KVKK

Marmara Fizik Tedavi Kişisel Verilerin Korunması Politikası

1. Giriş

Bu Kişisel Veri Saklama ve İmha Politikası (“Politika”), 6698 Sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) ve ilgili yönetmelik uyarınca yükümlülüklerimizi, usul ve esasları belirlemektedir. Politika, veri sorumlusu sıfatıyla Marmara Fizik Tedavi (“Şirket”) tarafından, veri sahiplerini kişisel verilerin işlendikleri amaç için gerekli olan azami saklama süresi, silme, yok etme ve anonim hale getirme süreçleri hakkında bilgilendirmek amacıyla hazırlanmıştır.

2. Politikanın Kapsamı

Bu Politika, otomatik veya otomatik olmayan yollarla işlenen tüm kişisel verileri kapsar. Kapsam dahilindeki kişi grupları arasında müşteriler, müşteri adayları, çalışanlar, çalışan adayları, şirket hissedarları ve yetkilileri, ziyaretçiler, iş ortakları, işbirliği yapılan kurumların, alt işverenlerin ve tedarikçilerin çalışanları, hissedarları ve yetkilileri ile diğer üçüncü kişiler bulunmaktadır. Politika, Şirketimiz tarafından yönetilen tüm kişisel verilerin işlenmesi ve korunmasına yönelik faaliyetlerde uygulanır.

3. Politikanın Yayımlanması ve Erişilebilirlik

İşbu politika, Şirketimizin resmi internet sitesi olan https://www.marmarafiziktedavi.com/ adresinde yayımlanır. Ayrıca, kişisel veri sahiplerinin talebi üzerine bilgi@marmarafiziktedavi.com e-posta adresi veya “Caddebostan m. Ethem Efendi Cd. No:17 34728 Kadıköy/İstanbul” adresi aracılığıyla ilgili kişilerin erişimine sunulur.

4. Tanımlar

Bu Politika’da geçen tanımlar, Kanun’daki ve ilgili mevzuattaki anlamlarıyla kullanılır:

• İlgili Kişi: Veri sorumlusu organizasyonu içinde veya veri sorumlusundan aldığı yetki ve talimatla kişisel verileri işleyen kişilerdir.
• İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesidir.
• Kanun: 6698 sayılı Kişisel Verilerin Korunması Kanunu’nu ifade eder.
• Kayıt Ortamı: Kişisel verilerin, tamamen veya kısmen otomatik olan ya da bir veri kayıt sisteminin parçası olarak otomatik olmayan yollarla işlendiği her türlü ortamdır.
• Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgidir.
• Kişisel Veri Sahibi: Kişisel verisi işlenen gerçek kişidir.
• Kişisel Verinin İşlenmesi: Kişisel verilerin elde edilmesi, kaydedilmesi, depolanması, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması gibi veriler üzerinde gerçekleştirilen her türlü işlemdir.
• Özel Nitelikli Kişisel Veri: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi, kılık ve kıyafeti, dernek/vakıf/sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileridir.
• Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade eder.

5. Görev ve Sorumluluk Dağılımı

Kişisel verilerin korunması süreçlerinde görev alanların unvan ve sorumlulukları aşağıdaki gibidir:

• Genel Müdür: Veri sorumlusu temsilcisi olarak, kişisel verilerin korunması ve imhasıyla ilgili tüm işlemlerin yürütülmesinden ve politikanın uygulanmasından sorumludur.
• İnsan Kaynakları Yöneticisi: Politikanın hazırlanması, geliştirilmesi, yürütülmesi, yayınlanması ve güncellenmesinden; kendi süreçlerindeki verilerin saklama sürelerine uygunluğundan ve periyodik imha sürecinin yönetiminden sorumludur.
• Muhasebe Yöneticisi: Kendi görev alanı dahilindeki süreçlerde politikanın uygulanması, verilerin saklama süresine uygunluğunun sağlanması ve periyodik imha sürecinin yönetiminden sorumludur.
• Bilgi Sistemleri Yöneticisi: Verilerin teknik olarak depolanması, korunması, yedeklenmesi ve politika için gerekli teknik çözümlerin uygulanmasından sorumludur.
• Diğer Birim Yöneticileri: Kendi birimlerinde politikanın uygulanmasını izler, denetler ve periyodik imha sürecinin yönetimini sağlar.

6. Kişisel Verilerin Saklandığı Ortamlar

Şirketimiz, kişisel verileri niteliklerine uygun ve güvenli kayıt ortamlarında saklamaktadır. Bu ortamlar Kanun ve uluslararası veri güvenliği prensiplerine uygun olarak korunur.

