Kişisel Verilerin Korunması hakkı, Türkiye Cumhuriyeti Anayasası MADDE 20’ de aşağıdaki şekilde yer almaktadır.
“Herkes, özel hayatına ve aile hayatına saygı gösterilmesini isteme hakkına sahiptir. Özel hayatın ve aile hayatının gizliliğine dokunulamaz (Ek fıkra: 12/9/2010-5982/2 md.). Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir.”
Bireyin temel hak ve özgürlüklerini kişisel verilerin işlenmesi sırasında korumayı amaçlayan, 6698 sayılı Kişisel Verilerin Korunması Kanunu, önceki metinler üzerinde yapılan çeşitli değişikliklerle 18 Ocak 2016 tarihinde TBMM Başkanlığı’na sevk edilmiş ve 24 Mart 2016 tarihinde TBMM Genel Kurulu tarafından kabul edilerek kanunlaşmış, 7 Nisan 2016 tarih ve 29677 sayılı Resmi Gazete’de yayımlanarak yürürlüğe girmiştir.
6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 12.nci maddesinin (1) numaralı fıkrasında Veri Sorumlusunun;
Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
Kişisel verilerin muhafazasını sağlamak,
amacıyla, uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorunda olduğu,
(5) numaralı fıkrasında ise, işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusunun bu durumu en kısa sürede ilgilisine ve Kişisel Verileri Koruma Kuruluna (Kurul) bildireceği, Kurulun, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebileceği, hükme bağlanmıştır.
6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) kapsamında, Veri Sorumlusu olarak; Viva Özel Sağlık Hizmetleri Tic. San. Ltd. Şti (Özel GenesisHospital)
tarafından yürütülen kişisel veri işleme faaliyeti ve kişisel verilerin korunmasına yönelik süreçler hakkında açıklamalarda bulunmak, uygulamada şeffaflığı ve hukuka uygunluğu sağlamak ve kişisel verileri hastane tarafından işlenen veri sahibi gerçek kişileri bilgilendirmek amacıyla bu politika hazırlanmıştır.
Bu Politika ile çalışanlarımızın, çalışan adaylarımızın, sözleşmeli diğer sağlık çalışanlarının,hastalarımızın, ziyaretçilerimizin, işbirliği içinde olduğumuz kurumların çalışan ve yetkililerinin,mal ve hizmet tedarikçilerimizin ve bunların çalışanlarının, hastanemizden hizmet alan diğer kişilerin, hastanemiz ile iş ilişkisi bulunan danışman ve diğer üçüncü kişilerin kişisel verilerinin hukuka uygun şekilde korunması ve işlenmesi prensipleri oluşturulmaktadır.
Özel GenesisHospital,Bu politika ile bir Anayasal hak olan Kişisel Verilerinin Korunmasını bir Şirket Politikası haline getirmekte ve hukuki ve sosyal sorumluluğu kapsamında Kişisel Veri Koruma Kanunu ve mevzuat ve düzenlemelerine uymayı taahhüt etmektedir.
Politika ile, Özel GenesisHospital bünyesinde kişisel verilerin hukuka uygun olarak işlenmesi ve korunması konusunda farkındalığın oluşması ve tüm süreçlerde mevzuata uyumu temin etmek için sürdürülebilir ve denetlenebilirsistem kurulması amaçlanmaktadır.
Kişisel Verilerin Korunması Kanunu ve ek mevzuatların uygulanmasına yönelik olarak gerekli politika ve prosedürler düzenlenmekte, aydınlatma metinleri oluşturulmakta, açık rızalar uygulanmakta, gizlilik sözleşmeleri yapılmakta, görev tanımları revize edilmekte, kişisel verilerin korunması için hastanemiz tarafından mevzuata uygun idari ve teknik güvenlik tedbirleri alınmakta, bu kapsamda gerekli denetimler yapılmakta veya yaptırılmaktadır.
Kişisel Verilerin Korunması Kanunu ve Hastanemizin ‘Kişisel Verilerin Korunması ve İşlenmesi Politikasında’ yer alan bazı tanımların açıklamalarına aşağıda yer verilmiştir.
Kişisel Verilerin İşlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.
Kişisel Veri Sahibi: Kişisel verisi işlenen gerçek kişi müşteriler, çalışanlar, çalışan adayları, tedarikçiler ve çalışanları, ortaklar, hastane ile yapılmış sözleşme kapsamındaki diğer üçüncü şahıs gerçek kişiler.
Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.
Adı-soyadı, TCKN, e-posta, adres, iş adresi, doğum tarihi, doğum yeri, kredi kartı numarası, ehliyet no, banka hesap numarası, pasaport no, ruhsat no, diploma , mesleki bilgiler, araç marka ve plakası
Özel Nitelikli Kişisel Veri: Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık kıyafet, dernek vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik veriler özel nitelikli verilerdir.
