- GİRİŞ
Kybele Psikoloji (Uzman Klinik Psikolog Zeynep Sağlam Balkan) için, ilişki içerisinde bulunduğu tüm gerçek kişilerin kişisel verilerinin korunması büyük önem arz etmektedir. Bu sebeple de yürürlükte bulunan mevzuata uyum gösterebilmek ve veri güvenliği ilkelerini uygulayabilmek adına azami gayret gösteren bir çalışma içerisindedir.
Bu kapsamda, 6698 sayılı Kanun ve ilgili mevzuat gereğince kişisel verilerin işlenmesi ve korunması için “Kybele Psikoloji” tarafından gereken idari ve teknik tedbirler alınmaktadır.
- 1. Amaç
Kişisel Verileri Saklama ve İmha Politikası; “Kybele Psikoloji” tarafından gerçekleştirilmekte olan saklama ve imha faaliyetlerine ilişkin iş ve işlemler konusunda usul ve esasları belirlemek amacıyla hazırlanmış olup, kişisel verileriniz işbu politika kapsamında işlenmekte ve korunmaktadır.
Kişisel Verilerin saklanması ve imhasına ilişkin iş ve işlemler, merkezimiz tarafından bu doğrultuda hazırlanmış olan Politikaya uygun olarak gerçekleştirilir.
1.2 Kapsam
Özel Nitelikte Kişisel Verileri Saklama ve İmha Politikası; danışanlarımızı, potansiyel danışanlarımızı, iş birliği içinde olduğumuz kurumların çalışanlarının ve üçüncü kişilerin otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen tüm kişisel verilerine ilişkindir.
1.3 Kısaltmalar ve Tanımlar
Açık Rıza | İlgili kişinin kendisiyle ilgili veri işlenmesine, özgürce, konuyla ilgili yeterli bilgi sahibi olarak, tereddüde yer bırakmayacak açıklıkta ve sadece o işlemle sınırlı olarak verdiği onay beyanıdır. |
Alıcı Grubu | Veri Sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisidir. |
Anonim Hale Getirme | Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesidir. |
Danışan | Merkezimize tedavi amacıyla başvuran bu kapsamda hizmet alan kimse. Merkez ile herhangi bir sözleşmesel ilişkisi olup olmadığına bakılmaksızın merkezin sunmuş olduğu hizmetleri kullanan veya kullanmış olan gerçek kişilerdir. |
İlgili Kişi | KVK Kanununda kişisel verisi işlenen gerçek kişiyi ifade etmek için “ilgili kişi” ifadesi kullanılmıştır. |
İmha | Kişisel Verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi. |
Kişisel Veri | Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade etmektedir. |
Kişisel Veri İşleme Envanteri | Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanterdir. |
Kişisel Verilerin İşlenmesi | Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem. |
KVK Kanunu | 7 Nisan 2016 tarihli ve 29677 sayılı Resmi Gazete’de yayımlanan, 24 Mart 2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanunu ifade etmektedir. |
Özel Nitelikte Kişisel Veriler | Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileridir. Özel nitelikli kişisel verilerin kıyas yoluyla genişletilmesi mümkün değildir. |
Potansiyel Müşteri | Merkezin ürün ve hizmetlerini kullanma talebinde veya ilgisinde bulunmuş veya bu ilgiye sahip olabileceği ticari teamül ve dürüstlük kurallarına uygun olarak değerlendirilmiş gerçek kişilerdir. |
Üçüncü Kişi | Bu Politikada herhangi bir kişisel veri sahibi kategorisine girmeyen diğer gerçek kişilerdir. |
Üçüncü Kişi Merkez Yetkilisi, Çalışanı | Merkezin her türlü iş ilişkisi içerisinde bulunduğu gerçek ve tüzel kişilerin çalışanları ve yetkilileri dâhil olmak üzere, tüm gerçek kişilerdir. |
VERBİS | Veri Sorumluları Sicil Bilgi Sistemi |
Veri İşleyen | Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel veri işleyen gerçek ve tüzel kişi. |
Veri Sorumlusu | Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olanlardır. |
Ziyaretçi | Merkezin sahip olduğu veya Merkezin yetkilendirdiği kişilere ait fiziksel yerleşkelere çeşitli amaçlarla giren veya internet sitelerini herhangi bir amaç ile ziyaret eden tüm gerçek kişilerdir. |
1.4 Polı̇tı̇kanın Güncellenmesi ve Değı̇ştı̇rı̇lmesı̇
Bu politika Kanun ve kişisel verilere ilişkin sair mevzuat uyarınca bilgileri içermekte olup Kybele Psikoloji Web Sitelerinde yayınlandığı tarihinde yürürlüğe girecektir. Politika, yasal değişiklikler, Kybele Psikoloji ’un Kişisel Verileri işleme süreçlerinde meydana gelecek değişiklikler veya sair sebeplerle zaman zaman güncellenebilir. Güncellemeler yeni Politika’nın Web Sitesi’nde yayını tarihinden itibaren geçerli olur.
