(Yürürlük Tarihi: 01.10.2021- Versiyon:01)
1-GİRİŞ
İşbu Kişisel Verilerin Saklanması ve İmhası Politikası (“Politika”) ile Analiz Özel Tıbbi Tahlil Laboratuvarı Ltd. Şti. (“Analiz Laboratuvarı”), 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) kapsamında, veri sorumlusu sıfatını haiz olarak, ilgili mevzuat hükümleri uyarınca, saklama ve imha faaliyetlerine ilişkin iş ve işlemler konusunda usul ve esasların belirlenmesi amacıyla hazırlanmıştır. Kişisel verilerin saklanması ve imhasına ilişkin iş ve işlemler, Analiz Laboratuvarı tarafından işbu doğrultuda hazırlanmış olan Politikaya uygun olarak gerçekleştirilir.
Analiz Laboratuvarı, Kanun ile Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik (“Yönetmelik”) kapsamında ilke ve esaslara uygun olarak, bünyesinde bulundurduğu kişisel verilerin saklanması ve imhası hakkında işbu Politikaya ve Politikada belirtilen esaslara uygun davranmaktadır.
2-POLİTİKANIN AMACI
İşbu Politikanın temel amacı, Kanun ile Yönetmelik kapsamında işlenen kişisel verilen, saklanması ve imhasına yönelik yöntem ve süreçlere ilişkin usul ve esasların belirlenmesi; bu kapsamda, Analiz Laboratuvarı tarafından kişisel verileri işlenen ilgili kişilerin bilgilendirilmesidir.
3-POLİTİKANIN KAPSAMI
İşbu Politika, otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla, Analiz Laboratuvarı bünyesinde kişisel verileri işlenen kişiler için hazırlanmıştır. İşbu Politika, kişisel veri niteliği taşımayan verilere uygulanmaz ve Kanun başta olmak üzere, kişisel verilerin korunmasına yönelik düzenlemelerin gerektirmesi halinde, yazılı bir kararla değiştirilebilir.
4-TANIMLAR
“Alıcı Grubu” Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisini ifade eder.
“Açık Rıza” Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı ifade eder.
“Anonim Hale Getirme” Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesini ifade eder.
“Elektronik Ortam” Kişisel verilerin elektronik aygıtlar ile oluşturulabildiği, okunabildiği, değiştirilebildiği ve yazılabildiği ortamları ifade eder.
“Elektronik Olmayan Ortam” Elektronik ortamların dışında kalan tüm yazılı, basılı, görsel vb. diğer ortamları ifade eder.
“Veri İşleyen” Veri sorumlusunun verdiği yetkiye dayanarak veri sorumlusu adına kişisel verileri işleyen gerçek veya tüzel kişiyi ifade eder.
“Veri Sorumlusu” Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasında ve yönetilmesinden sorumlu gerçek veya tüzel kişiyi ifade eder.
“Veri Sorumluları Sicil Bilgi Sistemi” Veri sorumlularının Sicile başvuruda ve Sicile ilişkin ilgili diğer işlemlerde kullanacakları internet üzerinden erişilebilen, Başkanlık tarafından oluşturulan ve yönetilen bilişim sistemini ifade eder.
“İlgili Kişi” Kişisel verisi işlenen gerçek kişiyi ifade eder.
“İlgili Kullanıcı” Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişileri ifade eder.
“İmha” Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesini ifade eder.
“Kişisel Verilerin Silinmesi” İlgili kullanıcı için verinin hiçbir şekilde kullanılamaz hale getirilmesi işlemini ifade eder.
“Kişisel Verilerin Yok Edilmesi” Verinin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemini ifade eder.
“Kişisel Verilerin Anonim Hale Getirilmesi” Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesini ifade eder.
“İrtibat Kişisi” Türkiye’de yerleşik olan tüzel kişiler ile Türkiye’de yerleşik olmayan tüzel kişi veri sorumlusu temsilcisinin Kanun ve bu Kanuna dayalı olarak çıkarılacak ikincil düzenlemeler kapsamındaki yükümlülükleriyle ilgili olarak Kurum ile kurulacak iletişim için veri sorumlusu tarafından Sicile kayıt esnasında bildirilen gerçek kişiyi ifade eder.
“Kişisel Veri” Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade eder.
“Kişisel Veri İşleme Envanteri” Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanteri ifade eder.
