1. GİRİŞ

Ortadoğu Reklam Tanıtım Yayıncılık Turizm Eğitim İnşaat Sanayi Ve Ticaret Anonim Şirketi  (“ Türkiye Klinikleri” veya "Şirket”) için Kullanıcıları, Çalışanları, Çalışan Adayları, Şirket Hissedarları, Şirket Yetkilileri, İşbirliği İçinde Olunan Kurumların Çalışanları, Hissedarları ve Yetkilileri, Ziyaretçileri ve ilişki içinde olduğu diğer gerçek kişilere ait Kişisel Verilerin korunması, büyük önem arz etmektedir. 

Türkiye Cumhuriyeti Anayasası’na göre, herkes, kendisiyle ilgili Kişisel Verilerin korunmasını isteme hakkına sahiptir. İlaveten, 7 Nisan 2016 tarihinde yürürlüğe girmiş olan  6698 Sayılı Kişisel Verilerin Korunması Kanunu, “kimliği belirli veya belirlenebilir gerçek kişi”lere ilişkin her türlü bilginin işlenmesi ile ilgili düzenlemeler içermektedir. Bir Anayasal hak olan ve kanuni düzenlemelere tabi olan Kişisel Verilerin korunması konusunda, Türkiye Klinikleri, Kullanıcılarının, Çalışanlarının, Çalışan Adaylarının, Şirket Hissedarlarının, Şirket Yetkililerinin, İşbirliği İçinde Olduğu Kurumların Çalışanlarının, Hissedarlarının ve Yetkililerinin, Ziyaretçilerinin ve ilişki içinde olduğu diğer gerçek kişilerin Kişisel Verilerinin korunmasına gerekli özeni göstermekte olup, bunu bir şirket politikası haline getirmiştir. 

Bu kapsamda, ilgili mevzuat gereğince işlenen Kişisel Verilerin korunması için Türkiye Klinikleri tarafından gereken idari ve teknik tedbirler alınmaktadır. 

Bu Politika’da Kişisel Verilerin işlenmesinde Türkiye Klinikleri’nin benimsediği ve aşağıda sıralanan temel ilkelere ilişkin detaylı açıklamalarda bulunulacaktır:

• Kişisel Verileri hukuka ve dürüstlük kurallarına uygun işleme, 
• Kişisel Verileri doğru ve gerektiğinde güncel tutma, 
• Kişisel Verileri belirli, açık ve meşru amaçlar için işleme, 
• Kişisel Verileri işlendikleri amaçla bağlantılı, sınırlı ve ölçülü işleme, 
• Kişisel Verileri ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza etme, 
• Kişisel Veri Sahiplerini aydınlatma ve bilgilendirme, 
• Kişisel Veri Sahiplerinin haklarını kullanması için gerekli sistemi kurma, 
• Kişisel Verilerin muhafazasında gerekli tedbirleri alma, 
• Kişisel Verileri İşleme amacının gereklilikleri doğrultusunda üçüncü kişilere aktarılmasında, ilgili mevzuata ve KVK Kurulu düzenlemelerine uygun davranma,
•  Özel Nitelikli Kişisel Verilerin işlenmesine ve korunmasına gerekli hassasiyeti gösterme. 

2. POLİTİKA’NIN AMACI VE KAPSAMI

Bu Politika’nın temel amacı, Türkiye Klinikleri tarafından hukuka uygun bir biçimde yürütülen Kişisel Veri İşleme faaliyeti ve Kişisel Verilerin korunmasına yönelik benimsenen sistemler konusunda açıklamalarda bulunmak ve bu kapsamda Türkiye Klinikleri’nin Kullanıcılarını, Çalışanlarını, Çalışan Adaylarını, Şirket Hissedarlarını, Şirket Yetkililerini, İşbirliği İçinde Olunan Kurumların Çalışanlarını, Hissedarlarını ve Yetkililerini, Ziyaretçilerini ve Şirketin ilişki içinde olduğu diğer gerçek kişileri bilgilendirerek şeffaflık sağlamaktır.

Bu Politika; Türkiye Klinikleri’nin Kullanıcıları, Çalışanları, Çalışan Adayları, Şirket Hissedarları, Şirket Yetkilileri, İşbirliği İçinde Olduğu Kurumların Çalışanları, Hissedarları ve Yetkilileri ile Ziyaretçilerinin  ve Şirketin ilişki içinde olduğu diğer gerçek kişilerin otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen tüm Kişisel Verilerine ilişkindir.

3. POLİTİKA’NIN YÜRÜRLÜĞÜ

Bu Politika, Türkiye Klinikleri tarafından düzenlenerek 01.10.2019 tarihinde yürürlüğe konulmuştur.

Bu Politika Türkiye Kliniklerinin internet sitesinde ( www.turkiyeklinikleri.com) yayımlanır ve kişisel veri sahiplerinin talebi üzerine ilgili kişilerin erişimine sunulur.

