Kişisel Veri

I. GİRİŞ

Ar Sağlık İşletmeciliği ve Tıbbi Cihazlar San. Tic. Ltd. Şti.[1] veri sorumlusudur. Bu statüsü gereği Çankırı Özel Karatekin Hastanesinin ve Özel Çankırı Karatekin Diyaliz Merkezinin [2] hizmet vermesi ve faaliyetlerini sürdürmesi için Kişisel Verilerin Korunması Kanunu [3] ve bu kapsamdaki Kişisel Verileri Koruma Kurumu [4] Mevzuatı kapsamında kişisel verilerin işleme amaç ve vasıtalarının belirlenmesinden, veri kayıt sisteminin kurulmasından ve yönetilmesinden kuruluşları ve bunların alt birimleri adına sorumludur.

II. POLİTİKANIN AMACI

Kuruluşumuz kişisel verilerin korunmasına azami hassasiyet göstermektedir.

Mevzuata [5] uyum sağlanması amacıyla, Kuruluşumuzca benimsenen ve uygulanacak olan usul ve esaslar, veri sorumlusunun aydınlatma yükümlülüğü kapsamında, işbu Politika ile düzenlenmiştir. Bu politikayla, ilgili süreçlerde gözetilecek temel ilkeler ve mevzuatla getirilen düzenlemelere uygun kişisel veri işleme faaliyeti ve kişisel verilerin korunmasına yönelik yapılanlar konusunda açıklamalarda bulunmak, kişisel verileri tarafımızca işlenen kişileri bilgilendirerek şeffaflığı sağlamak ve iç işleyişin yönlendirilmesi için Kuruluşumuzun yükümlülüklerini belirlemek amaçlanmaktadır.

III. KAPSAM

İlgili Kişi / Veri Sahibi: Kişisel verisi işlenen gerçek kişiyi ifade eder.

Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgidir.

Özel Nitelikli Kişisel Veri: Kanunun özel bir önem atfederek farklı bir düzenlemeye tabi tuttuğu, hassas veriler olarak kabul edilen veri grubudur.

Kişisel Verilerin İşlenmesi: Kişisel verilerin işlenmesi kavramı zincirleme bir döngüyü ifade etmektedir.

Kişisel verilerin elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi, gibi veriler üzerinde gerçekleştirilen her türlü işlem, kişisel verilerin işlenmesi olarak kabul edilmiştir.

Bu Politika, aşağıda belirtilen veri sahiplerini ve Kuruluşumuzda bu kişilere ait işlenen veri kategorilerini ve verilerin işlenmesi konusundaki yasal gereklilikleri ve uygulamaya ait hususları kapsar.

Geneli itibarıyla:

Veri konusu kişi grupları;

(1) Hizmet alan hastalar veya diğer başvuru sahibi kişiler (2) hasta refakatçisi veya veli, vasi, temsilci durumundaki kişiler (3) ziyaretçiler (4) kuruluş yetkilileri, çalışan, çalışan adayları ve stajyerler, (5) tedarikçi durumunda veya işbirliği ve hukuki ilişki içerisinde olduğumuz kişi veya kuruluşların çalışan veya yetkilileri, (6) potansiyel hizmet alıcısı durumundaki kişiler, (7) habere konu kişiler ve (8) hissedarlardır.

İşlenen kişisel veri kategorileri;

(1) KİMLİK (Ad soyad, anne – baba adı, doğum tarihi, doğum yeri, medeni hali, TC kimlik no v.b.), (2) İLETİŞİM (Adres, e-posta adresi, telefon no v.b.), (3) ÖZLÜK (İşe giriş belgesi kayıtları, özgeçmiş bilgileri, Bordro bilgileri, Disiplin soruşturması, v.b.), (4) HUKUKİ İŞLEM (Adli makamlarla yazışmalardaki bilgiler, dava dosyasındaki bilgiler v.b.), (5) MÜŞTERİ İŞLEM (Çağrı merkezi kayıtları, randevu bilgisi, fatura, senet, çek bilgileri, v.b.), (6) FİZİKSEL MEKAN GÜVENLİĞİ (Çalışan ve ziyaretçilerin giriş çıkış kayıt bilgileri, kamera kayıtları v.b.), (7) İŞLEM GÜVENLİĞİ (IP adresi bilgileri, İnternet sitesi giriş çıkış bilgileri), (8) RİSK YÖNETİMİ (Ticari, teknik, idari risklerin yönetilmesi için işlenen bilgiler v.b.), (9) MESLEKİ DENEYİM (Diploma bilgileri, Gidilen kurslar, Meslek içi eğitim bilgileri, Sertifikalar v.b.), (10) GÖRSEL ve İŞİTSEL KAYITLAR (Fotoğraf, video ve ses kayıtları) ve (11) ADLİ DURUM BİLGİLERİNDEN (gerektiğinde hastayla olan ilgi ve yakınlığı kanıtlayan veya başvuru sebebini belgeleyen bazı belge ve tutanaklar) oluşmaktadır.

İşlenen özel nitelikli kişisel veri kategorileri;

(1) SAĞLIK BİLGİLERİ (Hastanın teşhis ve tedavisine ait bilgiler, çalışanların iş sağlığı ve güvenliği kapsamındaki verileri), (2) DİN ve İNANÇLA İLGİLİ BİLGİLER (Hasta Hakları kapsamındaki yükümlülüklerle sınırlı olarak), (3) CEZA MAHKÛMİYETİ ve GÜVENLİK TEDBİRLERİ ve (4) BİYOMETRİK VERİLERDEN (SGK uygulaması gereği Kurum bilgi işlemine aktarılan avuç içi taraması) oluşmaktadır.