“Kişisel Veri Saklama Ve İmha Politikası” Veri sorumlularının, kişisel verilerin işlendikleri amaç için gerekli olan azami süreyi belirleme işlemi ile silme, yok etme ve anonim hale getirme işlemi için dayanak yaptıkları politikayı ifade eder.
“Kişisel Verilerin İşlenmesi” Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, saklanması, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi ifade eder.
“Kurul” Kişisel Verileri Koruma Kurulu’nu ifade eder.
“Özel Nitelikli Kişisel Veri” Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri ifade eder.
“Periyodik İmha” Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla re’sen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemini ifade eder.
5-SORUMLULUK VE GÖREV DAĞILIMI
Kanun ve ilgili mevzuat uyarınca, laboratuvar içi koordinasyonun sağlanması, muhafazası ve sürdürülmesi ve Kurum ile iletişimin sağlanması bakımından, Analiz Laboratuvarı, Veri İrtibat Kişisi belirlemiştir. İrtibat kişisi, Analiz Laboratuvarı’na konu ile ilgili başvuruların ve veri ihlallerinin takibi, bildirimi ve kontrolünden sorumlu olan kişidir.
6-KİŞİSEL VERİLERİN SAKLANDIĞI ORTAMLAR
Analiz Laboratuvar tarafından işlenen kişisel veriler, aşağıda belirtilen ortamlarda saklanmaktadır:
Elektronik ortamlar; kullanılan yazılımları (ofis yazılımları, kurum portalları), bilgisayarları, telefonlar gibi mobil cihazları, optik diskleri, çıkarılabilir bellekleri, bilgi güvenliği cihazlarını (güvenlik duvarı, saldırı tespit ve engelleme, günlük kayıt dosyası, antivirüs vb.) kapsar.
Elektronik olmayan ortam; kâğıt olarak tutulan kişisel verileri, Analiz Laboratuvar içerisinde yer alan formları, hasta başvuru formları, tahlil istek formları, tarama testi formları, dışarıdan hizmet alınan laboratuvara ait formları, laboratuvarımız ile üçüncü kişiler arasında yapılan sözleşmeleri, manuel veri kayıt sistemlerini, yazılı, basılı, görsel ortamlarda tutulan kişisel verileri, birim dolaplarını, arşiv dolaplarını kapsar.
7-KİŞİSEL VERİLERİN SAKLANMASI VE İMHASI
Kanun, kişisel verilerin amaçla bağlantılı, sınırlı ve ölçülü bir şekilde işlenmeleri ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli süre kadar muhafaza edilmesi gerektiği düzenlenmiş olup kişisel verilerin belirli sürelerle saklanması gerekliliğine işaret etmiştir. Bu kapsamda, Analiz Laboratuvar tarafından işlenen kişisel veriler, ilgili mevzuatlarda öngörülen ve/veya işleme amaçlarımıza uygun olarak, gereken sürelerde saklanmaktadır. Kişisel verilerin, ilgili mevzuata, Kanuna ve Analiz Laboratuvarı politikalarına uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde, işbu kişisel veriler resen veya ilgili kişinin talebi üzerine, veri sorumlusu tarafından silinir, yok edilir veya anonim hâle getirilir.
7.1- Saklamaya İlişkin Açıklamalar
Kanun’un 4. Maddesinde, işlenen kişisel verilerin işlendikleri amaçla bağlantılı, sınırlı, ölçülü olması ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli süre kadar muhafaza edilmesi gerektiği belirtilmiş; 5., 6. Maddelerinde ise kişisel verilerin işleme şartları sayılmıştır.
7.1.1- Saklamayı Gerektiren Hukuki Sebepler
Analiz Laboratuvarı bünyesinde işlenen kişisel veriler, Kanun ve diğer ilgili mevzuatta belirtilen sınırlar çerçevesinde saklanmaktadır. Kanunlarda böyle bir süre öngörülmemesi durumunda ise öncelikle, Analiz Laboratuvarı tarafından, kişisel verinin özel nitelikli kişisel veri sınıflandırmasına tabi olup olmadığı değerlendirilir. Özel nitelikli kişisel veriler, Kanun’un 6’ncı maddesi ve Analiz Laboratuvarı tarafından yayımlanan Özel Nitelikli Kişisel Veri İşleme Politikasına uygun olarak işlenip saklanmadıysa, 7.2’nci maddede belirtilen yöntemlerle derhal imha edilir. İşbu süreçten sonra, kişisel verinin saklanmasında meşru bir amacın olup olmadığı tespit edilir. Saklanması konusunda karar alınması halinde, ilgili Kanun hükümleri başta olmak üzere, teamüller ve Analiz Laboratuvarı politikaları çerçevesinde saklanması gereken makul sürelerde saklanır ve süre sonunda imha edilir.
