BÖLÜM I

AMAÇ, TANIMLAR, SORUMLULUK VE GÖREV DAĞILIMLARI, VERİLERİN SAKLANDIĞI KAYIT ORTAMLARI

1. AMAÇ

İşbu Politika’nın amacı; 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 7 ve 12’nci maddeleri ile “Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik” ve “Veri Sorumluları Sicili Hakkında Yönetmelik” uyarınca, işveren tarafından veri sorumlusu olarak elde edilen ve işlenen kişisel verilerin fiziki veya elektronik ortamlarda saklanmasına, güvenliğinin sağlanmasına ve imhasına ilişkin Şirket içi usul ve esasların belirlenmesi, kişisel verilerin işlendikleri amaç için gerekli olan azami sürenin belirlenmesi, bu sürelerin Kişisel Veri İşleme Envanteri’nde belirtilen bilgilerle uyumu ve azami sürenin aşılıp aşılmadığının takibi amacıyla hazırlanmıştır.

2. TANIMLAR

Açık Rıza: Belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rızayı ifade eder.

Anonim Hale Getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesini ifade eder.

Çalışan: Bir sözleşme kapsamında çalışan tüm çalışanları, kursiyerleri ve stajyerler ile yönetim kurulu üyeleri ve taşeron işçileri kapsar.

Çalışan Adayı: Şirket’e herhangi bir yöntemle iş başvurusunda bulunan veya işe alım platformları aracılığıyla özgeçmişleri elde edilen kişileri kapsar.

Elektronik Ortam: Kişisel verilerin elektronik aygıtlar ile oluşturulabildiği, okunabildiği, değiştirilebildiği ve yazılabildiği ortamları ifade eder.

Elektronik Olmayan Ortam: Elektronik ortamların dışında kalan tüm yazılı, basılı, görsel vb. diğer ortamları ifade eder.

İlgili Kişi/ Veri Sahibi: Kişisel verisi işlenen gerçek kişiyi ifade eder.

İlgili Kullanıcı: Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişileri ifade eder.

İmha: Kişisel verilerin silinmesini, yok edilmesi veya anonim hale getirilmesini ifade eder.

İmha Yönetmeliği: 28/10/2017 tarihli ve 30224 sayılı Resmi Gazetede yayımlanan “Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik”i ifade eder.

İşyeri Hekimi: 6331 sayılı İş Sağlığı ve Güvenliği Kanunu m.8 ve İşyeri Hekimi ve Diğer Sağlık Personelinin Görev, Yetki, Sorumluluk ve Eğitimleri Hakkında Yönetmelik’te niteliği ve görevleri belirlenen işyeri hekimini ifade eder.

Kayıt Ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortamı ifade eder.

Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade eder.

Kişisel Veri İşleme Envanteri: Şirket tarafından İmha Yönetmeliği ve Veri Sorumluları Sicili Hakkında Yönetmelik uyarınca hazırlanan ve Şirket’in iş süreçlerine bağlı olarak gerçekleştirmekte olduğu kişisel verileri işleme faaliyetlerini, kişisel veri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturduğu ve detaylandırdığı envanteri ifade eder.

Kişisel Verilerin İşlenmesi: Kişisel verilerin kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi ifade eder.

Kurul: Kişisel Verileri Koruma Kurulunu ifade eder

KVK Kanunu: 6698 sayılı Kişisel Verilerin Korunması Kanunu’nu ifade eder.

Müşteri: Şirket’in hizmetlerinden yararlanan gerçek kişiler ile bu hizmetlerden yararlanan tüzel kişilerin ortak veya yöneticilerini ifade eder.

Ortak: Şirket’in gerçek kişi ortakları ile gerçek veya tüzel kişi ortakları genel kurulda temsil eden gerçek kişileri ifade eder.

Özel Nitelikli Kişisel Veri: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri ifade eder.

Periyodik İmha: KVK Kanunu’nda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemini ifade eder.

Politika: Kişisel Verileri Saklama ve İmha Politikası’nı ifade eder.

