Dr. Yeliz KARAKOCA

 

 

KVKK

ÖZEL NİTELİKLİ KİŞİSEL VERİLERİ SAKLAMA

VE

İMHA POLİTİKASI

Adres	: Merkez Mah. Halaskargazi Cad. Kipman Apt. No:209 Kat:6/C Şişli/İstanbul
Telefon	: 05051040801
Web	: www.dermalklinik.com
E-mail	: info@dermalklinik.com.tr

 

İÇİNDEKİLER

1. AMAÇ …………………………………………………………………………………………………………………………………………….. 3
2. TANIMLAR ……………………………………………………………………………………………………………………………………… 3
3. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİ ………………………………………………………………………….. 5
4. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN KORUNMASI İÇİN ALINAN TEKNİK VE İDARİ TEDBİRLER …… 6
   • İDARİ TEDBİRLER …………………………………………………………………………………………………………………….. 6
   • TEKNİK TEDBİRLER ………………………………………………………………………………………………………………….. 6
     • Elektronik Ortamda Muhafaza Edilen ve/veya Erişilen Özel Nitelikli Kişisel Veriler Bakımından

Alınan Teknik Tedbirler ……………………………………………………………………………………………………………….. 6

• Fiziksel Ortamda Muhafaza Edilen ve/veya Erişilen Özel Nitelikli Kişisel Veriler Bakımından

Alınan Teknik Tedbirler ……………………………………………………………………………………………………………….. 7

5. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN AKTARILMASI ……………………………………………………………………… 7
   • E-Posta Yoluyla Aktarım …………………………………………………………………………………………………………… 7
   • Taşınabilir Bellek, CD, DVD Gibi Ortamlar Yoluyla Aktarım ………………………………………………………. 7
   • Farklı Fiziksel Ortamlardaki Sunucular Arasında Aktarım ………………………………………………………….. 7
   • Kâğıt Ortamı Yoluyla Aktarım ……………………………………………………………………………………………………. 7
6. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN SAKLANMASI VE İMHASI ……………………………………………………. 7
7. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİ İMHA TEKNİKLERİ ………………………………………………………………….. 8
   • Özel Nitelikli Kişisel Verilerin Silinmesi ……………………………………………………………………………………… 8
     • Sunucularda Yer Alan Kişisel Verilerin Yazılımdan Güvenli Olarak Silme……………………………. 8
     • Uzman Tarafından Güvenli Olarak Silme ……………………………………………………………………………. 9
     • Kâğıt Ortamında Bulunan Kişisel Verilerin Karartılması ………………………………………………………. 9

Tablo -4 : Kişisel Verilerin Silinmesi …………………………………………………………………………………………….. 9

• Özel Nitelikli Kişisel Verilerin Yok Edilmesi ……………………………………………………………………………… 10
  • De-manyetize Etme ………………………………………………………………………………………………………….. 10
  • Fiziksel Yok Etme …………………………………………………………………………………………………………….. 10
  • Üzerine Yazma ………………………………………………………………………………………………………………… 10
  • Bulut İmhası …………………………………………………………………………………………………………………….. 10
  • Çevresel Sistemlerde Yer Alan Kişisel Verilerin İmhası …………………………………………………….. 10

Tablo -5 : Özel Nitelikli Kişisel Verilerin Yok Edilmesi …………………………………………………………………. 11

• Özel Nitelikli Kişisel Verilerin Anonim Hale Getirilmesi ……………………………………………………………. 11
  • Değer Düzensizliği Sağlamayan Anonim Hale Getirme Yöntemleri …………………………………… 11
  • Değer Düzensizliği Sağlayan Anonim Hale Getirme Yöntemleri ……………………………………….. 12
  • ANONİMLİK Güvencesi …………………………………………………………………………………………………….. 13

8.SAKLAMA VE İMHA SÜRELERİ …………………………………………………………………………………………………….. 13

9. GÜNCELLEME ……………………………………………………………………………………………………………………………… 14

 