Kişisel verilerin saklanmasına ilişkin aşağıdaki mevzuat hükümleri uygulanmaktadır:
1219 sayılı Tababet ve Şuabatı San'atlarının Tarzı İcrasına Dair Kanun
992 sayılı Seriri Taharriyat ve Tahlilat Yapılan ve Masli Teamüller Aranılan Umuma Mahsus Bakteriyoloji ve Kimya Laboratuvarları Kanunu
3359 Sayılı Sağlık Hizmetleri Temel Kanunu
6698 sayılı Kişisel Verilerin Korunması Kanunu
4857 Sayılı İş Kanunu ve İlgili Mevzuat
6098 Sayılı Türk Borçlar Kanunu
5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun
6331 Sayılı İş Sağlığı ve Güvenliği Kanunu, İş Sağlığı ve Güvenliği Hizmetleri Yönetmeliği
5510 Sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu ve İlgili Mevzuat
6102 Sayılı Türk Ticaret Kanunu
6502 Sayılı Tüketicinin Korunması Hakkında Kanun
213 Sayılı Vergi Usul Kanunu
Tıbbi Laboratuvar Yönetmeliği
Ayakta Teşhis Ve Tedavi Hizmeti Sunan Özel Sağlık Kuruluşları Hakkında Yönetmelik
Hasta Hakları Yönetmeliği başta olmak üzere yukarıda verilen kanunlar uyarınca yürürlükte olan diğer ikincil düzenlemeler.
7.1.2- Saklamayı Gerektiren İşleme Amaçları
Analiz Laboratuvarı tarafından özellikle yasal düzenlemelerin gerektirdiği veya zorunlu hallerde, hukuki yükümlülüklerin yerine getirilmesi, iş ve ticari faaliyetlerin sürdürülebilmesi, sağlık hizmeti faaliyetlerinin yürütülebilmesi, sözleşme kurulması ve ifası, çalışan haklarının ve yan haklarının planlanması ve ifası için gerekli olan çalışan ve müşteri/hastalara ait veriler Kanun ve diğer ilgili mevzuatlarda belirtilen sınırlar çerçevesinde saklanmaktadır.
Ayrıca, Analiz Laboratuvarı, faaliyetleri çerçevesinde işlemekte olduğu kişisel verileri aşağıdaki amaçlar doğrultusunda saklar:
Analiz Laboratuvarı bünyesinde işlenen kişisel veriler, Kanun ve diğer ilgili mevzuatta belirtilen sınırlar çerçevesinde saklanmaktadır. Kanunlarda böyle bir süre öngörülmemesi durumunda ise öncelikle, Analiz Laboratuvarı tarafından, kişisel verinin özel nitelikli kişisel veri sınıflandırmasına tabi olup olmadığı değerlendirilir. Özel nitelikli kişisel veriler, Kanun’un 6’ncı maddesi ve Analiz Laboratuvarı tarafından yayımlanan Özel Nitelikli Kişisel Veri İşleme Politikasına uygun olarak işlenip saklanmadıysa, 7.2’nci maddede belirtilen yöntemlerle derhal imha edilir. İşbu süreçten sonra, kişisel verinin saklanmasında meşru bir amacın olup olmadığı tespit edilir. Saklanması konusunda karar alınması halinde, ilgili Kanun hükümleri başta olmak üzere, teamüller ve Analiz Laboratuvarı politikaları çerçevesinde saklanması gereken makul sürelerde saklanır ve süre sonunda imha edilir.
