DOKTOR DENİZ ŞEN KLİNİĞİ  

ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASI

 

AMAÇ VE KAPSAM

Özel Nitelikli Kişisel Verilerin Korunması, Tuna Mah 1717 sokak No:110/1 Karşıyaka/İzmir adresinde mukim Dr. DenizŞen Kliniği için en önemli önceliklerinden olup, yürürlükte olan tüm mevzuata uygun davranmak için azami gayret göstermektedir. Özel Nitelikli Kişisel Verileri Koruması Politikası çerçevesinde Klinik tarafından gerçekleştirilen Özel Nitelikli Kişisel Veri işleme faaliyetlerinin yürütülmesinde benimsenen ilkeler ve veri işleme faaliyetlerinin 6698 sayılı Kişisel Verilerin Korunması Kanununda ve ilgili mevzuatta yer alan düzenlemeler ile Kişisel Verileri Koruma Kurumu kararlarına uyum bakımından benimsenen temel prensipler açıklanmakta ve böylelikle Klinik, kişisel veri sahiplerini bilgilendirerek gerekli şeffaflığı sağlamaktadır. Özel Nitelikli Kişisel Verileriniz bu politika kapsamında işlenmekte ve korunmaktadır.

TANIM

Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri Kanunda özel nitelikli kişisel veri olarak belirtilmiştir. Tanımdan da anlaşıldığı üzere Kanun özel nitelikli kişisel verileri saymak suretiyle sınırlı olarak belirlemiştir. Özel nitelikli kişisel veriyi diğer kişisel verilerden ayıran en önemli özellik bu verilerin hukuka aykırı bir şekilde işlenmesi halinde kişilerin mağduriyetine veya ayrımcılığa sebep olma riski taşıyan kişisel veriler olmalarıdır.

ÖZEL NİTELİKLİ KİŞİSEL VERİNİN İŞLENMESİ

 

·         Kişisel Verilerin Korunması Kanunu

Klinik, ilgili kişilere ait kritik önemi haiz özel nitelikli kişisel verileri işlerken görev bilinci ve kanuni yükümlülükleri uyarınca azami özeni göstermektedir. Klinik özel nitelikli kişisel verileri Kanuna uygun olarak işlemektedir. Kanunun 6. maddesinin 4. fıkrasının göndermesiyle Kurul tarafından belirlenen yeterli önlemleri ihtiva eden Kişisel Verileri Koruma Kurulunun 31.01.2018 Tarihli ve 2018/10 Sayılı Kararı ile belirlenen tedbirleri Şirketimiz almış olup bu kurallar doğrultusunda kişilere ait özel nitelikli kişisel verileri işlemektedir.

Kural olarak özel nitelikli kişisel verilerin ilgilinin açık rızası olmaksızın işlenmesi yasaktır. Özel nitelikli kişisel veriler Klinik tarafından, bu Politikada belirtilen ilkelere uygun olarak ve KVK Kurumunun belirleyeceği yöntemler de dâhil olmak üzere gerekli her türlü idari ve teknik tedbirler alınarak ve aşağıdaki şartların varlığı halinde işlenmektedir.

·         Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler, kanunlarda açıkça öngörülmesi diğer bir ifade ile ilgili faaliyetin tabi olduğu kanunda kişisel verilerin işlenmesine ilişkin açıkça bir hüküm olması halinde veri sahibinin açık rızası aranmaksızın işlenebilecektir. Aksi durumda söz konusu özel nitelikli kişisel verilerin işlenebilmesi için veri sahibinin açık rızası alınacaktır.

·         Sağlık ve cinsel hayata ilişkin özel nitelikli kişisel veriler, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından açık rıza aranmaksızın işlenebilecektir. Aksi durumda söz konusu özel nitelikli kişisel verilerin işlenebilmesi için veri sahibinin açık rızası alınacaktır.

VERİ GÜVENLİĞİ ÖNLEMLERİ

Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler ile ilgili Kişisel Verileri Koruma Kurulunun 31.01.2018 Tarihli ve 2018/10 Sayılı Kararı uyarınca belirlenen tedbirler Şirketçe alınmıştır. Mezkûr tedbirler aşağıda belirtilmiştir:

1- Özel nitelikli kişisel verilerin güvenliğine yönelik sistemli, kuralları net bir şekilde belli, yönetilebilir ve sürdürülebilir ayrı bir Özel Nitelikli Kişisel Verileri Koruma Politikası belirlenmiştir.

2- Özel nitelikli kişisel verilerin işlenmesi süreçlerinde yer alan çalışanlara yönelik,

1.      a) Kanun ve buna bağlı yönetmelikler ile özel nitelikli kişisel veri güvenliği konularında düzenli olarak eğitimler verilmektedir.

2.      b) Çalışanlar ile gizlilik sözleşmeleri yapılmaktadır. Yine hizmet alınan kurumlarla da Kurumsal Gizlilik Sözleşmesi akdedilmektedir.

3.      c) Verilere erişim yetkisine sahip kullanıcıların, yetki kapsamlarının ve sürelerinin net olarak tanımlanmaktadır.

ç) Periyodik olarak yetki kontrolleri yapılmaktadır.

