MOBİSERA BİLİŞİM İÇ VE DIŞ TİCARET LİMİTED ŞİRKETİ

KİŞİSEL VERİ İŞLEME, SAKLAMA VE İMHA POLİTİKAMIZ


İÇİNDEKİLER


VERİ GİZLİLİĞİ TAAHHÜDÜ


AMAÇ


KAPSAM

  1. KİŞİSEL VERİLERİN SINIFLAMASI

1.1 Kişisel Veriler

1.2 Özel nitelikli kişisel veriler

  1. KİŞİSEL VERİLERİN İŞLENMESİNDE UYGULANACAK İLKELER

2.1. Hukuka ve Dürüstlük Kuralına Uygun Kişisel Veri İşleme Faaliyetlerinde Bulunma

2.2. Kişisel Verilerin Doğru ve Gerektiğinde Güncel Olması İçin Önlem Alma

2.3. Kişisel Verileri Belirli, Açık ve Meşru Amaçlarla İşleme

2.4. Kişisel Verilerin İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olması

2.5. İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç İçin Gerekli Olan Süre Kadar Muhafaza Etme ve Silme/Yok etme ya da Anonimleştirme


  1. KİŞİSEL VERİLERİN SAKLAMA VE İMHA ŞARTLARI


  1. WWW.HEALTH40CON.COM’UN YÜKÜMLÜLÜKLERİ


4.1. Kişisel Veri Sahibini Aydınlatma Yükümlülüğü

4.2. Kişisel Veri Sahiplerinin Başvurularını Yanıtlandırma Yükümlülüğü

4.3. Kişisel Verilerin Güvenliğini Sağlama Yükümlülüğü

4.3.1. Hukuka Uygun Veri İşlenmesinin Temini İçin Teknik ve İdari Tedbirlerin Alınması

4.3.2. Kişisel Verilere Hukuka Aykırı Erişimi Engellemek için Teknik ve İdari

Tedbirlerin Alınması

4.4. Veri Sorumluları Siciline Kaydolma Yükümlülüğü


  1. TEKNİK VE İDARİ TEDBİRLER


  1. WWW.HEALTH40CON.COM BÜNYESİNDE ORGANİZASYONEL YAPILANMA



  1. GÜNCELLENME PERİYODU


  1. SAKLAMA VE İMHA SÜRELERİ


  1. KİŞİSEL VERİLERİN İMHA USÜLLERİ


  1. KİŞİSEL VERİLERİN KAYIT ORTAMLARI


  1. SAKLAMA VE İMHA SÜRELERİ TABLOSU


  1. PERSONEL UNVAN, BİRİM VE GÖREV LİSTESİ


  1. YÜRÜRLÜLÜK


  1. DİĞER HUSUSLAR

EK-1 TANIMLAR

EK-2 KİŞİSEL VERİ İŞLEME ENVANTERİ





VERİ GİZLİLİĞİ TAAHHÜDÜ


İşbu Özel Nitelikli Kişisel Verilerin Güvenliğine Yönelik Politika (“Politika”), Mobisera Bilişim İç ve Dış Ticaret Limited Şirketi’nin (“Şirket”) 6698 Sayılı Kişisel Verilerin Korunması Kanunu başta olmak üzere ilgili mevzuat hükümleri uyarınca Özel Nitelikli Kişisel Verileri korumaya yönelik yükümlülüklerini yerine getirirken, Özel Nitelikli Kişisel Verileri işlerken Şirket içerisinde ve/veya Şirket tarafından uyulması gereken esasları belirlemektedir.


Şirketimiz kendisi ile iş ilişkisi içerisinde bulunan tüm üyeleri ile işbirliği yaptığı, partner ve/veya partner yetkililerine ait her türlü kişisel veri ve özel nitelikli kişisel verinin gizliliğini korumak için sistem altyapısı ve internet sunumlarını en güvenilir seviyede tutmaktadır. Şirketimiz Politikaya ve Politikaya bağlı olarak uygulanacak prosedürlere uygun davranmayı taahhüt eder.


AMAÇ


Kanunun 16 ncı maddesi gereğince Veri Sorumluları Siciline kayıt olmakla yükümlü olan veri sorumluları, kişisel veri işleme envanterine uygun olarak kişisel veri saklama ve imha politikası hazırlamakla yükümlüdür.


Bu Politika Mobisera Bilişim İç ve Dış Ticaret Limited Şirketi’nde kişisel verilerin işlenmesi ve korunması konusunda KVKK’ya uyum sağlamak amacıyla ilgili tüm ürün ve hizmetleri özelinde yürütülecek uyum faaliyetlerinin en üst düzeyde yönetilmesini ve eşgüdümün sağlanmasını temin etmek hedefiyle hazırlanmıştır.


Mobisera Bilişim İç ve Dış Ticaret Limited Şirketi tarafından belirlenen ilkeler doğrultusunda www.health40con.com iç işleyişinde uyum için gerekli düzenlemeleri yapacak çalışanlarının ve iş ortaklarının farkındalığının oluşması için gerekli sistemi oluşturacaktır.


KAPSAM


İşbu Politika; Mobisera Bilişim İç ve Dış Ticaret Limited Şirketi’nin işlemekte olduğu kişisel verilere yönelik tüm faaliyetleri kapsar ve söz konusu faaliyetlere uygulanırken, anonim hale getirilmiş veriler veya kişisel veri niteliği taşımayan verilere uygulanmaz.


Hazırlanan bu politika kişisel verileri koruma kurulu düzenlemelerinin gerektirmesi halinde yahut Mobisera Bilişim İç ve Dış Ticaret Limited Şirketi’nin Veri Sorumlusu Temsilcisi yahut komitesinin gerekli gördüğü hallerde zaman zaman değiştirilebilir. Bu yüzden belirli aralıklarla takip ediniz


İşbu Politika, Mobisera Bilişim İç ve Dış Ticaret Limited Şirketi ve kontrolü altındaki iştiraklerinin tamamına uygulanmakta ve kişisel verinin işlenmesi amacıyla tatbik edilmektedir.


İşbu Politika gerek ulusal kanunları gerekse uluslararası olarak kabul görmüş kişisel veri işleme ve veri gizliliği ilkelerini kapsamaktadır. Ulusal veri işleme ve veri gizliliği kanunları esas olup; işbu Politika ile uluslararası olarak kabul görmüş kişisel veri işleme ve veri gizliliği kanunlarının çelişmesi durumunda, ilgili ulusal kanun önce gelecektir.



  1. KİŞİSEL VERİLERİN SINIFLAMASI

    1. Kişisel Veriler


KVK Kanunu kişisel verileri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi olarak tanımlamaktadır. Bu bağlamda, kişinin verilerinin belli veya belirlenebilir olması (bir başka bilgi ile bir araya getirildiğinde kişiye ulaşılması) gerekmektedir. Bir kişinin adı, soyadı, doğum tarihi ve yeri, kimlik, sosyal güvenlik numarası, telefon numarası, adresi, görüntüleri, ödeme bilgileri, sağlık bilgileri ve benzeri bilgiler kişisel veri tanımına girmektedir.


  1. Özel nitelikli kişisel veriler

Özel nitelikli kişisel veriler; öğrenildiği taktirde ilgili kişinin mağdur olmasına veya ayrımcılığa maruz kalmasına neden olabilecek nitelikteki bilgiler olup; KVK Kanunu 6. maddesinin 1.fıkrasında şu şekilde sayılmaktadır: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi, veya diğer inançları, kılık ve kıyafeti, dernek, vakıf yada sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti, ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri. Özel nitelikli kişisel verilerin kanunda açıkça yetki verilen durumlar dışında ilgilinin açık rızası olmaksızın işlenmesi yasaktır.

