Sözleşmeler

KİŞİSEL VERİLERİN İŞLENMESİ VE KORUNMASI HAKKINDA POLİTİKA

1.       Giriş
EKONSEY ÖZEL SAĞLIK HİZMETLERİ SAĞLIK YATIRIM VE DANIŞMANLIK LİMİTED ŞİRKETİ
(“Şirket”) olarak, 6698 sayılı Kişisel Verilerin Korunması Kanunu’na (Bundan sonra “KVK Kanunu” olarak anılacaktır.) uygunluğun sağlanması adına mevzuat kapsamında Kişisel Verilerin korunması ve işlenmesine ilişkin ilkeleri benimseyerek, gereken tüm idari ve teknik tedbirleri almaktayız. Bu kapsamda, gerek Kanun’un 10. maddesinde düzenlenmekte olan aydınlatma yükümlülüğünü yerine getirmek gerekse de Kişisel Verilerin işlenmesi ve korunması adına aldığımız tüm idari ve teknik tedbirleri bildirmek amacıyla işbu Kişisel Verilerin İşlenmesi ve Korunması Hakkında Politika’yı (“Politika”) Kişisel Veri Sahiplerinin bilgisine sunmaktayız. İşbu Politika kapsamında yapılacak her türlü değişiklik ve değişikliğin yürürlük tarihi https://ekonsey.com alan adlı internet sitemizde paylaşılacaktır.

Kişisel verileriniz, KVK Kanunu ve hukuki dayanağını ondan alan ikincil mevzuat ile Kişisel Verileri Koruma Kurulu (Bundan sonra “KVK Kurulu” olarak anılacaktır.) kararları ve ilgili sair mevzuat hükümlerine uygun biçimde işlenmektedir. Kişisel verilerinizin, veri sorumlusu olarak bir sözleşme ilişkisi içerisinde olduğu, gizlilik yükümlülüğü bulunan ve adımıza işleyen iş ortaklarınca toplanması, saklanması, aktarılması veya kişisel verilerinizin herhangi bir şekilde işlenmesine ilişkin çerçeve işbu metin ile aşağıda açıklanmıştır.

2.      Politika’nın Amacı

İşbu Politika’nın temel amacı; ilgili mevzuata uygun olarak Kişisel Verilerin işlenmesi ve korunmasına yönelik sistemler konusunda açıklamalarda bulunmak, bu kapsamda Hissedarlarımız; Yetkililerimiz; Personellerimiz; Personel Adaylarımız; Müşterilerimiz; Potansiyel Müşterilerimiz; Tüketicilerimiz; Ziyaretçilerimiz; Gerçek Kişi İş Ortaklarımız; Gerçek Kişi İş Ortağı Adaylarımız; İş Ortaklarımız veyahut İş Ortağı Adaylarımızın Hissedarları, Yetkilileri, Personeli ve Üçüncü Kişiler başta olmak ancak bunlarla sınırlı olmamak üzere Kişisel Verileri Şirketimiz tarafından işlenen Kişisel Veri Sahiplerini bilgilendirmektir. Bu şekilde Kişisel Veri Sahiplerinin, Kişisel Verilere dair mevzuattan kaynaklanan tüm haklarının korunması ve bu haklardan haberdar olması hedeflenmektedir.
3.      Tanımlar


İşbu Politika kapsamında yer alan kavramlar aşağıdaki tanımları doğrultusunda kullanılmaktadır.

a) Açık veri: Ücretsiz olarak veya hazırlanma maliyetini geçmeyecek şekilde internet üzerinden herkesin erişimine sunulan, üzerinde herhangi bir fikri mülkiyet hakkı bulunmayan ve herhangi bir amaçla serbestçe kullanılabilen, makineler tarafından okunabilen ve böylelikle diğer veriler ve sistemlerle birlikte çalışabilen, anonim hale getirilmiş veriyi,

b) Açık sağlık verisi: Açık veri haline getirilen sağlık verisini,

c) Açık rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı,

ç) Anonim hâle getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini,

d) İlgili kişi: Kişisel verisi işlenen gerçek kişiyi,

e) Kişisel veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi,

f) Özel nitelikli kişisel veri: Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık kıyafet, dernek vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verileri,

g) Kişisel sağlık verisi: Kimliği belirli ya da belirlenebilir gerçek kişinin fiziksel ve ruhsal sağlığına ilişkin her türlü bilgi ile kişiye sunulan sağlık hizmetiyle ilgili bilgileri,