1. AMAÇ

Klinik tarafından hazırlanan İşbu Özel Nitelikli Kişisel Verilerin Korunması ve İşlenmesi Politikasının amacı, Kişisel Verileri Koruma Kurulu’nun 31/01/2018 tarihli ve 2018/10 sayılı Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler kararından doğan hukuki yükümlülüklerin yerine getirilmesi ile özel nitelikli kişisel verilerin işlenmesinde alınan teknik ve idari tedbirlerin ortaya konulmasıdır. Veri Sorumlusu konumunda olan Dr. Yeliz Karakoca Muayenehanesidir. Bundan böyle “Klinik/Muayenehane” olarak adlandırılacaktır.

2. TANIMLAR

Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek

Alıcı Grubu veya tüzel kişi kategorisi.

Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür

Açık Rıza iradeyle açıklanan rıza.

Verilerin teknik olarak             depolanması,            korunması     ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak

İlgili Kullanıcı üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişilerdir.

Kişisel verisi işlenen gerçek kişi. (“Politika” da “veri sahibi”

İlgili Kişi

şeklinde ifade edilmektedir.)

Çalışan                         Klinik bünyesinde çalışan personel

Kişisel verilerin elektronik aygıtlar ile            oluşturulabildiği,

Elektronik Ortam

okunabildiği, değiştirilebildiği ve yazılabildiği ortamlar.

Elektronik Elektronik ortamların dışında kalan tüm yazılı, basılı, görsel vb. Olmayan ortam diğer ortamlar.

Klinik ile belirli bir sözleşme çerçevesinde hizmet sağlayan

Hizmet Sağlayıcı gerçek veya tüzel kişi.

Kişisel verilerin silinmesi, yok edilmesi veya anonim hale

İmha

getirilmesi.

Kanun                          6698 Sayılı Kişisel Verilerin Korunması Kanunu

Tamamen veya kısmen otomatik olan ya da herhangi bir veri

Kayıt Ortamı kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam.

Veri         sorumlularının          iş         süreçlerine    bağlı   olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini;

Kişisel Veri kişisel verileri işleme amaçları ve hukuki sebebi, veri kategorisi,

İşleme Envanteri aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli

 

	olan azami muhafaza edilme süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter.
Özel Nitelikli Kişisel Verilerin İşlenmesi	Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.
Özel Nitelikli Kişisel Verilerin Anonim Hale Getirilmesi	Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesi
Özel Nitelikli Kişisel Verilerin Silinmesi	Kişisel verilerin silinmesi; kişisel verilerin İlgili Kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi.
Özel Nitelikli Kişisel Verilerin Yok Edilmesi	Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemi.
Politika	Özel Nitelikli Kişisel Verileri İşleme, Saklama ve İmha Politikası
Kurul	Kişisel Verileri Koruma Kurulu
Özel Nitelikli Kişisel Veri	Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri.
Biyometrik	Kişilere ait parmak izi, avuç içi izi, yüz, iris, retina, kulak, ses, imza, yürüyüş biçimi, el damarı, vücut kokusu ve DNA bilgisi biyometrik veriler kapsamındadır. Kişilerin kimliğinin tespit edilebilmesini sağlayan benzersiz fiziksel veya davranışsal özellikleri içeren genel kavram.
Periyodik İmha	Kanun’da yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla re ‘sen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi.
Veri Sahibi/İlgili Kişi	Kişisel verisi işlenen gerçek kişi
Veri İşleyen	Veri sorumlusunun verdiği yetkiye dayanarak veri sorumlusu adına kişisel verileri işleyen gerçek veya tüzel kişi.
Veri Sorumlusu	Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi.
Veri Sorumluları Sicil Bilgi Sistemi	Veri sorumlularının Sicile başvuruda ve Sicile ilişkin ilgili diğer işlemlerde kullanacakları, internet üzerinden erişilebilen, Kişisel Verileri Koruma Kurumu Başkanlığı tarafından oluşturulan ve yönetilen bilişim sistemi.
VERBİS	Veri Sorumluları Sicil Bilgi Sistemi
Yönetmelik	28 Ekim 2017 tarihinde Resmî Gazete’de yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik

 

3. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİ

Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel verilerdir.