4. TANIMLAR VE KISALTMALAR

5. KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN HUSUSLAR

Türkiye Klinikleri, Anayasa’nın 20. maddesine ve KVK Kanunu’nun 4. maddesine uygun olarak, Kişisel Veri İşleme konusunda; hukuka ve dürüstlük kurallarına uygun, doğru ve gerektiğinde güncel, belirli, açık ve meşru amaçlar güderek, amaçla bağlantılı, sınırlı ve ölçülü bir biçimde Kişisel Veri İşleme faaliyetinde bulunur. Türkiye Klinikleri Kişisel Verileri, kanunlarda öngörülen veya Kişisel Veri İşleme amacının gerektirdiği süre kadar muhafaza eder. 

Kişisel Veriler Türkiye Klinikleri tarafından, Anayasa’nın 20. ve KVK Kanunu’nun 5. maddeleri gereğince, KVK Kanunu’nun 5. maddesindeki Kişisel Veri İşlemeye ilişkin şartlardan bir veya birkaçına dayalı olarak işlenir. 

Türkiye Klinikleri, KVK Kanunu’nun 6. maddesine uygun olarak Özel Nitelikli Kişisel Verilerin işlenmesi bakımından öngörülen düzenlemelere uygun hareket eder. 

Anayasa’nın 20. ve KVK Kanunu’nun 10. maddelerine uygun olarak Kişisel Veri Sahiplerini aydınlatılır, rıza alınması gereken durumlarda Kişisel Veri Sahiplerinden rızaları talep edilir ve Kişisel Veriler aşağıda belirtilen kriterler esas alınarak işlenir.

5.1. KİŞİSEL VERİLERİN MEVZUATTA ÖNGÖRÜLEN İLKELERE UYGUN OLARAK İŞLENMESİ

5.1.1. Hukuka ve Dürüstlük Kuralına Uygun İşleme

Türkiye Klinikleri; Kişisel Veri İşleme konusunda hukuksal düzenlemelerle getirilen ilkeler ile genel güven ve dürüstlük kuralına uygun hareket eder. Bu kapsamda, Kişisel Veri İşleme konusunda orantılılık gerekliliklerini dikkate alır, Kişisel Verileri amacın gerektirdiği dışında kullanmaz. 

5.1.2. Kişisel Verilerin Doğru ve Gerektiğinde Güncel Olmasını Sağlama

Türkiye Klinikleri; Kişisel Veri Sahiplerinin temel haklarını ve yasal menfaatlerini dikkate alarak işlediği Kişisel Verilerin doğru ve güncel olmasını sağlar ve bu doğrultuda gerekli tedbirleri alır. 

5.1.3. Belirli, Açık ve Meşru Amaçlarla İşleme 

Türkiye Klinikleri; meşru ve hukuka uygun olan Kişisel Verileri İşleme amacını açık ve kesin olarak belirler ve Kişisel Verileri yürütmekte olduğu ticari faaliyet ile bağlantılı ve bunlar için gerekli olan kadar işler. 

5.1.4. İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma 

Türkiye Klinikleri; Kişisel Verileri faaliyet konusu ile ilgili olarak ve işinin yürütülmesi için gerekli olan amaçlar dahilinde işler. Bu doğrultuda, Kişisel Verileri, belirlenen amaçların gerçekleştirilebilmesine uygun olarak işler ve amacın gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan Kişisel Verileri İşlemekten kaçınır. 

5.1.5. İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç için Gerekli Olan Süre Kadar Muhafaza Etme 

Türkiye Klinikleri; Kişisel Verileri ancak ilgili mevzuatta belirtildiği veya işlendikleri amaç için gerekli olan süre kadar muhafaza eder. Bu kapsamda, öncelikle ilgili mevzuatta Kişisel Verilerin saklanması için bir süre öngörülüp öngörülmediğini tespit edilir, bir süre belirlenmişse bu süreye uygun davranılır, bir süre belirlenmemişse Kişisel Verileri işlendikleri amaç için gerekli olan süre kadar saklar. Sürenin sona ermesi veya  işlenmesini gerektiren sebeplerin ortadan kalkması halinde Kişisel Veriler silinir, yok edilir veya anonim hale getirilir. 

5.2. KİŞİSEL VERİLERİN İŞLENMESİ ŞARTLARI

KVK Kanunu ile Kişisel Verileri İşlemenin koşulları düzenlenmiş olup, Türkiye Klinikleri tarafından Kişisel Veriler aşağıda belirtilen bu koşullara uygun olarak işlenir.

5.2.1. Kişisel Verileri İşleme Şartları

Türkiye Klinikleri; kural olarak Kişisel Verileri, Kişisel Veri Sahiplerinin açık rızasını temin etmek suretiyle işler. Ancak, KVK Kanunu’nda sayılan aşağıdaki hallerden biri veya birkaçının varlığı durumunda, Kişisel Veri Sahibinin açık rızası olmasa dahi Kişisel Veriler işlenebilir:

• Kanunlarda açıkça öngörülmesi.
• Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
• Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
• Veri Sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
• Veri Sahibinin kendisi tarafından alenileştirilmiş olması.
• Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
• İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

5.2.2. Özel Nitelikli Kişisel Verileri İşleme Şartları

Özel Nitelikli Kişisel Verilerin işlemesinde Türkiye Klinikleri tarafından özel hassasiyet gösterilir. Bu doğrultuda, Özel Nitelikli Kişisel Veriler Türkiye Klinikleri tarafından, Kişisel Veri Sahibinin açık rızası yok ise ancak, KVK Kanunu’nun 6. Maddesi uyarınca, KVK Kurulu tarafından belirlenecek olan yeterli önlemlerin alınması kaydıyla aşağıdaki durumlarda işlenebilir: 

• Kişisel Veri Sahibinin sağlığı dışındaki Özel Nitelikli Kişisel Veriler, kanunlarda öngörülen hallerde,

• Kişisel Veri Sahibinin sağlığına ilişkin Özel Nitelikli Kişisel Veriler ise ancak, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ve kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla. 