ğ) Kişisel verilerin imha edilmesi: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesini,

h) Kişisel verilerin işlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi,

ı) Kişisel verilerin silinmesi: Kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hâle getirilmesi işlemini,

i) Kişisel verilerin yok edilmesi: Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hâle getirilmesi işlemini,

j) Veri işleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi,

k) Veri kayıt sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini,

l) Veri sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi,

m) Kanun: 6698 sayılı Kişisel Verilerin Korunması Kanunu’nu,

n) KVK Kurulu: Kişisel Verileri Koruma Kurulu’nuifade eder.


4.      Kişisel Verilen İşlenmesi

Kişisel veriler, ancak Kişisel Verilerin Korunması Kanunu’nda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir. Kişisel verilerin işlenmesinde; hukuka ve dürüstlük kurallarına uygun olma, doğru ve gerektiğinde güncel olma, belirli, açık ve meşru amaçlar için işlenme, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma, ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme ilkelerine uyulması zorunludur.

4.1      Kişisel Verilerin İşlenme Şartları

Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez. Aşağıdaki şartlardan birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür:

a) Kanunlarda açıkça öngörülmesi: Vergi Usul Kanunu uyarınca fatura üzerinde ilgili gerçek kişinin adına yer verilmesi zorunluluğu vb

b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması: Veri Sahibine acil tıbbi müdahale yapılması gerekliliğinin söz konusu olması vb.

c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması: Akdedilen bir sözleşme doğrultusunda ürün sevkiyatı için adres bilgisi alınması vb.

ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması: Kişisel Verilere hukuka aykırı olarak erişilmesini engellemek maksadıyla bilişim sistemlerinde faaliyet ve denetim yapılması vb.

d) İlgili kişinin kendisi tarafından alenileştirilmiş olması: Kişisel veri sahibinin Kişisel Verilerini erişime açık bir sosyal medya hesabından paylaşmış olması vb.

e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması: Şirket Personelinin özlük bilgilerinin Sosyal Güvenlik Kurumu’na bildirilmesi vb.

f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması: Şirketin organizasyonel yapısının düzenlenmesi esnasında Personelin Kişisel Verilerinin işlenmesi vb.

4.2      Özel Nitelikli Kişisel Verilerin İşlenme Şartları

Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir. Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır. Sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir.Kişisel sağlık verileri; kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.

4.3      Kişisel Verilerin ve Özel Nitelikli Kişisel Verilerin Aktarılma Şartları

KVK Kanunu ve ilgili sağlık mevzuatı uyarınca uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirlerin alınmasını sağlayarak, kişisel verilerinizi belirtilen ve yasal düzenlemelerde yer alan amaçlar doğrultusunda; 3359 sayılı Sağlık Hizmetleri Temel Kanunu, 663 sayılı Sağlık Bakanlığı ve Bağlı Kuruluşlarının Teşkilat ve Görevleri Hakkında Kanun Hükmünde Kararname, Kişisel Sağlık Verilerinin İşlenmesi ve Mahremiyetinin Sağlanması Hakkında Yönetmelik ve ilgili diğer mevzuat hükümlerinin izin verdiği kurum veya kuruluşlar; özel sigorta şirketleri; doğrudan/dolaylı yurtiçi/yurtdışı hissedarlarımız, bağlı ortaklıklarımız ve/veya iştiraklerimiz; grup şirketlerimiz; denetçiler; danışmanlar; iş ortakları; faaliyetlerimizi yürütmek üzere sözleşmesel olarak hizmet aldığımız, işbirliği yaptığımız, yurt içi/yurt dışı kuruluşlar ve diğer üçüncü kişilere aktarabiliriz.