Muayenehane, özel nitelikli kişisel verilerin işlenmesinde Kanun’a ve diğer mevzuat hükümlerine riayet eder. Bu doğrultuda özel nitelikli kişisel veriler aşağıdaki ilkelere uygun olarak işlenir:

• Hukuka ve dürüstlük kurallarına uygun olma
• Doğru ve gerektiğinde güncel olma
• İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma
• Belirli, açık ve meşru amaçlar için işlenme
• Mevzuatta öngörülen ya da işlendikleri amaç için gerekli olan süre kadar muhafaza edilme
• Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler, Muayenehane, tarafından veri sahibinin açık rızasının alındığı durumlarda ya da kanunlarda öngörülen hallerde işlenmektedir.
• Sağlık ve cinsel hayata ilişkin veriler ise veri sahibinin açık rızasının alındığı durumlarda ya da kamu sağlığının korunması, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, koruyucu hekimlik, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla işlenmektedir.

Sağlık verilerinin işlenmesinde 21.06.2019 tarihli 30808 sayılı Resmî Gazete’de yayımlanarak yürürlüğe giren Kişisel Sağlık Verileri Hakkında Yönetmelik hükümlerine de riayet edilmektedir.

4. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN KORUNMASI İÇİN ALINAN TEKNİK VE İDARİ TEDBİRLER

Muayenehane, özel nitelikli kişisel verilerin Kanun’a ve ilgili mevzuata uygun olarak işlenmesi ile özel nitelikli kişisel verilerin güvenliğinin sağlanması için Kişisel Verileri Koruma Kurumunun ilan ettiği alınması gereken yeterli önlemleri almaktadır. Bu kapsamda alınan tedbirler aşağıda sıralanmıştır:

4.1 İDARİ TEDBİRLER

• Muayenehane, özel nitelikli kişisel verilerin işlenme süreçlerinde yer alan çalışanlara yönelik özel nitelikli Gizlilik konusunda düzenli eğitimler vermektedir.
• Muayenehane, çalışanları ile veri güvenliğinin sağlanması için gizlilik sözleşmeleri akdetmektedir.
• Verilere erişim yetkisine sahip kullanıcılar, yetki kapsamları ve süreleri net olarak tanımlanmakta ve periyodik yetki kontrolleri gerçekleştirilmektedir.
• Görev değişikliği olan ya da işten ayrılan çalışanların kişisel verilere erişim yetkileri derhal kaldırılmaktadır. Muayenehane, bu kapsamda çalışanlara tahsis etmiş olduğu envanterleri derhal iade almaktadır.

4.2 TEKNİK TEDBİRLER

4.2.1. ELEKTRONİK ORTAMDA MUHAFAZA EDİLEN VE/VEYA ERİŞİLEN ÖZEL NİTELİKLİ KİŞİSEL VERİLER BAKIMINDAN ALINAN TEKNİK TEDBİRLER

• Özel nitelikli kişisel veriler kriptografik yöntemler kullanılarak muhafaza edilmektedir.
• Kriptografik anahtarlar güvenli ve farklı ortamlarda tutulmaktadır.
• Özel nitelikli kişisel veriler üzerinde gerçekleştirilen tüm hareketlerin işlem kayıtları güvenli olarak logolanmaktadır.
• Özel nitelikli kişisel verilerin bulunduğu ortamlara ait güvenlik güncellemeleri sürekli takip edilmekte, gerekli güvenlik testleri düzenli olarak yapılmakta/yaptırılmakta ve test sonuçları kayıt altına alınmaktadır.
• Özel nitelikli kişisel verilerin erişildiği yazılımlara ait kullanıcı yetkilendirmeleri yapılmakta, bu yazımların güvenlik testleri düzenli olarak yapılmakta/yaptırılmakta ve test sonuçları kayıt altına alınmaktadır.
• Özel nitelikli kişisel verilere uzaktan erişim sağlandığı hallerde en az iki kademeli doğrulama sistemi kullanılmaktadır.

