ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN KORUNMASI ve İŞLENMESİ POLİTİKASI
TANSAN ÖZEL SAĞLIK HİZMETLERİ VE TİCARET LTD.ŞTİ.
(ÖZEL TANSAN POLİKLİNİĞİ)
ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN KORUNMASI ve İŞLENMESİ POLİTİKASI
- Amaç
İşbu Özel Nitelikli Kişisel Verilerin İşlenmesi ve Korunması Politikası (“Politika”), 6698 sayılı
Kişisel Verilerin Korunması Kanunu (“KVKK”) uyarınca veri sorumlusu sıfatını haiz Tansan Özel Sağlık Hizmetleri ve Ticaret Ltd. Şti. (Şirket) nezdinde tutulan özel nitelikli kişisel veri niteliğindeki verilerin, veri güvenliği kapsamında korunması ve işlenmesi usul ve esaslarını belirlemek amacıyla oluşturulmuştur.
Şirketçe belirlenen temel ilkeler doğrultusunda; çalışanların, hastaların, hasta yakını/ refakatçilerin/vasilerin-velilerin-temsilcilerin/, hissedarların/ortakların , hizmet sağlayıcıların, tedarikçi yetkilisinin/ tedarikçi çalışanının, ziyaretçilerin ve herhangi bir nedenle Şirket’e ait poliklinik bünyesinde kişisel verisi bulunan diğer tüm üçüncü kişilerin kişisel verilerinin işlenmesi ; bu Özel Nitelikli Kişisel Verilerin Korunması Ve İşlenmesi Politikası çerçevesinde T.C. Anayasası, uluslararası sözleşmeler, 6698 sayılı Kişisel Verilerin Korunması Kanunu ve ilgili mevzuata uygun olarak yürütülmektedir.
Özel Nitelikli Kişisel Verilerin Korunması ve İşlenmesine ilişkin iş ve işlemler Şirket tarafından bu doğrultuda hazırlanmış olan Politikaya uygun olarak gerçekleştirilir.
2.KVKK Kapsamında Özel Nitelikli Kişisel Veri
KVKK kapsamında ilgili kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veri olarak kabul edilmekte olup; Şirket, kişilerin özel nitelikli kişisel verilerinin işlenmesinde, KVKK ve Anayasanın 13. Maddesinde belirtilen esaslara uygun davranır, Kişisel Verilerin Korunması Kurulu tarafından ayrıca belirlenen yeterli ve gerekli önlemlerin tamamını alır.
- Özel Nitelikli Kişisel Verilerin İşlenmesi
Özel nitelikli kişisel veriler ilgili kişinin açık rızası ile ya da KVKK’ da sayılan sınırlı hallerde işlenebilir. Kanun, özel nitelikli kişisel veriler arasında bir ayrım yapmıştır. Buna göre Kanunda sağlık ve cinsel hayata ilişkin kişisel veriler ile bunlar dışında kalan özel nitelikli kişisel verilerin, açık rıza olmaksızın işlenebileceği haller farklı düzenlenmiştir.
- Özel Nitelikli Kişisel Verilerin İşleme Şartları
KVKK’ya göre açık rıza halinde özel nitelikli kişisel veriler işlenebilir. Yine KVKK’ya göre, özel nitelikli kişisel verilerin işlenmesi, ilgili kişinin açık rızası dışında aşağıdaki hallerde mümkündür:
a- Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler, ancak kanunlarda öngörülen
hallerde,
b-Sağlık ve cinsel hayata ilişkin kişisel veriler, ancak kamu sağlığının korunması, koruyucu
hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile
finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlüğü altında bulunan
kişiler veya yetkili kurum ve kuruluşlar tarafından, işlenebilir.