Kişisel verilerin saklanmasına ilişkin aşağıdaki mevzuat hükümleri uygulanmaktadır:
1219 sayılı Tababet ve Şuabatı San'atlarının Tarzı İcrasına Dair Kanun
992 sayılı Seriri Taharriyat ve Tahlilat Yapılan ve Masli Teamüller Aranılan Umuma Mahsus Bakteriyoloji ve Kimya Laboratuvarları Kanunu
3359 Sayılı Sağlık Hizmetleri Temel Kanunu
6698 sayılı Kişisel Verilerin Korunması Kanunu
4857 Sayılı İş Kanunu ve İlgili Mevzuat
6098 Sayılı Türk Borçlar Kanunu
5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun
6331 Sayılı İş Sağlığı ve Güvenliği Kanunu, İş Sağlığı ve Güvenliği Hizmetleri Yönetmeliği
5510 Sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu ve İlgili Mevzuat
6102 Sayılı Türk Ticaret Kanunu
6502 Sayılı Tüketicinin Korunması Hakkında Kanun
213 Sayılı Vergi Usul Kanunu
Tıbbi Laboratuvar Yönetmeliği
Ayakta Teşhis Ve Tedavi Hizmeti Sunan Özel Sağlık Kuruluşları Hakkında Yönetmelik
Hasta Hakları Yönetmeliği başta olmak üzere yukarıda verilen kanunlar uyarınca yürürlükte olan diğer ikincil düzenlemeler.
7.1.2- Saklamayı Gerektiren İşleme Amaçları
Analiz Laboratuvarı tarafından özellikle yasal düzenlemelerin gerektirdiği veya zorunlu hallerde, hukuki yükümlülüklerin yerine getirilmesi, iş ve ticari faaliyetlerin sürdürülebilmesi, sağlık hizmeti faaliyetlerinin yürütülebilmesi, sözleşme kurulması ve ifası, çalışan haklarının ve yan haklarının planlanması ve ifası için gerekli olan çalışan ve müşteri/hastalara ait veriler Kanun ve diğer ilgili mevzuatlarda belirtilen sınırlar çerçevesinde saklanmaktadır.
Ayrıca, Analiz Laboratuvarı, faaliyetleri çerçevesinde işlemekte olduğu kişisel verileri aşağıdaki amaçlar doğrultusunda saklar:
- Mevzuatta kişisel verilerin saklanmasının açıkça öngörülmesi,
- Hukuki yükümlülüklerin yerine getirilebilmesi
- İlgili kişilerin açık rızasının alınmasını gerektiren saklama faaliyetleri açısından ilgili kişilerin açık rızasının bulunması,
- Faaliyet konusu sağlık hizmetinin kanunlarda öngörüldüğü şekilde verilebilmesi
- Faaliyet konusu sağlık hizmetinin sunulması esnasında ilişkilerin yönetilebilmesi,
- İnsan kaynakları süreçlerinin yürütülmesi,
- İletişimin sağlanması,
- Denetim, kontrol, risk yönetimi faaliyetlerin yerine getirilmesi, fiziksel mekân ve çalışan/ziyaretçi/müşteri güvenliğinin sağlanması,
- Sözleşmelerin ifası,
- Kişisel Verilerin Korunması Kanunu kapsamında ilgili kişilerin talep ve şikayetlerin sonuçlandırılması,
- Kişisel Verilerin Korunması Kanunu kapsamında gerekli teknik önlemlerin alınmasının temin edilmesi (veri yedekleme, silme yok etme işlemlerinin kayıt altına alınması, log kayıtlarının tutulması vb.),
- Kişisel verilerin kişilerin temel hak ve özgürlüklerine zarar vermemek kaydıyla, Analiz Laboratuvarı’nın meşru menfaatleri için saklanmasının zorunlu olması,
- İleride doğabilecek hukuki uyuşmazlıklarda delil olarak ispat yükümlülüğünün yerine getirilebilmesi.
7.2- İmhayı Gerektiren Hukuki Sebepler
Analiz Laboratuvarı bünyesinde işlenen kişisel veriler; aşağıda belirtilen sebeplerle, işbu politika ve Kişisel Verilerin İşlenmesi ve Korunması Politikası nezdinde, Kişisel Verilerin Silinmesi,
Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik’e uygun olarak silinir, yok edilir veya anonim hale getirilir.
