HUZUR
YATILI BAKIM MERKEZİ VE REHABİLİTASYON DANIŞMANLIK LTD.ŞTİ.

(Özel Huzur Bakım Merkezi)

 KİŞİSEL VERİLERİN SAKLANMASI VE İMHASI POLİTİKASI

1. GİRİŞ

Kişisel Verilerin
önemi özellikle Anayasa
ve Türk Ceza Kanunu’nda yapılan
düzenlemelerin ardından,taslak olarak bekleyen 6698 sayılı Kişisel
Verilerin Korunması Kanunu ( ‘’KVKK’’ yada ‘’KVK Kanunu’’) Türkiye Cumhuriyeti
Büyük Millet Meclisi tarafından Kabul edilmiş ve 7 Nisan 2016 tarih ve 29677 sayılı Resmi Gazete ‘de yayımlanarak
yürürlüğe girmiştir.

HUZUR YATILI BAKIM MERKEZİ
VE REHABİLİTASYON DANIŞMANLIK LTD.ŞTİ. (Özel Huzur
Bakım Merkezi)

olarak KVK Kanununa ve kişisel verilerin korunmasına yönelik uyumun
sağlanması amacıyla gerekli
adımlar

atılmış olup ,KVK Kanunu kapsamında kişisel verilerin
korunmasına ilişkin tedbirler uygulamaya geçirilmiş ve bu kapsamda işbu Kişisel
Verilerin Saklanması ve İmhası Politikası, Özel Huzur Bakım Merkezi Ltd. Şti.
tarafından yürürlüğe konulmuştur.

2.
AMAÇ VE KAPSAM

İşbu Kişisel
Verilerin Saklanması ve İmhası Politikasının (‘’Saklama ve İmha Politikası’’)
amacı; Özel Huzur Bakım Merkezi tarafından tamamen veya kısmen otomatik
olan yada herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik
olmayan yollar ile işlenen kişisel verilerin işlenme sürelerinin belirlenmesi
ve işleme süresi ve

/ veya işleme amacı ortadan kalkan kişisel verilerin silinmesi, yok edilmesi
veya anonim hale getirilmesine (‘’kişisel verilerin imhası’’) ilişkin
usul ve esasların belirlenmesidir.

İşbu Saklama
ve İmha Politikası’nda ,28 Ekim 2017 tarihinde yürürlüğe giren Kişisel
Verilerin Silinmesi ,Yok Edilmesi veya Anonim Hale Getirilmesi hakkındaki
yönetmeliğin (‘’Yönetmelik’’) 6’ncı maddesinde yer alan veri güvenliğini
sağlamak için alınmış teknik ve idari tedbirlere de yer verilmektedir.30 Aralık
2017 tarihli Veri Sorumluları Sicili Hakkında Yönetmelik hükümleri ile KVK
Kurulu tarafından tavsiye niteliğinde hazırlanan Kişisel Verilerin Silinmesi
,Yok Edilmesi ve Anonim Hale Getirilmesi Rehberi de bu çerçevede dikkate
alınmıştır.

İşbu Saklama
ve İmha Politikası, KVK Kanunu’nun7’nci maddesi uyarınca ‘’veri sorumlusu’’
sıfatıyla Özel Huzur Bakım Merkezi‘nin çalışanlarından ,çalışan
adaylarından ,çalışan yakınlarından ,eski çalışanlarından ,şirket
hissedarlarından ,yönetim kurulu üyelerinden ,ziyaretçilerinden
,taşeron/tedarikçileriden , iş/çözüm ortağından

,
müşterilerinden , işbirliği içinde olunan gerçek/tüzel kişi çalışanları ,
hissedarları ve yetkililerinden tamamen veya
kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası
olmak kaydıyla otomatik
olmayan yollar ile
işlediği,elektronik ortalarda,kağıt ortamlarda ve işbu Politika’da belirtilen
diğer kayıt ortamlarında yer alan ve işleme Şartları sona ermiş tüm Kişisel
Verilerin silinmesi , yok edilmesi veya anonim hale getirilmesi işlemlerini
kapsamaktadır.

3.
TANIMLAR

İşbu Saklama ve İmha
Politikasında yer almayan tanımlar için KVK Kanunu’nda belirtilen tanımlar
geçerlidir.

4. POLİTİKA İLE DÜZENLEME ALTINA ALINAN KAYIT ORTAMLARI

Tamamen veya
kısmen otomatik olan yada herhangi bir veri kayıt sisteminin parçası olmak
kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her
türlü ortam kayıt ortam olarak adlandırılmaktadır. Bu ortamlar genel olarak
aşağıdaki gibidir ;

–   Fiziki Ortamlar : Kişisel Verilerin kağıt yada mikrofilmler üzerine
basılarak tutulduğu ortamlardır.

–  
Yerel dijital ortamlar
: Şirket bünyesinde yer alan bilgisayarlar , sunucular , sabit ya da taşınabilir diskler
, optik diskler gibi sair
dijital ortamlardır.

–   Bulut ortamlar : Şirket bünyesinde yer almamakla birlikte
, Şirket’in kullanımında olan kriptografik yöntemlerle şifrelenmiş internet tabanlı
sistemlerin kullanıldığı ortamlardır.

Yukarıda sayılan kayıt
ortamlarının yanında , Şirket tarafından işlenen Kişisel Veriler aşağıda
belirtilen ve ileride ortaya çıkabilecek kayıt ortamlarında da
saklanabilecektir.

–                     
Ağ cihazları,
Mikrofiş, Yazıcı , Parmak izi okuyucu gibi çevre birimler, Flash hafızalar

5. KİŞİSEL VERİLERİN SAKLANMASI VE İMHASINI GEREKTİREN HUKUKİ ,
TEKNİK YA DA DİĞER SEBEPLER

Özel Huzur Bakım
Merkezi bünyesindeki çeşitli departmanlar tarafından iş tanımları doğrultusunda
yürütülen iş süreçleri ve bu süreçlere bağlı faaliyetleri gerçekleştirebilmek
amacıyla çalışanların , çalışan adaylarının , çalışan yakınlarının , eski
çalışanlarının , şirket hissedarlarının , yönetim kurulu üyelerinin ,
ziyaretçilerinin , taşeron

/tedarikçilerinin
, iş/çözüm ortağının , işbirliği içinde olunan gerçek /tüzel kişi
çalışanlarının , hissedarlarının ve yetkililerinin olmak üzere farklı ilgili
kişi kategorilerine ait kişisel verileri işlemektedir. KVK Kanunu md.5’te yer
alan işleme şartlarına uygun olarak işlenen veriler, bu hukuki sebepler ile
uyumlu olarak , mevzuatta öngörülen veya ilgili departman
tarafından kişisel veri işleme amacı çerçevesinde belirlenen süreler boyunca saklamaktadır. Bu doğrultuda saklamayı
gerektiren hukuki sebepler aşağıdaki gibidir.