6. KİŞİSEL VERİLERİN İŞLENME AMAÇLARI, SINIFLANDIRILMASI VE SAKLANMA SÜRELERİ

Kişisel Veriler Türkiye Klinikleri tarafından,  aşağıda 6.1’de belirtilen meşru ve hukuka uygun Kişisel Veri İşleme amaçları doğrultusunda, KVK Kanunu’nun 5. ve 6. maddelerinde belirtilen Kişisel Verileri İşleme koşullarından bir veya birkaçına dayalı ve sınırlı olarak, başta Kişisel Veri İşlemeye ilişkin 4. maddede belirtilen ilkeler olmak üzere KVK Kanunu’nda belirtilen genel ilkelere ve KVK Kanunu’nda düzenlenen bütün yükümlülüklere uyularak işlenir. Bu doğrultuda, Türkiye Klinikleri tarafından Kişisel Verilerin İşlenmesi amaçları ve Kişisel Veri kategorileri, Kişisel Veri Sahibi Kategorileri, Kişisel Veri kategorileri ile Kişisel Veri Sahibi kategorilerinin ilişkilendirilmesine ilişkin hususlar bu Politika’nın 6.1 ve 6.2. maddelerinde belirtilmektedir. 

6.1. TÜRKİYE KLİNİKLERİ TARAFINDAN KİŞİSEL VERİLERİN İŞLENME AMAÇLARI

Türkiye Klinikleri, Kişisel Verileri, faaliyet konusu kapsamında yürüttüğü faaliyetleri doğrultusunda aşağıda belirtilen amaçlarla işler:

• Basılı ve online yayıncılık hizmetlerinden Kullanıcıların yararlandırılması,
• Kullanıcılara; ürün-hizmet tanıtımı, bilgilendirme, e-posta yoluyla üçüncü kişilerin ürün/hizmet tanıtımlarının yapılması dahil, kişiye özel reklam, kampanya ve diğer faydaların sunulması, ticari elektronik iletilerin gönderilmesi, anket uygulamaları, istatistikî analizler yapılması,
• Hizmet kalitesini geliştirici çalışmalar yapılması ve daha iyi hizmet sunulması,
• Hizmetlerimiz karşılığı fatura tanzimi, tahsilatların ve ödemelerin yapılması,
• Dış kaynaklardan hizmet alımı yapılması,
• Kendi uzmanlık alanına girmeyen konularda ve teknolojik konularda hizmet alınabilmesi,
• Kimlik teyidi,
• Soru ve şikâyetlere cevap verilmesi,
• Veri güvenliği kapsamında gerekli teknik ve idari tedbirlerin alınması,
• Düzenleyici ve denetleyici kurumlarla, resmi mercilerin talep ve denetimleri doğrultusunda gerekli bilgilerin temini,
• İlgili mevzuat gereği saklanması gereken verilere ilişkin bilgilerin muhafaza edilmesi,
• Bilgilerin tutarlılığına ilişkin denetimin sağlanması,
• Kullanıcı memnuniyetinin ölçülmesi,
• Şirketler ve ortaklık hukuku işlemlerinin gerçekleştirilmesi 
• Yasal yükümlülüklerin yerine getirilmesi,
• Hukuk işlerinin icrası/takibi,
• Ziyaretçi kayıtlarının oluşturulması ve takibi,
• Çalışanlar’ın Kişisel Verileri EK 1’de belirtilen amaçlarla,
• Çalışan Adayları’nın Kişisel Verileri EK 2’de belirtilen amaçlarla.

6.2. KİŞİSEL VERİLERİN SINIFLANDIRILMASI

Türkiye Klinikleri tarafından, KVK Kanunu’nda düzenlenen ilkeler ve yükümlülüklere uygun olarak aşağıda belirtilen kategorilerdeki Kişisel Veriler işlenmekte olup, bu bölümde ayrıca, Kişisel Veri Sahibi kategorileri, Kişisel Veri kategorileri ile Kişisel Veri Sahibi kategorilerinin ilişkilendirilmesine ilişkin hususlar da belirtilmektedir. 

6.2.1. Kişisel Veri Kategorizasyonu

Aşağıdaki tabloda Türkiye Klinikleri tarafından işlenen Kişisel Veri kategorileri belirtilmektedir:

6.2.2. Kişisel Veri Sahibi Kategorizasyonu

Türkiye Klinikleri tarafından, aşağıda belirtilen Kişisel Veri Sahibi kategorilerinin Kişisel Verileri işlenmekle birlikte, bu kategorilerin dışında yer alan kişilerin KVK Kanunu kapsamında Türkiye Klinikleri’ne bir talep yöneltmeleri halinde, söz konusu kişilerin talepleri de bu Politika kapsamında değerlendirmeye alınır.

