1. FİRDEVS SEVİL ÖZKAN
KİŞİSEL VERİLERİN KORUNMASI POLİTİKASI
Dr. Firdevs Sevil Özkan (bundan sonra ‘veri sorumlusu’ olarak anılacaktır.) Kişisel verilerin korunmasına büyük önem vermektedir. Bu kapsamda veri sorumlusu şirket içerisindeki veri işleme faaliyetinde bulunan her bir iş birimi iş sürecinde elde ettiği kişisel verileri kanun, yönetmelik, şirket politikasına uygun olarak işlemek, saklamak, kanun, yönetmelik, şirket imha politikasına göre silmek, yok etmek veya anonim hale getirmekle, verilerin hukuka aykırı aktarılmasını, elde edilmesini vs. önlemek ile sorumludur. Şirket çalışanlarına kişisel verileri korumak ile ilgili bilgilendirme yapılmış olmakla birlikte düzenli denetimler de gerçekleştirilmektedir.
işbu politika ile kişisel veri işleme faaliyetine ilişkin usul esasları belirlemek amacıyla hazırlanmıştır.
1. AMAÇ:
Yürürlükte bulunan 6698 sayılı Kişisel Verilerin Korunması hakkındaki Kanunu ile ilgili mevzuatlara uygun olarak hazırlanan politikamızın amacı; kişisel verilerin korunması hakkındaki ilgili mevzuatlara uyumun sağlanması, Dr. Firdevs Sevil Özkan’ın gerçekleştirdiği faaliyetler kapsamında temin edilen kişisel verilerin işlenmesi ile ilgili klinik içi kontrol ve önlemlerin, işleyiş kurallarının ve sorumlulukların belirlenmesi ile klinik çalışanlarının bu konularda bilinçlendirilmesidir. Aynı zamanda; kişisel veri işleme faaliyeti gerçekleştirilirken veri sorumlusunca kişisel verisi işlenen her ilgili kişinin şeffaflık ilkesi temel alınarak veri sorumlusu tarafından bilgilendirilmesi amaçlanmaktadır.
2. KAPSAM:
Veri sorumlusunun gerçekleştirmekte olduğu iş tanımı kapsamında; hastalara, aday hastalara, çalışanlara, çalışan adaylarına, hizmet sağlayan gerçek kişilere veya tüzel kişiliğin yetkili gerçek kişilerine ile çalışanlarına, diğer üçüncü kişilere ait kişisel veriler bu politika kapsamında olup veri sorumlusunun gerçekleştirmiş olduğu kişisel veri işleme faaliyetinin tüm aşamalarında bu politika uygulanır.
3. TANIMLAR:
- Açık Rıza: Belirli bir konuya ilişkin bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.
- Anonim Hale Getirme: Kişisel verinin, kimliği belli veya belirlenebilir biri ile ilişkilendirilebilme niteliğini kaybedecek ve bu durumun geri alınamayacağı şekilde değiştirilmesidir.
- Çalışan: veri sorumlusu ile arasında yapılmış olan iş akdi gereğince veri sorumlusu ile çalışmakta olan kişiler
- Çalışan Adayı: veri sorumlusuna ya herhangi bir yolla iş başvurusunda bulunmuş ya da özgeçmiş ve ilgili bilgilerini veri sorumlusunun incelemesine açmış olan gerçek kişiler
- İş birliği İçerisinde Olduğumuz Kurumların Çalışanları, Hissedarları ve Yetkilileri Şirketin her türlü iş ilişkisi içerisinde bulunduğu kurumlarda (iş ortağı, tedarikçi gibi, ancak bunlarla sınırlı olmaksızın) çalışan, bu kurumların hissedarları ve yetkilileri dahil olmak üzere, gerçek kişiler.
- Kişisel Verilerin İşlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.
- Kişisel Veri Sahibi Kişisel verisi işlenen gerçek kişi.
- Kişisel Veri Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi. Tüzel kişilere ilişkin bilgilerin işlenmesi kanun kapsamında değildir.
- Hasta: veri sorumlusu ile herhangi bir sözleşmesel ilişkisi olup olmadığına bakılmaksızın Şirketin sunmuş olduğu ürün ve hizmetleri kullanan veya kullanmış olan gerçek kişiler
- Özel Nitelikli Kişisel Veri: Kanunda sınırla olarak sayılmış olan; Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık kıyafet, dernek vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik veriler özel nitelikli verilerdir.
- Hasta adayı: Ürün ve hizmetlerimize kullanma talebinde veya ilgisinde bulunmuş veya bu ilgiye sahip olabileceği ticari teamül ve dürüstlük kurallarına uygun olarak değerlendirilmiş gerçek kişiler.
- Şirket Hissedarı: Şirketin hissedarı gerçek kişiler.
- Şirket Yetkilisi: Şirketin yönetim kurulu üyesi ve diğer yetkili gerçek kişiler
- Üçüncü Kişi: Veri sorumlusunun yukarıda bahsi geçen taraflarla arasındaki ticari işlem güvenliğini sağlamak veya bahsi geçen kişilerin haklarını korumak ve menfaat temin etmek üzere bu kişilerle ilişkili olan üçüncü taraf gerçek kişiler (Örn. Aile Bireyleri ve yakınlar)
- Veri İşleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel veri işleyen gerçek ve tüzel kişidir.