Şirket: Aydın Göz Sağlığı Hizmetleri Turizm Ticaret Limited Şirketi’ni ifade eder.

Tedarikçi/ Hizmet Sağlayıcı: Şirket’in dışarıdan sair hizmetler/ürünler almakta olduğu ya da ileride hizmet/ürün alabileceği veya iş ortaklığına giriştiği gerçek kişi tedarikçiler ile tüzel kişi tedarikçilerin ortak ve yöneticilerini ifade eder.

TBK: 6098 sayılı Türk Borçlar Kanunu’nu ifade eder.

TTK: 6102 sayılı Türk Ticaret Kanunu’nu ifade eder.

Veri İşleyen: Veri sorumlusunun verdiği yetkiye dayanarak veri sorumlusu adına kişisel verileri işleyen gerçek veya tüzel kişiyi ifade eder.

Veri Kayıt Sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini ifade eder.

Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasında ve yönetilmesinden sorumlu gerçek veya tüzel kişiyi ifade eder.

Veri Sorumluları Sicili Yönetmeliği: 30.12.2017 tarihli ve 30286 sayılı Resmi Gazetede yayımlanan “Veri Sorumluları Sicili Hakkında Yönetmelik’i ifade eder.

VERBİS: Veri Sorumluları Sicil Bilgi Sistemi’ni ifade eder.

Ziyaretçi: Şirket’in ofis veya diğer fiziksel ortamlarına giriş yapan, Şirket’in internet sitesini veya benzeri elektronik ortamlarını ziyaret eden veya Şirket’in kablosuz internet hizmetinden faydalanan kişileri ifade eder.

BÖLÜM II

KİŞİSEL VERİLERİN SAKLANMASINA VE İMHASINA İLİŞKİN USUL VE ESASLAR

      1.    SAKLAMAYI GEREKTİREN HUKUKİ SEBEPLER

Şirket faaliyetleri çerçevesinde işlenen kişisel veriler, Şirket bünyesinde, ilgili mevzuatta öngörülen süre kadar muhafaza edilir. Bu kapsamda kişisel veriler;

  • 6698 sayılı Kişisel Verilerin Korunması Kanunu,
  • 6098 sayılı Türk Borçlar Kanunu,
  • 6102 sayılı Türk Ticaret Kanunu
  • 213 sayılı Vergi Usul Kanunu
  • 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu,
  • 5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun,
  • 6361 sayılı İş Sağlığı ve Güvenliği Kanunu,
  • 4857 sayılı İş Kanunu,
  • 2828 sayılı Sosyal Hizmetler Kanunu
  • 1776 sayılı Kimlik Bildirme Kanunu,
  • Bu kanunlar uyarınca yürürlükte olan diğer ikincil düzenlemeler çerçevesinde öngörülen saklama süreleri kadar saklanmaktadır.

      2.    SAKLAMAYI GEREKTİREN İŞLEME AMAÇLARI

Şirket, faaliyetleri çerçevesinde kişisel verilerinizi, Şirketimizin ticari iş ve stratejilerinin belirlenmesi ve uygulanması, Şirketimiz tarafından yürütülen ticari faaliyetlerin gerçekleştirilmesi,  insan kaynakları politikaları ve süreçlerinin planlanması ve icra edilmesi, satış sonrası destek hizmetleri ile yükümlülüklerinin, müşteri memnuniyetinin, kurumsal iletişim faaliyetlerinin, müşteri ilişkileri ile müşteri talep ve şikayetlerinin yönetimi süreçlerinin planlanması ve icrası; iş sürekliliğinin sağlanması faaliyetlerinin planlanması veya icrası; sözleşme süreçlerinin veya hukuki taleplerin takibi; finans veya muhasebe işlerinin takibi; kurumsal sürdürülebilirlik, kurumsal yönetim, stratejik planlama ve bilgi güvenliği süreçlerinin planlanması, denetimi ve icrası; iş ortakları, ilaç depoları veya tedarikçilerle yürütülen işlerin icrası ve ilişkilerin yönetimi; ürün ve hizmetlerin satış, pazarlaması ve tanıtımı süreçleri ile pazar araştırması, beğeni kullanım ve hizmet anlayışının tespiti ve özelleştirilmesi faaliyetlerinin planlanması ve icrası; Şirket tarafından sunulan ürün ve hizmetlerden müşterileri faydalandırmak için gerekli çalışmaların yapılabilmesi, veri sahiplerinin açık rızası doğrultusunda bilgilendirme ve tanıtım e-postaları atarak hizmetlerimizle ilgili son gelişmelerden haberdar etmek, mevzuat kapsamındaki hukuki yükümlülüklerin yerine getirilmesi, Şirketin tüm lokasyonlarında fiziki mekân ve iş güvenliğinin sağlanması, Şirket’in taraf olduğu iş, hizmet, satım, vekâlet, eser ve sair sözleşmeler ve mevzuattan doğan sorumlulukların eksiksiz ve doğru bir şekilde yerine getirilmesi amaçlarıyla 6698 sayılı Kanun’un 5. ve 6. maddelerinde belirtilen kişisel veri işleme şartları ve amaçları dahilinde işlenecektir.

