ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİ POLİTİKASI

 

İçindekiler

  1. POLİTİKANIN AMACI VE KAPSAMI. 2
  2. TANIMLAR.. 2
  3. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİ. 3

3.1        Özel Nitelikli Kişisel Verilerin İşlenmesinde Uyulan Temel İlkeler 3

3.2        Özel Nitelikli Kişisel Verilerin İşlenmesi 3

  1. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENME AMAÇLARI. 4
  2. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN AKTARILMASI. 4

5.1        Yurt İçine Aktarılması 4

5.2        Yurt Dışına Aktarılması 5

  1. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN KORUNMASI İÇİN ALINAN TEDBİRLER.. 5

7.1 Alınan Güvenlik Önlemleri 5

7.2        Ayrıca Alınan İdari ve Teknik Tedbirler. 6

İdari Tedbirler. 6

Teknik Tedbirler. 7

7       İLGİLİ KİŞİLERİN HAKLARI VE BU HAKLARIN KULLANILMASI. 7

7.2        İlgili Kişilerin Hakları 7

7.3        İlgili Kişinin Haklarını Kullanması 7

7.4        Başvurulara Cevap Verilmesi 7

8       KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ SÜREÇLERİ KOORDİNASYONU.. 8

9       POLİTİKADA YAPILAN GÜNCELLEMELER.. 8

 

1. POLİTİKANIN AMACI VE KAPSAMI

Veri sorumlusu Ege Sağlık Vakfı Teşhis ve Tedavi İşletmesi işlediği özel nitelikli kişisel verilerin korunması noktasında son derece hassas davranmaktadır.

İşbu politika, elde edilen özel nitelikli kişisel verilerin Kanun’un 6. maddesinin (4) numaralı fıkrasında belirtilen “Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır.” hükmüne istinaden alınan güvenlik önlemlerinin açıklanması ve bu kapsamda usul ve esasların belirlenmesi amacıyla hazırlanmıştır.

2. TANIMLAR

Bu Politikada yer verilen hukuki ve teknik terimlerden;

Açık Rıza Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı,
Kanun 24.3.2016 Tarih ve 6698 Sayılı Kişisel Verilerin Korunması Kanununu,
Kayıt ortamı Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortamı,
Özel Nitelikli Kişisel Veri Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verilerini,
Kişisel Verilerin

İşlenmesi

Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi,
Kurul Kişisel Verileri Koruma Kurulunu,
İlgili Kişi Kişisel verisi işlenen gerçek kişiyi,
Veri Sorumlusu Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi,

İfade eder

3. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİ

3.1    Özel Nitelikli Kişisel Verilerin İşlenmesinde Uyulan Temel İlkeler

Özel nitelikli kişisel veriler, Kanun ve işbu Politikada belirtilen ilkelere uygun olarak gerekli her türlü idari ve teknik tedbirler alınarak işlenmektedir. Bu kapsamda özel nitelikli kişisel veriler;

  • Hukuka ve dürüstlük kuralına uygun işlenecek,
  • Kişisel verilerin doğru ve gerektiğinde güncel olması sağlanacak,
  • Belirli, açık ve meşru amaçlar için işlenecek,
  • İşlendikleri yasal amaçla bağlantılı, sınırlı ve ölçülü olarak kullanılacak ve açıklanacak,
  • İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilecektir.

3.2    Özel Nitelikli Kişisel Verilerin İşlenmesi

  • Hastaların kişisel sağlık verileri KVKK 6/3 maddesine göre tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ve yönetimi amacıyla sır saklama yükümlülüğü altında bulunan merkezimizin doktorları tarafından işlenmektedir. Bu özel nitelikli kişisel sağlık verileri KVKK konusunda düzenli olarak farkındalık eğitimleri verilen ve gizlilik taahhütnamesi ile çalıştırılan personel tarafından elektronik ve fiziki ortamda işlenmektedir.
  • Hastaların avuç içi ve parmak izi gibi biyometrik verileri kanunun 6. Maddesine uygun olarak elektronik ortamda işlenmektedir.
  • İş Sağlığı ve Güvenliği Kanunu’na istinaden personelden elde edilen sağlık raporları KVKK mevzuatına uygun olarak işlenmektedir.
  • Bünyemizde çalışan doktor, hemşire, sağlık memuru ve diyaliz teknikerlerinin adli sicil kaydı personel çalışma belgesi işlemleri için kanunlarda açıkça öngörülmesi hukuki sebebine dayanarak işlenmektedir.
  • Doktor, hemşire, sağlık memuru ve diyaliz teknikerlerinin haricindeki personelin adli sicil kaydı bilgilendirilerek özgür iradelerine dayanan açık rızaları ile fiziki ve elektronik ortamda işlenmektedir.
  • Bünyemizde çalışan sağlık çalışanlarının kılık kıyafet verisi, Kanunun 6. Maddesinde belirtilen Kanunlarda açıkça öngörülmesi hukuki sebebine dayanılarak işlenmektedir.

