Kişisel Verilerin Saklanması ve İmha Politikası
İMHA POLİTİKASI’NIN NİTELİĞİ, AMACI VE KAPSAMI
Bu imha politikası (POLİTİKA), psikolojik danışmanlık hizmeti sunulan şirket (ŞiRKET) işleteni/sahibi VERİ SORUMLUSU Uzman Psikolog Serap Bilgen (VERİ SORUMLUSU) olarak elde edilen kişisel verilerin 6698 sayılı Kişisel Verilerin Korunması Kanunu ve ilgili mevzuat gereğince silinmesi, yok edilmesi ve/veya anonim hale getirilmesine ilişkin uygulanacak usul ve esasların belirlenmesi amacıyla hazırlanmıştır.
Bu kapsamda şirketin danışanların, danışan refakatçileri/vasileri-velilerinin ve herhangi bir nedenle şirket bünyesinde kişisel verisi bulunan tüm gerçek kişilerin kişisel verileri; bu Kişisel Veri Saklama ve İmha Politikası çerçevesinde Anayasa ve kanunlara uygun olarak yürütülmektedir.
VERİ SORUMLUSU, POLİTİKA’nın hazırlanması, geliştirilmesi, yürütülmesi, ilgili ortamlarda yayınlanması ve güncellenmesi, çalışanların politikaya uygun hareket etmesi, POLİTİKA’nın uygulanmasında ihtiyaç duyulan teknik çözümlerin sunulmasından sorumludur.
TANIMLAR
| Veri Sorumlusu | Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi |
| İlgili kişi | Kişisel verisi işlenen gerçek kişiyi, |
| Kişisel Veri | Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi |
| Özel Nitelikte Kişisel Veri | Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri |
| Kişisel Verilerin İşlenmesi | Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, saklanması, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem |
| Veri İşleyen | Veri sorumlusunun verdiği yetkiye dayanarak veri sorumlusu adına kişisel verileri işleyen gerçek veya tüzel kişi |
| İmha Etme | Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesini |
| Yok Etme | Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir |
| Silme | Kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir |
| Anonim Hale Getirme | Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi |
| Kanun/KVKK | 07.04.2016 tarih ve 29677 sayılı Resmi Gazetede yayımlanan 6698 sayılı Kişisel Verilerin Korunması Kanununu, |
| Yönetmelik | 28.10.2017 tarihli ve 30224 sayılı Resmi Gazetede yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmeliğini |
| Kurul | Kişisel Verileri Koruma Kurulunu |
| Kurum | Kişisel Verileri Koruma Kurumunu |
| Kayıt ortamı | Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortamı |
| Veri kayıt sistemi | Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini |
ifade etmektedir.
KİŞİSEL VERİLERİN TOPLANMA YÖNTEMLERİ
Kişisel veriler, VERİ SORUMLUSU tarafından, 6698 sayılı Kişisel Verilerin Korunması Kanununda ve bu kanuna bağlı olarak çıkarılan ikincil düzenlemelerde belirtilen şartlar ve amaçlar dahilinde; ilgili kişilerin( Danışanların) şirkete başvurması ve ilk bilgilendirmenin yapılması, kaydın açılarak danışan dosyası oluşturulması, aydınlatma metnin ibrazı ile kâğıt ve elektronik ortamda tutulan seans formları ve/veya notları ile ilgili kişilerden kişisel veriler toplanmaktadır.
KAYIT ORTAMLARI
Kişisel veriler, hizmetin yüz yüze seans şeklinde yapılması halinde özel hayatın gizliliği başta olmak üzere mesleki gerekler ve yükümlülükler dahilinde, gerekli güvenlik tedbirleri alınarak fiziki ortamlarda “danışan dosyası” olarak saklanır ve kanuni süresi içinde imha edilir.
Danışma hizmetinin, online seans şeklinde yürütülmesi halinde ise, online görüşmenin yapıldığı aplikasyonun yurtiçi veya yurtdışı veri tabanlarında saklanır.