- 2. SORUMLULUK VE GÖREV DAĞILIMI
“Kybele Psikoloji”; işbu Politika ve Kişisel Verilerin Korunması ve İşlenmesi Yönetmeliği kapsamında belirtilmiş olan teknik ve idari tedbirlerin gereği gibi uygulanması, eğitim ve farkındalığın artması gibi sürekli denetimi ile kişisel verilerin hukuka uygun şekilde işlenmesini, tüm veri işleme ortamlarında veri güvenliğini sağlamaya dönük olarak teknik ve idari tedbirlerin uygulanmasına destek verir ve sorumlular ile işbirliği içinde çalışır.
“Kybele Psikoloji” bünyesinde oluşturduğu Kişisel Veri Komitesi; ilgili kişilerin verilerinin mevzuata, Kişisel Verilerin İşlenmesi ve Korunması Politikasına ve Kişisel Veri Saklama ve İmha Politikasına uygun olarak saklanması ve işlenmesi için gerekli işlemleri yapmak/yaptırmak ve süreçleri denetlemekle yetkili ve görevlidir.
- 3. KİŞİSEL VERİLERİN KORUNMASINA İLİŞKİN HUSUSLAR
“Kybele Psikoloji” tarafından ilişkide bulunulan gerçek kişilerin kişisel verileri KVK Kanunu’na uygun olarak saklanır ve imha edilir. Ayrıca, kişisel verilerin saklanması ve imhası sürecinde, bu verilerin 3. kişilerce hukuka aykırı olarak saklanmasını ve imhasını önlemek amacıyla her türlü teknik ve idari tedbirler alınmaktadır. Kybele Psikoloji” olarak, kişisel verilerin saklanması ve imhası süreçlerinde özel hayatın gizliliğinin korunmasına önem verilmekte ve veri güvenliği en üst seviyede gözetilmektedir.
KAYIT ORTAMLARI
Kişisel veriler, “Kybele Psikoloji” tarafından aşağıda sunulan tabloda yer alan ortamlarda mevzuata uygun olarak tutulmakta ve güvenli bir şekilde saklanmaktadır.
Elektronik Ortamlar | Bilgisayarlar, Çıkartılabilir Bellekler |
Elektronik Olmayan Ortamlar | Matbu Veri Kayıt Ortamları; Formlar ve Belgeler, Yazılı ve Görsel Diğer Ortamlar |
- 4. SAKLAMA VE İMHAYA İLİŞKİN AÇIKLAMALAR
İş faaliyetleri sırasında danışanlarımıza ve hizmet sağlayıcı olarak ilişkide bulunulan üçüncü kişilere ait kişisel veriler özenli şekilde işbu protokolde ve Kanunda öngörülmüş usullerle toplamakta, işlemekte ve saklamakta ve imha etmektedir. Bu kapsamda saklama ve imhaya ilişkin detaylı açıklamalara aşağıda sırasıyla yer verilmiştir.
4.1 Saklamaya İlişkin Açıklamalar
Özel Nitelikli Kişisel Veriler, merkez tarafından, Kanun’a uygun bir şekilde, Kurul’ca belirlenecek yeterli önlemlerin alınması kaydıyla, KVKK Madde 6’da belirtilen şartların varlığı halinde işlenmektedir.