- Veri Sorumlusu: Kişisel verilerin işlenme amaçlarını ve vasıtalarını belirleyen, verilerin sistematik bir şekilde tutulduğu yeri (veri kayıt sistemi) yöneten, veri sahibinin talebi / başvurusu neticesinde kişisel bilgileri ile ilgili veri sahibine gerekli bilgiyi sağlayan ve yönlendirmeleri yapan gerçek veya tüzel kişidir.
4.YASAL DAYANAKLAR:
- Anayasa,
- 6698 Sayılı Kişisel Verileri Koruma Kanunu,
- Türk Ceza Kanunu,
- Türk Ticaret Kanunu,
- Vergi Usul Kanunu,
- 108 Sayılı Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi,
- İnsan Hakları ve Biyotıp Sözleşmesi,
- Kişisel Sağlık Verilerinin İşlenmesi ve Mahremiyetinin Sağlanması Hakkında Yönetmelik,
- AİHM Kararları,
- Yargıtay Kararları,
- KVKK Kurul Kararları.
5. KİŞİSEL VERİLERİN KAYIT ORTAMLARI:
Veri sorumlusu aşağıdaki kayıt ortamlarında verileri saklayabilir:
- Klinik bilgisayarları,
- Yazılımlar (ofis yazılımları, devlete ait yazılımlar),
- Elektronik olmayan yazılı, basılı, görsel, yazı çıktıları kilitli dolaplarda,
- Bilgi güvenliği cihazları (anti-virüs programları gibi)
- Çıkarılabilir bellekler.
6.ÇALIŞAN VE ÇALIŞAN ADAYI KİŞİ GRUBU:
6.1. Çalışan Adayı Kişi Grubuna İlişkin Toplanan Kişisel Veriler:
Şirket aşağıdaki verileri işleyebilir:
- Kimlik bilgileriniz olan: Ad-soyadı, doğum yeri, doğum tarihi, TC kimlik numarası, cinsiyet,
- İletişim bilgileriniz olan: Cep ve ev telefon numarası, E-posta adresi, ev adresi, iş adresi, iletilen referanslara ait telefon numaraları,
- Özel nitelikli kişisel verileriniz olan: Adli sicil kaydı, sağlık raporu, engellilik durumu bilgisi, kan grubu,
- Eğitim verileriniz olan: Öğrenim durumu, sertifika ve diploma bilgileri, yabancı dil bilgileri, eğitim ve beceriler, CV, aldığı kurslar,
- Görsel ve işitsel verileriniz olan: Fotoğraf, kamera kayıtları, video,
- Aile ve yakını hakkında veri (eş, çocuk durumu)
- Diğer verileriniz olan: askerlik tescili verisi,
6.2. Çalışan Kişi Grubuna İlişkin Toplanan Kişisel Veriler:
Veri sorumlusu aşağıdaki verileri işleyebilir:
Kimlik Bilgisi Ad-soyadı, uyruk, medeni durumu, doğum yeri ve tarihi, T.C. kimlik numarası, cinsiyet, imza bilgisi, aile bildirim bilgileri
İletişim Bilgisi Telefon numarası, adres bilgisi, e-posta adresi, IP adres bilgisi,
Mesleki Deneyim Öğrenim durumu, sertifika aldığı kurs bilgileri, yabancı dil bilgisi, çalışma hayatı süresince aldığı eğitimler bilgileri, diploma bilgileri,
Özel Nitelikli Kişisel Veriler Adli Sicil Bilgileri, engellilik durumuna ait bilgiler, sağlık verisi, kan grubu, sağlık raporları,
Finansal Bilgi IBAN bilgileri, banka bilgileri
Hukuk İşlem Verisi İcra takip ve borç bilgileri,
Görsel Veri Fotoğraf, kamera kayıt görüntüleri,
Çalışma Verisi İş unvanı, işe giriş çıkış bildirgeleri, sosyal güvenlik no, esnek saatlerde çalışma durumu, özgeçmiş, mal bildirimi bilgileri, disiplin soruşturması, Bordro bilgileri, performans değerlendirme raporları, izne çıkış tarihi
İzin Verisi yıllık izin formu
6.3. Çalışan Adayların Kişisel Verilerinin İşlenme Amaçları:
Veri sorumlusu söz konusu kişisel verileri aşağıdaki amaçlarla işleyebilir:
- Çalışan adayı seçme ve yerleştirme süreçlerinin yürütülmesi,
- Çalışan adaylarının başvuru süreçlerinin yürütülmesi,
- Acil durum yönetimi süreçlerinin yürütülmesi,
- Bilgi güvenliği süreçlerinin yürütülmesi,
- Fiziksel mekân güvenliği temini,
- İş sağlığı ve güvenliği faaliyetlerinin yürütülmesi,
- İnsan kaynakları süreçlerinin planlanması ve yürütülmesi,
- Yetkili kişi, kurum ve kuruluşlara bilgi verilmesi,
- Faaliyetlerin mevzuata uygun yürütülmesi,
6.4. Çalışanların Kişisel Verilerinin İşlenme Amaçları:
Kişisel verilerin işlenme şartları başlığını taşıyan 6698 sayılı KVK K. m.5’e göre, kural olarak kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez. Ancak aşağıdaki şartlardan birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür:
- Kanunlarda açıkça öngörülmesi.
- Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
- Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
- Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
- İlgili kişinin kendisi tarafından alenileştirilmiş olması.
- Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
- İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.
Özel nitelikli kişisel verilerin işlenme şartları başlığını taşıyan 6698 sayılı KVK m.6’ya göre, kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir. Kural olarak özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır.
Ancak, yukarıda belirtilen sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler de kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.
Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır.
Kişisel verileriniz kliniğimiz tarafından yukarıda belirtilen 6698 KVK K.nun 5. ve 6. maddelerinde belirtilen kişisel veri işleme şartları dahilinde ve aşağıda sıralanan amaçlarla veri sorumlusu tarafından işlenebilecektir:
- Çalışan Memnuniyeti Ve Bağlılığı Süreçlerinin Yürütülmesi,
- Çalışanlar İçin İş Akdi Ve Mevzuattan Kaynaklı Yükümlülüklerin Yerine Getirilmesi,
- Çalışanlar İçin Yan Haklar Ve Menfaatleri Süreçlerinin Yürütülmesi,
- Erişim Yetkilerinin Yürütülmesi,
- Eğitim faaliyetlerinin yürütülmesi,
- Faaliyetlerin Mevzuata Uygun Yürütülmesi,
- Finans Ve Muhasebe İşlerinin Yürütülmesi,
- Fiziksel Mekan Güvenliğinin Temini,
- Hukuk İşlerinin Takibi Ve Yürütülmesi,
- İç Denetim/ Soruşturma / İstihbarat Faaliyetlerinin Yürütülmesi,
- İletişim Faaliyetlerinin Yürütülmesi,
- İnsan Kaynakları Süreçlerinin Planlanması,
- İş Faaliyetlerinin Yürütülmesi / Denetimi,
- İş Sağlığı / Güvenliği Faaliyetlerinin Yürütülmesi,
- İş Süreçlerinin İyileştirilmesine Yönelik Önerilerin Alınması Ve Değerlendirilmesi,
- Müşteri İlişkileri Yönetimi Süreçlerinin Yürütülmesi,
- Performans Değerlendirme Süreçlerinin Yürütülmesi,
- Sözleşme Süreçlerinin Yürütülmesi,
- Talep / Şikayetlerin Takibi,
- Yetkili Kişi, Kurum ve Kuruluşlara Bilgi Verilmesi,
- Denetim / Etik Faaliyetlerinin Yürütülmesi,
- Görevlendirme Süreçlerinin Yürütülmesi,
- Risk Yönetimi Süreçlerinin Yürütülmesi,
Kişisel verileriniz, ilgili mevzuatta belirtilen veya işlendikleri amaç için gerekli olan azami süre ve herhalde kanuni zamanaşımı süreleri kadar muhafaza edilecektir.
6.5. Çalışanların ve Çalışan Adayların Kişisel Verilerinin Toplanma ve İşlenme Yöntemleri:
Veri sorumlusu hem işe alım sürecinde adayların hem iş akdi süresince çalışanların kişisel verilerini ilgili aydınlatma metinlerinde belirtilen diğer yöntem ve vasıtalarla birlikte veya ek olarak aşağıdaki yöntem ve vasıtalarla toplanmaktadır:
- Yazılı beyanlar, uygulama ile alınan bilgiler,
- Fiziksel ortamlarda kilitli dolaplardaki özlük dosyalarında,
- Fiziksel mekân güvenliğini sağlamak amacıyla kurulmuş olan güvenlik kameraları
- Adayların ve çalışanların veri sorumlusuna e-posta, elden, yüz yüze ve benzeri yöntemlerle ulaştırdıkları özgeçmişler, belgeler, raporlar vs.
- Veri sorumlusu toplanan kişisel verileri bilgisayar sistemleri ve kurum personeli vasıtasıyla otomatik olan veya otomatik olmayan yollarla işler.
6.6. Adaylar Hakkında Referans Araştırması Yapılması:
Veri sorumlusu, adaylar hakkında, adayların iş başvuru formunda ilgili alanları doldurmak suretiyle belirtmiş olduğu bilgiler ile referans araştırması yapabilir. Bununla ilgili çalışan adayları hem ilgili aydınlatma metninde hem de ilgili açık rıza metninde bilgilendirilmektedir.
Yapılacak referans araştırması genel olarak adayın verdiği bilgilerin doğruluğunu teyit etmeye yönelik olacaktır. Referans araştırması yapılması amacıyla iletişime geçilecek olan kişilere karşı aydınlatma yükümlülüğü ilk iletişim anında veri sorumlusu yetkilisi tarafından yerine getirilecektir.
Yapılacak referans araştırması kapsamında üçüncü kişilerle adaylara ait kimlik bilgileri, iş ve eğitim tecrübeleri gibi gerekli kişisel veriler paylaşılabilir. Ayrıca adaylar hakkında üçüncü kişilerden kişisel veri elde edilebilir.
Adaylar, kendileri ile ilgili yapılacak referans araştırması hakkında her zaman veri sorumlusu ile irtibat kurabilir.
6.7. Adaylık Sürecinde Toplanan Kişisel Verilerden İşe Alım Halinde İşlenmesine Devam Edilecek Olanlar:
İşe alım süreçleri boyunca aday hakkında toplanan ve işlenen tüm kişisel veriler, adayın ilgili açık pozisyonda istihdam edilmesine karar verilmesi halinde özlük dosyasına aktarılır.