Veri işleyen departmanlarımız;

Kuruluşumuz organizasyonu altındaki (1) Teşhis ve tedavi hizmeti veren tıbbi hizmet birimleri, (2) hasta kayıt kabul, hasta yatış, halkla ilişkiler ve randevu birimleri, (3) kalite yönetim birimi, (4) bilgi işlem, faturalandırma ve muhasebe birimleri, (5) insan kaynakları ve işyeri hekimliği, (6) satın alma, (7) güvenlik ve (8) arşiv birimleri tarafından veri işlenmektedir.

Ayrıntıda değerlendirildiğinde ise:

Yukarıda başlıklar halinde ifade edilen veri kategorisi, kişi grubu ve veri işleyen departmanlar ve diğer bilgiler; Kurumun istediği standartta “Kişisel Veri İşleme Envanteri” olarak hazırlanmıştır. Bu envanterde iş süreçlerine bağlı olarak gerçekleştirmekte olduğumuz kişisel verileri işleme faaliyetleri; kişisel verileri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturulmuştur ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami süre ve veri güvenliğine ilişkin alınan tedbirler açıklanmıştır.

Ayrıca; Kanun gereği kamuya açık tutulması gereken sicile (VERBİS’e) kişisel veri işleme konusunda kategorik bazda istenilen bilgiler kaydedilmiştir.

Bu kayıt ortamları yılda bir gözden geçirilir, buna göre veya bir değişiklik gerektiğinde prosedürlerine uygun şekilde güncelleme yapılır, bu faaliyet Kişisel Verilerin Korunması ve Bilgi Güvenliği Komitesinin görevidir.

IV. KİŞİSEL VERİLERİN İŞLENMESİ

Kişisel Verilerin Hukuka Uygun İşlenmesi: İşlemenin veri işleme şartlarına dayanması, aydınlatmanın gerçekleşmiş olması ve Genel (temel) ilkelere uygun olması şartlarını birlikte sağlayarak verilerin işlenmesidir.

Kişisel Verilerin İşlenme Şartları: Kanun Hükmü, Sözleşmenin İfası, Fiili İmkânsızlık, Veri Sorumlusunun Hukuki Sorumluluğu, Aleniyet Kazandırma, Hakkın Tesisi, Korunması, Kullanılması, Meşru Menfaat hallerinden en az birinin bulunması halinde kişisel veriler işlenmekte; şayet veri işleme amacı bu şartlardan en az birini karşılamıyorsa veri işleme faaliyetinin devamı için kişinin açık rızasının alınması yoluna gidilmektedir.

Faaliyet alanımız gereği işlenilen sağlık verileri özel nitelikli kişisel veriler olup, tabi oldukları yasal düzenlemeler çerçevesinde işlenilmektedir.

Açık Rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızadır.

Kişisel verisi işlenen gruplar bakımından veri işleme amaçlarımız aşağıda belirtilmiştir:

Hizmet Alan Kişiler [6] bakımından:

Tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, kamu sağlığının korunması, koruyucu hekimlik sağlık hizmetleri ile finansmanının planlanması ve yönetimi,

Tıbbi ve idari işlemlerde iletişimin sağlanabilmesi ve ilgili iş süreçlerin yürütülmesi,

Randevu alımı ve bilgilendirmelerin gerçekleştirilmesi, kimlik tespiti, doğrulaması, hasta kabul kayıt süreçlerine ilişkin işlemlerin yürütülmesi,

Sağlık Bakanlığı, SGK, İçişleri Bakanlığı, bunların bağlı kuruluşları, yargı mercileri başta olmak üzere mevzuatla istenildiği hallerde diğer kamu kurum ve kuruluşlarına, sunulan sağlık hizmetlerine ilişkin yasal bildirimlerin yapılması,

Faturalama işlemlerinin yapılabilmesi, kanuni yükümlülükler ve/veya sözleşmesel ilişkiler çerçevesinde özel sigorta şirketleri ve SGK ile gerekli bilgilerin aktarılması,

Hasta ve yakınlarının istek, öneri ve şikayet yoluyla yaptıkları başvuruların, yaptıkları bildirimlerin veya hastalarca soru yöneltilmesi halinde bunların cevaplandırılması, takip edilerek sonuçlandırılması,

Hastane işleyişinin planlanması, yönetilmesi ve denetlenmesi, analiz ve istatistiksel çalışmaların yapılması, risk yönetimi ve kalite geliştirme faaliyetlerinin yerine getirilmesi, hasta memnuniyetinin ölçülmesi ve arttırılması,

Ziyaretçilerde, hizmet binamızda can ve mal güvenliğinin, veri ve bilgi güvenliğinin sağlanması, kuruluş işleyişindeki düzenin gözetilmesi kapsamındaki yükümlülüklerimizin yerine getirilmesi

İlgili mevzuat gereği saklanması gereken verilerin muhafaza edilmesi amacıyla, yapılan işlemlere ait ispat yükümlülüğünün yerine getirilmesi,

Genel olarak, veri işlenme şartlarında yer alan ilgili amaçlarla,

Hizmeti Sunan Kişiler [7] bakımından;

İş Kanunu ve İş Sağlığı ve Güvenliği Kanunu başta olmak üzere çalışma hayatını düzenleyen mevzuat yükümlülüklerinin yerine getirilmesi, mevzuatla istenildiği hallerde kamu kurum ve kuruluşlarına, yargı mercilerine istenilen bildirimlerin yapılması veya bilgilerin aktarılması,