5      Kişisel Verilerin İşlenme Şart ve Amaçları

Almakta olduğunuz hizmetler kapsamında topladığımız kişisel veriler, Şirketimiz tarafından aşağıdaki amaçlar dahilinde işlenmektedir:

  • Şirketimiz tarafından yerine getirilmesi gereken yasal ve akdi yükümlülüklerin ifası,
  • 3359 sayılı Sağlık Hizmetleri Temel Kanunu, 663 sayılı Sağlık Bakanlığı ve Bağlı Kuruluşlarının Teşkilat ve Görevleri Hakkında Kanun Hükmünde Kararname, Kişisel Sağlık Verilerinin İşlenmesi ve Mahremiyetinin Sağlanması Hakkında Yönetmelik ve ilgili diğer düzenlemelerde yer alan hukuki yükümlülüklerimizi yerine getirme,
  • Kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi,
  • Güvenliğiniz için kimliğinizin tespiti ve doğrulanması,
  • Anlaşmalı kurumlarla olan hak sahipliğinizi sorgulama, sağlık hizmetine ilişkin finansal mutabakat sağlanması, kurumlarca talep edilen bilgileri paylaşma, Faturalandırma işleminin yapılması,
  • Mevzuat uyarınca Sağlık Bakanlığı ve diğer kamu kurum ve kuruluşları ile edinilen bilgileri paylaşma ve taleplerine yanıt verme,
  • Şirketimize talep ve şikâyetlerini ileten Kişisel Veri Sahipleri ile iletişime geçilmesi ve talep ve şikâyet takip ve yönetiminin sağlanması,
  • Sunduğumuz hizmetlerin geliştirilmesi amacıyla sağlık hizmetleri kullanımınızı analiz etme,
  • İç politika ve prensiplerine uyum sağlama,
  • İlgili mevzuat gereği saklanması gereken sağlık verilerinize ilişkin bilgileri muhafaza etme,
  • Şirketimiz nezdinde bulunan verilerin güvenliğinin sağlanması amacıyla gerekli bilişim faaliyetlerinin yürütülmesi, bu kapsamda dışardan teknik destek hizmeti alınması,
  • Personel ile Şirketimiz arasında münakid iş akdi doğrultusunda Personele ait özlük bilgilerinin oluşturulması, bu bilgilerin güncel tutulması, muhafaza edilmesi ve yasal mevzuatın öngördüğü zamanaşımı süresi boyunca saklanması,
  • Personelin görevi karşılığı hak kazandığı ücretinin Personele ödenmesi ve ödemenin belgelenerek kontrol edilmesi, avans ödemelerinin ve yapılan harcamaların takibi,
  • Şirketimizin faaliyetleri kapsamında kullanılması amacıyla Personele Şirketimiz tarafından tahsis edilen e-mail hesaplarının kurulumu ve yedeklenmesi, Personelin dijital ortam ve yazılımlara erişimi için gerekli kullanıcı hesaplarının ve şifrelerinin oluşturulması, yetki sınırlandırması yapılması ve bunlar için Şirket içinde veyahut dışında teknik destek sağlanması;
  • Tanıtım ve bilgilendirme faaliyetlerinin yürütülmesi, hizmetlerimize ilişkin olarak bilgilendirme amacıyla sizinle iletişime geçilmesi,
  • Bunlarla sınırlı olmaksızın, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, geliştirilmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi, hasta memnuniyetinin arttırılması, araştırılması ve bağlı nedenler. Bununla birlikte, kişisel verileriniz yukarıda sayılan faaliyetler ve ilgili mevzuatın gerektirdiği haller haricinde hiçbir şekilde ticari bir amaçla kullanılmayacaktır. İlgili mevzuat uyarınca elde edilen ve işlenen Kişisel Veri/Kişisel Verileriniz, fiziki arşivler ve/veya bilişim sistemlerine nakledilerek, hem dijital ortamda hem de fiziki ortamda muhafaza altında tutulabilecektir.
Bununla birlikte, kişisel verileriniz yukarıda sayılan faaliyetler ve ilgili mevzuatın gerektirdiği haller haricinde hiçbir şekilde ticari bir amaçla kullanılmayacaktır.