 

  • Personel adaylarından açık rıza ile sağlık, ceza mahkumiyeti ve güvenlik tedbiri verisi elde edilmekte, İş başvurusu olumsuz sonuçlananların verileri derhal silinmektedir.

4. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENME AMAÇLARI

Merkez, Kanun’un 4. maddesinde düzenlenen temel ilkelere uygun olarak, yine Kanun’un 6. Maddesinde belirtilen özel nitelikteki kişisel verilerin işlenme şartlarından en az birine dayanarak aşağıda sayılan amaçlarla kişisel veri işlemektedir.

  • Acil Durum Yönetimi Süreçlerinin Yürütülmesi
  • Çalışan Adaylarının Başvuru Süreçlerinin Yürütülmesi
  • Çalışanlar İçin İş Akdi ve Mevzuattan Kaynaklı Yükümlülüklerin Yerine Getirilmesi
  • Çalışanlar İçin Yan Haklar ve Menfaatleri Süreçlerinin Yürütülmesi
  • Faaliyetlerin Mevzuata Uygun Yürütülmesi
  • Hukuk İşlerinin Takibi ve Yürütülmesi
  • İnsan Kaynakları Süreçlerinin Planlanması
  • İş Sağlığı / Güvenliği Faaliyetlerinin Yürütülmesi
  • Hizmetin Operasyon Süreçlerinin Yürütülmesi
  • Saklama ve arşiv faaliyetlerinin yürütülmesi
  • Sözleşme Süreçlerinin Yürütülmesi
  • Taşınır Mal ve Kaynakların Güvenliğinin Temini
  • Veri Sorumlusu Operasyonlarının Güvenliğinin Temini
  • Yetkili Kişi, Kurum ve Kuruluşlara Bilgi Verilmesi
  • Kamu sağlığının korunması, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi

5. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN AKTARILMASI

5.1    Yurt İçine Aktarılması

  1. Hastaların kişisel sağlık verileri aşağıda belirtilen 3. kişilere aktarılabilir.
  • Hukuki uyuşmazlık durumunda talep halinde talep edilen kişisel verilerle sınırlı olarak adli makamlar ve taraf avukatlarına
  • Kimlik ve sağlık bilgileri Sağlık Hizmetleri Temel Kanunu gereği E-Nabız sistemine
  • Kimlik, iletişim, sağlık ve sigorta bilgileri Sosyal Güvenlik Kurumu Kanunu gereği MEDULA sistemine
  • Kimlik, iletişim, sağlık ve refakatçi bilgileri Diyaliz Merkezleri Hakkında Yönetmelik gereği TDİS aracılığıyla Türkiye Diyaliz Veri Sistemine
  • Özel sigorta kapsamında hizmet alanların kimlik, sağlık ve sigorta bilgileri özel sigorta şirketlerine
  • Kimlik, iletişim, sağlık ve refakatçi bilgileri hastanın sevki durumunda sevk edilecek sağlık kuruluşuna
  • Özel Hastaneler Yönetmeliği gereği hasta dosyalarının arşivlenmesi amacıyla hasta kayıt programının geliştiricisi olan yazılım firmasına

 

  1. Avuç içi ve parmak izi verileri Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu gereği kimlik doğrulama amacıyla Sosyal Güvenlik Kurumuna

 