6.2.3. Veri Kategorileri ile Veri Sahipleri Kategorilerinin İlişkilendirilmesi

Aşağıdaki tabloda, yukarıda belirtilen Kişisel Veri Sahibi kategorileri kapsamındaki kişilerin hangi tip Kişisel Verilerinin işlendiği detaylandırılmaktadır:

6.3. KİŞİSEL VERİLERİN SAKLANMA SÜRELERİ

Türkiye Klinikleri tarafından Kişisel Veriler; ilgili kanunlarda ve mevzuatlarda öngörülmesi durumunda, söz konusu mevzuatta belirtilen süre boyunca,  ilgili kanun ve mevzuatta bir düzenleme bulunmaması halinde ise, Türkiye Klinikleri’nin söz konusu  veriyi işlerken yürüttüğü faaliyete bağlı olarak Türkiye Klinikleri’nin uygulamaları ve ticari yaşamın teamülleri uyarınca söz konusu Kişisel Verinin işlenmesini gerektiren süre kadar işlenir ve saklanır. Daha sonra silinir, yok edilir veya anonim hale getirilir. 

Kişisel Verilerin işlenme amacı sona ermiş; ilgili mevzuat ve Türkiye Klinikleri’nin belirlediği saklama sürelerinin de sonuna gelinmişse; Kişisel Veriler sadece olası hukuki uyuşmazlıklarda delil teşkil etmesi veya Kişisel Veriye bağlı ilgili hakkın ileri sürülebilmesi veya savunmanın tesis edilmesi amacıyla ve söz konusu hakkın ileri sürülebilmesi için kanunda öngörülen zaman aşımı süreleri ile sınırlı olarak saklanabilir. Bu durumda, saklanan Kişisel Verilere herhangi bir başka amaçla erişim sağlanmaz ve ancak ilgili hukuki uyuşmazlıkta kullanılması gerektiği zaman ilgili Kişisel Verilere erişim sağlanır. Burada  bahsi geçen süre sona erdikten sonra da Kişisel Veriler silinir, yok edilir veya anonim hale getirilir.

7. KİŞİSEL VERİLERİN AKTARILMASI

Türkiye Klinikleri, hukuka uygun olan Kişisel Veri İşleme amaçları doğrultusunda gerekli güvenlik önlemlerini alarak ve KVK Kanunu’nun 8. ve 9. maddelerinde öngörülen düzenlemelere uygun hareket etmek kaydıyla,  Kişisel Veri Sahibinin Kişisel Verilerini ve Özel Nitelikli Kişisel Verilerini üçüncü kişilere aktarabilir. 

7.1. TÜRKİYE KLİNİKLERİ TARAFINDAN KİŞİSEL VERİLERİN AKTARILDIĞI ÜÇÜNCÜ KİŞİLER VE AKTARILMA AMAÇLARI

Türkiye Klinikleri, Veri Sahiplerinin Kişisel Verilerini, KVK Kanunu’nun 8. ve 9. maddelerine uygun olarak, aşağıda belirtilen kişi kategorilerine aktarılabilir:

• Türkiye Klinikleri’nin iş ortaklarına, 
• Şirket Hissedarları’na, 
• Şirket Yetkilileri’ne,
• Hukuken Yetkili kamu kurum ve kuruluşlarına,
• Hukuken yetkili özel hukuk kişilerine 

Aktarımda bulunulabilecek, yukarıda belirtilen kişilerin kapsamı ve veri aktarım amaçları aşağıdaki tabloda belirtilmektedir:

7.2. KİŞİSEL VERİLERİN VE ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN AKTARILMA ŞARTLARI

7.2.1. Kişisel Verilerin Aktarılma Şartları

Türkiye Klinikleri, meşru ve hukuka uygun Kişisel Veri İşleme amaçları doğrultusunda, Kişisel Veri Sahibinin açık rızası varsa veya Kişisel Veri Sahibinin açık rızası yoksa da aşağıdaki hallerden birinin varlığı durumunda Kişisel Verileri üçüncü kişilere aktarabilir: 

• Kanunlarda Kişisel Verinin aktarılacağına ilişkin açık bir düzenleme varsa, 
• Kişisel Veri Sahibinin veya başkasının hayatı veya beden bütünlüğünün korunması için zorunluysa ve Kişisel Veri Sahibi fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumdaysa veya rızasına hukuki geçerlilik tanınmıyorsa, 
• Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olmak kaydıyla sözleşmenin taraflarına ait Kişisel Verinin aktarılması gerekliyse,
•  Türkiye Klinikleri’nin hukuki yükümlülüğünü yerine getirmesi için Kişisel Veri aktarımı zorunluysa, 
• Kişisel Veriler, Kişisel Veri Sahibi tarafından alenileştirilmişse, 
• Kişisel Veri aktarımı bir hakkın tesisi, kullanılması veya korunması için zorunluysa, 
• Kişisel Veri Sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, Türkiye Klinikleri’nin meşru menfaatleri için Kişisel Veri aktarımı zorunluysa. 

