AKZEN SAĞLIK HİZMETLERİ MEDİKAL MALZEMELER İNŞAAT SAN.VE TİC.A.Ş
(ÖZEL İZMİR AVRUPA CERRAHİ TIP MERKEZİ)
ÖZEL NİTELİKLİ KİŞİSEL VERİ GÜVENLİĞİ POLİTİKASI

 

 

MADDE 1- AMAÇ

Özel nitelikli kişisel veri güvenliği politikası, Akzen Sağlık Hizmetleri Medikal Malzemeler İnş. San. Ve Tic. A.Ş.  (Özel İzmir Avrupa Cerrahi Tıp Merkezi) tarafından işlenen özel nitelikli kişisel verilerin işlenmesi, saklanması ve aktarılmasına yönelik iş ve işlemler konusundaki usulleri ve esasları belirlemek amacıyla hazırlanmıştır.

MADDE 2- KAPSAM ve DAYANAK

Veri sorumlusu tarafından işlenen özel nitelikli kişisel veriler bu politika kapsamındadır.

Bu politika metni Kişisel Verileri Koruma Kurulu’nun "Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler" konulu 31/01/2018 tarih ve 2018/10 sayılı kararında belirlenen ilkeler dikkate alınarak hazırlanmıştır.

MADDE 3- TANIMLAR

Çalışan                                               : Şirket personeli

Elektronik ortam                               : Kişisel verilerin elektronik aygıtlar ile oluşturulabildiği, okunabildiği, değiştirilebildiği ve yazılabildiği ortamlar

Elektronik olmayan ortam                 : Elektronik ortamların dışında kalan tüm yazılı, basılı, görsel vb. diğer ortamlar

İlgili kişi                                              : Kişisel verisi işlenen gerçek kişi

Kanun                                                 : 6698 Sayılı Kişisel Verilerin Korunması Kanunu

Kişisel veri                                         : Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi

Kişisel veri işleme envanteri              :Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter

Kişisel verilerin işlenmesi                  : Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, saklanması, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem

Kurul                                                 : Kişisel Verileri Koruma Kurulu

Özel nitelikli kişisel veri                     : Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri

Politika                                               : Özel Nitelikli Kişisel Veri Güvenliği Politikası

Şirket                                                 : Akzen Sağlık Hizmetleri Medikal Malzemeler İnş. San. Ve Tic. A.Ş. (Özel İzmir Avrupa Cerrahi Tıp Merkezi)

Ürün ve hizmet alıcısı                         : Hasta

Veri sorumlusu                                  : Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasında ve yönetilmesinden sorumlu gerçek veya tüzel kişi

 

MADDE 4- İŞLENEN ÖZEL NİTELİKLİ KİŞİSEL VERİLER

Şirket bünyesinde işlenen özel nitelikli kişisel veriler aşağıdadır. Bu verilere ek olarak başkaca özel nitelikli kişisel verilerin işlenmesi her zaman mümkün olmakla birlikte, işlenen özel nitelikli kişisel veri sayısı arttıkça politika metni de güncellenecektir:

  • Sağlık ve cinsel hayat bilgileri
  • Biyometrik/Genetik veri
  • Irk/Etnik Köken verisi
  • Ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler
  • Dini inançlar

 

MADDE 5- ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİ

Şirketimiz, sağlık sektöründe hizmet vermekte olup, kişilere ait kritik öneme haiz özel nitelikli kişisel verileri işlerken görev bilinci ve kanuni yükümlülükleri uyarınca, bu konuya azami özen göstermektedir. Şirketimiz özel nitelikli kişisel verileri Kanuna uygun olarak işlemektedir. Kanunun 6. maddesinin 4. fıkrasının göndermesiyle yeterli önlemleri ihtiva eden Kişisel Verileri Koruma Kurulunun 31.01.2018 Tarihli ve 2018/10 Sayılı Kararı ile belirlenen tedbirleri Şirketimiz almış olup bu kurallar doğrultusunda kişilere ait özel nitelikli kişisel verileri işlemektedir.

Kural olarak özel nitelikli kişisel verilerin ilgilinin açık rızası olmaksızın işlenmesi yasaktır. Özel nitelikli kişisel veriler Şirketimiz tarafından, bu Politikada belirtilen ilkelere uygun olarak ve KVK Kurumunun belirleyeceği yöntemler de dâhil olmak üzere gerekli her türlü idari ve teknik tedbirler alınarak ve aşağıdaki şartların varlığı halinde işlenmektedir.

  • Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler, kanunlarda açıkça öngörülmesi diğer bir ifade ile ilgili faaliyetin tabi olduğu kanunda kişisel verilerin işlenmesine ilişkin açıkça bir hüküm olması halinde veri sahibinin açık rızası aranmaksızın işlenebilecektir. Aksi durumda söz konusu özel nitelikli kişisel verilerin işlenebilmesi için veri sahibinin açık rızası alınacaktır.

