Gizlilik ve Çerezler Politikası
1. GİRİŞ MDR ÖZEL EĞİTİM SAĞLIK HİZMETLERİ A.Ş. (“ÖZEL MDR POLİKLİNİĞİ”), kişisel verilerin korunması ve işlenmesinde başta Anayasa’nın 20. maddesinde düzenlenen özel hayatın gizliliğini temel almak üzere kişilerin temel hak ve özgürlüklerini korumaya azami önem atfetmektedir. Bu çerçevede ÖZEL MDR POLİKLİNİĞİ, 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) ve Avrupa Birliği Genel Veri Koruma Tüzüğü (“GDPR”) uyarınca kişisel verilerin hukuka uygun olarak korunması ve işlenmesine özen göstermekte, tüm planlama ve faaliyetlerinde bu anlayışla hareket etmektedir.
Kişilerin, Kişisel Verilerinin güvenliğinin sağlanması ÖZEL MDR POLİKLİNİĞİ’nin öncelikli hedeflerindendir. Bu nedenle, kişilerin Kişisel Verilerinin güvenli şekilde işlenmesi ve bu verilere hukuka aykırı biçimde gerçekleşebilecek her türlü erişimin veya sızıntının engellenmesi amacıyla, yürürlükteki mevzuatlara uyumlu olarak gerekli güvenlik tedbirleri ÖZEL MDR POLİKLİNİĞİ tarafından alınmaktadır.
1.1 POLİTİKA’NIN AMACI Kişisel Verilerin Korunması ve İşlenmesi Politikası’nın (“Politika”) amacı, KVKK ve GDPR’ın amacına uygun olarak tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin korunması ve işlenmesinde ÖZEL MDR POLİKLİNİĞİ’nin yükümlülükleri ile uyacağı usul ve esaslar hakkında Kişisel Veri Sahiplerini bilgilendirmektir. Politika’nın amacı doğrultusunda, ÖZEL MDR POLİKLİNİĞİ tarafından gerçekleştirilen kişisel verilerin korunması ve işlenmesi faaliyetlerinde mevzuatlara tam uyumun sağlanması ve Kişisel Veri Sahiplerinin özel hayatın gizliliği ve veri güvenliği hakkının korunması hedeflenmektedir.
1.2 POLİTİKA’NIN KAPSAMI Bu Politika; gerçek kişi olmak kaydıyla Müşteriler (Hastalar/Danışanlar), Çalışanlar, Çalışan Adayları ve Ziyaretçiler için hazırlanmıştır ve bu belirtilen kişiler kapsamında uygulanacaktır. ÖZEL MDR POLİKLİNİĞİ tarafından bu Politikayı internet sitesinde yayımlama amacı, kişisel verilerin korunması ve işlenmesi faaliyetlerinde ve veri güvenliği konusunda Veri Sahiplerini bilgilendirmektir. Hangi sıfatla olursa olsun tüzel kişilere bu Politika uygulanmayacaktır.
Bu Politika, yukarıda belirtilen Veri Sahipleri için, kişisel verilerinin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla ÖZEL MDR POLİKLİNİĞİ tarafından işlenmesi halinde uygulanacaktır. Verinin aşağıda belirtilen kapsamda “Kişisel Veri” kapsamında yer almaması veya ÖZEL MDR POLİKLİNİĞİ tarafından gerçekleştirilen kişisel veri işleme faaliyetinin yukarıda belirtilen yollarla olmaması halinde bu Politika uygulanmayacaktır.
1.3 TANIMLAR Bu Politika’nın uygulanmasında kullanılan kavramlar aşağıda yer verilen anlamları ifade eder: Açık Rıza Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızadır. Aydınlatma Yükümlülüğü Veri sorumlusunun, kişisel verilerini işlediği kişilere, bu verilerinin kim tarafından, hangi amaçlarla ve hangi hukuki gerekçelere dayanarak işlenebileceği, kimlere hangi amaçlarla aktarılabileceği hususunda bilgi vermesi yükümlülüğüdür. İlgili Kullanıcı Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişilerdir. İmha Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesini ifade eder. Kişisel Verilerin İşlenmesi Kişisel Verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemdir. KVK Kurulu Kişisel Verilerin Korunması Kurulu’dur. Kişisel Veri Sahibi Kişisel Verisi (Özel nitelikli kişisel veriler dahil) işlenen Hastalar, Danışanlar, Çalışanlar, Çalışan Adayları ve Ziyaretçileri ifade eder. Kişisel Veri Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgidir. Kurum/ Denetim Mekanizması Kurul ve Başkanlıktan oluşan Kişisel Verileri Koruma Kurumudur. Otomatik Olarak Veri İşleme Bilgisayar, telefon, saat vb. işlemci sahibi cihazlar tarafından yerine getirilen, yazılım veya donanım özellikleri aracılığıyla önceden hazırlanan algoritmalar kapsamında insan müdahalesi olmadan kendiliğinden gerçekleşen işleme faaliyetidir. Özel Nitelikli Kişisel Veri Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık kıyafet, dernek vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik veriler özel nitelikli verilerdir. Sicil Veri Sorumluları Sicili’dir. Özel MDR Polikliniği MDR ÖZEL EĞİTİM SAĞLIK HİZMETLERİ A.Ş.’dir. Veri İşleyen Veri sorumlusunun verdiği yetkiye dayanarak onun adına Kişisel Veri işleyen gerçek veya tüzel kişidir. Veri Kayıt Sistemi Kişisel Verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini ifade eder. Veri Kategorisi Kişisel verilerin ortak özelliklerine göre gruplandırıldığı veri konusu kişi grubu veya gruplarına ait kişisel veri sınıfıdır. Veri Konusu Kişi Grubu Veri sorumlusunun kişisel verilerini işlediği ilgili kişi grubudur. Veri Sorumlusu Kişisel Verilerin işlenme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir.