  1. Personelin kişisel sağlık verileri aşağıda belirtilen 3. Kişilere aktarılır.
  • Hukuki uyuşmazlık durumunda talep halinde talep edilen kişisel verilerle sınırlı olarak adli makamlar ve taraf avukatlarına
  • Kimlik, iletişim, sağlık, fotoğraf, diploma ve ceza mahkumiyeti verileri personel çalışma belgesi başvurusu amacıyla ilçe/il sağlık müdürlüğüne
  • Arşivleme amacıyla işyeri bilgisayar programlarının geliştiricisi olan yazılım firmasına
  1. İş başvurusunda bulunan personel adaylarından açık rıza ile elde edilen kişisel sağlık, ceza mahkumiyeti ve güvenlik tedbirleri verileri iş başvurusunun olumsuz sonuçlanması halinde derhal silinmekte ve yok edilmektedir.

5.2    Yurt Dışına Aktarılması

İşlenen özel nitelikli kişisel veriler yurt dışına aktarılmamaktadır.

6. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN KORUNMASI İÇİN ALINAN TEDBİRLER

7.1 Alınan Güvenlik Önlemleri

1– Merkezimiz özel nitelikli kişisel verilerin güvenliğine yönelik sistemli, kuralları net bir şekilde belli, yönetilebilir ve sürdürülebilir ayrı bir politika ve prosedür belirlemiştir,

2-Özel nitelikli kişisel verilerin işlenmesi süreçlerinde yer alan çalışanlara yönelik,

  1. a) Kanun ve buna bağlı yönetmelikler ile özel nitelikli kişisel veri güvenliği konularında düzenli olarak eğitimler verilmektedir,
  2. b) Gizlilik sözleşmeleri yapılmıştır,
  3. c) Verilere erişim yetkisine sahip kullanıcıların, yetki kapsamları ve süreleri net olarak tanımlanmıştır,
  4. d) Periyodik olarak yetki kontrolleri gerçekleştirilmektedir,
  5. e) Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri derhal kaldırılmaktadır. Bu kapsamda, işten ayrılan çalışana tahsis edilen envanter iade alınmaktadır,

3– Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar elektronik ortam ise;

  1. a) Veriler kriptografik yöntemler kullanılarak muhafaza edilmektedir,
  2. b) Kriptografik anahtarlar güvenli ve farklı ortamlarda tutulmaktadır,
  3. c) Veriler üzerinde gerçekleştirilen tüm hareketlerin işlem kayıtları güvenli olarak loglanmaktadır,
  4. d) Verilerin bulunduğu ortamlara ait güvenlik güncellemeleri sürekli takip edilmektedir, gerekli güvenlik testleri düzenli olarak yapılıp/yaptırılıp, test sonuçları kayıt altına alınmaktadır,
  5. e) Verilere uzaktan erişim sağlanırken iki kademeli kimlik doğrulama sistemi kullanılmaktadır.

4– Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve erişildiği fiziksel ortam ise;

  1. a) Özel nitelikli kişisel verilerin bulunduğu ortamın niteliğine göre yeterli güvenlik önlemleri (elektrik kaçağı, yangın, su baskını, hırsızlık vb. durumlara karşı) alınmıştır,
  2. b) Bu ortamların fiziksel güvenliği sağlanarak yetkisiz giriş çıkışlar engellenmiştir,

5– Özel nitelikli kişisel veriler aktarılacaksa;

  1. a) Verilerin e-posta yoluyla aktarılması gerekiyorsa şifreli olarak kurumsal e-posta adresiyle veya Kayıtlı Elektronik Posta (KEP) hesabı kullanılarak aktarılmaktadır,
  2. b) Taşınabilir Bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerekiyorsa kriptografik yöntemlerle şifrelenmesi ve kriptografik anahtar farklı ortamda tutulmaktadır,
  3. c) Farklı fiziksel ortamlardaki sunucular arasında aktarma gerçekleştiriliyorsa, sunucular arasında VPN kurularak veya sFTP yöntemiyle veri aktarımının gerçekleştirilmektedir,
  4. d) Verilerin kağıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemlerin alınmakta ve evrak “gizlilik dereceli belgeler” formatında gönderilmektedir.

