Uzman Klinik Psiklolog Derya Sarıalp olarak, 6698 Sayılı Kişisel Verilerin Korunması Kanunu’nun (“Kanun”) 10’uncu maddesi uyarınca hazırladığımız ve tüm veri kategorileri ile kişi gruplarına ait olmak üzere kişisel veri işleme faaliyeti hakkında bilgi içeren aydınlatma metnini kamuoyunun ve ilgili kişilerin bilgilerine sunarız;
MADDE 1: VERİ SORUMLUSU
Kişisel verileriniz, veri sorumlusu sıfatıyla Uzman Klinik Psiklolog Derya Sarıalp tarafından aşağıda açıklanan kapsamda işlenebilecektir. Veri sorumlusu kavramından anlaşılması gereken; kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasında ve yönetilmesinden sorumlu gerçek veya tüzel kişidir.
Veri sorumlusuyla irtibata geçmek için aşağıdaki kanalları kullanabilirsiniz:
Adres : Oğuzlar Mah. 1368. Sok. Sevinç Apt. Bina No:1 Kat:1 No:4 Balgat/ANKARA
E-mail : info@algipsikoloji.com
MADDE 2: İŞLENEN KİŞİSEL VERİLER ve KİŞİSEL VERİLERİN İŞLEME AMACI
Çalışan, çalışan adayı, potansiyel ürün veya hizmet alıcısı, ürün veya hizmet alıcısı (bundan böyle “danışan” olarak anılacaktır), tedarikçi çalışanı, tedarikçi yetkilisi, veli/vasi/temsilci ve ziyaretçilere ait bulunup tarafımızca işlenen kişisel veri kategorileri aşağıda sıralanmış olup her bir veri kategorisi, karşısında belirtilen amaçlarla işlenmektedir:
MADDE 3: KİŞİSEL VERİLERİN AKTARILABİLECEĞİ TARAFLAR VE AKTARMA AMACI
Kişisel verileriniz gerektiği takdirde; yalnızca faaliyet alanları ile sınırlı olmak üzere hizmet aldığımız yazılım hizmeti sağlayan şahıs ve kuruluşlar, verdiğimiz hizmetin ifası için gerekli hizmet sağlayanlar şahıs ve kuruluşlar, mali müşavirimiz ile yalnızca hizmet ilişkisi kapsamındaki sözleşmesel ve yasal yükümlülüklerimizin tam ve gereği gibi yerine getirilebilmesi amacı ile Kanun’un 8. Maddesinde belirtilen şartlara uygun olarak paylaşılabilecektir.
Kişisel verileriniz; yurtdışına aktarılmamakta, söz konusu istisnalar dışında yasal yükümlülük altında bulunulmadığı sürece üçüncü şahıs ve kuruluşlarla kesinlikle paylaşılmamaktadır.
MADDE 4: KİŞİSEL VERİ TOPLAMA YÖNTEMLERİ VE HUKUKİ SEBEPLERİ
Çalışan, çalışan adayı, potansiyel ürün veya hizmet alıcısı, ürün veya hizmet alıcısı (bundan böyle “danışan” olarak anılacaktır), tedarikçi çalışanı, tedarikçi yetkilisi ve ziyaretçilere ait kişisel veriler aşağıda belirtilen yollarla toplanmaktadır:
Kişisel verilerin toplanması ve işlenmesine dair hukuki sebep; bu aydınlatma metninin 2/c, 2/d, 2/f, ve 2/h fıkraları için ;
Kanun’un 5/2-c Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması ile 5/2-f / İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması düzenlemeleri gereğidir.
2/a, 2/b ve 2/e fıkrası için hukuki sebep; açık rıza alınmasıdır.
2/g ve 2/j fıkrası için ise hukuki sebep ayrıca 6698 sayılı Kişisel Verilerin Korunması Kanunu Md. 6/3 gereğince hizmetlerin yürütülmesidir.
2/i fıkrası için 5/2-f / İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması ile herhangi bir hukuki yükümlülüğünü yerine getirmesi amacıyla işlenmesinin gerekli olması sebebi de mevcuttur.
MADDE 6: İLGİLİ KİŞİNİN HAKLARI
Kişisel verisi işlenen gerçek kişi, ilgili kişi olarak tanımlanır ve işyerine başvurarak kendisiyle ilgili aşağıdaki haklara sahiptir:
Saygılarımızla;
KİŞİSEL VERİ SAKLAMA VE İMHA POLİTİKASI
MADDE 1- AMAÇ
Kişisel verileri saklama ve imha politikası Uzman Klinik Psikolog Derya Sarıalp tarafından işlenen kişisel verilerin saklanması ve imhasına yönelik iş ve işlemler konusundaki usulleri ve esasları belirlemek amacıyla hazırlanmıştır.