Bu kapsamda; Mobisera Bilişim İç ve Dış Ticaret Limited Şirketi tarafından bu tür kişisel veriler Kanun gereği işlenmesi gereken durumlar dışında işlenmez veya ilgilinin açıkça rızası alınarak KVK Kanunu 6. maddesi uyarınca belirtilen şartlara uygun olarak işlenir.

  1. KİŞİSEL VERİLERİN İŞLENMESİNDE UYGULANACAK İLKELER


Bu Politika, Mobisera Bilişim İç ve Dış Ticaret Limited Şirketi’nin KVKK ve ilgili mevzuat tarafından ortaya konulan kuralları somut olarak nasıl uygulayacağına ilişkin yol gösterici bir nitelik taşımaktadır.


www.health40con.com bu Politikayı rehber edinerek kendi bünyesinde gerçekleştireceği kişisel veri işleme faaliyetlerini analiz edecek, bu Politikaya uyum için gerekli aksiyonları belirleyecek ve her türlü teknik ve idari önlemi alacaklardır. Belirlenen aksiyonlar hayata geçirildikten sonra iç denetim mekanizmaları işletilerek Politikaya uygunluğun devamlılığı sağlanacaktır.


www.health40con.com bünyesinde bu Politikaya uyumluluğun sağlanması amacıyla çalışanların farkındalığının sağlanması için çalışmalar yapılacak, yeni başlayan çalışanlar için gerekli uyum süreçleri işletilecek ve partnerler ile ilişkilerinde gerekli düzenlemeler yapılacaktır.


Kişisel verilerin silinmesi, yok edilmesi, anonim hale getirilmesiyle ilgili yapılan tüm işlemler Mobisera Bilişim İç ve Dış Ticaret Limited Şirketi tarafından kayıt altına alınmakta ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az 3 yıl süreyle saklanmaktadır.


Kişisel verilerin işlenmesi sırasında dikkate alınacak ilkelere aşağıda başlıklar halinde yer verilmiştir.


  1. Hukuka ve Dürüstlük Kuralına Uygun Kişisel Veri İşleme Faaliyetlerinde Bulunma

www.health40con.com kişisel verilerin işlenmesi faaliyetleri kapsamında hukuka ve dürüstlük kurallarına uygun hareket edecektir. Bu kapsamda www.health40con.com, kişisel verilerin işlenmesinde orantılılık ve gereklilik prensiplerini uygulamaya koyarak sadece gerektiği kadar kişisel veriyi, veri işleme amaçlarına uygun olarak işleyecektir.


  1. Kişisel Verilerin Doğru ve Gerektiğinde Güncel Olması İçin Önlem Alma

www.health40con.com , işlemekte olduğu kişisel verilerin doğru ve güncel olmasını sağlayacak ve bu doğrultuda gerekli tedbirleri alacaktır. Veri Öznesi, Kişisel Verilere yönelik değişiklik talep etmesi durumunda ilgili Kişisel Verileri günceller.


  1. Kişisel Verileri Belirli, Açık ve Meşru Amaçlarla İşleme

www.health40con.com, kişisel verileri belirli, açık ve hukuka uygun sebeplerle işleyecektir. Bu kapsamda www.health40con.com kişisel verilerin hangi amaçla işleneceğini belirlenecek ve bu amaçları kişisel verileri işlenmeden önce veri sahiplerinin bilgisine sunacaktır. Kişisel veriler, belirtilen amaçlar dışında işlenmeyecektir www.health40con.com tarafından belirlenen veri işleme amaçları meşru ve hukuka uygun olacaktır. Veri Öznesi KVK Düzenlemeleri kapsamında aydınlatılır ve gereken hallerde Açık Rızaları alınır.


  1. Kişisel Verilerin İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olması

www.health40con.com, kişisel verileri belirlenen amaçların gerçekleştirilebilmesine elverişli bir biçimde işleyecek ve amacın gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınacaktır. Yeni amaç ile veri toplanacaksa veri öznesi bilgilendirilecek ve onayı alınacaktır


  1. İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç İçin Gerekli Olan Süre Kadar Muhafaza Etme ve Silme/Yok etme yada Anonimleştirme


www.health40con.com kişisel verileri yalnızca kanunlarda öngörülen süreler ile veya işlendikleri amaç ile sınırlı olarak muhafaza edecek ve sonrasında silme/yok etme veya anonimleştirme işlemini gerçekleştirecektir. Bu kapsamda, ilgili mevzuatta kişisel verilerin saklanması için bir süre belirlenmişse bu süreye uygun davranacaktır. Bir süre belirlenmemişse, kişisel veriler işlendikleri amaç için gerekli olan süre kadar muhafaza edilecektir.


Kanun’un 5. ve 6. maddelerinde yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması halinde, kişisel veriler Mobisera Bilişim İç ve Dış Ticaret Limited Şirketi tarafından re ’sen veya ilgili kişinin talebi üzerine silinmekte, yok edilmekte veya anonim hale getirilmektedir. Bu hususta İlgili Kişi tarafından Mobisera Bilişim İç ve Dış Ticaret Limited Şirketi’ne başvurulması halinde;

a. İletilen talepler en geç 30 (otuz) gün içerisinde sonuçlandırılmakta ve ilgili kişiye bilgi verilmektedir,

b. Talebe konu verilerin üçüncü kişilere aktarılmış olması durumunda, bu durum verilerin aktarıldığı üçüncü kişiye bildirilmekte ve üçüncü kişiler nezdinde gerekli işlemlerin yapılması temin edilmektedir.



  1. KİŞİSEL VERİLERİN SAKLAMA VE İMHA ŞARTLARI


Kişisel veriler kural olarak, KVKK’nın 5 numaralı maddesinde belirtilen kişisel veri işleme şartlarından bir veya birkaçına dayalı olarak işlenebilmektedir. Bu kapsamda Www.health40con.com kişisel veri işleme faaliyetlerinin bu şartlardan birinin kapsamına girip girmediğini kontrol eder.


Veri sahiplerine ait kişisel veriler, Mobisera Bilişim İç ve Dış Ticaret Limited Şirketi tarafından özellikle ticari faaliyetlerin sürdürülebilmesi, hukuki yükümlülüklerin yerine getirilebilmesi, çalışan haklarının planlanması ve ifası ile üye ilişkilerinin yönetilebilmesi amacıyla fiziki veyahut elektronik ortamlarda güvenli bir biçimde KVKK ve diğer ilgili mevzuatta belirtilen sınırlar çerçevesinde saklanmaktadır.


Saklamayı gerektiren nedenler aşağıdaki gibidir:

a. Kişisel verilerin sözleşmelerin kurulması ve ifası ile doğrudan doğruya ilgili olması nedeniyle saklanması,

b. Kişisel verilerin bir hakkın tesisi, kullanılması veya korunması amacıyla saklanması,

c. Kişisel verilerin kişilerin temel hak ve özgürlüklerine zarar vermemek kaydıyla Mobisera Bilişim İç ve Dış Ticaret Limited Şirketi’nin meşru menfaatleri için saklanmasının zorunlu olması,

d. Kişisel verilerin Mobisera Bilişim İç ve Dış Ticaret Limited Şirketi’nin herhangi bir hukuki yükümlülüğünü yerine getirmesi amacıyla saklanması,

e. Mevzuatta kişisel verilerin saklanmasının açıkça öngörülmesi,

f. Veri sahiplerinin açık rızasının alınmasını gerektiren saklama faaliyetleri açısından veri sahiplerinin açık rızasının bulunması.


