6698 sayılı Kanun uyarınca veri sorumlusu olarak kişisel verilerin korunması hususunda, sağlık hizmeti sunucusu olan Dr. Deniz Yavuz Dermatoloji Kliniği (“Klinik”) veri güvenliğini kurumsal politika olarak öncelemekte olup bu hususta yürürlükte bulunan tüm mevzuata uygun davranmak için azami gayret göstermektedir.

İşbu Kişisel Verilerin Korunması ve İşlenmesi Politikası(“Politika”) çerçevesinde Klinik tarafından gerçekleştirilen kişisel veri işleme faaliyetlerinin yürütülmesinde benimsenen ilkeler ve Klinik’in veri işleme faaliyetlerinin 6698 sayılı Kişisel Verilerin Korunması Kanunu’nda (“Kanun”) yer alan düzenlemelere uyumu bakımından benimsenen temel prensipler açıklanmakta ve böylelikle Klinik, kişisel veri sahiplerini bilgilendirerek gerekli şeffaflığı sağlamaktadır.

Bu kapsamdaki sorumluluğumuzun tam bilinci ile kişisel verileriniz işbu Politika kapsamında işlenmekte ve Klinik uhdesinde korunmaktadır.

AMAÇ

İşbu Politika, kişisel verilerin Klinik tarafından toplanması, elde edilmesi, kullanılması, aktarılması, paylaşması ve saklanması ve imha edilmesi süreçleri ve bu süreçlerde öncelediği prensipleri hakkında sizleri bilgilendirmek amacıyla hazırlanmıştır.

Politikada, Klinik tarafından veri sahiplerine ait kişisel verilerin işlenmesine ilişkin açıklamalar Klinik çalışan adaylarını, çalışanlarını, aktif ve potansiyel hastaları, Klinik merkezi ziyaretçilerini, Klinik ile teklif, iş, tedarik ve hizmet dahil ancak bunlar ile sınırlı olmamak üzere her türlü ilişki içinde bulunan gerçek kişileri kapsamaktadır.

KAPSAM

İlgili Mevzuat Açısından

Anayasa’nın 20. maddesinde düzenlenmiş olan “Özel Hayatın Gizliliği ve Korunması” düzenlemesi ve bu düzenleme de esas alınarak kanunlaştırılan KVKK ile Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul Ve Esaslar Hakkında Tebliğ, Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik ve Kişisel Sağlık Verilerinin İşlenmesi Ve Mahremiyetinin Sağlanması Hakkında Yönetmelik gibi ikincil mevzuat esas alınarak Politika’nın kapsamı belirlenmiştir.

KVKK 10. maddeye uygun olarak, kişisel verilerin elde edilmesi sırasında kişisel veri sahiplerini aydınlatılmaktadır. Bu kapsamda Klinik tarafından kişisel veri sahiplerine kişisel verilerinin elde edilmesi sırasında Klinik’in kimliğini ve yetkilisini, kişisel verilerin hangi amaçla işleneceğini, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi ile kişisel veri sahibinin KVKK 11. madde kapsamında sahip olduğu haklarla ilgili aydınlatma yapmaktadır.

Klinik Anayasa’nın 20. ve KVKK 11. maddelerine uygun olarak kişisel veri sahibinin bilgi talep etmesi durumunda gerekli bilgilendirmeyi yapmaktadır. Klinik kişisel veri sahipleri ile ilgililere, kişisel verilerin korunmasındaki kurum politikasını, çeşitli kamuoyuna açık dokümanlarla dijital ortamlarda da duyurarak, kişisel veri işleme faaliyetlerinde ilgilileri bilgilendirmeyi ve bu çerçevede hesap verilebilirliği ve şeffaflığı sağlamaktadır. Ayrıca Klinik ilgili kişileri; kişilerin “açık rıza”sına başvurduğu zamanlar başta olmak üzere, kendi faaliyetleri ve kanundaki maddeler hakkında sözlü, gerekirse veya talep edilirse yazılı şekilde de bilgilendirmektedir.

Öte yandan işletmenin temel faaliyet alanı sağlık olduğundan 3359 Sayılı Sağlık Hizmetleri Temel Kanunu, 663 sayılı Sağlık Bakanlığı ve Bağlı Kuruluşlarının Teşkilat ve Görevleri Hakkında Kanun Hükmünde Kararname, Hasta Hakları Yönetmeliği, Kişisel Sağlık Verilerinin İşlenmesi ve Mahremiyetinin Korunması Yönetmeliği, Bulaşıcı Hastalıklar Sürveyans ve Kontrol Esasları Yönetmeliği gibi işletmenin ana faaliyet konusunu doğrudan ilgilendiren mevzuat hükümleri ve Sağlık Bakanlığı kararları ve genelgeleri de politikaların belirlenmesinde göz önüne alınmıştır.

Uygulanacak Kişiler Açısından

Politika; Klinik’in hastaları, çalışanları, çalışan adayları, yetkilileri, internet sitesini ziyaret edenler, fiziki veya dijital olarak işletmeye veya işletme unsurlarına kayıt oluşturanlar, işbirliği içinde olduğu kurum ve kuruluşlar ile bu kurum ve kuruluşların çalışanları, tedarikçi yetkilileri, sözleşmesel ilişkiye girilen veya girecek olan gerçek kişiler, sözleşme aşamasına geçmiş olsun olmasın teklif ve değerlendirme sürecinde iletişime geçilen gerçek kişiler dahil ancak bunlar ile sınırlı olmayacak şekilde kişisel verileri Klinik tarafından tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen tüm kişisel verilere ilişkin hazırlanmıştır ve bu belirtilen kişiler kapsamında uygulanacaktır.

Bu Politika uyarınca işlenen her türlü veri Kişisel Verilerin Saklanması ve İmhası Politikası’na uygun şekilde yasal süreler dahilinde uygun araç ve yöntemler ile imha edilecektir. Bu Politika, tüzel kişilere ve tüzel kişi verilerine uygulanmayacaktır.

POLİTİKA’NIN YÜRÜRLÜĞÜ

Politika, Klinik tarafından düzenlenerek …/…./….. tarihinde yürürlüğe girmiştir. Amaca uygun olarak Politika, Klinik internet sitesinde (http://www.denizyavuz.com ) yayınlanmıştır. Ayrıca Politika fiziki baskısı kitapçık haline getirilmiş olup Klinik’in çeşitli yerlerinden (bekleme salonu, sekreterya kürsüsü vb.) erişilebilir durumdadır.

Bu Politika, Klinik’in tüm veri işleme süreçlerinde uygulanır.

