1. GİRİŞ

​

1.1 AMAÇ

​​Kişisel Verileri Saklama ve İmha Politikası (Politika), Op. Dr. Derya Aytop tarafından gerçekleştirilmekte olan kişisel veri saklama ve imha faaliyetlerine ilişkin usul ve esasları belirlemek amacıyla hazırlanmıştır.

​​Ayrıca bu Politikanın amacı, 6698 sayılı Kişisel Verilerin Korunması Hakkında Kanun’a (Kanun) dayalı olarak çıkarılmış bulunan ve 30224 sayılı ve 28.10.2017 tarihli Resmi Gazete’de yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik’in (Yönetmelik) 5. ve 6. maddeleri gereğince; kişisel verilerin saklanması ve imhasına ilişkin yükümlülüklerin ve Yönetmelik’te belirtilen sair yükümlülüklerin yerine getirilmesi için uygulanacak kuralları belirlemektir.

​​Kişisel verilerin saklanması ve imhasına ilişkin her türlü işlem Politikaya uygun olarak gerçekleştirilir.

​

1.2​KAPSAM

​​Çalışan adayları, adayların referans kişileri, çalışanlar, müşteriler, müşteri çalışanları, tedarikçiler, tedarikçi çalışanları, ziyaretçiler ve diğer üçüncü kişilere (ilgili kişi) ait kişisel veriler bu Politika kapsamında olup Op. Dr. Derya Aytop’un sahip olduğu veya yönettiği kişisel veriler ile ilgili süreçlerde bu Politika uygulanır.

​

1.3​TANIMLAR

​

Politika ​: Kişisel Verileri Saklama ve İmha Politikası

Kanun ​: 6698 Sayılı Kişisel Verilerin Korunması Kanunu

Kurul ​​: Kişisel Verileri Koruma Kurulu

Kişisel Veri ​: Kimliği belirli veya belirlenebilir gerçek kişilere ilişkin her türlü bilgi.

Özel Nitelikli Kişisel Veri​: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri. 

Veri Sorumlusu​: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasında ve yönetilmesinden sorumlu gerçek veya tüzel kişi. 

VERBİS​​: Veri Sorumluları Sicil Bilgi Sistemi. Veri Sorumlularının, veri işlemeye başlamadan önce sicile kayıt yapacakları, Kişisel Verileri Korum Kurumu tarafından kurulan ve internet üzerinden erişilen bilişim sistemi.

İmha​​​: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi. 

Kayıt Ortamı​​: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam. 

Veri Kayıt Sistemi ​: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini ifade eder. 

Kişisel Veri İşleme Envanteri​: Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanteri,

İlgili Kişi ​​: Kişisel verisi işlenen gerçek kişiyi,

Veri İşleyen ​​: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi,

Periyodik imha​: Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemini,

Açık Rıza ​​: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı ifade eder.

​

2. SORUMLULUK VE GÖREV DAĞILIMLARI

​​Op. Dr. Derya Aytop’un tüm çalışanları, Politika kapsamında kişisel veri işlenen tüm ortamlarda veri güvenliğini sağlamaya yönelik teknik ve idari tedbirlerin alınması konularında sorumlu ekiplere destek verir.

​​

3. KİŞİSEL VERİLERİN TOPLANMA YÖNTEMLERİ

​​Kişisel veriler, 6698 sayılı Kişisel Verilerin Korunması Kanunu ve Kanun çerçevesindeki ikincil düzenlemeler ile iş bu politikada belirtilen diğer mevzuat kapsamında, veri sorumlusunun yetkilendirdiği çalışanlar veya hizmet aldığı veri işleyenler tarafından, bilişim teknolojileri ürünleri satışı ile ilgili hazırlık, tanıtım, pazarlama ve teslimat süreçlerinde, kayıtlara ilişkin ad-soyad, iletişim bilgisi ve imzaların alınması ve dosyalarının açılması; iş başvuru sırasında iş başvuru formu doldurulması ve CV dosyalarının teslim edilmesi; tedarikçiler ile kurulan mal/hizmet alım sırasında ticari faaliyetlerin yerine getirilebilmesi maksadıyla otomatik ve otomatik olmayan yöntemlerle sözlü, yazılı ve elektronik ortamlarda temin edilmektedir.

​

4. KAYIT ORTAMLARI

​​İlgili kişilere ait kişisel veriler, Op. Dr. Derya Aytop tarafından fiziksel veya elektronik ortamda saklanmaktadır. Saklanan kişisel verilere ilişkin olarak saklanma ortamlarına uygun şekilde idari ve teknik tedbirler alınmaktadır.