7.2.2. Özel Nitelikli Kişisel Verilerin Aktarılma Şartları

Türkiye Klinikleri, Kişisel Veri Sahibinin Özel Nitelikli Kişisel Verilerini, gerekli özeni göstererek, gerekli güvenlik tedbirlerini ve KVK Kurulu tarafından öngörülen yeterli önlemleri alarak, meşru ve hukuka uygun Kişisel Veri İşleme amaçları doğrultusunda aşağıdaki durumlarda üçüncü kişilere aktarabilir: 

• Kişisel veri sahibinin açık rızası varsa; veya 
• Kişisel veri sahibinin açık rızası yoksa;

1. Kişisel Veri Sahibinin sağlığı ve dışındaki Özel Nitelikli Kişisel Verileri (ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir), kanunlarda öngörülen hallerde,
2.  Kişisel Veri Sahibinin sağlığına ilişkin özel nitelikli kişisel verileri ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenmesi kapsamında. 

7.3. KİŞİSEL VERİLERİN YURTDIŞINA AKTARILMASI

Türkiye Klinikleri tarafından; Kişisel Veri Sahibinin Kişisel Verileri ve Özel Nitelikli Kişisel Verileri, KVK Kurulu tarafından yeterli korumaya sahip olduğu ilan edilen yabancı ülkelere (“Yeterli Korumaya Sahip Yabancı Ülke”) veya yeterli korumanın bulunmaması durumunda, Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt ettiği ve KVK Kurulu’nun izninin bulunduğu yabancı ülkelere (“Yeterli Korumayı Taahhüt Eden Veri Sorumlusunun Bulunduğu Yabancı Ülke”) ve KVK Kanunu’nun 9. maddesinde öngörülen düzenlemelere uygun hareket etmek kaydıyla aktarılabilir.

7.3.1. Kişisel Verilerin Yurtdışına Aktarılma Şartları

Türkiye Klinikleri, Kişisel Verileri; Kişisel Veri İşleme amaçları doğrultusunda, Kişisel Veri Sahibinin açık rızası varsa veya Kişisel Veri Sahibinin açık rızası yoksa da aşağıdaki hallerden birinin varlığı durumunda, Kişisel Verileri Yeterli Korumaya Sahip veya Yeterli Korumayı Taahhüt Eden Veri Sorumlusunun Bulunduğu Yabancı Ülkelere aktarabilir: 

• Kanunlarda Kişisel Verinin aktarılacağına ilişkin açık bir düzenleme varsa, 
• Kişisel Veri Sahibinin veya başkasının hayatı veya beden bütünlüğünün korunması için zorunlu ise ve kişisel veri sahibi fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda ise veya rızasına hukuki geçerlilik tanınmıyorsa, 
• Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olmak kaydıyla sözleşmenin taraflarına ait kişisel verinin aktarılması gerekliyse, 
• Türkiye Klinikleri’nin hukuki yükümlülüğünü yerine getirmesi için Kişisel Veri aktarımı zorunluysa, 
• Kişisel Veri, Kişisel Veri Sahibi tarafından alenileştirilmişse, 
• Kişisel Veri aktarımı bir hakkın tesisi, kullanılması veya korunması için zorunluysa,
•  Kişisel Veri Sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, Türkiye Klinikleri’nin meşru menfaatleri için Kişisel Veri aktarımı zorunluysa. 

7.3.2. Özel Nitelikli Kişisel Verilerin Yurtdışına Aktarılması

Türkiye Klinikleri, Özel Nitelikli Kişisel Verileri; Kişisel Veri İşleme amaçları doğrultusunda, aşağıdaki hallerde, Kişisel Verileri Yeterli Korumaya Sahip veya Yeterli Korumayı Taahhüt Eden Veri Sorumlusunun Bulunduğu Yabancı Ülkelere aktarabilir:

• Kişisel Veri Sahibinin açık rızası varsa; veya 
• Kişisel Veri Sahibinin açık rızası yok ise; 

1. Kişisel Veri Sahibinin sağlığı dışındaki Özel Nitelikli Kişisel Verileri (ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir), kanunlarda öngörülen hallerde,
2. Kişisel Veri Sahibinin sağlığına ilişkin Özel Nitelikli Kişisel Verileri ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenmesi kapsamında. 

8. KİŞİSEL VERİLERİN KORUNMASI

Türkiye Klinikleri, KVK Kanunu’nun 12. maddesine uygun olarak, Kişisel Verilerin hukuka aykırı olarak işlenmesini ve Kişisel Verilere hukuka aykırı olarak erişilmesini önlemek ve Kişisel Verilerin muhafazasını sağlamak için uygun güvenlik düzeyini sağlamaya yönelik gerekli teknik ve idari tedbirleri alır, bu kapsamda gerekli denetimleri yapar veya yaptırır. İşlenen Kişisel Verilerin teknik ve idari tüm tedbirler alınmış olmasına rağmen, kanuni olmayan yollarla üçüncü kişiler tarafından ele geçirilmesi durumunda, Türkiye Klinikleri bu durumu mümkün olan en kısa süre içerisinde ilgilisine ve KVK Kurulu’na haber verir. 