 

 

4.2.2. FİZİKSEL ORTAMDA MUHAFAZA EDİLEN VE/VEYA ERİŞİLEN ÖZEL NİTELİKLİ KİŞİSEL VERİLER BAKIMINDAN ALINAN TEKNİK TEDBİRLER

• Özel nitelikli kişisel verilerin bulunduğu ortamın niteliğine göre yeterli güvenlik önlemleri alınmaktadır.
• Bu ortamların fiziksel güvenliği sağlanmakta ve yetkisiz giriş çıkışlar engellenmektedir.

5. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN AKTARILMASI

Muayenehane, özel nitelikli kişisel verileri Kanun’un 8. ve 9. maddelerinde yer alan veri işleme şartları çerçevesinde aktarmaktadır. Veri güvenliğini sağlama amacıyla Muayenehane, tarafından veri aktarımında aşağıdaki kurallar uygulanmakta ve bu kapsamda periyodik denetimler gerçekleştirilmektedir.

5.1. E-POSTA YOLUYLA AKTARIM

Özel nitelikli kişisel verilerin e-posta yoluyla aktarıldığı hallerde şifreli olarak kurumsal e-posta adresiyle veya Kayıtlı Elektronik Posta (KEP) hesabı kullanılarak aktarım yapılmaktadır.

5.2. TAŞINABİLİR BELLEK, CD, DVD GİBİ ORTAMLAR YOLUYLA AKTARIM

Özel nitelikli kişisel verilerin taşınabilir bellek, CD, DVD gibi ortamlar yoluyla aktarıldığı hallerde kriptografik yöntemlerle şifrelenme işlemi yapılmakta ve kriptografik anahtar farklı bir ortamda tutulmaktadır.

5.3. FARKLI FİZİKSEL ORTAMLARDAKİ SUNUCULAR ARASINDA AKTARIM

Farklı fiziksel ortamlardaki sunucular arasında özel nitelikli kişisel veri aktarımında,

sunucular     arasında        VPN    kurularak           veya gerçekleştirilmektedir.	sFTP	yöntemiyle	veri	aktarımı
5.4. KÂĞIT ORTAMI YOLUYLA AKTARIM

Özel nitelikli kişisel verilerin kâğıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemlerin alınmakta ve evrak “gizlilik dereceli belgeler” formatında gönderilmektedir.

6. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN SAKLANMASI VE İMHASI

Özel nitelikli kişisel veriler, Muayenehane, tarafından Kanun ile diğer mevzuata ve Kurul tarafından yayımlanan Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler kararına uygun olarak aşağıdaki hallerde saklanmaktadır:

• Veri sahibinin açık rızasının elde edilmiş olması
• Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel verilerin saklanmasının kanunlarda öngörülmüş olması
• Sağlık ve cinsel hayata ilişkin verilerin kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla saklanması
• Muayenehane, tarafından Kanun ile diğer mevzuata uygun olarak saklanan özel nitelikli kişisel veriler aşağıdaki sebeplerin ortaya çıkması halinde re’sen ya da veri sahibinin talebi üzerine silinir, yok edilir ya da anonim hale getirilir:
• Özel nitelikli kişisel veri saklama faaliyetinin veri sahibinin açık rızasına dayandığı hallerde açık rızanın geri alınmış olması
• Özel nitelikli kişisel verilerin saklanma amacının gerçekleşmiş, imkansızlaşmış ya da diğer herhangi bir yolla ortadan kalkmış olması
• Özel nitelikli kişisel verilerin saklanmasına dayanak teşkil eden mevzuat hükümlerinin değişmesi ya da yürürlükten kalkması
• Kanun’un 6. maddesinde yer alan işlenme şartlarının tamamının ortadan kalkmış olması
• Veri sahibinin Muayenehaneye, usulüne uygun olarak ilettiği özel nitelikli kişisel verilerinin imhasına ilişkin talebinin Muayenehane tarafından haklı görülmesi ve olumlu sonuçlandırılması
• Muayenehanenin, veri sahibi tarafından özel nitelikli kişisel verilerinin imhası talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabın yetersiz bulunması veya Kanun’da öngörülen süre içinde cevap vermemesi hallerinde; Kurul’a şikâyette bulunulması ve bu talebin Kurul tarafından uygun bulunması.

7. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİ İMHA TEKNİKLERİ

 

Muayenehane, tarafından KVKK ve diğer ilgili mevzuata uygun olarak elde edilen kişisel veriler Kanun ve Yönetmelik’te sayılan kişisel veri işleme amaçlarının ortadan kalkması halinde Muayenehane, tarafından re ‘sen yahut İlgili Kişinin başvurusu üzerine yine Kanun ve ilgili mevzuat hükümlerine uygun olarak aşağıda belirtilen teknikler ile imha edilecektir.

 

7.1. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN SİLİNMESİ

Muayenehane, tarafından kişisel verilerin silinmesi ve yok edilmesi tekniklerine ilişkin usul ve esaslar aşağıda sayılmıştır.

 

7.1.1. SUNUCULARDA YER ALAN KİŞİSEL VERİLERİN YAZILIMDAN

GÜVENLİ OLARAK SİLME

 

Tamamen veya kısmen otomatik olan yollarla işlenen ve dijital ortamlarda muhafaza edilen veriler silinirken; İlgili Kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilecek biçimde verinin ilgili yazılımdan silinmesine ilişkin yöntemler kullanılarak silinecektir.

 

Bulut sisteminde ilgili verilerin silme komutu verilerek silinmesinde ise; merkezi sunucuda bulunan dosya veya dosyanın bulunduğu dizin üzerinde ilgili kullanıcının erişim haklarının kaldırılması; veri tabanlarında ilgili satırların veri tabanı komutları ile silinmesi veya taşınabilir medyada yani flash ortamında bulunan verilerin uygun yazılımlar kullanılarak silinmesi yöntemleri kullanılarak işlem yapılacaktır.

 

Ancak, Muayenehane, içerisinde, gerektiğinde kişisel verilerin silinmesi işlemi, diğer verilere de sistem içerisinde erişilememe ve bu verileri kullanamama sonucunu doğuracak ise, aşağıdaki koşulların sağlanması kaydıyla, kişisel verilerin ilgili kişiyle ilişkilendirilemeyecek duruma getirilerek arşivlenmesi halinde de kişisel veriler silinmiş sayılacaktır.

 

• Başka herhangi bir kurum, kuruluş veyahut kişinin erişimine kapalı olması,
• Kişisel verilere yalnızca yetkili kişiler tarafından erişilmesini sağlayacak şekilde gerekli her türlü teknik ve idari tedbirlerin alınması.

 

7.1.2. UZMAN TARAFINDAN GÜVENLİ OLARAK SİLME

 

Muayenehane, gerekli gördüğü durumlarda kendisi adına kişisel verileri silmesi için bir uzman ile anlaşabilir. Bu durumda, kişisel veriler bu konuda uzman olan kişi tarafından İlgili Kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilecek biçimde güvenli olarak silinir.

 

7.1.3. KÂĞIT ORTAMINDA BULUNAN KİŞİSEL VERİLERİN KARARTILMASI 

 

Kişisel verilerin amaca yönelik olmayan kullanımını önlemek veya silinmesi talep edilen verileri silmek için ilgili kişisel verilerin fiziksel olarak kesilerek belgeden çıkartılması veya geri döndürülemeyecek ve teknolojik çözümlerle okunamayacak şekilde sabit mürekkep kullanılarak görünemeyecek hale getirilmesi, kapatılması yöntemi ile de kişisel veriler silinebilecektir.