MADDE 2- KAPSAM
Merkezimiz çalışanlarına, çalışan adaylarına, ürün ve hizmet alıcısı kişilere, potansiyel ürün ve hizmet alıcılarına, ziyaretçilere, tedarikçilere ve ait kişisel veriler bu politika kapsamındadır.
Merkezimizin sahip olduğu ya da merkezimiz tarafından yönetilen kişisel verilerin işlendiği tüm kayıt ortamları ve kişisel veri işlenmesine yönelik faaliyetlerde bu politika uygulanır.
MADDE 3- TANIMLAR
Alıcı grubu : Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisi.
Açık rıza : Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza
Anonim Hale Getirme : Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi
Çalışan : Merkezimiz personeli
Elektronik ortam : Kişisel verilerin elektronik aygıtlar ile oluşturulabildiği, okunabildiği, değiştirilebildiği ve yazılabildiği ortamlar
Elektronik olmayan ortam : Elektronik ortamların dışında kalan tüm yazılı, basılı, görsel vb. diğer ortamlar
Hizmet sağlayıcı : Merkezimiz ile belirli bir sözleşme çerçevesinde hizmet sağlayan gerçek veya tüzel kişi
İlgili kişi : Kişisel verisi işlenen gerçek kişi
İlgili kullanıcı :Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişiler
İmha : Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi
Kanun : 6698 Sayılı Kişisel Verilerin Korunması Kanunu
Kayıt ortamı : Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam
Kişisel veri : Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi
Kişisel veri işleme envanteri :Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter
Kişisel verilerin işlenmesi : Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, saklanması, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem
Kurul : Kişisel Verileri Koruma Kurulu
Özel nitelikli kişisel veri : Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri
Periyodik imha : Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi
Politika : Kişisel Verileri Saklama ve İmha Politikası
Merkez : Uzman Klinik Psikolog Derya Sarıalp’e ait danışmanlık merkezi
Ürün ve hizmet alıcısı : Danışan
Veri işleyen : Veri sorumlusunun verdiği yetkiye dayanarak veri sorumlusu adına kişisel verileri işleyen gerçek veya tüzel kişi
Veri kayıt sistemi : Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi
Veri sorumlusu : Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasında ve yönetilmesinden sorumlu gerçek veya tüzel kişi
Veri sorumluları sicil bilgi sistemi : Veri sorumlularının Sicile başvuruda ve Sicile ilişkin ilgili diğer işlemlerde kullanacakları, internet üzerinden erişilebilen, Başkanlık tarafından oluşturulan ve yönetilen bilişim sistemi
VERBİS : Veri Sorumluları Sicil Bilgi Sistemi
Yönetmelik : 28 Ekim 2017 tarihli Resmi Gazetede yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik
MADDE 4- SORUMLULUK VE GÖREVLER
Merkezin tüm çalışanları ve birimleri; kişisel verilerin hukuka uygun olarak elde edilmesi, işlenmesi ve saklanması konusunda sorumlu birimlere tam ve aktif destek verir. Politika kapsamında alınan idari ve teknik tedbirlerin uygulanmasında, birim çalışanlarının eğitilmesinde, çalışanların farkındalığının sağlanmasında, artırılmasında ve izlenmesinde, kişisel verilere hukuka aykırı olarak erişilmesinin önlenmesinde ve kişisel verilerin hukuka uygun olarak muhafazasında tüm çalışanlar ve birimler, sorumlu birimlere destek olur.
Kişisel verilerin saklama ve imha süreçlerinde görev alanların unvanları, birimleri ve görev tanımlarına ait dağılım EK TABLO: 1’de gösterilmiştir.
MADDE 5- KAYIT ORTAMLARI
Kişisel veriler, merkezimiz tarafından EK TABLO: 2’de listelenen ortamlarda hukuka uygun olarak güvenli bir şekilde muhafaza edilir.