Yönetmelik uyarınca, aşağıda sayılan hallerde veri sahiplerine ait kişisel veriler, Mobisera Bilişim İç ve Dış Ticaret Limited Şirketi tarafından re ’sen yahut talep üzerine silinir, yok edilir veya anonim hale getirilir:

a. Kişisel verilerin işlenmesine veya saklanmasına esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası,

b. Kişisel verilerin işlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,

c. Kanun’un 5. ve 6. maddelerindeki kişisel verilerin işlenmesini gerektiren şartların ortadan kalkması.

d. Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin rızasını geri alması,

e. İlgili kişinin, Kanun’un 11. maddesinin2 (e) ve (f) bentlerindeki hakları çerçevesinde kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin yaptığı başvurunun veri sorumlusu tarafından kabul edilmesi,

f. Veri sorumlusunun, ilgili kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabın yetersiz bulunması veya Kanun’da öngörülen süre içinde cevap vermemesi hallerinde; Kurul’a şikâyette bulunulması ve bu talebin Kurul tarafından uygun bulunması,

g. Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olmasına rağmen, kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması,


KVKK’da özel nitelikteki kişisel verilerin işlenmesi için özel önlemler getirilebileceği düzenlenmiştir. Bu kapsamda özel nitelikli kişisel veriler işlenirken Kurul tarafından belirlenecek önlemler alınır.


Kişisel verilerin yurt içinde veya yurt dışında üçüncü kişilere aktarılması konusunda, KVKK’nın 8 ve 9 numaralı maddelerinde öngörülen düzenlemelere uygun hareket etmeye yönelik gerekli organizasyonel sistemler kurgulanmalıdır. Kişisel veriler aktarılırken işleme amaçları doğrultusunda gerekli güvenlik önlemleri alınmalıdır.


Kişisel verilerin hukuka aykırı işlenmesinin önüne geçilmesi adına www.health40con.com bünyesinde gerekli sistemler kurgulanarak kurum içi farkındalık yaratılır.


  1. WWW.HEALTH40CON.COM’UN YÜKÜMLÜLÜKLERİ


  1. Kişisel Veri Sahibini Aydınlatma Yükümlülüğü

www.health40con.com, kişisel verilerin elde edilmesi sırasında verileri işlenecek kişileri, verilerinin ne şekilde işleneceği konusunda aydınlatacaktır. KVKK’da, bilgilendirmede yer alması gereken asgari hususlar sayılmıştır. Bu bilgiler aşağıdaki gibidir:


  1. Veri sorumlusu olarak Mobisera Bilişim İç ve Dış Ticaret Limited Şirketi’nin ve varsa temsilcisinin kimliği,

  2. Kişisel verilerin hangi amaçla işleneceği,

  3. Kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,

  4. Kişisel veri toplamanın yöntemi ve hukuki sebepleri,

  5. Kişisel veri sahibinin sahip olduğu haklar.


Bu kapsamda, Www.health40con.com tarafından öncelikle kişisel veri toplama kanalları tespit edilerek, her kanal özelinde aydınlatma noktaları ve metinleri belirlenecektir


  1. Kişisel Veri Sahiplerinin Başvurularını Yanıtlandırma Yükümlülüğü

Kişisel veri sahipleri, yazılı olarak veya Kurul’un belirleyeceği diğer yöntemlerle başvuruda bulunarak kendi verilerine ilişkin KVKK’da yer alan haklarını kullanabilirler.


Bu kapsamda, www.health40con.com, kişisel veri sahiplerinin haklarının yerine getirilmesi için KVKK’nın 13 numaralı maddesi kapsamındaki yükümlülüklerini yerine getirmek için gereken idari ve teknik önlemleri alacaktır.


KVKK kapsamında kişisel veri sahipleri aşağıdaki haklara sahiptir:

  1. Kişisel veri işlenip işlenmediğini öğrenme,

Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,

2. Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,

3. Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,

  1. Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,

  2. KVKK ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,

  3. İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,

  4. Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme.


Mobisera Bilişim İç ve Dış Ticaret Limited Şirketi talebin niteliğine göre ilgili talebi en geç otuz gün içinde yanıtlandırmak zorundadır. Değerlendirme sonucunda Mobisera Bilişim İç ve Dış Ticaret Limited Şirketi başvuruları kabul ederek gereken aksiyonları alabilecekleri gibi başvuruları gerekçeli olarak reddedebilirler.


Kişisel veri sahibi, başvurusunun reddedilmesi, verilen cevabı yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hallerinde 30 gün içerisinde Kurul’a şikâyette bulunabilir. Bu şikâyetleri engellemek adına kişisel veri sahiplerine zamanında ve tatmin edici cevaplar verilmelidir.


  1. Kişisel Verilerin Güvenliğini Sağlama Yükümlülüğü

Mobisera Bilişim İç ve Dış Ticaret Limited Şirketi işlemekte olduğu kişisel verilerin hukuka aykırı olarak işlenmesini ve verilere hukuka aykırı olarak erişilmesini engellemek ve verilerin muhafazasını sağlamak için uygun güvenlik düzeyini sağlamaya yönelik gerekli teknik ve idari tedbirleri alacaktır


Kurul ileride veri güvenliğine ilişkin yükümlülükler hakkında detaylı düzenlemeler getirebilecektir. Mobisera Bilişim İç ve Dış Ticaret Limited Şirketi gelecek düzenlemelere uyum sağlamak konusunda çalışmaları yürütmekle yükümlüdür.


Mobisera Bilişim İç ve Dış Ticaret Limited Şirketi, alacağı teknik ve idari tedbirler bakımından tedbirlerin işleyişi ile ilgili olarak gerekli denetimleri yapmaya ve yaptırmaya yönelik sistemleri kurgulamalıdır.


Mobisera Bilişim İç ve Dış Ticaret Limited Şirketi, işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde bu durumu en kısa sürede ilgili kişisel veri sahibine ve mevzuatın gerektirmesi halinde Kurul’a bildirmekle yükümlüdür. Bu kapsamda gerekli organizasyonel yapı kurulacaktır


Www.health40con.com tarafından güvenlik riski teşkil eden durumlar tespit edilirse vakit kaybetmeksizin söz konusu riski ortadan kaldıracak önlemler alınacaktır.


  1. Hukuka Uygun Veri İşlenmesinin Temini İçin Teknik ve İdari Tedbirlerin Alınması


Kişisel verilerin hukuka uygun işlenmesi için aşağıdaki tedbirler www.health40con.com tarafından alınacaktır:

  1. www.health40con.com bünyesindeki veri işleme faaliyetlerine ilişkin tüm süreçler iş birimleri bazında analiz edilmeli, bu kapsamda bir sistem oturtulacaktır

  2. Kişisel veri işleme sistemi uyarınca, hukuka uygunluğun sağlanması için yerine getirilecekler birim bazında belirlenecektir

  3. Gerçekleştirilen kişisel veri işleme süreçleri geliştirilecek teknik sistemlerle denetlenecek

  4. www.health40con.com çalışanları, kişisel verilerin hukuka uygun olarak işlenmesi ve hukuka aykırı veri işlemenin yaptırımları konusunda bilgilendirilip ve eğitilecektir.

  5. Çalışanlarda farkındalığın sağlanması için düzenli denetimler yapılmakta ve gerekli idari tedbirler www.health40con.com iç politikaları ve eğitimleri yoluyla hayata geçirilmektedir

  6. www.health40con.com ile çalışanları, iştirakleri, iş ortakları, tedarikçileri ve müşterileri arasındaki hukuki ilişkiyi yöneten sözleşme ve belgelere, paylaşılan kişisel verilerin gizliliğine ve ne şekilde işlenmesi ve saklanması gerektiğine ilişkin kayıtlar konulmaktadır.

  7. Kişisel verilere erişim, işleme amacı doğrultusunda görevli çalışanlarla sınırlandırılmakta. Çalışanların, görevleri gereği kullanmadıkları kişisel verilere erişimleri sınırlandırılmaktadır.


  1. Kişisel Verilere Hukuka Aykırı Erişimi Engellemek için Teknik ve İdari Tedbirlerin Alınması


Kişisel verilere hukuka aykırı erişimi engellemek için aşağıdaki tedbirler www.health40con.com tarafından alınmaktadır.