İş akdine dayalı karşılıklı edimlerin ifası,

Personel özlük dosyalarının oluşturulması, performans, değerlendirme, disiplin işlemleri ve diğer İnsan Kaynakları süreçlerinin yürütülmesi,

Hastanemiz işleyişinin planlanması, yönetilmesi ve denetlenmesi, analiz ve istatistiksel çalışmaların yapılması, risk yönetimi ve kalite geliştirme faaliyetlerinin yerine getirilmesi, çalışan memnuniyetinin ölçülmesi ve arttırılması,

Ziyaretçilerde, hizmet binamızda can ve mal güvenliğinin, veri ve bilgi güvenliğinin sağlanması, kuruluş işleyişindeki düzenin gözetilmesi kapsamındaki yükümlülüklerimizin yerine getirilmesi

İlgili mevzuat gereği saklanması gereken verilerin muhafaza edilmesi amacıyla, yapılan işlemlere ait ispat yükümlülüğünün yerine getirilmesi,

Stajyerlerle ilgili Mesleki Eğitim Kanunu ve bu kapsama ait diğer düzenlemeler ve eğitim kurumlarının prosedürleri gereği işlemlerin yapılması,

İş başvurularının alınması, özgeçmiş, nitelikler, eğitim bilgileri, referanslar ve diğer verilerin değerlendirilmesi, Kuruluşumuz ilgili birim yöneticileriyle paylaşılması, işe alım süreçleri ile ilgili işlemlerin yapılması, yine bu kapsamda, daha sonra uygun bir pozisyon açılması halinde, gerekli değerlendirmelerin tekrar yapılması suretiyle adayın iş imkânı hakkında bilgilendirilebilmesi,

Genel olarak, veri işlenme şartlarında yer alan ilgili amaçlarla,

İş ilişkimiz olan kişiler [8] bakımından,

İş süreci kapsamında gerekli iş ilişkisinin kurulması, sözleşmelerin yapılması ve iletişimin sağlanabilmesi,

Kanuni ve sözleşmesel yükümlülüklerin yerine getirilebilmesi,

Yetkili / görevli kişilerin, görevlerini yerine getirip getirmediğinin kontrolü ve kuruluş faaliyetlerinin düzeninin sağlanması,

Hastanemiz işleyişinin planlanması, yönetilmesi ve denetlenmesi, analiz ve istatistiksel çalışmaların yapılması, risk yönetimi ve kalite geliştirme faaliyetlerinin yerine getirilmesi, memnuniyetin ölçülmesi ve arttırılması,

Ziyaretçilerde, hizmet binamızda can ve mal güvenliğinin, veri ve bilgi güvenliğinin sağlanması, kuruluş işleyişindeki düzenin gözetilmesi kapsamındaki yükümlülüklerimizin yerine getirilmesi

İlgili mevzuat gereği saklanması gereken verilerin muhafaza edilmesi amacıyla, yapılan işlemlere ait ispat yükümlülüğünün yerine getirilmesi,

Genel olarak, veri işlenme şartlarında yer alan ilgili amaçlarla,

Diğer Kişiler [9] bakımından;

Ziyaretçilerde, hizmet binamızda can ve mal güvenliğinin, veri ve bilgi güvenliğinin sağlanması, kuruluş işleyişindeki düzenin gözetilmesi kapsamındaki yükümlülüklerimizin yerine getirilmesi

Refakatçilerde, hastaya sunulan hizmetin bir parçası olarak bakım, iletişim hizmetlerinin sağlanması, refakatçilerin kuruluş imkânlarından yararlandırılması, hastane kurallarının uygulanabilmesi, can ve mal güvenliğinin sağlanması, risk yönetimi ve kalite çalışmalarının yapılması,

Şirket yetkilileri ve hissedarlarda, yönetim hizmetlerinin, ilgili yasal ve mali yükümlülüklerin yerine getirilmesi, iletişimin sağlanması,

Veri sahiplerinin rızaları alınarak; habere konu kişilerde, hizmetlerin tanıtılmasına ve bilgilendirmeye yönelik çalışmaların yapılması; aynı şekilde potansiyel müşterilerde ise kişilerin hizmetlerden haberdar edilmesi,

İlgili mevzuat gereği saklanması gereken verilerin muhafaza edilmesi, yapılan işlemlere ait ispat yükümlülüğünün yerine getirilebilmesi amacıyla,

Genel olarak, veri işlenme şartlarında yer alan ilgili amaçlarla,

Kişisel veriler işlenmektedir.

Kişisel verileri toplama yöntemi:

Kişisel veriler her türlü sözlü, yazılı ya da dijital ortamda, yukarıda yer verilen amaçların yerine getirilmesi üzere toplanır ve işlenir. Bu ortamlar başlıca, kayıt ve kabul noktalarında verdiğiniz bilgiler, görevlilerle iletişim halinde yerine getirilen işlemler, sağlık ve idari personellerimize verilen bilgi ve belgeler, e-nabız üzerinden paylaşımına izin vermiş olduğunuz bilgiler, doldurulan formlar, internet sitesinden yapılan başvurular ve bu ortamda yararlanılan hizmetler, kişilerle yapılan sözleşmeler, düzenlenen tutanaklar, verilen beyanlar ve yapılan başvurular, telefon ses kayıtları, güvenlik kamerası görüntü kayıtlarından oluşmaktadır. Hastane otomasyon sistemi, muhasebe yazılımı, fiziksel olarak oluşturulan hasta dosyası ve arşiv düzeneği ile bu veriler işlenmektedir.

