarafından işlenen kişileri bilgilendirilerek şeffaflığı sağlamaktır.

2. KAPSAM

Bu prosedür; Çalışanlarımızın, Çalışan Adayları’mızın, Şirket Yetkilileri’nin, Müşterilerimizin, Potansiyel müşterilerimizin, Ziyaretçi’lerimizin, İşbirliği İçinde Olduğumuz Kurumların Çalışanları’nın ve kişisel verisi işlenen Üçüncü Kişi’lerin otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen tüm kişisel verilerine ilişkindir.

3. KISALTMALAR

KVKK: Kişisel Verilerin Korunması Kanunu

4. TANIMLAR

Kişisel Verilerin İşlenmesine İlişkin Hususlar: 6698 Sayılı Kişisel Verileri Koruma Kanuna (“KVKK”) göre, herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bir Anayasal hak olan kişisel verilerin korunması konusunda, Özel AG Avrupa Göz Hastalıkları Dal Merkezi (“Şirket”) işbu Prosedür ile yönetilen; müşterilerinin, potansiyel müşterilerinin, çalışanların, çalışan adaylarının, şirket yetkililerinin, ziyaretçilerinin, işbirliği içinde olduğu kurumların çalışanları, yetkililerinin ve üçüncü kişilerin kişisel verilerinin korunmasına gerekli özeni göstermekte ve bunu bir Şirket prosedürü haline getirmektedir.

Kanunun uygulanması ve bu prosedür kapsamında;

  • Açık Rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı,
  • Anonim Hâle Getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini,
  • İlgili Kullanıcı: Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişileri,
  • İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesini,
  • Kanun: 6698 Sayılı Kişisel Verilerin Korunması Kanunu’nu,
  • Kişisel Veri Sahibi/ İlgili Kişi: Müşteriler, ya da kişisel verisi işlenen Müşteri olmayan; potansiyel müşteriler, çalışanlar, çalışan adayları, hissedarlar, ziyaretçiler, kendisi ile akdettiği bir sözleşme çerçevesinde (destek hizmeti, bağımsız denetim, derecelendirme, danışmanlık, hizmet, satın alma, iş birliği, çözüm ortaklığı vb.) iş ilişkisi içerisinde bulunulan kurum ve kuruluşlar ve bunların çalışanları, hissedarları ve yetkilileri ile üçüncü gerçek kişiyi,
  • Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi,
  • Kişisel Verilerin İşlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi,
  • Kurum: Kişisel Verileri Koruma Kurumunu,
  • Müşteri: Şirket ile imzalamış olduğu sözleşmeye istinaden Şirketten hizmet alan ve verisi işlenen ilgili gerçek kişiyi,
  • Veri İşleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi,
  • Veri Kayıt Sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini,
  • Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi, ifade eder.

5. SORUMLULAR

Bu prosedür Mesul Müdür onayından sonra yürürlüğe girer ve uygulanmasından tüm çalışanlar sorumludur.

6. FAALİYET AKIŞI

6.1. ERİŞİM VE YETKİ KONTROLÜ

Kişisel Verilerin İşlenmesinde Temel İlkeler:

6.1.1. Hukuka Ve Dürüstlük Kuralına Uygun İşleme:

Şirketimiz; kişisel verilerin işlenmesinde hukuksal düzenlemelerle getirilen ilkeler ile genel güven ve dürüstlük kuralına uygun hareket etmektedir.

6.1.2. Doğru Ve Gerektiğinde Güncel Olma:

Şirket tarafından işlenen kişisel verilerin doğru ve güncel duruma uygun olması için gerekli tedbirler alınmakta ve işlenmekte olan verilerin gerçek durumu yansıtmasını sağlamak amacıyla bilgilendirmeler de bulunularak veri sahiplerine gerekli imkânlar tanınmaktadır.

6.1.3. Belirli, Açık Ve Meşru Amaçlar İçin İşlenme:

Şirketimiz, meşru ve hukuka uygun olan kişisel veri işleme amacını açık ve kesin olarak belirlemektedir. Şirketimiz, kişisel verileri sunmakta olduğu hizmetle bağlantılı ve bunlar için gerekli olan kadar işlemektedir. Şirketimiz tarafından kişisel verilerin hangi amaçla işleneceği henüz kişisel veri işleme faaliyeti başlamadan ortaya konulmaktadır.

6.1.4. İşlendikleri Amaçla Bağlantılı, Sınırlı Ve Ölçülü Olma:

Şirket tarafından veriler, KVKK ve ilgili diğer mevzuata uygun olarak, veri kategorilerine göre belirlenen amaçların gerçekleştirilebilmesine elverişli, amacın gerçekleştirilmesiyle ilgili ve ölçülü olarak işlenmekte olup, ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınılmaktadır.

