Özel Nitelikli Kişisel Verilerin Korunması ve İşlenmesi Politikası

You are here:

Özel Nitelikli Kişisel Verilerin Korunması ve İşlenmesi Politikası

ÖZEL SÖKE SAĞLIK HİZMETLERİ TURİZM TİCARET LTD. ŞTİ

(EGEMED HASTANELERİ)

ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ

POLİTİKASI

 

AMAÇ VE KAPSAM

 

Özel Nitelikli Kişisel Verilerin Korunması, ÖZEL SÖKE SAĞLIK HİZMETLERİ TURİZM TİCARET LTD. ŞTİ (EGEMED HASTANELERİ/ŞİRKET) için en önemli önceliklerinden olup, yürürlükte olan tüm mevzuata uygun davranmak için azami gayret göstermektedir. Özel Söke Sağlık Hizmetleri Turizm Ticaret Ltd. Şti (Egemed Hastaneleri/Şirket)  Özel Nitelikli Kişisel Verileri Koruması Politikası çerçevesinde Şirketimiz tarafından gerçekleştirilen Özel Nitelikli Kişisel Veri işleme faaliyetlerinin yürütülmesinde benimsenen ilkeler ve Şirketimizin veri işleme faaliyetlerinin 6698 sayılı Kişisel Verilerin Korunması Kanununda ve ilgili mevzuatta yer alan düzenlemeler ile Kişisel Verileri Koruma Kurumu kararlarına uyum bakımından benimsenen temel prensipler açıklanmakta ve böylelikle Şirketimiz, kişisel veri sahiplerini bilgilendirerek gerekli şeffaflığı sağlamaktadır. Özel Nitelikli Kişisel Verileriniz bu politika kapsamında işlenmekte ve korunmaktadır.

 

TANIM

Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri Kanunda özel nitelikli kişisel veri (hassas veri) olarak belirtilmiştir. Tanımdan da anlaşıldığı üzere Kanun özel nitelikli kişisel verileri saymak suretiyle sınırlı olarak belirlemiştir. Özel nitelikli kişisel veriyi diğer kişisel verilerden ayıran en önemli özellik bu verilerin hukuka aykırı bir şekilde işlenmesi halinde kişilerin mağduriyetine veya ayrımcılığa sebep olma riski taşıyan kişisel veriler olmalarıdır.

 

ÖZEL NİTELİKLİ KİŞİSEL VERİNİN İŞLENMESİ

  • Kişisel Verilerin Korunması Kanunu

Şirket, sağlık sektöründe hizmet vermekte olup kişilere ait kritik önemi haiz özel nitelikli kişisel verileri işlerken görev bilinci ve kanuni yükümlülükleri uyarınca azami özeni göstermektedir. Şirket özel nitelikli kişisel verileri Kanuna uygun olarak işlemektedir. Kanunun 6. maddesinin 4. fıkrasının göndermesiyle Kurul tarafından belirlenen yeterli önlemleri ihtiva eden Kişisel Verileri Koruma Kurulunun 31.01.2018 Tarihli ve 2018/10 Sayılı Kararı ile belirlenen tedbirleri Şirketimiz almış olup bu kurallar doğrultusunda kişilere ait özel nitelikli kişisel verileri işlemektedir.

Kural olarak özel nitelikli kişisel verilerin ilgilinin açık rızası olmaksızın işlenmesi yasaktır. Özel nitelikli kişisel veriler Şirketimiz tarafından, bu Politikada belirtilen ilkelere uygun olarak ve KVK Kurumunun belirleyeceği yöntemler de dâhil olmak üzere gerekli her türlü idari ve teknik tedbirler alınarak ve aşağıdaki şartların varlığı halinde işlenmektedir.

 

  • Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler, kanunlarda açıkça öngörülmesi diğer bir ifade ile ilgili faaliyetin tabi olduğu kanunda kişisel verilerin işlenmesine ilişkin açıkça bir hüküm olması halinde veri sahibinin açık rızası aranmaksızın işlenebilecektir. Aksi durumda söz konusu özel nitelikli kişisel verilerin işlenebilmesi için veri sahibinin açık rızası alınacaktır.
  • Sağlık ve cinsel hayata ilişkin özel nitelikli kişisel veriler, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından açık rıza aranmaksızın işlenebilecektir. Aksi durumda söz konusu özel nitelikli kişisel verilerin işlenebilmesi için veri sahibinin açık rızası alınacaktır.

 

VERİ GÜVENLİĞİ ÖNLEMLERİ

Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler ile ilgili Kişisel Verileri Koruma Kurulunun 31.01.2018 Tarihli ve 2018/10 Sayılı Kararı uyarınca belirlenen tedbirler Şirketçe alınmıştır. Mezkûr tedbirler aşağıda belirtilmiştir:

1- Özel nitelikli kişisel verilerin güvenliğine yönelik sistemli, kuralları net bir şekilde belli, yönetilebilir ve sürdürülebilir ayrı bir Özel Nitelikli Kişisel Verileri Koruma Politikası belirlenmiştir.