TABLO -4 : KİŞİSEL VERİLERİN SİLİNMESİ

Veri Kayıt Ortamı	Açıklama
Sunucularda Yer Alan Kişisel Veriler	Sunucularda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler için sistem yöneticisi tarafından ilgili kullanıcıların erişim yetkisi kaldırılarak silme işlemi yapılır.
Elektronik Ortamda Yer Alan Kişisel Veriler	Elektronik ortamda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, veritabanı yöneticisi hariç diğer çalışanlar (ilgili kullanıcılar) için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir.
Fiziksel Ortamda Yer Alan Kişisel Veriler	Fiziksel ortamda tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler için evrak arşivinden sorumlu birim yöneticisi hariç diğer çalışanlar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. Ayrıca, üzeri okunamayacak şekilde çizilerek/boyanarak/silinerek karartma işlemi de uygulanır.
Taşınabilir Medyada Bulunan Kişisel Veriler	Flash tabanlı saklama ortamlarında tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler, sistem yöneticisi tarafından şifrelenerek ve erişim yetkisi sadece sistem yöneticisine verilerek şifreleme anahtarlarıyla güvenli ortamlarda saklanır

 

7.2. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN YOK EDİLMESİ

Muayenehanemiz, tarafından kullanılacak olan yok etme yöntemleri aşağıda gösterilmiştir.

 

7.2.1. DE-MANYETİZE ETME

 

Manyetik medyanın yüksek değerde manyetik alanda fiziksel değişime tabi tutularak üzerindeki verilerin okunamaz bir biçimde bozulması yöntemidir.

 

7.2.2. FİZİKSEL YOK ETME

 

Kişisel veriler herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla da işlenebilmektedir. Bu tür verilerin sonradan kullanılamayacak biçimde fiziksel olarak yok edilmesi işlemidir. Özellikle yazılı kâğıt ve defterler ve mikrofişler bu şekilde yok edilir.

 

7.2.3. ÜZERİNE YAZMA

 

Üzerine yazma yöntemi, özel yazılımlar aracılığı ile manyetik medya ve yeniden yazılabilir optik medya üzerinden en az 8 kez 0 ve 1’lerden oluşan rastgele veriler yazılarak eski verinin okunabilmesi ve kurtarılabilmesini imkânsızlaştıran veri yok etme yöntemidir.

 

7.2.4. BULUT İMHASI

 

Bulut sistemler üzerinde tutulan kişisel verilerin imha bildiriminin anlaşmalı servis sağlayıcıya yapılmasının ardından kişisel verilerin şifreleme anahtarlarının tüm kopyalarının imha edilmesi işlemidir.

 

7.2.5. ÇEVRESEL SİSTEMLERDE YER ALAN KİŞİSEL VERİLERİN İMHASI

 

Yazıcı, parmak izi ünitesi, kapı giriş turnikesi gibi sistemler içerisinde yer alan kişisel verileri barındıran cihazlar, üzerine yazma, manyetize etme veya fiziksel yok etme uygulanarak imha edilir. Bu imha işlemleri, cihazların yedekleme, bakım ve benzeri işlemlere tabi tutulmasından önce yapılır.

TABLO -5 : ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN YOK EDİLMESİ

Veri Kayıt Ortamı	Açıklama
Fiziksel Ortamda Yer Alan Kişisel Veriler	Kâğıt ortamında yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, kâğıt kırpma makinelerinde geri döndürülemeyecek şekilde yok edilir.
Optik / Manyetik Medyada Yer Alan Kişisel Veriler	Optik medya ve manyetik medyada yer alan kişisel verilerden saklanmasını gerektiren süre sona erenlerin eritilmesi, yakılması veya toz haline getirilmesi gibi fiziksel olarak yok edilmesi işlemi uygulanır. Ayrıca, manyetik medya özel bir cihazdan geçirilerek yüksek değerde manyetik alana maruz bırakılması suretiyle üzerindeki veriler okunamaz hale getirilir.

