|
|
Özel Nitelikli Kişisel Verilerin Korunması ve Gizlilik Politikası |
|
|
ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİ VE KORUNMASI POLİTİKASI İÇİNDEKİLER 1.AMAÇ 2 2.KAPSAM 2 3.TANIMLAR 2 4.ÖZEL NİTELİKLİ KİŞİSEL VERİNİN İŞLENMESİ 3 5.ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN AKTARILMASI 4 6.KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VE ANONİMLEŞTİRİLMESİ ŞARTLARI 5 7.VERİ GÜVENLİĞİ ÖNLEMLERİ 6 8.POLİTİKA’NIN YAYINLANMASI ve SAKLANMASI 8 9.ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİ VE KORUNMASI POLİTİKASININ KONTROL EDİLMESİ 8 10. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİ VE KORUNMASI POLİTİKASININ GÜNCELLENMESİ 8 11.YÜRÜRLÜK VE DEĞİŞİKLİK 8 ÖZ-SA ÖZEL SAKARYA DİYALİZ MERKEZİ SAN. ve TİC. LTD. ŞTİ ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİ VE KORUNMASI POLİTİKASI |
1.AMAÇ; 6698 sayılı Kişisel Verilerin Korunması Kanunu 7 Nisan 2016 tarihinde yürürlüğe girmiş olup işbu politika, Şirket’in; Kanuna Özel Nitelikli Kişisel Verilerin İşlenmesi ve Korunması Politikası, uyumluluğunun sağlanmasını ve Şirket tarafından özel nitelikli kişisel verilerin işlenmesi ve korunmasına ilişkin yükümlülüklerin yerine getirilmesinde uyulacak prensiplerin belirlenmesini amaçlamaktadır. 2.KAPSAM Şirket olarak; hastaların, potansiyel hastaların, tedarikçilerinin, ziyaretçilerinin, çalışanlarının, çalışan adaylarının, hukuki veya ticari ilişki ve/veya iş birliği içinde olduğu diğer kişi, kurum ve kuruluşlar ile bunların çalışanlarının, iş ortaklarının, hissedarlarının ve yetkililerinin özel nitelikli kişisel verilerinin gizliliği ve güvenliği önemsemekteyiz. İşbu KVKK Özel Nitelikli Kişisel Veri İşlenmesi ve Korunması Politikası’nın “Politika” temel amacı, yukarıda sayılan kişiler başta olmak üzere özel nitelikli kişisel verilere ilişkin iş ve işlemlerin usul ve esaslarını belirlemektir. Politika, özel nitelikli kişisel verilerin işleme şartlarını belirlemekte ve kişisel verilerin işlenmesinde Şirket tarafından benimsenen ana ilkeleri ortaya koymaktadır. Bu çerçevede Politika, Şirket tarafından Kanun kapsamındaki tüm kişisel veri işleme faaliyetlerini, Şirket’in işlediği tüm kişisel verilerin sahiplerini ve işlediği tüm kişisel verileri kapsamaktadır. İşbu Politika özel nitelikli kişisel veri olmayan veriler hakkında uygulanmayacaktır Politika Şirket’in internet sitesinde yayımlanır ve kişisel veri sahiplerinin talebi üzerine ilgili kişilerin erişimine sunulur. İşbu Politika’nın Şirket tarafından uygulanmasında hukuki bir engel olduğuna kanaat getirildiği durumlarda, Şirket uygulayacağı adımları yetkili birimine danışarak yeniden belirleyecektir. 3.TANIMLAR ŞİRKET | ÖZ-SA ÖZEL SAKARYA DİYALİZ MERKEZİ SAN. ve TİC. LTD. ŞTİ
| KVKK | 7 Nisan 2016 tarihli ve 29677 sayılı Resmî Gazete ‘de yayımlanan, 24 Mart 2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanunu. | POLİTİKA | KVKK Özel Nitelikli Kişisel Veri İşleme ve Koruma Politikası | AÇIK RIZA | Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza | ANONİM HALE GETİRME | Kişisel verinin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi.
| AYDINLATMA YÜKÜMLÜLÜĞÜNÜN YERİNE GETİRİLMESİNDE UYULACAK USUL VE ESASLAR HAKKINDA TEBLİĞ | 10 Mart 2018 tarihli ve 30356 sayılı Resmî Gazete ‘de yayımlanarak yürürlüğe giren Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ.
| HASTA | Diyaliz Hastaları | KİŞİSEL VERİ | Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi. Kişisel Veri
| VERİ SAHİBİ | Kişisel verisi işlenen gerçek kişi. Örneğin; çalışanlarımız, hastalarımız ziyaretçilerimiz, bizimle çalışmak isteyen adaylar, müşterilerimiz
| KVK KURULU | Kişisel Verileri Koruma Kurulu | KVK KURUMU | Kişisel Verileri Koruma Kurumu.