1.4 POLİTİKA’NIN YÜRÜRLÜĞÜ ÖZEL MDR POLİKLİNİĞİ tarafından düzenlenerek 01.12.2021 tarihinde yürürlüğe giren Politika ilkeleri, ÖZEL MDR POLİKLİNİĞİ’ne ait kurumsal web sitelerinde yayımlanarak Veri Sahiplerinin erişimine sunulur.
2. KİŞİSEL VERİLERİN KORUNMASI
2.1 KİŞİSEL VERİLERİN GÜVENLİĞİ ÖZEL MDR POLİKLİNİĞİ, KVKK ve GDPR uyarınca kişisel verileri güvenli bir şekilde saklamak, kişisel verilerin hukuka aykırı olarak işlenmesini ve erişilmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü idari ve teknik tedbiri alır. Kişisel verilerin güvenliğine ilişkin alınan idari ve teknik tedbirler, Özel MDR Polikliniği’ne ait Kişisel Veri Saklama ve İmha Politikası’nda ayrıntılı olarak düzenlenmektedir.
2.2 DENETİM ÖZEL MDR POLİKLİNİĞİ, yukarıda açıklanan veri güvenliğinin tesisi ve alınan tedbirlerin düzenliliğini ve devamlılığını sağlamak amacıyla gerekli denetimleri yapar ve yaptırır. ÖZEL MDR POLİKLİNİĞİ tarafından alınan teknik tedbirlerin denetimi yılda altı aylık periyodik dönemlerde yetkili kişilerce, idari tedbirler ise ÖZEL MDR POLİKLİNİĞİ’nin yetkilendirdiği kişilerce denetlenir.
2.3 GİZLİLİK Veri İşleyen’in görevi kapsamında öğrendiği kişisel verileri, KVKK, GDPR ve Politika hükümlerine aykırı olarak başkasına açıklamaması ve işleme amacı dışında kullanmaması amacıyla ÖZEL MDR POLİKLİNİĞİ tarafından gerekli tüm idari ve teknik tedbirler alınır. Bu bağlamda Klinik çalışanları için KVKK, GDPR ve Politika hakkında bilgilendirme ve eğitim çalışmaları yürütülür, ilgili çalışanların işe alınma süreçlerinin bir parçası olarak gizlilik sözleşmeleri imzalatılır. Yine dışarıdan alınan hizmetleri sunan Tedarikçilere ve Veri İşleyenlere politikalar tebliğ edilerek Gizlilik Taahhütleri alınır.
2.4 KİŞİSEL VERİLERİN YETKİSİZ İFŞASI ÖZEL MDR POLİKLİNİĞİ tarafından işlenen kişisel verilerin kanuna uygun olmayan yollarla başkaları tarafından elde edilmesi halinde, ÖZEL MDR POLİKLİNİĞİ, bu durumun KVK Kurulunca belirlenen süreler dahilinde Veri Sahibine ve KVK Kuruluna bildirilmesi için gerekli işlemleri yürütür. KVK Kurulu tarafından gerek görülmesi halinde bu durum KVK Kurulunun internet sitesinde ya da KVK Kurulu tarafından uygun görülecek başka bir yöntemle ilan edilir.
2.5 İLGİLİ KİŞİLERİN YASAL HAKLARININ GÖZETİLMESİ ÖZEL MDR POLİKLİNİĞİ, ilgili kişilerin Politika ve Kanun’un uygulanması ile ilgili tüm yasal haklarını gözetir ve bu haklarının korunması için gerekli tüm önlemleri alır.