7. MÜŞTERİ VE POTANSİYEL ÜRÜN VEYA HİZMET ALICISI KİŞİ GRUBU:
7.1. Müşterilere İlişkin Toplanan Kişisel Veriler:
Veri sorumlusu aşağıdaki verileri işleyebilir:
- Kimlik bilgileriniz (Ad Soyadı, TC Kimlik No, cinsiyet, doğum yeri ve tarihi)
- İletişim bilgileriniz (Adres, telefon numarası, elektronik posta adresi, SMS)
- Banka hesap/ Iban numaranız, ödeme ve faturalamaya ilişkin finansal bilgileriniz
- Özel sağlık sigortası veya Sosyal Güvenlik Kurumu verileriniz,
- Dosyanızda bulunması amacıyla sunduğunuz dış kurum Laboratuvar ve görüntüleme sonuçlarınız, test sonuçlarınız, muayene verileriniz, scan kaydı, reçete bilgileriniz dâhil olmak ve bunlarla sınırlı olmamak üzere sağlık verileriniz
- Klinik genel alanlarında bulunan kapalı devre kamera sistemi görüntünüz,
- WhatsApp-Facebook-Twitter-İnstagram-Skype-Linkledin-Signal-Telegram-Snapchat-Bip ip ve Gmail, Yahoo, Hotmail gibi mail sistemlerinden gönderdiğiniz kimlik bilgileri, iletişim bilgileri, fotoğraf, video kayıtları, ses kayıtları, yorum ve görüşlerinizi içeren metinler,mesajlar,
- Telefon, telefon uygulamaları veya e-posta üzerinden rızanızla ilettiğiniz tıbbi verilerinizin de olduğu kişisel bilgilerinizi kaydederek her halükârda Kişisel Veri Kanunu'nda öngörülen şekilde ve şartlara tabi olarak arşivlerimizde işleyeceğimizi bildiririz.
7.2. Müşterilerin Verilerinin Toplanma ve İşlenme Amaçları:
Veri sorumlusu söz konusu kişisel verileri aşağıdaki amaçlarla işleyebilir:
- Sağlık Hizmetleri Temel Kanunu, Sosyal Sigortalar Ve Genel Sağlık Sigortası Kanunu, Tıbbi Laboratuvar Yönetmeliği, Kişisel Sağlık Verileri Hakkında Yönetmelik ve ilgili diğer mevzuat uyarınca, Dr. Firdevs Sevil Özkan’ın hukuki yükümlülüklerinin yerine getirilmesiyle faaliyetlerin mevzuata uygun hale getirilmesi,
- Acil durum yönetimi süreçlerinin yürütülmesi,
- Mal/hizmet satış süreçlerinin yürütülmesi amacıyla; Koruyucu hekimlik, hekimlik, teşhis, tedavi, takip hizmetlerinin yürütülmesi; Dr. Firdevs Sevil Özkan çalışanları tarafından gerekli hekimlik hizmetlerinin, test ve tetkiklerin yapılabilmesi; Faturalandırma işlemlerinin yapılması, Tamamlayıcı Tıp alanında hücre takibi yapılabilmesi amacıyla Scan kaydı alınması,
- Risk yönetimi faaliyetlerinin yürütülmesi,
- Yetkili kişi, kurum ve kuruluşlara bilgi verilmesi amacıyla; Sağlık hizmetlerinin finansmanı kapsamında özel sigorta şirketleri ve kurumlar ile talep edilen bilgilerin paylaşılması; İlgili mevzuat uyarınca, Sağlık Bakanlığı ve diğer düzenleyici ve denetleyici kurumlar ile talep edilen bilgi ve belgelerin paylaşılması; Dr. Firdevs Sevil Özkan dışındaki sağlık kuruluşları ve doktorlar ile ilişkinizin teyit edilmesi; ilgili kurum veya doktorlar tarafından size sunulacak sağlık hizmetlerine ilişkin gerekli sağlık verilerinin aktarılması ve/veya alınması; Hizmetlerimize, uygulamalarımıza, yeniliklere ilişkin bilgilendirme için iletişime geçilmesi, randevu verilmesi ve randevuların takibi ve düzenliliğinin sağlanması;
- Bilgi güvenliği süreçlerinin yürütülmesi,
- Müşteri ilişkileri yönetimi süreçlerinin yürütülmesi amaçlarıyla; Sağlık Hizmeti Talep Eden Kişi kayıt ve işlemlerinin gerçekleştirilmesi, randevulu işlemlerin takibi, ilgili hatırlatmaların yapılması;
- Kliniğin fiziksel mekan ve iş güvenliğinin sağlanması;
- Finans ve muhasebe işlemlerinin yürütülmesi,
- Müşteri memnuniyetine yönelik aktivitelerin yürütülmesi,
Kişisel verilerinizin işlenmesinin hukuki sebepleri; 2219 sayılı Hususi Hastaneler Kanunu ile 3359 sayılı Sağlık Hizmetleri Temel Kanunu'nda açıkça öngörülen haller ile 663 sayılı Sağlık Bakanlığı ve Bağlı Kuruluşlarının Teşkilat ve Görevleri Hakkında Kanun Hükmünde Kararname, İnsan Hakları ve Biyotıp Sözleşmesi, 108 sayılı Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi, Kişisel Sağlık Verilerinin İşlenmesi Mahremiyetinin Sağlanması Hakkında Yönetmelik, Sağlık Uygulama Tebliği, Hasta Hakları Yönetmeliği gibi ilgili ikincil mevzuattan kaynaklanan hukuki yükümlülüklerimizin yerine getirilmesi ve kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimidir. Ayrıca ürün ve hizmet sunulması nedeniyle fatura düzenlenmesi gereği Türk Ticaret Kanunu, Vergi Kanunu, Vergi Usul Kanunu, Banka ve Kredi Kartı İşlemlerinde Kullanılan Bilgi Sistemlerinin Yönetimi Hakkında Tebliğ Taslağı gibi ilgili mevzuatlar kapsamında kişisel veriler işlenmektedir.