Danışan seans notlarının, imhası için kanuni bir sınır ön görülmediği durumlarda, ilgili mevzuat gereğince en az 20 yıl süreyle saklanır ve imha edilir.
Fiziksel ortamda tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler için VERİ SORUMLUSU dışındaki kişiler için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir.
SAKLAMA VE İMHAYA İLİŞKİN AÇIKLAMALAR
Kanunun 3.maddesinde kişisel verilerin işlenmesi kavramı tanımlanmış, 4. maddesinde işlenen kişisel verinin işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli süre kadar muhafaza edilmesi gerektiği belirtilmiş, 5 ve 6. maddelerde ise kişisel verilerin işleme şartları sayılmıştır. Buna göre, ŞİRKET faaliyetleri çerçevesinde kişisel veriler, ilgili mevzuatta öngörülen veya işleme amaçlarına uygun süre kadar VERİ SORUMLUSU tarafından saklanır.
SAKLAMAYI GEREKTİREN İŞLEME AMAÇLARI
Şirket faaliyetleri çerçevesinde işlenen kişisel veriler aşağıdaki amaçlar doğrultusunda saklanır.
İmzalanan sözleşmeler neticesinde iş ve işlemleri ifa edebilmek.
İleride doğabilecek hukuki uyuşmazlıklarda delil olarak ispat yükümlülüğünü yerine getirmek.
Yasal düzenlemelerin gerektirdiği veya zorunlu kıldığı şekilde, hukuki yükümlülüklerin yerine getirilmesini sağlamak.
İMHAYI GEREKTİREN SEBEPLER
Kişisel veriler;
İşlenmesine esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası,
İşlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,
Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin açık rızasını geri alması,
Kanunun 11.maddesi gereği ilgili kişinin hakları çerçevesinde kişisel verilerinin silinmesi ve yok edilmesine ilişkin yaptığı başvurunun ŞİRKET tarafından kabul edilmesi,
ŞİRKET, ilgili kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabı yetersiz bulması veya Kanunda öngörülen süre içinde cevap vermemesi hallerinde; Kurula başvuruda bulunması ve bu talebin Kurul tarafından uygun bulunması,
Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olması ve kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması,
Durumlarında ŞİRKET tarafından ilgili kişinin talebi üzerine silinir, yok edilir ya da re’sen silinir, yok edilir veya anonim hale getirilir.
TEKNİK VE İDARİ TEDBİRLER
Kişisel verilerin güvenli bir şekilde saklanması, hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi ile kişisel verilerin hukuka uygun olarak imha edilmesi için Kanunun 12. maddesiyle Kanunun 6. maddesi 4. fıkrası gereği özel nitelikli kişisel veriler için Kurul tarafından belirlenerek ilan edilen yeterli önlemler çerçevesinde ŞİRKET tarafından teknik ve idari tedbirler alınır.
A. TEKNİK TEDBİRLER
VERİ SORUMLUSU tarafından, işlediği kişisel verilerle ilgili olarak alınan teknik tedbirler aşağıda sayılmıştır:
Elektronik ortamda saklanan özel nitelikteki kişisel veriler de dâhil olmak üzere tüm kişisel verilerin güvenliği için gerekli önlemler alınmaktadır. Bilgi sistemleri güncel tutulmakta, seansların yapıldığı, verilerin işlendiği elektronik ortamlarda güçlü parolalar kullanılarak muhafaza edilmektedir.
ŞİRKET’TE özel nitelikli veriler de dâhil olmak üzere tüm kişisel verilerin tutulduğu bilişim sistemleri teçhizatının, yazılımlarının ve bunların muhafaza edildiği ve/veya erişildiği ortamların fiziksel güvenliği için gerekli önlemler (yetkisiz kişilerin erişiminin sınırlanması) alınmaktadır.
B. İDARİ TEDBİRLER
VERİ SORUMLUSU tarafından, işlediği kişisel verilerle ilgili olarak alınan idari tedbirler aşağıda sayılmıştır:
Kişisel veri işlemeye başlamadan önce VERİ SORUMLUSU tarafından, ilgili kişileri aydınlatma yükümlülüğü yerine getirilmektedir.