Buna göre merkezimiz Özel Nitelikli Kişisel Verileri;
A.Veri Sahibi’nin açık rızası var ise işleyebilecektir.
B. Veri Sahibi’nin açık rızası yok ise;
-Veri Sahibi’nin sağlığı ve cinsel hayatı dışındaki özel nitelikli kişisel veriler, kanunlarda öngörülen hallerde Veri Sahibi’nin açık rızası olmaksızın işlenebilecektir.
-Veri Sahibi’nin sağlığına ve cinsel hayatına ilişkin özel nitelikli kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili ve kuruluşlar tarafından Veri Sahibinin açık rızası aranmaksızın işlenebilecektir.
- 4.1.1. Saklamayı Gerektiren Hukuki Sebepler
“Kybele Psikoloji”, faaliyetleri çerçevesinde işlenen kişisel veriler, ilgili mevzuatta öngörülen süre kadar muhafaza edilir. Bu kapsamda kişisel veriler;
- 6698 sayılı Kişisel Verilerin Korunması Kanunu,
- 6098 sayılı Türk Borçlar Kanunu,
- 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu,
- 4982 Sayılı Bilgi Edinme Kanunu,
- 3071 sayılı Dilekçe Hakkının Kullanılmasına Dair Kanun,
- 2828 sayılı Sosyal Hizmetler Kanunu
- 3359 Sayılı Sağlık Hizmetleri Temel Kanunu
- Khk/663 Sağlık Bakanlığı ve Bağlı Kuruluşlarının Teşkilat Ve Görevleri
Hakkında Kanun Hükmünde Kararname - Özel Hastaneler yönetmeliği
- Bu kanunlar uyarınca yürürlükte olan diğer ikincil düzenlemeler çerçevesinde öngörülen saklama süreleri kadar saklanmaktadır.
- 4.1.2. Saklamayı Gerektiren İşleme Amaçları
Merkezimiz, faaliyetleri çerçevesinde işlemekte olduğu kişisel verileri aşağıdaki amaçlar doğrultusunda saklar.
1. Acil Durum Yönetimi Süreçlerinin Yürütülmesi |
2. Denetim / Etik Faaliyetlerinin Yürütülmesi |
3. Faaliyetlerin Mevzuata Uygun Yürütülmesi |
4. Finans Ve Muhasebe İşlerinin Yürütülmesi |
5. Hukuk İşlerinin Takibi Ve Yürütülmesi |
6. İletişim Faaliyetlerinin Yürütülmesi |
7. Hizmet Satış Sonrası(Danışmanlık Hizmetinin Sunulması) Destek Hizmetlerinin Yürütülmesi |
8. Hizmet Satış(Danışmanlık Hizmetinin Sunulması) Süreçlerinin Yürütülmesi |
9. Müşteri İlişkileri Yönetimi Süreçlerinin Yürütülmesi |
10. Saklama Ve Arşiv Faaliyetlerinin Yürütülmesi |
11. Sözleşme Süreçlerinin Yürütülmesi |
12. Talep / Şikayetlerin Takibi |
13. Yetkili Kişi, Kurum Ve Kuruluşlara Bilgi Verilmesi |
14. Tıbbi teşhis ve tedavi hizmetlerinin yürütülmesi |
- 4.2. İmhayı Gerektiren Sebepler
Kişisel veriler;
- Kişisel verilerin işlenmesine veya saklanmasına esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası sebebiyle gerekli olması hali,
- Kişisel verilerin işlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,
- Kanun’un 5. ve 6. maddelerindeki kişisel verilerin işlenmesini gerektiren şartların ortadan kalkması,
- Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin açık rızasını geri alması,
- İlgili kişinin, Kanun’un 11. maddesindeki hakları çerçevesinde kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin yaptığı başvurunun merkez tarafından kabul edilmesi,
- Veri sorumlusunun, ilgili kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabın yetersiz bulunması veya Kanun’da öngörülen süre içinde cevap vermemesi hallerinde; Kurul’a şikâyette bulunulması ve bu talebin Kurul tarafından uygun bulunması,
- Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olması ve kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması, durumlarında,
Merkezimiz tarafından ilgili kişinin talebi üzerine silinir, yok edilir ya da re’sen silinir veya anonim hale getirilir.