| ÖZEL NİTELİKLİ KİŞİSEL VERİ | Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık kıyafet, dernek vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili veriler ile Biyometrik ve genetik veriler
| 4.ÖZEL NİTELİKLİ KİŞİSEL VERİNİN İŞLENMESİ Şirket, Sağlık sektöründe hizmet vermekte olup, kanun tarafından belirlenen özel nitelikli kişisel verileri işlerken görev bilinci ve kanuni yükümlülükleri uyarınca azami özeni göstermektedir. Kural olarak özel nitelikli kişisel verilerin ilgilinin açık rızası olmaksızın işlenmesi yasaktır. Özel nitelikli kişisel veriler Şirketimiz tarafından, bu Politikada belirtilen ilkelere uygun olarak ve Şirket KVK Kurulu'nun belirleyeceği yöntemler de dâhil olmak üzere gerekli her türlü idari ve teknik tedbirler alınarak ve aşağıdaki şartların varlığı halinde işlenmektedir. Sağlık ve Cinsel Hayat Dışındaki Özel Nitelikli Kişisel Veriler, | İlgili faaliyetin tabi olduğu kanunda kişisel verilerin işlenmesine ilişkin açıkça bir hüküm olması halinde veri sahibinin açık rızası aranmaksızın işlenebilecektir. Aksi durumda söz konusu özel nitelikli kişisel verilerin işlenebilmesi için veri sahibinin açık rızası alınacaktır. | Sağlık ve Cinsel Hayata İlişkin Özel Nitelikli Kişisel Veriler | Kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından açık rıza aranmaksızın işlenebilecektir. Aksi durumda söz konusu özel nitelikli kişisel verilerin işlenebilmesi için veri sahibinin açık rızası alınacaktır. | |
|
Kanuna uygun bir biçimde Şirketimiz tarafından; özel nitelikli kişisel veriler, KVK Kurulu tarafından belirlenecek olan yeterli önlemlerin alınması kaydıyla aşağıdaki durumlarda işlenmektedir: Kişisel veri sahibinin açık rızası var ise veya Kişisel veri sahibinin açık rızası yok ise; ‘Kişisel veri sahibinin sağlığı ve cinsel hayatı dışındaki özel nitelikli kişisel veriler, kanunlarda öngörülen hallerde, Kişisel veri sahibinin sağlığına ve cinsel hayatına ilişkin özel nitelikli kişisel verileri ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenmektedir.’’ 5.ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN AKTARILMASI Şirket, hukuka uygun olarak elde etmiş olduğu Özel Nitelikli Kişisel Verileri, veri işleme amaçları doğrultusunda, gerekli güvenlik önlemlerini alarak, Veri Sahibi ’nin Özel Nitelikli Kişisel Verilerini üçüncü kişilere aktarabilmektedir. Özel nitelikli kişisel veriler Şirketimiz tarafından, bu Politikada belirtilen ilkelere uygun olarak ve Kurul’un belirleyeceği yöntemler de dâhil olmak üzere gerekli her türlü idari ve teknik tedbirler alınarak ve aşağıdaki şartların varlığı halinde aktarılabilecektir. Kişisel verileriniz ve kişisel sağlık verileriniz işbu politika metninde açıklanan amaçlar ve 3359 sayılı Sağlık Hizmetleri Temel Kanunu, 663 sayılı Sağlık Bakanlığı ve Bağlı Kuruluşların Teşkilat ve Görevleri Hakkında Kanun Hükmünde Kararname, 6698 sayılı Kişisel Verilerin Korunması Kanunu, , Kişisel Sağlık Verilerinin İşlenmesi ve Mahremiyetinin Korunması Yönetmeliği ve ilgili düzenlemeler çerçevesinde; Sözleşmesel ve kanuni yükümlülüklerimizin yerine getirilebilmesi ile hastanemizin idari, ticari ve ekonomik faaliyetlerin gerçekleştirilebilmesi amaçlarıyla | Sağlık Bakanlığı, Sosyal Güvenlik Kurumu, Emniyet Genel Müdürlüğü ve sair kolluk kuvvetleri, Çalışma Bakanlığı, Nüfus Genel Müdürlüğü, mahkemeler ve icra daireleri, Türkiye Eczacılar Birliği, düzenleyici ve denetleyici kurumlar, sigorta şirketleri, hastalar tarafından yetkilendirilen temsilciler, iş birliği yapılan laboratuvarlar ve sair merkezler ile Elektronik Tıbbi Kayıtlar ve Elektronik Sağlık Kayıtları sistemlerine aktarılmaktadır.