  1. Kişisel verilerin saklandığı sistem ve konumlara erişimin engellenmesi için teknolojiye uygun alınan teknik önlemler periyodik olarak güncellenmektedir.

  2. www.health40con.com tarafından, iş birimi bazlı hukuksal uyum gerekliliklerine uygun olarak erişim ve yetkilendirme teknik süreçleri tasarlanmakta ve uygulanmaktadır.

  3. Alınan teknik önlemler periyodik olarak ilgilisine raporlanıp, güvenlik riski olan hususlara teknolojik çözüm üretilmektedir.

  4. Virüs koruma sistemleri ve güvenlik duvarlarını içeren yazılımlar ve donanımlar da dâhil ilgili yazılım ve sistemler kurulmaktadır

  5. www.health40con.com çalışanları, bu kapsamda alınan teknik tedbirler konusunda eğitilmekte ve teknik konularda bilgili personel istihdam edilmiştir

  6. www.health40con.com çalışanlarından, öğrendikleri kişisel verileri KVKK hükümlerine aykırı olarak başkasına açıklamayacakları ve işleme amacı dışında kullanamayacakları konusunda taahhüt alınmaktadır. Bu taahhüt işten ayrılmalarından sonra da devam edecektir.

  7. www.health40con.comtarafından kişisel verilerin aktarıldığı kişiler ile akdedilen sözleşmelere, kişisel verilerin korunması amacıyla gerekli güvenlik tedbirlerinin alınmasına ilişkin hükümler eklenmektedir.


  1. Veri Sorumluları Siciline Kaydolma Yükümlülüğü


Mobisera Bilişim İç ve Dış Ticaret Limited Şirketi, KVKK’a başvuru bilgi ve belgelerini sunarak Veri Sorumluları Sicili ’ne kayıt olacaktır. Sunulacak bilgiler aşağıdaki gibidir (Kurul tarafından çıkarılacak ikincil düzenlemeler ile ek bilgi ve belgelerin talep edilmesi mümkündür):


  1. Veri sorumlusu olarak Mobisera Bilişim İç ve Dış Ticaret Limited Şirketi’nin ve varsa yetkilisinin kimlik ve adres bilgileri,

  2. Kişisel verilerin hangi amaçla işleneceği,

  3. Veri konusu kişi grubu ve grupları ile bu kişilere ait veri kategorileri hakkındaki açıklamalar,

  4. Kişisel verilerin aktarılabileceği alıcı veya alıcı grupları,

  5. Yabancı ülkelere aktarımı öngörülen kişisel veriler,

  6. Kişisel veri güvenliğine ilişkin alınan tedbirler,

  7. Kişisel verilerin işlendikleri amaç için gerekli olan azami süre.


  1. TEKNİK VE İDARİ TEDBİRLER

Kişisel verilerinizin güvenli bir şekilde saklanması, hukuka aykırı olarak işlenmesi, erişilmesinin önlenmesi ve verilerin hukuka uygun olarak imha edilmesi amacıyla KVKK’nın 12. Maddesindeki 3 ilkeler çerçevesinde, Mobisera Bilişim İç ve Dış Ticaret Limited Şirketi tarafından alınmış olan tüm idari ve teknik tedbirler aşağıda sayılmıştır:


A. İdari Tedbirler:


Mobisera Bilişim İç ve Dış Ticaret Limited Şirketi idari tedbirler kapsamında;


a. Saklanan kişisel verilere Şirket içi erişimi iş tanımı gereği erişmesi gerekli personel ile sınırlandırır. Erişimin sınırlandırılmasında verinin özel nitelikli olup olmadığı ve önem derecesi de dikkate alınır.


b. İşlenen kişisel verilerin hukuka aykırı yollarla başkaları tarafından elde edilmesi hâlinde, bu durumu en kısa sürede ilgilisine ve Kurul’a bildirir.


c. Kişisel verilerin paylaşılması ile ilgili olarak, kişisel verilerin paylaşıldığı kişiler ile kişisel verilerin korunması ve veri güvenliğine ilişkin çerçeve sözleşme imzalar yahut mevcut sözleşmesine eklenen hükümler ile veri güvenliğini sağlar.


d. Kişisel verilerin işlenmesi hakkında bilgili ve deneyimli personel istihdam eder ve personeline kişisel verilerin korunması mevzuatı ve veri güvenliği kapsamında gerekli eğitimleri verir.


e. Kendi tüzel kişiliği nezdinde Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapar ve yaptırır. Denetimler sonucunda ortaya çıkan gizlilik ve güvenlik zafiyetlerini giderir.


B. Teknik Tedbirler:


Mobisera Bilişim İç ve Dış Ticaret Limited Şirketi teknik tedbirler kapsamında;


a. Kurulan sistemler kapsamında gerekli iç kontrolleri yapar.


b. Kurulan sistemler kapsamında bilgi teknolojileri risk değerlendirmesi ve iş etki analizinin gerçekleştirilmesi süreçlerini yürütür.


c. Verilerin kurum dışına sızmasını engelleyecek veyahut gözlemleyecek teknik altyapının temin edilmesini ve ilgili matrislerin oluşturulmasını sağlar.


d. Düzenli olarak ve ihtiyaç oluştuğunda sızma testi hizmeti alarak sistem zafiyetlerinin kontrolünü sağlar.


e. Bilgi teknolojileri birimlerinde çalışanların kişisel verilere erişim yetkilerinin kontrol altında tutulmasını sağlar.


f. Kişisel verilerin yok edilmesi geri dönüştürülemeyecek ve denetim izi bırakmayacak şekilde sağlanır.


g. Kanun’un 12. maddesi uyarınca, kişisel verilerin saklandığı her türlü dijital ortam, bilgi güvenliği gereksinimlerini sağlayacak şekilde şifreli veyahut kriptografik yöntemler ile korunur.


  1. WWW.HEALTH40CON.COM BÜNYESİNDE ORGANİZASYONEL YAPILANMA

Www.health40con.com bünyesinde işbu politika ve bu politikaya bağlı ve ilişkili diğer politikaları yönetmek üzere, Mobisera Bilişim İç ve Dış Ticaret Limited Şirketi tarafından “Kişisel Verilerin Korunması Komitesi” veya Veri sorumlu temsilcisi olacak kişi atanmıştır. (Personel görev unvan ve birim listesi tablo olarak bu metin içinde paylaşılmıştır)


Bu kapsamda Komite veya atanacak kişi tarafından aşağıda sıralanan asgari çalışmaları gerçekleştirmelidir;


  1. Kişisel verilerin işlenmesi ve korunması ile ilgili temel politikaları ve mevzuatla uyum sağlanması için yapılması gerekenleri belirlemek,

  2. Belirlenen temel politika ve aksiyon adımlarını şirket yönetiminin onayına sunmak; uygulanmasını gözetmek ve koordinasyonunu sağlamak,

  3. Kişisel verilerin işlenmesi ve korunmasına ilişkin politikaların nasıl uygulanacağına ve denetimin ne şekilde yapılacağına karar vermek, yönetimin onayını aldıktan sonra gerekli görevlendirmelerde bulunmak,

  4. Şirketin kişisel veri işleme faaliyetlerinde oluşabilecek riskleri tespit ederek gerekli önlemlerin alınmasını temin etmek; iyileştirme önerilerini yönetimin onayını sunmak,

  5. Çalışanların kişisel verilerin korunması ve Şirket politikaları konusunda eğitilmelerini sağlamak,

  6. Kişisel veri sahiplerinin başvurularını en üst düzeyde karara bağlamak,

  7. Şirketin KVKK kapsamındaki yükümlülüklerini yerine getirmesi için şirket içinde gerekli düzenlemelerde bulunmak,

  8. Kişisel verilerin korunması konusundaki gelişmeleri takip etmek; bu gelişmeler kapsamında yapılması gerekenler konusunda üst yönetime tavsiyelerde bulunmak,

  9. Kurum ve Kurul ile olan ilişkileri yönetmek.


  1. GÜNCELLENME PERİYODU

Şirketin ekonomik ve ticari kararı veya Kişisel Verilerin Korunması Kurulu ilke kararları doğrultusunda değişiklik yapılması durumunda işbu durum verileri kayıt altına alınan üyelerimize kayıt oldukları yol ile bildirilecektir.