2- Özel nitelikli kişisel verilerin işlenmesi süreçlerinde yer alan çalışanlara yönelik,

  1. a) Kanun ve buna bağlı yönetmelikler ile özel nitelikli kişisel veri güvenliği konularında düzenli olarak eğitimler verilmektedir.
  2. b) Çalışanlar ile gizlilik sözleşmeleri yapılmaktadır. Yine hizmet alınan kurumlarla da Kurumsal Gizlilik Sözleşmesi akdedilmektedir.
  3. c) Verilere erişim yetkisine sahip kullanıcıların, yetki kapsamlarının ve sürelerinin net olarak tanımlanmaktadır.

ç) Periyodik olarak yetki kontrolleri yapılmaktadır.

  1. d) Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkilerinin işten ayrıldığı anda İnsan Kaynakları birimi tarafından sistem üzerinden derhal yetkisi kaldırılmakta, sisteme erişimi engellenmektedir. Bu kapsamda, veri sorumlusu tarafından kendisine tahsis edilen envanter iade alınmaktadır.

3- Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, elektronik ortam ise

  1. a) Veriler kriptografik yöntemler kullanılarak muhafaza edilmekte,
  2. b) Kriptografik anahtarlar güvenli ve farklı ortamlarda tutulmakta,
  3. c) Veriler üzerinde gerçekleştirilen tüm hareketlerin işlem kayıtları güvenli olarak loglanmakta,

ç) Verilerin bulunduğu ortamlara ait güvenlik güncellemeleri sürekli takip edilmekte, gerekli güvenlik testleri düzenli olarak yapılmakta/yaptırılmakta ve test sonuçları kayıt altına alınmakta,

  1. d) Yazılım aracılığı ile erişilen verilere, bu yazılıma ait kullanıcı yetkilendirmeleri yapılmakta, bu yazılımların güvenlik testleri düzenli olarak yapılmakta/yaptırılmakta, test sonuçları kayıt altına alınmakta,
  2. e) Verilere uzaktan erişim gerekiyorsa en az iki kademeli kimlik doğrulama sistemi sağlanmakta,

4- Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, fiziksel ortam ise

  1. a) Özel nitelikli kişisel verilerin bulunduğu ortamın niteliğine göre yeterli güvenlik önlemleri (elektrik kaçağı, yangın, su baskını, hırsızlık vb. durumlara karşı) alınmakta,
  2. b) Bu ortamların fiziksel güvenliğinin sağlanarak yetkisiz giriş çıkışların engellenmesi sağlanmaktadır.

5- Özel nitelikli kişisel veriler aktarılacaksa;

  1. a) Verilerin e-posta yoluyla aktarılması gerekiyorsa şifreli olarak kurumsal e-posta adresiyle veya Kayıtlı Elektronik Posta (KEP) hesabı kullanılarak aktarılmakta,
  2. b) Taşınabilir Bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerekiyorsa kriptografik yöntemlerle şifrelenmekte ve kriptografik anahtar farklı ortamda tutulmakta,
  3. c) Farklı fiziksel ortamlardaki sunucular arasında aktarma gerçekleştiriliyorsa, sunucular arasında VPN kurularak veya sFTP yöntemiyle veri aktarımı gerçekleştirilmekte,

ç) Verilerin elden aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemlerin alınması ve evrakın gizlilik dereceli belgeler formatında gönderilmektedir.

6-Yukarıda belirtilen önlemlerin yanı sıra Kişisel Verileri Koruma Kurumunun internet sitesinde yayımlanan Kişisel Veri Güvenliği Rehberinde belirtilen uygun güvenlik düzeyini temin etmeye yönelik teknik ve idari tedbirler de Şirketçe sağlanmaktadır.

 

ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN AKTARILMASI

 

Özel nitelikli kişisel veriler Şirketimiz tarafından, bu Politikada belirtilen ilkelere uygun olarak ve Kurul’un belirleyeceği yöntemler de dâhil olmak üzere gerekli her türlü idari ve teknik tedbirler alınarak ve aşağıdaki şartların varlığı halinde aktarılabilecektir:

– Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler, kanunlarda açıkça öngörülmesi diğer bir ifade ile ilgili kanunda kişisel verilerin işlenmesine ilişkin açıkça bir hüküm olması halinde veri sahibinin açık rıza aranmaksızın işlenebilecektir. Aksi halde veri sahibinin açık rızası alınacaktır.

– Sağlık ve cinsel hayata ilişkin özel nitelikli kişisel veriler, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından açık rıza aranmaksızın işlenebilecektir. Aksi halde veri sahibinin açık rızası alınacaktır.