Veri Sorumlusu: Kişisel verilerin işlenme amaçlarını ve vasıtalarını belirleyen, verilerin sistematik bir şekilde işlendiği ve saklandığı veri kayıt sistemini kuranve yöneten kişi veri sorumlusudur.
Veri İşleyen: Veri sorumlusunun verdiği yetki kapsamında onun adına veri işleyen gerçek veya tüzel kişi.
Açık Rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.
Kişisel Verilerin Silinmesi: Kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilmez ve tekrar kullanılamaz hale getirilmesi işlemidir.
Kişisel Verilerin Yok edilmesi: Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir
Anonim Hale Getirme: Kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesidir.
KVKK: 7 Nisan 2016 tarih ve 29677 sayılı Resmi Gazete de yayımlanan Kişisel Verilerin Korunması Kanunu
KVK Kurulu: Kişisel Verileri Koruma Kurulu
Kişisel Veri Saklama ve İmha Politikası: Kişisel Verilerin Silinmesi, Yok Edilmesi, Anonim Hale Getirilmesi Hakkında Yönetmelik gereğince, Şirket tarafından kişisel verilerin işlendikleri amaç için gerekli olan azami süreyi belirleme işlemi ile silme, yok etme ve anonim hale getirme işlemi için dayanak yapılmış olan ‘’ŞirketKişisel Veri Saklama ve İmha Politikası”.
Veri Sorumluları Sicili: KVK Kurulu gözetiminde, Kişisel Verileri Koruma Kurumu Başkanlığı gözetiminde tutulan ve kamuya açık olan Veri Sorumluları Sicili.
Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ: 10 Mart 2018 tarihli ve 30356 sayılı Resmî Gazete’de yayımlanarak yürürlüğe giren Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ.
“KANUN MADDE 4 ‘te yer alan Kişisel Verilerin İşlenmesi Genel İlkelerinde’;
(1) Kişisel veriler, ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir.
(2) Kişisel verilerin işlenmesinde aşağıdaki ilkelere uyulması zorunludur:
a) Hukuka ve dürüstlük kurallarına uygun olma. b) Doğru ve gerektiğinde güncel olma. c) Belirli, açık ve meşru amaçlar için işlenme. ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma. d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme” hükümleri yer almaktadır.
Hastanemiz uygulamalarında; Kişisel verilerin işlenmesinde hukuksal düzenlemelerle getirilen ilkeler ile genel güven, dürüstlük ve şeffaflık kuralına uygun hareket edilmektedir. Bu çerçevede, kişisel veriler iş faaliyetlerinin gerektirdiği ölçüde ve bunlarla sınırlı olarak işlenmektedir.
Kişisel verilerin işlenme amaçları açıkça ortaya konulmakta ve bunlara aydınlatma metinlerinde yer verilmektedir. Veriler hastanefaaliyetleriyle bağlantılı amaçlar kapsamında işlenmektedir.
Kişisel verilerin işlendiği süre boyunca doğru ve güncel olması için gerekli önlemler alınmaktadır
Hastanemiz, kişisel verileri yalnızca iş faaliyetlerinin gerektirdiği nitelikte ve ölçüde toplamakta olup belirlenen amaçlarla sınırlı olarak işlemektedir.
Hastanemiz, kişisel verileri işlendikleri amaç için gerekli olan süre ve faaliyetle ilgili yasal mevzuatta öngörülen süre kadar muhafaza etmektedir.
Mevzuatta kişisel verilerin saklanması için bir süre belirlenmişse bu süreye uygun davranmaktadır.
Yasal bir süre mevcut değil ise kişisel veriler işlendikleri amaç için gerekli olan süre kadar saklanmaktadır.
Kişisel veriler saklama sürelerinin sonunda periyodik imha sürelerine veya veri sahibi başvurusuna uygun olarak belirlenen imha yöntemleri (silme ve/veya yok etme ve/veya anonimleştirme) ile imha edilmektedir
Özel GenesisHospital tarafından özel nitelikli kişisel verileriniz ve diğer kişisel verileriniz, veri kategorileri ile bağlantılı ve ölçülü şekilde aydınlatma metinlerinde yer verilen amaçlara bağlı ve Kanunun 5. Ve 6. Maddesinde yer alan hukuki sebepler belirlenerek işlenebilmektedir.