1.      d) Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkilerinin işten ayrıldığı anda İnsan Kaynakları birimi tarafından sistem üzerinden derhal yetkisi kaldırılmakta, sisteme erişimi engellenmektedir. Bu kapsamda, veri sorumlusu tarafından kendisine tahsis edilen envanter iade alınmaktadır.[EKB1] 

3- Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, elektronik ortam ise

1.      a) Veriler kriptografik yöntemler kullanılarak muhafaza edilmekte,

2.      b) Kriptografik anahtarlar güvenli ve farklı ortamlarda tutulmakta,

3.      c) Veriler üzerinde gerçekleştirilen tüm hareketlerin işlem kayıtları güvenli olarak loglanmakta,

ç) Verilerin bulunduğu ortamlara ait güvenlik güncellemeleri sürekli takip edilmekte, gerekli güvenlik testleri düzenli olarak yapılmakta/yaptırılmakta ve test sonuçları kayıt altına alınmakta,

1.      d) Yazılım aracılığı ile erişilen verilere, bu yazılıma ait kullanıcı yetkilendirmeleri yapılmakta, bu yazılımların güvenlik testleri düzenli olarak yapılmakta/yaptırılmakta, test sonuçları kayıt altına alınmakta,

2.      e) Verilere uzaktan erişim gerekiyorsa en az iki kademeli kimlik doğrulama sistemi sağlanmakta,

4- Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, fiziksel ortam ise

1.      a) Özel nitelikli kişisel verilerin bulunduğu ortamın niteliğine göre yeterli güvenlik önlemleri (elektrik kaçağı, yangın, su baskını, hırsızlık vb. durumlara karşı) alınmakta,

2.      b) Bu ortamların fiziksel güvenliğinin sağlanarak yetkisiz giriş çıkışların engellenmesi sağlanmaktadır.

5- Özel nitelikli kişisel veriler aktarılacaksa;

1.      a) Verilerin e-posta yoluyla aktarılması gerekiyorsa şifreli olarak kurumsal e-posta adresiyle veya Kayıtlı Elektronik Posta (KEP) hesabı kullanılarak aktarılmakta,

2.      b) Taşınabilir Bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerekiyorsa kriptografik yöntemlerle şifrelenmekte ve kriptografik anahtar farklı ortamda tutulmakta,

3.      c) Farklı fiziksel ortamlardaki sunucular arasında aktarma gerçekleştiriliyorsa, sunucular arasında VPN kurularak veya sFTP yöntemiyle veri aktarımı gerçekleştirilmekte,

ç) Verilerin elden aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemlerin alınması ve evrakın gizlilik dereceli belgeler formatında gönderilmektedir.

6-Yukarıda belirtilen önlemlerin yanı sıra Kişisel Verileri Koruma Kurumunun internet sitesinde yayımlanan Kişisel Veri Güvenliği Rehberinde belirtilen uygun güvenlik düzeyini temin etmeye yönelik teknik ve idari tedbirler de Şirketçe sağlanmaktadır.

 

ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN AKTARILMASI

 

Özel nitelikli kişisel veriler Şirketimiz tarafından, bu Politikada belirtilen ilkelere uygun olarak ve Kurul’un belirleyeceği yöntemler de dâhil olmak üzere gerekli her türlü idari ve teknik tedbirler alınarak ve aşağıdaki şartların varlığı halinde aktarılabilecektir:

– Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler, kanunlarda açıkça öngörülmesi diğer bir ifade ile ilgili kanunda kişisel verilerin işlenmesine ilişkin açıkça bir hüküm olması halinde veri sahibinin açık rıza aranmaksızın işlenebilecektir. Aksi halde veri sahibinin açık rızası alınacaktır.

– Sağlık ve cinsel hayata ilişkin özel nitelikli kişisel veriler, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından açık rıza aranmaksızın işlenebilecektir. Aksi halde veri sahibinin açık rızası alınacaktır.

Yukarıdakilere ek olarak kişisel veriler, Yeterli Korumaya Sahip Yabancı Ülkelere yukarıdaki şartlardan herhangi birinin varlığı halinde aktarılabilecektir. Yeterli korumanın bulunmaması durumunda ise mevzuatta öngörülen veri aktarım şartları doğrultusunda Yeterli Korumayı Taahhüt Eden Veri Sorumlusunun Bulunduğu Yabancı Ülkelere aktarılabilecektir.

KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VE ANONİMLEŞTİRİLMESİ ŞARTLARI

 

Kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde şirketimiz ilgili prosedürlerine istinaden veya kişisel veri sahibinin talebi üzerine kişisel veriler silinir, yok edilir veya anonim hâle getirilir.

Bu kapsamda Klinik ilgili yükümlülüğünü yerine getirmek üzere ilgili iş birimlerini eğitmekte, görevlendirmekte ve farkındalıklarını arttırmaktadır.

Kliniğe gelen kişilerin kişisel ve özel nitelikli kişisel verileri usulüne uygun olarak elde edilirken Klinik görülebilir şekilde sergilenen ya da diğer şekillerde (internet sitemizde) erişime sunulan metinler aracılığıyla söz konusu kişisel veri sahipleri bu kapsamda aydınlatılmaktadır.

20. POLİTİKA’NIN YÜRÜRLÜĞÜ ve GÜNCELLENMESİ

Klinik tarafından düzenlenen bu Politika 31/12/2021 tarihinde yürürlüğe konulmuştur. Bu Politika, Klinik  internet sitesinde (……………………………)yayımlanır ve ilgili kişilerin erişimine sunulur. 

 


 [EKB1]Bu kısım bizim hazırladığımız evrakları karşılıyor.