  1. SAKLAMA VE İMHA SÜRELERİ

Aydınlatma Metni’nde anılan kanallar vasıtasıyla www.health40con.com ile paylaşmış olduğunuz Kişisel Verileriniz ve Özel Nitelikli Kişisel Verileriniz, KVKK başta olmak üzere ilgili mevzuatlara zorunlu kılınan sürelere uygun şekilde, hizmet sunduğumuz süre boyunca meşru amaçlar ortadan kalkmadığı müddetçe işlenecektir.

Mobisera Bilişim İç ve Dış Ticaret Limited Şirketi tarafından KVKK ve diğer ilgili mevzuat hükümlerine uygun olarak elde edilen kişisel verilerinizin saklama ve imha sürelerinin tespitinde aşağıda sırasıyla belirtilen ölçütlerden yararlanılmaktadır:

  1. Mevzuatta söz konusu kişisel verinin saklanmasına ilişkin olarak bir süre öngörülmüş ise bu süreye riayet edilir. Anılan sürenin sona ermesi akabinde veri hakkında 2. bent kapsamında işlem yapılır.

  2. Söz konusu kişisel verinin saklanmasına ilişkin olarak mevzuatta öngörülen sürenin sona ermesi veya ilgili mevzuatta söz konusu verinin saklanmasına ilişkin olarak herhangi bir süre öngörülmemiş olması durumunda sırasıyla;


  1. Kişisel veriler, KVKK’nın 6. maddesinde yer alan tanımlama baz alınarak, kişisel veriler ve özel nitelikli kişisel veriler olarak sınıflandırmaya tabi tutulur. Özel nitelikte olduğu tespit edilen tüm kişisel veriler için imha/anonim hale getirme işlemi yapılır. Söz konusu verilerin imhasında uygulanacak yöntem verinin niteliği ve saklanmasının Mobisera Bilişim İç ve Dış Ticaret Limited Şirketi nezdindeki önem derecesine göre belirlenir.

  2. Verinin saklanmasının KVKK’nın 4. maddesinde belirtilen ilkelere uygunluğu örneğin; verinin saklanmasında Mobisera Bilişim İç ve Dış Ticaret Limited Şirketi’nin meşru bir amacının olup olmadığı sorgulanır. Saklanmasının KVKK’nın 4. maddesinde yer alan ilkelere aykırılık teşkil edebileceği tespit edilen veriler silinir, yok edilir ya da anonim hale getirilir.

  3. Verinin saklanmasının KVKK’nın 5. ve 6. maddelerinde öngörülmüş olan istisnalardan hangisi/hangileri kapsamında değerlendirilebileceği tespit edilir. Tespit edilen istisnalar çerçevesinde verilerin saklanması gereken makul süreler tespit edilir. Söz konusu sürelerin sona ermesi halinde veriler silinir, yok edilir ya da anonim hale getirilir.

  4. Mobisera Bilişim İç ve Dış Ticaret Limited Şirketi tarafından tespit edilen saklama, imha ve periyodik imha sürelerine, işbu Politika’nın ekinde (Ek-2) yer alan ‘‘Kişisel Veri İşleme Envanteri’’nden ulaşabilirsiniz.

  5. Saklama süresi dolan kişisel veriler, işbu Politika’nın ekinde (Ek-2) yer alan imha süreleri çerçevesinde, 6 aylık periyodlarla işbu Politika’da yer verilen usullere uygun olarak imha edilir.

  6. Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesiyle ilgili yapılan bütün işlemler kayıt altına alınır ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az üç yıl süreyle saklanır.


  1. KİŞİSEL VERİLERİN İMHA USÜLLERİ


Mobisera Bilişim İç ve Dış Ticaret Limited Şirketi tarafından KVKK ve diğer ilgili mevzuata uygun olarak elde edilen kişisel veriler Kanun ve Yönetmelik’te sayılan kişisel veri işleme amaçlarının ortadan kalkması halinde Mobisera Bilişim İç ve Dış Ticaret Limited Şirketi tarafından re ‘sen yahut İlgili Kişinin başvurusu üzerine yine Kanun ve ilgili mevzuat hükümlerine uygun olarak aşağıda belirtilen teknikler ile imha edilecektir.


  1. Kişisel Verilerin Silinmesi ve Yok Edilmesi Teknikleri:


Mobisera Bilişim İç ve Dış Ticaret Limited Şirketi tarafından kişisel verilerin silinmesi ve yok edilmesi tekniklerine ilişkin usul ve esaslar aşağıda sayılmıştır:

Kişisel Verilerin Silinmesi:


Yazılımdan Güvenli Olarak Silme: Tamamen veya kısmen otomatik olan yollarla işlenen ve dijital ortamlarda muhafaza edilen veriler silinirken; İlgili Kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilecek biçimde verinin ilgili yazılımdan silinmesine ilişkin yöntemler kullanılır.


Bulut sisteminde ilgili verilerin silme komutu verilerek silinmesi; merkezi sunucuda bulunan dosya veya dosyanın bulunduğu dizin üzerinde ilgili kullanıcının erişim haklarının kaldırılması; veri tabanlarında ilgili satırların veri tabanı komutları ile silinmesi; veya taşınabilir medyada yani flash ortamında bulunan verilerin uygun yazılımlar kullanılarak silinmesi bu kapsamda sayılabilecektir.


Ancak, kişisel verilerin silinmesi işlemi, diğer verilere de sistem içerisinde erişilememe ve bu verileri kullanamama sonucunu doğuracak ise, aşağıdaki koşulların sağlanması kaydıyla, kişisel verilerin ilgili kişiyle ilişkilendirilemeyecek duruma getirilerek arşivlenmesi halinde de kişisel veriler silinmiş sayılacaktır.

− Başka herhangi bir kurum, kuruluş veyahut kişinin erişimine kapalı olması,

− Kişisel verilere yalnızca yetkili kişiler tarafından erişilmesini sağlayacak şekilde gerekli her türlü teknik ve idari tedbirlerin alınması.


Uzman Tarafından Güvenli Olarak Silme: Bazı durumlarda kendisi adına kişisel verileri silmesi için bir uzman ile anlaşabilir. Bu durumda, kişisel veriler bu konuda uzman olan kişi tarafından İlgili Kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilecek biçimde güvenli olarak silinir.


Kâğıt Ortamında Bulunan Kişisel Verilerin Karartılması: Kişisel verilerin amaca yönelik olmayan kullanımını önlemek veya silinmesi talep edilen verileri silmek için ilgili kişisel verilerin fiziksel olarak kesilerek belgeden çıkartılması veya geri döndürülemeyecek ve teknolojik çözümlerle okunamayacak şekilde sabit mürekkep kullanılarak görünemeyecek hale getirilmesi, kapatılması yöntemidir.


Kişisel Verilerin Yok Edilmesi:


De-manyetize Etme: Manyetik medyanın yüksek manyetik alanlara maruz kalacağı özel cihazlardan geçirilerek üzerindeki verilerin okunamaz bir biçimde bozulması yöntemidir. Dikkat edilmelidir ki bu yöntemle yok etme başarılı olmaz ise ancak medyanın fiziksel olarak yok edilmesi ile yok etme işlemi tamamlanmış olabilecektir.


Fiziksel Yok Etme: Kişisel veriler herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla da işlenebilmektedir. Bu tür veriler yok edilirken kişisel verinin sonradan kullanılamayacak biçimde fiziksel olarak yok edilmesi sistemi uygulanmaktadır. Kâğıt ve mikrofiş ortamındaki verilerin yok edilmesi de, başka bir şekilde yok edilmeleri mümkün olmadığından bu şekilde gerçekleştirilmelidir.