Aydınlatma Metinlerinde, işlenen kişisel ve özel nitelikteki verilerinize, işleme amacı ve hukuki sebepleriyle eşleştirilerek her veri kategorisi bazında ayrı ayrı yer verilmektedir. İlgili tüm kişilere bilgi verilmesi amacıyla çalışanlarımızın, çalışan adaylarımızın, sözleşmeli ve misafir diğer sağlık çalışanlarının, hastalarımızın, ziyaretçilerimizin, hasta refakatçilerinin, işbirliği içinde olduğumuz kurumların çalışan ve yetkililerinin, mal ve hizmet tedarikçilerimizin ve bunların çalışanlarının, hastanemizden hizmet alan diğer kişilerin, hastanemiz ile iş ilişkisi bulunan danışman ve diğer üçüncü kişilerin ayrı aydınlatma metinleri hazırlanmış ve uygulamaya alınmıştır.
İlgili kişi bazında hazırlanan ve ilgililere iletilen Aydınlatma Metinlerinde İşlenen veri kategorileri, verilerin hangi amaçla işlendiği ve aktarıldığı bilgileri yer almaktadır.
KVKK mevzuatına uyumlu olarak elde edilen ve işlenen kişisel verileriniz Özel GenesisHospital‘e ait fiziki arşivler ve/veya bilişim sistemlerine nakledilerek, hem dijital ortamda hem de fiziki ortamda muhafaza edilecek, güvenlik tedbirleri alınarak kontrolü tarafımızda olmak üzere ülke içindeki teknolojik ortamlarda yedeklenebilecektir.
Hastanemiz kişisel verilerin işlenmesinde hukuksal düzenlemelerle getirilen ilkeler ile genel güven ve dürüstlük kuralına uygun hareket etmekte, kişisel verileri amacın gerektirdiği faaliyetler dışında kullanmamaktadır. Hastanemiz KVK Kanunu’nun 10. maddesine uygun olarak, kişisel verilerin elde edilmesi sırasında kişisel veri sahiplerini aydınlatmaktadır.
Özel GenesisHospital meşru ve hukuka uygun olan kişisel veri işleme amacını ve aktarma amacını açık ve kesin olarak belirlemektedir. Kişisel verilerin hangi amaçla işleneceği henüz kişisel veri işleme faaliyeti başlamadan ortaya konulmaktadır.
Veri kategorisi bazında amaçlar belirlenmekte ve her kategori için Kanunun 5. Ve 6. Maddelerinde yer alan hukuki şartlardan hangisine dayalı olarak veri işlendiğine ve verilerin kimlere aktarılabileceğine ve aktarma amaçlarına Aydınlatma Metninde yer verilmektedir. Amacın gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınılmaktadır.
Hastanemizkişisel verileri ancak ilgili mevzuatta belirtildiği veya işlendikleri amaç için gerekli olan süre kadar muhafaza etmektedir. Bir süre belirlenmişse bu süreye uygun davranmakta, bir süre belirlenmemişse kişisel verileri işlendikleri amaç için gerekli olan süre kadar saklamaktadır. Sürenin bitimi veya işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel veriler silinmekte, yok edilmekte veya anonim hale getirilmektedir. Gelecekte kullanma ihtimali ile kişisel veriler saklanmamaktadır.
Bu prensipler Kanun 10. Madde kapsamında, KVKK Aydınlatma Metni ile verisi işlenecek gerçek kişilere iletilerek bilgilendirme yapılmaktadır.Veri sahipleri iş ilişkisi ve sözleşme kurulmasından önce açık bir şekilde bilgilendirilmektedir.Aydınlatma Metinlerinde;
a) Veri sorumlusunun ve varsa temsilcisinin kimliği,
b) Kişisel verilerin hangi amaçla işleneceği,
c) İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
ç) Kişisel veri toplamanın yöntemi ve hukuki sebebi,
d) 11 inci maddede sayılan diğer hakları konularında ayrıntılı bilgilendirme yer almaktadır
Anayasa’nın 20. maddesinde herkesin, kendisiyle ilgili kişisel veriler hakkında bilgilendirilme hakkına sahip olduğu ortaya konulmuştur. Bu doğrultuda KVK Kanunu’nun 11. maddesinde kişisel veri sahibinin hakları arasında “bilgi talep etme” hakkına yer verilmiştir.
ÖzelGenesisHospital, KVK Kanunu’nun 11. Ve 13. maddelerine uygun olarak Kişisel Veri Sahibinin bilgi talep etmesi durumunda, ilgili kişiye gerekli bilgilendirmeleri süresi içinde yapmaktadır. Başvuru cevaplanmasının zamanında ve hukuka uygun yapılması için ‘Başvuru Cevaplama Prosedürü’ düzenlenerek hastane içinde sorumlu kişiler belirlenmiş ve görevlendirilmiştir.