6.1.5. İlgili Mevzuatta Öngörülen Veya İşlendikleri Amaç İçin Gerekli Olan Süre Kadar Muhafaza Edilme:

Şirket tarafından işlenen kişisel veriler, ancak ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmektedir. Bu kapsamda, Şirket, ilgili mevzuatta verilerin saklanması için öngörülen bir süre varsa bu süreye uymakta; böyle bir süre yoksa verileri, ancak işlendikleri amaç için gerekli olan süre kadar muhafaza etmektedir. Şirket gelecekte kullanma ihtimalinin varlığına dayanarak veri saklamamaktadır.

6.2. FİZİKSEL VE ÇEVRESEL GÜVENLİK YÖNETİMİ
  • Fiziksel güvenlik tedbirleri çerçevesinde (giriş çıkış kapıları, ofis odaları, ürün teslim alanları, depoların güvenliği ve personel tanıtım kartlarının kullanımı vb.) belirlenmiş kurallara tüm personel tarafından uyulur.
  • Virüs ve saldırganlardan korunma Bilgi İşlem Sorumlusu’na aittir. Sorumlu, virüs ve saldırganlardan korunma için gerekli donanım ve yazılımı üst yönetime bildirip gerekli tedbirleri alır. Bu tedbirler içinde anti virüs yazılımları ve firewall gibi donanımsal ve yazılımsal aparatları içeren sağlık bakanlığınca istenen asgari şartlardan oluşur. Bu yazılımların güncellenmesi Bilgi Yönetim Sistem Sorumlusu’nun uhdesindedir. Güncelleme zamanı geldiğinde üst yönetimi haberdar ederek güncellemeleri yapar.
6.2.1. Kişisel Veri İşleme Faaliyetlerinin KVKK’na Uygun Gerçekleştirilmesi:

KVKK ile kişisel verilerin işlenme koşulları düzenlenmiş olup, Şirket tarafından kişisel veriler aşağıda belirtilen söz konusu koşullara uygun olarak işlenmektedir.

Kanun’da sayılan istisnalar dışında, Şirket ancak veri sahiplerinin açık rızasını temin etmek suretiyle kişisel veri işlemektedir. Kanun’da sayılan aşağıdaki hallerin varlığı durumunda ise, veri sahibinin açık rızası olmasa dahi kişisel veriler işlenebilmektedir.

  • Kanunlarda açıkça öngörülmesi,
  • Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
  • Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
  • Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
  • Veri sahibinin kendisi tarafından alenileştirilmiş olması,
  • Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
  • Veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

Veri sahipleri açısından korunmasının çeşitli açılardan daha kritik önem teşkil ettiğine inanılan özel nitelikli kişisel verilerin işlenmesinde ise Şirket tarafından özel hassasiyet gösterilmektedir. Bu kapsamda, Kalite birimi tarafından belirlenen yeterli önlemlerin alınması şartıyla bu tür veriler, veri sahiplerinin açık rızası olmaksızın işlenmemektedir. Ancak, sağlık ve cinsel hayat ile ilgili veriler dışındaki özel nitelikli kişisel veriler, kanunlarda öngörülen hallerde veri sahibinin açık rızası olmaksızın da işlenebilmektedir.

6.2.2. Sağlık ve cinsel hayata ilişkin veriler ise yeterli önlemlerin alınması şartıyla ve aşağıda sayılan sebeplerin varlığı halinde açık rızası alınmaksızın işlenebilmektedir:
  • Kamu sağlığının korunması,
  • Koruyucu hekimlik,
  • Tıbbî teşhis,
  • Tedavi ve bakım hizmetlerinin yürütülmesi,
  • Sağlık hizmetleri ile finansmanının planlanması ve yönetimi.
6.3. İLETİŞİM GÜVENLİĞİ

Şirket tarafından hukuka uygun bir biçimde yürütülen kişisel veri işleme faaliyeti ve kişisel verilerin korunmasına yönelik benimsenen sistemler konusunda açıklamalarda bulunmak, bu kapsamda müşterilerimiz, potansiyel müşterilerimiz, çalışanlarımız, çalışan adaylarımız, şirket yetkililerimiz, ziyaretçilerimiz, işbirliği içinde olduğumuz kurumların çalışanları, yetkilileri ve kişisel verisi işlenen üçüncü kişiler başta olmak üzere kişisel verileri şirketimiz tarafından işlenen kişileri bilgilendirilerek şeffaflığı sağlamaktır.