 

7.3. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN ANONİM HALE GETİRİLMESİ

 

Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.

 

Kişisel verilerin anonim hale getirilmiş olması için; kişisel verilerin, veri sorumlusu veya üçüncü kişiler tarafından geri döndürülmesi ve/veya verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekir.

7.3.1. DEĞER DÜZENSİZLİĞİ SAĞLAMAYAN ANONİM HALE GETİRME YÖNTEMLERİ

 

Saklanmakta olan kişisel verilerde bir değişiklik veya ekleme/çıkarma yapılmaksızın; herhangi bir kişisel veri grubunun genelleme birbiri ile yer değiştirme veya gruptan belirli bir veri veya alt veri grubunun çıkarılması ile uygulanan anonimleştirmeye yöntemleridir.

 

Değişken Çıkartma: Betimleyici nitelikteki verilerin çıkartılması yöntemi ile toplanılan verilerin bir araya getirilmesinden sonra oluşturulan veri setindeki değişkenlerden “yüksek dereceli betimleyici” olanlar çıkarılarak mevcut veri seti anonim hale getirilmektedir.

 

Kayıtları Çıkartma: Kayıttan çıkarma yönteminde veriler arasında tekillik ihtiva eden veri satırı kayıtlar arasından çıkaralar saklanan veriler anonim hale getirilmektedir. Örneğin, bir şirkette tek kıdemli müdür var ise bu kişiye ait verilerin birbirleri ile aynı kademede bulunan çalışanların kıdem, maaş ve cinsiyet verilerinin tutulduğu kayıtlardan çıkarılması ile kalan veriler anonim hale getirilebilecektir.

 

Bölgesel Gizleme: Bölgesel gizleme yönteminde ise tek bir verinin çok az görülebilir bir kombinasyon yaratması sebebi ile belirleyici niteliği mevcut ise ilgili verinin gizlenmesi anonimleştirmeyi sağlamaktadır. Örneğin, şirketin futbol takımının yedek listesinde olan ilgili veri sorumluları arasında yalnızca bir kişi 65 yaşında ise yaş, cinsiyet ve sağlık durumu yönünden futbol oynayabilecek olup olmadığı bilgisinin birlikte saklandığı bir veri kümesinde ‘Yaş:65’ yerine ‘Bilinmiyor’ yazılması veya bu kısmın boş bırakılması anonimleştirmeyi sağlayacaktır.

 

Alt ve Üst Sınır Kodlama: Alt ve üst sınır kodlaması yöntemi ile önceden tanımlanmış kategorilerin yer aldığı bir veri grubundaki değerlerin belirli bir ölçüt belirlenerek birleştirilmesiyle anonim hale getirilmektedir.

 

Genelleştirme: Veri toplulaştırma yöntemi ile birçok veri toplulaştırılmakta ve kişisel veriler herhangi bir kişiyle ilişkilendirilemeyecek hale getirilmektedir. Örneğin; çalışanların yaşlarının tek tek göstermeksizin X yaşında Z kadar çalışan bulunduğunun ortaya konulması.

 

Global Kodlama: Veri türetme yöntemi ile kişisel verinin içeriğinden daha genel bir içerik oluşturulmakta ve kişisel verinin herhangi bir kişiyle ilişkilendirilemeyecek hale getirilmesi sağlanmaktadır. Örneğin; doğum tarihleri yerine yaşların belirtilmesi, açık adres yerine ikamet edilen bölgenin belirtilmesi.

7.3.2. DEĞER DÜZENSİZLİĞİ SAĞLAYAN ANONİM HALE GETİRME

YÖNTEMLERİ

Değer düzensizliği sağlayan anonim hale getirme yöntemlerinde değer düzensizliği sağlamayanların aksine kişisel veri gruplarında bazı verilerin değiştirilmesi ile bozulma yaratmaktadır. Bu yöntemler kullanılırken elde edilmesi beklenen/istenen fayda doğrultusunda sapmaların dikkatli uygulanması gerekecektir. Toplam istatistiklerin bozulmaması sağlanarak veriden beklenen fayda sağlanmaya devam edilebilir.