İlgili mevzuat uyarınca elde edilen ve işlenen Kişisel Veri/Kişisel Verileriniz, fiziki arşivler ve/veya bilişim sistemlerine nakledilerek, hem dijital ortamda hem de fiziki ortamda muhafaza altında tutulabilecektir.

6.        Kişisel Verilerin Toplama Yöntemi ve Hukuki Sebebi, Silinmesi, Yok Edilmesi ve Anonim Hale Getirilmesi ve Saklanma Süresi

6.1      Kişisel Verilerin Silinmesi, Yok Edilmesi Veya Anonim Hâle Getirilmesi

Kişisel Verilerin Korunması Kanunu ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler re’sen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hâle getirilir.

Kişisel verilerin silinmesi, kişisel verilerin ilgili kullanıcılar (veri sorumlusu veya veri işleyen nezdinde verileri teknik olarak depolama, koruma ve yedeklemeden sorumlu olanlar hariç herkes) için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.

Kişisel verilerin yok edilmesi, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.

Kişisel verilerin anonim hale getirilmesi, bu verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirlenebilir bir gerçek kişiyle ilişkilendirilememesini ifade etmektedir.

Herkesin veri sorumlusuna başvurarak kendisiyle ilgili kişisel verilerin KVK Kanununun yedinci maddesinde öngörülen şartlar çerçevesinde silinmesini veya yok edilmesini isteme hakkı bulunmaktadır.

6.2      Kişisel Verilerin Saklanma Süresi

Portal ve/veya sisteme yüklenen kişisel sağlık verileri işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel sağlık verileri, ilgili kişinin talebi üzerine veri sorumlusu tarafından anonim hale getirilir veya silinir.  Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesiyle ilgili yapılan bütün işlemler kayıt altına alınır ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az 3 (üç) yıl süreyle saklanır.

Silinmesi talep edilen veriler; bir hakkın tesisi, kullanılması veya korunması ya da verilerin ihtiyaç halinde adli mercilere verilebilmesini mümkün kılmak için, veri bütünlüğü bozulmadan arşivlenir. Arşivlenen verilere bu amaçlar dışında erişim engellenir. Veri sistemine aktarılan veriler, aktarımın yapıldığı tarihten 10 (on) yıl sonra https://ekonsey.com alan adlı internet sitemizin veri tabanından silinebilir. Kişisel verilerin silinmesine, yok edilmesine veya anonim hâle getirilmesine ilişkin diğer kanunlarda yer alan hükümler saklıdır.

Kişisel verilerin imha edilmesinde, Kanunun yedinci maddesi ile Kurum tarafından hazırlanarak 28/10/2017 tarihli ve 30224 sayılı Resmî Gazete’de yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik hükümlerine riayet edilir.

7.        Kişisel Verilerin ve Özel Nitelikli Kişisel Verilerin Korunması

Şirketimiz, Kanun’un 12. maddesine uygun olarak, işlemekte olduğu Kişisel Verilerin hukuka aykırı olarak işlenmesini önlemek, Kişisel Verilere hukuka aykırı olarak erişilmesini önlemek ve Kişisel Verilerin muhafazasını sağlamak için ilgili mevzuat uyarınca öngörülen ve Kişisel Verileri Koruma Kurulu tarafından bildirilecek olan gerekli teknik ve idari tedbirleri almakta, bu kapsamda gerekli denetimleri yapmakta veya yaptırmaktadır. Bu doğrultuda Şirketimiz, Kişisel Verilerin hukuka uygun olarak işlenmesi, güvenli ortamlarda saklanması, yetkisiz erişim riskleri ile diğer her türlü hukuka aykırı erişimlerin önlenmesi, arızi olarak gerçekleşen veri kayıplarının önlenmesi, Kişisel Verilere kasıtlı olarak zarar verilmesi ile silinmesinin önlenmesi için teknolojik imkânlar ve uygulama maliyetinin de ele alındığı makul derecedeki teknik ve idari önlemleri almaktadır.