Bu sebepler;
Bu sebepler;
- Kişisel verilerin, işlenmesine esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası,
- Kişisel verilerin işlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,
- Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin açık rızasını geri alması,
- Kanunun 11 inci maddesi gereği ilgili kişinin hakları çerçevesinde kişisel verilerinin silinmesi ve yok edilmesine ilişkin yaptığı başvurunun Kurum tarafından kabul edilmesi,
- Kurumun, ilgili kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabı yetersiz bulması veya Kanunda öngörülen süre içinde cevap vermemesi hallerinde; Kurula şikâyette bulunması ve bu talebin Kurul tarafından uygun bulunması,
- Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olması ve kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması, durumlarını 9.2- kapsar.
8- KİŞİSEL VERİLERİ SAKLAMA VE İMHASINA İLİŞKİN TEKNİK VE İDARİ TEDBİRLER
Analiz Laboratuvarı bünyesinde, Kanun kapsamında kişisel verileri saklama ve imhasına ilişkin her türlü idari, teknik, hukuki tedbir alınmıştır. Bu kapsamda Analiz Laboratuvarı’nın aldığı tedbirler aşağıdaki gibidir:
- Ağ güvenliği ve uygulama güvenliği sağlanmaktadır.
- Ağ yoluyla kişisel veri aktarımlarında kapalı sistem ağ kullanılmaktadır.
- Anahtar yönetimi uygulanmaktadır.
- Bilgi teknolojileri sistemleri tedarik, geliştirme ve bakımı kapsamındaki güvenlik önlemleri alınmaktadır.
- Erişim logları düzenli olarak tutulmaktadır.
- Çalışanlar için veri güvenliği konusunda belli aralıklarla eğitim ve farkındalık çalışmaları yapılmaktadır.
- Çalışanlar için yetki matrisi oluşturulmuştur.
- Erişim, bilgi güvenliği, kullanım, saklama ve imha konularında kurumsal politikalar hazırlanmış ve uygulamaya başlanmıştır.
- Gizlilik taahhütnameleri yapılmaktadır.
- Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır.
- Güncel anti-virüs sistemleri kullanılmaktadır.
- Güvenlik duvarları kullanılmaktadır.
- İmzalanan sözleşmeler veri güvenliği hükümleri içermektedir.
- Kâğıt yoluyla aktarılan kişisel veriler için ekstra güvenlik tedbirleri alınmakta ve ilgili evrak gizlilik dereceli belge formatında gönderilmektedir.
- Kişisel veri güvenliği politika ve prosedürleri belirlenmiştir.
- Kişisel veri güvenliğinin takibi yapılmaktadır.
- Kişisel veri güvenliğinin takibi yapılmaktadır. Kişisel veriler yedeklenmekte ve yedeklenen kişisel verilerin güvenliği de sağlanmaktadır. Log kayıtları kullanıcı müdahalesi olmayacak şekilde tutulmaktadır.
- Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmaktadır.
- Kişisel veri içeren fiziksel ortamların dış risklere (yangın) karşı güvenliği sağlanmaktadır.
- Kişisel veri içeren ortamların güvenliği sağlanmaktadır.
- Kişisel veriler mümkün olduğunca azaltılmaktadır.
- Kurum içi periyodik ve/veya rastgele denetimler yapılmakta ve yaptırılmaktadır.
- Mevcut risk ve tehditler belirlenmiştir.
- Özel nitelikli kişisel veri güvenliğine yönelik protokol ve prosedürler belirlenmiş ve uygulanmaktadır.
- Özel nitelikli kişisel veriler için güvenli şifreleme/kriptografik anahtarlar kullanılmakta ve farklı birimlerce yönetilmektedir.
- Saldırı tespit ve önleme sistemleri kullanılmaktadır.
- Siber güvenlik önlemleri alınmış olup uygulanması sürekli takip edilmektedir.
- Şifreleme yapılmaktadır.
- Veri işleyen hizmet sağlayıcılarının, veri güvenliği konusunda farkındalığı sağlanmaktadır.
- Veri kaybı önleme yazılımları kullanılmaktadır. Özel nitelikli kişisel veriler elektronik posta yoluyla gönderilecekse mutlaka şifreli olarak ve KEP veya kurumsal posta hesabı kullanılarak gönderilmektedir.
9- KİŞİSEL VERİLERİN İMHA TEKNİKLERİ
Analiz Laboratuvarı tarafından re ‘sen ya da ilgili kişinin talebi üzerine, kişisel veriler aşağıda belirtilen yöntem ve tekniklerle imha edilmektedir.