a)    
Şirket faaliyetlerinin yerine getirilmesi uyarınca , İlgili
Kişilerin açık rızasının alınmasını gerektiren saklama faaliyetleri açısından
İlgili Kişinin açık rızasının bulunması,

b)    
Kişisel
Verilerin ilgili kanunlarda ve mevzuatlarda açıkça öngörülmesi,

c)    
Kişisel
verilerin sözleşmelerin kurulması ve ifası ile doğrudan doğruya ilgili olması ,

d)     Şirket
faaliyetleri uyarınca temas halinde olunan İlgili Kişilerin , fiili imkansızlık
nedeniyle rızasını açıklayamayacak durumda bulunması veya rızasına hukuki
geçerlik tanınmaması sebebiyle , kendisinin veya bir başkasının hayatı ve beden
bütünlüğünün korunabilmesi için saklanmasının zorunlu olması

e)    
Kişisel verilerin Şirket’in yerine getirmekte olduğu
faaliyetler kapsamında hukuki yükümlülüğünü yerine getirmesi,

f)      
Şirket tarafından
yürütülen faaliyetler ile uyumlu olarak , İlgili Kişinin kendisi tarafından
alenileştirilmesi ,

g)    
Kişisel
verilerin bir hakkın tesisi , kullanılması veya korunması amacıyla saklanması ,

h)      Kişisel verilerin
kişilerin temel hak ve özgürlüklerine zarar vermemek kaydıyla
Şirket’in meşru menfaatleri için saklanması

Tüm bu akış
Kişisel Veri İşleme Envanterinde yer almaktadır. İlgili saklama süreleri sona
erdiğinde ise, işbu Politika’da belirlenen silme , yok etme veya anonim hale
getirme yöntemleri ile işleme amacı ortadan kalkan kişisel veriler aşağıdaki
sebeplerde Şirket tarafından re’sen veya talep üzerine imha edilir ;

a)    
İlgili Kişinin açık rıza şartına bağlı olarak işlenerek
saklanmakta olan Kişisel Veriler , İlgili Kişinin rızasını geri alması halinde,

b)    
Kişisel verilerin işlenmesine veya saklanmasına esas teşkil
eden ilgili mevzuat hükümlerinin değişmesi veya ortadan kaldırılması ,

c)     Kişisel verilerin işlenmesini
veya saklanmasını gerektiren amacın ortadan kalkması,

d)    
Taraflar arasındaki sözleşmenin hiç kurulmamış olması ,
sözleşmenin geçerli olmaması , sözleşmenin kendiliğinden sona ermesi ,
sözleşmenin feshi veya sözleşmeden dönülmesi

e)     Kişisel verileri işlemenin hukuka
veya dürüstlük kuralına aykırı olduğunun tespit edilmesii

f)       Kanun’un 5.ve 6. maddelerindeki
kişisel verilerin işlenmesini gerektiren şartların ortadan kalkması,

g)     İlgili kişinin
, KVK Kanunu madde 11/1(e)
ve (f) bentlerindeki hakları çerçevesinde kişisel verilerinin silinmesi
, yok edilmesi veya anonim hale getirilmesine ilişkin
yaptığı başvurunun veri sorumlusu olarak
Şirket tarafından Kabul edilmesi,

Şirket’in , İlgili Kişi tarafından kişisel verilerinin silinmesi,yok
edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan başvuruyu
reddetmesi,Şirketin verdiği cevabın İlgili Kişi tarafından yetersiz bulunması
veya Şirket’in KVK Kanunu’nda öngörülen süre içinde
cevap vermemesi hallerinde; İlgili Kişinin KVK Kurulu’na şikayette bulunulması ve bu talebin KVK
Kurulu tarafından uygun bulunması,

I)       Kişisel
verilerin saklanmasını gerektiren azami sürenin geçmiş olmasına ragmen ,
kişisel verileri daha uzun saklamayı
haklı kılacak herhangi bir şartın mevcut olmaması

6.       
KİŞİSEL VERİLERİN GÜVENLİ BİR ŞEKİLDE
SAKLANMASI İLE HUKUKA AYKIRI OLARAK İŞLENMESİ VE ERİŞİLMESİNİN ÖNLENMESİ İÇİN
ALINMIŞ TEKNİK VE İDARİ TEDBİRLER

KVK Kanununun
12.maddesinin 1.fıkrasında Veri Sorumlusu’nun ;(1) Kişisel Verilerin hukuka
aykırı olarak işlenmesini önlemek,(2) Kişisel
Verilere hukuka aykırı
olarak erişilmesini önlemek,(3)Kişisel Verilerin muhafazasını
sağlamak amacıyla uygun güvenlik düzeyini
temin etmeye yönelik
gerekli her türlü teknik ve idari tedbirleri almak zorunda olduğu düzenlenmiştir.

Veri
güvenliğinin sağlanması yükümlülüğü çerçevesinde Şirket tarafından yürütülen
faaliyetler uyarınca işbu politikada belirtilen sebeplerle saklanmakta olan
Kişisel veriler için başlıca aşağıdaki idari ve teknik tedbirler alınmıştır.

6.1. 
İdari Tedbirler

–   Mevcut risk ve tehditlerin
belirlenmesi : Şirket
tarafından Kişisel Veri İşleme Envanteri hazırlanarak, işlenen kişisel
verilerin kategorileri,işleme amacı,aktarıldığı alıcı grupları,saklama
süreleri,verisi işlenen ilgili kişi grubu belirlenerek kişisel verilere ilişkin
süreç ortaya çıkarılarak alınması gereken tedbirler belirlenmiştir.

–   
Çalışanların eğitilmesi ve farkındalık çalışmaları : Kişisel verilerin korunmasına ilişkin
kurum kültürünün oluşturulabilmesi için kişisel verinin neyi ifade
ettiği,kişisel verilerin korunmasının önemi ve gizlilik konularında şirket
çalışanlarına eğitimler verilmektedir.

– Temel
eğitim ve farkındalık çalışmalarının yanı sıra, kişisel verilerin işlenmesine
ilişkin politikaların değişmesi halinde, yeni politikalara uyum sağlamak amacıyla
verilen eğitimler tekrarlanmaktadır.

– Kişisel
verilerin güvenliğine ilişkin politikalara uyumun sağlanması: KVK Kanunu
kapsamında veri sorumlusu sıfatıyla Şirket olarak hazırlamakla yükümlü
olduğumuz politikaların yanı sıra Şirket çalışanlarına yönelik olarak gizlilik
politikaları revize edilmekte ve iç etik kuralları, bilgi güvenliği politikası
gibi metinler kanun kapsamında revize edilerek uyulması gereken usul ve
yasaklar hakkında çalışanlar bilgilendirilmektedir.

–   
Minimum
veri işleme : Veri sorumlusu
sıfatıyla Şirket’in kişisel veri işleme amaçları çerçevesinde en az sayıda

veri işlemesi
sağlanmakta ve işlenme ihtiyacı duyulmayan veriler de kişisel veri saklama ve
imha politikası uyarınca silinmekte ,yok edilmekte ya da anonim hale
getirilmektedir.

–  
Veri işleyenlerle ilişkilerin yönetimi : KVK Kanunu’nun 12/11. Maddesi
uyarınca kişisel verilerin güvenliğinin sağlanması noktasında veri
işleyenlerden de gerekli taahütler alınmakta,iş ilişkisi içerisinde bulunulan
iş ortaklarımız , tedarikçilerimiz,çözüm ortaklarımız ile kişisel verilerin
işlenmesine,muhafazasına ilişkin protokoller imzalanarak,Şirket tarafından KVK
Kanunu madde 5’te yer alan hukuki sebeplerle işlenen ve 3.kişilere aktarılan
verilerin muhafazası ve güvenliği sağlanmaktadır.