7.3. Müşterilerin Kişisel Verilerinin Toplanma Yöntemleri:
Kişisel verileriniz veri sorumlusu tarafından; verilen hizmetin niteliğine bağlı olarak sosyal medya, internet, fiziksel mekânlar ve benzeri kanallardan sözlü, görsel, yazılı ya da elektronik ortamda, yukarıda yer verilen amaçlar kapsamında toplanmaktadır.
8. KİŞİSEL VERİSİ KONUSU KİŞİLER:
Veri sorumlusu aşağıdaki kişi türlerine göre kişisel verileri kaydedebilir, işleyebilir veya aktarabilir.
- Potansiyel Ürün Ve Hizmet Alıcısı
- Ürün Veya Hizmet Alan Kişi
9. KİŞİSEL VERİ SAKLAMA SÜRESİ:
Dr. Firdevs Sevil Özkan, kişisel verileri işlendikleri amaç için gerekli olan süre ve ilgili faaliyetin tabi olduğu yasal mevzuatta öngörülen minimum süre kadar muhafaza etmektedir. Bu kapsamda, klinik öncelikle ilgili mevzuatta kişisel verilerin saklanması için bir süre öngörülüp öngörülmediğini tespit etmekte, bir süre belirlenmişse bu süreye uygun davranmaktadır. Yasal bir süre mevcut değil ise kişisel veriler işlendikleri amaç için gerekli olan süre kadar saklanmaktadır. Söz konusu süreler aydınlatma metninin belirtildiği üzere ilgili aydınlatma metninde sayılan amaçlar ve hukuki nedenlerle; dolayısıyla ilgili kişinin Kliniğe gelişi ve sağlık hizmeti ve diğer hizmetleri alımından itibaren 10 yıl süreyle kişisel verileriniz işlenmektedir.
10. ÖZEL NİTELİKLİ KİŞİŞEL VERİLER:
KVKK ile bazı kişisel verilere, ayrımcılık potansiyeline sahip olmaları ve hukuka aykırı olarak işlendiğinde kişilerin mağduriyetine yol açabilecekleri gözetilerek özel önem verilmiş ve bu veriler “özel nitelikli kişisel veri” olarak adlandırılmıştır.
Veri sorumlusu, KVKK’nın özel önem atfettiği söz konusu “özel nitelikli kişisel verilerin” işlenmesinde ayrıca hassasiyet göstermektedir. Özel nitelikli kişisel verilerin işlenmesi süreçlerinde yer alan çalışanlara, Kanun ve buna bağlı yönetmelikler ile özel nitelikli kişisel veri güvenliği konularında eğitim verilmekte, verilere erişim yetkisi kısıtlanmakta, görev değişikliği olan ya da işten ayrılan çalışanların bu alanlardaki yetkileri derhal kaldırılmaktadır.
Özel nitelikli kişisel veriler e-posta ortamında aktarılacaksa şifreli kurumsal e-mail hesabından veya KEP hesabı üzerinden aktarılmaktadır. Gerekli görüldüğü durumlarda güvenlik testleri yapılabilir. Özel nitelikli kişisel verilerin muhafaza edildiği fiziksel ortamlarda yeterli güvenlik önlemleri alınmakta, söz konusu ortamlara yetkisiz giriş çıkışlar engellenmektedir. Söz konusu fiziksel ortamlarda oluşabilecek yangın, sel vs. risklerine karşı tedbirler alınmıştır.
Farklı fiziksel ortamlardaki sunucular arasında aktarımın gerçekleştiği durumlarda VPN kullanılmaktadır. Verilerin kağıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemler alınmakta ve evrak “gizlilik dereceli belgeler” formatında gönderilmektedir.
Söz konusu verilerin işlenmesi için ilgili kişilerin açık onayı veri sorumlusunun önceliğidir. Veri sorumlusu tarafından, özel nitelikli kişisel veriler, veri süresinin açık rızası olmaması halinde ancak KVKK’da belirlenmiş olan aşağıdaki istisnai durumlarda işleyebilecektir;
- Sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir.
- Kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi faaliyetleri kapsamında her türlü laboratuvar, görüntüleme ve test sonucu, muayene bilgisi, teşhis ve reçete bilgileri, check-up bilgileri klinik tarafından işlenebilecektir.
- Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.
11. KİŞİSEL VERİ İŞLEME İLKELERİ:
Kişisel veriler aşağıdaki temel ilkelere uygun olarak işlenecektir.
- Hukuka ve dürüstlük kurallarına uygun olma,
- Doğru ve gerektiğinde güncel olma,
- Belirli, açık ve meşru amaçlar için işlenme,
- İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma,
- İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.
12. KİŞİSEL VERİ AKTARIMI:
Kişisel Verilerin Aktarılması Kanunda belirtilen genel ilkeler çerçevesinde işlenmek üzere elde edilen kişisel veriler, ilgili kişinin açık rızası alınmak suretiyle üçüncü kişilere aktarılabilir.
Yurt içi aktarım: Sağlık Hizmeti ve diğer hizmetleri talep eden kişi kaydının yapıldığı esnada ve Dr. Firdevs Sevil Özkan‘dan hizmet aldığı süre boyunca alınan siz sağlık hizmetleri talep edenlere ait özel nitelikli kişisel veriler dâhil, kişisel veriler; ilgili kanunlarda açıkça öngörülmesi, sözleşmenin kurulması veya ifası için zorunlu olması, açık rıza alınması halinde ve Dr. Firdevs Sevil Özkan‘ın hukuki yükümlülüklerini yerine getirmek, finansal süreçlerin sürdürülebilmesi veya teknik desteğin sağlanabilmesi amacıyla 6698 sayılı KVKK’ya uygun olarak belirli alıcı grupları ile paylaşılabilmektedir.