MADDE 6- SAKLAMAYI GEREKTİREN HUKUKİ SEBEPLER
Merkezimizde, faaliyetler çerçevesinde işlenen kişisel veriler, ilgili mevzuatta öngörülen süre kadar ve kanun ile ilgili mevzuat kapsamında muhafaza edilir. Bu kapsamda saklamayı gerektiren sebepler şunlardır:
MADDE 7- SAKLAMAYI GEREKTİREN İŞLEME AMAÇLARI
Merkez aşağıdakiler dahil olmak ancak bununla sınırlı olmamak üzere, ilgili kişinin veya ilgili kişi tarafından belirtilen üçüncü tarafların kişisel verilerini çeşitli amaçlarla işleyebilir:
MADDE 8- İMHAYI GEREKTİREN HUKUKİ SEBEPLER
Kişisel veriler, aşağıdaki durumların varlığı halinde ilgili kişinin talebi üzerine veya re’sen merkezimiz tarafından silinir ya da yok edilir:
MADDE 9- TEKNİK TEDBİRLER
Merkezimiz tarafından, işlenen kişisel verilerle ilgili olarak alınan teknik tedbirler aşağıdadır:
MADDE 10- İDARİ TEDBİRLER
Merkezimiz tarafından, işlenen kişisel verilerle ilgili olarak alınan idari tedbirler aşağıdadır:
MADDE 11- KİŞİSEL VERİLERİN SİLİNMESİ YÖNTEMLERİ
Kişisel veriler EK TABLO: 3’te belirtilen yöntemlerle silinir.
MADDE 12- KİŞİSEL VERİLERİN YOK EDİLMESİ YÖNTEMLERİ
Kişisel veriler EK TABLO: 4’te belirtilen yöntemlerle yok edilir.
MADDE 13- SAKLAMA VE İMHA SÜRELERİ
Merkezimiz tarafından kişisel verilerin saklama süresi belirlenirken; öncelikle yasal mevzuatta söz konusu kişisel verinin saklanmasına ilişkin olarak bir süre öngörülmüş ise bu süreye riayet edilir. Bunun haricinde; EK TABLO: 5’te yer alan saklama ve imha süresi tablosu esas alınır.
MADDE 14- PERİYODİK İMHA SÜRESİ
Merkezimizde her yıl Haziran ve Aralık aylarında periyodik imha işlemi gerçekleştirilir.
MADDE 15- POLİTİKANIN YAYIMLANMASI, SAKLANMASI VE GÜNCELLENMESİ
Politika, http://www.algipsikoloji.com İnternet adresinde ve ıslak imzalı (basılı kâğıt) olarak yayımlanır ve basılı kâğıt nüshası merkez bünyesinde saklanır. Politika, ihtiyaç duyuldukça gözden geçirilir ve gerekli bölümler güncellenir.
MADDE 16- YÜRÜRLÜK
Politika, merkezin yetkilisince imza edilmesinin ve internet sitemizde yayımlanmasının ardından yürürlüğe girmiş kabul edilir. Yürürlükten kaldırılmasına karar verilmesi halinde, politikanın ıslak imzalı eski nüshaları iptal edilerek (iptal kaşesi vurularak veya iptal yazılarak) imzalanır ve en az 5 yıl süre ile merkezimiz tarafından saklanır.
Veri Sorumlusu | Uzman Klinik Psikolog Derya Sarıalp (ALGI PSİKLOLOJİK DANIŞMANLIK MEKREZİ |
Adres | Oğuzlar Mah. 1368. Sok. No:1/4 Balgat/ANKARA |
Telefon | 0507 199 52 54 |
İnternet Sitesi | http://www.algipsikoloji.com |
EK TABLO: 1 Saklama ve imha süreçleri görev dağılımı
UNVANI | BİRİMİ | GÖREVİ |
Merkez sahibi (veri sorumlusu) | Merkez | Çalışanların politikaya uygun davranmasından sorumludur. |
Merkez sahibi (veri sorumlusu) | Merkez | Politikanın hazırlanması, geliştirilmesi, yürütülmesi, ilgili ortamlarda yayınlanması ve güncellenmesinden sorumludur. |
Merkez sahibi (veri sorumlusu) | Merkez | Politikanın uygulanmasında ihtiyaç duyulan teknik çözümlerin sunulmasından sorumludur. |
Merkez sahibi (veri sorumlusu)-İdari birim personeli | Merkez-İdari birim | Görevlerine uygun olarak Politikanın yürütülmesinden sorumludur. |
EK TABLO: 2 Kişisel Veri Saklama Ortamları
Elektronik Ortamlar | Elektronik Olmayan Ortamlar |
Kişisel bilgisayarlar Mobil Cihazlar Yazıcılar, tarayıcılar, fotokopi makineleri Çıkarılabilir ve taşınabilir bellekler | Kağıtlar Yazılı ve basılı ortamlar Görsel kayıtlar Manuel veri kayıt sistemleri |
EK TABLO: 3 Kişisel Verilerin Silinmesi Yöntemleri
Veri Kayıt Ortamı | Silinme Yöntemi |
