Kişisel Verilerin Korunması Ve İşlenmesi Politikası
Durumed Medikal Malzemeler Limited Şirketi ‘‘Durumed’’, 6698 Sayılı Kişisel Verilerin Korunması Kanunu ve Kişisel Sağlık Verilerinin İşlenmesi ve Mahremiyetinin Sağlanması Hakkında Yönetmelik kapsamında Kanun’un öngördüğü bütün ilkeleri benimsemekte, kişisel verilerin işlenmesi, silinmesi, yok edilmesi, anonim hale getirilmesi, aktarılması, ilgili kişinin aydınlatılması ve veri güvenliğinin sağlanmasıyla ilgili üzerine düşen yükümlülüklerini yerine getirmektedir.
Amaç ve Kapsamı
Bu KVK Politikası, kişisel verilerin Durumed tarafından toplanması, kullanımı, paylaşımı, muhafaza edilmesi ve korunması konularını ve bunlar ile ilgili veri sahiplerinin haklarını açıklamaktadır. Bu KVK Politikası;
- Çalışanların,
- Çalışan adaylarının,
- Şirket hissedarlarının,
- Şirket yetkililerinin,
- Ziyaretçilerin,
- İşbirliği içinde olunan kurumların çalışanlarının,
- Şirketin sunduğu her tür uygulama ve hizmete erişenlerin ve Üçüncü kişilerin
Kanun kapsamındaki kişisel verileri için uygulanmaktadır. Veri sahiplerinden açık rızaları elde edilerek ya da Kanun’da sayılan diğer hukuka uygunluk halleri kapsamında toplanan kişisel ve sağlık verileri , sağlık hizmetlerinin gereği gibi sunulması, sunulan hizmetlerin kalitesinin arttırılması ve diğer amaçlarla işlenmektedir. Durumed kişisel verileri veri işleme şartlarına ve genel ilkelere uygun şekilde işlemekte olup aydınlatma yükümlülüğünü de yerine getirmektedir
Kişisel Verilerin İşlenmesi
- Durumed, kişisel ve sağlık veri işleme faaliyetlerini gerçekleştirirken Kanun’un 4. maddesinde sıralanan ilkelere uygun olarak hareket etmektedir.
- Hukuka ve dürüstlük kurallarına uygun olma
- Doğru ve gerektiğinde güncel olma
- Belirli, açık ve meşru amaçlar için işlenme
- İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma
- İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme:
Kişisel Verilerin İşlenme Şartları
Durumed; kişisel verileri açık rıza ile yahut diğer veri işleme şartlarına uygun olarak sayılan hallerde işlemektedir:
- Kanunlarda açıkça öngörülmesi.
- Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
- Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
- Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
- İlgili kişinin kendisi tarafından alenileştirilmiş olması.
- Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
- İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.
Kanun’a göre kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.
Özel nitelikli kişisel verilerin işlenmesinde Kanun’un 6. maddesinde sıralanan veri işleme şartlarına ve sağlık verileri bakımından 20 Ekim 2016 tarihli Resmi Gazete’de yayımlanarak yürürlüğe giren Kişisel Sağlık Verilerinin İşlenmesi ve Mahremiyetinin Sağlanması Hakkında Yönetmelik hükümlerine riayet edilmektedir. Bu kapsamda özel nitelikli kişisel veriler aşağıdaki hallerde işlenmektedir:
- Veri sahibinin açık rızasının bulunması
- Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel verilerin işlenmesinin kanunlarda öngörülmesi.
- Sağlık ve cinsel hayata ilişkin verilerin kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla sır saklama yükümlülüğü altındaki kişiler tarafından işlenmesi.
Kişisel Verilerin İşlenme Amaçları
Durumed; çalışan adaylarının, çalışanlarının, müşterilerinin ve Şirket hissedarlarının/yetkililerinin, ziyaretçilerinin ve diğer kişilerin kişisel verilerini Kanun’un 5. ve 6. maddesinde yer alan hukuki sebeplere dayalı olarak işlemektedir.
Çalışan Adayı Verileri: Durumed, çalışan adaylarının iş başvurusunda bulunarak paylaştığı ya da kişisel verileri adayın pozisyona uygunluğunun değerlendirilmesi, mülakat süreçlerinin yürütülmesi ve süreci olumsuz sonuçlanan adayların ileride ortaya çıkabilecek pozisyonlar için tekrar değerlendirilebilmesi amaçlarıyla işler.