–  
Kişisel verilerin işlenmesi prosedürlerinin yönetimi: Saklanan kişisel verilere erişim iş
tanımı gereği erişmesi gerekli personel ile sınırlandırılmaktadır. Kişisel
verilerin işlenmesi, muhafazası ,imhasına ilişkin süreçlerin takibi,kişisel
verilere ilişkin Şirkete iletilen taleplerin yönetimi için Şirket içerisinde
görevlendirmeler yapılmaktadır.Kişisel verilere ilişkin süreçlerin KVK
Kanunu’na uygun olarak yerine getirilmesi için profesyonel danışmanlık alınmaktadır.

–  
Kişisel verilerin işlenmesi ve güvenliğine ilişkin denetimler: Şirket, KVK Kanunu hükümlerinin
uygulunmasını sağlamak amacıyla gerekli iç denetimleri yapmaktadır.

–  
Kişisel verilerin saklanmasına ilişkin diğer idari uygulama ve tedbirler:
İşlenen Kişisel
Verilerin güvenliğinin sağlanması amacıyla Şirket bünyesinde yukarıda
belirtilenlere ek olarak, genel olarak aşağıdaki idari tedbirler
uygulanmaktadır;

*Çalışanlar
için Disiplin Düzenlemeleri; *Çalışanlara Verilen Eğitim ve Farkındalık
Çalışmaları *Çalışanlar İçin Yetki Matrisleri *Çalışanların
Erişim Yetkilerinin Gerktiğinde Güncellenmesi *Erişim,Bilgi Güvenliği,
Saklama,Kullanım,İmha Politikalrının Oluşturulması *Gizlilik
Taahütnamelerinin Alınması *Sözleşmelerde Veri Güvenliğine İlişkin
Hükümlerin Eklenmesi *Kişisel Veri Güvenliği ,Politika ve Prosedürlerin
Belirlenmesi *Kişisel veri Güvenliğine İlişkin Sorunların Takibi ve
Raporlanması *Kişisel Verilerin Minimum Azaltılması *Kanun İçi
Periyodik Güncellemelerin Yapılması *Mevcut Risk ve Tehdit Kontrollerin*Özel
Nitelikli Kişisel Verilere İlişkin Politika ve Prosedürlerin Uygulanması *Veri
İşleyen Hizmet Sağlayıcının Veri Güvenliği Konusunda Farkındalığı
sağlamaktadır.

6.2.  
Teknik Tedbirler

– Siber Güvenliğin Sağlanması : Kişisel Veri Güvenliğinin Sağlanması
amacıyla siber güvenlik sistemleri kurulmuştur ve güncelliği sağlanmaktadır.Bu
kapsamda;

*   İnternet
üzerinden gelen izinsiz erişim tehditlerine karşı alınabilecek öncelikli
tedbirler olarak güvenlik duvarı ve internet ağ geçidi kullanılmaktadır.

*   Kullanılmayan yazılım ve servisler kaldırılarak yazılımların eski sürümlerinin güvenlik
açıkları içermesi ihtimaline karşılık bu yazılım ve servislerin güncel
tutulması yerine silinmesi, kolaylığı nedeniyle öncelikle tercih edilebilecek
bir yöntemdir.

*Özellikle
kişisel verilerin yer aldığı sistemlerin yönetilmesi amacıyla dışarıdan temin
edilen yazılımların ve modüllerinin güncelliğinin takibinin sağlanması amacıyla
yama yönetimi ve yazılım güncellemeleri gerçekleştirilerek olası güvenlik
açıklarının kapatılması sağlanmaktadır.

-Yetki matris ve kontrolü : Kişisel veri içeren sistemlere erişim
sağlayacak personelin görev tanımıyla uyumlu olarak sınırlndırılmıştır.

*Özellikle
Şirket çalışanlarının elektronik ve fiziki ortamlarda kişisel verilere erişim
yatkilerinin kontrol altında tutulmasını sağlanmaktadır.

*Kaba kuvvet
algoritması (BFA) kullanımı gibi yaygın saldırılardan korunmak için şifre
girişi deneme sayısının sınırlandırılması,düzenli aralıklarla şifre ve
parolaların değiştirilmesinin sağlanması,yönetici hesabı ve admin yetkisinin
sadece ihtiyaç olduğu durumlarda kullanılması için açılması ve veri
sorumlusuyla ilişkileri kesilen çalışanlar için zaman kaybetmeksizin hesabın
silinmesi ya da girişlerin kapatılması gibi yöntemlerle de erişim
sınırlandırılmaktadır.

-Şifre ve Parolaların Oluşturulmasına İlişkin Önlemlerin Belirlenmesi: Şirket çalışanları tarafından kullanılan şifre ve
parolalar oluşturulurken, kişisel
bilgilerle ilişkili ve kolay tahmin
edilecek rakam ya da harf dizileri yerine büyük
küçük harf, rakam ve sembollerden oluşacal kombinasyonların tercih edilmesi sağlanmaktadır.

Güncel
anti-virüs yazılımlarının kullanılması : Kötü amaçlı yazılımlardan korunmak
için bilgi sistem ağını düzenli olarak tarayan ve tehlikeleri tespit eden
anti-virüs , anti-spam gibi ürünler kullanılmaktadır.Ancak bu ürünlerin sadece
kurulumunun yeterli olmaması sebebiyle güncelliklerinin sağlanmasına da dikkat
edilerek gerekli virüs taramaları düzenli olarak yapılmaktadır.

–  
Veri aktarımlarında SSL protokolünün kullanılması: Veri sorumluları tarafından,farklı internet siteleri
ve/veya mobil uygulama kanallarından kişisel veri

–    
temin
edilecekse ,bağlantıların SSL, sFTP yada diğer güvenli yollar ile
gerçekleştirilmesine riayet edilmektedir.

–  
Kişisel Veri İçeren Ortamların Güvenliğinin Sağlanması : Kişisel veri içeren ortamlar tespit
edilerek,saklanan kişisel verilerin güvenliğinin alınması ve verilere izinsiz
erişimin engellenmesi amacıyla farklı ortamlara ilişkin tedbirler alınmaktadır.

–  
Şirket yerleşkelerinde kağıt ortamında saklanan veriler : Kağıtların çalınması veya kaybolması
gibi tehditlere karşı dolap ve çekmecelerin kilit altına alınması gibi fiziksel
güvenlik önlemleri alınmaktadır.Kişisel verilerin yer aldığı fiziksel
ortamların dış risklere (yangın,sel vb.) karşı uygun yöntemlerle korunması ve
bu ortamlara giriş/ çıkışların kontrol altına alınmasına dikkat edilmektedir.

–  
Elektronik ortamda saklanan Kişisel Veriler : Kişisel veri güvenliği ihlalini
önlemek için ağ bileşenleri arasında erişim
sınırlandırılmaktadır.Örneğin kullanılmakta olan ağın sadece
bu amaçla ayrılmış
olan belirli bir bölümüyle
sınırlandırılarak bu alanda
kişisel verilerin işleniyor olması halinde,mevcut kaynaklar tüm ağ için değil de sadece
bu sınırlı alanin güvenliğini sağlamak amacıyla ayrılabilecektir.