  • Tıp merkezi “Bilgi Güvenliği Yönetim Sistemi Politikası” gereği domain yapısı oluşturulmuş olup tüm bilgisayarlar domain yapısına “login” durumda çalışır. Domaine bağlı olmayan bilgisayarlar yerel ağdan çıkarılır, yerel ağdaki cihazlar arasında bilgi alışverişi yapılmaz.
  • Bilgisayarlar üzerinden resmi belgeler, programlar ve eğitim belgeleri haricinde dosya alışverişinde bulunulamaz
  • İnternet erişimi ve e-posta kullanım bağlantıları Tıp merkezin’de bulunan firewall cihazı tarafından kontrol edilir.
  • Tıp merkezin’de işe başlayan tüm yetkili personele kurumsal e-posta adresi oluşturulur.
  • E-posta ve şifreler ilgili personele eğitim verilirken iletilir.
  • Kullanıcı, e-posta sırasında dile getirdiği tüm ifadelerin kendisine ait olduğunu kabul eder. Suç teşkil edebilecek; tehditkâr, yasadışı, hakaret edici, küfür veya iftira içeren, ahlaka aykırı mesajların yollanmasından kullanıcı sorumludur.
  • Kullanıcı, hesabında hukuki açıdan suç teşkil edecek materyal ve belgelere yer veremez, şahsi hesap sahiplerine zarar verici uygulamalar kullanamaz.
  • Başka bir sistemin sunucusunu veya başka bir kullanıcının hesabını ilgili kişinin izni olmadan mesaj gönderme amacıyla kullanamaz.
  • Kullanıcı, hesabını ticari ve kar amaçlı olarak kullanamaz. Çok sayıda kullanıcıya toplu halde reklam, tanıtım, duyuru vb. amaçlı (SPAM) e-posta gönderemez.
  • Kullanıcının, hesabında yer alan her türlü bilginin yayın haklarından doğabilecek hukuki sorumluluklar kullanıcıya aittir.
6.3.1. Kişisel Veri Sahibinin Aydınlatılması ve Bilgilendirilmesi

Şirketimiz, KVK Kanunu’nun 10. maddesine uygun olarak, kişisel verilerin elde edilmesi sırasında kişisel veri sahiplerini aydınlatmaktadır. Bu kapsamda Şirket kişisel verilerin hangi amaçla işleneceğini, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi ile kişisel veri sahibinin sahip olduğu hakları konusunda aydınlatma yapmaktadır.

Anayasa’nın 20. maddesinde herkesin, kendisiyle ilgili kişisel veriler hakkında bilgilendirilme hakkına sahip olduğu ortaya konulmuştur. Bu doğrultuda KVK Kanunu’nun 11inci maddesinde kişisel veri sahibinin hakları arasında “bilgi talep etme”de sayılmıştır. Şirketimiz bu kapsamda, Anayasa’nın 20’inci ve KVK Kanunu’nun 11’inci maddelerine uygun olarak kişisel veri sahibinin bilgi talep etmesi durumunda gerekli bilgilendirmeyi yapmaktadır.

6.3.2. Kişisel Verilerin İşlenme Amaçları

Sağlık verileriniz başta olmak üzere özel nitelikli kişisel verileriniz ve kişisel verileriniz, Şirket tarafından aşağıda yer alanlar dâhil ve bunlarla sınırlı olmaksızın aşağıda yer alan amaçlar ile bağlantılı, sınırlı ve ölçülü şekilde işlenebilmektedir;

  • Adınız, soyadınız, T.C. Kimlik numaranız, geçici T.C. Kimlik numaranız, pasaport numaranız, doğum yeri ve tarihiniz, medeni haliniz, cinsiyetiniz, sigorta veya hasta protokol numaranız ve sizi tanımlayan diğer kimlik verileriniz.
  • Adresiniz, telefon numaranız, elektronik posta adresiniz
  • Test sonuçlarınız, laboratuvar ve görüntüleme sonuçlarınız, muayene verileriniz, reçete bilgileriniz gibi tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi sırasında elde edilen sağlık ve cinsel hayata ilişkin verileriniz ve bunlarla sınırlı olmamak üzere sağlık verileriniz,
  • IBAN numaranız, kredi kartı bilginiz,
  • Tıp merkezimizi ziyaretiniz sırasında alınan kapalı devre kamera sistemi görüntü ve ses kaydınız,
  • Hasta Kabul/Danışma ile iletişime geçtiğiniz takdirde tutulan sesli görüşme kayıtlarınız,
  • Sağlık hizmetlerinin finansmanı ve planlaması amacıyla özel sağlık sigortasına ilişkin verileriniz

Şirketimiz 6698 Sayılı Kişisel Verilerin Korunması Kanunun 5. maddesinin 2. fıkrasında ve 6. Maddenin 3. Fıkrasında belirtilen kişisel veri işleme şartları içerisindeki amaçlarla ve koşullarla sınırlı olarak kişisel veriler işlemektedir.