Çalışan Verileri: Durumed çalışanlarının kişisel verileri, İş Kanunu m. 75’den doğan işverenin özlük dosyası hazırlama ve saklama; iş sözleşmesinden doğan hakların tesisi ve borçların yerine getirilmesi amaçlarıyla işlenmektedir.
Müşteri/Kullanıcı Verileri: Müşteri verilerinin temel işlenme amacı Durumed’in faaliyet konusu olan sağlık hizmetlerinin gereği gibi sunulmasına ilişkindir.
Ziyaretçi Verileri: Durumed bina ve tesislerini ziyaret eden kişilerin kişisel verileri, Şirket fiziki güvenliğinin sağlanması amacıyla güvenlik kameraları vasıtasıyla kaydedilir..
Bahsi geçen amaçlarla gerçekleştirilen veri işleme faaliyetinin, Kanun kapsamında öngörülen sair veri işleme şartlarından herhangi birini karşılamıyor olması halinde, ilgili veri işleme sürecine ilişkin olarak Durumed tarafından veri sahibinden açık rıza temin edilmektedir.
Kişisel Verilerin Toplanması
Durumed, kişisel ve sağlık verilerini dijital ortam, telefon ve yazılı olarak, Kanun’da belirtilen kişisel veri işleme şartlarına uygun olarak ve işbu KVK Politikasında belirtilen hukuki sebepler doğrultusunda toplamaktadır.
Durumed müşterileri tarafından bir başkasının kişisel ve sağlık verilerinin paylaşılması halinde, veri sahibinin kişisel verilerinin Durumed ile paylaşıldığı konusunda bilgilendirmesi ve gerekli hallerde rızasının alınmasının sorumluluğu ilgili müşteriye aittir.
Kişisel Verilerin Aktarılması
Durumed kişisel verileri yalnızca işbu KVK Politikasında belirtilen amaçlar doğrultusunda ve Kanun’un 8. ve 9. maddelerine uygun olarak üçüncü kişilere aktarmaktadır.
Durumed‘in kişisel ve sağlık verileri paylaşmasının amacı, daha iyi hizmet sunmak ve yasal yükümlülüklere uymaktır. Durumed veri paylaşım faaliyetlerinde hukuka uygun davranmayı ilke edinir. Kişisel verilerin aktarıldığı üçüncü kişiler ile ancak hizmetin gerektirdiği ölçüde veri paylaşılmaktadır. Bu taraflar mutlaka veri güvenliğine ilişkin tedbirleri almaya zorlanmaktadır.
Yukarıda belirtilen yurt içi ve yurt dışı aktarıma konu kişisel veriler, veri güvenliğini sağlayacak teknik tedbirlerin yanı sıra; hukuki açıdan da korunmaktadır.
Durumed, işlediği kişisel verileri; yasalar karşısındaki yükümlülüğünü ifa etmek amacıyla (suçla mücadele, devlet ve kamu güvenliğinin tehdidi ve benzeri ancak bununla sınırlı olmamak üzere Şirket’in yasal veya idari olarak bildirim veya bilgi verme yükümlülüğünün mevcut olduğu durumlarda) yasal olarak bu bilgileri talep etmeye yetkili olan kamu kurum ve kuruluşları ile paylaşabilecektir.
Kişisel Verilerin Saklanması Ve İmhası
Kanun uyarınca kişisel ve sağlık verileri , doğru ve güncel tutulmakta, ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmektedir. Bu süre her kişisel veri kategorisi için ayrı olarak belirlenmekte olup bu sürenin geçmesinden sonra ise ilgili kişisel veriler Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik uyarınca belirlenen periyodik imha sürelerinin sonunda silinmekte, yok edilmekte veya anonim hale getirilmektedir.
Durumed kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesiyle ilgili yapılan bütün işlemleri kayıt altına alır ve söz konusu kayıtları, diğer hukuki yükümlülükler hariç olmak üzere en az üç yıl süreyle saklar.
Veri sahibi, başvurarak kendisine ait kişisel verilerin silinmesini veya yok edilmesini talep ettiğinde;
Durumed tarafından;
- Kişisel verileri işleme şartlarının tamamı ortadan kalkmışsa talebe konu kişisel verileri siler, yok eder veya anonim hale getirir. Veri sahibinin talebini en geç otuz gün içinde sonuçlandırır ve veri sahibine bilgi verir.