- 5. TEKNİK VE İDARİ TEDBİRLER
Özel Nitelikli Kişisel verilerinizin güvenli bir şekilde saklanması, hukuka aykırı olarak işlenmesi, erişilmesinin önlenmesi ve verilerin hukuka uygun olarak imha edilmesi amacıyla KVKK. 12. maddesindeki ilkeler çerçevesinde, “Kybele Psikoloji ” tarafından alınmış olan tüm idari ve teknik tedbirler aşağıda sayılmıştır.
- -Özel nitelikli kişisel verilerin güvenliğine yönelik sistemli, kuralları net bir şekilde belli, yönetilebilir ve sürdürülebilir işbu Politika belirlenmiştir.
- -Verilere erişim yetkisine sahip kullanıcıların, yetki kapsamları ve süreleri net olarak tanımlanmaktadır,
- -Özel nitelikli kişisel veriler uzaktan erişime kapalıdır.
- -Özel Nitelikli Kişisel Verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, fiziksel ortam ise; fiziksel güvenliği sağlanarak yetkisiz giriş çıkışlar engellenmektedir.
- -Yukarıda belirtilen önlemlerin yanı sıra Kurul’un internet sitesinde yayımlanan Kişisel Veri Güvenliği Rehberinde belirtilen uygun güvenlik düzeyini temin etmeye yönelik teknik ve idari tedbirleri de dikkate almaktadır
5.1. Kişisel Verilerin Korunması Konusunda Alınan Tedbirlerin Denetimi
“Kybele Psikoloji ” bünyesinde Kişisel Verileri Koruma Komitesi bulunmaktadır. Bu komite, veri sorumlusu olan “Kybele Psikoloji ” adına, Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri bizzat yapmakta ve ihtiyaç halinde yetkin kuruluşlardan destek almak suretiyle yaptırmaktadır. Bu denetim sonuçlarına göre, tespit edilen ihlaller, olumsuzluklar ve uygunsuzluklar Komite Yöneticisi ’ne bildirilmekte ve bu hususlar nezdinde gereken tedbirleri alınmaktadır.
- 6. KİŞİSEL VERİLERİ İMHA TEKNİKLERİ
KVK Kanunu’nun ilgili hükümleri ve Kurul tarafından çıkarılan “Kişisel Verilerin Silinmesi, Yok Edilmesi ve Anonimleştirilmesi Hakkında Yönetmelik” uyarınca; ilgili kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde, “Kybele Psikoloji ”nin kendi kararına istinaden veya kişisel veri sahibinin talebi üzerine kişisel veriler silinir, yok edilir veya anonim hâle getirilir. “Kybele Psikoloji ” bu konuda yönetmelik hükümlerine göre bir politika oluşturmuş olup, bu politika uyarınca verinin niteliğine göre imha yapmaktadır.
