AMAÇ VE KAPSAM
Özel Nitelikli
Kişisel Verilerin Korunması, Tuna Mah 1717 sokak No:110/1 Karşıyaka/İzmir adresinde mukim Dr. DenizŞen Kliniği için en önemli önceliklerinden
olup, yürürlükte olan tüm mevzuata uygun davranmak için azami gayret
göstermektedir. Özel Nitelikli Kişisel Verileri Koruması Politikası
çerçevesinde Klinik tarafından gerçekleştirilen Özel Nitelikli Kişisel Veri
işleme faaliyetlerinin yürütülmesinde benimsenen ilkeler ve veri işleme
faaliyetlerinin 6698 sayılı Kişisel Verilerin Korunması Kanununda ve ilgili
mevzuatta yer alan düzenlemeler ile Kişisel Verileri Koruma Kurumu kararlarına
uyum bakımından benimsenen temel prensipler açıklanmakta ve böylelikle Klinik,
kişisel veri sahiplerini bilgilendirerek gerekli şeffaflığı sağlamaktadır. Özel
Nitelikli Kişisel Verileriniz bu politika kapsamında işlenmekte ve
korunmaktadır.
TANIM
Kişilerin ırkı, etnik
kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları,
kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı,
ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve
genetik verileri Kanunda özel nitelikli kişisel veri olarak belirtilmiştir.
Tanımdan da anlaşıldığı üzere Kanun özel nitelikli kişisel verileri saymak
suretiyle sınırlı olarak belirlemiştir. Özel nitelikli kişisel veriyi diğer
kişisel verilerden ayıran en önemli özellik bu verilerin hukuka aykırı bir şekilde
işlenmesi halinde kişilerin mağduriyetine veya ayrımcılığa sebep olma riski
taşıyan kişisel veriler olmalarıdır.
ÖZEL NİTELİKLİ KİŞİSEL VERİNİN İŞLENMESİ
·
Kişisel Verilerin Korunması Kanunu
Klinik, ilgili
kişilere ait kritik önemi haiz özel nitelikli kişisel verileri işlerken görev
bilinci ve kanuni yükümlülükleri uyarınca azami özeni göstermektedir. Klinik
özel nitelikli kişisel verileri Kanuna uygun olarak işlemektedir. Kanunun 6.
maddesinin 4. fıkrasının göndermesiyle Kurul tarafından belirlenen yeterli
önlemleri ihtiva eden Kişisel Verileri Koruma Kurulunun 31.01.2018 Tarihli ve
2018/10 Sayılı Kararı ile belirlenen tedbirleri Şirketimiz almış olup bu
kurallar doğrultusunda kişilere ait özel nitelikli kişisel verileri
işlemektedir.
Kural
olarak özel nitelikli kişisel verilerin ilgilinin açık rızası olmaksızın
işlenmesi yasaktır. Özel nitelikli kişisel veriler Klinik tarafından, bu
Politikada belirtilen ilkelere uygun olarak ve KVK Kurumunun belirleyeceği yöntemler
de dâhil olmak üzere gerekli her türlü idari ve teknik tedbirler alınarak ve
aşağıdaki şartların varlığı halinde işlenmektedir.
·
Sağlık ve cinsel hayat dışındaki özel nitelikli
kişisel veriler, kanunlarda açıkça öngörülmesi diğer bir ifade ile ilgili
faaliyetin tabi olduğu kanunda kişisel verilerin işlenmesine ilişkin açıkça bir
hüküm olması halinde veri sahibinin açık rızası aranmaksızın işlenebilecektir.
Aksi durumda söz konusu özel nitelikli kişisel verilerin işlenebilmesi için
veri sahibinin açık rızası alınacaktır.
·
Sağlık ve cinsel hayata ilişkin özel nitelikli kişisel
veriler,
kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım
hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve
yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili
kurum ve kuruluşlar tarafından açık rıza aranmaksızın işlenebilecektir. Aksi
durumda söz konusu özel nitelikli kişisel verilerin işlenebilmesi için veri
sahibinin açık rızası alınacaktır.