7.2  Ayrıca Alınan İdari ve Teknik Tedbirler

İdari Tedbirler

  • Erişim, bilgi güvenliği, kullanım, saklama ve imha konularında kurumsal politikalar hazırlanmış ve uygulamaya başlanmıştır.
  • İmzalanan sözleşmeler veri güvenliği hükümleri içermektedir.
  • Kişisel veriler mümkün olduğunca azaltılmaktadır.
  • Kurum İçi Periyodik ve/veya Rastgele Denetimler yapılmakta veya yaptırılmaktadır.
  • Risk Analizleri yapılarak raporlanmaktadır.
  • İş Sözleşmesi, disiplin yönetmeliği gibi metinlere KVKK hükümleri ilave edilmektedir.
  • Kişisel veri güvenliğinin takibi yapılmaktadır.
  • Veri aktarımı yapılan alıcı gruplarla gizlilik sözleşmeleri yapılmaktadır.
  • Kişisel Veri İşleme Envanteri Hazırlanmıştır.
  • Periyodik aralıklarla Silme, yok etme veya anonim hale getirme işlemleri yapılmaktadır.

Teknik Tedbirler

  • Ağ güvenliği ve uygulama güvenliği sağlanmaktadır.
  • Bilgi teknolojileri sistemleri tedarik, geliştirme ve bakımı kapsamındaki güvenlik önlemleri alınmaktadır.
  • Çalışanlar için yetki matrisi oluşturulmuştur.
  • Güncel anti-virüs sistemleri kullanılmaktadır.
  • Güvenlik duvarları kullanılmaktadır.
  • Kullanıcı hesap yönetimi ve yetki kontrol sistemi uygulanmakta olup bunların takibi de yapılmaktadır.
  • Siber güvenlik önlemleri alınmış olup uygulanması sürekli takip edilmektedir.

7  İLGİLİ KİŞİLERİN HAKLARI VE BU HAKLARIN KULLANILMASI

7.2  İlgili Kişilerin Hakları

  • Kişisel veri işlenip işlenmediğini öğrenme,
  • Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
  • Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
  • Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
  • Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
  • Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
  • İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
  • Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme.

7.3  İlgili Kişinin Haklarını Kullanması

İlgili kişiler, Kanunun 11. maddesi kapsamındaki haklarını http://egesaglikvakfi.com.tr/ internet sitemizden ulaşılabilecekleri İlgili Kişi Başvuru Formu’nu eksiksiz doldurularak, yazılı olarak Mimar Sinan Mah. Işılay Saygın Sokağı No:17 Alsancak / İZMİR adresimize göndererek ya da tarafımıza önceden bildirmiş oldukları ve sistemimizde kayıtlı bulunan elektronik posta adresi üzerinden info@egesaglikvakfi.com.tr  e-posta adresimize ileterek talep edebilirler.

7.4  Başvurulara Cevap Verilmesi

İlgili kişinin yukarıda sayılan ve Kanun’un 11. Maddesinde geçen haklara ilişkin talebini usule uygun olarak tarafımıza iletmesi durumunda, talebin niteliğine göre en kısa sürede ve en geç 30 (otuz) gün içinde ilgili talebi ücretsiz olarak sonuçlandıracaktır. Ancak, işlemin ayrıca bir maliyet gerektirmesi halinde, Kurul tarafından belirlenen tarife uyarınca ücret alınabilecektir.

8  KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ SÜREÇLERİ KOORDİNASYONU

Özel Nitelikli Kişisel verilerin işlenmesi ve Korunması süreçlerinin koordinasyonunu Merkezimizin Kalite Yönetim Direktörü yapar.

9  POLİTİKADA YAPILAN GÜNCELLEMELER

Mevzuatın değişmesi sebebiyle, Kurul kararları uyarınca ya da sektördeki ya da bilişim alanındaki gelişmeler doğrultusunda işbu Özel Nitelikli Kişisel Verilerin İşlenmesi Politikasında değişiklik yapılabilir. Bu kapsamda yapılan değişiklikler derhal metne işlenir ve değişikliklere ilişkin açıklamalar aşağıda düzenlenen güncellemeler tablosuna eklenir.

Güncellemeler Tablosu

07.03.2018 Özel Nitelikli Kişisel Verilerin İşlenmesi ve Korunması Politikası yürürlüğe girmiştir.