- Kişisel verileri işleme şartlarının tamamı ortadan kalkmış ve talebe konu olan kişisel veriler üçüncü kişilere aktarılmışsa bu durumu ilgili üçüncü kişiye bildirir; üçüncü kişi nezdinde gerekli işlemlerin yapılmasını temin eder.
- Kişisel verileri işleme şartlarının tamamı ortadan kalkmamışsa, bu talebi Kanun’un 13 üncü maddesinin üçüncü fıkrası uyarınca gerekçesini açıklayarak reddedebilir ve ret cevabını veri sahibine en geç otuz gün içinde yazılı olarak ya da elektronik ortamda bildirir.
Teknik ve İdari Tedbirler ;
Durumed, Kişisel verilerin korunması için teknik ve idari tedbirler almış ve özel nitelikli kişisel veriler bakımından da özenle ve ilave tedbirler uygulanmaktadır.
Kişisel verilerin yalnızca bu KVK Politikasında belirtilen amaçlar kapsamında işlenmesini sağlamak ve kötü niyetli olarak kullanılması, kişisel verilere yetkisiz şekilde erişilmesi, paylaşılması, yok edilmesi veya değiştirilmesi gibi riskleri azaltmak için uygun her türlü güvenlik tedbirini almış bulunmaktadır.
Veri güvenliği sağlamak için aldığı teknik ve idari tedbirler kapsamında;
- Çalışanlarına yönelik kişisel verilerin korunması konusunda düzenli eğitimler ve farkındalık çalışmaları düzenlemektedir.
- Şirket kişisel veri işleme envanterine dayalı olarak politikalar oluşturmakta ve politikaların uygulanması için gerekli süreçleri kurgulamaktadır.
- Kişisel verilerin korunmasına ilişkin sair idari tedbirleri almaktadır.
- Güvenliğe ilişkin önlemler, periyodik olarak yenilenmekte ve geliştirilmektedir.
Durumed, gerekli bilgi güvenliği önlemlerini almasına karşın, kişisel verilerin zarar görmesi veya yetkisiz üçüncü kişilerin eline geçmesi durumunda , bu durumu derhal veri sahiplerine ve Kişisel Verileri Koruma Kurulu’na bildirir ve gerekli önlemleri alır.
Veri Sahiplerinin Hakları;
KVKK Kapsamında ; Veri Sahibinin kişisel verileri üzerindeki hakları aşağıda şekildedir:
- Kişisel verisinin işlenip işlenmediğini öğrenme,
- Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
- Kişisel verilerinin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
- Kişisel verilerinin yurt içinde veya yurt dışında aktarıldığı üçüncü kişileri bilme,
- Kişisel verilerinin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
- Kanun’un 7. maddesinde öngörülen şartlar çerçevesinde kişisel verilerinin silinmesini veya yok edilmesini isteme,
- İşbu silme, yok etme veya düzeltme işlemlerinin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
- İşlenen verilerinin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle veri sahibinin aleyhine bir sonucun ortaya çıkmasına itiraz etme,
- Kişisel verilerinin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme.
Veri sahiplerinin yukarıda sayılan haklarına ilişkin taleplerini Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’de öngörülen başvuru usullerine uygun olarak Durumed’e iletmesi durumunda, işbu talebi niteliğine göre en kısa sürede ve en geç 30 (otuz) gün içinde ücretsiz olarak sonuçlandıracaktır. Ancak, işlemin ayrıca bir maliyeti gerektirmesi hâlinde, Kişisel Verileri Koruma Kurulunca belirlenen tarifedeki ücreti alabilecektir.
KVK Politikasında Yapılacak Değişiklikler
Durumed, işbu KVK Politikasında her zaman değişiklik yapabilir. Bu değişiklikler, değiştirilmiş yeni KVK Politikasının yayınlandığı gün geçerlilik kazanır. İşbu KVK Politikasındaki değişikliklerden haberdar olunması için, veri sahiplerine gerekli bilgilendirmeler yapılacaktır.
İLETİŞİM
Kişisel Verilerin Korunması ve İşlenmesi Politikası ile ilgili soru ve taleplerinizi www.durumed.com.tr adresinden iletebilirsiniz.