Üzerine Yazma: Üzerine yazma yöntemi, özel yazılımlar aracılığı ile manyetik medya ve yeniden yazılabilir optik medya üzerinden en az yedi kez 0 ve 1’lerden oluşan rastgele veriler yazılarak eski verinin okunabilmesi ve kurtarılabilmesini imkânsızlaştıran veri yok etme yöntemidir

“Yukarıda sayılan durumlar gerçekleşmesi sırasında Mobisera Bilişim İç ve Dış Ticaret Limited Şirketi; KVKK, Yönetmelik ve ilgili diğer mevzuat hükümlerine veri güvenliğinin sağlanması amacıyla tam uyum sağlamakta ve gerekli tüm idari ve teknik tedbirleri almaktadır.”


  1. Kişisel Verilerin Anonim Hale Getirilmesi Teknikleri:


Mobisera Bilişim İç ve Dış Ticaret Limited Şirketi tarafından kişisel verilerin anonim hale getirilmesi tekniklerine ilişkin usul ve esaslar aşağıda sayılmıştır:


Değer Düzensizliği Sağlamayan Anonim Hale Getirme Yöntemleri

Değer düzensizliği sağlamayan anonim hale getirme yöntemleri, saklanmakta olan kişisel verilerde bir değişiklik veya ekleme/çıkarma yapılmaksızın; herhangi bir kişisel veri grubunun genelleme, birbiri ile yer değiştirme veya gruptan belirli bir veri veya alt veri grubunun çıkarılması ile uygulanan anonimleştirmeye yöntemleridir.


Değişken Çıkartma: Betimleyici nitelikteki verilerin çıkartılması yöntemi ile toplanılan verilerin bir araya getirilmesinden sonra oluşturulan veri setindeki değişkenlerden “yüksek dereceli betimleyici” olanlar çıkarılarak mevcut veri seti anonim hale getirilmektedir.


Örneğin, aşağıdaki tabloda veri setindeki değişkenlerden yüksek derecede betimleyici olan veri gruplarının çıkartılması ile anonimleştirme sağlanmıştır.


AD

SOYAD

İL

İLÇE

D.TARİHİ

BRANŞ

KURUM

Ahmet

Demir

Samsun

Lâdik

20.12.1971

FTR

Asmalı

Sevgi

On

Hakkâri

Çukurca

12.12.1995

A.Hekimi

Özel

Deniz

Deniz

Manisa

Merkez

14.7.1985

Dâhiliye

Hastane


Kayıtları Çıkartma: Kayıttan çıkarma yönteminde veriler arasında tekillik ihtiva eden veri satırı kayıtlar arasından çıkarılarak saklanan veriler anonim hale getirilmektedir.


Bölgesel Gizleme: Bölgesel gizleme yönteminde ise tek bir verinin çok az görülebilir bir kombinasyon yaratması sebebi ile belirleyici niteliği mevcut ise ilgili verinin gizlenmesi anonimleştirmeyi sağlamaktadır. Örneğin, şirketin futbol takımının yedek listesinde olan ilgili veri sorumluları arasında yalnızca bir kişi 65 yaşında ise yaş, cinsiyet ve sağlık durumu yönünden futbol oynayabilecek olup olmadığı bilgisinin birlikte saklandığı bir veri kümesinde ‘Yaş:65’ yerine ‘Bilinmiyor’ yazılması veya bu kısmın boş bırakılması anonimleştirmeyi sağlayacaktır.


Alt ve Üst Sınır Kodlama: Alt ve üst sınır kodlaması yöntemi ile önceden tanımlanmış kategorilerin yer aldığı bir veri grubundaki değerlerin belirli bir ölçüt belirlenerek birleştirilmesiyle anonim hale getirilmektedir.

Örneğin, Üye hekimin çalışma yılının 5 yıldan az, 5 ile 10 yıl arasında veya 10 yıldan çok olmasına göre (çok deneyimli), (deneyimli) ya da (deneyimsiz) olarak birleştirilerek anonim hale getirilebilir:


Genelleştirme: Veri toplulaştırma yöntemi ile birçok veri toplulaştırılmakta ve kişisel veriler herhangi bir kişiyle ilişkilendirilemeyecek hale getirilmektedir. Örneğin; çalışanların yaşlarının tek tek göstermeksizin X yaşında Z kadar çalışan bulunduğunun ortaya konulması.


Global Kodlama: Veri türetme yöntemi ile kişisel verinin içeriğinden daha genel bir içerik oluşturulmakta ve kişisel verinin herhangi bir kişiyle ilişkilendirilemeyecek hale getirilmesi sağlanmaktadır. Örneğin; doğum tarihleri yerine yaşların belirtilmesi; açık adres yerine ikamet edilen bölgenin belirtilmesi.


Değer Düzensizliği Sağlayan Anonim Hale Getirme Yöntemleri


Değer düzensizliği sağlayan anonim hale getirme yöntemlerinde değer düzensizliği sağlamayanların aksine kişisel veri gruplarında bazı verilerin değiştirilmesi ile bozulma yaratmaktadır. Bu yöntemler kullanılırken elde edilmesi beklenen/istenen fayda doğrultusunda sapmaların dikkatli uygulanması gerekecektir. Toplam istatistiklerin bozulmaması sağlanarak veriden beklenen fayda sağlanmaya devam edilebilir.


Gürültü Ekleme: Verilere gürültü ekleme yöntemi özellikle sayısal verilerin ağırlıklı olduğu bir veri setinde mevcut verilere belirlenen oranda artı veya eksi yönde birtakım sapmalar eklenerek veriler anonim hale getirilmektedir. Örneğin, kilo değerlerinin olduğu bir veri grubunda (+/−) 3 kg sapması kullanılarak gerçek değerlerin görüntülenmesi engellenmiş ve veriler anonimleştirilmiş olur. Sapma her değere eşit ölçüde uygulanır.


Mikro Birleştirme: Mikro birleştirme yönteminde tüm veriler ilk olarak anlamlı bir sıraya dizilerek (büyükten küçüğe gibi) gruplara ayrılıp, grupların ortalaması alınarak elde edilen değer mevcut gruptaki ilgili verilerin yerine yazılarak anonimleştirme sağlanmış olacaktır.


Örneğin, maaş bilgisi için; 10.000 TL altı ve üstü iki grup yapılır ise, 10.000 ve daha az maaş alan kişilerin maaşlarının toplamı kişi sayısına bölünür ve 10.000TL altında maaş alan herkesin maaş kümesine elde edilen bu değer yazılır.


Veri Değiş Tokuşu: Veri değiş tokuşu yönteminde saklanan veriler içerisinden seçilen çiftler arasında bir değişkenin değerleri birbiri ile değiştirilir. Genel olarak kategorize edilebilen veriler için kullanılan bu yöntemde amaç veri sahiplerine ait verilerin birbirleri ile değiştirilerek veri tabanının dönüştürülmesidir.


“KVKK’nın 28. maddesi uyarınca, kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi durumunda bu durum Kanun kapsamı dışında kalacak ve açık rıza temini gerekmeyecektir.”



  1. KİŞİSEL VERİLERİN KAYIT ORTAMLARI


Veri sahiplerine ait kişisel veriler, Mobisera Bilişim İç ve Dış Ticaret Limited Şirketi tarafından aşağıdaki tabloda listelenen ortamlarda başta KVKK hükümleri olmak üzere ilgili mevzuata uygun olarak ve uluslararası veri güvenliği prensipleri çerçevesinde güvenli bir şekilde saklanmaktadır. Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam anlamına gelmektedir.