8.1. TEKNİK TEDBİRLER

Kişisel Verilerin hukuka aykırı olarak işlenmesini ve Kişisel Verilere hukuka aykırı olarak erişilmesini önlemek ve Kişisel Verilerin muhafazasını sağlamak için Türkiye Klinikleri tarafından alınmakta olan teknik tedbirler aşağıda belirtilmektedir:

• Teknolojideki gelişmelere uygun teknik önlemler alınır, alınan önlemler periyodik olarak güncellenir ve yenilenir. 
• İş birimi bazında belirlenen hukuksal uyum gerekliliklerine uygun olarak erişim ve yetkilendirme teknik çözümleri devreye alınır. 
• Erişim yetkileri sınırlandırılır, yetkiler düzenli olarak gözden geçirilir. 
• Alınan teknik önlemler periyodik olarak kontrol edilir, risk teşkil eden hususlar yeniden değerlendirilerek gerekli teknolojik çözüm üretilir.
• Virüs koruma sistemleri ve güvenlik duvarlarını içeren yazılımlar ve donanımlar kurulur.
• Teknik konularda bilgili personel istihdam edilir. 
• Kişisel Verilerin toplandığı uygulamalardaki güvenlik açıklarını saptamak için düzenli olarak güvenlik taramaları yapılır. Bulunan açıkların kapatılması sağlanır. 
• İhtiyaç oluştuğunda sızma testi hizmeti alınarak sistem zafiyetlerinin kontrolü sağlanır. 
• Kişisel verilerin yok edilmesi geri dönüştürülemeyecek ve denetim izi bırakmayacak şekilde sağlanır. 

8.2. İDARİ TEDBİRLER

Kişisel Verilerin hukuka aykırı olarak işlenmesini ve Kişisel Verilere hukuka aykırı olarak erişilmesini önlemek ve Kişisel Verilerin muhafazasını sağlamak için Türkiye Klinikleri tarafından alınmakta olan idari tedbirler aşağıda belirtilmektedir:

• Çalışanlar, kişisel verilere hukuka aykırı erişimi engellemek için alınacak teknik tedbirler konusunda eğitilir. 
• İş birimi bazında, Kişisel Verileri İşleme konusunda hukuksal uyum gerekliliklerine uygun olarak, Türkiye Klinikleri içinde kişisel verilere erişim ve yetkilendirme süreçleri tasarlanır ve uygulanır. 
• Personeli ile arasındaki ilişkiyi düzenleyen sözleşme ve belgelere; Kişisel Verilerin hukuka uygun olarak işlenmesi için KVK Kanunu ile öngörülen yükümlülüklere uygun hareket edilmesi, Kişisel Verilerin ifşa edilmemesi ve Kişisel Verilerin hukuka aykırı olarak aktarılmaması ve kullanılmaması gerektiği ve Kişisel Verilere ilişkin gizlilik yükümlülüğünün Türkiye Klinikleri ile olan iş akdinin sona ermesinden sonra dahi devam edeceği ve bu yükümlülüklere uyulmaması halinde iş akdinin feshine varabilecek yaptırımların uygulanacağı yönünde kayıtlar konur. Gerektiğinde bu doğrultuda personelden taahhütler alınır. Bu konuda personel bilgilendirilir, farkındalıkları oluşturulur ve denetimler yürütülür. 
• Kişisel Verilerin hukuka uygun olarak aktarıldığı kişilerle ve Kişisel Verilerin işlenmesi ve saklanması konusunda teknik gereklilikler sebebiyle dışarıdan bir hizmet alınması durumunda, bu kişilerle akdedilen sözleşmelere; Kişisel Verilerin aktarıldığı kişilerin, Kişisel Verilerin korunması amacıyla gerekli güvenlik tedbirlerini alacağına ve kendi kuruluşlarında bu tedbirlere uyulmasını sağlayacağına ilişkin hükümler eklenir. 
• İşlenen Kişisel Verilerin hukuka aykırı yollarla başkaları tarafından elde edilmesi hâlinde, bu durum en kısa sürede ilgilisine ve KVK Kurulu’na bildirilir. 
• Kişisel Verilerin işlenmesi hakkında bilgili ve deneyimli personel istihdam edilir ve personele Kişisel Verilerin korunması mevzuatı ve veri güvenliği kapsamında gerekli eğitimler verilir. 
• Kendi tüzel kişiliği nezdinde KVK Kanunu hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapar ve yaptırır. Denetimler sonucunda ortaya çıkan gizlilik ve güvenlik zafiyetleri giderilir. 

8.3. KİŞİSEL VERİLERİN KORUNMASINA İLİŞKİN ALINAN TEDBİRLERİN DENETİMİ

Türkiye Klinikleri, KVK Kanunu’nun 12. maddesine uygun olarak, kendi bünyesinde gerekli denetimleri yapar veya yaptırır. Bu denetim sonuçları Türkiye Klinikleri’nin iç işleyişi kapsamında konu ile ilgili bölüme raporlanır ve alınan tedbirlerin iyileştirilmesi için gerekli faaliyetler yürütülür.