Bununla birlikte Kanun’da sınırlı olarak sayılan bir kısım Kişisel Verilere, hukuka aykırı olarak işlendiğinde kişilerin mağduriyetine ve/veya ayrımcılığa sebep olma riski nedeniyle ayrı bir önem atfedilmiştir. Bu nitelikteki Kişisel Veriler gerek Kanun’un 6. maddesinde gerekse de işbu Politika’nın 3. maddesinde tek tek sayılmıştır. Özel Nitelikli Kişisel Verilerin korunmasına Şirketimiz tarafından azami hassasiyet gösterilmektedir. Bu kapsamda, Şirketimiz tarafından, Kişisel Verilerin korunması için alınan teknik ve idari tedbirler, Özel Nitelikli Kişisel Veriler bakımından da azami özenle uygulanmakta ve bu konuda Şirket bünyesinde gerekli denetimler sağlanmaktadır.  

Bu kapsamda Şirketimiz tarafından başvurulan tedbir ve denetimler aşağıda sıralanmaktadır:

  • Kişisel Veri güvenliği, Kişisel Veri İşleme, saklama ve imha konularında kurumsal politikaların hazırlanması;
  • Şirketimizin Kişisel Veri işleme faaliyetlerinin kurulan teknik sistemlerle denetlenmesi, denetimler sonucunda ortaya çıkan gizlilik ve güvenlik eksikliklerinin ve hatalarının giderilmesi;
  • Kurulan sistemler kapsamında güvenlik tedbirlerinin alınması, gerekli iç kontrollerin sağlanması; alınan teknik önlemlere ilişkin olarak periyodik raporlamaların yapılması;
  • Şirketimiz nezdinde Kişisel Veri işleyen Personelin, ilgili mevzuat ve Kişisel Verilerin hukuka uygun olarak işlenmesi konusunda bilgilendirilmesi ve eğitilmesi;
  • İş birimi bazında belirlenen hukuksal uyum gerekliliklerinin sağlanması için ilgili iş birimleri özelinde farkındalık yaratılarak uygulama kurallarının belirlenmesi, bu hususların denetimi ve sürdürülebilirliğini sağlamak için şirket içi politikalar ve eğitimlerin düzenlenmesi;
  • İş birimi bazında belirlenen hukuksal uyum gerekliliklerine uygun olarak erişim ve yetkilendirmelerin yapılması ve buna uygun olarak erişim yetkilerinin sınırlandırılması;
  • Şirketimiz ile Personel arasındaki hukuki ilişkiyi yöneten sözleşme ve belgelerle, Şirketimizin talimatları ve mevzuatla getirilen istisnalar dışında, Kişisel Verileri işlememe, ifşa etmeme ve kullanmama yükümlülüğü getiren kayıtların ve bu konuda Personelin farkındalığının oluşturulması;
  • Şirketimizde dijital ortamda tutulan Kişisel Verilere, yalnızca görevleri gereği önceden belirlenen kişilerce erişimin sağlanması, dijital erişimin kişiye özel hesaplarla sağlanması ve şifreleme yöntemi ile kullanıcı kişi nezdinde sınırlı tutulması, denetiminin sağlanması, Personel için yetki matrisi oluşturulması, görev değişikliği olan ya da işten ayrılan Personelin yetkilerinin kaldırılması;
  • Şirketimizde fiziki olarak tutulan Kişisel Verilerin kilitli ve kapalı dolaplarda, kapalı dosyalar halinde saklanması, yalnızca yetkilendirilmiş, belirli kişilere erişim yetkisi verilmesi;
  • Kişisel verilerin ağ güvenliği ve uygulama güvenliği ile saklanması, ağ yoluyla kişisel veri aktarımlarında kapalı sistem ağ ve anahtar yöntemi kullanılması;
  • Bilgi teknolojileri sistemleri tedarik, geliştirme ve bakımı kapsamındaki güvenlik önlemleri alınması;
  • Bilgi teknolojileri birimlerinde çalışanların Kişisel Verilere erişim yetkilerinin kontrol altında tutulmasını sağlar;
  • Güncel anti-virüs sistemleri, güvenlik duvarları, saldırı tespit ve önleme sistemleri kullanılması, sızma testi uygulanması,;
  • Kişisel Verilerin Şirket dışına sızmasını engelleyecek veyahut gözlemleyecek teknik altyapının temin edilmesi ve ilgili matrislerin oluşturulması, gerektiğinde veri maskeleme önlemi uygulanması;
  • Fiziken aktarılan kişisel veriler için gizlilik dereceli belge formatının uygulanması;
  • Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemlerinin alınması, dış risklere (yangın, sel vb.) karşı güvenliğin sağlanması, mevcut risk ve tehditlerin belirlenmesi;
  • Özel nitelikli kişisel verilerin elektronik posta yoluyla gönderilecekse mutlaka şifreli olarak ve KEP veya kurumsal posta hesabı kullanılarak gönderilmesi, özel nitelikli kişisel veriler için güvenli şifreleme/kriptografik anahtarlar kullanılması ve farklı birimlerce yönetilmesi; taşınabilir bellek, CD, DVD ortamında aktarılan özel nitelikli kişiler verilerin şifrelenerek aktarılması;
  • Bilişim sistemlerini koruma programları ve güvenlik duvarlarını içeren yazılımlar ve donanımların kurulması ve işletilmesi;
  • Şirketimizin Kişisel Verilerin saklanması konusunda teknik gereklilikler sebebiyle dışarıdan hizmet aldığı İş Ortakları ve üçüncü kişiler dâhil olmak üzere Kişisel Verilerin hukuka uygun olarak aktarıldığı kişilerle akdedilen sözleşmelere; Kişisel Verilerin aktarıldığı kişilerin, Kişisel Verilerin korunması amacıyla gerekli güvenlik tedbirlerini alacağına ve kendi kuruluşlarında bu tedbirlere uyulmasını sağlayacağına ilişkin hükümlerin eklenmesi;
  • Log kayıtlarının kullanıcı müdahalesi olmaksızın tutulması;
  • Hukuka uygun yedekleme programlarının kullanılarak saklama alanlarına yönelik teknik güvenlik sistemlerin kurulması.