TANIMLAR VE KISALTMALAR

Açık Rıza	Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.
İlgili Kullancı	Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişilerdir.
İmha	Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi.
Kanun/KVKK	6698 Sayılı Kişisel Verilerin Korunması Kanunu.
Kayıt Ortamı	Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam.
Kişisel Veri	Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.
Kişisel Verilerin İşlenmesi	Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.
Kişisel Verilerin Anonim Hale Getirilmesi	Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesi.
Kişisel Verilerin Silinmesi	Kişisel verilerin silinmesi; kişisel verilerin İlgili Kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi.
Kişisel Verilerin Yok Edilmesi	Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemi.
Kurul	Kişisel Verileri Koruma Kurulu.
Özel Nitelikli Kişisel Veri	Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri.
Periyodik İmha	Kanun’da yer alan kişisel verilerin işlenme şartlarının Klinik’in işlemiş olduğu kişisel veriler bakımından ortadankalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla yine politikada belirtilen araç ve gereçler ile gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi.
Veri Sahibi/ İlgili Kişi	Kişisel verisi işlenen gerçek kişi.
Veri İşleyen	Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi.
Yönetmelikler	28 Ekim 2017 tarihinde Resmi Gazete’de yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik ile Kişisel Sağlık Verilerinin İşlenmesi Ve Mahremiyetinin Sağlanması Hakkında Yönetmelik.

KİŞİSEL VERİLERİN KORUNMASINA İLİŞKİN USUL VE ESASLAR

Klinik veri sorumlusu sıfatıyla ve kişisel verilerin korunması için yeterli ve gerekli olan tüm teknik ve idari tedbirleri almak suretiyle işlemiş olduğu kişisel verilerinizi; verilerin ve mahremiyetin korunması ile ilgili tüm mevzuatın öngördüğü sınırlar çerçevesinde, KVKK 4. maddede yer alan; hukuka ve dürüstlük kurallarına uygun olma, doğru ve gerektiğinde güncel olma, belirli, açık ve meşru amaçlar için işlenme, işleme amaçlarıyla bağlantılı, sınırlı ve ölçülü olma, ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme ilkelerine uygun olarak işleyecektir.

Bu kapsamda, Klinik, ilgili mevzuatta verilerin saklanması için öngörülen bir süre varsa bu süreye uymakta; böyle bir süre yoksa verileri, ancak işlendikleri amaç için gerekli olan süre kadar muhafaza etmektedir. Klinik gelecekte kullanma ihtimalinin varlığına dayanarak veri saklamamaktadır.

KİŞİSEL VERİLERİN İŞLENMESİ

Otomatik yollarla işleme bilgisayar, mobil cihaz vb. otomasyon sistemleri kullanılarak gerçekleştirilen veri işlemelerini ifade ederken; otomatik olmayan yollarla işleme ise herhangi bir otomasyon sistemi kullanılmaksızın elle (manuel) gerçekleştirilen veri işlemelerini ifade eder. Veri kayıt sistemi ise KVKK md.3/1-h uyarınca “ kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi”dir.

Kişisel Verilerin İşlenme Şartları

Anayasanın 20’nci maddesinde yapılan düzenlemeyle, kişisel verilerin korunması temel bir insan hakkı olarak güvence altına alınmış ve detayların kanunla düzenlenmesi öngörülmüştür. Bu doğrultuda, kişisel verilerin korunması anayasal bir haktır. Temel hak ve hürriyetler, özlerine dokunulmaksızın yalnızca Anayasa’nın ilgili maddelerinde belirtilen sebeplere bağlı olarak ve ancak kanunla sınırlanabilir. Klinik kişisel verileri, Anayasa ve Kanun’a uygun biçimde veri sahibinin açık rızası temin edilerek veya aşağıda detayları ile aktarılacağı üzere Kanun’un 5. maddesinin 2. fıkrasında ve 6. maddesinin 3. fıkrasında belirtilen kişisel veri işleme şartları içerisindeki amaçlarla ve koşullarla sınırlı olarak işlemektedir.

Kişisel Veri Sahibinin Açık Rızasının Bulunması

Kişisel verilerin işlenme şartlarından biri sahibinin açık rızasıdır. Kişisel veri sahibinin açık rızası belirli bir konuya ilişkin, bilgilendirilmeye dayalı olarak ve özgür iradeyle açıklanmalıdır.

Açık Rıza Aranmaksızın Kişisel Verilerinin İşlenebileceği Haller

· Kanunlarda Açıkça Öngörülmesi

· Fiili İmkansızlık Sebebiyle Kişisel Veri Sahibinin Açık Rızasının Alınamaması

· Sözleşmenin Kurulması veya İfasıyla Doğrudan İlgi Olması

· Hukuki Yükümlülük

· Kişisel Veri Sahibinin Kişisel Verisini Alenileştirmesi

· Bir Hakkın Tesisi veya Korunması için Veri İşlemenin Zorunlu Olması

· Klinik’in Meşru Menfaati İçin Veri İşlemenin Zorunlu Olması

Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir. Bu çerçevede Klinik sır saklama yükümlülüğü altında bulunan kişilerden olup açık rıza almaksızın sağlık veya cinsel hayata ilişkin verileri tedavi ve teşhis gibi amaçlarla işleyebilmektedir. Ayrıca Sağlık Bakanlığı, İl Sağlık Müdürlüğü, İlçe Sağlık Müdürlüğü, SGK gibi yetkili kurum ve kuruluşlara kanuni yükümlülükler çerçevesinde kanunen tanınan sebep dahilinde aktarılabilmektedir.

Kişisel Veri İşleme Amaçları

Klinik’in veri işleme amaçları aşağıda açıklanmaktadır:

Hizmet alana sunulabilecek muayene, tıbbi teşhis, tedavi, bakım, tedavi sonrası hasta takibi ve tanıtım hizmetlerinde kullanmak,
Elektronik (internet/mobil vs.) veya kağıt ortamında sağlanan hizmetlere dayanak olacak tüm kayıt ve belgeleri düzenlemek,
Mevzuat gerekleri çerçevesinde T.C. Sağlık Bakanlığı ve diğer kamu kurum ve kuruluşlarına aktarmak,
Kamu ve özel hukuk kişileriyle yapılmış olan anlaşmalarda öngörülen yükümlülüklere uymak,
Hizmet alan hasta ile oluşan hukuki ilişkinin gereğini yerine getirmek,
Kamu sağlığının korunması, koruyucu hekimlik sağlık hizmetleri ile finansmanının planlanması ve yönetimi sağlamak,
Randevu sisteminin işlerliğinin sağlanması ve hizmet alan kişiler ile iletişim kurmak,
Klinik iç prosedürlerinin planlanması ve yönetilmesini temin etmek,
Çalışanlarımızı işin gereklerine ve teknolojik gelişmelere uygun şekilde eğitmek ve mesleki gelişimlerine katkı sağlamak,
İstihdam politikasını oluşturmak,
Çalışanlarımızın özlük süreçlerini ve yasal haklarının korunması ve takibini sağlamak,
İş sözleşmesi ile mevzuat kapsamındaki yükümlülüklerini yerine getirmesi ile iş süreçlerinde gerekli operasyonel faaliyetleri yürütebilmesi sağlamak,
Personel temin süreçlerinin ve özlük faaliyetlerinin yürütülmesini sağlamak,
İş sözleşmesi gereğince gerçekleştirmesi gereken maaş ve yan edimlerin ödemek,
Çalışanların zorunlu bireysel emeklilik sistemine kaydı yapmak ve AGİ kapsamında yükümlülükleri yerine getirmek,
Dijital kayıtların suiistimali, sızdırılması ve yetkisiz erişimlerin ve işlemlerin izlenmesi ve engellenmesini sağlamak,
Risk yönetimi ve kalite geliştirme aktivitelerinin yerine getirilmesi,
Hizmetlerimize karşılık faturalandırma süreçlerinin tamamlanması,
Hizmet alan hastaların kimlik ve bilgilerinin teyit edilmesi,
Sağlık hizmetlerinin finansmanı kapsamında özel sigorta şirketleri tarafından talep edilen bilgilerin temin edilmesi,
Sağlık hizmetlerimize ilişkin her türlü soru ve şikayetlerin alınması ve değerlendirilmesi,
Klinik sistem ve uygulamalarının veri güvenliği kapsamında tüm gerekli fiziki, teknik ve idari tedbirleri almak,
İlgili mevzuat gereği saklanması gereken sağlık verilerine ilişkin bilgilerin muhafaza etme yükümlülüğünü yerine getirmek,
Anlaşmalı olduğumuz kurumlarla, bankalar ve sağlık harcamaları tahsil edilen tüm kuruluşlar (kamu ve özel) ile hastalara sunulan sağlık hizmetlerine ilişkin finansal mutabakatı sağlamak
Faaliyetlerin mevzuata uygun yürütülmesi ve görevlendirme süreçlerinin takibini yapmak,
Klinik ile iş ilişkisi içerisinde olan kişilerin hukuki veya teknik güvenliği ile iş sürekliliğini temin etmek,
İşçi sağlığı ve iş güvenliği faaliyetlerinin yürütmesi, işe giriş ve periyodik muayene formlarını uygun şekilde doldurulmasını ve saklanmasını sağlamak,
Operasyonel faaliyetlerin gerçekleştirilmesi için ilgili iş birimlerimiz tarafından gerekli çalışmaların yapılması ve buna bağlı iş süreçlerinin yürütülmesi ve denetimini sağlamak,
İş stratejilerinin planlanmasını ve/veya icrasını, hukuki ve fiziki güvenliğini temin etmek,
Finansal raporlama ve risk yönetimi işlemlerinin icrası/takibini yapmak,
Hukuk işlerinin icrası/takibini yapmak,
Kurumsal iletişim faaliyetlerinin planlanması ve icrasını sağlamak,
Kurumsal yönetim faaliyetlerinin icrası, kurumsal sürdürülebilirlik faaliyetlerinin planlanması ve icrası çerçevesinde etkinlik yönetimini yapmak,
İşletme itibarının korunmasına yönelik çalışmalarını gerçekleştirmek,
İş ve işleyiş kapsamında hizmet alan kişilere sunulan hizmetlerinin geliştirilmesi ve özelleştirilmesini sağlamak,
Gerek işletme merkezine gerekse internet sitesini ziyaret eden ilgili kişilere ilişkin kayıtlarının oluşturulması ve gerektiği halde takibini sağlamak,
Gerek fiziki gerekse dijital güvenliğin sağlanması adına danışmanlık hizmetinin kapsamını belirlemek.

Yukarıda belirtilen kategoriler ilgili kişileri bilgilendirme amaçlı olup, Klinik’in gelecekteki işletmesel faaliyetlerini yürütebilmesi için başka kategoriler ekleme ve hali hazırda işlenen ancak işlenme şartı ve sebebi ortadan kalkan veriler bakımından yasal saklama ve imha süreleri sona erince silme hakkı saklıdır.

Bu gibi durumlarda Klinik, ilgili kişilere en hızlı şekilde bilgilendirmeye devam edebilmek için, belirtilen kategorileri hizmet alanları, tedarikçileri ve personelleri dahil iş ilişkisi içinde olduğu gerçek ve tüzel kişilerin gerçek kişi yetkilileri için ilgili metinlerde güncellemeye devam edecektir.

Bahsi geçen amaçlarla gerçekleştirilen işleme faaliyetinin, KVKK kapsamında öngörülen şartlardan herhangi birini karşılamıyor olması halinde, ilgili işleme sürecine ilişkin olarak Klinik tarafından kişisel verisi işlenen kişilerin açık rızası ayrıca düzenlenen “açık rıza metinleri” ile temin edilmektedir.

Özel Nitelikli Kişisel Verilerin İşlenmesi

Klinik sağlık sektöründe faaliyet gösteren ve tıbbi hizmet veren bir işletme olduğundan ve ana faaliyet konusu özel nitelikli kişisel verilerden sağlık verilerinin işlenmesi olduğundan, Kanun ile “özel nitelikli” olarak belirlenen kişisel verilerin işlenmesinde, Kanun’da öngörülen düzenlemelere ve Kanun’a uyma yükümlülüklerini tam, doğru ve eksiksiz yerine getirmek amacıyla kendisinden beklenen en yüksek özeni göstermektedir.

Bu kapsamda, Kanun’un 6. maddesinde, hukuka aykırı olarak işlendiğinde kişilerin mağduriyetine veya ayrımcılığa sebep olma riski taşıyan birtakım kişisel veriler “özel nitelikli” olarak belirlenmiş olduğundan Klinik veri işleme faaliyetlerinde bu farkındalığı kişisel verilerin işlemesindeki her aşamada gözetmektedir.

Özel nitelikli kişisel veriler, Klinik tarafından Kanun’a uygun bir biçimde ve Kurul tarafından belirlenen yeterli önlemlerin alınması kaydıyla işlenmektedir.