 

Gürültü Ekleme: Verilere gürültü ekleme yöntemi özellikle sayısal verilerin ağırlıklı olduğu bir veri setinde mevcut verilere belirlenen oranda artı veya eksi yönde birtakım sapmalar eklenerek veriler anonim hale getirilmektedir. Örneğin, kilo değerlerinin olduğu bir veri grubunda (+/−) 3 kg sapması kullanılarak gerçek değerlerin görüntülenmesi engellenmiş ve veriler anonimleştirilmiş olur. Sapma her değere eşit ölçüde uygulanır.

 

Mikro Birleştirme: Mikro birleştirme yönteminde tüm veriler ilk olarak anlamlı bir sıraya dizilerek (büyükten küçüğe gibi) gruplara ayrılıp, grupların ortalaması alınarak elde edilen değer mevcut gruptaki ilgili verilerin yerine yazılarak anonimleştirme sağlanmış olacaktır.

 

(Örneğin, maaş bilgisi için; 10.000 TL altı ve üstü iki grup yapılır ise, 10.000 ve daha az maaş alan kişilerin maaşlarının toplamı kişi sayısına bölünür ve 10.000TL altında maaş alan herkesin maaş kümesine elde edilen bu değer yazılır.)

 

Veri Değiş Tokuşu: Veri değiş tokuşu yönteminde saklanan veriler içerisinden seçilen çiftler arasında bir değişkenin değerleri birbiri ile değiştirilir. Genel olarak kategorize edilebilen veriler için kullanılan bu yöntemde amaç veri sahiplerine ait verilerin birbirleri ile değiştirilerek veri tabanının dönüştürülmesidir.

7.3.3 ANONİMLİK GÜVENCESİ

 

Bir kişisel verinin silinmesi ya da yok edilmesi yerine anonim hale getirilmesine karar verilebilmesi için aşağıdaki şartların yerine getirilmesi gereklidir.

• Anonim hale getirilmiş veri kümesinin bir başka veri kümesiyle birleştirilerek anonimliğin bozulamaması,
• Bir ya da birden fazla değerin bir kaydı tekil hale getirebilecek şekilde anlamlı bir bütün oluşturamaması,
• Anonim hale getirilmiş veri kümesindeki değerlerin birleşip bir varsayım veya sonuç üretebilir hale gelmemesi.

 

8.SAKLAMA VE İMHA SÜRELERİ

Muayenehane, tarafından, faaliyetleri kapsamında işlenmekte olan kişisel verilerle ilgili olarak;

• Süreçlere bağlı olarak gerçekleştirilen faaliyetler kapsamındaki tüm kişisel verilerle ilgili kişisel veri bazında saklama süreleri Kişisel Veri İşleme Envanterinde;
• Veri kategorileri bazında saklama süreleri Verbis’e kayıtta;
• Süreç bazında saklama süreleri ise Kişisel Veri Saklama ve İmha Politikasında yer alır.

Söz konusu saklama süreleri üzerinde, gerekmesi halinde Muayenehane yönetimi tarafından güncellemeler yapılır.

Saklama süreleri sona eren kişisel veriler için re ‘sen silme, yok etme veya anonim hale getirme işlemi Muayenehane, yönetiminin onayı ile KVK sürecinde görevlendirilen sorumlu personel tarafından yerine getirilir.

 

 

9. GÜNCELLEME

İşbu Politika ‘da yapılan değişiklikler aşağıdaki tabloda gösterilmektedir.

TARİH	HAZIRLAYAN	REVİZYON NO	DEĞİŞİKLİK
28.07.2021	KVKK EKİBİ		İLK YAYINDIR
17.06.2022	KVKK EKİBİ	01

 

---

Bu içerik Dermalotoji uzmanı Uzm. Dr. Yeliz Karakoca tarafından hazırlanmıştır.