9. KİŞİSEL VERİ SAHİBİNİN AYDINLATILMASI VE BİLGİLENDİRİLMESİ

Türkiye Klinikleri; KVK Kanunu’nun 10. maddesine uygun olarak, kişisel verilerin elde edilmesi sırasında Kişisel Veri Sahiplerini aydınlatır. Bu kapsamda Türkiye Klinikleri, Veri Sorumlusunun kimliği, varsa temsilcisinin kimliği, Kişisel Verilerin hangi amaçla işleneceği, işlenen Kişisel Verilerin kimlere ve hangi amaçla aktarılabileceği, Kişisel Veri toplamanın yöntemi ve hukuki sebebi ile Kişisel Veri Sahibinin sahip olduğu haklar konusunda  aydınlatma yapar. 

Türkiye Klinikleri, söz konusu aydınlatma yükümlülüğünü yerine getirmek amacıyla, süreç ve verileri işlenen kişiler bazında, yukarıda belirtilen KVK Kanunu hükmü kapsamında Kişisel Veri Sahiplerine yönelik aydınlatma metni hazırlamış ve bu Politika ile birlikte internet sayfasında (www.turkiyeklinikleri.com) yayınlamıştır.

10. KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VE ANONİMLEŞTİRİLMESİ

Türk Ceza Kanunu’nun 138. maddesinde, KVK Kanunu’nun 7. maddesi ve “Kişisel Verilerin Silinmesi, Yok Edilmesi ve Anonimleştirilmesi Hakkında Yönetmelik” uyarınca; ilgili kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde Kişisel Veriler, Türkiye Klinikleri’nin kendi kararına istinaden veya Kişisel Veri Sahibinin talebi üzerine silinir, yok edilir veya anonim hâle getirilir. 

11. KİŞİSEL VERİ SAHİBİNİN HAKLARI, BU HAKLARINI KULLANMASI, BAŞVURULARA CEVAP

11.1. KİŞİSEL VERİ SAHİBİNİN HAKLARI VE KULLANLMASI

11.1.1. Kişisel Veri Sahiplerinin Hakları

Kişisel Veri Sahipleri aşağıda yer alan haklara sahiptirler:

• Kendisiyle ilgili Kişisel Veri işlenip işlenmediğini öğrenme, 
• Kişisel Verileri işlenmişse buna ilişkin bilgi talep etme,
• Kişisel Verilerinin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme, 
• Yurt içinde veya yurt dışında Kişisel Verilerinin aktarıldığı üçüncü kişileri bilme, 
• Kişisel Verilerinin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemin Kişisel Verilerinin aktarıldığı üçüncü kişilere bildirilmesini isteme, 
• KVK Kanunu ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kendisiyle ilgili Kişisel Verilerin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemin Kişisel Verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme, 
• İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme, 
• Kendisiyle ilgili Kişisel Verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme. 

11.1.2. Kişisel Veri Sahibinin Haklarını İleri Süremeyeceği Haller

KVK Kanunu’nun 28. maddesi gereğince aşağıdaki haller KVK Kanunu kapsamı dışında tutulmuş olduğundan, Kişisel Veri Sahipleri bu konularda 11.1.1’de sayılan haklarını ileri süremezler: 

• Kişisel Verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi.
• Kişisel Verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi. 
• Kişisel Verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi. 
• Kişisel Verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi.

Kişisel Veri Sahipleri, KVK Kanunu’nun 28 (2) maddesi gereğince, aşağıda belirtilen hallerde, zararın giderilmesini talep etme hakkı hariç, yukarıda 11.1.1’de belirtilen diğer haklarını ileri süremezler:

• Kişisel Veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması,
• Kişisel Veri Sahibi tarafından kendisi tarafından alenileştirilmiş Kişisel Verilerin işlenmesi. 
• Kişisel Veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması. 
• Kişisel Veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması. 

11.1.3. Kişisel Veri Sahibinin Haklarını Kullanması

Kişisel Veri Sahipleri yukarıda 11.1.1’de belirtilen haklarına ilişkin taleplerini, kimliklerini tespit edecek bilgi ve belgelerle ve aşağıda belirtilen yöntemlerle veya Kişisel Verileri Koruma Kurulu’nun belirlediği diğer yöntemlerle Başvuru Formu’nu doldurup imzalayarak Türkiye Klinikleri’ne ücretsiz olarak iletebileceklerdir:

1. Başvuru Formu’nu ortadogu.turkiyeklinikleri@hs01.kep.tr e-posta adresine  göndererek;
2. Başvuru Formu’nun, ıslak imzalı bir nüshasını bizzat elden, iadeli taahhütlü mektupla veya noter aracılığı ile Nasuh Akar mah. Türkocağı cad. No:30 Balgat 06520 Çankaya / Ankara adresine iletilerek.

Kişisel Veri Sahipleri adına üçüncü kişilerin başvuru talebinde bulunabilmesi için Kişisel Veri Sahibi tarafından başvuruda bulunacak kişi adına noter kanalıyla düzenlenmiş özel vekâletname bulunmalıdır.

11.1.4. Kişisel Veri Sahibinin KVK Kurulu’na Şikâyette Bulunma Hakkı

Kişisel Veri Sahibi, KVK Kanunu’nun 14. maddesi gereğince başvurusunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hâllerinde; Türkiye Klinikleri’nin cevabını öğrendiği tarihten itibaren 30 (otuz) ve her hâlde başvuru tarihinden itibaren 60 (altmış) gün içinde KVK Kurulu’na şikâyette bulunabilir. 