Bu amaçlar ve koşullar;

  • Kişisel verilerinizin işlenmesine ilişkin Şirketimizin ilgili faaliyette bulunmasının Kanunlarda açıkça öngörülmesi,
  • Kişisel verilerinizin Şirketimiz tarafından işlenmesinin bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili ve gerekli olması,
  • Kişisel verilerinizin işlenmesinin Şirketimizin hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
  • Kişisel verilerinizin sizler tarafından alenileştirilmiş olması şartıyla; sizlerin alenileştirme amacıyla sınırlı bir şekilde Şirketimiz tarafından işlenmesi,
  • Kişisel verilerinizin Şirketimiz tarafından işlenmesinin Şirketimizin veya sizlerin veya üçüncü kişilerin haklarının tesisi, kullanılması veya korunması için zorunlu olması,
  • Sizlerin temel hak ve özgürlüklerine zarar vermemek kaydıyla Şirketimiz meşru menfaatleri için kişisel veri işleme faaliyetinde bulunulmasının zorunlu olması,
  • Şirketimiz tarafından kişisel veri işleme faaliyetinde bulunulmasının kişisel veri sahibinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması ve bu durumda da kişisel veri sahibinin fiili imkânsızlık veya hukuki geçersizlik nedeniyle rızasını açıklayamayacak durumda bulunması,
  • Kişisel veri sahibinin sağlığı ve cinsel hayatı dışındaki özel nitelikli kişisel verilerin işlenmesinin kanunlarda öngörülmesi,
  • Kişisel veri sahibinin sağlığına ve cinsel hayatına ilişkin özel nitelikli kişisel verileri kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenmesidir.

Yukarıda belirtilen koşullar altında; Şirketimiz kişisel verileri, bunlarla sınırlı olmamak üzere ve 9. maddelerinde belirtilen kişisel veri işleme şartları ve amaçları dâhilinde,

  • Sağlık bakanlığı ve bağlı alt birimleri,
  • Yetki vermiş olduğunuz temsilcileriniz,
  • Özel sigorta şirketleri,
  • Sosyal Güvenlik Kurumu,
  • Emniyet Genel Müdürlüğü ve sair kolluk kuvvetleri,
  • Nüfus Genel Müdürlüğü,
  • Türkiye Eczacılar Birliği,
  • Mahkemeler ve her türlü yargı makamı, merkezi ve sair üçüncü kişiler,
  • Avukatlar,
  • Tıbbi teşhis ve tedavi için iş birliği içerisinde olduğumuz laboratuvarlar, tıp merkezleri, ambulans, tıbbi cihaz ve sağlık hizmeti sunan kurumlar,
  • Hizmetlerin sağlanabilmesi amacıyla sınırlı olarak tedarikçilerimiz, ile paylaşılabilecektir.
6.4.3. Kişisel Verilerin Yurtdışına Aktarılması

Şirketimiz hukuka uygun kişisel veri işleme amaçları doğrultusunda gerekli güvenlik önlemleri alarak kişisel veri sahibinin kişisel verilerini ve özel nitelikli kişisel verilerini yurtdışındaki üçüncü kişilere aktarabilmektedir. Şirketimiz tarafından kişisel veriler; KVK Kurumu tarafından yeterli korumaya sahip olduğu ilan edilen yabancı ülkelere (“Yeterli Korumaya Sahip Yabancı Ülke”) veya yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt ettiği ve KVK Kurumu’nun izninin bulunduğu yabancı ülkelere (“Yeterli Korumayı Taahhüt Eden Veri Sorumlusunun Bulunduğu Yabancı Ülke”) aktarılmaktadır. Şirketimiz bu doğrultuda KVK Kanunu’nun 9. maddesinde öngörülen düzenlemelere uygun hareket etmektedir.

6.4.4. Bina, Tesis girişleri ile İçerisinde Yapılan Kişisel Veri İşleme Faaliyetleri ile İnternet Sitesi Ziyaretçileri
  • Şirket tarafından bina tesis girişlerinde ve tesis içerisinde yapılan kişisel veri işleme faaliyetleri, Anayasa’ya, KVK Kanunu’na ve ilgili diğer mevzuata uygun bir biçimde yürütülmektedir.
  • Şirketimiz tarafından güvenliğin sağlanması amacıyla, Şirketimiz binalarında ve tesislerinde güvenlik kamerasıyla izleme faaliyeti ile misafir giriş çıkışlarının takibine yönelik kişisel veri işleme faaliyetinde bulunulmaktadır.
  • Güvenlik kameraları kullanılması ve misafir giriş çıkışlarının kayıt altına alınması yoluyla Şirketimiz tarafından kişisel veri işleme faaliyeti yürütülmüş olmaktadır.
  • Şirket, güvenlik kamerası ile izleme faaliyeti; şirketin ve diğer kişilerin güvenliğini sağlamaya ilişkin menfaatlerini korunması amacını taşımakta olup bu kapsamda Şirketimiz Anayasa, KVK Kanunu ve ilgili diğer mevzuata uygun olarak hareket etmektedir.
  • Şirketimizin bina, tesis girişlerinde ve tesis içerisinde kamera ile izleme sistemi vasıtasıyla ziyaretçilerimizin görüntü kayıtları alınmaktadır.
  • Şirketimiz, güvenlik kamerası ile izleme faaliyeti kapsamında; sunulan hizmetin kalitesini artırmak, güvenilirliğini sağlamak, şirketin, müşterilerin ve diğer kişilerin güvenliğini sağlamak ve müşterilerin aldıkları hizmete ilişkin menfaatlerini korumak gibi amaçlar taşımaktadır.
  • Şirketimiz tarafından güvenlik amacıyla kamera ile izleme faaliyeti yürütülmesinde KVK Kanunu’nda yer alan düzenlemelere uygun hareket edilmektedir. Şirketimiz tarafından yürütülen kamera ile izleme faaliyeti, Özel Güvenlik Hizmetlerine Dair Kanun ve ilgili mevzuata uygun olarak sürdürülmektedir.
  • Dijital ortamda kaydedilen ve muhafaza edilen kayıtlara yalnızca sınırlı sayıda Şirket çalışanının erişimi bulunmaktadır. Kayıtlara erişimi olan sınırlı sayıda kişi gizlilik taahhütnamesi ile eriştiği verilerin gizliliğini koruyacağını beyan etmektedir.
  • Şirketimiz tarafından KVK Kanunu’nun 12. maddesine uygun olarak, kamera ile izleme faaliyeti sonucunda elde edilen kişisel verilerin güvenliğinin sağlanması için gerekli teknik ve idari tedbirler alınmaktadır.