Kişisel veriler,faaliyet konularımıza uygun düşecek şekilde; sözlü, yazılı, görsel ya da elektronik ortamda, çağrı merkezi, e -posta ve KEP yoluyla tarafınızdan iletilen bilgiler, web sitelerimiz üzerinden yapılmış olan dijital başvurular, paylaşılan finansal veriler, form ve sözleşmelerde yer alan bilgiler, hasta kayıt bilgileri, hastaya ait teşhis tedavi bilgileri, dilekçe ve yazılı başvurularınız, hukuki tebligatlar, görsel kayıtlar yoluyla fiziksel ve elektronik ortamla toplanmaktadır.
Hastanemiz,Kanunun 5. Madde 2.fıkrası kapsamında, aşağıda maddeleri belirtilen durumlarda Hastanemiz kişisel veri sahiplerinin verilerini açık rıza almaksızın toplamakta ve işlemektedir.
a) Kanunlarda açıkça öngörülmesi.
b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.
Ayrıca ‘KVKK 6. Madde 3) Birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.’ hükmü doğrultusunda hastalarımıza ait özel nitelikli veriler açık rıza alınmaksızın toplanmakta ve işlenmektedir.
Özel GenesisHospitalAnayasa’nın 20. maddesine ve KVK Kanunu’nun 4. maddesine uygun olarak, kişisel verilerin işlenmesi konusunda; hukuka ve dürüstlük kuralına uygunluk, doğru ve güncel tutma, belirli, açık ve meşru amaçlar için işleme, amaçla bağlantılı, sınırlı ve ölçülü olarak mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme ilkelerine uyarak, öngörülen usul ve esaslara bağlı olarak kişisel veri işleme faaliyetinde bulunmaktadır.
Kişisel Verilerin Korunması Kanunubazı kişisel verilere, hukuka aykırı olarak işlendiğinde kişilerin mağduriyetine veya ayrımcılığa sebep olma riski nedeniyle özel önem atfedilmiştir. KVKK’nun 6.maddesinde açıklanan özel nitelikli bu veriler; ‘ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik’ verilerdir.
Kanunda, özel nitelikli kişisel verilerin işlenmesi bakımından, Kurul tarafından belirlenen yeterli önlemlerin alınması şartı getirilmiştir. Kanunun 6 ncı maddesinin (4) numaralı fıkrası ‘(4) Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır.’ hükmünü getirmiştir.
Kişisel Verilerin Korunması Kanunu’nun 22. nci maddesinin (1) numaralı fıkrasının (ç) bendinde; Kurul görevleri arasında ‘ Özel nitelikli kişisel verilerin işlenmesi için aranan yeterli önlemleri belirlemek’ görevine yer verilmiştir. Kurul 31/01/2018 tarih 2018/10 sayılı kararı ile ‘Özel Nitelikteki Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemleri açıklamıştır.
Özel GenesisHospital’da bu Kanunun 22 nci maddesinin (1) numaralı fıkrasının (ç) ve (e) bentleri uyarınca özel nitelikli kişisel veri işleyen veri sorumluları tarafından alınması gereken yeterli önlemlerin alınması ve Özel Nitelikli Kişisel Verilerin güvenliğine yönelik sistemli, yönetilebilir ve sürdürülebilir bir yapı kurulması amacıyla Özel Nitelikli Verilerin Korunması Politikası hazırlanmıştır
Dijital ortamda saklanan özel nitelikli kişisel veriler kuvvetli şifre parametreleri ile korunmaktadır. Özel nitelikli kişisel verilere erişebilen kişilerin erişim yetkisi kısıtlanmakta, erişimler kontrol edilmekte, yetkiler mevzuata uygun şekilde düzenlenmekte,ilgililere veri koruma ve gizlilik eğitimleri verilmektedir. Özel nitelikli verilere erişen kişilere gizlilik sözleşmeleri imzalanmaktadır.
Sağlık dosyalarında fiziki olarak saklanan kişisel sağlık verilerinin bulunduğu dosyalar kilitli ve sadece yetkili sağlık personelinin erişebildiği alanlarda fiziksel güvenlik tedbirleri alınarak saklanmaktadır.
Alınan Tedbirler Veri Koruma Görevlisi tarafından kontrol edilmektedir.
Hastanemiz kişisel veri işleme amaçları doğrultusunda, kişisel veri sahibinin kişisel verilerini ve özel nitelikli kişisel verilerini üçüncü kişilere ve kurumlara hukuka uygunluk ve veri güvenlik tedbirlerini alarak aktarabilmektedir.
Kişisel verilerin aktarılmasına ilişkin KVKK hükümlerine aşağıda yer verilmiştir. Hastanemiz uygulamalarında bu hükümleri dikkate almaktadır.
MADDE 8- (1) Kişisel veriler, ilgili kişinin açık rızası olmaksızın aktarılamaz.