Yukarıdakilere ek olarak kişisel veriler, Yeterli Korumaya Sahip Yabancı Ülkelere yukarıdaki şartlardan herhangi birinin varlığı halinde aktarılabilecektir. Yeterli korumanın bulunmaması durumunda ise mevzuatta öngörülen veri aktarım şartları doğrultusunda Yeterli Korumayı Taahhüt Eden Veri Sorumlusunun Bulunduğu Yabancı Ülkelere aktarılabilecektir.

Kişisel verileriniz ve kişisel sağlık verileriniz işbu politika metninde açıklanan amaçlar ve 3359 sayılı Sağlık Hizmetleri Temel Kanunu, 663 sayılı Sağlık Bakanlığı ve Bağlı Kuruluşların Teşkilat ve Görevleri Hakkında Kanun Hükmünde Kararname, 6698 sayılı Kişisel Verilerin Korunması Kanunu, Özel Hastaneler Yönetmeliği, Kişisel Sağlık Verilerinin İşlenmesi ve Mahremiyetinin Korunması Yönetmeliği ve ilgili düzenlemeler çerçevesinde;

  • Sözleşmesel ve kanuni yükümlülüklerimizin yerine getirilebilmesi ile hastanemizin idari, ticari ve ekonomik faaliyetlerin gerçekleştirilebilmesi amaçlarıyla Sağlık Bakanlığı, Sosyal Güvenlik Kurumu, Emniyet Genel Müdürlüğü ve sair kolluk kuvvetleri, CİMER, SABİM, Çalışma Bakanlığı, Nüfus Genel Müdürlüğü, mahkemeler ve icra daireleri, Türkiye Eczacılar Birliği, düzenleyici ve denetleyici kurumlar, sigorta şirketleri, hastalar tarafından yetkilendirilen temsilciler, iş birliği yapılan laboratuvarlar ve sair merkezler ile Elektronik Tıbbi Kayıtlar ve Elektronik Sağlık Kayıtları sistemlerine aktarılmaktadır.
  • Şirket tarafından sunulan hizmetlerin faturalandırılabilmesi ve tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla sigorta şirketleri ve yetkili kurum/kuruluşlara,
  • Şirketin verimliliği ile iş ve işçi bulma politikalarının geliştirilebilmesi, sürdürülebilirliğin sağlanabilmesi için ilgili üçüncü şahıslara,
  • İş sözleşmesi kapsamında işverenin sahip olduğu yükümlülüklerin yerine getirilebilmesi amacıyla bankalara,
  • Hastane bünyesindeki işlerin idaresi, yönetimi, hastane işlerinin yürütülebilmesi, hastane politikalarının uygulanabilmesi, iş akışının verimli bir şekilde yönetilip yürütülebilmesi için kişisel verileriniz, veri depolama amacıyla çalışılan üçüncü kişilere, HBYS uygulamalarına ve yedekleme sistemlerine aktarılmaktadır.
  • Kamuoyunun bilgi alma hakkı çerçevesinde, ilgili kişinin açık rızasının alınması suretiyle, hastanın tıbbi bilgileri ile hasta ve hasta yakınlarına ilişkin sosyo-kültürel ve ekonomik bilgiler basın yayın organları ile paylaşılabilmektedir.

 

KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VE ANONİMLEŞTİRİLMESİ ŞARTLARI

 

Kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde şirketimiz ilgili prosedürlerine istinaden veya kişisel veri sahibinin talebi üzerine kişisel veriler silinir, yok edilir veya anonim hâle getirilir.

Bu kapsamda şirketimiz ilgili yükümlülüğünü yerine getirmek üzere ilgili iş birimlerini eğitmekte, görevlendirmekte ve farkındalıklarını arttırmaktadır.

Şirketimiz binalarına gelen kişilerin kişisel ve özel nitelikli kişisel verileri usulüne uygun olarak elde edilirken Şirketimizde görülebilir şekilde sergilenen ya da diğer şekillerde (internet sitemizde) erişime sunulan metinler aracılığıyla söz konusu kişisel veri sahipleri bu kapsamda aydınlatılmaktadır.

 

POLİTİKANIN YÜRÜRLÜĞE GİRMESİ

 

Özel Nitelikli Kişisel Verilerin Korunması ve İşlenmesi Politikası 23.12.2019 tarihinde VERBİS kaydı yapılarak tamamlanmıştır. Politikanın tamamının veya belirli maddelerinin yenilenmesi durumunda Politikanın yürürlük tarihi yenilenen madde için o maddenin revize edilerek yayınlandığı tarihtir.

Bu Politika Şirketimizin internet sitesinde (www.egemed.com.tr/anasayfa/) yayınlanır.

 

 

 

ÖZEL SÖKE SAĞLIK HİZMETLERİ

TURİZM TİCARET LTD. ŞTİ

(EGEMED HASTANELERİ)

İLETİŞİM: YENİCAMİ MAH. NİHAT AŞKIN CAD. NO:7 SÖKE/AYDIN

www.egemed.com.tr/anasayfa/

444 10 81