Elektronik ortam | Elektronik ortamda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, veritabanı yöneticisi hariç diğer çalışanlar (ilgili kullanıcılar) için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. |
Fiziksel ortam | Fiziksel ortamda tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler için evrak arşivinden sorumlu kişi hariç diğer çalışanlar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. Ayrıca, üzeri okunamayacak şekilde çizilerek/boyanarak/silinerek karartma işlemi de uygulanır. |
Taşınabilir medya | Flash tabanlı saklama ortamlarında tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler, merkez sahibi tarafından şifrelenerek ve erişim yetkisi sadece sistem yöneticisine verilerek şifreleme anahtarlarıyla güvenli ortamlarda saklanır. |
EK TABLO: 4 Kişisel Verilerin Yok Edilmesi Yöntemleri
Veri Kayıt Ortamı | Yok Edilme Yöntemi |
Fiziksel ortam | Kâğıt ortamında yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, evrak imha makinelerinde geri döndürülemeyecek şekilde yok edilir. |
Optik ya da manyetik medya | Optik medya ve manyetik medyada yer alan kişisel verilerden saklanmasını gerektiren süre sona erenlerin eritilmesi, yakılması veya toz haline getirilmesi gibi fiziksel olarak yok edilmesi işlemi uygulanır. Ayrıca, manyetik medya özel bir cihazdan geçirilerek yüksek değerde manyetik alana maruz bırakılması suretiyle üzerindeki veriler okunamaz hale getirilir |
EK TABLO: 5 Saklama ve İmha Süresi Tablosu
Sıra No: | Veri kategorisi | Veriyi içeren belge | SAKLAMA SÜRESİ | İMHA SÜRESİ |
1 | Ceza mahkûmiyeti ve güvenlik tedbirleri | Adli sicil kaydı | İş ilişkisinin bitimini takiben 1 yıl | Saklama süresinin bitimini takiben 180 gün |
2 | Felsefi inanç, din, mezhep ve diğer inançlar | Nüfus cüzdanı örneği | İş ilişkisinin bitimini takiben 10 yıl | Saklama süresinin bitimini takiben 180 gün |
3 | İletişim | Formlar, onam formu, İş sözleşmeleri | İş ilişkisinin bitimini takiben 10 yıl Danışandan – Veli/Vasi/Temsilci’den elde edilmesini takip eden 20 yıl | Saklama süresinin bitimini takiben 180 gün |
4 | Kimlik | Nüfus cüzdanı örneği, Aile durum bildirimi, Vesikalık fotoğraf, onam formu, Gizlilik taahhütnameleri, İş sözleşmeleri | İş ilişkisinin bitimini takiben 10 yıl Danışandan – Veli/Vasi/Temsilci’den elde edilmesini takiben 20 yıl | Saklama süresinin bitimini takiben 180 gün |
5 | Mesleki deneyim | Aile durum bildirimi, Diploma ve sertifikalar, | İş ilişkisinin bitimini takiben 10 yıl | Saklama süresinin bitimini takiben 180 gün |
6 | Finans |
Ödeme belgesi, Aile durum bildirimi, ücret bordroları, İş sözleşmeleri | İş ilişkisinin bitimini takiben 10 yıl | Saklama süresinin bitimini takiben 180 gün |
7 | Sağlık bilgileri |
Sağlık raporu | İş ilişkisinin bitimini takiben 10 yıl / İş sağlığı ve güvenliği nedeniyle alınan raporlarda iş ilişkisinin bitimini takiben 15 yıl / Danışandan -Veli/Vasi/Temsilci’den elde edilmesini takiben 20 yıl | Saklama süresinin bitimini takiben 180 gün |
8 | Özlük | Nüfus cüzdanı örneği, Askerlik durum belgesi | İş ilişkisinin bitimini takiben 10 yıl | Saklama süresinin bitimini takiben 180 gün |
9 | Fiziksel mekân güvenliği | Kamera kayıtları | Elde edilmesini takiben 1 ay | Saklama süresinin bitimini takiben 7 gün |
Özel Nitelikli Kişisel Veri Güvenliği Politikası
MADDE 1- AMAÇ
Özel nitelikli kişisel veri güvenliği politikası, Uzman Klinik Psikolog Derya Sarıalp tarafından işlenen özel nitelikli kişisel verilerin işlenmesi, saklanması ve aktarılmasına yönelik iş ve işlemler konusundaki usulleri ve esasları belirlemek amacıyla hazırlanmıştır.
MADDE 2- KAPSAM ve DAYANAK
Veri sorumlusu tarafından işlenen özel nitelikli kişisel veriler bu politika kapsamındadır.