3. İMHAYI GEREKTİREN HUKUKİ SEBEPLER

Kişisel veriler;

  • İşlenmesine esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası,
  • İşlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,
  • Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin açık rızasını geri alması,
  • KVKK Kanunu’nun 11 inci maddesi gereği ilgili kişinin hakları çerçevesinde kişisel verilerinin silinmesi ve yok edilmesine ilişkin yaptığı başvurunun Şirket tarafından kabul edilmesi,
  • Şirketin, ilgili kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabı yetersiz bulması veya KVK Kanunu’nda öngörülen süre içinde cevap vermemesi hallerinde; Kurula şikâyette bulunması ve bu talebin Kurul tarafından uygun bulunması,
  • Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olması ve kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması, durumlarında, ilgili kişinin talebi üzerine silinir, yok edilir ya da re’sen silinir, yok edilir veya anonim hale getirilir.

BÖLÜM III

VERİLERİN SAKLANMASINA VE GÜVENLİĞİNİN SAĞLANMASINA YÖNELİK TEKNİK VE İDARİ TEDBİRLER

1. TEKNİK TEDBİRLER

  • Şirket, elektronik ortamlarında sakladığı kişisel verilerin güvenliğinin sağlanması ve dışarıdan ve içeriden yetkisiz kişilerin erişimine karşı korunması için, aşağıdaki teknik tedbirler uygulamaktadır: Ağ yoluyla kişisel veri aktarımlarında kapalı sistem ağ kullanılmaktadır.
  • Çalışanlar için veri güvenliği konusunda belli aralıklarla eğitim ve farkındalık çalışmaları yapılmaktadır.
  • Güncel anti-virüs sistemleri kullanılmaktadır.
  • Güvenlik duvarları kullanılmaktadır.
  • Kişisel veri güvenliği sorunları hızlı bir şekilde raporlanmaktadır.
  • Kişisel veri içeren fiziksel ortamların dış risklere (yangın, sel vb.) karşı güvenliği sağlanmaktadır.
  • Kişisel veri içeren ortamların güvenliği sağlanmaktadır.
  • Kişisel veriler mümkün olduğunca azaltılmaktadır.
  • Kurum içi periyodik ve/veya rastgele denetimler yapılmakta ve yaptırılmaktadır.
  • Özel nitelikli kişisel veri güvenliğine yönelik protokol ve prosedürler belirlenmiş ve uygulanmaktadır.  Kullanıcı müdahalesi olmayacak şekilde CRM, Akademi, GTP, Dosya Paylaşım Sistemlerimizde erişim logları tutulmaktadır.CRM, Akademi, GTP, Dosya Paylaşım Sistemlerimizde çalışanların verilere erişimini sınırlandıran yetkilendirme ve yetki kontrolü yapılmaktadır.
  • Özel nitelikli kişisel veriler elektronik posta yoluyla gönderilecekse mutlaka şifreli olarak ve KEP veya kurumsal posta hesabı kullanılarak gönderilmektedir. Taşınabilir bellek, CD, DVD ortamında aktarılan özel nitelikli kişiler veriler şifrelenerek aktarılmaktadır.