Kayıt Ortamları

ELEKTRONİK ORTAMLAR

Yerel Bilgisayarlar

Yazılımlar (Muhasebe/İnsan Kaynakları Online Programlar, VERBIS, e-Fatura Programı)

Mobil Cihazlar (Cep Telefonu, Tablet vs.)

Optik Diskler (CD, DVD)

Taşınabilir Bellekler (USB Sürücü vb.)

Fotokopi Cihazı, Yazıcı, Tarayıcı

FİZİKSEL ORTAMLAR

Kâğıt (Kapaklı Dosyalar)

Birim Dolapları

Arşiv

Yazılı, Basılı, Görsel Ortamlar

​

5. SAKLAMA VE İMHAYA İLİŞKİN AÇIKLAMALAR

​​Op. Dr. Derya Aytop tarafından; ilgili kişilere ait kişisel veriler kanuna uygun olarak saklanır ve imha edilir. Bu kapsamda saklama ve imhaya ilişkin detaylı açıklamalara aşağıda yer verilmiştir. 

​​Kanunun 3. maddesinde kişisel verilerin işlenmesi kavramı tanımlanmış, 

​​Kanunun 4. maddesinde işlenen kişisel verinin;

• Hukuka ve dürüstlük kurallarına uygun olma,

• Doğru ve gerektiğinde güncel olma,

• Belirli, açık ve meşru amaçlar için işlenme,

• İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma,

• İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmesi ilkelerine uygun olması gerektiği belirtilmiştir.

​​Kanunun 5. ve 6. maddelerde ise kişisel verilerin işlenme şartları sayılmıştır.

​​Buna göre, Op. Dr. Derya Aytop, faaliyetleri çerçevesinde işlemekte olduğu kişisel verileri, KVKK ve diğer ilgili mevzuat hükümlerine göre uygun süre kadar saklar.

​

5.1 SAKLAMAYI GEREKTİREN HUKUKİ SEBEPLER

​​Op. Dr. Derya Aytop, faaliyetleri çerçevesinde işlemekte olduğu kişisel verileri, ilgili mevzuatta öngörülen süre kadar muhafaza eder. Bu kapsamda kişisel veriler;

➢ 6698 sayılı Kişisel Verilerin Korunması Kanunu,

➢ 6098 sayılı Türk Borçlar Kanunu,

➢ 6102 sayılı Türk Ticaret Kanunu

➢ 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu,

➢ 5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun,

➢ 6331 sayılı İş Sağlığı ve Güvenliği Kanunu,

➢ 193 sayılı Gelir Vergisi Kanunu

➢ 4857 sayılı İş Kanunu,

➢ 3359 sayılı Sağlık Hizmetleri Temel Kanunu

➢ 4734 Sayılı Kamu İhale Kanunu,

➢ 1475 Sayılı İş Kanunu ile sair ilgili mevzuat ve bu kanunlar uyarınca yürürlükte olan diğer ikincil düzenlemeler çerçevesinde öngörülen saklama süreleri kadar saklanmaktadır.

​

5.2 SAKLAMAYI GEREKTİREN İŞLEME AMAÇLARI

​​Op. Dr. Derya Aytop, faaliyetleri çerçevesinde işlemekte olduğu kişisel verileri aşağıdaki amaçlar doğrultusunda saklar.

➢ Ticari faaliyetlerin sürdürülebilmesi, 

➢ İnsan kaynakları süreçlerini yürütmek,

➢ Hukuki yükümlülüklerin yerine getirilebilmesi, 

➢ Müşteri ilişkilerinin yönetilebilmesi amacıyla,

➢ Kişisel verilerin sözleşmelerin kurulması ve ifası ile doğrudan doğruya ilgili olması nedeniyle saklanması,

➢ Kişisel verilerin kişilerin temel hak ve özgürlüklerine zarar vermemek kaydıyla Op. Dr. Derya Aytop’un meşru menfaatleri için saklanmasının zorunlu olması,

➢ Kişisel verilerin bir hakkın tesisi, kullanılması veya korunması amacıyla saklanması,

➢ Mevzuatta kişisel verilerin saklanmasının açıkça öngörülmesi,

➢ İlgili kişilerin açık rızasının alınmasını gerektiren saklama faaliyetleri açısından ilgili kişilerin açık rızasının bulunması,

​​fiziki veya elektronik ortamlarda güvenli bir biçimde KVKK ve diğer ilgili mevzuatlarda belirtilen sınırlar çerçevesinde saklama süreleri kadar saklanmaktadır. 