Yukarıda belirtilen kamerayla kayıt dışında Şirketimiz tarafından; güvenliğin sağlanması ve bu Politika’da belirtilen amaçlarla, Şirketimiz binalarında ve tesislerinde misafir giriş çıkışlarının takibine yönelik kişisel veri işleme faaliyetinde bulunulmaktadır.

  • Misafir olarak Şirketimiz binalarına gelen kişilerin isim ve soyadları elde edilirken ya da Şirket nezdinde asılan ya da diğer şekillerde misafirlerin erişimine sunulan metinler aracılığıyla söz konusu kişisel veri sahipleri bu kapsamda aydınlatılmaktadırlar. Misafir giriş-çıkış takibi yapılması amacıyla elde edilen veriler yalnızca bu amaçla işlenmekte veya ilgili kişisel veriler fiziki ortamda veri kayıt sistemine kaydedilmektedir.
  • Şirketimiz tarafından güvenliğin sağlanması ve bu Prosedür’de belirtilen amaçlarla; Şirketimiz tarafından Bina ve Tesislerimiz içerisinde kaldığınız süre boyunca talep eden Ziyaretçilerimize internet erişimi sağlanabilmektedir. Bu durumda internet erişimlerinize ilişkin log kayıtları 5651 Sayılı Kanun ve bu Kanuna göre düzenlenmiş olan mevzuatın amir hükümlerine göre kayıt altına alınmakta; bu kayıtlar ancak yetkili kamu kurum ve kuruluşları tarafından talep edilmesi veya Şirket içinde gerçekleştirilecek denetim süreçlerinde ilgili hukuki yükümlülüğümüzü yerine getirmek amacıyla işlenmektedir.
  • Bu çerçevede elde edilen log kayıtlarına yalnızca sınırlı sayıda Şirket çalışanının erişimi bulunmaktadır. Bahsi geçen kayıtlara erişimi olan Şirket çalışanları bu kayıtları yalnızca yetkili kamu kurum ve kuruluşundan gelen talep veya denetim süreçlerinde kullanmak üzere erişmekte ve hukuken yetkili olan kişilerle paylaşmaktadır. Kayıtlara erişimi olan sınırlı sayıda kişi gizlilik taahhütnamesi ile eriştiği verilerin gizliliğini koruyacağını beyan etmektedir.
  • İnternet Sitesini ziyaret edenler için Çerez politikası aracılığıyla aydınlatılma yapılmaktadır.
6.4.5. Kişisel Veri Kategorileri
  • Kimlik (ad soyad, anne – baba adı, anne kızlık soyadı, doğum tarihi, doğum yeri, medeni hali, nüfus cüzdanı seri sıra no, tc kimlik no gibi)
  • İletişim (adres no, e-posta adresi, iletişim adresi, kayıtlı elektronik posta adresi (KEP), telefon no gibi)
  • Lokasyon (bulunduğu yerin konum bilgileri)
  • Özlük (bordro bilgileri, disiplin soruşturması, işe giriş-çıkış belgesi kayıtları, mal bildirimi bilgileri, özgeçmiş bilgileri, performans değerlendirme raporları gibi)
  • Hukuki İşlem (adli makamlarla yazışmalardaki bilgiler, dava dosyasındaki bilgiler gibi)
  • Müşteri İşlem (çağrı merkezi kayıtları, fatura, senet, çek bilgileri, gişe dekontlarındaki bilgiler, sipariş bilgisi, talep bilgisi gibi)
  • Fiziksel Mekân Güvenliği (çalışan ve ziyaretçilerin giriş çıkış kayıt bilgileri, kamera kayıtları gibi)
  • İşlem Güvenliği (IP adresi bilgileri, internet sitesi giriş çıkış bilgileri, şifre ve parola bilgileri gibi)
  • Risk Yönetimi (ticari, teknik, idari risklerin yönetilmesi için işlenen bilgiler gibi)
  • Finans (bilanço bilgileri, finansal performans bilgileri, kredi ve risk bilgileri, malvarlığı bilgileri gibi)
  • Mesleki Deneyim (diploma bilgileri, gidilen kurslar, meslek içi eğitim bilgileri, sertifikalar, transkript bilgileri gibi)
  • Pazarlama (alışveriş geçmişi bilgileri, anket, çerez kayıtları, kampanya çalışmasıyla elde edilen bilgiler)
  • Görsel ve İşitsel Kayıtlar (görsel ve işitsel kayıtlar gibi)
  • Irk ve Etnik Köken (ırk ve etnik kökeni bilgileri gibi)
  • Siyasi Düşünce Bilgileri (siyasi düşüncesini belirten bilgiler, siyasi parti üyeliği bilgisi gibi)
  • Felsefi İnanç, Din, Mezhep ve Diğer İnançlar (dini aidiyetine ilişkin bilgiler, felsefi inancına ilişkin bilgiler, mezhep aidiyetine ilişkin bilgiler, diğer inançlarına ilişkin bilgiler gibi)
  • Kılık ve Kıyafet (kılık ve kıyafete ilişkin bilgiler)
  • Dernek Üyeliği (dernek üyeliği bilgileri gibi)
  • Vakıf Üyeliği (vakıf üyeliği bilgileri gibi)
  • Sendika Üyeliği (sendika üyeliği bilgileri gibi)
  • Sağlık Bilgileri (engellilik durumuna ait bilgiler, kan grubu bilgisi, kişisel sağlık bilgileri, kullanılan cihaz ve protez bilgileri gibi)
  • Cinsel Hayat (cinsel hayata ilişkin bilgiler gibi)
  • Ceza Mahkûmiyeti Ve Güvenlik Tedbirleri (ceza mahkûmiyetine ilişkin bilgiler, güvenlik tedbirlerine ilişkin bilgiler gibi)
  • Biyometrik Veri (avuç içi bilgileri, parmak izi bilgileri, retina taraması bilgileri, yüz tanıma bilgileri gibi)
  • Genetik Veri (genetik veriler gibi)
  • Diğer Bilgiler (kullanıcı tarafından belirlenecek veri türleri gibi)
6.4.6. Veri Konusu Kişi Grupları
  • Çalışan Adayı
  • Çalışan
  • Denek
  • Habere konu kişi
  • Hissedar/Ortak
  • Potansiyel Ürün veya Hizmet Alıcısı
  • Sınav adayı
  • Stajyer
  • Tedarikçi Çalışanı
  • Tedarikçi Yetkilisi
  • Ürün veya Hizmet Alan Kişi
  • Veli / Vasi / Temsilci
  • Ziyaretçi
  • Diğer
6.4.7. Kişisel Verilerin İşlenmesi – Korunmasına İlişkin Alınan Teknik Ve İdari Tedbirler