Şirketimiz, Kanun’un 12. maddesine uygun olarak işlenen Kişisel Verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde bu durumun en kısa sürede ilgili Kişisel Veri Sahibine ve Kişisel Verileri Koruma Kurulu’na bildirilmesini sağlayacaktır. Kişisel Verileri Koruma Kurulu tarafından gerek görülmesi halinde, bu durum, Kişisel Verileri Koruma Kurulu’nun internet sitesinde veya başka bir yöntemle ilan da edilebilecektir.

8.      Veri Sorumlusunun Aydınlatma Yükümlülüğü

Şirketimiz, Kanun’un 10. maddesine uygun olarak, Kişisel Verilerin elde edilmesi sırasında Kişisel Veri Sahiplerini aydınlatmaktadır. Bu kapsamda varsa, Şirketimizin unvanı ve temsilcisinin kimliği, Kişisel Verilerin hangi amaçla işleneceği, işlenen Kişisel Verilerin kimlere ve hangi amaçlarla aktarılabileceği, Kişisel Veri toplamanın yöntemi ve hukuki sebebi ile Kişisel Veri Sahibinin sahip olduğu haklar konusunda aydınlatma yapmaktadır.

9.      Veri Güvenliğine İlişkin Yükümlülükler

Veri sorumlusu;

a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,

b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,

c) Kişisel verilerin muhafazasını sağlamak,

amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.

Veri sorumlusu, kendi kurum veya kuruluşunda, bu Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak zorundadır.

Veri sorumluları ile veri işleyen kişiler, öğrendikleri kişisel verileri bu Kanun hükümlerine aykırı olarak başkasına açıklayamaz ve işleme amacı dışında kullanamazlar. Bu yükümlülük görevden ayrılmalarından sonra da devam eder.

İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir.