| İşleme Şartları | Kapsam | Örnek |
| İlgili Kişinin Açık Rızası | İlgili kişinin açık rızasının alınmış olması | Klinik araştırmalar kapsamında gönüllülerin rızasının alınması |
| Kanun Hükmü | Sağlık ve cinsel hayat dışındaki kişisel veriler ilgili kişinin açık rızası aranmaksızın işlenebilir. Vergi Kanunları, İş Kanunu, Türk Ticaret Kanunu vb. daha sıkı hassas veri işleme şartları. |
Çalışana ait sendikalılık bilgisinin özlük dosyasında mevzuat gereği tutulması gerekir. |
| Kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması, yönetimi ve finansmanı | Kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması, yönetimi ve finansmanı amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenmesi | Doktorun hastası hakkında işlediği sağlık verileri |
- Özel Nitelikli Kişisel Verilerin İşlenmesine İlişkin Önlemler
Şirket, Özel Nitelikli Kişisel Veriler ’in işlenmesinde, veri sorumlusu sıfatıyla, aşağıda belirtilen önlemleri almaktadır:
a- Özel nitelikli kişisel verilerin güvenliğine yönelik sistemli, sınırları ve kuralları açık ve net bir şekilde belli, yönetilebilir ve sürdürülebilir işbu Politika belirlenmiştir.
b- Özel nitelikli kişisel verilerin işlenmesi süreçlerinde yer alan çalışanlara yönelik;
aa- Kanun ve buna bağlı yönetmelikler ile Özel Nitelikli Kişisel Veri Güvenliği konularında düzenli olarak eğitimler verilmektedir.
bb- Gizlilik kuralları uygulanmakta, çalışanlarla gizlilik sözleşmeleri yapılmaktadır.
cc-Verilere erişim yetkisine sahip kullanıcıların, yetki kapsamları ve süreleri net olarak tanımlanmaktadır.
dd- Periyodik olarak yetki kontrolleri gerçekleştirilmektedir.
ee- Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri derhal kaldırılmakta, bu halde Veri Sorumlusu tarafından kendisine tahsis edilen envanterin iadesi sağlanmaktadır.
c- Özel Nitelikli Kişisel Verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, elektronik ortam ise;
aa- Kişisel Veriler, kriptografik yöntemler kullanılarak muhafaza edilmektedir,
bb- Kriptografik anahtarlar güvenli ve farklı ortamlarda tutulmaktadır,
cc- Kişisel veriler üzerinde gerçekleştirilen tüm hareketlerin işlem kayıtları güvenli olarak
loglanmaktadır,
dd- Kişisel verilerin bulunduğu ortamlara ait güvenlik güncellemelerinin sürekli takip edilmekte, gerekli güvenlik testleri düzenli olarak yapılmakta/yaptırılmakta, test sonuçları kayıt altına alınmaktadır,
ee- Kişisel verilerin hukuka aykırı işlenmesini önlemeye yönelik teknik kontroller yapılarak (Örn: sızma/penetrasyon testleri) risk, tehdit, zafiyet, açıklıklar belirlenmekte, bu risklere uygun teknik tedbirlerin alınması sağlanmakta ve gerekli önlemler alınmaktadır.
ff- Kişisel verilere bir yazılım aracılığı ile erişiliyorsa bu yazılıma ait kullanıcı yetkilendirmeleri yapılmakta, bu yazılımların güvenlik testleri düzenli olarak yapılmakta/yaptırılmakta, test sonuçları kayıt altına alınmaktadır,
gg- Kişisel verilere uzaktan erişim gerekiyorsa bu erişim en az iki kademeli kimlik doğrulama sistemi ile sağlanmaktadır.
d- Özel Nitelikli Kişisel Verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, fiziksel ortam ise;
aa- Özel Nitelikli Kişisel Veriler ‘in bulunduğu ortamın niteliğine göre yeterli güvenlik önlemleri (elektrik kaçağı, yangın, su baskını, hırsızlık vb. durumlara karşı, yangın söndürme sistemi, iklimlendirme vs. gibi) alınmaktadır,
bb- Bu ortamların fiziksel güvenliği sağlanarak yetkisiz giriş çıkışlar engellenmektedir.