- 6.1. Kişisel Verilerin Silinmesi
Kağıt Ortamında Bulunan Kişisel Verilerin Silinmesi: | ||
Karartma | : | Fiziki ortamda bulunan kişisel veriler karartma yöntemi kullanılarak silinir. Karartma işlemi, ilgili evrak üzerindeki kişisel verilerin, mümkün olan durumlarda kesilmesi, mümkün olmayan durumlarda ise geri döndürülemeyecek ve teknolojik çözümlerle okunamayacak şekilde sabit mürekkep kullanılarak görünemez hale getirilmesi şeklinde yapılır. |
Bulut ve Yerel Dijital Ortamda Tutulan Kişisel Veriler İçin Silme Yöntemleri | ||
Yazılımdan güvenli olarak silme | : | Bulut ortamda ya da yerel dijital ortamlarda tutulan kişisel veriler bir daha kurtarılamayacak şekilde dijital komutla silinir. Bu şekilde silinen verilere tekrar ulaşılamaz. |
- 6.2. Kişisel Verilerin Yok Edilmesi
Matbu Ortamda Tutulan Kişisel Veriler İçin Yok Etme Yöntemleri | ||
Fiziksel yok etme | : | Matbu ortamda tutulan belgeler evrak imha makineleri ile tekrar bir araya getirilemeyecek şekilde yok edilir. |
Yerel Dijital Ortamda Tutulan Kişisel Veriler İçin Yok Etme Yöntemleri | ||
Fiziksel yok etme | : | Kişisel veri barındıran optik ve manyetik medyanın eritilmesi, yakılması veya toz haline getirilmesi gibi fiziksel olarak yok edilmesi işlemidir. Optik veya manyetik medyayı eritmek, yakmak, toz haline getirmek ya da bir metal öğütücüden geçirmek gibi işlemlerle verilerin erişilmez kılınması sağlanır. |
De-manyetize etme (degauss) | : | Manyetik medyanın yüksek manyetik alana maruz bırakılması ile üzerindeki verilerin okunamaz biçimde bozulması işlemidir. |
Üzerine yazma | : | Manyetik medya ve yeniden yazılabilir optik medya üzerine en az yedi kez 0 ve 1’lerden oluşan rastgele veriler yazılarak eski verinin okunmasının ve kurtarılmasının önüne geçilir. |
Bulut Ortamda Tutulan Kişisel Veriler İçin Yok Etme Yöntemleri | ||
Yazılımdan güvenli olarak silme | : | Bulut ortamda tutulan kişisel veriler bir daha kurtarılamayacak şekilde dijital komutla silinir ve bulut bilişim hizmet ilişkisi sona erdiğinde kişisel verileri kullanılır hale getirmek için gerekli şifreleme anahtarlarının tüm kopyaları yok edilir. Bu şekilde silinen verilere tekrar ulaşılamaz. |
- 6.3. Kişisel Verilerin Anonim Hale Getirilmesi
Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.
Kişisel verilerin anonim hale getirilmiş olması için; kişisel verilerin, veri sorumlusu veya üçüncü kişiler tarafından geri döndürülmesi ve/veya verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekir.
- 7. SAKLAMA VE İMHA SÜRELERİ
“Kybele Psikoloji ” tarafından, faaliyetleri kapsamında işlenmekte olan kişisel verilerle ilgili olarak;
- Süreçlere bağlı olarak gerçekleştirilen faaliyetler kapsamındaki tüm kişisel verilerle ilgili kişisel veri bazında saklama süreleri Kişisel Veri İşleme Envanterinde;
- Veri kategorileri bazında saklama süreleri VERBİS’e kayıtta;
- Süreç bazında saklama süreleri ise Kişisel Veri Saklama ve İmha Politikasında yer alır.
- 8. PERİYODİK İMHA SÜRESİ
Yönetmeliğin 11 inci maddesi gereğince “Kybele Psikoloji ”, periyodik imha süresini 6 ay olarak belirlemiştir. Buna göre, merkezimiz her yıl Haziran ve Aralık aylarında periyodik imha işlemi gerçekleştirilir.
- 9. POLİTİKA’NIN YAYINLANMASI
Politika, ıslak imzalı (basılı kâğıt) ve elektronik ortamda olmak üzere iki farklı ortamda yayımlanır,
10. POLİTİKA’NIN GÜNCELLENME PERİYODU
Politika, ihtiyaç duyuldukça gözden geçirilir ve gerekli olan bölümler güncellenir.
11. POLİTİKANIN YÜRÜRLÜĞÜ VE YÜRÜRLÜKTEN KALDIRILMASI
“Kybele Psikoloji” tarafından düzenlenen bu Politika yayınlandığı tarihte yürürlüğe konulmuştur. Bu Politika, Merkezimizin, internet sitesinde http://www.kybelepsikoloji.org yayımlanır ve kişisel veri sahiplerinin talebi üzerine ilgili kişilerin erişimine sunulur.