Kişisel sağlık verileri Klinik tarafından kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, Kurul tarafından belirlenen önlemlerin de alınması ve şartların sağlanması suretiyle, kanunlarında açıkça öngörülmüş olması hâlinde ilgili kamu kurum ve kuruluşlarına belirlenen protokollerdeki usul ve esaslar çerçevesinde aktarılabilir.

Bunun dışında Klinik hastalarında daha iyi hizmet vermek ve arşiv tutma yükümlülüğünü doğru ve hukuka uygun şekilde tutmak amacıyla Türkiye’de yerleşik ve serverları ve sunucuları Türkiye sınırları içerisinde bulunan üçüncü kişilerden gizlilik protokolleri çerçevesinde danışmanlık hizmeti alabilmektedir.

Vurgulamakta yarar var ki iş işleyişi kapsamında yapılan veri aktarımları, işin işleyişi açısından gerekli ise de aktarılan kişiler (veri işleyen sıfatını haiz birey veya şirket) sağlık verilerini açık rıza olmaksızın işlemeye yetkili kişi ve kurumlardan olmadığından ve sır saklama yükümlülüğü olan kişilerden olmadığından, bu aktarıma ilişkin hastalardan ve diğer ilgili kişilerden açık rıza alınır.

***Resmi makamlarca talep edilmesi halinde mümkün ise aktarım anonim hale getirme işleminden sonra gerçekleşir. Sağlık Bakanlığının SağlıkNet sistemine ve bilgi otomasyon servisine hastaların kimlik ve iletişim bilgileri ile ayrıca ameliyat, muayene, kontrol gibi bilgiler Politikanın düzenlediği tarih itibariyle mahkeme sürecinin devam etmesi sebebiyle aktarılmaz. Bu aktarım yükümlülüğü gündeme geldiğinde ise günün koşullarına ve gereklerine uygun olarak, içerik detayı verilmeden Klinik’i hasta protokol defterine işlenen veriler aktarılacaktır.

Klinik işlemekte olduğu kişisel verilerin öncelikle kanunun aradığı şartlara uygun şekilde işlediğini beyan eder. Klinik tarafından çalışanların özel nitelikli verilerden sağlık raporlarında yer alan veriler yasal süreler ile sınırlı şekilde yasal zorunluluk gereği işlenmektedir.

Sağlık hizmet sunucusu olarak Klinik tabi olduğu Sağlık Bakanlığının ve Kişisel Verileri Koruma Kurulunun belirlemiş olduğu standartlara uygun elektronik kayıt sistemlerinin kurulmasından ve işletilmesinden, güvenlik ve mahremiyetinin sağlanmasından, ayrıca elektronik sağlık kayıtlarının merkezi sağlık veri sistemine aktarılmasından sorumlu olduğunu bilir.

Kanunen düzenlenmiş hukuki sebeplerden birinin olmaması halinde Klinik kişisel verileri yalnızca ilgili kişiden almış olduğu açık rıza uyarınca işler. İlgili kişinin açık rıza vermediği hallerde veya açık rızasını geri çektiğini beyan ettiği hallerde Klinik ilgili kişiye ait kişisel verileri işlemez, açık rızanın geri alınmasından önce işlenmiş olan veriler ise Veri Saklama ve İmha Politikası’na uygun şekilde imha sürelerine riayet ederek imha eder.

Klinik KVKK 10. maddesine uygun olarak, özel nitelikli kişisel verilerin elde edilmesi sırasında veri sahiplerini (çalışanlarını, hastalarını) aydınlatmaktadır. Klinik’in yapmış olduğu faaliyet kapsamında sır saklama yükümlülüğü olduğundan hizmet alan /hasta veri sahiplerine ait özel nitelikli kişisel veriler işlenirken açık rızaya başvurulmamaktadır. Ancak açık rızanın gerekmesi halinde açık rızanın belirli bir konuya ilişkin, bilgilendirilmeye dayalı olarak ve özgür iradeyle açıklanması esastır.

Özetle KVKK m. 6/3, sağlık ve cinsel hayata ilişkin kişisel verilerin kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebileceğini düzenlemektedir.

Klinik özel nitelikli kişisel verilerin önemi ve hassasiyeti nedeniyle, -genel olarak kişisel verilerin korunması için aldığı tedbirlere ilaveten- önlem ve tedbirleri de alarak özel nitelikli kişisel verilerin güvenliğini sağlamaktadır.

Kişisel Verilerin Toplama Yöntemleri

Kişisel veriler, Klinik tarafından yetkilendirilmiş veri işleyen gerçek veya tüzel kişiler tarafından, veri sahibi ilgili kişilerin Klinik merkezini ziyareti yapması ve ilk bilgilendirmenin yapılması ile, hasta hakkında kaydın açılması ile, e-posta, telefon, sosyal medya, anlaşmalı olunan internet siteleri üzerinden yapılan yönlendirme ile veya doğrudan Klinik internet sitesi gibi dijital mecralar üzerinden yapılan tercihler ve bilgi girişleriyle, kâğıt ortamında tutulan formlar ve tutanaklar gibi vasıtalarla, SGK sistemi üzerinden online olarak, özel sigorta şirketinden yararlanma halinde paylaşılan kayıtlardan, çalışanlardan, Klinik’e ait web siteleri ziyaret edilirken yapılan tercihlerle ve/veya toplanan çerezlerle mevcut tedarikçi kişiler veya şirketler ile yapılan ticari temaslarla olarak herhangi bir amaçla Klinik ile iletişime geçildiğinde otomatik ve otomatik olmayan yöntemlerle sözlü, yazılı veya elektronik ortamda temin edilmektedir.

Kişisel Veri Kategorizasyonu

Kişisel veriler, Kanun’un 10. maddesi uyarınca ilgili kişiler bilgilendirilerek, Klinik’in meşru ve hukuka uygun kişisel veri işleme amaçları doğrultusunda Kanun’un 5. ve 6. maddesinde belirtilen kişisel veri işleme şartlarından bir veya birkaçına dayalı ve sınırlı olarak ve Kanun’da düzenlenen başta kişisel verilerin işlenmesine ilişkin genel ilkeler olmak üzere diğer tüm ilke ve yükümlülüklere uyularak veri kategorileri bazında işlenmektedir.

İşletme, kişisel verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi ile kişisel veri sahibinin sahip olduğu hakları konusunda aydınlatma yapmaktadır.

Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi

Kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesine ilişkin diğer kanunlarda yer alan hükümler saklı kalmak kaydı ile Klinik, bu Kanun ve diğer kanun hükümlerine uygun olarak işlemiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verileri resen veya veri sahibinin talebi üzerine siler, yok eder veya anonim hale getirir.