 

  • Sağlık ve cinsel hayata ilişkin özel nitelikli kişisel veriler ise, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından açık rıza aranmaksızın işlenebilecektir. Aksi durumda söz konusu özel nitelikli kişisel verilerin işlenebilmesi için veri sahibinin açık rızası alınacaktır.

MADDE 6- SORUMLULUK VE GÖREVLER

Şirketin tüm çalışanları ve birimleri; özel nitelikli kişisel verilerin hukuka uygun olarak elde edilmesi, işlenmesi ve saklanması konusunda sorumlu birimlere tam ve aktif destek verir. Politika kapsamında alınan idari ve teknik tedbirlerin uygulanmasında, birim çalışanlarının eğitilmesinde, çalışanların farkındalığının sağlanmasında, artırılmasında ve izlenmesinde, kişisel verilere hukuka aykırı olarak erişilmesinin önlenmesinde ve kişisel verilerin hukuka uygun olarak muhafazasında tüm çalışanlar ve birimler, sorumlu birimlere destek olur.

MADDE 7- ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİNDE ÇALIŞANLAR İLE İLGİLİ KURALLAR

  1. Kanun ve buna bağlı yönetmelikler ile özel nitelikli kişisel veri güvenliği konularında düzenli olarak eğitimler verilmektedir.
  2. Çalışanlar ile gizlilik taahhütnameleri yapılmaktadır. Yine hizmet alınan kurumlarla da Kurumsal Gizlilik Taahhütnamesi akdedilmektedir.
  3. Verilere erişim yetkisine sahip kullanıcıların, yetki kapsamlarının ve sürelerinin net olarak tanımlanmaktadır.
  4. Periyodik olarak yetki kontrolleri yapılmaktadır.
  5. Çalışanların özel nitelikli kişisel verilere ilişkin sorumluluklarının ve yaptırımların belirlenmesi amacıyla şirket tarafından düzenlenen Disiplin Yönergesi uygulanmaktadır.
  6. Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkilerinin işten ayrıldığı anda İnsan Kaynakları birimi tarafından sistem üzerinden derhal yetkisi kaldırılmakta, sisteme erişimi engellenmektedir. Bu kapsamda, veri sorumlusu tarafından kendisine tahsis edilen envanter iade alınmaktadır.

MADDE 8- ELEKTRONİK ORTAMDA MUHAFAZA EDİLEN ÖZEL NİTELİKLİ KİŞİSEL VERİLER

Veri sorumlusunca işlenen özel nitelikli kişisel veriler mümkün olduğunca basılı ortamda muhafaza edilmekle beraber, teknik zorunluluklar ve işin gereği olarak elektronik ortamda muhafaza edilmesi de mümkündür. Bu durumda veri sorumlusunca alınan önlemler şunlardır:

  1. Veriler kriptografik yöntemler kullanılarak muhafaza edilmektedir.
  2. Kriptografik anahtarlar güvenli ve farklı ortamlarda tutulmaktadır.
  3. Veriler üzerinde gerçekleştirilen tüm hareketlerin işlem kayıtları güvenli olarak loglanmaktadır.
  4. Verilerin bulunduğu ortamlara ait güvenlik güncellemeleri sürekli takip edilmekte, gerekli güvenlik testleri düzenli olarak yapılmakta/yaptırılmakta ve test sonuçları kayıt altına alınmaktadır.
  5. Yazılım aracılığı ile erişilen verilere, bu yazılıma ait kullanıcı yetkilendirmeleri yapılmakta, bu yazılımların güvenlik testleri düzenli olarak yapılmakta/yaptırılmakta, test sonuçları kayıt altına alınmaktadır.
  6. Windows Güvenlik Duvarı kullanılmakta ve düzenli olarak kontrol edilmektedir.
  7. Verilere uzaktan erişim gerekiyorsa en az iki kademeli kimlik doğrulama sistemi sağlanmaktadır.

MADDE 9- FİZİKSEL ORTAMDA MUHAFAZA EDİLEN ÖZEL NİTELİKLİ KİŞİSEL VERİLER

Fiziksel ortamda muhafaza edilen özel nitelikli kişisel veriler için alınan önlemler şunlardır:

  1. Özel nitelikli kişisel verilerin bulunduğu ortamın niteliğine göre yeterli güvenlik önlemleri (elektrik kaçağı, yangın, su baskını, hırsızlık vb. durumlara karşı) alınmaktadır.
  2. Bu ortamların fiziksel güvenliğinin sağlanarak yetkisiz giriş çıkışların engellenmesi sağlanmaktadır.

MADDE 10- ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN AKTARILMASI

Özel nitelikli kişisel veriler Şirketimiz tarafından, bu Politikada belirtilen ilkelere uygun olarak ve Kurul’un belirleyeceği yöntemler de dâhil olmak üzere gerekli her türlü idari ve teknik tedbirler alınarak ve aşağıdaki şartların varlığı halinde aktarılabilecektir:

- Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler, kanunlarda açıkça öngörülmesi diğer bir ifade ile ilgili kanunda kişisel verilerin işlenmesine ilişkin açıkça bir hüküm olması halinde veri sahibinin açık rıza aranmaksızın işlenebilecektir. Aksi halde veri sahibinin açık rızası alınacaktır.