V. KİŞİSEL VERİLERİN İŞLENMESİNDE GENEL İLKELER

Kuruluşumuz, işbu Politika kapsamındaki kişisel verileri aşağıdaki ilkelere uygun işlemektedir.

1. Hukuka ve dürüstlük kuralına uygunluk

Kişisel verilerin işlenmesinde kanunlarla ve diğer hukuksal düzenlemelerle getirilen ilkelere uygun hareket edilmektedir, veri işleme konusunda izin ya da emir veren hukuk kurallarına dayanarak faaliyetler yürütülmektedir.

Dürüstlük kuralına uygun olma ilkesi uyarınca Kuruluşumuz, veri işlemedeki hedeflerine ulaşmaya çalışırken, ilgili kişilerin çıkarlarını ve makul beklentilerini dikkate almaktadır. İlgili kişinin beklemediği ve beklemesinin de gerekmediği sonuçların ortaya çıkmasını önleyici şekilde hareket etmektedir.

2. Doğruluk ve güncellik

Kuruluşumuz, kişisel verilerin işlenmesi faaliyetlerinde, tekniğin elverdiği ölçüde kişisel verilerin doğruluk ve güncelliğinin sağlanması için gerekli tedbirleri almaktadır.

3. Belirli, açık ve meşru amaçlarla işleme

Yaptığımız iş ve sunmuş olduğumuz hizmetle bağlantılı ve bunlar için gerekli olması nedeniyle kişisel verileriniz Kuruluşumuzca işlenilmektedir.

Kuruluşumuz kişisel veri işleme faaliyetlerinin ilgili kişi tarafından açık bir şekilde anlaşılabilir olmasını, faaliyetlerin hangi hukuki işleme şartına dayalı olarak gerçekleştirildiğinin tespit edilmesini ve kişisel veri işleme faaliyetinin ve bu faaliyetin gerçekleştirilme amacının belirliliğini sağlayacak detayda ortaya konulmasını sağlamaktadır.

4. Verileri işlendikleri amaç ile bağlantılı, sınırlı ve ölçülü olarak işleme

İşlenen verilerin Kuruluşumuz veri işleme amaçlarının gerçekleştirilebilmesi bakımından elverişli olması, amacın gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınılması sağlanmaktadır.

Ölçülülük ilkesi gereğince, veri işleme ile gerçekleştirilmesi istenen amaç arasında makul bir dengenin kurulmasına özen gösterilmektedir.

5. Mevzuat hükümleri ile öngörülen veya işlenme amacının gerektirdiği süre muhafaza etme

Kuruluşumuz; kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almaktadır.

Kuruluşumuz, kişisel veri saklama ve imha politikası ve esaslarını oluşturmuştur, saklama süreleri ve muhafazada uygulamaya alınacak teknik ve idari tedbirleri belirlemiş ve kişisel verilerin bu esaslara uygun olarak muhafazasını sağlamaktadır.

VI. AYDINLATMA YÜKÜMLÜLÜĞÜ

Veri sorumlusunu, kişisel verilerin hangi amaçla işleneceği, kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebepleri ile veri sahibinin hakları hakkında verisi işlenen kişilere bilgilendirilmektedir.

Hukuka ve dürüstlük kuralına uygunluk gereğince, ilgili kişi için söz konusu veri işleme faaliyetinin şeffaf olması ve veri sorumlusu sıfatıyla bilgilendirme ve uyarı yükümlülüklerimize uygun hareket edilmektedir.

Aydınlatma yükümlülüğümüz kapsamındaki duyurularımızla, açıklamalarımızla veya kişilerin bilgi talebine istinaden veya açık rıza alınması gereken durumlarda yapılan bilgilendirme ve doldurulan formlarla veri işleme faaliyetimiz ve detayları hakkında bilgilendirme yapılmaktadır.

Aydınlatma yükümlülüğü; sözlü, yazılı, ses kaydı, çağrı merkezi gibi fiziksel veya elektronik ortamlar kullanılmak suretiyle yerine getirilmektedir.

Bu kapsamda; görevliler tarafından yüz yüze yapılan bilgilendirmeler, yazılı web sayfasında yer alan metin, binanın girişi ve gerekli uygun noktalarında duvara asılı levhalar, kameranın altında duvara monte edilmiş bilgi panosu gibi, ses kaydı ilgili kişiye ses kaydı dinletilmesi gibi fiziksel veya elektronik ortam, gerektiğinde internet sayfasında yer alan belgelerde katmanlı aydınlatma yapılması suretiyle aydınlatma yükümlülüğünün yerine getirilmektedir.

Kişisel Veri İşleme Envanterimiz hazırlanmış, bununla hangi tür iş süreçlerine bağlı olarak veri işleme faaliyetinin gerçekleştirildiği belirlenmiştir.

VII. KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VEYA ANONİM HÂLE GETİRİLMESİ

Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler resen veya ilgili kişinin talebi üzerine Kuruluşumuz tarafından silinir, yok edilir veya anonim hâle getirilir.

Kurulun ilgili Yönetmeliğince [10] öngörülen şartlar doğrultusunda hazırlamış olduğumuz “Kişisel Veri Saklama ve İmha Politikası” çerçevesinde bu kapsamda yükümlülükler Kişisel verileri saklama ve imha süreçlerinde yer alan sınırlı sayıdaki personel sorumluluğunda yerine getirilir.

Veri sahibi kuruluşumuza başvurarak, kendisine ait kişisel verilerin silinmesini veya yok edilmesini talep ettiğinde kişisel verileri işleme şartlarının tamamı ortadan kalkmışsa talebi yönünde işlem yapılarak sonuç ilgili kişiye bildirilir ve varsa veri aktarılan üçüncü kişi nezdinde bu işlemlerin yapılması kuruluşumuzca temin edilir. Ancak işleme şartlarının tamamı ortadan kalkmamışsa, ilgili talep gerekçesi açıklanarak reddedilebilir ve ret cevabı ilgili kişiye bildirilir.