Kişisel verilerin silinmesi ile bu veriler tekrar hiçbir şekilde kullanılamayacak ve geri getirilemeyecek şekilde imha edilir. Buna göre kişisel veriler, kayıtlı oldukları evrak, dosya, CD, disket, hard disk gibi araçlardan geri dönüştürülemeyecek şekilde silinir. İlgili yönetmelikler, Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel sağlık verileri, ilgili kişinin talebi üzerine veri sorumlusu tarafından anonim hale getirilir veya silinir.

Silinmesi talep edilen veriler; bir hakkın tesisi, kullanılması veya korunması ya da verilerin ihtiyaç halinde adli mercilere verilebilmesini mümkün kılmak için, Bakanlıkça kurulan merkezi bir sistemde veri bütünlüğü bozulmadan arşivlenir. Arşivlenen verilere bu amaçlar dışında erişim engellenir.

Kişisel Verilerin Aktarılması

Öncelikli olarak Anayasa olmak kaydıyla, Kanun ve diğer ilgili mevzuat hükümleri doğrultusunda, Klinik kişisel verilerin yurt içindeki kişi, kurum ve kuruluşlar ile paylaşılması konusunda azami özen ve dikkat göstermektedir. Bu kapsamda Klinik tarafından kişisel veriler ve özel nitelikli kişisel veriler kişisel veri sahibinin açık rızasına dayalı olarak veya Kanun’un 5. maddesinin 2. fıkrasında ve yeterli önlemleri almak kaydıyla 6. maddesinin 3. fıkrasında belirtilen amaç ve şartlar kapsamında işlemekte aktarılmaktadır.

Herhangi bir dava sürecinde lehe delil yaratmak adına mahkemece istenen her türlü veri ve belge taleple sınırlı olarak mahkemece paylaşılmaktadır. Ancak verilerin mahiyetine ve kapsamına göre daha fazla gizlilik gerektiren verilere ilişkin gizlilik kararı talepli olarak ve gerekli önlemler alınarak aktarım yapılmaktadır. Aktarım için açık rızanın gerektiği hallerde ilgili kişi açık rızasını geri çekmiş ise hiçbir hal ve şartta aktarım gerçekleştirilmemektedir.

Sağlık Bakanlığı ve SGK mevzuatı gereği bu gibi resmi kurumlar ile işlenen kişisel verilerin talep halinde talep ile sınırlı şekilde aktarılması mümkündür. Sağlık hizmet sunucusu olarak Klinik, sağlık hizmeti almak üzere kendilerine müracaat eden kişilere ait verileri, Bakanlık tarafından çıkarılan mevzuat ile belirlenmiş süreler içerisinde, kullandıkları yazılıma Bakanlıkça belirlenen standartlara uygun bir şekilde kaydetmek ve bu verileri Bakanlıkça belirlenen standartlara uygun bir şekilde merkezi sağlık veri sistemine gönderme zorunluluğu ile karşılaşması halinde merkezi sağlık veri sisteminin doğru bir şekilde çalışması, yeni servis entegrasyonu ve sağlık hizmet sunucuları tarafından kaydedilen verilerin bu sisteme doğru, eksiksiz ve gecikmeksizin aktarılması için sağlık hizmet sunucularının kullandığı yazılımlar, Bakanlıkça belirlenen standartlar ile uyumlu olmak zorunda olduğunu bilir ve bildirir.

Kişisel Verilerin Aktarıldığı Üçüncü Kişiler ve Aktarılma Amaçları

Klinik kişisel verilerinizi, KVKK ve yürürlükte olan mevzuata uygun olarak; gerekmesi ve talep edilmesi halinde, taleple sınırlı olmak kaydı ile KVKK’nın 8. maddesi uyarınca ve KVKK’nın 5/2’de belirtilen istisnalar dahilinde ve ayrıca gerekli olması halinde açık rızaya başvurularak aktarılabilmektedir

Hizmet alan gerçek kişilerin bilgileri Sağlık Bakanlığı’nın kullanmayı zorunlu kılması halinde ilgili veritabanına kaydedilen bilgiler ve veriler gerçek kişi veri sahibinin rızası çerçevesinde aktarılabilecektir.

Hastalara ait fotoğraflar işin gerektiğini şekilde yasal yükümlülükler çerçevesinde işlemi yapan doktor tarafından şifreli dosyalarda dijital ortamda saklanmaktadır. Tıbbi müdahale neticesinde mahkeme sürecinin yaşanması halinde delil yaratmak ve kanuni yükümlülükler sebebiyle bu fotoğrafların mahkemelerle paylaşılması gündeme gelebilir. Bu durumda mahkeme ile işin gereği ile sınırlı şekilde mahremiyet kurallarını ihlal etmeden minimum ve gerekli düzeyde paylaşım yapılır. Dosyanın gerektirdiği ölçüde bu fotoğrafların hukuk sistemine dahil olması gerektiği hallerde mahkemeden gizlilik kararı talep edilir.

Klinik, kişisel verilerin üçüncü kişilerle paylaşılması hususunda, sağlık mevzuatı kapsamında diğer kanunlarda yer alan hükümler saklı kalmak kaydıyla, KVKK’da düzenlenen şartlara özenle uymaktadır.

Bu çerçevede, kişisel veriler, Klinik tarafından veri sahibinin açık rızası olmadan veya yasal şartlar oluşmadan üçüncü kişilere aktarılmamaktadır. Ancak, KVKK’da düzenlenen aşağıdaki şartlardan birinin varlığı halinde kişisel veriler Klinik tarafından, veri sahibinin açık rızası temin edilmeksizin de aktarılabilecektir:

Kanunlarda açıkça öngörülmesi,
Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
Veri sahibinin kendisi tarafından alenileştirilmiş olması,
Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
Veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması,
Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.

Yeterli önlemler alınmak kaydıyla; sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler bakımından kanunlarda öngörülmesi, sağlık ve cinsel hayata ilişkin özel nitelikli kişisel veriler bakımından ise,

Kamu sağlığının korunması,
Koruyucu hekimlik,
Tıbbî teşhis,
Tedavi ve bakım hizmetlerinin yürütülmesi,
Sağlık hizmetleri ile finansmanının planlanması ve yönetimi

gibi amaçlarla açık rıza temin edilmeksizin kişisel verileriniz aktarılabilecektir.

Özel nitelikli kişisel verilerin aktarılmasında da bu verilerin işlenme şartlarında belirtilen koşullara uyulmaktadır.