Kişisel veri işleme envanteri hazırlanmıştır.
Online danışma seansları ve süpervizyon alımı için danışanlardan açık rıza alınmaktadır.
KİŞİSEL VERİ İMHA TEKNİKLERİ
İlgili mevzuatta öngörülen süre ya da işlendikleri amaç için gerekli olan saklama süresinin sonunda kişisel veriler, VERİ SORUMLUSU tarafından re’sen veya ilgili kişinin başvurusu üzerine yine ilgili mevzuat hükümlerine uygun olarak aşağıda belirtilen tekniklerle imha edilir.
SAKLAMA VE İMHA SÜRELERİ
VERİ SORUMLUSU tarafından, faaliyetleri kapsamında işlenmekte olan kişisel verilerle ve özel nitelikli kişisel verilerle ilgili olarak; Süreçlere bağlı olarak gerçekleştirilen faaliyetler kapsamındaki tüm kişisel verilerle ilgili kişisel veri bazında saklama süreleri Kişisel Veri İşleme Envanterinde; Veri kategorileri bazında saklama süreleri VERBİS’e kayıtta; Süreç bazında saklama süreleri ise Kişisel Veri Saklama ve İmha Politikasında yer alır.
Söz konusu saklama süreleri üzerinde, gerekmesi halinde VERİ SORUMLUSU tarafından güncellemeler yapılır. Saklama süreleri sona eren kişisel veriler için re’s en silme, yok etme veya anonim hale getirme işlemi VERİ SORUMLUSU tarafından yerine getirilir.
| SÜREÇ | SAKLAMA SÜRESİ | İMHA SÜRESİ |
| Sağlık Hizmeti Sunumu | İlgili hukuki düzenlemeler ve sağlık hizmetinin gerekleri uyarınca 20 yıl süreyle saklanır. Hukuki bir süreç işliyorsa süreç sona erene kadar saklanır. (6098 sayılı Türk Borçlar Kanunu’nun 146, 147, 478.maddeleri, 5237 sayılı Türk Ceza Kanunu’nun 66-72 maddeleri, Özel Danışanneler Yönetmeliğinin 49.maddesi) | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
NOT: Kanun ve diğer mevzuat uyarınca daha uzun bir süre düzenlenmiş olması ya da mevzuat uyarınca zamanaşımı, hak düşürücü süre, saklama süreleri vb. için daha uzun bir süre öngörülmüş olması halinde, mevzuat hükümlerindeki süreler azami saklama süresi olarak kabul edilir.
PERİYODİK İMHA SÜRESİ
Yönetmeliğin 11.maddesi gereğince VERİ SORUMLUSU, periyodik imha süresini 6 ay olarak belirlemiştir. Buna göre, ŞİRKETTE her yıl Haziran ve Aralık aylarında periyodik imha işlemi gerçekleştirilir.
POLİTİKANIN YAYINLANMASI VE SAKLANMASI
POLİTİKA, ıslak imzalı olarak basılı kâğıtta düzenlenir ve ŞİRKETTE ilgili dosyalarda saklanır.
POLİTİKANIN GÜNCELLENME PERİYODU
POLİTİKA, ihtiyaç duyuldukça gözden geçirilir ve gerekli olan bölümler güncellenir.
POLİTİKANIN YÜRÜRLÜĞÜ VE YÜRÜRLÜKTEN KALDIRILMASI
POLİTİKA, VERİ SORUMLUSU tarafından VERBİS kaydının tamamlanmasının ardından yürürlüğe girmiş kabul edilir. Yürürlükten kaldırılmasına karar verilmesi halinde POLİTİKA’nın ıslak imzalı eski nüshaları VERİ SORUMLUSU tarafından iptal edilerek imzalanır ve en az 5 yıl süre ile ŞİrKETTE ilgili dosyalarda saklanır.
VERİ SORUMLUSU
AD SOYAD: SERAP BİLGEN