Şirket, kişisel verilerin korunması için gerekli olan uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almaktadır. KVKK’nın 12. maddesinde öngörülen tedbirler şunlardır:

  • Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
  • Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
  • Kişisel verilerin muhafazasını sağlamak

Veri Sorumlusu olarak Şirket, KVKK Uyumluluk sürecinin iyileştirilmesi için aşağıdaki Teknik ve İdari Tedbirlerinin uygulanması için gerekli süreci başlatmıştır.

  • Yetki Matrisi
  • Yetki Kontrol
  • Erişim Logları
  • Kullanıcı Hesap Yönetimi
  • Ağ Güvenliği Uygulama
  • Güvenliği Şifreleme Sızma
  • Log Kayıtları Veri Maskeleme
  • Veri Kaybı Önleme Yazılımları
  • Yedekleme Güvenlik Duvarları
  • Güncel Anti-Virüs Sistemleri
  • Silme, Yok Etme veya Anonim Hale Getirme Anahtar Yönetimi
  • Kişisel Veri İşleme Envanteri Hazırlanması
  • Kurumsal Politikalar (Erişim, Bilgi Güvenliği, Kullanım, Saklama Ve İmha vb.) Sözleşmeler (Veri Sorumlusu – Veri Sorumlusu, Veri Sorumlusu – Veri İşleyen Arasında )
  • Gizlilik Taahhütnameleri
  • Kurum İçi Periyodik ve/veya Rastgele Denetimler
  • Risk Analizleri
  • İş Sözleşmesi, Disiplin Yönetmeliği (Kanuna Uygun Hükümler İlave Edilmesi) Kurumsal İletişim (Kriz Yönetimi, Komite ve İlgili Kişiyi Bilgilendirme Süreçleri, İtibar Yönetimi vb.)
  • Eğitim ve Farkındalık Faaliyetleri (Bilgi Güvenliği ve Kanun) Veri Sorumluları Sicil Bilgi Sistemine (VERBİS) Bildirim
6.4.8. Kişisel Veri Sahibinin KVK Kanunu’nun 11. maddesinde Sayılan Hakları