2.6 ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN KORUNMASI Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir. ÖZEL MDR POLİKLİNİĞİ, Özel Nitelikli Kişisel Verilerin, başkaları tarafından öğrenildiği takdirde Veri Sahibi’nin mağdur olmasına veya ayrımcılığa maruz kalmasına neden olabilecek nitelikte veriler olmasının farkındalığında olup bu sebeple hukuka uygun olarak işlenen bu tür kişisel verilerin korunması için, Kurul tarafından belirlenen yeterli önlemleri hassasiyetle alır. Bu çerçevede; sistemli, kuralları net bir şekilde belli, yönetilebilir ve sürdürülebilir ayrı bir politikaya (Özel Nitelikli Kişisel Verilerin Güvenliği Politikası) sahiptir.
3. KİŞİSEL VERİLERİN İŞLENMESİ VE AKTARILMASI
3.1 KİŞİSEL VERİLERİN İŞLENMESİ VE AKTARILMASINDA GENEL İLKELER ÖZEL MDR POLİKLİNİĞİ tarafından Kişisel Veriler, KVKK, GDPR ve bu Politikada öngörülen usul ve esaslara uygun olarak işlenir. ÖZEL MDR POLİKLİNİĞİ, kişisel verileri işlerken aşağıdaki ilkelere uyar.
a) Hukuka, Dürüstlük Kurallarına ve Şeffaflık İlkesine Uygun Olma ÖZEL MDR POLİKLİNİĞİ, kişisel verileri ilgili mevzuatlara ve dürüstlük kuralının gereklerine uygun olarak işler ve bu sınırlar içerisinde kullanır. Dürüstlük kuralına uygun olma ilkesi uyarınca ÖZEL MDR POLİKLİNİĞİ, veri işlemedeki hedeflerine ulaşmaya çalışırken ilgili kişilerin çıkarlarını ve makul beklentilerini dikkate alır. Veri Sahibinin beklemediği ve beklemesinin de gerekmediği sonuçların ortaya çıkmasını önleyici şekilde hareket eder. İlke uyarınca ayrıca veri sahibi için söz konusu veri işleme faaliyetinin şeffaf olmasını sağlar; aydınlatma ve uyarı yükümlülüklerine uygun hareket eder.
c) Belirli, Açık ve Meşru Amaçlar İçin İşlenme ÖZEL MDR POLİKLİNİĞİ, veri işleme amacını açık ve kesin olarak belirler ve bu amacın hukuka uygun olmasını sağlar. Amacın hukuka uygun olması, ÖZEL MDR POLİKLİNİĞİ’nin işlediği kişisel verilerin, faaliyet gösterdiği sağlık hizmetiyle bağlantılı ve bunlar için gerekli olması anlamına gelir. ÖZEL MDR POLİKLİNİĞİ, belirttiği bu amaçlar dışında başka amaçlarla veri işleme yapmaz. Bu itibarla, kişisel veri işleme amaçlarının açıklandığı hukuki işlem ve metinlerde belirlilik ve açıklık ilkesine uyumda hassasiyet gösterir.
d) İşlendikleri Amaçla Bağlantılı, Sınırlı, Ölçülü ve Gerekli Olması ÖZEL MDR POLİKLİNİĞİ, işlenen kişisel verilerin, belirlenen amaçların gerçekleştirilebilmesine elverişli olmasına dikkat eder ve amacın gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan verilerin işlenmesinden kaçınır. ÖZEL MDR POLİKLİNİĞİ mevcutta olmayan ve sonradan gerçekleşmesi düşünülen amaçlarla kişisel veri toplamaz veya işlemez. Ayrıca işlenen veriyi sadece amacın gerçekleştirilmesi için gerekli olanla sınırlı tutar. Ölçülülük ilkesi kapsamında, veri işleme ile gerçekleştirilmesi istenen amaç arasında makul bir denge kurar.
e) İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç İçin Gerekli Olan Süre Kadar Muhafaza Edilme ÖZEL MDR POLİKLİNİĞİ ilgili mevzuatta verilerin saklanması için öngörülen bir süre bulunması halinde bu sürelere uyum gösterir; aksi durumda kişisel verileri, ancak işlendikleri amaç için gerekli olan süre kadar muhafaza eder. ÖZEL MDR POLİKLİNİĞİ tarafından bir kişisel verinin daha fazla saklanması için geçerli bir sebep olmaması durumunda söz konusu veri silinir, yok edilir veya anonim hale getirilir. Kişisel verilerin saklanması ve imhasına ilişkin prosedürler Özel MDR Polikliniği’nin Kişisel Veri Saklama ve İmha Politikası’nda ayrıntılı olarak düzenlenmektedir.