10.      Kişisel Veri Sahibinin Hakları, Hakların Kullanması ve Değerlendirilmesi

10.1      Kişisel Veri Sahibinin/İlgili Kişinin Hakları

Herkes, veri sorumlusuna başvurarak kendisiyle ilgili;

a) Kişisel veri işlenip işlenmediğini öğrenme,

b) Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,

c) Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,

ç) Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,

d) Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,

e) Kişisel Verilerin Korunması Kanunu’nda öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme,

f) (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,

g) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,

ğ) Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme,

haklarına sahiptir.

10.2        Kişisel Veri Sahibinin Haklarını İleri Süremeyeceği Haller

Kanun’un 28. maddesi gereğince aşağıdaki haller Kanun kapsamı dışında tutulduğundan, Kişisel Veri Sahipleri sayılan bu hallerde, işbu Politika’nın 10.1. maddesinde sayılan haklarını ileri süremezler:

  • Kişisel Verilerin, üçüncü kişilere verilmemek ve veri güvenliğine ilişkin yükümlülüklere uyulmak kaydıyla gerçek kişiler tarafından tamamen kendisiyle veya aynı konutta yaşayan aile fertleriyle ilgili faaliyetler kapsamında işlenmesi,
  • Kişisel Verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi,
  • Kişisel Verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi,
  • Kişisel Verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi,
  • Kişisel Verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi.
Yine Kanun’un 28. maddesinin 2. fıkrası gereğince; aşağıda sıralanan hallerde Kişisel Veri Sahipleri zararın giderilmesini talep etme hakkı hariç, işbu Politika’nın 10.1. maddesinde sayılan haklarını ileri süremezler:
  • Kişisel Veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması;
  • Kişisel Veri Sahibi tarafından kendisi tarafından alenileştirilmiş Kişisel Verilerin işlenmesi;
  • Kişisel Veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması;
  • Kişisel Veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması.
10.3      Kişisel Veri Sahibinin/İlgili Kişinin Haklarını Kullanması

Kişisel Veri Sahiplerinin, Anayasa’nın 20. maddesi uyarınca kendileriyle ilgili Kişisel Veriler hakkında bilgi sahibi olma ve yukarıda belirtilen haklar arasında sayılan “bilgi talep etme” hakları doğrultusunda yapmış oldukları bilgi talepleri Şirketimiz tarafından mevzuata uygun olarak karşılanmaktadır.

Şirketimiz, Kişisel Veri Sahiplerine gereken bilgilendirmelerin yapılması amacıyla Kanun’un 13. maddesine uygun olarak gerekli kanalları, iç işleyişi, idari ve teknik düzenlemeleri yürütmektedir. Bu doğrultuda Kişisel Veri Sahipleri işbu Politika’nın 10.1. maddesinde belirtilen haklarına ilişkin taleplerini Şirketimize iletmeleri durumunda talebin niteliğine göre talebe karşılık kabul veyahut gerekçeli red yanıtını en geç 30 (otuz) gün içinde ücretsiz olarak bildirir. Ancak, işlemin ayrıca bir maliyeti gerektirmesi hâlinde Şirketimiz, Kişisel Verileri Koruma Kurulunca belirlenen tarifedeki ücreti alabilecektir. Kişisel Veri Sahipleri taleplerini “Kişisel Verilerin Korunması Kanunu Uyarınca Başvuru Formu” üzerinden doldurularak Şirketimize iletebileceklerdir.

Kişisel Veri Sahipleri adına üçüncü kişilerin başvuru talebinde bulunabilmesi için Veri Sahibi tarafından başvuruda bulunacak kişi adına noter kanalıyla düzenlenmiş özel vekâletname bulunmalıdır. Kişisel Veri Sahibi, Kanun’un 14. maddesi gereğince başvurusunun reddedilmesi, verilen cevabı yetersiz bulması veya başvurudan itibaren 30 (otuz) gün içinde başvuruya cevap verilmemesi hâllerinde; Şirketimizin yanıtını öğrendiği tarihten itibaren 30 (otuz) ve her hâlde başvuru tarihinden itibaren 60 (altmış) gün içinde Kişisel Verileri Koruma Kurulu’na başvuruda bulunabilir.