VERİ
GÜVENLİĞİ ÖNLEMLERİ
Özel
Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken
Yeterli Önlemler ile ilgili Kişisel Verileri Koruma Kurulunun 31.01.2018
Tarihli ve 2018/10 Sayılı Kararı uyarınca belirlenen tedbirler Şirketçe alınmıştır.
Mezkûr tedbirler aşağıda belirtilmiştir:
1- Özel nitelikli kişisel verilerin güvenliğine
yönelik sistemli, kuralları net bir şekilde belli, yönetilebilir ve
sürdürülebilir ayrı bir Özel Nitelikli Kişisel Verileri Koruma Politikası
belirlenmiştir.
2- Özel nitelikli kişisel verilerin işlenmesi
süreçlerinde yer alan çalışanlara yönelik,
1. a) Kanun ve buna bağlı yönetmelikler ile özel nitelikli
kişisel veri güvenliği konularında düzenli olarak eğitimler verilmektedir.
2. b) Çalışanlar ile gizlilik sözleşmeleri yapılmaktadır.
Yine hizmet alınan kurumlarla da Kurumsal Gizlilik Sözleşmesi akdedilmektedir.
3. c) Verilere erişim yetkisine sahip kullanıcıların, yetki
kapsamlarının ve sürelerinin net olarak tanımlanmaktadır.
ç) Periyodik olarak yetki kontrolleri yapılmaktadır.
1. d) Görev değişikliği olan ya da işten ayrılan
çalışanların bu alandaki yetkilerinin işten ayrıldığı anda İnsan Kaynakları
birimi tarafından sistem üzerinden derhal yetkisi kaldırılmakta, sisteme
erişimi engellenmektedir. Bu kapsamda, veri sorumlusu tarafından kendisine
tahsis edilen envanter iade alınmaktadır.[EKB1]
3- Özel nitelikli kişisel verilerin işlendiği,
muhafaza edildiği ve/veya erişildiği ortamlar, elektronik ortam ise
1.
a) Veriler kriptografik yöntemler kullanılarak muhafaza
edilmekte,
2.
b) Kriptografik anahtarlar güvenli ve farklı ortamlarda
tutulmakta,
3.
c) Veriler üzerinde gerçekleştirilen tüm hareketlerin
işlem kayıtları güvenli olarak loglanmakta,
ç) Verilerin bulunduğu ortamlara ait güvenlik
güncellemeleri sürekli takip edilmekte, gerekli güvenlik testleri düzenli
olarak yapılmakta/yaptırılmakta ve test sonuçları kayıt altına alınmakta,
1.
d) Yazılım aracılığı ile erişilen verilere, bu yazılıma
ait kullanıcı yetkilendirmeleri yapılmakta, bu yazılımların güvenlik testleri
düzenli olarak yapılmakta/yaptırılmakta, test sonuçları kayıt altına alınmakta,
2.
e) Verilere uzaktan erişim gerekiyorsa en az iki kademeli
kimlik doğrulama sistemi sağlanmakta,
4- Özel nitelikli kişisel verilerin işlendiği, muhafaza
edildiği ve/veya erişildiği ortamlar, fiziksel ortam ise
1.
a) Özel nitelikli kişisel verilerin bulunduğu ortamın
niteliğine göre yeterli güvenlik önlemleri (elektrik kaçağı, yangın, su
baskını, hırsızlık vb. durumlara karşı) alınmakta,
2.
b) Bu ortamların fiziksel güvenliğinin sağlanarak
yetkisiz giriş çıkışların engellenmesi sağlanmaktadır.