VIII. KİŞİSEL VERİLERİN AKTARILMASI

Kişisel verileriniz ve kişisel sağlık verileriniz işbu politika metninde açıklanan amaçlar ve Sağlık Mevzuatı [11] , Kişisel Verilerin Korunması Kanunu ve öngörülen diğer düzenlemeler çerçevesinde ve sözleşmesel ve kanuni yükümlülüklerimizin yerine getirilebilmesi ile kuruluşumuzun idari, ticari ve ekonomik faaliyetlerin gerçekleştirilebilmesi amaçlarıyla;

Sağlık Bakanlığı, Sosyal Güvenlik Kurumu, Emniyet Genel Müdürlüğü ve sair kolluk kuvvetleri, CİMER, SABİM, Çalışma Bakanlığı, Nüfus Genel Müdürlüğü, mahkemeler ve icra daireleri, Türkiye Eczacılar Birliği, düzenleyici ve denetleyici kurumlar, sigorta şirketleri, hastalar tarafından yetkilendirilen temsilciler, anlaşmalı laboratuvarlar ile elektronik tıbbi kayıtlar ve elektronik sağlık kayıt sistemlerine aktarılmaktadır.

Kuruluşumuz tarafından sunulan hizmetlerin faturalandırılabilmesi ve tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla sigorta şirketleri ve yetkili kurum/kuruluşlara aktarılmaktadır.

Çalışma hayatını düzenleyen mevzuat başta olmak üzere ilgili düzenlemeler gereği, çalışma hayatı ve sosyal güvenliği düzenleyen resmi mercilerin kayır ortamlarına çalışanlarla ilgili veriler aktarılmaktadır.

Hasta ve yakınlarının gelerek veya uzaktan başvurarak istedikleri tetkik sonucu, epikriz vesair sağlık verileri, Kuruluşun Prosedürleri çerçevesinde verilebilir, aksi durumda talep karşılanmaz.

Kuruluşumuzca yurtdışına veri atarımı yapılmamaktadır.

IX. VERİ SAHİBİNİN HAKLARI

Faaliyetlerimiz kapsamında işlenen kişisel veriler ile ilgili olarak veri sahibi, Kanun ve ilgili düzenlemeleri şartları ve sınırları içerisinde, kuruluşumuza başvurarak;

a) Kişisel verilerinin ve/veya kişisel sağlık verilerinin işlenip işlenmediğini öğrenme,

b) Kişisel verileri ve/veya kişisel sağlık verileri işlenmişse buna ilişkin bilgi talep etme,

c) Kişisel sağlık verilerine erişim ve bu verilerini isteme,

d) Kişisel verilerin ve/veya kişisel sağlık verilerinin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,

e) Yurt içinde veya yurt dışında kişisel verilerin ve/veya kişisel sağlık verilerinin aktarıldığı üçüncü kişileri bilme,

f) Kişisel verilerin ve/veya kişisel sağlık verilerinin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,

g) Mevzuat ve prosedüre uygun bir talep ise kişisel verilerin silinmesini veya yok edilmesini isteme,

h) Yapılan işlemlerin, kişisel verilerin/kişisel sağlık verilerinin aktarıldığı üçüncü kişilere bildirilmesini isteme,

i) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,

j) Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme haklarına sahiptir.

Kurumumuz, KVK Kanunu’nun 12 nci maddesine uygun olarak işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde bu durumu en kısa sürede ilgili kişisel veri sahibine ve KVK Kurulu’na bildirilmesini sağlayan sistemi yürütmektedir.

X. KİŞİSEL VERİLERİN GÜVENLİĞİNİN SAĞLANMASI

Kuruluşumuz; KVK Kanunu’nda veya faaliyetimizi düzenleyen diğer mevzuatta belirlenen şartlara uygun olarak işlemekte olduğu kişisel verilerin ve özel nitelikli kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, verilere hukuka aykırı olarak erişilmesini önlemek ve verilerin muhafazasını sağlamak için uygun güvenlik düzeyini sağlamaya yönelik gerekli teknik ve idari tedbirleri almakta, bu kapsamda gerekli denetimleri yapmakta veya yaptırmaktadır.

Bu kapsamda alınan aksiyonlar ve tedbirler aşağıda belirtilmektedir:

A. İDARİ TEDBİRLER

1- MEVCUT RİSK VE TEHDİTLERİN BELİRLENMESİ

İşlenen kişisel verilerin neler olduğu, bu verilerin korunmasına ilişkin ortaya çıkabilecek risklerin gerçekleşme olasılığı ve gerçekleşmesi durumunda yol açacağı kayıplar belirlenerek buna uygun tedbirleri alınmıştır.

Bu riskler belirlenirken; Kişisel verilerin özel nitelikli kişisel veri olup olmadığı, mahiyeti gereği hangi derecede gizlilik seviyesi gerektirdiği, güvenlik ihlali halinde ilgili kişi bakımından ortaya çıkabilecek zararın niteliği ve niceliği dikkate alınmaktadır. Bu risklerin tanımlanması ve önceliğinin belirlenmesinden sonra; söz konusu risklerin azaltılması ya da ortadan kaldırılmasına yönelik kontrol ve çözüm alternatifleri; maliyet, uygulanabilirlik ve yararlılık ilkeleri doğrultusunda değerlendirilmekte, gerekli teknik ve idari tedbirler planlanarak uygulamaya konulmaktadır.