(2) Kişisel veriler;
a) 5 inci maddenin ikinci fıkrasında,
b) Yeterli önlemler alınmak kaydıyla, 6ncı maddenin üçüncü fıkrasında belirtilen şartlardan birinin bulunması hâlinde, ilgili kişinin açık rızası aranmaksızın aktarılabilir.
(3) Kişisel verilerin aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklıdır.
MADDE 5– 2) fıkrası kapsamında maddede yer alan aşağıdaki şartlardan birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin aktarılması mümkün olacaktır.
a) Kanunlarda açıkça öngörülmesi.
b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
d) İlgili kişinin kendisi tarafından alenileştirilmiş olması.
e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.
Özel Nitelikte Verilerin aktarımında Kanun 6. Madde 3. Fıkrada de yer alan ve aşağıda yer verilen istisnalar dışında veri sahibinin açık rızasının alınması zorunludur.
‘Kişisel veri sahibinin sağlığına ve cinsel hayatına ilişkin özel nitelikli kişisel verileri ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi şeklinde olup; sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından açık rıza almadan’ aktarılabilmektedir.
İlgili kişinin açık rızası alınmaksızın yurtdışınaveri aktarımı yapılmamaktadır.
Kişisel Verilerin Hukuka Aykırı Erişiminin Engellenmesi ve Kişisel Verilerin Güvenli Ortamlarda Saklanması İçin Alınan İdari ve Teknik Tedbirler:
Özel GenesisiHospitalbilginin bütünlüğünü koruyacak ve sürekli erişilebilirliğini garanti altına alacakgüvenli alt yapıyı ve güvenlik kontrollerini hayata geçirmiştir. Kişisel verilerin tedbirsizlikle veya yetkisiz olarak açıklanmasını, erişimini, aktarılmasını veya başka şekillerdeki hukuka aykırı erişimi önlemek için ve oluşabilecek diğer teknik tehditler karşısında aşağıda yer verilen teknik ve idari tedbirleri uygulamaya koymuştur.
Teknik Tedbirler
İşlenen kişisel verilerle ilgili olarak alınan teknik tedbirler aşağıda sayılmıştır:
Veri güvenlik sistemi kişisel verilerin fiziksel ortamda ve bilgi sistemlerinde tüm risk ve tehditlere karşı korunmasıdır. Bilgi güvenliği tehditleri arasında, organizasyon bünyesinde çalışan kişilerin oluşturabileceği bilinçli veya bilinçsiz tehditler olarak tanımlayabileceğimiz iç tehditler çok önemli bir yer tutmaktadır.
Bu nedenle Özel GenesisiHospital organizasyonunda çalışan kişilerin oluşturabileceği bilinçli veya bilinçsiz tehditlere karşı bilgiye erişimi kontrol etmek ve yetkisiz erişimleri önlemek için ilgili tüm alanlarda gerekli güvenlik kontrollerini hayata geçirilmiştir.
Çalışanların günlük faaliyetlerinin yetki profillerine uyum sağlayıp sağlamadığı Kurum bilgi sistem birimi tarafından düzenli olarak kontrol edilmektedir. Kurum içerisinde erişim prosedürleri oluşturularak kişisel verilere erişim ile ilgili raporlama ve analiz çalışmaları yapılmaktadır
Bilişim sistemlerine erişim ve kullanıcıların yetkilendirilmesi, erişim ve yetki matrisi üzerinden kimlik yönetimi ve yetkilendirme politikaları aracılığı ile yapılmaktadır Kişisel verilere erişim için personel tarafından kullanılan şifreler, ilgili sistemler için tanımlanmış olan şifre belirleme kurallarına uyumlu olarak düzenlenmektedir. Rakam, büyük harf, küçük harf, noktalama işareti kombinasyonlarından oluşan karmaşık şifreler kullanılmaktadır.
Bilgi güvenliği olay yönetimi ile gerçek zamanlı yapılan analizler sonucunda bilişim sistemlerinin sürekliliğini etkileyecek riskler ve tehditler sürekli olarak izlenmektedir. Kişisel verilerin hukuka aykırı işlenmesini önlemeye yönelik riskler belirlenmekte, bu risklere uygun teknik tedbirlerin alınması sağlanmakta ve alınan tedbirlere yönelik teknik kontroller yapılmaktadır.
Çevresel tehditlere karşı bilişim sistemleri güvenliğinin sağlanması için, donanımsal (sistem odasına sadece yetkili personelin girişini sağlayan erişim kontrol sistemi, 7/24 çalışan izleme sistemi, fiziksel güvenliğinin sağlanması, yangın söndürme sistemi, iklimlendirme sistemi vb.) ve yazılımların güvenliği üzerine (güvenlik duvarları, atak önleme sistemleri, ağ erişim kontrolü, zararlı yazılımları engelleyen sistemler vb.) önlemler alınmaktadır.