Şirketimiz talebi kabul eder veya gerekçesini açıklayarak ret eder ve cevabını ilgili kişiye yazılı ve/veya elektronik ortamda bildirir. Başvuruda yer alan talebin kabul edilmesi hâlinde gereği Şirketimiz tarafından yerine getirilir. Başvurunun Şirketimizin hatasından kaynaklanması hâlinde alınan ücret ilgili kişiye iade edilir.

Kişisel Veri Sahipleri tarafından yapılacak olan başvurular, Kişisel Veri Sahibinin kimliğini tespit edecek belgelerle birlikte aşağıdaki yöntemlerden biri ile gerçekleştirilecektir:

  • Formun doldurularak ıslak imzalı kopyasının elden, noter aracılığıyla veyahut iadeli taahhütlü mektupla Levent Mah. Zerrin Sok. No:2 Beşiktaş/İSTANBUL adresine iletilmesi,
  • Formun 5070 sayılı Elektronik İmza Kanunu kapsamında düzenlenen güvenli elektronik imza ile imzalanarak [Levent Mah. Zerrin Sok. No:2 Beşiktaş/İSTANBUL ve destek@ekonsey.com] adresine kayıtlı elektronik posta ile gönderilmesi,
  • Kişisel Verileri Koruma Kurulu tarafından öngörülen/öngörülecek bir yöntemin izlenmesi.
11.      Şirketimizin Kişisel Verilerin İşlenmesi ve Korunması Hakkında Politika Uyarınca Yönetim Yapısı

Şirketimiz bünyesinde işbu Politika ve işbu Politika’ya bağlı ve ilişkili diğer politikaları yönetmek üzere Şirket üst yönetiminin kararı gereğince Kişisel Veri Komitesi oluşturulmuştur.  Kişisel Veri Komitesinin görevleri;

  • Kişisel Verilerin korunması ve işlenmesi ile ilgili temel politikaları oluşturmak, güncellemek, yürürlüğe koymak,
  • Kişisel Verilerin korunması ve işlenmesine ilişkin politikaların uygulanması ve denetimine ilişkin aksiyonları almak, bununla ilgili şirket içi görevlendirmeler yaparak koordinasyonu sağlamak,
  • İlgili mevzuata uyumun sağlanması ile Kişisel Verilerin korunması ve işlenmesi ile ilgili gelişmeleri takip ederek bu çerçevede gerekli aksiyonların alınmasını sağlamak,
  • Kişisel Verilerin korunması ve işlenmesi konusunda Şirketimiz içerisinde ve Şirketimizin işbirliği içerisinde olduğu kurumlar nezdinde farkındalığı arttırmak,
  • Kişisel Veri Sahiplerinin başvurularını değerlendirmek ve hukuka uygun bir şekilde çözüme ulaştırmak,
  • Şirketimizin Kişisel Veri işleme faaliyetlerinde oluşabilecek riskleri tespit ederek gerekli önlemlerin alınmasını sağlamak,
  • Kişisel Verileri Koruma Kurulu ve Kurumu ile olan ilişkileri yürütmek.
12.        Güncelleme, Uyum ve Değişiklikler

Şirketimiz, Kanun’da yapılan değişiklikler nedeniyle, Kişisel Verileri Koruması Kurulu kararları uyarınca ya da sektördeki ya da bilişim alanındaki gelişmeler doğrultusunda işbu Politika ve bu Politika’ya bağlı ve ilişkili diğer politikalarda değişiklik yapma hakkını saklı tutar.

İşbu Politika’da yapılan değişiklikler derhal metne işlenir ve değişikliklere ilişkin açıklamalar Politika’nın sonunda açıklanır.

EKONSEY ÖZEL SAĞLIK HİZMETLERİ SAĞLIK
YATIRIM VE DANIŞMANLIK LİMİTED ŞİRKETİ

EK:      KİŞİSEL VERİLERİN İŞLENMESİ VE KORUNMASINA İLİŞKİN AYDINLATMA FORMU