9.1- Kişisel Verilerin Silinmesi
Kişisel verilerin silinmesi, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Veri sorumlusu olan Analiz Laboratuvarı tarafından, silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması için gerekli her türlü teknik ve idari tedbirleri alma yükümlülüğü yerine getirilmektedir.
Sunucularda yer alan kişisel veriler; saklanmasını gerektiren süre sona erenler için sistem yöneticisi tarafından ilgili kullanıcıların erişim yetkisinin kaldırılarak silinmesi anlamına gelir.
Elektronik ortamda saklanan kişisel veriler; sistem yöneticisi tarafından ilgili kullanıcıların erişim yetkisi kaldırılarak silme işlemi yapılır. Taşınabilir medyada bulunan kişisel veriler hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir.
Elektronik olmayan ortamda saklanan kişisel veriler; fiziksel ortamda tutulan kişisel veriler karartma yöntemi kullanılarak silinir. Karartma işlemi, ilgili evrak üzerindeki kişisel verilerin, mümkün olan durumlarda kesilmesi, mümkün olmayan durumlarda ise geri döndürülemeyecek ve teknolojik çözümlerle okunamayacak şekilde sabit mürekkep kullanılarak görünemez hale getirilmesi şeklinde yapılır.
Taşınabilir medyada bulunan kişisel veriler; sistem yöneticisi tarafından şifrelenerek ve erişim yetkisi sadece sistem yöneticisine verilerek şifreleme anahtarlarıyla güvenli ortamlarda saklanır.
9.2- Kişisel Verilerin Yok Edilmesi
Elektronik ortamda saklanan kişisel veriler; saklanmasını gerektiren sürenin sona ermesi ya da ilgili kişinin talebi üzerine, cihazın eritilmesi, yakılması veya toz haline getirilmesi gibi işlemlerle fiziksel olarak yok edilir.
Elektronik olmayan ortamda saklanan kişisel veriler; fiziksel ortamda tutulan kişisel veriler, kâğıt kırpma suretiyle geri döndürülemeyecek şekilde yok edilir.
9.3- Kişisel Verilerin Anonim Hale Getirilmesi
Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.
Analiz Laboratuvarı tarafından imha yöntemi olarak anonim hale getirme seçildiğinde, kişisel verilerin, veri sorumlusu veya üçüncü kişiler tarafından geri döndürülmesi ve/veya verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi işlemi uygulanır.
10- KİŞİSEL VERİLERİN SAKLAMA SÜRESİ
Analiz Laboratuvarı tarafından, faaliyetler kapsamında işlenmekte olan kişisel verilerle ilgili olarak;
İşe Alım Değerlendirme Süreçleri: 1 Hafta (Saklama süresinin bitimini takip eden ilk periyodik imha süresinde, en geç 6 ay)
Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.
Analiz Laboratuvarı tarafından imha yöntemi olarak anonim hale getirme seçildiğinde, kişisel verilerin, veri sorumlusu veya üçüncü kişiler tarafından geri döndürülmesi ve/veya verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi işlemi uygulanır.
10- KİŞİSEL VERİLERİN SAKLAMA SÜRESİ
Analiz Laboratuvarı tarafından, faaliyetler kapsamında işlenmekte olan kişisel verilerle ilgili olarak;
- Süreçlere bağlı olarak gerçekleştirilen faaliyetler kapsamındaki tüm kişisel verilerle ilgili kişisel veri bazında saklama süreleri Analiz Laboratuvarı Kişisel Veri İşleme Envanterinde,
- Veri kategorileri bazında saklama süreleri VERBİS’e kayıtta,
- 1412- Süreç bazında saklama süreleri ise işbu Politika’da yer almaktadır.