Kişisel Verilerin Aktarılma Amaçları

Kişisel Veriler; hukuka ve Kanun’un amacına uygun olarak Klinik’in;

Uzmanlık gerektiren alanlardaki süreçlerin doğru yürütülmesi,
İşveren yükümlülüklerin tam ve doğru şekilde yerine getirilmesi,
Raporlama ve denetim faaliyetlerinin zamanında ve doğru şekilde yapılması,
İşletme ortamının işletmesel ve fiziki güvenliğinin temini,
Kurumsal işleyişinin sağlanması, yönetim ve iletişim faaliyetlerinin planlanması ve icrası,
Veri güvenliğinin en üst düzeyde sağlanması,
Veri tabanlarının oluşturulması,
Etkinlik yönetimi,
Hizmet alınan diğer üçüncü kişilerle veya tedarikçilerle olan ilişkilerin yönetimi,
İşletmenin faaliyetlerinin ilgili mevzuata uygun olarak yürütülmesinin temini için denetim faaliyetlerinin planlanması ve icrası,
İşletme çalışanlarına sağlanacak yan haklar ve menfaatlerin planlanması ve icrası süreçlerine destek olunması,
Finansal raporlama ve risk yönetimi işlemlerinin icrası/takibi,
İşletme veya çalışanlarla ilgili hukuk işlerinin icrası/takibi,
İşletme değerlerinin, meslek etik ve itibarının korunmasına yönelik çalışmaların gerçekleştirilmesi,
Yetkili kuruluşlara mevzuattan kaynaklı bilgi verilmesi,
Arşiv ve Server odasının fiziki güvenliği amacıyla teslim ve tesellüm belgelerinin tutulması,

amaçlarıyla sınırlı olarak Kanun’un 5. ve 6. maddelerinde belirtilen kişisel veri işleme şartları kapsamında yapılan aydınlatmalar ve alınan açık rıza beyanlarına uygun olarak işlenir ve ancak belirtilen amaçlarla aktarılabilir. Bahsi geçen amaçlarla gerçekleştirilen işleme faaliyetinin, Kanun kapsamında öngörülen şartlardan herhangi birini karşılamıyor olması halinde, ilgili işleme sürecine ilişkin olarak Klinik tarafından açık rızanız temin edilmektedir.

AYDINLATMA YÜKÜMLÜLÜĞÜ

Anayasa’da herkesin, kendisiyle ilgili kişisel veriler hakkında bilgilendirilme hakkına sahip olduğu ortaya konulmuştur. Bu doğrultuda KVKK 11. maddesinde kişisel veri sahibinin hakları arasında “bilgi talep etme” de sayılmıştır. Klinik bu kapsamda:

KVKK 10. maddesine uygun olarak, kişisel verilerin elde edilmesi sırasında kişisel veri sahiplerine Klinik; kimliği, kişisel verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi ve KVKK 11. maddesi kapsamında sahip olduğu haklarla ilgili aydınlatma yapmaktadır.

KVKK’nın 10. maddesi kapsamında, veri sahiplerinin, kişisel verilerin elde edilmesinden önce yahut en geç elde edilmesi sırasında aydınlatılması gerekmektedir. Söz konusu aydınlatma yükümlülüğü çerçevesinde veri sahiplerine iletilen bilgiler şunlardır:

Veri sorumlusunun ve varsa temsilcisinin kimliği,
Kişisel verilerin hangi amaçla işleneceği,
İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
Kişisel veri toplamanın yöntemi ve hukuki sebebi,
KVKK’nın 11. maddesinde sayılan diğer haklar.

Klinik, aydınlatma yükümlülüğünü yerine getirmek amacıyla, süreç ve verileri işlenen kişiler bazında, yukarıda belirtilen KVKK hükmü kapsamında veri sahiplerine sunulmak üzere aydınlatma formları hazırlamıştır. Bu formlar kademeli olarak hizmet alanların bilgisine sunulmuştur. Kademeli aydınlatmanın birinci ayağında hizmet alan kişiler genel olarak aydınlatma yazılı olarak yapılmakta o esnada detaylı bilgilendirme sözlü olarak yapılmakta, bu formlar hasta takip çizelgesine ek olarak saklanmaktadır. Hizmet alan kişilere detaylı aydınlatma mail ortamında yapılmakta ayrıca işletmenin internet sitesinde de yayımlanmaktadır. Aydınlatma formlarının ilgili kişilere sunulmasının ardından, Klinik’in işletmesel faaliyetlerini yürütebilmesi için veri sahibinin açık rızasının alınmasını gerektiren veri işleme faaliyetleri ve veri kategorileri için de açık rıza beyanları hazırlanmıştır.

Veri sahiplerine yönelik hazırlanan açık rıza beyanlarında, KVKK’ya dayanak teşkil eden Avrupa Birliği düzenlemelerine paralel olarak, veri sahiplerine kişisel verilerinin Klinik tarafından işlenip işlenemeyeceğine dair seçim hakkı tanınmış ve açık rıza temin edilememesi halinde, meydana gelebilecek sonuçlar hakkında bilgilendirmede bulunulmuştur.

Öte yandan, KVKK’nın 28/1 maddesi çerçevesinde, aşağıda sayılan durumlarda Klinik’un aydınlatma yükümlülüğü bulunmamaktadır:

Kişisel verilerin, üçüncü kişilere verilmemek ve veri güvenliğine ilişkin yükümlülüklere uyulmak kaydıyla gerçek kişiler tarafından tamamen kendisiyle veya aynı konutta yaşayan aile fertleriyle ilgili faaliyetler kapsamında işlenmesi,
Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi,
Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi.

Bununla beraber, KVKK’nın 28/2 maddesi çerçevesince, Klinik’in aydınlatma yükümlülüğü aşağıdaki hallerde uygulama alanı bulmayacaktır:

Veri sahibinin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi,
Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması,
Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması.

KİŞİSEL VERİLERİN GÜVENLİĞİNİN SAĞLANMASI

Alınan teknik ve idari açıdan güvenlik tedbirlerini şu şekilde özetlemek mümkündür:

Kişisel veriler yedeklenmekte ve yedeklenen kişisel verilerin güvenliği de sağlanır. Kullanıcı hesap yönetimi ve yetki kontrol sistemi uygulanmakta olup bunların takibi de yapılır. Kurum içi periyodik ve/veya rastgele denetimler yapılır ve yaptırılır. Tarafımızca belirlenmiş olan mevcut risk ve tehditler karşısında yeni bir risk gündeme gelirse iyileştirme süreci kapsamında bu hususlar periyodik olarak belirlenir.