2. İDARİ TEDBİRLER

Şirket, kişisel verilerin güvenliğinin sağlanması ve dışarıdan ve içeriden yetkisiz kişilerin erişimine karşı korunması için aşağıdaki idari tedbirleri uygulamaktadır:

  • Çalışanları ile yapılan sözleşmelerin içerisinde veya ekinde, bu kişilerden, görevleri gereği eriştikleri kişisel verilerin gizliliğinin korunmasına yönelik taahhütname almaktadır.
  • Kişisel verilerin gizliliğinin korunması ve KVK Kanunu ve ikincil mevzuata uygun hareket edilmesi konusunda çalışanlarının farkındalığının ve sorumluluğunun artırılması için çalışanlara gerekli eğitimler verilmektedir.
  • Şirket, kişisel verilere ilişkin veri tabanı oluşturulmasında üçüncü kişilere ait yazılım programlarını ve bulutları kullanabilmekte, fiziki dokümanların saklanması ve diğer kişisel veri işleme amaçlarının elde edilebilmesi için verileri üçüncü kişilerle paylaşabilmekte veya kişisel verilerin elde edilmesinde veri işleyen konumundaki üçüncü kişilerden destek alabilmektedir. Bu hallerde, söz konusu üçüncü kişilere veri aktarımının amacı dikkate alınarak gerekli olduğu ölçüde verilere erişim yetkisi sağlanır ve bu kişilerle yapılan sözleşmelerin içerisinde veya ekinde bu kişilere kişisel verilerin güvenliğinin sağlanması ve gizliliğinin korunmasına yönelik yükümlülükler getirilmektedir.
  • Kişisel verilerin yer aldığı fiziki belgeler, kilitli ortamlarda saklanmakta ve çalışanların bu belgelere erişimi Şirket’in idari, operasyonel ve çalışma düzeninin izin verdiği ölçüde sınırlandırılmaktadır.
  • Kişisel veri işlemeye başlamadan önce Şirket tarafından, ilgili kişileri aydınlatma yükümlülüğü yerine getirilmektedir.
  • Kişisel veri işleme envanteri hazırlanmıştır.
  • Erişim, bilgi güvenliği, kullanım, saklama ve imha konularında kurumsal politikalar hazırlanmış ve uygulamaya başlanmıştır.
  • Gizlilik taahhütnameleri yapılmaktadır.
  • Özel nitelikli kişisel veri güvenliğine yönelik protokol ve prosedürler belirlenmiş ve uygulanmaktadır.
  • Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır.

BÖLÜM IV

KİŞİSEL VERİLERİN İMHASINA İLİŞKİN USUL VE ESASLAR

1. KİŞİSEL VERİLERİN SAKLANMA VE İMHA SÜRELERİ

Kişisel veriler, aşağıdaki belirtilen sürelerle saklanır.

Tablo 3: Verilerin Saklama ve İmha Süreleri
Veri Türü Saklama Şekli İmha
Şirket Çalışan Verisi İlgili sözleşme süresi boyunca Şirket bünyesinde saklanır. Sözleşmenin sona ermesinden itibaren 10 Yıl saklanır. Saklama süresinin bitimini takip eden ilk periyodik imha süresinde.
Şirketin Eski Çalışan Verisi Sağlık verileri 15 YIL
Diğer veriler 10 YIL
Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Şirkete Başvuran Aday Verisi 2 YIL Derhal imha.
Hasta Verisi En az 20 YIL Saklama süresinin bitimini takip eden ilk periyodik imha süresinde
Müşteri Verisi (güvenlik sebebiyle alınan kayıtlar)
Çalışan Verisi (güvenlik sebebiyle alınan kayıtlar)
CCTV – 2 Ay

Log Kayıtları –  10 YIL
Olay Tutanakları-     10 YIL

Saklama süresinin bitimini takip eden ilk periyodik imha süresinde

2. PERİYODİK İMHA SÜRESİ

İmha Yönetmeliği’nin 11. maddesi gereğince Şirket, periyodik imha süresini 6 ay olarak belirlenmiştir. Buna göre, Şirkette her yıl Haziran ve Aralık aylarında periyodik imha işlemi gerçekleştirilir.