Bu politika metni Kişisel Verileri Koruma Kurulu’nun “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler” konulu 31/01/2018 tarih ve 2018/10 sayılı kararında belirlenen ilkeler dikkate alınarak hazırlanmıştır.
MADDE 3- TANIMLAR
Çalışan : Merkez personeli
Elektronik ortam : Kişisel verilerin elektronik aygıtlar ile oluşturulabildiği, okunabildiği, değiştirilebildiği ve yazılabildiği ortamlar
Elektronik olmayan ortam : Elektronik ortamların dışında kalan tüm yazılı, basılı, görsel vb. diğer ortamlar
İlgili kişi : Kişisel verisi işlenen gerçek kişi
Kanun : 6698 Sayılı Kişisel Verilerin Korunması Kanunu
Kişisel veri : Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi
Kişisel veri işleme envanteri :Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter
Kişisel verilerin işlenmesi : Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, saklanması, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem
Kurul : Kişisel Verileri Koruma Kurulu
Özel nitelikli kişisel veri : Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri
Politika : Özel Nitelikli Kişisel Veri Güvenliği Politikası
Şirket : Uzman Klinik Psikolog Derya Sarıalp’e ait danışmanlık merkezi
Ürün ve hizmet alıcısı : Danışan
Veri sorumlusu : Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasında ve yönetilmesinden sorumlu gerçek veya tüzel kişi
MADDE 4- İŞLENEN ÖZEL NİTELİKLİ KİŞİSEL VERİLER
Merkezimiz bünyesinde işlenen özel nitelikli kişisel veriler aşağıdadır. Bu verilere ek olarak başkaca özel nitelikli kişisel verilerin işlenmesi her zaman mümkün olmakla birlikte, işlenen özel nitelikli kişisel veri sayısı arttıkça politika metni de güncellenecektir:
MADDE 5- SORUMLULUK VE GÖREVLER
Merkezimizin tüm çalışanları ve birimleri; özel nitelikli kişisel verilerin hukuka uygun olarak elde edilmesi, işlenmesi ve saklanması konusunda sorumlu birimlere tam ve aktif destek verir. Politika kapsamında alınan idari ve teknik tedbirlerin uygulanmasında, birim çalışanlarının eğitilmesinde, çalışanların farkındalığının sağlanmasında, artırılmasında ve izlenmesinde, kişisel verilere hukuka aykırı olarak erişilmesinin önlenmesinde ve kişisel verilerin hukuka uygun olarak muhafazasında tüm çalışanlar ve birimler, sorumlu birimlere destek olur.
MADDE 6- ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİNDE ÇALIŞANLAR İLE İLGİLİ KURALLAR
Çalışanlar; imzaladıkları gizlilik taahhütnamesindeki hükümlere ve bu taahhütnamede yer almasa bile Kanun kapsamında uymaları gereken kurallara uymakla mükelleftir.
Çalışanın özel nitelikli kişisel verilere ulaşması ancak basılı evraklar üzerinden ve arşiv kısmında mümkündür. Bilgisayar ortamında mevcut özel nitelikli kişisel verilere ise ancak çalışana özel kullanıcı oturumu ve şifresi tanımlanması ile mümkün olabilir. Bu tanımlama sadece şirket yetkilisince yapılabilir.
Çalışanın işten ayrılması durumunda, basılı ortamda ulaşabildiği ya da bizzat kendi kontrolünde bulunan tüm özel nitelikli kişisel verilere ait bilgileri veri sorumlusuna iade etmesi gerekir. Ayrıca bilgisayar ortamında çalışana tanınan yetkiler derhal iptal edilir.
MADDE 7- ELEKTRONİK ORTAMDA MUHAFAZA EDİLEN ÖZEL NİTELİKLİ KİŞİSEL VERİLER
Veri sorumlusunca işlenen özel nitelikli kişisel veriler mümkün olduğunca basılı ortamda muhafaza edilmekle beraber, teknik zorunluluklar ve işin gereği olarak elektronik ortamda muhafaza edilmesi de mümkündür. Bu durumda veri sorumlusunca alınan önlemler şunlardır:
MADDE 8- ELEKTRONİK ORTAMDA MUHAFAZA EDİLEN ÖZEL NİTELİKLİ KİŞİSEL VERİLER
Fiziksel ortamda muhafaza edilen özel nitelikli kişisel veriler için alınan önlemler şunlardır:
MADDE 9- ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN AKTARILMASI
Özel nitelikli kişisel verilerin aktarılmasında aşağıdaki kurallara uyulur:
MADDE 10- POLİTİKANIN YAYIMLANMASI, SAKLANMASI VE GÜNCELLENMESİ
Politika, http://www.algipsikoloji.com İnternet adresinde ve ıslak imzalı (basılı kâğıt) olarak yayımlanır ve basılı kâğıt nüshası merkez bünyesinde saklanır. Politika, ihtiyaç duyuldukça gözden geçirilir ve gerekli bölümler güncellenir.