İşe Alım Değerlendirme Süreçleri: 1 Hafta (Saklama süresinin bitimini takip eden ilk periyodik imha süresinde, en geç 6 ay)
İnsan Kaynakları Süreçleri : Hukuki İlişki + 10 Yıl (Saklama süresinin bitimini takip eden ilk periyodik imha süresinde, en geç 6 ay)
İş Kanunu Madde 32 Kapsamında Saklanan Veriler :Hukuki İlişki + 5 Yıl (Saklama süresinin bitimini takip eden ilk periyodik imha süresinde, en geç 6 ay)
Eğitim Faaliyetleri Süreci :5 Yıl (Saklama süresinin bitimini takip eden ilk periyodik imha süresinde, en geç 6 ay)
İş Sağlığı ve Güvenliği Mevzuatı Kapsamında Toplanan Veriler: Hukuki İlişki + 15 Yıl (Saklama süresinin bitimini takip eden ilk periyodik imha süresinde, en geç 6 ay)
Muhasebe ve Finansal İşlemlere İlişkin Tüm Kayıtlar: 10 Yıl (Saklama süresinin bitimini takip eden ilk periyodik imha süresinde, en geç 6 ay)
Sözleşme Süreçlerine İlişkin Kişisel Veriler :Hukuki İlişki + 10 Yıl (Saklama süresinin bitimini takip eden ilk periyodik imha süresinde, en geç 6 ay)
Tıbbi Laboratuvarlar Süreçlerinde Yer Alan Raporlar ve Kayıtlar: 30 Yıl (Saklama süresinin bitimini takip eden ilk periyodik imha süresinde, en geç 6 ay)
Kalite Kontrol Süreçlerine İlişkin Kişisel Veriler: 5 yıl (Saklama süresinin bitimini takip eden ilk periyodik imha süresinde, en geç 6 ay)
Kamera Kayıtları :30 Gün (Üzerine yazılarak imha edilir.)
İnternet Loglama Süreci : 2 Yıl ( Saklama süresinin bitimini takip eden ilk periyodik imha süresinde, en geç 6 ay)
11- PERİYODİK İMHA SÜRESİ
Kişisel verilerin periyodik imha süresi, Yönetmelik’e uygun olarak altı ay olarak belirlenmiştir. Buna göre Analiz Laboratuvarı; kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde, kişisel verileri siler, yok eder veya anonim hale getirir. Periyodik imhalar her yılın mart ve eylül aylarında gerçekleştirilir.
İmhaya ilişkin tutanaklar, Kanun uyarınca, 3 yıl süre ile saklanır.
12- ANALİZ LABORATUVARI’NIN AYDINLATMA YÜKÜMLÜLÜĞÜ
Analiz Laboratuvarı, Kanun’un 10. maddesinde öngörülen yükümlülüğe uygun olarak veri sorumlusunun kimliği, kişisel verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi ile ilgili kişinin sahip olduğu hakları konusunda bildirimde bulunarak aydınlatma yükümlülüğünü yerine getirmektedir.
Analiz Laboratuvarı, Kanun’un 11. maddesine uygun olarak ilgili kişinin bilgi talep etmesi halinde gerekli bilgilendirmeyi yapar.
13- İLGİLİ KİŞİNİN HAKLARI
- Kişisel verilere ilişkin olarak ilgili kişinin kullanabileceği kanuni haklar aşağıda sayılmaktadır:
- Kişisel verilerinin işlenip işlenmediğini öğrenme,)
- Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
- Kişisel verilerinin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
- Kişisel verilerinin yurt içinde veya yurt dışında aktarıldığı üçüncü kişileri öğrenme,
- Kişisel verilerinin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerinin aktarıldığı üçüncü kişilere bildirilmesini isteme,
- Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel verilerinin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerinin aktarıldığı üçüncü kişilere bildirilmesini isteme,
- İşlenen verilerinin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle aleyhine bir sonucun ortaya çıkmasına itiraz etme,
- Kişisel verilerinin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması halinde zararın giderilmesini talep etme.
14- İLGİLİ KİŞİNİN HAKLARINI KULLANMASI
Kanun’a uyum gereğince; belirtilen haklarınızı kullanmak ile ilgili talebinizi, aşağıdaki iletişim adresleri üzerinden ıslak imzalı bir dilekçe ile elden, noter veya iadeli taahhütlü mektup aracılığıyla veya kayıtlı elektronik posta (KEP) adresi, güvenli elektronik imza, mobil imza ya da daha önce Analiz Laboratuvarı’na bildirilen ve Analiz Laboratuvarı sisteminde kayıtlı olan e-posta adresini kullanmak suretiyle Analiz Laboratuvarı’na iletebilirsiniz. Lütfen güncel başvuru yöntemlerini başvuru öncesinde mevzuattan teyit ediniz.