Bilişim sistemleri altyapısı denetlenmekte, yazılımlar ve verilerin güvenliği için izleme sistemleri kurulmaktadır.
Hastane sistemlerinde dış ağlardan gelebilecek tehditlere karşı katmanlı ağ güvenlik tedbirleri tesis edilmiştir. Bilgisayar sistemlerinde, antivirüs yazılımları, güvenlik duvarları, kullanılmaktadır.
Kişisel verilerin hukuka aykırı olarak başkaları tarafından elde edilmesi halinde bu durumun ilgili kişiye ve kurula bildirilmesi ve ihlale karşı tedbirlerin alınmasını içeren Veri İhlali müdahale planı hazırlanmış, personel görevlendirilmiş Kişisel Verileri Koruma Kurulunun 24.01.2019 tarih ve 2019/10 sayılı Kararına uygun bir sistem ve altyapı oluşturulmuştur.
Kurul 31/01/2018 tarih 2018/10 sayılı kararı ile ‘Özel Nitelikteki Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemleri açıklamıştır.
Özel GenesisHospital’da bu Kanunun 22 nci maddesinin (1) numaralı fıkrasının (ç) ve (e) bentleri uyarınca özel nitelikli kişisel veri işleyen veri sorumluları tarafından alınması gereken yeterli önlemlerin alınması ve Özel Nitelikli Kişisel Verilerin güvenliğine yönelik sistemli, yönetilebilir ve sürdürülebilir bir yapı kurulması amacıyla Özel Nitelikli Verilerin Korunması Politikası hazırlanmıştır
Yedekleme için kritik sistemlerin yedekleri periyodik olarak alınmakta, geri dönüş testleri yapılmakta yedekler belirli aralıklarla dış ortama taşınmaktadır.
Bilgiye erişimi kontrol etmek ve yetkisiz erişimleri önlemek, veri güvenliğini sağlamak, hukuka uygun saklama ve imha işlem uygulanması için ‘Erişim ve Yetkilendirme Prosedürü’, ve ‘Kişisel Veri Saklama ve İmha Politikası‘ hazırlanmış ve uygulamaya alınmıştır.
Verileri saklama ve imha işlemleri, Veri sorumlularının, kişisel verilerin işlendikleri amaç için gerekli olan azami süreyi belirleme ve silme, yok etme ve anonim hale getirme işlemleri Özel GenesisKişisel Verileri Saklama ve İmha Politikası esaslarına uygun olarak yapılmaktadır.
İdari Tedbirler
Çalışanların niteliğinin geliştirilmesine yönelik, kişisel verilerin hukuka aykırı olarak işlenmenin önlenmesi, kişisel verilerin hukuka aykırı olarak erişilmesinin önlenmesi, kişisel verilerin muhafazasının sağlanması, iletişim teknikleri, teknik bilgi beceri, KVK Kanunu ve ilgili diğer mevzuat hakkında eğitimler verilmektedir.
Veri gizliliğinin sağlanması ve güvenlik tedbirlerine uyulması konusunda tüm çalışanlardan ve veri işleyenlerden taahhütname alınması zorunlu kılınmıştır.
Alınması gereken idari tedbirler kapsamında çalışanlara eğitimler verilmekte, farkındalıkları arttırılmakta ve gizlilik sözleşmeleri imzalatılmaktadır, Güvenlik politika ve prosedürlerine uymayan çalışanlara yönelik cezai maddeleri içeren disiplin prosedürü uygulanmaktadır.
Veri işleyen tedarikçiler, danışmanlar, bilgi sistem destek şirketleri ve diğer üçüncü kişi veya şirketlerle yapılan sözleşmelere de bu KVKK’ na uyum ve gizlilik taahhütnameleri eklenmektedir.
Organizasyon bünyesinde çalışan kişilerin oluşturabileceği bilinçli veya bilinçsiz tehditler ve dış ağlardan gelebilecek tehlikelerin işlendiği ‘Risk ve Tehditler Tablosu’ Veri Koruma Görevlisi ve Bilgi Sistem Yetkilisi/Danışmanı tarafından periyodik dönemlerde incelenmekte ve önleme tedbirleri güncellenmektedir
Uygulamalar üzerinde teknik kontrol sistemleri kurulmuştur. Veri sorumlusu olarak kurum içi sistematik periyodik denetimleri Veri Koruma Görevlisi kanalıyla yapmaktadır. Denetimler gerek görüldüğünde uzman şirketlere veya bağımsız denetim şirketlerine yaptırılacaktır.
Veri ihlalinin tespiti halinde Kişisel Verilerin Korunması Kurulu ve veri sahiplerinin bilgilendirilmesi ve ihlalle ilgili önleyici tedbirlerin derhal alınmasının sağlanmasını teminen Veri Müdahale Planı yürürlüğe konularak görevlendirmeler yapılmıştır.