• Elektronik Ortamlar: Sunucular, taşınabilir diskler, yazılımlar, çalışan bilgisayarları, optik diskler ve diğer dijital ortamlardır.
• Fiziki Ortamlar: Kağıt, manuel veri kayıt sistemleri gibi basılı ve yazılı ortamlardır.
• Bulut Ortamlar: Şirketimizin kullanımında olan, şifrelenmiş internet tabanlı sistemlerdir.

7. Alınan Tedbirler

Kişisel verilerin güvenliğini sağlamak amacıyla KVKK’nın 12. maddesi uyarınca aşağıda belirtilen idari ve teknik tedbirler alınmıştır.

• Teknik Tedbirler:
  • Güncel ve güvenli teknolojik sistemler kullanılmaktadır.
  • Güvenlik sistemleri ve güvenlik testleri ile zafiyetler tespit edilip giderilmektedir.
  • Verilere erişim, yetki matrisleri ile kısıtlanmakta ve tüm erişimler kayıt altına alınmaktadır.
  • Verilerin saklandığı dijital ortamlar şifreli yöntemlerle korunmaktadır.
  • Veri imha işlemleri geri dönüştürülemeyecek şekilde sağlanır.
  • Yeterli sayıda teknik personel istihdam edilmektedir.
• İdari Tedbirler:
  • Çalışanların kişisel verilerin korunması konusunda farkındalığını artırmaya yönelik eğitimler düzenlenmektedir.
  • Hukuki ve teknik gelişmelerin takibi için danışmanlık hizmeti alınmaktadır.
  • Veri aktarımı yapılan üçüncü kişilerle gizlilik protokolleri imzalanmaktadır.
  • Olası bir veri sızıntısı durumunda, bu durum en kısa sürede ilgili kişiye ve Kişisel Verileri Koruma Kurulu’na bildirilir.
  • Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli iç denetimler yapılır ve yaptırılır.

8. Kişisel Verilerin İmha Nedenleri

Şirketimiz tarafından saklanan kişisel veriler, ilgili kişinin talebi üzerine veya aşağıdaki işleme şartlarının ortadan kalkması halinde resen silinir, yok edilir veya anonim hale getirilir:

• Kanunlarda açıkça öngörülmesi.
• Fiili imkânsızlık nedeniyle rızanın açıklanamaması.
• Bir sözleşmenin kurulması veya ifasıyla doğrudan ilgili olması.
• Veri sorumlusunun hukuki yükümlülüğünü yerine getirmesi.
• İlgili kişinin verisini kendisinin alenileştirmiş olması.
• Bir hakkın tesisi, kullanılması veya korunması için zorunlu olması.
• Veri sorumlusunun meşru menfaatleri için zorunlu olması.

9. İmha Teknikleri

• Kişisel Verilerin Silinmesi:
  • Kağıt Ortamı: Verilerin fiziksel olarak kesilmesi veya okunamayacak şekilde karartılması.
  • Dijital Ortam: Yazılımlar aracılığıyla güvenli olarak silinmesi.
• Kişisel Verilerin Yok Edilmesi:
  • Fiziksel Yok Etme: Kağıt ortamındaki verilerin evrak imha makineleri ile, optik ve manyetik medyanın ise eritme, yakma gibi yöntemlerle yok edilmesi.
  • Üzerine Yazma: Manyetik medya üzerinden özel yazılımlarla rastgele veriler yazılarak eski verinin kurtarılamaz hale getirilmesi.
• Kişisel Verilerin Anonimleştirilmesi: Verilerin istatistiki bilgiye dönüştürülmesi (genelleştirme) , betimleyici değişkenlerin çıkarılması veya veri karma gibi yöntemlerle kişiyle olan bağının koparılmasıdır.

10. Saklama ve İmha Süreleri

Kişisel veriler, ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilir. Mevzuatta daha uzun bir süre öngörülmüşse, bu süreler azami saklama süresi olarak kabul edilir.

11. Periyodik İmha

Saklama süresi sona eren kişisel veriler, her yılın Ocak ve Temmuz aylarında olmak üzere altı ayda bir periyodik olarak imha edilir.

12. Politikanın Güncellenmesi

Şirketimiz, yasal mevzuattaki veya iş süreçlerindeki değişikliklere bağlı olarak bu politikayı düzenli olarak gözden geçirir ve gerekli güncellemeleri yapar.