2- ÇALIŞANLARIN EĞİTİLMESİ VE FARKINDALIK ÇALIŞMALARI

Çalışanların, hangi konumda çalıştığına bakılmaksızın, kişisel veri güvenliğine ilişkin rol ve sorumlulukları, görev tanımlarında belirlenmiştir ve çalışanların bu konudaki rol ve sorumluluğunun farkında olması sağlanmaktadır.

Kişisel verilerin hukuka aykırı olarak açıklanmaması ve paylaşılmaması gibi konular hakkında çalışanların eğitim almalarına, çalışanlara yönelik farkındalık çalışmaları yapılması ve güvenlik risklerinin belirlenebildiği bir ortam oluşturulmasına kişisel veri güvenliğinin sağlanması bakımından önem verilmektedir.

Kişisel veri içeren ortamlara erişim hakkı verilirken veya bu konuda kurum kültürü oluşturulurken “İzin Verilmedikçe Her Şey Yasaktır.” prensibine uygun hareket edilmesine dikkat edilmektedir.

Çalışanlardan işe alınma süreçlerinin bir parçası olarak gizlilik anlaşmalarını imzalamaları istenmektedir. Çalışanların güvenlik politika ve prosedürlerine uymaması durumunda devreye girecek bir disiplin süreci kuruluşumuzda mevcuttur. Kişisel veri güvenliğine ilişkin politika ve prosedürlerde önemli değişiklikler meydana gelmesi halinde; yapılacak yeni eğitimlerle bu değişikliklerin, çalışanların bilgisine sunulmakta ve kişisel veri güvenliğine ilişkin tehditler hakkındaki bilgilerinin güncel tutulması sağlanmaktadır.

Kurumumuz, kişisel verilerin hukuka uygun işlenmesini sağlamak için, teknolojik olanaklar ve uygulama maliyetine göre teknik ve idari önlemleri almaktadır. Çalışanlar, öğrendikleri kişisel verileri KVKK hükümlerine aykırı olarak başkasına açıklayamayacağı ve işleme amacı dışında kullanamayacağı ve bu yükümlülüğün görevden ayrılmalarından sonra da devam edeceği konusunda bilgilendirilmekte ve bu doğrultuda kendilerinden gerekli taahhütler alınmaktadır.

3- KİŞİSEL VERİ GÜVENLİĞİ POLİTİKALARININ VE PROSEDÜRLERİNİN BELİRLENMESİ

Kişisel veri güvenliğine ilişkin politikamız hazırlanmış, bu kapsamdaki risklerin önceden belirlenebilmesini ve istikrarlı bir şekilde önlem alınmasını sağlamak hedeflenmiştir. Erişim, bilgi güvenliği, kullanım, saklama ve imha konularında kurumsal politikalar hazırlanmış ve uygulamaya başlanmıştır. Belirlenen politika ve prosedürler, kuruluşun çalışma ve işleyişine uygun şekilde hizmet ünitelerine entegre edilmiştir.

Bu yolla;

Politika ve prosedürler iyi bir şekilde ve zamanında hazırlanamadığında, sorunlu alanlar belirlenemediğinde veya mevcut güvenlik önlemleri kullanılamadığında kişisel veri güvenlik seviyesi yeteri kadar sağlanamadığı durumların önüne geçmek hedeflenmiştir.

Bu kapsamda alınacak tedbirlerin önceden belirlendiği iyi bir olay yönetimi ile çalışanlar üzerinde ortaya çıkabilecek baskıyı azaltmak hedeflenmiştir.

Kuruluş yetkili ve yöneticilerimizin, veri kayıt sistemlerinde hangi kişisel verilerin bulunduğundan ve mevcut güvenlik önlemlerini inceleyerek diğer yasal yükümlülüklerle uyumlu hareket edildiğinden emin olması gerekmektedir.

Politika ve prosedürler kapsamında; düzenli olarak kontroller yapılmakta, yapılan kontroller belgelenmekte, geliştirilmesi gereken hususlar belirlenmekte ve gerekli güncellemeler yerine getirildikten sonra da düzenli olarak kontrollere devam edilmektedir. Ayrıca, her kişisel veri kategorisi için ortaya çıkabilecek riskler ile güvenlik ihlallerinin nasıl yönetileceği de açıkça belirlenmektedir.

Kuruluş, KVK Düzenlemeleri kapsamındaki yükümlülüklerini yerine getirmek, işbu Politika’nın uygulanması için gerekli KVK Prosedürleri’nin hazırlanmasını ve uygulanmasını sağlamak ve denetlemek, bunların işleyişine yönelik önerilerde bulunmak üzere Kişisel Verilerin Korunması ve Bilgi Güvenliği Komitesi’ni oluşturulmuştur.

Kuruluş içerisinde her bir idari yetkili pozisyon, birimlerindeki personellerin/kullanıcıların Kanun ve Yönetmelik çerçevesinde hazırlanan işbu Politika, diğer KVK politika prosedür ve bunlarla ilişkili talimatlara uygun davranıp davranmadığını denetlemek ve Şirket Yönetimine raporlamakla yükümlüdür. Karar alınmasını gerektiren durumlarda Hukuk Müşavirliğinin görüşü alındıktan sonra Şirket Yönetimince karar almasını müteakip alınan karar uygulamaya konulacaktır.

Kuruluşumuz, kişisel verilerin hukuka aykırı olarak işlenmesinin önlenmesi, verilere hukuka aykırı olarak erişilmesini önlenmesi ve verilerin hukuka uygun muhafazasını sağlanması konusunda kişisel verileri aktarmış olduğu iş ortakları ve tedarikçilerin farkındalıklarını arttırmaktadır.