Özel nitelikli kişisel veriler elektronik posta yoluyla gönderilecekse mutlaka şifreli olarak ve KEP veya kurumsal posta hesabı kullanılarak gönderilir ayrıca özel nitelikli kişisel veriler için güvenli şifreleme / kriptografik anahtarlar kullanılır.

Taşınabilir bellek, CD, DVD ortamında aktarılan özel nitelikli kişiler veriler şifrelenerek aktarılır. Veri işleyen hizmet sağlayıcılarının veri güvenliği konusunda belli aralıklarla denetimi sağlanır ve veri işleyen veri sorumlusu sözleşmesi imzalanır. Veri işleyen hizmet sağlayıcılarının, veri güvenliği konusunda farkındalığı sağlanması için eğitimler verilir ve veri kaybı önleme yazılımları kullanılır.

Klinik, kişisel verilerin korunması için gerekli olan uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almaktadır. KVKK’nın 12/1 maddesinde öngörülen tedbirler şunlardır:

Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
Kişisel verilerin muhafazasını sağlamak. Klinik’in bu kapsamda aldığı önlemler aşağıda sayılmıştır:

Özel Nitelikli Kişisel Verilere İlişkin Alınan Ek Güvenlik Tedbirleri

İşlenen verilerin niteliği ve özelliği gereği veri sorumlusu tarafından alınması gereken ek güvenlik tedbirleri gündeme gelebilir. Bu çerçevede yeterli önlemler, 31/01/2018 tarihinde Kurul tarafından yayımlanan 2018/10 sayılı ve “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler” başlığını taşıyan karar ile belirlenmiştir.

Bu kararda yeterli önlemler altı maddede ele alınmıştır. Kararın ilk maddesinde veri sorumluları tarafından özel nitelikli kişisel verilerin güvenliğine ilişkin bir politika ve prosedür belirlenmesi gerektiği ifade edilmektedir. Kararın ikinci maddesinde veri işleme sürecine katılan çalışanlara eğitim verilmesi, onlarla gizlilik sözleşmelerinin akdedilmesi, verilere erişim yetkisini haiz kişilerin bu yetkilerinin kapsam ve sürelerinin net bir şekilde belirlenmesi, belirli periyotlarla yetki kontrollerinin yapılması ve görevi değiştirilen veya işten ayrılan çalışanların önceki görevleri sırasında haiz oldukları yetkilerinin hemen kaldırılmasına ilişkin önlemler yer almaktadır.

Kararın üçüncü maddesinde verilerin elektronik ortamda işlenmesi, korunması ve/veya erişilmesi halinde uyulması gereken birtakım önlemler yer almaktadır. Bu önlemler verilerin kriptografik yöntemler kullanılmak suretiyle korunması, kriptografik anahtarların farklı ortamlarda güvenli bir şekilde tutulması, güvenli bir şekilde veriler üzerinde gerçekleştirilen bütün hareketlere ilişkin işlem kayıtlarının tutulması, sürekli olarak güvenlik güncellemelerinin takibi, düzenli olarak gerekli güvenlik testlerinin yapılması veya yaptırılması ve bu güvenlik testlerinin sonuçlarının kaydedilmesi, verilere erişim bir yazılım aracılığı ile gerçekleştiriliyorsa bu yazılıma ilişkin kullanıcı yetkilendirmelerinin yapılması, düzenli olarak bu yazılımların güvenlik testlerinin yapılması veya yaptırılması ve test sonuçlarının kaydedilmesi, verilere uzaktan erişim gerektiği takdirde en az iki kademeli kimlik doğrulama sisteminin sağlanmasıdır.

Kararın dördüncü maddesinde verilerin fiziksel ortamda işlenmesi, korunması ve/veya erişilmesi halinde uyulması gereken birtakım önlemler yer almaktadır. Bu önlemler, verilerin bulunduğu ortamın özelliğine göre yangın, elektrik kaçağı, hırsızlık , su baskını vb. durumlara karşı yeterli güvenlik tedbirlerinin alındığından emin olunması ve ortamların fiziksel güvenliğinin temin edilerek yetkisiz giriş çıkışların önlenmesidir.

Kararın beşinci maddesinde verilerin aktarılmasına ilişkin önlemler yer almaktadır. Bu önlemler verilerin aktarılmasının e-posta yolu ile gerçekleştirilmesi gerekiyorsa verilerin şifreli bir şekilde e-posta adresi veya kayıtlı elektronik posta hesabı kullanılmak suretiyle yapılması, verilerin aktarılmasının USB, CD veya DVD gibi ortamlar yoluyla gerçekleştirilmesi gerekiyorsa verilerin kriptografik yöntemler kullanılmak suretiyle şifrelenmesi ve kriptografik anahtarın farklı bir ortamda tutulması, aktarma farklı fiziksel ortamlardaki sunucular arasında gerçekleştiriliyorsa aktarmanın sunucular arasında VPN kurulması suretiyle veya sFTP yöntemiyle gerçekleştirilmesi, verilerin aktarılmasının kağıt ortamı yoluyla gerçekleştirilmesi gerekiyorsa belgelerin kaybolması, çalınması ve yetkisiz kişilerce görülmesi gibi tehlikelere karşı gerekli tedbirlerin alınması ve evrakın “ gizlilik dereceli belgeler ” formatında gönderilmesidir.

Kararın altıncı ve son maddesinde ise yukarıda belirtilen önlemlerle birlikte kişisel verileri koruma kurumu tarafından yayımlanan “Kişisel Veri Güvenliği Rehberi”nde belirtilen uygun güvenlik düzeyini sağlamaya ilişkin teknik ve idari tedbirlerin de göz önünde bulundurulması gerektiği ifade edilmektedir. Özel sağlık kurumları kapsamında gerçekleştirilen kişisel sağlık verisi işleme süreçlerinde de veri sorumlusu tarafından yukarıda belirtilen önlemlerin alınması zorunlu olduğundan Klinik tarafından yukarıda yer verilen kararda belirtildiği esaslar çerçevesinde ilgili önlemler alınmıştır.

VERİ SAHİBİNİN HAKLARI

Klinik tarafından işbu Politika’da yer alan esaslara uygun olarak işlenen kişisel verilere ilişkin olarak, KVKK’nın 11. maddesinde veri sahipleri için tanınan hakların kullandırılması konusunda gerekli önlemler alınmıştır. Bahse konu haklar şunlardır:

Kişisel veri işlenip işlenmediğini öğrenme,
Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
Kanun’un 7. maddesinde öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme,
Yukarıdaki (e) ve (f) maddeleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme.