MADDE 11- YÜRÜRLÜK
Politika, merkezin yetkilisince imza edilmesinin ve internet sitemizde yayımlanmasının ardından yürürlüğe girmiş kabul edilir. Yürürlükten kaldırılmasına karar verilmesi halinde, politikanın ıslak imzalı eski nüshaları iptal edilerek (iptal kaşesi vurularak veya iptal yazılarak) imzalanır ve en az 5 yıl süre ile merkezimiz tarafından saklanır.
Kişisel Verilerin Korunması Kanunu’nun (Kanun/KVKK) 12. maddesinin 5. fıkrasına göre Uzman Klinik Psikolog Derya Sarıalp tarafından işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde, bu durumu en kısa sürede ilgilisine ve Kişisel Verileri Koruma Kuruluna (Kurul) bildirmekle yükümlüdür.
İşbu “Kişisel Veri İhlali Müdahale Planı” (Plan), 24.01.2019 Tarih ve 2019/10 Sayılı Kişisel Verileri Koruma Kurulu kararı (Karar) uyarınca hazırlanmıştır. Bu Plan hazırlanırken; kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde, kişisel veri ihlali olması durumunda oluşacak krize nasıl müdahale edileceği ve atılacak adımların neler olduğu konusunda çalışanları bilgilendirmek ve veri sorumlusunun müdahale sürecini belirlemek amaçlanmıştır.
Kişisel veri ihlali; iletilen, saklanan veya sair şekilde işlenen kişisel verilerin kazara veya hukuka aykırı yollarla imha edilmesi, kaybı, değiştirilmesi, yetkisiz şekilde açıklanması veya bunlara erişime yol açan bir güvenlik açığı şekillerinde ortaya çıkabilen ihlallerdir.
Aşağıda yer alan durumlar genel olarak kişisel veri ihlali olarak nitelendirilir:
Yukarıda belirtilen durumlar örnek mahiyetindedir. Bu tip veya benzer durumlarda bu Plan’da belirtilen şekilde hareket edilmelidir.
Kişisel veri ihlali durumunda oluşan veya oluşabilecek kriz durumuna müdahale etmek ve KVKK kapsamında öngörülen yükümlülükleri yerine getirmek için irtibat kişisine bildirim yapılır, bu bildirimin ardından irtibat kişisi tarafından “acil” koduyla ilgili ihlalin meydana geldiği birim personeli toplantıya çağrılır.
Kişisel Veri İhlali Bildirim Usul ve Esaslarına İlişkin işbu Politikanın 1. bölümünde belirtilen Karar uyarınca, Şirket’in kişisel veri ihlalini öğrendiği tarihten itibaren gecikmeksizin ve en geç 72 saat içinde ihlali Kurul’a bildirmesi ve veri ihlalinden etkilenen kişilerin belirlenmesini müteakip ilgili kişilere de makul olan en kısa süre içerisinde ilgili kişinin iletişim adresine ulaşılabiliyorsa doğrudan, ulaşılamıyorsa Şirket’in kendi internet sitesi üzerinden yayımlanması gibi uygun yöntemlerle bildirim yapılması gerekmektedir.
Söz konusu yükümlülüklerin yerine getirilebilmesi için, bir veri ihlali durumunda öncelikle Şirket içerisinde belirli adımlar takip edilecektir:
Merkezimiz nezdinde gerçek veya potansiyel bir veri ihlalinin söz konusu olması halinde, ilgili tüm çalışanlar Veri Sorumlusu İrtibat Kişisi’ne derhal ve gecikmeksizin durumu bildirmekle yükümlüdür. Bu kapsamda ilgili çalışan veya yöneticisi aşağıdaki hususları içerir bir rapor hazırlayarak, veri ihlalini Veri Sorumlusu ve İrtibat Kişisi’ne bildirir. Bu bildirimde;
Veri Sorumlusu İrtibat Kişisi, rapor kapsamında belirtilen hususları dikkate alarak bir ön değerlendirme yapar. Bu değerlendirmeyi yaparken, gerçekten bir veri ihlalinin söz konusu olup olmadığını, ihlalin kapsamını, oluşabilecek etkilerini de göz önünde bulundurarak, veri ihlalinin araştırılması için kapsamlı bir soruşturma başlatır.