4- KİŞİSEL VERİLERİN MÜMKÜN OLDUĞUNCA AZALTILMASI

Kişisel verilerin mümkün olduğunca azaltılmasına, doğru ve gerektiğinde güncel olmasına, ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmesine özen gösterilmektedir. (Kanunun 4 üncü maddesinin ikinci fıkrasının (b) ve (d) bentleri uyarınca)

Kuruluşumuz uzun süredir faaliyet göstermektedir, bu nedenle işleme amaçları bakımından kişisel verilere hala ihtiyaç olup olmadığı sürekli değerlendirilmektedir. Yetkisiz erişimin önüne geçilebilmesi için kişisel veri işleme amaçlarına uygun olmasına rağmen, iş ünitelerinin sıklıkla erişimi gerekmeyen ve arşiv amaçlı tutulan kişisel veriler daha güvenli ortamlarda muhafaza edilmektedir.

İhtiyaç duyulmayan kişisel veriler ise kişisel veri saklama ve imha politikası ile Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Yönetmeliğine uygun ve güvenli bir şekilde imha edilmesi sağlanmaktadır.

5- VERİ İŞLEYENLER İLE İLİŞKİLERİN YÖNETİMİ

Veri işleyenlerin de kişisel verilerin güvenliğinin sağlanması konusunda veri sorumlusuyla müştereken sorumlu tutulması nedeniyle bilgi teknolojileri ihtiyaçlarını karşılamak için veri işleyenlerden hizmet alındığı durumlarda, diğer veri işleyenlerden hizmet alırken söz konusu veri işleyenlerin kişisel veriler konusunda en kuruluşumuz tarafından sağlanan güvenlik seviyesinin sağlandığından emin olunmaktadır.

B- TEKNİK TEDBİRLER

1- SİBER GÜVENLİĞİN SAĞLANMASI

Ağ güvenliği ve uygulama güvenliği sağlanmaktadır.

Siber tehditler her geçen gün boyut ve nitelik değiştirerek etki alanlarını genişletmektedirler ve tek bir siber güvenlik ürünü kullanımı ile tam güvenliğin sağlanabileceği görüşü her zaman doğru değildir, bu bilinçle Kuruluşumuzca birçok prensip dahilinde tamamlayıcı niteliğe sahip ve düzenli olarak kontrol edilen birtakım tedbirler uygulanmaktadır.

Bu kapsamda;

Kişisel veri içeren bilgi teknoloji sistemlerinin, internet gibi ortamlardan gelen saldırılara ve izinsiz erişim tehditlerine karşı korunmasında ilk savunma hattı olması nedeniyle öncelikli tedbirler olan güvenlik duvarı ve ağ geçidi kurulu ve faaldir.

Kişisel veri içeren sistemlere erişimin çalışanlar açısından sınırlı olması gerektiğinden, çalışanlara yapmakta oldukları iş ve görevler ile yetki ve sorumlulukları için gerekli olduğu ölçüde erişim yetkisi tanınmış ve kullanıcı adı ve şifre kullanılmak suretiyle ilgili sistemlere erişimleri sağlanmaktadır.

Veri sorumlusu organizasyonu içinde, erişim yetki ve kontrol matrisi oluşturmuştur ve erişim politika ve prosedürleri oluşturarak uygulamaya alınması sağlanmıştır.

Ayrıca, anahtar yönetimi uygulanmakta ve ilgili KVKK Rehberinde belirtilen diğer hususlara dikkat edilmektedir.

2- KİŞİSEL VERİ GÜVENLİĞİNİN TAKİBİ

Veri sorumlularının sistemleri çoğunlukla hem içeriden, hem de dışarıdan gelen saldırılar ve siber suçlara veya kötü amaçlı yazılımlara maruz kalmakta olup çeşitli belirtilere rağmen bu durum uzun süre fark edilememekte ve müdahale için geç kalınabilmekte olduğundan bu tehditlere karşı önlemler alınmıştır.

Bu durumun önüne geçebilmek için alınan aksiyonlar ve tedbirler aşağıda belirtilmektedir:

a) Bilişim ağlarında hangi yazılım ve servislerin çalıştığının kontrol edilmesi,

b) Bilişim ağlarında sızma veya olmaması gereken bir hareket olup olmadığının belirlenmesi,

c) Tüm kullanıcıların işlem hareketleri kaydının düzenli olarak tutulması (log kayıtları gibi),

ç) Güvenlik sorunlarının mümkün olduğunca hızlı bir şekilde raporlanması,

d) Çalışanların sistem ve servislerdeki güvenlik zaafiyetlerini ya da bunları kullanan tehditleri bildirmesi için resmi bir raporlama prosedürü oluşturulması.

3- KİŞİSEL VERİ İÇEREN ORTAMLARIN GÜVENLİĞİNİN SAĞLANMASI

Kişisel veriler, Kuruluşumuz dahilinde yer alan (dizüstü bilgisayar, cep telefonu, flash disk vb.) cihazlarda ya da kağıt ortamında saklanmaktadır. Bu cihazlar ve kağıtlar, çalınması veya kaybolması gibi tehditlere karşı fiziksel güvenlik önlemleri alınmak suretiyle korunmaktadır.

Aynı şekilde, kişisel verilerin yer aldığı fiziksel ortamların dış risklere (yangın, sel vb.) karşı uygun yöntemlerle korunması ve bu ortamlara giriş / çıkışların kontrol altına alınmasına ve gerekli diğer önlemlerin alınmasına önem verilmektedir.