Elektronik ortamlar:

• Mysql server

• Crm server

Fiziksel ortamlar:

• Birim Dolapları

• ARŞİV


XI. SAKLAMA VE İMHA SÜRELERİ TABLOSU

Şirket tarafından işlenen verilere ait saklama ve imha süreleri Kişisel Veri İşleme Envanterinde süreç bazında tespit edilmiş olup aşağıda yer almaktadır.


SÜREÇ

SAKLAMA SÜRESİ

İMHA SÜRESİ

Kurumsal İletişim Faaliyetlerinin Planlanması ve İcrası

İş ilişkisinin sona ermesini müteakip 10 yıl

Veri sahibinin imha başvurusunu takiben 30 gün içerisinde

Doküman hazırlanması

10 yıl

Saklama süresinin bitimini takiben 180 gün içerisinde

Eğitim kayıtlarının dosyalanması

10 yıl

Saklama süresinin bitimini takiben 180 gün içerisinde

Acil Durum Hazırlıkları

1 yıl

Saklama süresinin bitimini takiben 180 gün içerisinde

Personel Finansman Süreçleri

İş ilişkisinin sona ermesini müteakip 10 yıl

Saklama süresinin bitimini takiben 180 gün içerisinde

Sözleşme sürecinin bir bölümü ve sözleşmenin muhafazası

İş ilişkisinin sona

ermesini müteakip 10 yıl

Saklama süresinin bitimini takiben 180 gün içerisinde

Kaza Raporlama

10 yıl

Saklama süresinin bitimini takiben 180 gün içerisinde

Log/Kayıt/Takip Sistemleri

1 yıl

Saklama süresinin bitimini takiben 180 gün içerisinde

Ana veri oluşturma süreçleri

İş ilişkisinin sona ermesini müteakip 10 yıl

Saklama süresinin bitimini takiben 180 gün içerisinde

Şirket ortakları ve yönetim kurulu

üyelerine ait bilgiler

10 yıl

Saklama süresinin bitimini takiben 180 gün içerisinde

Şirket kredi kartı tahsisi

İş ilişkisinin sona

ermesini müteakip 10 yıl

Saklama süresinin bitimini takiben 180 gün içerisinde

Ödeme işlemleri

İş ilişkisinin sona ermesini müteakip 10 yıl

Saklama süresinin bitimini takiben 180 gün içerisinde

Personel ile ilgili mahkeme/icra bilgi taleplerinin cevaplanması

İş ilişkisinin sona ermesine müteakip 10 yıl

Saklama süresinin bitimini takiben 180 gün içerisinde

Sözleşmelerin hazırlanması

10 yıl

Saklama süresinin bitimini takiben 180 gün içerisinde

İşe alım

İş ilişkisinin sona ermesine müteakip 10 yıl

Saklama süresinin bitimini takiben 180 gün içerisinde

Bordrolama

İş ilişkisinin sona ermesine müteakip 10 yıl

Saklama süresinin bitimini takiben 180 gün içerisinde

Personel özel sağlık ve ferdi kaza sigorta poliçelerinin hazırlanması organizasyonu

1 yıl

Saklama süresinin bitimini takiben 180 gün içerisinde

Çalışanlara araç tahsis edilmesi

1 yıl

Saklama süresinin bitimini takiben 180 gün içerisinde

İş sağlığı ve güvenliği uygulamaları

İş ilişkisinin sona ermesine müteakip 10 yıl

Saklama süresinin bitimini takiben 180 gün içerisinde

Active Directory

İş ilişkisinin sona

ermesini müteakip 10 Yıl

Saklama süresinin bitimini takiben 180 gün içerisinde

Üyelerin Profil Bilgileri

İş İlişkisinin sona ermesini müteakip 10 yıl, Anonimleştirilince süresiz

Veri sahibinin imha başvurusunu takiben 30 gün içerisinde(Anonim veriler imha edilmez)

Üyelerin Paylaşımları

İş İlişkisinin sona ermesini müteakip 10 yıl, Anonimleştirilince süresiz

Veri sahibinin imha başvurusunu takiben 30 gün içerisinde(Anonim veriler imha edilmez)

Üyelerin katıldığı anket, proje, pazarlama faaliyetleri ve bilimsel çalışmalara ait veriler

İş İlişkisinin sona ermesini müteakip 10 yıl, Anonimleştirilince süresiz

Veri sahibinin imha başvurusunu takiben 30 gün içerisinde(Anonim veriler imha edilmez)

Site içinde yer alan ilan ve duyurular

İş İlişkisinin sona ermesini müteakip 1 yıl, Anonimleştirilince süresiz

Veri sahibinin imha başvurusunu takiben 30 gün içerisinde(Anonim veriler imha edilmez)

Üyelerin iletişim bilgileri

İş İlişkisinin sona ermesini müteakip 10 yıl

Veri sahibinin imha başvurusunu takiben 30 gün içerisinde

e-posta aracılığıyla şirket içi ve dışı yapılan yazışmalar

İş İlişkisinin sona ermesini müteakip 1 yıl

Veri sahibinin imha başvurusunu takiben 30 gün içerisinde

Genel Kurul İşlemleri

10 yıl

Saklama süresinin bitimini takiben 180 gün içerisinde

İhale/işyeri açma/bakanlıklar-

Müsteşarlıklar, şirketleri içeren özel ve resmi kurum evrak hazırlama süreçleri

10 yıl

Saklama süresinin bitimini takiben 180 gün içerisinde

Şirketin sahip olduğu E-Bülten, Dergi, Kitap vb. yazılı ve görsel içerikler

İş İlişkisinin sona ermesini müteakip 10 yıl. Fiziki ve finansal imkân olduğunda süresiz saklanır.

Saklama süresinin bitimini takiben 180 gün içerisinde


  1. PERSONEL UNVAN, BİRİM VE GÖREV LİSTESİ

PERSONEL

GÖREV

SORUMLULUK

CEO

Yönetim Departmanı, Kişisel veri saklama ve imha politikası uygulama sorumlusu. Veri Koruma Komitesi Başkanı

Görevi dahilinde olan süreçlerin saklama süresine uygunluğunun sağlanması ile periyodik imha süresi uyarınca kişisel veri imha sürecinin yönetimi

EVP, MEDICAL & CORPORATE GOVERNANCE

Yönetim Departmanı, Veri Sorumlusu(Yetkili kişi).Veri Koruma Komitesi Üyesi

Görevi dahilinde olan süreçlerin saklama süresine uygunluğunun sağlanması ile periyodik imha süresi uyarınca kişisel veri imha sürecinin yönetimi

EVP, OPERATIONS & PROJECTS

Yönetim Departmanı, Veri Koruma Komitesi Üyesi

Görevi dahilinde olan süreçlerin saklama süresine uygunluğunun sağlanması ile periyodik imha süresi uyarınca kişisel veri imha sürecinin yönetimi

EVP, SALES & MARKETING

Yönetim Departmanı, Veri Koruma Komitesi Üyesi

Görevi dahilinde olan süreçlerin saklama süresine uygunluğunun sağlanması ile periyodik imha süresi uyarınca kişisel veri imha sürecinin yönetimi

Kurumsal İletişim Direktörü

Kurumsal iletişim departmanı, Kişisel veri saklama ve imha politikası uygulama sorumlusu

Görevi dahilinde olan süreçlerin saklama süresine uygunluğunun sağlanması ile periyodik imha süresi uyarınca kişisel veri imha sürecinin yönetimi

İnsan Kaynakları Uzmanı

İnsan Kaynakları Departmanı- Kişisel veri saklama ve imha politikası uygulama sorumlusu

Görevi dahilinde olan süreçlerin saklama süresine uygunluğunun sağlanması ile periyodik imha süresi uyarınca kişisel veri imha sürecinin yönetimi

Avukat

Hukuk Departmanı- Kişisel veri saklama ve imha politikası uygulama sorumlusu

Görevi dahilinde olan süreçlerin saklama süresine uygunluğunun sağlanması ile periyodik imha süresi uyarınca kişisel veri imha sürecinin yönetimi