–  
Fiziki Tedbirler : Kişisel veri güvenliğinin sağlanması için kişisel veri içeren kağıt
ortamındaki evraklar,sunucular,yedekleme cihazları,CD,DVD ve USB gibi
cihazların ek güvenlik önlemlerinin olduğu başka bir odaya alınması (arşiv
odası) , kullanılmadığı zaman kilit altında
tutulması,giriş çıkış kayıtlarının tutulması gibi
fiziksel güvenliğin arttırılmasına ilişkin önlemler alınmaktadır.

–  
Kişisel verilerin Bulutta Depolanması : Yedeklenmesi,senkronizasyonun
sağlanması ve bu kişisel verilere gerekmesi halinde uzaktan
erişim için iki kademeli kimlik
doğrulama kontrolünün uygulanması sağlanmaktadır.

–  
Email / Bilgisayar ortamında saklanan kişisel veriler : Çalışanlara atanan email ve
bilgisayarlarda saklanan kişisel verilerin minimuma
indirilmesi için çalışanlar bilgilendirilmekte ve cihazların dışarıdan gelecek saldırılara karşı güvenliği sağlanmaktadır.

–  
Bilgi Teknolojileri sistemleri tedariği , geliştirmesi ve bakımı : Kişisel veri içeren cihaz/sistemlerin bakımının dış
kaynaklı hizmetler (üretici,satıcı,servis gibi üçüncü kurumlar)tarafından
gerçekleştirilecek olması durumunda kişisel verilerin güvenliğinin sağlanması
için cihazlardaki veri saklama ortamlarının sökülerek bakıma gönderilmesi
sağlanmaktadır.Bakım ve onarım gibi amaçlarla dışarıdan personel gelmişse
kişisel verileri kopyalayarak kurum dışına çıkartmasının engellenmesi için
gerekli önlemlerin alınması gerekir.belirtilen amaçlarla dışarıdan hizmet
alınması durumunda , veri güvenliğinin sağlanması amacıyla hizmet alınan
şirketkerin tamamıyla KVK Kanunu m.12/11’den kaynaklanan yükümlülüklerin yerine
getirilmesi amacıyla

,şirketlerle yapılan mevcut
sözleşmeler veri güvenliğine ilişkin hükümler içerecek şekilde revize
edilmektedir.

–   Kişisel Verilerin Yedeklenmesi : Kişisel veriler içeren ortamlar
belirli periyotlarla yedeklenmek suretiyle güvenlil
altına alınmaktadır.Bu kapsamda ;

o Yedekleme
stratejileri oluşturulmaktadır.

o Veri
seti yedeklerinin ağ dışında tutulması sağlanmaktadır.

–  
Özel Nitelikli Kişisel Verilerin saklanması : KVK Kurulu tarafından yayımlanan ‘’
Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması
Gereken Yeterli Önlemler ‘’ ile ilgili 31/01/2018 tarihli ve 2018/10 sayılı
karar uyarınca veri sorumlusu olarak Şirketimiz , işlenen özel nitelikli
kişisel verilerin saklanmasında diğer önlemlerle birlikte ayrıca aşağıda
belirlenmiş güvenlik önlemlerinin alınması sağlanmaktadır;

o  Çalışanlar İçin Yetki
Matrisleri

o Erişim
Loglarının Düzenli Olarak Tutulması

o Kilitlenmiş
/kodlanmış/şifrelenmiş sistem girişleri

o Log
Kayıtlarının Kullanıcı Müdahalesinden Korunması Sağlanmaktadır.

o Özel
Nitelikli Kişisel Veriler için güvenli şifreleme / kriptografik anahtarlar
kullanılmaktadır.

o Uzaktan
erişimin gerektiği verilere, iki kademeli kimlik doğrulama sistemiyle erişim
sağlanmaktadır.

o Verilerin
bulunduğu ortamlara ait yazılımlarda güvenlik güncellemeleri takip
edilmektedir.

o Yedekleme
/ Kademeli Kimlik Doğrulama

–  
Kişisel verilerin saklanmasına ilişkin diğer teknik uygulama ve tedbirler
: İşlenen Kişisel
Verilerin güvenliğinin sağlanması amacıyla Şirket bünyesinde yukarıda
belirtilenlere ek olarak,genel olarak aşağıdaki teknik tedbirler
uygulanmaktadır;

o Ağ
güvenliği ve Uygulama Güvenliği

o Ağ
Yoluyla Kişisel Veri Aktarımlarında Kapalı Sistem Ağ

o Anahtar
Yöntemi

o Bilgi
Teknolojileri Sistemleri Kapsamındaki Güvenlik Önlemleri

o Bulut
Sistemi Güvenliği

o Güncel
Antivirüs Sistemlerinin Kullanılması,Güvenlik Duvarının Kullanılması

o Kağıt
Yoluyla Aktarılan Verilerin Gizlilik Sınıflandırılmasının Uygulanması

o Kişisel
Verilerin Yedeklenmesi ve Güvenliğinin Sağlanması

o Kullanıcı
Hesabı Yönetimi , Yetki Kontrolü ve Takibi

o Mevcut
Risk ve Tehdit Kontrolleri

o Saldırı
Tespit ve Önleme Sistemleri Kullanılmaktadır.

o Siber
Güvenlik Tedbirlerinin Alınması ve Takibi

o Şifreleme
ve Otomatik Şifre Güncelleme Uygulanmaktadır.

o Veri
İşleyen Hizmet Sağlayıcının Veri Güvenliğini Konusunda Belirli Aralıklarla
Kontrolü

o Veri
Kaybı Önleme Yazılımları (DLP)

o Yedekleme

o Kilitlenmiş/kodlanmış/şifrelenmiş
sistem girişleri

o Kilitli
Dosyalama Yeri / Arşiv Odası / Kasalar

o Sistem
Odası / Arşiv Güvenlik Kamerası

o Verilerin
bulunduğu ortamlara ait yazılımlarda güvenlik güncellemeleri

o Uzaktan
erişimin gerektiği verilere , iki kademeli kimlik doğrulama sistemiyle erişim
sağlanmaktadır.

7. 
KİŞİSEL VERİLERİN HUKUKA UYGUN OLARAK İMHA
EDİLMESİ İÇİN ALINMIŞ TEKNİK VE İDARİ TEDBİRLER

Kişisel
Verilerin Korunması Kanunu madde 7 uyarınca gerçekleştirilecek olan Kişisel
verilerin silinmesi , yok edilmesi ve anonim hale getirilmesi , Şirketimiz
tarafından hazırlanan işbu Kişisel Verilerin Saklanması ve İmhası
Politikası’nda belirtilen esaslara uygun olarak aşağıda açıklanacak yöntemlerle
gerçekleştirilmektedir.

7.1.  
Kişisel Verilerin Silinmesi

Kişisel verilerin
silinmesi , kişisel
verilerin ilgili kullanıcılar için hiçbir şekilde
erişilemez ve tekrar
kullanılamaz hale getirilmesi
işlemidir. Veri sorumlusu olarak Şirketimiz silinen kişisel verilerin ilgili
kullanıcılar için erişilemez ve tekrar kullanılamaz olması için gerekli teknik
ve idari tedbirleri almaktadır.