Özel GenesisHospital mevcut çalışanlarının ve bünyesine yeni dâhil olan çalışanların kişisel verilerin korunması konusunda farkındalığının oluşması için gerekli sistemler kurmakta, eğitimler vermekte konuya ilişkin ihtiyaç duyulması halinde danışmanlar ile çalışmaktadır.
Süreçlere bağlı olarak gerçekleştirilen faaliyetler kapsamındaki tüm kişisel verilerle ilgili kişisel veri bazındahukuki saklama süreleri şirket ’Kişisel Veri Saklama ve İmha Politikasında’ yer almaktadır.
28 Ekim 2017 tarihinde yürürlüğe giren Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkındaki Yönetmelik, işleme nedenleri ortadan kalkan kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin usul ve esasları belirlemektedir.
Özel GenesisHospital ilgili kanunlarda ve mevzuatta öngörülmesi durumunda, kişisel verileri ilgili kanun ve mevzuatta belirtilen süre boyunca saklamaktadır. Kişisel verilerin ne kadar süre boyunca saklanması gerektiğine ilişkin mevzuatta bir süre düzenlenmemişse, kişisel veriler şirketin o veriyi işlerken sunduğu hizmetlerle bağlı olarak işlenmesini gerektiren süre kadar işlenmekte, daha sonra silinmekte, yok edilmekte veya anonim hale getirilmektedir.
Kişisel verilerin işlenme amacı sona ermiş; ilgili mevzuat ve hastanenin belirlediği saklama sürelerinin de sonuna gelinmişse, kişisel veriler yalnızca olası hukuki uyuşmazlıklarda delil teşkil etmesi veya kişisel veriye bağlı ilgili hakkın ileri sürülebilmesi veya savunmanın tesis edilmesi amacıyla kanuni süreler göz önüne alınarak saklanabilmektedir. Gelecekte kullanma ihtimali ile kişisel veriler saklanmamaktadır.
Kanunun 7. maddesinde, kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesi düzenlenmiştir. Buna göre, kişisel verilerin hukuka uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde bu veriler, resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hâle getirilir
Özellikle aşağıda sayılan hallerde kişisel verilerin işlenme şartlarının ortadan kalktığı kabul edilmektedir.
Kişisel verileri işlemeye esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya kaldırılması,
Taraflar arasındaki sözleşmenin hiç kurulmamış olması, sözleşmenin geçerli olmaması, sözleşmenin kendiliğinden sona ermesi, sözleşmenin feshi veya sözleşmeden dönülmesi,
Kişisel verilerin işlenmesini gerektiren amacın ortadan kalkması,
Kişisel verileri işlemenin hukuka veya dürüstlük kuralına aykırı olması,
Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin rızasını geri alması,
İlgili kişinin, Kanunun 11. maddesinin (e) ve (f) bentlerindeki hakları çerçevesinde kişisel verileri işleme faaliyetine ilişkin yaptığı başvurunun veri sorumlusu tarafından kabul edilmesi,
Veri sorumlusunun, ilgili kişi tarafından kişisel verilerinin silinmesi veya yok edilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabın yetersiz bulunması veya Kanunda öngörülen süre içinde cevap vermemesi hallerinde; Kurula şikâyette bulunulması ve bu talebin Kurul tarafından uygun bulunması,
Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olmasına rağmen, kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması,
Kanunun 5. ve 6. maddelerindeki kişisel verilerin işlenmesini gerektiren şartların ortadan kalkması;
Belirtilen hallerde kişisel veriler, veri sorumlusu tarafından resen veya ilgili kişinin talebi üzerine silinir, yok edilir veya anonim hale getirilir.
Kişisel verilerin silinmesi işlemi, “söz konusu kişisel verilerin ilgili kullanıcılar tarafından hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi” olarak tanımlanmıştır. Bu kapsamda, bir verinin işlenmesini gerektiren sebeplerin ortadan kalkması halinde, söz konusu verinin yedeklemeler dahil tüm ortamlardan geri dönülmez şekilde silinmesi sağlanmaktadır
Kişisel verilerin silinmesi ve yok edilmesi teknikleri ve kişisel verilerin anonim hale getirilmesi tekniklerinden hangisinin uygulanacağına dair karar, teknik detaylarda Bilgi Sistem Birimin den görüş alınarak VeriKoruma Görevlisi tarafından verilir.
Silme işlemine konu teşkil edecek kişisel veriler belirlenir. Silme işlemleri önceden belirlenmiş personel vasıtasıyla yerine getirilir. Bu personelin yetkileri özel olarak düzenlenir. Silme işlemi yapan personelin silinen datayı geri getirme, tekrar kullanma erişim yetkileri kaldırılır.