Posta adresi : Ali Çetinkaya Bulvarı No: 33 K:1 D:2 Alsancak/KONAK İZMİR
E-posta Adresi : analiz@analizlabor.com.tr
KEP-Adresi : analizlabor@hs01.kep.tr
Taleplerinizi yazılı olarak iletmeniz halinde, talebin niteliğine göre en geç otuz gün içerisinde ücretsiz olarak talepleriniz sonuçlandırılır. İşlemin ayrıca bir maliyet gerektirmesi hâlinde, Kişisel Verileri Koruma Kurulu’nca belirlenen tarifedeki ücret alınacaktır.
15- İLGİLİ KİŞİNİN KURULA ŞİK YETTE BULUNMA HAKKI
Analiz Laboratuvarı tarafından başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hâllerinde; ilgili kişi, veri sorumlusunun cevabını öğrendiği tarihten itibaren otuz ve herhâlde başvuru tarihinden itibaren altmış gün içinde Kurula şikâyette bulunabilir. Kanun uyarınca başvuru yolu tüketilmeden şikâyet yoluna başvurulamaz.
16- POLİTİKANIN YAYIMLANMASI VE SAKLANMASI
Politika, ıslak imzalı (basılı kâğıt) ve elektronik ortamda olmak üzere iki farklı ortamda yayımlanır, internet sayfasında kamuya açıklanır. Basılı kâğıt nüshası da dosyasında saklanır.
17- POLİTİKADA YAPILACAK DEĞİŞİKLİKLER
İşbu Politika şirket ortağı tarafından verilecek karar ile değiştirilebilir. Politika üzerinde yapılan değişiklikler aşağıdaki web adresi üzerinden çalışanların ve ilgili kişilerin erişimine sunulur.
18- YÜRÜRLÜK VE YÜRÜRLÜLÜKTEN KALDIRILMASI
Analiz Laboratuvarı tarafından düzenlen işbu Politika, internet sitesinde (www.analizlabor.com.tr) yayımlanır ve veri öznelerinin erişimine sunulur.
İşbu Politikanın, yürürlükten kaldırılmasına karar verilmesi halinde, Politikanın ıslak imzalı eski nüshaları şirket ortağı tarafından iptal edilerek imzalanır ve en az 5 yıl süre ile saklanır.
Politika, ıslak imzalı (basılı kâğıt) ve elektronik ortamda olmak üzere iki farklı ortamda yayımlanır, internet sayfasında kamuya açıklanır. Basılı kâğıt nüshası da dosyasında saklanır.
17- POLİTİKADA YAPILACAK DEĞİŞİKLİKLER
İşbu Politika şirket ortağı tarafından verilecek karar ile değiştirilebilir. Politika üzerinde yapılan değişiklikler aşağıdaki web adresi üzerinden çalışanların ve ilgili kişilerin erişimine sunulur.
18- YÜRÜRLÜK VE YÜRÜRLÜLÜKTEN KALDIRILMASI
Analiz Laboratuvarı tarafından düzenlen işbu Politika, internet sitesinde (www.analizlabor.com.tr) yayımlanır ve veri öznelerinin erişimine sunulur.
İşbu Politikanın, yürürlükten kaldırılmasına karar verilmesi halinde, Politikanın ıslak imzalı eski nüshaları şirket ortağı tarafından iptal edilerek imzalanır ve en az 5 yıl süre ile saklanır.
Ali Çetinkaya Bulvarı No: 33 / 2
(Alsancak Devlet Hast. Karşısı)
Alsancak - İZMİR Mobil: 0 (532) 734 0417
Telefon: 0 (232) 421 2159
Fax: 0 (232) 421 6311 analiz@analizlabor.com.tr
(Alsancak Devlet Hast. Karşısı)
Alsancak - İZMİR Mobil: 0 (532) 734 0417
Telefon: 0 (232) 421 2159
Fax: 0 (232) 421 6311 analiz@analizlabor.com.tr
Ali Çetinkaya Bulvarı No: 33 / 2
(Alsancak Devlet Hast. Karşısı)
Alsancak - İZMİR Mobil: 0 (532) 734 0417
Telefon: 0 (232) 421 2159
Fax: 0 (232) 421 6311 analiz@analizlabor.com.tr
(Alsancak Devlet Hast. Karşısı)
Alsancak - İZMİR Mobil: 0 (532) 734 0417
Telefon: 0 (232) 421 2159
Fax: 0 (232) 421 6311 analiz@analizlabor.com.tr