| Şirket tarafından sunulan hizmetlerin faturalandırılabilmesi ve tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla | Sigorta şirketleri ve yetkili kurum/kuruluşlara, Şirketin verimliliği ile iş ve işçi bulma politikalarının geliştirilebilmesi, sürdürülebilirliğin sağlanabilmesi için ilgili üçüncü şahıslara | İş sözleşmesi kapsamında işverenin sahip olduğu yükümlülüklerin yerine getirilebilmesi amacıyla | Bankalara | Şirket bünyesindeki işlerin idaresi, yönetimi, işlerinin yürütülebilmesi, Şirket politikalarının uygulanabilmesi, iş akışının verimli bir şekilde yönetilip yürütülebilmesi için kişisel verileriniz, veri depolama amacıyla | HBYS uygulamalarına ve yedekleme sistemlerine aktarılmaktadır. | Veri sahibinin açık rızası var ise; | Açık Rıza Kapsamında aktarılabilmektedir. | 6.KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VE ANONİMLEŞTİRİLMESİ ŞARTLARI Kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde şirketimiz ilgili prosedürlerine istinaden veya kişisel veri sahibinin talebi üzerine kişisel veriler silinir, yok edilir veya anonim hâle getirilir. Bu kapsamda şirketimiz ilgili yükümlülüğünü yerine getirmek üzere ilgili iş birimlerini eğitmekte,görevlendirmekte ve farkındalıklarını arttırmaktadır. Şirketimiz binalarına gelen kişilerin kişisel ve özel nitelikli kişisel verileri usulüne uygun olarak elde edilirken Şirketimizde görülebilir şekilde sergilenen ya da diğer şekillerde (internet sitemizde) erişime sunulan metinler aracılığıyla söz konusu kişisel veri sahipleri bu kapsamda aydınlatılmaktadır. 7.VERİ GÜVENLİĞİ ÖNLEMLERİ |
|
Nitelikli Kişisel Verileri Koruma Politikası Belirlenmiştir.
| Özel nitelikli kişisel verilerin güvenliğine yönelik sistemli, kuralları net bir şekilde belli, yönetilebilir ve sürdürülebilir ayrı bir politika belirlenmiştir. | Özel Nitelikli Kişisel Verilerin İşlenmesi Süreçlerinde Yer Alan Çalışanlara Yönelik, | a) Kanun ve buna bağlı yönetmelikler ile özel nitelikli kişisel veri güvenliği konularında düzenli olarak eğitimler verilmektedir. b) Çalışanlar ile gizlilik sözleşmeleri yapılmaktadır. Yine hizmet alınan kurumlarla da Kurumsal Gizlilik Sözleşmesi akdedilmektedir. c) Verilere erişim yetkisine sahip kullanıcıların, yetki kapsamlarının ve sürelerinin net olarak tanımlanmaktadır. ç) Periyodik olarak yetki kontrolleri yapılmaktadır. d) Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkilerinin işten ayrıldığı anda İnsan Kaynakları birimi tarafından sistem üzerinden derhal yetkisi kaldırılmakta, sisteme erişimi engellenmektedir. Bu kapsamda, veri sorumlusu tarafından kendisine tahsis edilen envanter iade alınmaktadır.
| Özel Nitelikli Kişisel Verilerin İşlendiği, Muhafaza Edildiği Ve/Veya Erişildiği Ortamlar, Elektronik Ortam İse Özel Nitelikli Kişisel Verilerin İşlendiği, Muhafaza Edildiği Ve/Veya Erişildiği Ortamlar, Elektronik Ortam İse
| a) Veriler kriptografik yöntemler kullanılarak muhafaza edilmekte, b) Kriptografik anahtarlar güvenli ve farklı ortamlarda tutulmakta, c) Veriler üzerinde gerçekleştirilen tüm hareketlerin işlem kayıtları güvenli olarak loglanmakta, ç) Verilerin bulunduğu ortamlara ait güvenlik güncellemeleri sürekli takip edilmekte, gerekli güvenlik testleri düzenli olarak yapılmakta/yaptırılmakta ve test sonuçları kayıt altına alınmakta, d) Yazılım aracılığı ile erişilen verilere, bu yazılıma ait kullanıcı yetkilendirmeleri yapılmakta, bu yazılımların güvenlik testleri düzenli olarak yapılmakta/yaptırılmakta, test sonuçları kayıt altına alınmakta, e) Verilere uzaktan erişim gerekiyorsa en az iki kademeli kimlik doğrulama sistemi sağlanmakta,
| Özel Nitelikli Kişisel Verilerin İşlendiği, Muhafaza Edildiği ve/veya Erişildiği Ortamlar, Fiziksel Ortam İse | a) Özel nitelikli kişisel verilerin bulunduğu ortamın niteliğine göre yeterli güvenlik önlemleri (elektrik kaçağı, yangın, su baskını, hırsızlık vb. durumlara karşı) alınmakta, b) Bu ortamların fiziksel güvenliğinin sağlanarak yetkisiz giriş çıkışların engellenmesi sağlanmaktadır.