Kişisel veri sahipleri olarak, haklarınıza ilişkin taleplerinizi, işbu Kişisel Verilerin Koruması Kanunu Aydınlatma Metni’nde aşağıda düzenlenen yöntemlerle Şirketimize iletmeniz durumunda Şirketimiz talebin niteliğine göre talebi en geç 30 (otuz) gün içinde ücretsiz olarak sonuçlandıracaktır. Ancak, Kişisel Verileri Koruma Kurulunca bir ücret öngörülmesi halinde, Şirketimiz tarafından belirlenen tarifedeki ücret alınacaktır.

Bu kapsamda kişisel veri sahipleri;

  • Kişisel veri işlenip işlenmediğini öğrenme,
  • Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
  • Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
  • Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
  • Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
  • KVK Kanunu’nun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
  • İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
  • Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme haklarına sahiptir.

İlgili kişi olarak hak taleplerinizi, yazılı olarak Şirketimize iletmeniz gerekmektedir. Bu çerçevede, Şirketimize KVK Kanunu’nun 11. maddesi kapsamında yapacağınız başvuruların sağlıklı ve hızlı şekilde yönetilmesi için, Çevre Sağlık Tesisleri Ltd. Şti. web adresinde Kişisel Verilerin Korunması başlığı altında yer alan “İlgili Kişi Bilgi Talep Başvuru Formu“ belgesini kullanmanızı, talebinize göre istenebilecek belge/bilgileri ve kimliğinizi tespit edici gerekli belgeleri de sağlayarak bizzat elden ya da iadeli taahhütlü mektup ile yapılmasını öneriyoruz. Ayrıca, ilgili kişi bilgi talep formunu Çevrimiçi kullanıcı olarak (Şirketimize daha önce bildirdiği ve şirketimizin sisteminde kayıtlı bulunan Elektronik Posta Adresi ile) ………………………..com.tr üzerinden yine bizlere talebinizi iletebilirsiniz.

6.5. BİLGİ GÜVENLİĞİ İHLAL OLAYI YÖNETİMİ

Tespit

Kurum personeli, istem dışı kaybolan veya ortaya çıkan dosyalar, antivirüs ajanının çalışmasında oluşan sorunlar, istemsiz çalışan programlar veya açılan pencereler, yetkisiz personelin kritik bilgi işleme tesislerinde bulunması, gizli dosyaların dış müdahaleye açık olması, yazılan prosedürlere uygun işlem yapılmaması vb. şüpheli durumlarda olay bildirimi yapar.

Değerlendirme ve Raporlama

Bilgi güvenliği ihlal olayları ”İstenmeyen Olay Bildirim Formu” ile kalite birimine bildirildiğinde kalite birimi ihlal olayını değerlendirir ve ihlal olduğuna karar verirse rapor ile üst yönetime bilgi verir.

Raporda en az aşağıdaki başlıklar bulunur;

  • Toplanan kanıtlar.
  • Kanıt türü.
  • Kanıt saklama yeri.
  • Kanıt tarihi ve zamanı.
  • Olayla ilgili düzeltici faaliyet başlatıldı ise düzeltici faaliyet formu
  • İhlal olayı tespit tarihi ve zamanı.

Bilgi güvenliği olay raporlaması için dikkat edilmesi gereken hususlar şunlardır:

  • Fiziksel güvenlik düzenlemeleri ve ortamlardaki giriş bilgileri.
  • Etkisiz güvenlik kontrolü.
  • Bilginin gizlilik, bütünlük, erişilebilirlik durumu ihlali.
  • İnsan hataları.
  • Kontrolsüz yazılım veya donanım sistem değişiklikleri.
  • Arızalar.
  • Erişim kontrolü.
  • Politika ve prosedürlere uyumsuzluk.
  • Sistem güvenlik yazılımları tarafından tespit edilen açıklıklar.

Yukarıda bahsedilen başlıklar için açılan kayıtlar kalite yönetim değerlendirme toplantılarında değerlendirilir. İhlal olayları risk değerlendirmesi kapsamında ölçülür.