Veri sahipleri, yukarıda sayılan haklarını, veri sahibi başvuru formunun ıslak imzalı bir nüshasını, Klinik iletişim adreslerine, posta, e- posta yahut iadeli taahhütlü mektup vasıtasıyla ileterek kullanabilirler. Klinik, ilgili başvurulara yönelik cevabı fiziken yahut elektronik olarak ilgili veri sahibine ulaştıracaktır.

Klinik, talebin niteliğine göre, talebi en kısa sürede ve en geç otuz (30) gün içinde ücretsiz olarak sonuçlandıracaktır. Ancak, işlemin ayrıca bir maliyeti gerektirmesi halinde, Klinik tarafından Kurulca belirlenen tarifedeki ücret ilgililerden alınacaktır. Ayrıca, veri sahiplerinin taleplerinin sonuçlandırılması sürecinde, Klinik tarafından başvuruculardan ek bilgi veyahut belge talep edilebilecektir.

Öte yandan, KVKK’nın 28/1 maddesi çerçevesinde, veri sahipleri, aşağıda sayılan hallerde KVKK’nın 11. maddesinde sayılan yukarıdaki hakları kullanamaz:

Kişisel verilerin, üçüncü kişilere verilmemek ve veri güvenliğine ilişkin yükümlülüklere uyulmak kaydıyla gerçek kişiler tarafından tamamen kendisiyle veya aynı konutta yaşayan aile fertleriyle ilgili faaliyetler kapsamında işlenmesi,
Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi,
Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi,
Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi,
Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi.

Bununla beraber, KVKK’nın 28/2 maddesi çerçevesinde, zararın giderilmesi hakkı hariç olmak üzere, KVKK’nın 11. maddesinde sayılan yukarıdaki haklar aşağıdaki durumlarda uygulama alanı bulmayacaktır:

Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması,
Veri sahibinin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi,
Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması,
Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması.

Klinik, kişisel veri sahiplerinin haklarının değerlendirilmesi ve kişisel veri sahiplerine gereken bilgilendirmenin yapılması için KVKK’nın 13. maddesine uygun olarak gerekli kanalları, iç işleyişi, idari ve teknik düzenlemeleri yürütmektedir.

KLİNİK TARAFINDAN İŞLENEN KİŞİSEL VERİLERİN SAKLANMASI VE SAKLANMA SÜRELERİ

Klinik KVKK 10. maddesine uygun olarak aydınlatma yükümlülüğü kapsamında hangi kişisel veri sahibi gruplarının hangi kişisel verilerini işlediğini, kişisel veri sahibinin kişisel verilerinin işlenme amaçlarını ve saklama sürelerini kişisel veri sahibine bildirmektedir. İlgili kişinin KVKK 11. maddesinde kişisel veri sahibinin hakları arasında sayılan “bilgi talep etme” hakkını kullanması durumunda hangi kişisel verinin ne kadar süre ile saklanacağına dair detaylı bilgi sağlanır.

Klinik, ilgili kanunlarda ve mevzuatlarda öngörülmesi durumunda kişisel verileri bu mevzuatlarda belirtilen süre boyunca saklamaktadır. Kişisel verilerin ne kadar süre boyunca saklanması gerektiğine ilişkin mevzuatta bir süre düzenlenmemişse, kişisel veriler Klinik’in o veriyi işlerken yürütülen faaliyet ile bağlı olarak kanunda belirtilen özel saklama süreleri haricinde 3 sene sonra silinmekte, yok edilmekte veya anonim hale getirilmektedir. Kişisel verilerin işlenme amacı sona ermiş; ilgili mevzuat ve Klinik belirlediği saklama sürelerinin de sonuna gelinmişse; kişisel veriler yalnızca olası hukuki uyuşmazlıklarda delil teşkil etmesi veya kişisel veriye bağlı ilgili hakkın ileri sürülebilmesi veya savunmanın tesis edilmesi amacıyla saklanabilmektedir.

Buradaki sürelerin tesisinde bahsi geçen hakkın ileri sürülebilmesine yönelik zaman aşımı süreleri ile zaman aşımı sürelerinin geçmesine rağmen daha önce aynı konularda Klinik’e yöneltilen taleplerdeki örnekler esas alınarak saklama süreleri belirlenmektedir. Bu durumda saklanan kişisel verilere herhangi bir başka amaçla erişilmemekte ve ancak ilgili hukuki uyuşmazlıkta kullanılması gerektiği zaman ilgili kişisel verilere erişim sağlanmaktadır. Burada da bahsi geçen süre sona erdikten sonra kişisel veriler silinmekte, yok edilmekte veya anonim hale getirilmektedir. Son olarak Sağlık Bakanlığı yönetmelikleri uyarınca ömür boyu saklanması gereken veriler için her halde uzun süreli saklama öngören yasal süreler dikkate alınmaktadır.

İŞLETMENİN KİŞİSEL VERİLERİN İŞLENMESİ VE KORUNMASI POLİTİKASI UYARINCA YÖNETİM YAPISI

Klinik bünyesinde işbu Politika ve bu Politika’ya bağlı ve ilişkili diğer politikaları yönetmek üzere işletme sahibinin görev kabul beyanı gereğince kişisel veri sahiplerinin verilerinin hukuka, işbu Politika ve bu Politika’ya bağlı ve ilişkili diğer politikalara uygun olarak saklanması ve işlenmesi için gerekli işlemleri yapmakla yetkili ve görevlidir.

GÜNCELLEME, UYUM VE DEĞİŞİKLİKLER

Klinik, Kanun’da yapılan değişiklikler nedeniyle, Kurul kararları uyarınca ya da sektördeki ya da bilişim alanındaki gelişmeler doğrultusunda işbu Politika ve bu Politika’ya bağlı ve ilişkili diğer politikalarda değişiklik yapma hakkını saklı tutar.

İşbu Politika’da yapılan değişiklikler derhal metne işlenir ve değişikliklere ilişkin açıklamalar Politika’nın sonunda açıklanır. İşbu Politika’nın revizyon edilmesi veya yürürlükten kaldırılması halinde Politika’nın revizyon edilmiş hali veya yeni politika örneği ilgili yerlerde ilan edilecektir.

YÜRÜTME

İşbu Politika’nın yürütülmesinden veri sorumlusu ve veri sorumlusunun yükümlülüklerini yerine getirmekle yükümlü olan Klinik, yönetiminden sorumlu kişinin KVKK ve Veri Koruma Kurulu düzenlemeleri kapsamındaki tüm iş ve işlemlerin takibinden ve koordinasyonundan sorumludur.

KVKK ve Gizlilik Politikası

GİRİŞ