Benzer şekilde, kişisel veri içeren kağıt ortamındaki evraklar da kilitli bir şekilde ve sadece yetkili kişilerin erişebileceği ortamlarda saklanmakta, söz konusu evraklara yetkisiz erişime müsaade edilmemektedir.

Ayrıca şifreleme yöntemleri, veri maskeleme önlemi gibi KVKK Rehberinde belirtilen diğer hususlara dikkat edilmektedir.

4- KİŞİSEL VERİLERİN BULUTTA DEPOLANMASI

Bu kapsamda hizmet alınmamaktadır. Alındığı takdirde KVKK Rehberinde belirtilen hususlara riayet edilecektir.

5- BİLGİ TEKNOLOJİLERİ SİSTEMLERİ TEDARİĞİ, GELİŞTİRME VE BAKIMI

Kuruluşumuz tarafından yeni sistemlerin tedariği, geliştirilmesi veya mevcut sistemlerin iyileştirilmesi ile ilgili ihtiyaçlar belirlenirken güvenlik gereksinimleri göz önüne alınmaktadır.

6- KİŞİSEL VERİLERİN YEDEKLENMESİ

Kişisel verilerin herhangi bir sebeple zarar görmesi, yok olması, çalınması veya kaybolması gibi hallerde kuruluşumuz yedeklenen verileri kullanarak en kısa sürede faaliyete geçebilmekte ve bu işleyişle bağlantılı güvenlik gereksinimleri karşılanmaktadır.

C- ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİNDE VERİ SORUMLULARINCA ALINMASI GEREKEN YETERLİ ÖNLEMLER

Bu kapsamda;

Özel nitelikli kişisel verilerin güvenliğine yönelik sistemli, kuralları net bir şekilde belli, yönetilebilir ve sürdürülebilir ayrı bir politika ve prosedürün belirlenmesi,

Özel nitelikli kişisel verilerin işlenmesi süreçlerinde yer alan çalışanlara yönelik istenilen uygulamalar,

Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, elektronik ortam ise bu kapsamdaki uygulamalar,

Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, fiziksel ortam ise bu kapsamdaki uygulamalar,

Özel nitelikli kişisel veriler aktarılacaksa bu kapsamdaki uygulamalar,

Genel İdari ve Teknik Tedbirlerle ilgili uygulamalar yapılmakta ve takip edilmektedir.

XI. SON HÜKÜMLER

Yukarıda yer alan haklarınızı kullanmanız ve yukarıda yer alan hususlarda Kuruşumuza, Çankırı Özel Karatekin Hastanesine bir başvuru yapmanız halinde, başvurunuzda yer alan talepleriniz, talebin niteliğine göre en geç otuz (30) iş günü içinde ücretsiz olarak sonuçlandırılacaktır. Ancak, işlemin tarafımız için ayrıca bir maliyeti gerektirmesi hâlinde, Kişisel Verileri Koruma Kurulu tarafından belirlenen tarifedeki ücretin talep edilmesi söz konusu olabilecektir. Kuruluşumuzun hatasından kaynaklanması hâlinde alınan ücret veri sahibine iade edilir.

Kişisel verilerinizin işlenmesi ile ilgili hususlarda Şirketin internet adresinde bulunan formu doldurarak, formda belirtilen yöntemlerden sizin için uygun olanı aracılığıyla başvuruda* bulunabilirsiniz.

İletişim bilgisi:

Cumhuriyet Mah. Atatürk Bulvarı No:5 18100 / ÇANKIRI

Tel.: 0 376 213 30 10 Faks: 0 376 213 39 38

karatekinhastanesi.com

info@karatekinhastanesi.com

*Lütfen yazılı başvuru halinde konuyu zarfın üzerinde “Kişisel Verilerin İşlenmesi Hakkında Bilgi Talebi” şeklinde belirtiniz.

[1] Bundan böyle “Şirket” olarak anılacaktır.

[2] Bundan böyle “Kuruluş” veya “Kuruluşlar” ibareleri kullanılacaktır.

[3] Bundan böyle “Kanun” olarak anılacaktır.

[4] Bundan böyle “Kurum” olarak anılacaktır.

[5] Türk Ceza Kanunu, Kişisel Verilerin Korunması Kanununa ve buna bağlı düzenlemeler, Özel Hastaneler Yönetmeliği, Kişisel Sağlık Verilerinin İşlenmesi ve Mahremiyetinin Sağlanması Hakkında Yönetmelik ve sağlık mevzuatındaki diğer düzenlemeler başta olmak üzere konuyu düzenleyen mevzuat “Mevzuat” olarak anılacaktır.

[6] Hizmet alan hastalar veya diğer başvuru sahibi kişiler, hasta refakatçisi veya veli, vasi, temsilci durumundaki kişiler

[7] Çalışan, çalışan adayı ve stajyerle

[8] Tedarikçi yetkilisi, çalışanı, iş ilişkimiz olan kişiler, kiracılar, taşeronlar

[9] Ziyaretçiler, habere konu kişiler, Şirket yetkilileri ve hissedarlar, potansiyel hizmet alıcısı durumundaki kişiler

[10] Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik

[11] 3359 sayılı Sağlık Hizmetleri Temel Kanunu, 663 sayılı Sağlık Bakanlığı ve Bağlı Kuruluşların Teşkilat ve Görevleri Hakkında Kanun Hükmünde Kararname, Özel Hastaneler Yönetmeliği, Kişisel Sağlık Verilerinin İşlenmesi ve Mahremiyetinin Korunması Yönetmeliği ve ilgili düzenlemeler