Kişisel
verilerin silinmesi işleminde izlenmesi gereken süreç aşağıdaki gibidir;

–  
Silme
işlemine konu teşkil edecek kişisel verilerin
belirlenmesi

–   Erişim yetki ve
kontrol matrisi yada benzer bir sistem kullanarak her bir kişisel veri işleme
amacı için ilgili kullanıcıların tespit edilmesi

–  
İlgili
kullanıcıların erişim , geri getirme , tekrar kullanma gibi yetkilerinin ve
yöntemlerinin tespit edilmesi

–   İlgili
kullanıcıların kişisel veriler kapsamında erişim , geri getirme , tekrar
kullanma yetki ve yöntemlerinin kapatılması ve ortada kaldırılması

Bu madde
altında belirtilen yöntemler yönetmelik ve rehberde yer almakta olup, kişisel
verilerin silinmesinde seçilecek yöntem Şirketimizin iç prosedürleri kapsamında
ilgili olduğu ölçüde aşağıdaki tedbirler seçilmek suretiyle uygulanmaktadır;

7.1.1.   
Hizmet Olarak Uygulama
Türü Bulut Çözümleri ( Office 365 , Salesforce , Dropbox gibi) Üzerinde Bulunan Verilerin Silinmesi

Bulut sisteminde
saklanan veriler silme komutu verilerek silinmektedir.Anılan işlem
gerçekleştirilirken ilgili kullanıcının bulut sistemi üzerinde silinmiş
verileri geri getirme yetkisinin olmadığına dikkat edilmektedir.

7.1.2.    Kağıt Ortamında Bulunan Kişisel Veriler

Kağıt ortamında
bulunan kişisel veriler karartma yöntemi kullanılarak silinmektedir. Karartma
işlemi ilgili evrak üzerindeki kişisel verilerin, mümkün olan durumlarda
kesilmesi, mümkün olmayan durumlarda ise geri döndürülemeyecek ve teknolojik çözümlerle okunamayacak şekilde sabit mürekkep kullanılarak ilgili kullanıcılara
görünmez hale getirilmesi şeklinde yapılır.

7.1.3.    Merkezi Sunucuda Yer Alan Ofis
Dosyaları

Dosyanın işletim
sistemindeki silme komutu ile silinmesi veya dosya ya da dosyanın bulunduğu
dizin üzerinde ilgili kullanıcının erişim
haklarının kaldırılması gerekmektedir.Anılan işlem gerçekleştirilirken ilgili
kullanıcının aynı zamanda
sistem yöneticisi olmadığına dikkat edilmelidir.

7.1.4.    Taşınabilir Medyada Bulunan Kişisel Veriler

Flash tabanlı
saklama ortamlarındaki kişisel veriler şifreli olarak saklanmalı ve bu
ortamlara uygun yazılımlar kullanılarak silinmelidir.

7.1.5.    Veri
Tabanları Kişisel
verilerin bulunduğu ilgili satırların veri tabanı komutları ile ( DELETE vb.)
silinmesi gerekir.Anılan işlem gerçekleştirilirken ilgili kullanıcının aynı
zamanda veri tabanı yöneticisi olmadığına dikkat edilmelidir. Şirket tarafından
gerçekleştirilen tüm silme işlemleri elektronik ortamda zaman damgası ile
loglanarak kayıt altına alınır.Kağıt ortamdaki
kişisel veriler bakımından ise bu işlemlerin gerçekleştirildiğine ilişkin
tutanak düzenlenir ve ilgili birim tarafından muhafaza edilir.Elektronik ve
kağıt ortamdaki kişisel verilere ilişkin silmeye ilişkin kayıtlar üç yıl süre
ile saklanır.

7.2.  
Kişisel Verilerin Yok Edilmesi

Kişisel
verilerin yok edilmesi, kişisel verilerin hiç kimse tarafından hiçbir şekilde
erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.
Veri sorumlusu olarak Şirketimiz silinen kişisel verilerin ilgili kullanıcılar
için erişilemez ve tekrar kullanılamaz olması için gerekli teknik ve idari
tedbirleri almaktadır. Kişisel verilerin yok edilmesi için, verilerin bulunduğu
tüm kopyaların tespit edilmesi ve verilerin bulunduğu sistemlerin türüne göre
aşağıda yer verilen yöntemlerden bir ya da birkaçının kullanılmasıyla tek tek
yok edilmesi sağlanmaktadır.

7.2.1.    Yerel Sistemler

Söz konusu sistemler üzerindeki
verilerin yok edilmesi için;

– Fiziksel Yok Etme yöntemi kullanılarak ; optik medya ve
manyetik medyanın eritilmesi , yakılması veya toz haline getirilmesi
sağlanmaktadır.Optik veya manyetik medyayı eritmek , yakmak , toz haline
getirmek ya da bir metal öğütücüden geçirmek gibi işlemlerle verilerin
erişilemez kılınması sağlanmaktadır.

– Üzerine Yazma yöntemi kullanılarak ;Manyetik medya ve
yeniden yazılabilir optic medya üzerine en az yedi kez 0 ve 1 ‘lerden oluşan
rastgele veriler yazarak eski verinin kurtarılmasının önüne geçilmektedir.Bu
işlem özel yazılımlar kullanılarak yapılmaktadır.

–

7.2.2.   Çevresel Sistemler

Ortam türüne bağlı olarak
kullanılabilecek yok etme yöntemleri;

– Ağ cihazları (switch,router vb.) içerisindeki sabit
saklama ortamlarında yer alan veriler yukarıda belirtilen uygun yöntemlerin bir
ya da birkaçı kullanılmak suretiyle yok edilmektedir.

– Flash tabanlı ortamların
ATA( SATA,SSD,PATA vb.),SCSI ( SCSI Express vb.) arayüzüne sahip olanları ,
destekleniyorsa – block erase- komutunu kullanmak , desteklenmiyorsa uygun
diğer yöntemler kullanılmak suretiyle yok edilmektedir.

– Mobil telefonlar ( Sim kart ve
sabit hafıza alanları),

– Veri kayıt ortamı çıkartılabilir olan yazıcı gibi çevre birimleri, Veri kayıt ortama
sabit olan yazıcı gibi çevre birimleri
yukarıda belirtilen yöntemlerden uygun olanları kullanmak suretiyle yok edilmektedir.

7.2.3.    Kağıt Ortamlar

Şirket
yerleşkesinde kağıt ortamında saklanan kişisel veriler, kalıcı ve fiziksel
olarak ortam üzerine yazılı olduğundan ana ortamın kağıt imha veya kırpma
makinaları ile anlaşılmaz boyutta mümkünse yatay ve dikey olarak, geri
birleştirilemeyecek şekilde küçük parçalara bölmek veya yakılmak suretiyle yok
edilmektedir.

7.2.4.    Bulut Ortamı

Şirket
tarafından kullanılan bulut sistemlerinde yer alan kişisel verilerin
depolanması ve kullanımı sırasında , kriptografik yöntemlerle şifrelenmesi ve kişisel veriler
için mümkün olan yerlerde , özellikle hizmet alınan her bir
bulut çözümü için ayrı ayrı şifreleme anahtarları kullanılmaktadır.Bulut
bilişim hizmet ilişkisi sona erdiğinde , kişisel verileri kullanılamaz hale getirmek için gerekli şifreleme
anahtarlarının tüm kopyalarının yok edilmesi talep edilmektedir.