Yurt dışı aktarım : İlgili kişinin açık rızasının bulunması şartıyla Kanunda belirtilen hallerin varlığı halinde Yeterli korumanın bulunduğu ülkelere kişisel veri aktarımı yapılabilir. Yeterli korumanın bulunmadığı ülkelere veri aktarımı ise Kanunda belirtilen hallerin varlığı, açık rızanın olmasına ek olarak yeterli korumanın yazılı olarak taahhüt edilmesi ve Kurulun izninin bulunması durumlarında gerçekleştirilebilir.
Mail aracılığı ile toplanan kişisel verilerin mail sistemi yurtdışı merkezli olması nedeniyle mevzuata uygun şekilde, gerekli olduğu ölçüde ve her türlü güvenlik önlemi alınarak yurtdışına aktarılabileceğini, söz konusu ilgili ülkenin kişisel verilerin işlenmesine ilişkin mevzuatının olması ve uygulanması, bağımsız veri otoritesinin korunması ve Kişisel verilerin korunması ile ilgili uluslararası antlaşmalara taraf olması ile uluslararası kuruluşlara üye olması nedenleriyle güvenli ülke kategorisine girmektedir.
Özel nitelikli kişisel veriler e-posta ortamında aktarılacaksa şifreli kurumsal e-mail hesabından veya KEP hesabı üzerinden aktarılmaktadır. Farklı fiziksel ortamlardaki sunucular arasında aktarma gerçekleştiriliyorsa, sunucular arasında VPN yöntemiyle veri aktarımı gerçekleştirilmektedir. Veri aktarımı fiziki olarak gerçekleşecekse evrakın çalınması, hasar görmesi, kaybolması ya da yetkisiz kişiler tarafından ele geçirilmesi gibi risklere karşı gerekli tedbirler alınmakta ve evrak dışarıdan okunamayacak şekilde, kapalı dosyalarda ve “gizli” formatta gönderilmektedir.
12.1. ALICI GRUPLARI:
Veri sorumlusu kişisel verileri aşağıdaki Alıcı gruplarına kişisel verileri aktarabilir.
- Gerçek Kişiler Ve Özel Hukuk Tüzel Kişileri.
- Yetkili Kamu Kurum Ve Kuruluşları.
13. KİŞİSEL VERİ KONUSU KİŞİLER:
Veri sorumlusu aşağıdaki kişi türlerine göre kişisel verileri kaydedebilir, işleyebilir veya aktarabilir.
- Potansiyel Ürün Ve Hizmet Alıcısı
- Ürün Veya Hizmet Alan Kişi
14. KİŞİSEL VERİLERİN İMHASI:
Veri sorumlusunun faaliyetleri çerçevesinde işlenen kişisel veriler, işlenme amacı çerçevesinde ve bu amacı sağlamak için gerekli olan süreler boyunca ve ilgili mevzuat çerçevesinde öngörülen saklama süresince saklanır. Kişisel verileri saklama süreleri çalışan, çalışan adayı ve müşteri aydınlatma metinlerinde ilgili kişilerin verilerinin işlenme faaliyetlerine göre ayrıntılı bir şekilde düzenlenmektedir.
İşlevini yitiren, saklama süresi dolan, mevzuat çerçevesinde mümkün olması halinde veri sahibince imha edilmesi istenen veriler, KVKK madde 7’de sayılan kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi yöntemlerinden uygun olanı kullanılarak imha edilir.
Yapılan işlemler “Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik” te belirtilen süre, usul ve esaslara uygun olarak yerine getirilecektir.
Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesiyle ilgili yapılan bütün işlemler kayıt altına alınır ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az üç yıl süreyle saklanır.
14.1.Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi:
Kişisel verilerin hukuka uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde bu veriler, resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hâle getirilir.
Veri sorumlusu, kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde, kişisel verileri siler, yok eder veya anonim hale getirir.
Kişisel verilerin silinmesi sürecinde, silme işlemine konu teşkil edecek kişisel veri belirlenmekte, söz konusu kişisel veriye erişim yetkisi olan ilgili kullanıcılar ve kullanıcıların kişisel veri üzerindeki yetkileri tespit edilmekte ve ilgili kullanıcıların söz konusu kişisel veri kapsamındaki erişim, geri getirme, tekrar kullanma yetkileri kaldırılmaktadır.
Kişisel verilerin bulunduğu veri tabanlarında, kişisel verilerin bulunduğu ilgili satırların veri tabanı komutları ile silinmekte, dosya işletim sisteminde bulunan kişisel veriler için, dosyanın işletim sistemindeki silme komutu ile kişisel verinin silinmesi veya dosya ya da dosyanın bulunduğu dizin üzerinde ilgili kullanıcının erişim haklarının kaldırılması ile silme işlemi yapılmaktadır.
Kâğıt ortamında saklanan veriler kağıt imha makinesi ile, optik sistemde saklanan veriler sistemde bir daha ulaşılmayacak şekilde silinir, yok edilir veya anonim hale getirilir. Ayrıca kişisel verilerin amaca yönelik olmayan kullanımını önlemek veya silinmesi talep edilen verileri silmek için ilgili kişisel verilerin fiziksel olarak kesilerek belgeden çıkartılması yöntemi de kullanılır.