​

5.3 İMHAYI GEREKTİREN İŞLEME AMAÇLARI

​​Kişisel veriler; 

➢ Kişisel verilerin işlenmesine esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası,

➢ Kişisel verilerin işlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,

➢ Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin açık rızasını geri alması,

➢ Kanunun 11. maddesi gereği ilgili kişinin hakları çerçevesinde kişisel verilerinin silinmesi ve yok edilmesine ilişkin yaptığı başvurunun veri sorumlusu tarafından kabul edilmesi,

➢ Veri sorumlusunu, ilgili kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabı yetersiz bulması veya Kanunda öngörülen süre içinde cevap vermemesi hallerinde; Kurula şikâyette bulunması ve bu talebin Kurul tarafından uygun bulunması,

➢ Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olması ve kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması,

​​durumlarında, veri sorumlusu tarafından ilgili kişinin talebi üzerine silinir, yok edilir ya da re’sen silinir, yok edilir veya anonim hale getirilir.

​

6. TEKNİK VE İDARİ TEDBİRLER

​​Kişisel verilerin güvenli bir şekilde saklanması, hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi ile kişisel verilerin hukuka uygun olarak imha edilmesi için KVKK’nın 12. maddesindeki ilkeler çerçevesinde, Op. Dr. Derya Aytop tarafından teknik ve idari tedbirler alınır. 

​

6.1 İDARİ TEDBİRLER

➢ Çalışanlar için veri güvenliği hükümleri içeren disiplin düzenlemeleri mevcuttur.

➢ Çalışanlar için veri güvenliği konusunda belli aralıklarla eğitim ve farkındalık çalışmaları yapılmaktadır.

➢ Gizlilik taahhütnameleri yapılmaktadır.

➢ Kişisel veri güvenliği politika ve prosedürleri belirlenmiştir.

➢ Kişisel veri güvenliğinin takibi yapılmaktadır.

➢ Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmaktadır.

➢ Kişisel veri içeren ortamların güvenliği sağlanmaktadır.

➢ Kişisel veriler mümkün olduğunca azaltılmaktadır.

➢ İlgili kişileri aydınlatma yükümlülüğü yerine getirilmektedir.

➢ Özel nitelikli kişisel veri güvenliğine yönelik protokol ve prosedürler belirlenmiş ve uygulanmaktadır.

➢ İlgili kişilerin açık rızaları alınmaktadır.

​

6.2 TEKNİK TEDBİRLER

➢ Güncel anti-virüs sistemleri kullanılmaktadır.

➢ Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır.

➢ Erişim, bilgi güvenliği, kullanım, saklama ve imha konularında kurumsal politikalar hazırlanmış ve uygulamaya başlanmıştır.

➢ Kişisel veriler yedeklenmekte ve yedeklenen kişisel verilerin güvenliği de sağlanmaktadır.

➢ Saklama ve imha politikasına uygun imha süreçler tanımlanmakta ve uygulanmaktadır.

➢ Kişisel verilerin işlendiği elektronik ortamlarda güçlü parolalar kullanılmaktadır.

​

7.​KİŞİSEL VERİ İMHA TEKNİKLERİ

​​Kişisel veriler, ilgili mevzuatta öngörülen süre sonunda veya işleme amaçlarına uygun olan saklama süresinin sonunda eczane tarafından re’sen ya da ilgili kişinin başvurusu üzerine ilgili mevzuat hükümlerine uygun olarak aşağıda belirtilen tekniklerle imha edilir.

7.1 KİŞİSEL VERİ SİLİNMESİ YÖNTEMİ

​​Kişisel veriler, aşağıdaki Tablo-2’de belirtilen şekilde silinir.

​

​

​

​

​

​

​

​

​

​

​

​

​

​

​

​

​

​

​​

7.2 KİŞİSEL VERİ YOK EDİLMESİ YÖNTEMİ

Kişisel veriler, aşağıdaki Tablo-3’te belirtilen şekilde silinir.

​​

​​

​​

​​

​​

​​

​​

​​

​​

​​

​​

​​

7.3 KİŞİSEL VERİLEN ANONİM HALE GETİRİLMESİ

​​Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi işlemidir.