7.3.  
Kişisel Verilerin Anonim Hale Getirilmesi

Anonim hale
getirme , bir veri kümesindeki tüm doğrudan ve/veya dolaylı tanımlayıcıların
çıkartılarak ya da değiştirilerek , ilgili kişinin kimliğinin saptanabilmesinin engellenmesi veya bir grup/kalabalık içinde ayırt edilebilir olma özelliğini , bir gerçek
kişiyle ilişkilendirilemeyecek şekilde kaybetmesidir.

Anonim hale getirilmiş veriler
bu işlem yapılmadan önce gerçek bir kişiyi tespit
eden bilgiyken bu işlemden sonar İlgili Kişi ile
ilişkilendirilemeyecek hale gelmiştir ve kişiyle bağlantısı koparılmıştır.

Şirketimiz ,
kişisel verilerin anonim haline getirilmesi için saklanmakta olan Kişisel
Verilerin niteliğine ve risk maliyet analizine göre uygun anonimleştirme yöntemlerinin belirlenmesini sağlayacaktır.Veri sorumlusu sıfatıyla
Şirketimiz , kişisel verilerin anonim hale getirilmesi için gerekli her türlü
teknik ve idari tedbirleri almakla yükümlüdür.Kişisel verilerin anonim hale getirilmesi , kişisel veri saklama ve imha politikasında belirtilen esaslara
uygun olarak aşağıdaki yöntemlerle gerçekleştirilir.

7.3.1.    Değer Düzensizliği Sağlamayan Anonim Hale Getirme Yöntemleri

Değer
düzensizliği sağlamayan anonim hale getirme yöntemleri , saklanmakta olan
kişisel verilerde bir değişiklik veya ekleme/çıkarma yapılmaksızın ; herhangi bir kişisel veri grubunun genelleme , birbiri ile yer değiştirme veya gruptan belirli bir veri veya alt veri grubunun çıkarılması
ile uygulanan anonimleştirme yöntemleridir.Bu yöntemler aşağıdaki şekildedir ;

a)       
Değişken Çıkartma
:

Kişisel verileri
oluşturan tanımlayıcılardan birinin veya birkaçının tablodan/sistemden
bütünüyle silinerek çıkartılmasıyla sağlanan bir anonim hale getirme
yöntemidir.

Burada dikkat edilmesi gereken
, değişkenlerin çıkarılması halinde geriye kalan
verilerden yola çıkarak
ilgili gerçek kişinin
eşleştirilemiyor olmasıdır.Örn; personel listesinin yer aldığı bir listede
saklama sürelerinin dolmasının ardından yapılacak anonimleştirme uygulamasında
, adrese ilişkin tanımlayıcı değişkenler kaldırılsada , kalan maaş bilgisinden
yola çıkarak ( söz konusu maaş miktarına şirket içerisinde tek bir kişinin
sahip olması gibi) ilgili kişiye erişimin sağlanması halinde bir başka
değişkenin çıkarılması yolu kullanılacaktır.

b)       
Kayıtları Çıkartma
:

Bu yöntemde
saklanmakta olan kişisel veriler arasında bir değişkenin çıkarılmasındansa
tekillik ihtiva eden bir satırın çıkartılması ile anonimlik kuvvetlendirilir ve
veri kümesine dair varsayımlar üretebilme ihtimali düşürülür. Örneğin burs
listesinde herhangi bir üniversiteden/okuldan yalnızca tek bir kişinin yer
alması durumunda tüm listeden okul adı değişkenini çıkartmaktansa , bu kişiye
ait satırın tümü çıkartılacaktır.

c)       
Bölgesel Gizleme
:

Bu yöntemin
kullanılmasında asıl amaç, kişisel verinin sahip olduğu belirleyici özellik
sebebiyle kişisel verilere erişimi bulunan kişiler tarafından tahmin
edilebilirliğinin önüne geçebilmek amacıyla , belirleyici özellik taşıyan veri
çıkarılarak diğer veriler yerinde tutulmak suretiyle anonimleştirme sağlanmış
olacaktır.

Örneğin , şirketin etkinlik
katılımcı listesinde yalnızca tek bir kişinin doğum yılı 1990’tan önce ise ,
medeni durum

, katılım
bilgisi , masa numarasının birlikte
saklandığı bir veri kümesinde ‘’ doğum yılı’’ sekmesinin boş bırakılması
suretiyle ilgili kişinin eşleştirilebilirliğinin önüne geçilecektir.

d)       
Genelleştirme

Bu işlem
, saklanmakta olan kişisel verinin
tanımlayıcı nitelikte olan belirli bir değerden ,eşleştirmeyi engelleyecek daha genel bir değere çevirme
işlemidir.Örneğin ; performans değerlendirme raporlarının toplu
bir şekilde

hazırlanması
durumunda , departman bilgisinin kullanılması yerine çalışanların % …..’sinin
belirtilerek raporun hazırlanması gerçek bir kişiye erişmeyi imkansız hale
getiren bir işlem olacaktır.

e)       
Alt ve Üst Sınır
Kodlama:

Bu yöntem ,
belli bir değişken için bir kategori belirlenerek bu kategorinin içerisinde
kalan değerlerin birleştirilmesi suretiyle kişisel verilerin anonim hale
getirilmesi sağlanmaktadır.

Örneğin ;
Personel listesinde yer alan kıdem ve maaşa ilişkin değişkenler belli
kategorilerde gruplandırılarak (ör;30 bin TL yıllık gelirden az olanlar düşük ,
10 yıldan az kıdemi olanlar yeni çalışan şeklinde gruplandırılarak , ücret ve
kıdem sütununun altına yeni oluşturulan değerler girilmektedir.)

f)        
Global Kodlama :

Bu yöntem
rakamsal olarak gruplama yapabilen alt ve üst sınır kodlamanın uygulanmasının
mümkün olmadığı hallerde kullanılan gruplama
vasıtasıyla anonim hale getirme yöntemidir. Önemli olan , veriye erişim
sağlayabilen kişiler tarafından belirli değerlerin kümelenerek tahmin
yürütmeyi kolaylaştırdığı hallerde kullanılır.İstenen bir veri değeri için
ortak ve yeni bir grup oluşturulması suretiyle , veri kümesindeki tüm kayıtlar
yeni tanım ile değiştirilmektedir. Örneğin ; müşterinin ikametgah adresi yerine
semt adının yazılması. Örnekleme :

Bu yöntemde
, veri kümesinin tamamı yerine
, kişisel verileri
içeren kümede yer alan bir alt kategori
açıklanır veya aktarılır.Bu
yöntem ile , bütün veri kümesinin içinde yer aldığı bilinen bir kişinin
açıklanan ya da paylaşılan örnek alt küme içinde yer alıp almadığının tahmin
edilemeyeceği için veriler anonim hale getirilmiş olur.