e- Özel Nitelikli Kişisel Verilerin aktarılması gerekiyor ise;
aa- Kişisel Verilerin e-posta yoluyla aktarılması gerekiyorsa şifreli olarak kurumsal e-posta adresiyle veya Kayıtlı Elektronik Posta (KEP) hesabı kullanılarak aktarılmaktadır.
bb-Taşınabilir Bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerekiyorsa kriptografik
yöntemlerle şifrelenmekte ve kriptografik anahtar farklı ortamda tutulmaktadır.
cc- Farklı fiziksel ortamlardaki sunucular arasında aktarma gerçekleştiriliyorsa, sunucular arasında VPN kurularak veya sFTP yöntemiyle veri aktarımı gerçekleştirilmektedir,
dd- Kişisel verilerin kağıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemler alınmakta ve evrak “Gizli ”formatta gönderilmektedir.
- Özel Nitelikli Kişisel Verilerin Aktarılması
Şirket, hukuka uygun olarak elde etmiş olduğu Özel Nitelikli Kişisel Verileri, veri işleme amaçları doğrultusunda, gerekli güvenlik önlemlerini alarak, Veri Sahibi’nin Özel Nitelikli Kişisel Verileri’ni üçüncü kişilere aktarabilmektedir. Bu doğrultuda, Şirket, Özel Nitelikli Kişisel Verileri, yukarıdaki bölümde belirtilen işleme şartlarından ve aşağıda belirtilen şartlardan birinin varlığı halinde üçüncü kişilere aktarabilecektir.
a- Veri Sahibi’nin açık rızası var ise,
b- Kanunlarda Özel Nitelikli Kişisel Veri’nin aktarılacağına ilişkin açık bir düzenleme var ise,
c- Veri Sahibi’nin veya başkasının hayatı veya beden bütünlüğünün korunması için zorunlu söz konusu ise ve Veri Sahibi fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda ise veya rızasına hukuki geçerlilik tanınmıyorsa;
d- Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olmak kaydıyla sözleşmenin taraflarına ait kişisel verinin aktarılması gerekli ise,
e- Şirket’in hukuki yükümlülüğünü yerine getirmesi için kişisel veri aktarımı zorunlu ise,
f- Özel Nitelikli Kişisel Veriler, Veri Sahibi tarafından alenileştirilmiş ise,
g- Özel Nitelikli Kişisel Veri aktarımı bir hakkın tesisi, kullanılması veya korunması için zorunlu ise,
h- Veri Sahibi’nin temel hak ve özgürlüklerine zarar vermemek kaydıyla, kişisel veri aktarımı zorunlu ise.
- Özel Nitelikli Kişisel Verilerin Yurtdışına Aktarılması
Şirket, gerekli özeni göstererek, gerekli güvenlik tedbirlerini ve Kurul tarafından öngörülen yeterli önlemleri alarak, meşru ve hukuka uygun Kişisel Veri işleme amaçları doğrultusunda, Veri Sahibi’nin Özel Nitelikli Kişisel Veriler’ini aşağıdaki durumlarda yeterli korumaya sahip veya yeterli korumayı taahhüt eden veri sorumlusunun bulunduğu yabancı ülkelere aktarabilmektedir.
a- Kişisel veri sahibinin açık rızası var ise veya
b- Kişisel veri sahibinin açık rızası yok ise;
aa- İlgili Veri Sahibi’nin sağlığı ve cinsel hayatı dışındaki özel nitelikli kişisel verileri (ırk, etnik
köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet,
dernek, vakıf ya da sendika üyeliği, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler
ile biyometrik ve genetik verilerdir), kanunlarda öngörülen hallerde,
bb- İlgili Veri Sahibi’nin sağlığına ve cinsel hayatına ilişkin özel nitelikli kişisel verileri ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenmesi kapsamında.
- Güncelleme
İşbu politika Kişisel Verileri Koruma Kurulu kararları ve mevzuat değişikliklerine göre
güncellenecektir.