​​Kişisel verilerin anonim hale getirilmiş olması için; kişisel verilerin, veri sorumlusu veya üçüncü kişiler tarafından geri döndürülmesi ve/veya verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekir.

​​KVKK’nın 28. maddesi uyarınca, kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi durumunda bu durum Kanun kapsamı dışında kalacak ve açık rıza temini gerekmeyecektir. 

​

8. SAKLAMA VE İMHA SÜRELERİ​

​​Op. Dr. Derya Aytop tarafından süreçlere bağlı olarak gerçekleştirilen faaliyetler kapsamındaki tüm kişisel verilerin veri bazındaki saklama süreleri Kişisel Veriİşleme Envanterinde; veri kategorileri bazında saklama süreleri VERBİS’te yer almaktadır.

​​Saklama ve imha sürelerinin tespitinde aşağıda sırasıyla belirtilen ölçütlerden yararlanılmaktadır: 

➢ Mevzuatta söz konusu kişisel verinin saklanmasına ilişkin olarak bir süre öngörülmüş̧ ise bu süreye riayet edilir.

➢ Söz konusu kişisel verinin saklanmasına ilişkin olarak mevzuatta öngörülen sürenin sona ermesi veya ilgili mevzuatta söz konusu verinin saklanmasına dair olarak herhangi bir süre öngörülmemiş̧ olması durumunda sırasıyla;

✓ Kişisel veriler, KVKK’nın 6. maddesinde yer alan tanımlama baz alınarak, kişisel veriler ve özel nitelikli kişisel veriler olarak sınıflandırmaya tabi tutulur. Özel nitelikte olduğu tespit edilen tüm kişisel veriler imha edilir. Söz konusu verilerin imhasında uygulanacak yöntem verinin niteliği ve saklanmasının Op. Dr. Derya Aytop nezdindeki önem derecesine göre belirlenir.

✓ Verinin saklanmasının KVKK’nın 4. maddesinde belirtilen ilkelere uygunluğu örneğin; verinin saklanmasında Op. Dr. Derya Aytop'un meşru bir amacının olup olmadığı sorgulanır. Saklanmasının KVKK’nın 4. maddesinde yer alan ilkelere aykırılık teşkil edebileceği tespit edilen veriler silinir, yok edilir ya da anonim hale getirilir.

✓ Verinin saklanmasının KVKK’nın 5. ve 6. maddelerinde öngörülmüş̧ olan istisnalardan hangisi/hangileri kapsamında değerlendirilebileceği tespit edilir. Tespit edilen istisnalar çerçevesinde verilerin saklanması gereken makul süreler tespit edilir. Söz konusu sürelerin sona ermesi halinde veriler silinir, yok edilir ya da anonim hale getirilir. 

✓ Saklama süreleri sona eren kişisel veriler için re‘sen silme, yok etme veya anonim hale getirme işlemi ilgili personel tarafından yerine getirilir.

✓ Yönetmeliğin 11. maddesi gereğince Op. Dr. Derya Aytop, periyodik imha süresini 6 ay olarak belirlemiştir. Buna göre her yıl haziran ve aralık aylarında periyodik imha işlemi gerçekleştirilir.

​​

​

​

​

​

​

​

​

​

​

​

​

​

​

​

​

​​

​

​

​

​

​

​

​

​

​

​

​​

​​

 

Op. Dr. Derya Aytop’un ilgili kişisel veriyi kullanma amacı sona ermedi ise, ilgili mevzuat gereği ilgili kişisel veri için öngörülen saklama süresi tabloda yer alan sürelerden fazla ise veya ilgili konuya ilişkin dava zamanaşımı süresi kişisel yerinin tabloda yer alan sürelerden fazla saklanmasını gerektiriyorsa, yukarıdaki tabloda yer alan süreler uygulanmayabilecektir. Bu halde kullanım amacı, özel mevzuat veya dava zamanaşımı süresinden hangisi daha sonra sona eriyor ise, o süre uygulama alanı bulacaktır.

​

9. POLİTİKANIN YAYIMLANMASI, SAKLANMASI VE GÜNCELLENMESİ

​​İş bu politika ıslak imzalı ve elektronik olmak üzere iki farklı ortamda yayımlanır. Op. Dr. Derya Aytop tarafından imzalı nüshası muhafaza edilir, elektronik ortamda internet sitesinde duyurulur.

​​Gözden geçirilerek ihtiyaç halinde güncellenir ve güncel hali saklanır ve internet sitesinde yayımlanır​​​​.