3. KİŞİSEL VERİLERİ İMHA TEKNİKLERİ

İlgili mevzuatta öngörülen süre ya da işlendikleri amaç için gerekli olan saklama süresinin sonunda kişisel veriler, Şirket tarafından re’sen veya ilgili kişinin başvurusu üzerine yine ilgili mevzuat hükümlerine uygun olarak aşağıda belirtilen tekniklerle imha edilir.
3.1 Kişisel Verilerin Silinmesi
Kişisel veriler Tablo-4’te verilen yöntemlerle silinir.
Tablo 4: Kişisel Verilerin Silinmesi
Veri Kayıt Ortamı Açıklama
Sunucularda Yer Alan
Kişisel Veriler
Sunucularda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler için sistem yöneticisi tarafından ilgili kullanıcıların erişim yetkisi kaldırılarak silme işlemi yapılır.
Elektronik Ortamda Yer
Alan Kişisel Veriler
Elektronik ortamda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, veritabanı yöneticisi hariç diğer çalışanlar (ilgili kullanıcılar) için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir.
Fiziksel Ortamda Yer Alan
Kişisel Veriler
Fiziksel ortamda tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler için evrak arşivinden sorumlu birim yöneticisi hariç diğer çalışanlar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. Ayrıca, üzeri okunamayacak şekilde çizilerek/boyanarak/silinerek karartma işlemi de uygulanır.
Taşınabilir Medyada
Bulunan Kişisel Veriler
Flash tabanlı saklama ortamlarında tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler, sistem yöneticisi tarafından şifrelenerek ve erişim yetkisi sadece sistem yöneticisine verilerek şifreleme anahtarlarıyla güvenli ortamlarda saklanır.
3.2 Kişisel Verilerin Yok Edilmesi
Kişisel veriler, Şirket tarafından Tablo-5’te verilen yöntemlerle yok edilir.
Tablo 5: Kişisel Verilerin Yok Edilmesi
Veri Kayıt Ortamı Açıklama
Fiziksel Ortamda Yer Alan
Kişisel Veriler
Kâğıt ortamında yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, kâğıt kırpma makinelerinde geri döndürülemeyecek şekilde yok edilir.
Optik / Manyetik Medyada
Yer Alan Kişisel Veriler
Optik medya ve manyetik medyada yer alan kişisel verilerden saklanmasını gerektiren süre sona erenlerin eritilmesi, yakılması veya toz haline getirilmesi gibi fiziksel olarak yok edilmesi işlemi uygulanır.
3.3 Kişisel Verilerin Anonim Hale Getirilmesi
Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.
Kişisel verilerin anonim hale getirilmiş olması için; kişisel verilerin, veri sorumlusu veya üçüncü kişiler tarafından geri döndürülmesi ve/veya verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekir.
4. VERİLERİN İMHASINA İLİŞKİN KAYITLARIN SAKLANMASI
Şirket, gerçekleştirmiş olduğu periyodik imha işlemleri ile veri sahibinin başvurusuna dayalı imha işlemlerini yazılı olarak kayıt altına alır. Ayrıca elektronik ortamda gerçekleştirilmiş imha işlemlerine ilişkin log kayıtları tutulur. İmha Yönetmeliği’nin 7’nci maddesinin üçüncü fıkrası uyarınca, Şirket tarafından yapılan bütün imha işlemlerine ilişkin kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az üç yıl süreyle saklanır.

BÖLÜM VI

GÜNCELLEMELER

Politika, en az 5 yıl şirket bünyesinde saklanmak kaydıyla, ihtiyaç duyuldukça gözden geçirilir ve gerekli olan bölümler güncellenir.