Veri ihlalinin merkez ve ilgili kişiler üzerindeki etkilerinin azaltılabilmesi için önleme ve kurtarma çalışmaları veri sorumlusu gözetiminde yürütülür. Bu kapsamda öncelikle veri ihlalinden haberdar edilmesi gereken birimler tespit edilir ve bu kişilere ihlalin kontrol edilebilmesi, mümkünse engellenebilmesi ve zararların azaltılabilmesi için atılması gereken adımlara ilişkin rehberlik edilir.
Akabinde veri ihlalinden etkilenecek kişilerin ve veri türlerinin neler olduğu tespit edilmeye çalışılır ve varsa bu kişilerin iletişim bilgileri de belirlenir. Eş zamanlı olarak, veri ihlali nedeniyle haberdar edilmesi gereken başka kurum ya da kuruluşlar olup olmadığı değerlendirilir.
Kişisel veri ihlalleri, ilgili kişiler adına verilerinin Türk Ceza Kanunu kapsamında düzenlenen suçlara alet edilmesi gibi birçok olumsuz etki oluşturabilir. Bu nedenle ihlalin mevcut ve muhtemel sonuçlarının ilgili kişiler üzerinde ne gibi etkiler oluşturabileceğinin dikkatli bir şekilde değerlendirilmesi ve risklerin ortaya koyulması çok önemlidir.
Veri sorumlusu tarafından riskler değerlendirilirken, ihlalden etkilenen kişisel verilerin niteliği, hassasiyeti ve miktarı ile etkilenen bireylerin sayısı ve kişi gruplarının kimler olduğu, veri ihlalinin Şirket’in faaliyetleri ile itibarına olan etkisi, veri ihlalinin etkisinin azaltılmasında alınan önlemler ve ihlalin olası sonuçları ayrı ayrı ele alınmalıdır. Bunların sonucuna göre veri ihlalleri aşağıdaki şekilde sınıflandırılabilir.
* Kişisel Verileri Koruma Kurumu’na göre: “Gerçekleşen veri ihlalinin düzeyinin belirlenmesinde ilgili kişiler üzerinde ne kadar bir potansiyel etkiye neden olduğunun değerlendirilmesi gerekmektedir. Söz konusu potansiyel etkinin değerlendirilmesinde ise ihlalin niteliği, ihlalin nedeni, ihlale maruz kalan verinin türü, ihlalin etkisinin azaltılmasında alınan önlemler ile ihlalden etkilenen ilgili kişi kategorileri göz önünde bulundurulmalıdır.”
* Kişilerin sadece ad soyad bilgilerinin yer aldığı bir katılım listesinin yetkisiz kişiler tarafından görülmesi durumunda 1. kademede ihlal olduğu değerlendirilebilir.
İhlalin ilgili kişiler üzerinde olumsuz etkileri bulunması ancak etkisinin büyük olmaması 2. kademede ihlal kabul edilebilir. Örneğin ilgili kişilerin önemli olarak değerlendirilebilecek verilerinin ihlale maruz kaldığı bir olayda veri sorumlusunun ihlal akabinde aldığı güvenlik tedbirleri ile ihlalin etkilerinin önemli ölçüde azaltmış olması bu kademeye örnek verilebilir.
Özellikle ihlalden etkilenen kişilerin ve/veya kayıtların sayısal olarak çok olması, ihlale konu verilerin içerisinde özel nitelikli veriler olması ya da kredi kartı bilgileri gibi kişilerin önemli bilgilerinin yer alması durumunda ihlalin yüksek düzeyde risk taşıdığı ve 3. kademede ihlal olduğu değerlendirilebilir.
Ancak Kurum’un risk değerlendirmesi konusu hakkındaki açıklamaları ve kararları takip edilmelidir.
Veri ihlalinin gerek hukuki yükümlülük kapsamında gerekse veri ihlaline ilişkin tedbir alınması, ihlalin olası etkilerinin azaltılması gibi amaçlarla Şirket dışında üçüncü kişilere bildirilmesi gerekmektedir.
4.4.1. Kurul’a Bildirim
Veri Sorumlusu İrtibat Kişisi, öncelikle kişisel veri ihlalinden haberdar olduğu andan itibaren gecikmeksizin ve en geç 72 saat içerisinde Kurul’a bu durumu bildirmekle yükümlüdür. Bu nedenle, Şirket içerisinde tüm çalışanların herhangi bir veri ihlali durumunu vakit kaybetmeksizin Veri Sorumlusu İrtibat Kişisi’ne bildirmesi, Şirket’in herhangi bir yaptırımla karşı karşıya kalmaması için önem arz etmektedir.