Anonim hale getirilmedeki amaç, veri ile bu verinin tanımlandığı kişi arasındaki bağın kopartılmasıdır. Kişisel verilerin tutulduğu veri kayıt sistemindeki kayıtlara uygulanan otomatik olan veya olmayan gruplama, maskeleme, türetme, genelleşme, rastgele hale getirme gibi yöntemler anonim hale getirme yöntemlerinden bazılarıdır.
14.2. Kişisel Verilerin Periyodik İmha Süresi
Klinikte bulunan kişisel veriler belirli periyodik aralıklarla kontrol edilecek ve bu verilerden işleme şartları tamamen ortadan kalkmış olanlar silinecek, yok edilecek ya da anonim hale getirilecektir.
Kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde, kişisel verileriniz silinecek, yok edilecek veya anonim hale getirilecektir. Bu süre herhalde altı ayı aşamayacaktır
15.AÇIK RIZA:
Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızadır. Açık rızanın Belirli bir konuya ilişkin olması, Rızanın bilgilendirmeye dayanması ve Özgür iradeyle açıklanması gereklidir.
16.AYDINLATMA YÜKÜMLÜLÜĞÜ:
Kişisel verilerin elde edilmesi sırasında Veri sorumlusu tarafından ilgili kişilerin bilgilendirilir. Bu bilgilendirme asgari olarak aşağıdaki konuları içermektedir.
- Veri sorumlusunun ve varsa temsilcisinin kimliği,
- Kişisel verilerin hangi amaçla işleneceği,
- Kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
- Kişisel veri toplamanın yöntemi ve hukuki sebebi,
- İlgili kişinin Kanunun 11 inci maddesinde sayılan diğer hakları.
17.İLGİLİ KİŞİLERİN HAK ARAMA YÖNTEMLERİ:
İlgili kişilerin, Veri sorumlusuna başvurarak; kendileriyle ilgili kişisel verilerin işlenip işlenmediğini öğrenmek, işlenmişse bunları talep etmek, verinin muhtevasının eksik veya yanlış olması halinde bunların düzeltilmesini, hukuka aykırı olması halinde ise silinmesini, yok edilmesini ve buna göre yapılacak işlemlerin verilerin açıklandığı üçüncü kişilere bildirilmesini ve verilerin kanuna aykırı olarak işlenmesi sebebiyle zararlarının giderilmesini talep etme hakları bulunmaktadır. İlgili kişi üzere başvuru ve şikayet haklarını kullanabilir.
17.1.BAŞVURU:
İlgili kişilerin, sahip oldukları hakları kullanabilmeleri için öncelikle veri sorumlusuna başvurmaları zorunludur. Bu yol tüketilmeden Kurula şikâyet yoluna gidilemez.
17.2.ŞİKAYET:
İlgili kişinin şikayet yoluna başvurulabilmesi için Veri sorumlusunun başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya 30 gün içinde başvuruya cevap verilmemiş olması gereklidir. İlgili kişilerin Veri sorumlusuna başvurmadan doğrudan Kurula şikayet yoluna gitmesi mümkün değildir.
18.KURUL KARARLARININ YERİNE GETİRİLMESİ YÜKÜMLÜLÜĞÜ:
Kurul, şikâyet üzerine veya ihlal iddiasını öğrenmesi durumunda resen görev alanına giren konularda yapacağı inceleme sonucunda bir ihlalin varlığını tespit ederse, hukuka aykırılıkların Veri sorumlusu tarafından giderilmesine karar vererek, kararı ilgililere tebliğ eder. Veri sorumlusu, bu kararı, tebliğ tarihinden itibaren gecikmeksizin ve en geç otuz gün içinde yerine getirir.
19.VERİ SORUMLULARI SİCİLİ (VERBİS) KAYIT YÜKÜMLÜLÜĞÜ:
Dr. Firdevs Sevil Özkan, Veri sorumlularının kaydolmak zorunda oldukları ve veri işleme faaliyetleri ile ilgili bilgileri beyan ettikleri kayıt sistemine kayıt olur ve bu kayıtları günceller.
20.KİŞİSEL VERİ İHLALİ:
İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, Veri sorumlusu bu durumu en kısa sürede (72 saat içerisinde) ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.
21.KİŞİSEL VERİ GÜVENLİĞİ TEDBİRLERİ:
Veri sorumlusu Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, Kişisel verilere hukuka aykırı olarak erişilmesini önlemek, Kişisel verilerin muhafazasını sağlamak için aşağıdaki teknik ve idari tedbirleri klinik yapısına uygun düzeyde almaktadır.
Bu kapsamda öncelikle veri sorumlusu tarafından işlenen kişisel verilerin neler olduğunun tespitine dair çalışmalar gerçekleştirilmiş, toplantılar yapılmış ve işlenen kişisel verilerin özel nitelikli kişisel veri olup olmadığı da gözetilerek, bu verilerin korunmasına ilişkin ortaya çıkabilecek riskler belirlenerek, risklerin azaltılması veya ortadan kaldırılmasına yönelik gerekli teknik ve idari tedbirler uygulamaya konmuştur.
Kişisel veri güvenliğinin sağlanması için, kişisel verilerin hukuka aykırı şekilde açıklanması ve paylaşılmasının önüne geçebilmek ve KVKK’ya yönelik farkındalık yaratabilmek amacıyla, çalışanlara ve yöneticilere düzenli olarak eğitimler verilmektedir.