- Sağlık ve cinsel hayata ilişkin özel nitelikli kişisel veriler, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından açık rıza aranmaksızın işlenebilecektir. Aksi halde veri sahibinin açık rızası alınacaktır.

Yukarıdakilere ek olarak kişisel veriler, şirketimizce Yabancı Ülkelere aktarılmamaktadır. Ancak ilgilinin talebi veya başka bir sebeple bu gerekli olursa ilgilinin açık rızası alınarak bu yapılacaktır.

Kişisel verileriniz ve kişisel sağlık verileriniz işbu politika metninde açıklanan amaçlar ve 3359 sayılı Sağlık Hizmetleri Temel Kanunu, 663 sayılı Sağlık Bakanlığı ve Bağlı Kuruluşların Teşkilat ve Görevleri Hakkında Kanun Hükmünde Kararname, 6698 sayılı Kişisel Verilerin Korunması Kanunu, Özel Hastaneler Yönetmeliği, Kişisel Sağlık Verilerinin İşlenmesi ve Mahremiyetinin Korunması Yönetmeliği ve ilgili düzenlemeler çerçevesinde;

  • Sözleşmeden kaynaklı ve kanuni yükümlülüklerimizin yerine getirilebilmesi ile hastanemizin idari, ticari ve ekonomik faaliyetlerin gerçekleştirilebilmesi amaçlarıyla Sağlık Bakanlığı, Sosyal Güvenlik Kurumu, Emniyet Genel Müdürlüğü ve sair kolluk kuvvetleri, CİMER, SABİM, Çalışma Bakanlığı, Nüfus Genel Müdürlüğü, mahkemeler ve icra daireleri, düzenleyici ve denetleyici kurumlar, sigorta şirketleri, hastalar tarafından yetkilendirilen temsilciler, iş birliği yapılan laboratuvarlar ve sair merkezler ile Elektronik Tıbbi Kayıtlar ve Elektronik Sağlık Kayıtları sistemlerine aktarılabilmektedir.

 

  • Şirket tarafından sunulan hizmetlerin faturalandırılabilmesi ve tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla sigorta şirketleri ve yetkili kurum/kuruluşlara,

 

  • İş sözleşmesi kapsamında işverenin sahip olduğu yükümlülüklerin yerine getirilebilmesi amacıyla bankalara, sadece alınan hizmet ile bağlantılı, sınırlı ve ölçülü olarak ve hizmet süresince KVKK’nın gereği olan tüm teknik ve idari tedbirleri alacaklarına dair taahhütnamelerin alınması ön koşuluyla ortak çalışma gerçekleştirilen mali müşavirlik bürosuna (SMMM)

 

  • Hastane bünyesindeki işlerin idaresi, yönetimi, hastane işlerinin yürütülebilmesi, hastane politikalarının uygulanabilmesi, iş akışının verimli bir şekilde yönetilip yürütülebilmesi için kişisel verileriniz, HBYS, MEDUSA, ÜTS, E-Nabız vs uygulamalarına ve yedekleme sistemlerine aktarılmaktadır.

 

MADDE 10- KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VE ANONİMLEŞTİRİLMESİ ŞARTLARI

 

Kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde şirketimiz ilgili prosedürlerine istinaden veya kişisel veri sahibinin talebi üzerine kişisel veriler silinir, yok edilir veya anonim hâle getirilir.

Bu kapsamda şirketimiz ilgili yükümlülüğünü yerine getirmek üzere ilgili iş birimlerini eğitmekte, görevlendirmekte ve farkındalıklarını arttırmaktadır.

Şirketimizin KİŞİSEL VERİ SAKLAMA VE İMHA POLİTİKASI hazırlanarak imza altına alınmıştır.

Şirketimiz binalarına gelen kişilerin kişisel ve özel nitelikli kişisel verileri usulüne uygun olarak elde edilirken Şirketimizde görülebilir şekilde sergilenen ya da diğer şekillerde (internet sitemizde) erişime sunulan metinler aracılığıyla söz konusu kişisel veri sahipleri bu kapsamda aydınlatılmaktadır.

MADDE 11- POLİTİKANIN YAYIMLANMASI, SAKLANMASI VE GÜNCELLENMESİ

Politika, ıslak imzalı (basılı kâğıt) olarak ve bunun yanında internet sitesinde yayımlanır ve basılı kâğıt nüshası şirket bünyesinde saklanır. Politika, ihtiyaç duyuldukça gözden geçirilir ve gerekli bölümler güncellenir.

MADDE 12- YÜRÜRLÜK

Politika, şirketin yetkilisince imza edilmesinin ve internet sitesinde yayımlanmasının ardından yürürlüğe girmiş kabul edilir. Yürürlükten kaldırılmasına karar verilmesi halinde, politikanın ıslak imzalı eski nüshaları iptal edilerek (iptal kaşesi vurularak veya iptal yazılarak) imzalanır ve en az 5 yıl süre ile şirket tarafından saklanır.