Yazılım Mühendisi

Bilgi Teknolojileri Departmanı- Kişisel veri saklama ve imha politikası uygulama sorumlusu

Görevi dahilinde olan süreçlerin saklama süresine uygunluğunun sağlanması ile periyodik imha süresi uyarınca kişisel veri imha sürecinin yönetimi

Muhasebeci

Mali İşler Departmanı- Kişisel veri saklama ve imha politikası uygulama sorumlusu

Görevi dahilinde olan süreçlerin saklama süresine uygunluğunun sağlanması ile periyodik imha süresi uyarınca kişisel veri imha sürecinin yönetimi

Kameraman, Ses ve Işık Destek elamanı

Tanıtım ve Pazarlama Departmanı- Kişisel veri saklama ve imha politikası uygulama sorumlusu

Görevi dahilinde olan süreçlerin saklama süresine uygunluğunun sağlanması ile periyodik imha süresi uyarınca kişisel veri imha sürecinin yönetimi

Montaj, Grafik Tasarım Uzmanı

Tanıtım ve Pazarlama Departmanı- Kişisel veri saklama ve imha politikası uygulama sorumlusu

Görevi dahilinde olan süreçlerin saklama süresine uygunluğunun sağlanması ile periyodik imha süresi uyarınca kişisel veri imha sürecinin yönetimi

Satış Destek Elamanı

Tanıtım ve Pazarlama Departmanı, Kişisel veri saklama ve imha politikası uygulama sorumlusu

Görevi dahilinde olan süreçlerin saklama süresine uygunluğunun sağlanması ile periyodik imha süresi uyarınca kişisel veri imha sürecinin yönetimi

İdari İşler Müdürü

İdari İşler Departmanı- Kişisel veri saklama ve imha politikası uygulama sorumlusu

Görevi dahilinde olan süreçlerin saklama süresine uygunluğunun sağlanması ile periyodik imha süresi uyarınca kişisel veri imha sürecinin yönetimi

Stajyer ve Part Time Çalışan

İnsan Kaynakları Departmanı- Kişisel veri saklama ve imha politikası uygulayıcısı

Görevi dahilinde olan süreçlerin saklama süresine gizliliğine uygunluğunun sağlanması

Müşteri Temsilcisi

Kurumsal iletişim Departmanı, Kişisel veri saklama ve imha politikası uygulayıcısı

Görevi dahilinde olan süreçlerin saklama süresine uygunluğunun sağlanması ile periyodik imha süresi uyarınca kişisel veri imha sürecinin yönetimi


  1. YÜRÜRLÜLÜK VE DİĞER HUSUSLAR


İşbu veri politikası yayınlandığı tarihte(……………..) yürürlüğe girer ve internet sitesinden kaldırılana kadar yürürlükte kalmaya devam eder. Politika’da değişiklik olması durumunda, Politika’nın yürürlük tarihi ve ilgili maddeler bu doğrultuda güncellenecektir. Güncelleme tablosu aşağıda yer almaktadır.

KVKK ve ilgili diğer mevzuat hükümleri ile işbu Politika arasında uyumsuzluk olması halinde, öncelikle KVKK ve ilgili diğer mevzuat hükümleri uygulanacaktır.

  1. DİĞER HUSUSLAR

Bu metnin uygulanması sırasında doğacak tereddütleri ve uygulamaya ilişkin aksaklıkları gidermeye ve uygulamayı yönlendirmeye, ilke ve standartları belirlemeye ve uygulama birliğini sağlayacak gerekli düzenlemeleri yapmaya, bu hususta gerekli her türlü bilgi ve belgeyi istemeye, bu metinde yer almayan konularda ilgili mevzuat hükümleri çerçevesinde karar vermeye Kurul yetkilidir.

Türkiye Kişisel Verileri Koruma Kurumuna http://www.kvkk.gov.tr/index.html adresinden ulaşabilirsiniz

EK-1 TANIMLAR


“Bu metinde yer almayan tanımlar için Kanundaki tanımlar geçerli olacaktır.”


Açık Rıza: Belirli bir konuya ilişkin veri sahibinin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan onayı.

Anonim Hale Getirme: Kişisel verinin, kişisel veri niteliğini kaybedecek ve bu durumun geri alınamayacağı şekilde değiştirilmesidir. Ör: Maskeleme, toplulaştırma, veri bozma vb. tekniklerle kişisel verinin bir gerçek kişi ile ilişkilendirilemeyecek hale getirilmesi.

Anonim Hale Getirilmiş Veri: Gerçek kişi ile hiçbir şekilde ilişkisinin kurulması mümkün olmayan veriyi ifade eder.

Kişisel Veri Sahibi: Kişisel verisi işlenen gerçek kişi. Örneğin; müşteriler ve çalışanlar.

Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi. Dolayısıyla tüzel kişilere ilişkin bilgilerin işlenmesi Kanun kapsamında değildir. Örneğin; ad-soyad, TCKN, e-posta, adres, doğum tarihi, kredi kartı numarası vb.

Özel Nitelikli Kişisel Veri: Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık kıyafet, dernek vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik veriler özel nitelikli verilerdir.

Partner: Health40con sitesinde üyelerimize sunduğumuz hizmet sürecinde işbirliği yaptığımız/yapacağımız Kamu, Özel Sektör ve Sivil Toplum Örgütlerini tanımlamaktadır.

Kişisel Verilerin İşlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi,

sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.

Veri İşleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel veri

işleyen gerçek ve tüzel kişidir. Örneğin, bir şirketin müşteri verilerini saklayan bilişim firması.

Veri Sorumlusu: Kişisel verilerin işlenme amaçlarını ve vasıtalarını belirleyen, verilerin sistematik bir şekilde tutulduğu yeri (veri kayıt sistemi) yöneten gerçek veya tüzel kişiliktir.

Komite: işbu Politikada yer işbu Politikanın ve Politikaya bağlı olarak uygulanacak prosedürlerin yerine getirilmesinden sorumlu komiteyi ifade eder.

Kurul: Kişisel Verileri Koruma Kurulunu ifade eder.

KVKK:6698 sayılı Kişisel Verilerin Korunması Kanununu ifade eder.

Veri Öznesi: Kişisel Verileri Şirket tarafından veya Şirket adına işleme sokulan tüm gerçek kişileri ifade eder.

Veri Envanteri: Şirketin Kişisel Veri İşleme faaliyetlerine yönelik olarak veri kategorisi, ve yetkili birim/kişiler vb. bilgileri ihtiva eden envanteri ifade eder.

Veri Sorumlusu Temsilcisi: Şirket içerisinde veri yönetimi, gizliliği ve güvenliği politikalarının hazırlanması ve uygulanmasından sorumlu olan ve yönetim kurulu kararı ile atanan çalışanı ifade eder.

Yönetmelik: 28 Ekim 2017 tarih 30224 sayılı “KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VEYA ANONİM HALE GETİRİLMESİ HAKKINDA YÖNETMELİK” kastedilmektedir.


EK-2 KİŞİSEL VERİ İŞLEME ENVANTERİ



VERİ

BİLİŞİM DEPARTMANI

MALİ İŞLER DEPARTMANI

İNSAN KAYNAKLARI DEPARTMANI

KURUMSAL İLETİŞİM DEPARTMANI

TANITIM VE PAZARLAMA DEPARTMANI

Üye Kayıt Bilgileri

X



X


E-Ticaret Bilgileri


X




Fatura Bilgileri


X




IK Personel Özlük Dosyası



X



Bordro


X




Mailing

X





Müşteri Şikâyet Bilgileri




X


Site Ziyaretçi Kayıtları

X





Site Üye Paylaşım Verileri

X





Site Anket ve Bilimsel Veriler

X





Üye İletişim Bilgileri

X



X

X

Müşteri iletişim Bilgileri




X

X