Kurul’a yapılacak bildirimde Kişisel Verileri Koruma Kurumu’nun (Kurum) internet sitesinde yayınlanmış olan Kişisel Veri İhlali Başvuru Formu kullanılır. Formda yer alan bilgilerin aynı anda sağlanmasının mümkün olmadığı hallerde, bu bilgiler gecikmeye mahal verilmeksizin aşamalı olarak sağlanabilir.
Haklı bir gerekçe ile 72 saat içerisinde Kurul’a bildirim yapılamaması durumunda, yapılacak bildirimle birlikte gecikmenin nedenleri de Kurul’a açıklanır.
Şirket, kişisel veri ihlalinden etkilen kişilerin belirlenmesini müteakip ilgili kişilere de makul olan en kısa süre içerisinde, ilgili kişinin iletişim adresine ulaşılabiliyorsa doğrudan, ulaşılamıyorsa uygun yöntemlerle (örneğin internet sitesi üzerinden duruma ilişkin bir duyuru yayınlanması) bildirim yapmalıdır. Söz konusu bildirimler, yetkilendirilmiş personelin desteğiyle Veri Sorumlusu İrtibat Kişisi tarafından gerçekleştirilir.
Veri sorumlusu tarafından ilgili kişiye yapılan veri ihlali bildiriminde yer alması gereken asgari unsurlara ilişkin, Kişisel Verileri Koruma Kurulunun 18.09.2019 tarih ve 2019/271 sayılı Kararı uyarınca Şirket tarafından ilgili kişiye yapılacak olan ihlal bildiriminin açık ve sade bir dille yapılması ve asgari olarak aşağıdaki unsurları içermesi gerekir:
Merkezin hukuken yapması zorunlu olan bildirimlerin yanı sıra, veri ihlalinin niteliği, büyüklüğü, ihlalin suç teşkil edip etmediği gibi hususlar göz önünde bulundurularak üçüncü kişilere de bildirim yapılması gerekebilir. Bu kişiler, diğer veri sorumluları ya da veri işleyenler, tedarikçiler, adli makamlar, noterler, bankalar olabilir. Veri sorumlusu, böyle bir gereklilik olup olmadığını ayrıca değerlendirir ve gerekli ise bildirimleri yapar.
Merkez tarafından kişisel veri ihlallerine ilişkin tüm bilgilerin, etkilerinin ve alınan önlemlerin kayıt altına alınması ve Kurul’un incelemesine hazır halde bulundurulması gerekmektedir. Veri Sorumlusu İrtibat Kişisi, veri ihlaline ilişkin atılan adımların uygun olup olmadığını ve olası bir veri ihlalinde geliştirilebilecek/ iyileştirilebilecek hususların neler olabileceğini belirlemek adına bir değerlendirme yapar. Bu kapsamda aşağıdaki unsurları içerir bir değerlendirme ve iyileştirme raporu hazırlanır.
Bu Plan, veri sorumlusu adına kişisel verilerin korunması ve işlemesine ilişkin yürürlüğe konmuş diğer politika ve metinlerden bağımsız düşünülemez. Tüm dokümanlar bir bütünün ayrılmaz parçaları olarak düşünülüp süreç ve ihlal sonrası adımlar buna göre yönetilmelidir.
Planın uygulanmasından veri sorumlusu tüm organizasyonu ile birlikte sorumludur. Bir başka ifade ile tüm çalışanlar Planın uygulanması ile yükümlüdür. Plana aykırı hareket eden çalışanlar hakkında disiplin hükümleri doğrultusunda disiplin soruşturması yürütülür.
Bu Plan yılda bir kez rutin olarak gözden geçirilir ve kayıt altına alınır. Mevzuatta meydana gelen değişiklikler derhal Plana işlenir. Mevzuattaki değişikliklerin uygulanması için, değişikliğin Plana eklenmesi beklenmez, mevzuata uygun hareket tarzı ne ise güncelleme yapılana dek o yol takip edilir.
İş bu plan, merkez yetkilisince imza edilmesinin ve internet sitemizde yayımlanmasının ardından yürürlüğe girmiş kabul edilir. Yürürlükten kaldırılmasına karar verilmesi halinde, politikanın ıslak imzalı eski nüshaları iptal edilerek (iptal kaşesi vurularak veya iptal yazılarak) imzalanır ve en az 5 yıl süre ile merkezimiz tarafından saklanır.