| Özel Nitelikli Kişisel Veriler Aktarılacaksa | a) Verilerin e-posta yoluyla aktarılması gerekiyorsa şifreli olarak kurumsal e-posta adresiyle veya Kayıtlı Elektronik Posta (KEP) hesabı kullanılarak aktarılmakta b) Taşınabilir Bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerekiyorsa kriptografik yöntemlerle şifrelenmekte ve kriptografik anahtar farklı ortamda tutulmakta, c) Farklı fiziksel ortamlardaki sunucular arasında aktarma gerçekleştiriliyorsa, sunucular arasında VPN kurularak veya SFTP yöntemiyle veri aktarımı gerçekleştirilmekte, ç) Verilerin elden aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemlerin alınması ve evrakın gizlilik dereceli belgeler formatında gönderilmektedir.
| Uygun Güvenlik Düzeyini Temin Etmeye Yönelik Teknik ve İdari Tedbirler Şirketçe Sağlanmaktadır. | Kişisel Verileri Koruma Kanununda ve ilgili mevzuatlarda yayımlanan Özel Nitelikli Kişisel Verileri korumaya yönelik tüm idari ve teknik tedbirler sağlanmıştır. | Şirketimiz tarafından, Kanun ile “özel nitelikli” olarak belirlenen ve hukuka uygun olarak işlenen özel nitelikli kişisel verilerin korunmasında hassasiyetle davranılmaktadır. Bu kapsamda, Şirketimiz tarafından, kişisel verilerin korunması için alınan teknik ve idari tedbirler, özel nitelikli kişisel veriler bakımından özenle uygulanmakta ve Şirketimiz bünyesinde gerekli denetimler sağlanmaktadır. 8.POLİTİKA’NIN YAYINLANMASI ve SAKLANMASI Politika, ıslak imzalı (basılı kâğıt) ve elektronik ortamda olmak üzere iki farklı ortamda yayımlanır, web sitesinde kamuya açıklanır. Basılı kâğıt nüshası da Kalite Yönetim Sistemi Sorumlusu tarafından dosyasında saklanır. 9.ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİ VE KORUNMASI POLİTİKASININ KONTROL EDİLMESİ ; Kişisel verinin, işlenmesinden, aktarılmasından, imha ve yok edilmesinden sorumlu tüm kullanıcılar ve veri sahibi birimler ilgili şartların ortadan kalkıp kalkmadığını en geç altı aylık periyodlar içerisinde, kullandıkları veri kayıt ortamlarında gözden geçireceklerdir. 10. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİ VE KORUNMASI POLİTİKASININ GÜNCELLENMESİ ; Politika, ihtiyaç duyulduğunda gerekli bölümleri gözden geçirilir ve gerekli olan bölümler güncellenir. İşbu Politika'da yapılan değişiklikler derhal metne işlenir ve değişikliklere ilişkin açıklamalar politikanın sonunda açıklanır. Şirket, Politika üzerinde yaptığı değişiklikler incelenebilecek olacak şekilde güncellenen Politikayı eposta yolu ile çalışanlarıyla paylaşacak ve kurumsal internet üzerinden çalışanlarının erişimine sunacaktır Şirket Kişisel veri sahibinin başvurusu veya bir mahkemenin bildirimi üzerine, ilgili kullanıcı ve birimler, periyodik denetleme süresine bakmaksızın kullandıkları veri kayıt ortamlarında bu gözden geçirmeyi yapacaklardır. Yeni mevzuatlar ile belirlenmesi durumunda,Şirket kişisel veriler üzerinde yeni mevzuatlara uyumlu olacak şekilde politikasını güncelleyerek mevzuat gerekliliklerine uyacaktır. 11.YÜRÜRLÜK VE DEĞİŞİKLİK Politika, Şirket tarafından internet sitesinde yayımlanarak kamuoyuna sunulmuştur. Başta Kanun olmak üzere yürürlükteki mevzuat ile bu Politika ‘da yer verilen düzenlemelerin çelişmesi halinde mevzuat hükümleri uygulanır. Şirket, yasal düzenlemelere paralel olarak Politika ‘da değişiklik yapma hakkını saklı tutar. Politika’nın güncel versiyonuna Şirket web sitesinden http://öz-sa.com.tr/ erişilebilir. |
|
|
|
|