Örneğin ;
İstanbul ilinde yaşayan kadınların demografik bilgileri , meslekleri ve sağlık
durumlarına dair bir veri kümesinin anonim hele getirilerek açıklanması ya da
paylaşılması halinde İstanbul’da yaşadığı bilinen bir kadına dair tahmin
yürütmek mümkün olabilecekken , söz konusu listede , sadece nüfusa kayıtlı
olduğu il İstanbul olan kadınların kayıtları bırakılarak , nüfus kaydı diğer
illerde olan kadınlar listeden çıkarılırsa , veriye erişim sağlayan
kişi,İstanbul’da yaşadığını bildiği bir kadının nüfus kaydının İstanbul’da olup
olmadığını tahminedemeyeciğinden kişisel veriler anonim hale getirilmiş
olacaktır.

7.3.2.    Değer Düzensizliği Sağlayan Anonim Hale Getirme Yöntemleri

Değer
düzensizliği sağlayan anonim hale getirme yöntemlerinde yukarıda
belirtilenlerin aksine kişisel veri gruplarında bazı verilerin değiştirilmesi
ile bozulma ortaya çıkmaktadır.Bu yöntemler kullanılırken elde edilmek istenen
yarara uyumlu olacak şekilde değişkenliklerin dikkatle uygulanması
gerekmektedir.Ayrıca , verilerin güncel tutulmasının KVK Kanunu kapsamında Veri Sorumlusuna yüklenmiş
olan bir kuarl olduğu düşünüldüğünde

, değer
düzensizliği sağlanması halinde ilgili kişinin verilerinin gerçeğe aykırı bir
hale geldiği durumlarda söz konusu yöntemler uygulanmamalıdır.

a)       
Mikro Birleştirme
:

Bu yöntem ile
kişisel veri içeren veri kümesindeki bütün kayıtlar ilk olarak anlamlı bir
sıraya göre dizilerek , sonrasında bütün kümenin belirli bir sayıda alt
kümelere ayrılması sağlanır.Sonrasında , her alt kümenin belirlenen değişkene
ait değerinin ortalaması alınarak alt kümenin o değişkenine ait değeri ortalama
değer ile değiştirilir.Bu şekilde , değişkenin tüm veri kümesi için geçerli
olan ortalama değeri de değişmeyecektir.

Örneğin ;
Kıdem süresi 5 yıldan az , 5-10 yıl arası ve 15 yıldan fazla olan kişiler
tespit edilerek , kıdem yılları kişi sayısına bölünmek suretiyle , kıdem
süresinin ortalaması alınır , sonrasında kıdem yılı yerine her bir kıdem
aralığında bulunan kişi için , o kıdem aralığında çıkan ortalama değer yazılmak suretiyle anonimleştirme sağlanmış
olur.

b)       
Veri Değiş Tokuşu
:

Bu yöntem ,
kişisel veri içeren kayıtlar içinden seçilen çiftlerin arasındaki bir değişken
alt kümeye ait değerlerin değiş tokuş edilmesiyle elde edilen kayıt
değişiklikleridir.Bu yöntem temel olarak

kategorize
edilebilen değişkenler için kullanılmaktadır ve asıl amaç değişkenler
değerlerini bireylere ait kayıtlar arasında değiştirerek veri tabanının
dönüştürülmesi suretiyle anonim hale getirme sürecinin sağlanmasıdır.

c)       
Gürültü Ekleme :

Bu yöntem ,
genel olarak sayısal verilerin bulunduğu bir veri kümesinde uygulanmakta olup ,
mevcut verilere belirlenen oranda artı veya eksi yönde birtakım sapmalar eşit
ölçüde eklenerek veriler anonim hale getirilmektedir.

Örneğin ; maaş bilgilerinin yer aldığı listed tüm
personelin maaşına ayrı ayrı eşit ölçüde değer eklenip / çıkarılarak

anonim hale getirme sağlanmış
olur.

d)       
İstatiksel Yöntemler :

Anonim hale
getirilmiş veri kümelerinde çeşitli istatiksel yöntemler kullanılarak veri
kümesi içindeki kayıtların tekilliğini minimuma indirerek anonim hale getirme
süreci güçlendirilmektedir.bu yöntemlerdeki temel amaç , anonimliğin bozulması
riskini en aza indirmek suretiyle , veri kümesinden sağlanacak faydayı da belli bir seviyede tutabilmektir.

7.3.3.    Anonim Güvencesi :

Şirketimiz
tarafından , saklanmakta olan kişisel verilerin saklama sürelerinin dolmasının
ardından silinmesi ya da yok edilmesi yerine anonim hale getirilmesine karar
verilebilmesi için aşağıdaki şartların sağlanmış olduğunun kontrolü
gerçekleştirilmektedir ;

o  
Anonim hale
getirilmiş bir veri kümesinin bir başka veri kümesiyle birleştirilerek
anonimliğinin bozulmaması

o  
Bir ya da
birden fazla değerin bir kaydı tekil hale getirebilecek şekilde anlamlı bir
bütün oluşturamaması,

o   Anonim hale getirilmiş veri kümesindeki değerlerin birleşip bir varsayım
veya sonuç üretebilir hale gelmemesi,
Şirketimiz yukarıda sayılan
ihitmallerin ortadan kaldırılması amacıyla , Şirketimiz tarafından anonim hale getirilen
veri kümeleri üzerinde bu maddede sayılan özellikler değiştikçe kontroller
gerçekleştirerek , anonimliğin korunduğundan emin olmak için gerekli tedbirleri
yerine getirmeye çalışmaktadır.

8.   KİŞİSEL
VERİLERİ SAKLAMA VE İMHA SÜREÇLERİNDE YER ALANLARIN ÜNVANLARI , BİRİMLERİ VE
GÖREV TANIMLARI

Kişisel Verilerinin Korunması Kanunu kapsamında Veri Sorumlusunun yerine
getirmesi gereken birçok
yükümlülük bulunması ve Kişisel Verilerin İşlenmesi ve Hukuka Uygun
Olarak Korunması yaşayan ve sürekli takip edilmesi gereken bir süreç olduğundan
dolayı Veri Sorumlusu olarak Şirketimiz gerekli tedbirleri almaktadır.

Bu doğrultuda , Özel Huzur Bakım Merkezi
kişisel verilerin işlenmesine , saklanması ve imhasına yönelik
süreçlerin takibi , KVKK’ya uyumluluğun sağlanması ve faaliyetlerinin
Kişisel Verilerin Korunması Kanunu’na uygun olarak yerine getirilebilmesi için , Şirketin
Yönetim Kurulu kararı
ile bünyesinde bir Kişisel Veri Komitesi ( ‘’ KVK Komitesi
‘’ ) oluşturmuştur.