Ayrıca kişisel veri işleme süreçlerine dahil olan çalışanların iş sözleşmelerine KVKK ile yükümlülükler kapsamında ek hükümler eklenmiş olmakla birlikte hali hazırda çalışanlarla KVKK kapsamında yükümlülükler ile ilgili ek protokol yapılmıştır. Buna ek olarak çalışanların güvenlik politika ve prosedürlerine aykırı hareket ettiklerinin tespiti halinde gerekli disiplin sürecine başvurulacağı belirtilmektedir.
Klinik nezdinde bulunan kişisel verilere ilişkin çalışmaların akabinde tespit edilen kişisel veriler analiz edilmiş, mevzuat kapsamında incelenmiştir. Bu çerçevede gereksiz olan veriler silinmiş, verilerin mümkün olduğunca azaltılması ilkesi benimsenmiştir.
Kişisel verilere hukuka aykırı şekilde erişilmesini engellemek ve kişisel verilerin güvenli ortamlarda saklanmasını sağlamak için uygun güvenlik düzeyine sahip teknik yöntemler kullanılmakta ve söz konusu yöntemler gelişen teknolojiye uygun şekilde güncellenmektedir.
Çevresel risklere karşı bilgi ve bilişim sistemleri güvenliğinin sağlanması amacıyla sistem odasına sadece yetkili personelin girişinin sağlanması, kilit altındaki veri saklama birimlerinin anahtarlarının belirli kişilerde olması, yerel alan ağını oluşturan kenar anahtarların fiziksel güvenliğinin sağlanması, yangın söndürme sistemi, sunucunun doğru çalışabilmesi için soğutma sistemi, güvenlik duvarları, atak önleme sistemleri, ağ erişim kontrolü, antivirüs sistemleri vb. gibi birçok önlem alınmaktadır.
Şirket tarafından aşağıdaki önlemler alınmaktadır:
- Ağ güvenliği ve uygulama güvenliği sağlanmaktadır.
- Ağ yoluyla kişisel veri aktarımlarında kapalı sistem ağ kullanılmaktadır.
- Bilgi teknolojileri sistemleri tedarik, geliştirme ve bakımı kapsamındaki güvenlik önlemleri alınmaktadır.
- Çalışanlar için veri güvenliği konusunda belli aralıklarla eğitim ve farkındalık çalışmaları yapılmaktadır.
- Çalışanlar için veri güvenliği hükümleri içeren disiplin düzenlemeleri mevcuttur.
- Çalışanlar için yetki matrisi oluşturulmuştur.
- Erişim logları düzenli olarak tutulmaktadır.
- Gizlilik taahhütnamaleri yapılmaktadır.
- Erişim, bilgi güvenliği, kullanım, saklama ve imha konularında kurumsal politikalar hazırlanmış ve uygulamaya başlanmıştır.
- Gerektiğinde veri maskeleme önlemi uygulanmaktadır.
- Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır.
- Güncel anti-virüs sistemleri kullanılmaktadır.
- Güvenlik duvarları kullanılmaktadır.
- İmzalanan sözleşmeler veri güvenliği hükümleri içermektedir.
- Kağıt yoluyla aktarılan kişisel veriler için ekstra güvenlik tedbirleri alınmakta ve ilgili evrak gizlilik dereceli belge formatında gönderilmektedir.
- Kişisel veri güvenliği politika ve prosedürleri belirlenmiştir.
- Kişisel veri güvenliği sorunları hızlı bir şekilde raporlanmaktadır.
- Kişisel veri güvenliğinin takibi yapılmaktadır.
- Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmaktadır.
- Kişisel veri içeren fiziksel ortamların dış risklere (yangın, sel vb.) karşı güvenliği sağlanmaktadır.
- Kişisel veri içeren ortamların güvenliği sağlanmaktadır.
- Kişisel veriler mümkün olduğunca azaltılmaktadır.
- Kişisel veriler yedeklenmekte ve yedeklenen kişisel verilerin güvenliği de sağlanmaktadır.
- Kullanıcı hesap yönetimi ve yetki kontrol sistemi uygulanmakta olup bunların takibi de yapılmaktadır.
- Kurum içi periyodik ve/veya rastgele denetimler yapılmakta ve yaptırılmaktadır.
- Log kayıtları kullanıcı müdahalesi olmayacak şekilde tutulmaktadır.
- Mevcut risk ve tehditler belirlenmiştir.
- Özel nitelikli kişisel veri güvenliğine yönelik protokol ve prosedürler belirlenmiş ve uygulanmaktadır.
- Özel nitelikli kişisel veriler elektronik posta yoluyla gönderilecekse mutlaka şifreli olarak ve KEP veya kurumsal posta hesabı kullanılarak gönderilmektedir.
- Özel nitelikli kişisel veriler için güvenli şifreleme / kriptografik anahtarlar kullanılmakta ve farklı birimlerce yönetilmektedir.
- Saldırı tespit ve önleme sistemleri kullanılmaktadır.
- Sızma testi uygulanmaktadır.
- Siber güvenlik önlemleri alınmış olup uygulanması sürekli takip edilmektedir.
- Veri işleyen hizmet sağlayıcılarının veri güvenliği konusunda belli aralıklarla denetimi sağlanmaktadır.
- Veri işleyen hizmet sağlayıcılarının, veri güvenliği konusunda farkındalığı sağlanmaktadır.
- Veri kaybı önleme yazılımları kullanılmaktadır.