5- Özel nitelikli kişisel veriler aktarılacaksa;
1.
a) Verilerin e-posta yoluyla aktarılması gerekiyorsa
şifreli olarak kurumsal e-posta adresiyle veya Kayıtlı Elektronik Posta (KEP)
hesabı kullanılarak aktarılmakta,
2.
b) Taşınabilir Bellek, CD, DVD gibi ortamlar yoluyla
aktarılması gerekiyorsa kriptografik yöntemlerle şifrelenmekte ve kriptografik
anahtar farklı ortamda tutulmakta,
3.
c) Farklı fiziksel ortamlardaki sunucular arasında
aktarma gerçekleştiriliyorsa, sunucular arasında VPN kurularak veya sFTP
yöntemiyle veri aktarımı gerçekleştirilmekte,
ç) Verilerin elden aktarımı gerekiyorsa evrakın
çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere
karşı gerekli önlemlerin alınması ve evrakın gizlilik dereceli belgeler
formatında gönderilmektedir.
6-Yukarıda belirtilen önlemlerin yanı sıra Kişisel
Verileri Koruma Kurumunun internet sitesinde yayımlanan Kişisel Veri Güvenliği
Rehberinde belirtilen uygun güvenlik düzeyini temin etmeye yönelik teknik ve
idari tedbirler de Şirketçe sağlanmaktadır.
ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN AKTARILMASI
Özel
nitelikli kişisel veriler Şirketimiz tarafından, bu Politikada belirtilen
ilkelere uygun olarak ve Kurul’un belirleyeceği yöntemler de dâhil olmak üzere gerekli
her türlü idari ve teknik tedbirler alınarak ve aşağıdaki şartların varlığı
halinde aktarılabilecektir:
–
Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler, kanunlarda
açıkça öngörülmesi diğer bir ifade ile ilgili kanunda kişisel verilerin
işlenmesine ilişkin açıkça bir hüküm olması halinde veri sahibinin açık rıza
aranmaksızın işlenebilecektir. Aksi halde veri sahibinin açık rızası
alınacaktır.
–
Sağlık ve cinsel hayata ilişkin özel nitelikli kişisel veriler, kamu sağlığının
korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin
yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi
amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve
kuruluşlar tarafından açık rıza aranmaksızın işlenebilecektir. Aksi halde veri
sahibinin açık rızası alınacaktır.
Yukarıdakilere
ek olarak kişisel veriler, Yeterli Korumaya Sahip Yabancı Ülkelere yukarıdaki
şartlardan herhangi birinin varlığı halinde aktarılabilecektir. Yeterli
korumanın bulunmaması durumunda ise mevzuatta öngörülen veri aktarım şartları
doğrultusunda Yeterli Korumayı Taahhüt Eden Veri Sorumlusunun Bulunduğu Yabancı
Ülkelere aktarılabilecektir.
KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VE
ANONİMLEŞTİRİLMESİ ŞARTLARI
Kanun
hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren
sebeplerin ortadan kalkması hâlinde şirketimiz ilgili prosedürlerine istinaden
veya kişisel veri sahibinin talebi üzerine kişisel veriler silinir, yok edilir
veya anonim hâle getirilir.
Bu
kapsamda Klinik ilgili yükümlülüğünü yerine getirmek üzere ilgili iş
birimlerini eğitmekte, görevlendirmekte ve farkındalıklarını arttırmaktadır.
Kliniğe
gelen kişilerin kişisel ve özel nitelikli kişisel verileri usulüne uygun olarak
elde edilirken Klinik görülebilir şekilde sergilenen ya da diğer şekillerde
(internet sitemizde) erişime sunulan metinler aracılığıyla söz konusu kişisel
veri sahipleri bu kapsamda aydınlatılmaktadır.
20. POLİTİKA’NIN YÜRÜRLÜĞÜ ve GÜNCELLENMESİ
Klinik tarafından düzenlenen
bu Politika 31/12/2021 tarihinde yürürlüğe konulmuştur. Bu Politika, Klinik internet sitesinde (……………………………)yayımlanır ve
ilgili kişilerin erişimine sunulur.
[EKB1]Bu kısım bizim hazırladığımız evrakları karşılıyor.