Değerlendirme mekanizması aşağıdaki gibidir:

  • İhlal olaylarını değerlendirmede olay sayısı ve olay etkisi göz önünde bulundurulur.
  • İhlal olaylarından gelen veriler risk değerlendirmelerinde ölçüm olarak kullanılır.
  • Etki değeri bilgi güvenliği toplantılarında görüşülerek, kayıt sayılarına ve kayıtların etkisine göre risk olasılık değerlerine yansıtılır.
  • Yılsonunda oluşan kayıt sayısında %7 ile %10’luk bir artış olması durumunda kullanıcılara ek olarak farkındalık eğitimleri verilir.
  • Yılsonunda oluşan kayıt sayısında %11 ile %30’luk bir artış olması durumunda prosedürlerin gözden geçirilmesi için ek toplantı düzenlenir.
  • Yılsonunda oluşan kayıt sayısında %31 ve üzeri artış olması durumunda farkındalık eğitimleri, prosedür güncellemeleri, yatırım ve yapısal değişim kararları alınır.
Müdahale
  • Delilleri tahrip edecek veya bozacak hiçbir zafiyet için kapatma işlemi gerçekleştirilmez.
  • Kontroller veya bildirilen durumlar ile tespit edilen ve delilleri toplanan tüm olaylar için diğer işlemlerden önce olaya sebep olan zafiyet düzeltilir.
  • Müdahale için gerek görüldüğünde Bilgi Güvenliği Sürekliliği Prosedürü uygulanır.
Önlem Alma ve Deneyim Edinme

Tespit edilen ve delilleri toplanan bilgi güvenliği ihlal olaylarının daha sonra tekrar oluşmasını önlemek amacıyla gerekli önlemler alınır. Tüm yaşanan bilgi güvenliği ihlal olayları deneyim edinmek amacıyla gözden geçirilir ve öğrenilmiş bilgiler kayıt altına alınır. Deneyim edinme, herhangi bir ihlal olayının tekrarlanmamasını veya tekrar oluştuğunda soruna daha kısa sürede çözüm bulunmasını amaçlar.

Bir güvenlik ihlal olayına önlem almak için aşağıdaki işlemlerden herhangi biri uygulanabilir:
  • Oluşturulan kayıtlar incelenir ve çözüm yolları için gerekli bilgileri kayıt edilir.
  • Yanlış uygulamalardan kaynaklı olaylar için mutlaka yazılı prosedürler oluşturulur.
  • Prosedürlerden kaynaklanan olaylar için prosedürler tekrar gözden geçirilir ve düzeltilir.
  • Yaşanan bilgi güvenliği olayının risk kaydının var olup olmadığı kontrol edilir, var ise risk yeniden değerlendirilir, yok ise değerlendirilmek üzere risk kaydı oluşturulur.
  • Erişim kaynaklı sorunlar için erişimler tekrar denetlenir, diğer benzeri erişim yetkileri de kontrol edilir.
  • Yazılım ve uygulamalardan kaynaklı olaylarda güncelleştirmeler kontrol edilir, açıklık kapatma, güncelleştirme, yama geliştirme gibi yöntemler ile olay kapatılır.
  • Fiziksel teçhizatlardan kaynaklı sorunlar için alınan önlemler diğer benzer teçhizatlarda da uygulanır.
  • Zararlı kodlardan kaynaklı olaylar için sorun kaynağı tespit edilir ve güvenlik yazılımlarının yeterliliği irdelenir. Bulunan önlemler mutlaka tüm sistemlere uygulanır.
Kayıt ve Kanıt Toplama
  • Kayıt ve kanıt toplama aşamasında, öncelikle olayın ve sorumlunun tespit edilebileceği kayıtların bütünlüğünün bozulmadığı kontrol edilir.
  • Yalnızca bütünlüğü korunmuş kayıtlar kanıt için kullanılır.
  • Bilgi güvenliği ihlal olayları için toplanan deliller 3 yıl boyunca saklanır.
  • Bilgi güvenliği ihlal olayı tespiti ile ilgili durumlarda, varsa mutlaka kamera kayıtları, erişim kayıtları, kontrol kayıtları, sistem güvenlik yazılımları tarafından tutulan kayıtlar, sorunların çözülmesi için gerekli maliyet kayıtları, bilgigüvenliği ihlal olaylarının değerlendirilmesi için ihtiyaç duyulabilecek ve gelecekteki olayların sıklığı, hasar ve maliyet sınırlarını belirleyecek kayıtlar saklanır.
İyileştirme
  • Bilgi güvenliği ve kişisel verilerin korunması konusunda çalışanlara farkındalık eğitimi verilmelidir.
  • Bilgi yönetim sisteminde kullanılan parolalar, Bakanlık parola politikaları ile uyumlu olmalıdır.
  • Bilgi yönetim sistemi sorumluları ve kullanıcılarına gizlilik sözleşmesi imzalatılmalıdır.
  • Bilgi yönetim sistemine yönelik fiziksel tehlikeler, yazılım ve donanımla ilgili sorunlar, bilgi güvenliği, bilgi mahremiyeti, kişisel verilerin korunması, kullanıcı hataları gibi konularda risk değerlendirmesi yapılmalıdır.
  • Bilgi güvenlik ihlalerinde düzeltici faaliyetler ile durum analizi değerlendirmesi yapılarak, iyileştirmeler yapılır ve iyileştirme sonrası üst yönetim ve çalışanlar bilgilendirilir.