11.2. TÜRKİYE KLİNİKLERİ’NİN BAŞVURULARA CEVAP VERMESİ

11.2.1. Türkiye Klinikleri’nin Başvurulara Cevap Verme Usulü ve Süresi

Kişisel Veri Sahibinin, yukarıda 11.1.3’de yer alan usule uygun olarak talebini Türkiye Klinikleri’ne iletmesi durumunda Türkiye Klinikleri talebin niteliğine göre en geç 30 (otuz) gün içinde ilgili talebi ücretsiz olarak sonuçlandıracaktır. Ancak, KVK Kurulunca bir ücret öngörülmesi hâlinde, Türkiye Klinikleri tarafından başvuru sahibinden KVK Kurulunca belirlenen tarifedeki ücret alınacaktır.

11.2.2. Türkiye Klinikleri’nin Başvuruda Bulunan Kişisel Veri Sahibinden Talep Edebileceği Bilgiler

Türkiye Klinikleri, başvuruda bulunan kişinin Kişisel Veri Sahibi olup olmadığını tespit etmek için ilgili kişiden bilgi talep edebilir ve Kişisel Veri Sahibinin başvurusunda yer alan hususları netleştirmek için, Kişisel Veri Sahibine başvurusu ile ilgili soru yöneltebilir. 

11.2.3. Türkiye Klinikleri’nin Kişisel Veri Sahibinin Başvurusunu Reddetme Hakkı

Türkiye Klinikleri, aşağıda yer alan hallerde başvuruda bulunan kişinin başvurusunu, gerekçesini açıklayarak reddedebilir: 

• Kişisel Verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi.
• Kişisel Verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi. 
• Kişisel Verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi. 
• Kişisel Verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi. 
• Kişisel Veri İşlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması. 
• Kişisel Veri Sahibi tarafından kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi. 
• Kişisel Veri İşlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması. 
• Kişisel Veri İşlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması. 
• Kişisel Veri Sahibinin talebinin diğer kişilerin hak ve özgürlüklerini engelleme ihtimali olması. 
• Orantısız çaba gerektiren taleplerde bulunulmuş olması. 
• Talep edilen bilginin kamuya açık bir bilgi olması. 

12. TÜRKİYE KLİNİKLERİ KİŞİSEL VERİLERİN İŞLENMESİ VE KORUNMASI POLİTİKASI YÖNETİŞİM YAPISI

Türkiye Klinikleri bünyesinde, işbu Politika ve bu Politika’ya bağlı ve ilişkili diğer politika ve prosedürleri yönetmek üzere Şirket üst yönetiminin kararı gereğince  bir Kişisel Verilerin Korunması Komitesi (“Komite”) kurulmuştur. Bu Komite’nin başlıca görevleri aşağıda belirtilmiştir:

• Kişisel Verilerin korunması ve işlenmesi ile ilgili temel politikaları ve gerektiğinde değişiklikleri hazırlamak, Şirket’in üst yönetiminin onayına sunduktan sonra yürürlüğe koymak.
• Kişisel Verilerin korunması ve işlenmesine ilişkin politikaların uygulanmasının ve denetiminin ne şekilde yerine getirileceğine karar vermek ve bu çerçevede Şirket içi görevlendirmede bulunulması ve koordinasyonun sağlanması hususlarını Şirket’in üst yönetiminin onayına sunmak.
• KVK Kanunu ve ilgili mevzuata uyumun sağlanması için yapılması gereken hususları tespit etmek ve üst yönetimin onayına sunmak, uygulanmasını gözetmek ve koordinasyonunu sağlamak.
• Kişisel Verilerin korunması ve işlenmesi konusunda Şirket bünyesinde ve Türkiye Klinikleri’nin işbirliği içerisinde olduğu kurumlar nezdinde farkındalığı arttırmak.
• Türkiye Klinikleri’nin Kişisel Veri İşleme faaliyetlerinde oluşabilecek riskleri tespit ederek gerekli önlemlerin alınmasını temin etmek; iyileştirme önerilerini üst yönetimin onayına sunmak.
• Kişisel Verilerin korunması, politikaların uygulanması ve yayılımı konusunda, Kişisel Veri Sahiplerinin Kişisel Veri İşleme faaliyetleri ve kanuni hakları konusunda bilgilendirilmelerinin sağlanması yönünde eğitimler düzenlemek.
• Kişisel Veri Sahiplerinin başvurularını karara bağlamak veya gerektiğinde karara bağlanmak üzere üst yönetime iletmek.
• Kişisel Verilerin korunması konusundaki gelişmeleri ve düzenlemeleri takip etmek; bu gelişmelere ve düzenlemelere uygun olarak Türkiye Klinikleri bünyesinde yapılması gerekenler konusundaki önerilerini üst yönetime  iletmek.
• KVK Kurulu ve KVK Kurumu ile olan ilişkileri yürütmek.
• Şirket üst yönetiminin Kişisel Verilerin korunması konusunda vereceği diğer görevleri icra etmek.

EK 1- ÇALIŞANLARIN KİŞİSEL VERİLERİNİN İŞLENMESİ

EK 2- ÇALIŞAN ADAYLARININ KİŞİSEL VERİLERİNİN İŞLENMESİ