Silinmesi gereken verilerin silme, yok etme veya anonimleştirilmesinin, kanun, yönetmelik veşirket politika ve prosedürlerine uygun olarak yapıldığının ve işlemlere ilişkin oluşturulan bilgi kaydı doğruluğunun kontrolü Veri Koruma Görevlisi tarafından yapılır.
Özel GenesisHospital KVK Kanunu’nun 10. maddesine uygun olarak kişisel veri sahibinin haklarını kendisine bildirmekte, bu hakların nasıl kullanılacağı konusunda kişisel veri sahibine yol göstermektedir. Şirket kişisel veri sahiplerinin haklarının değerlendirilmesi ve kişisel veri sahiplerine gereken bilgilendirmenin yapılması için iç işleyişe ait idari ve teknik düzenlemeleri uygulamaya koymuştur.
Kişisel veri sahipleri Kişisel Verilerin Korunması Kanunu 11. Madde gereğince aşağıdaki haklara sahiptir;
a) Kişisel veri işlenip işlenmediğini öğrenme,
b) Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
c) Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
ç) Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
d) Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
e) 7 nci maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme,
f) (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığıüçüncü kişilere bildirilmesini isteme,
g) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
ğ) Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme,
Kişisel Veri Sahibinin Haklarını Kullanması;
Veri sahibi KVK Kanunu’nun 13. maddesinin 1. fıkrası gereğince yukarıda 11. madde açıklamasında belirtilen hakları kullanabilir.
Kişisel veri sahipleri adına üçüncü kişiler tarafından talepte bulunulması mümkün değildir.
Kişisel veri sahibinin kendisi dışında bir kişinin talepte bulunması için konuya ilişkin olarak kişisel veri sahibi tarafından başvuruda bulunacak kişi adına düzenlenmiş özel vekâletname bulunmalıdır.
Veri sorumlusuna başvuru Kanun Madde 13.te aşağıda yer aldığı gibi düzenlenmiştir.
(2) Veri sorumlusu başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandırır. Ancak, işlemin ayrıca bir maliyeti gerektirmesi hâlinde, Kurulca belirlenen tarifedeki ücret alınabilir.
(3) Veri sorumlusu talebi kabul eder veya gerekçesini açıklayarak reddeder ve cevabını ilgili kişiye yazılı olarak veya elektronik ortamda bildirir. Başvuruda yer alan talebin kabul edilmesi hâlinde veri sorumlusunca gereği yerine getirilir. Başvurunun veri sorumlusunun hatasından kaynaklanması hâlinde alınan ücret ilgiliye iade edilir.
Başvurunuzda yer alan talepleriniz, talebin niteliğine göre en geç otuz (30) gün içinde ücretsiz olarak sonuçlandırılacaktır . Başvuruda bulunma yöntemleri ilgili kişilere iletilen Aydınlatma Metinlerinde yer almaktadır.
Özel GenesisHospital başvuruda bulunan kişinin kişisel veri sahibi olup olmadığını tespit etmek adına ilgili kişiden ek bilgi ve belge talep edebilir ve kişisel veri sahibine başvurusunda yer alan hususlarla ilgili soru yöneltebilir.
Kişisel veri sahibi, KVK Kanunu’nun 14. Maddesi gereğince başvurusunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hallerinde, cevabını öğrendiği tarihten veya süresinde cevap verilmediği takdirdesürenin bittiği tarihten itibaren otuz ve her halde başvuru tarihinden atmış gün içinde KVK Kuruluna şikâyette bulunabilir.
BÖLÜM 13- POLİTİKA’NIN VE İLGİLİ MEVZUATIN UYGULANMASI
Kişisel verilerin işlenmesi ve korunması konusunda yürürlükte bulunan ilgili kanuni düzenlemeler öncelikle uygulama alanı bulacaktır. Yürürlükte bulunan mevzuat ve Şirket Politika arasında uyumsuzluk bulunması durumunda, Şirketimiz yürürlükteki mevzuatın uygulama alanı bulacağını kabul etmektedir.
BÖLÜM 14- POLİTİKA’NIN YÜRÜRLÜĞÜ
Viva Özel Sağlık Hizmetleri Tic. San. Ltd. Şti (Özel GenesisHospital )
tarafından düzenlenen bu politika 25/05/2021 tarihlidir. Politika’nın tamamının veya belirli maddelerinin yenilenmesi durumunda Politikagüncellenecektir. Politika Şirketin internet sitesinde yayınlanır.Bu politikanın hazırlanması, imzalanması, gözden geçirme ve güncellenmesi, Veri Koruma Görevlisi tarafından yerine getirilir. Politika her yıl en az bir kez gözden geçirilir.
İmza
Tarih