KVK Komitesi’nin başlıca görevleri ;

o Mevzuat
uyarınca yükümlülüklerini yerine getiren veri sorumlusuna , veri işleyene ve
çalışanlarına bilgi vernek ve tavsiyede bulunmak,

o Veri sorumlusunun kişisel verilerin
korunması ile ilgili politikalarının yanı sıra kişisel veri işlemede yer alan
çalışanların bilinçlendirilmesi ve eğitilmesi ve ilgili denetimlerin mevzuata
uygunluğunu takip etmek,

o Kendisine yüklenen görevlerini
yaparken , görevlerin yerine getirilebilmesi için gerekli parasal ve fiziksel
kaynakları belirlemek , kişisel verilere ve işlemlere erişilebilmesini
sürdürebilmek,

o Belirlenen temel politika ve aksiyon
adımlarını üst yönetimin onayına sunmak , uygulamasını gözetmek ve
koordinasyonu sağlamak,

o Kişisel veri sahiplerinin
başvurularını hızlı bir şekile karşılayacak bir mekanizma oluşturmak ve
başvuruları en üst düzeyde karara bağlamak,

o Kişisel verilerin korunması
konusundaki gelişmeleri takip etmek ve bu gelişmeler kapsamında yapılması
gerekenler konusunda üst yönetime tavsiyelerde bulunmak,

o İlgili kişilerin hukuka , Kişisel
Verilerin İşlenmesi ve Korunması Politikasına ve Kişisel Verilerin Saklanması
ve İmhası Politikasına uygun olarak saklanması ve işlenmesi için gerekli
işlemleri yapmak/yaptırmak ve süreçleri denetlemek,

o Şirket , Yönetim Kurulu’nun kişisel
verilerin korunması ile ilgili süreçlere yönelik olarak vereceği talimatları ve
görevleri yerine getirmek ile yetkili ve görevlidir.

Bununla
birlikte, Özel Huzur Bakım Merkezi bünyesinde kişisel veri işleyen tüm
departmanların sorumluları / yöneticileri, gerek kendi departmanlarının kişisel
veri işleme envanterinin güncelliğinin sağlanması gerek kişisel veri saklama ve
imha süreçlerinin takibi için bölümünde çalışan bir başka kişiyi
görevlendirebilecektir.

Özel Huzur
Bakım Merkezi KVK Komitesinde yer alan çalışanların ünvanı , birim ve
görevlerine ilişkin bilgiler aşağıda yer almaktadır.

9.  SAKLAMA
VE İMHA SÜRELERİ TABLOSU

Saklama ve imha
süreleri tablosuna her bir departman bazında hazırlanmış Kişisel Veri İşleme
Envanterinde yer verilmekte olup, işbu envanterde süreç bazında belirtilen
süreler ile ilgili özet tablo aşağıda yer almaktadır.

Bu kapsamda
işlenen kişisel veriler, aksine bir kesinleşmiş mahkeme kararı veya ihtiyati
tedbir kararı bulunmadıkça işbu Saklama
ve İmha Politika’sında belirtilen hususlar dikkate
alınarak aşağıdaki tabloda
belirtilen süreler boyunca saklanacak , süre sonunda ise imha
edilecektir. Kişisel Verileri Saklama ve İmha Sürelerini gösteren tablo kişisel
veri işleme envanterinde yer alan süreçlerin yürütülmesinden sorumlu
departmanlarca , tereddüt halinde Yönetim Kurulu değerlendirmeleri de alınarak
güncellenebilecektir. Özel Huzur Bakım Merkezi tarafından yürütülen iş
süreçlerini etkileyecek ve veri bütünlüğünün bozulmasına , veri kaybına ve
yasal düzenlemelere aykırı sonuçlar doğmasına neden olacak periyodik imhalar ,
ilgili kişisel verinin kategorisi , kişisel verilerin yer aldığı ortamların özelliği
ve ilgili kullanıcı tarafından dikkate alınarak ilgili uzman tarafından
yapılacaktır.

10.  
PERİYODİK İMHA SÜRESİ

Özel Huzur Bakım Merkezi saklama
süresi sona eren ve kişisel verinin saklanmasını gerektirecek başka herhangi
bir veri işleme amacı mevcut olmayan kişisel verileri, saklama süresinin sona
ermesini takiben 12 ay içerisinde (oniki ay) içerisinde anonim hale getirir.

11.  
İLGİLİ KİŞİNİN TALEP TMESİ DURUMUNDA KİŞİSEL
VERİLERİN SİLME VE YOK ETME SÜRELERİ

İlgili kişi, Özel Huzur Bakım
Merkezi’a başvurarak kendisine ait verilerin silinmesini veya yok edilmesini
talep ettiğinde, Şirketimiz;

a)      Kişisel verileri
işleme şartlarının tamamı ortadan kalkmışsa ; talebe konu kişisel verileri işbu
politika uyarınca siler , yok eder veya anonim hale getirir.Şirket , ilgili
kişilerin silme veya yok etme taleplerini en geç ‘’ otuz gün ‘’ içinde sonuçlandırır.

b)    
Kişisel verileri işleme şartlarının tamamı ortadan kalkmış ve
talebe konu olan kişisel veriler üçüncü kişilere aktarılmışsa; bu durumu
aktarım yapılan üçüncü kişiye bildirerek söz konusu kişisel verilerin silinmesi
veya yok edilmesini talep eder. Kişisel verileri işleme şartlarının tamamı
ortadan kalkmamışsa, bu talep Kişisel Verilerin Korunması Kanunu’nun 13.
Maddesinin 3. Fıkrası uyarınca gerekçesi açıklanarak reddedilebilir ve ret
cevabı ilgili kişiye en geç ‘’ otuz gün ‘’ içinde , ilgili kişinin talebine
uygun olarak , yazılı olarak ya da elektronik ortamda bildirilir.

12.  
KİŞİSEL VERİLERİN SAKLANMASI VE İMHASI
POLİTİKASINDA YAPILACAK GÜNCELLEMELER

Özel Huzur Bakım Merkezi ,Kişisel
Verilerin Korunması Kanunu’nda ya da ikincil mevzutta yapılan değişiklikler
nedeniyle,KVK Kurumu kararları uyarınca yada ortaya çıkacak gelişmeler
doğrultusunda , Kişisel Verilerin saklanması ve İmhası Politikasında yada Kişisel
verilerin İşlenmesi ve Korunması Politikasında değişiklik yapma hakkını her
zaman saklı tutar.

İşbu Kişisel Verilerin Saklanması ve İmhası Politikası‘nda yapılan değişiklikler derhal
metne işlenir ve değişikliklere
ilişkin açıklamlar politikanın sonunda açıklanır.İşbu politikada yapılacak güncellemeler Özel Huzur Bakım Merkezi
tarafından onaylanması üzerine revizyon ve onay tarihi ile birlikte www.huzurbakimmerkezi.comuzantılı
web sitesi adresinde yayımlanacak olup,ayrıca imza karşılığı teslimle
çalışanlarımızın erişimine sunulacaktır

İşbu Politika , olağan
olarak senede bir defa olacak
şekilde rutin olarak
gözden geçirilir ve güncel kanuni ve içtihadi gelişmelere göre güncellenir.

Ancak şirket gerekli görmesi
halinde işbu politikayı her zaman gözden geçirme ,işbu politika üzerinde
değişikliklerde bulunma ve gereken durumlarda işbu politikayı yürürlükten
kaldırıp yeni bir politika oluşturma hakkını saklı tutar.Politikanın
yürürlükten kaldırılmasına ilişkin olarak karar verme yetkisi Özel Huzur Bakım
Merkezi Yönetim Kurulu‘na aittir.

13.  
YÜRÜRLÜK

İşbu Kişisel
Verilerin Saklanması ve İşlenmesi Politikası ve ileride yapılacak güncellemeler
, www.huzurbakimmerkezi.com adresinde yayımlanacak olup,ayrıca imza
karşılığı teslimle çalışanlarımızın erişimine sunulacaktır.