1. Giriş
İlgili sağlık hizmeti sağlayıcısı (“Veri Sorumlusu”), kişisel verilerin korunması ve işlenmesinde başta Anayasa’nın 20. maddesinde düzenlenen özel hayatın gizliliğini temel almak üzere kişilerin temel hak ve özgürlüklerini korumaya azami önem atfetmektedir.
Veri Sorumlusu, 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) ve Avrupa Birliği Genel Veri Koruma Tüzüğü (“GDPR”) uyarınca kişisel verilerin hukuka uygun olarak korunması ve işlenmesine özen göstermekte, tüm planlama ve faaliyetlerini bu anlayışla sürdürmektedir.
Kişisel verilerin güvenliğinin sağlanması, Veri Sorumlusunun öncelikli hedefleri arasında olup; verilerin hukuka aykırı erişim, sızıntı veya kötüye kullanım risklerine karşı korunması için gerekli idari ve teknik tedbirler titizlikle uygulanmaktadır.
1.2 Politikanın Amacı
Bu Kişisel Verilerin Korunması ve İşlenmesi Politikası’nın (“Politika”) amacı, KVKK ve GDPR hükümlerine uygun olarak Veri Sorumlusunun kişisel verilerin işlenmesine ilişkin yükümlülükleri ve bu süreçte uyacağı usul ve esaslar hakkında veri sahiplerini bilgilendirmektir.
Politika; kişisel verilerin korunmasına, işlenmesine, saklanmasına, aktarılmasına ve imhasına ilişkin temel ilkeleri tanımlar ve veri sahiplerinin özel hayatın gizliliği ile veri güvenliği haklarının korunmasını hedefler.
1.3 Politikanın Kapsamı
Bu Politika; hastalar/danışanlar, çalışanlar, çalışan adayları ve ziyaretçiler dahil olmak üzere yalnızca gerçek kişilere uygulanır. Tüzel kişilere ait veriler Politika kapsamına girmez.
Kişisel veriler, tamamen veya kısmen otomatik olan ya da bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla Veri Sorumlusu tarafından işlendiği takdirde bu Politika uygulanır.
1.4 Tanımlar
- Açık Rıza: Belirli bir konuya ilişkin, bilgilendirmeye dayanan özgür irade beyanı.
- Aydınlatma Yükümlülüğü: Veri Sorumlusunun, kişisel veri sahiplerine verilerin kim tarafından, hangi amaçlarla, hangi hukuki gerekçelere dayanarak işlendiği ve kimlere aktarılabileceği hakkında bilgi vermesi.
- İlgili Kullanıcı: Kişisel verileri işleyen fakat yalnızca veri depolama/yedekleme teknik birimleri kapsam dışındaki kişiler.
- İmha: Silme, yok etme veya anonim hale getirme süreçlerinin tamamı.
- Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.
- Özel Nitelikli Kişisel Veri: Sağlık verileri, biyometrik veriler, ceza mahkûmiyeti verileri, din, siyasi görüş vb. hassas kategoriler.
- Veri Sorumlusu: Kişisel verilerin işlenme amaçlarını ve vasıtalarını belirleyen gerçek veya tüzel kişi.
- Veri İşleyen: Veri Sorumlusu adına kişisel veri işleyen kişiler.
- Veri Kayıt Sistemi: Kişisel verilerin belirli kriterlere göre işlendiği sistem.
1.5 Politikanın Yürürlüğü
Bu Politika yayınlandığı tarihte yürürlüğe girer ve Veri Sorumlusunun internet sitesinde veri sahiplerinin erişimine sunulur.
2.1 Kişisel Verilerin Güvenliği
Veri Sorumlusu, kişisel verilerin hukuka aykırı erişim, kullanım, açıklanma ve imha risklerine karşı korunması amacıyla gerekli idari ve teknik tedbirleri alır. Bu tedbirler; erişim kontrolleri, veri minimizasyonu, şifreleme, log kayıtları, personel eğitimi, politika ve prosedürlerin oluşturulması gibi yöntemleri içerir.
2.2 Denetim
Veri Sorumlusu, kişisel veri güvenliği tedbirlerinin etkinliğini sağlamak amacıyla belirli periyotlarla iç ve dış denetimler yürütür. Teknik tedbirler düzenli olarak uzman kişilerce, idari tedbirler ise yetkilendirilmiş personel tarafından denetlenir.
2.3 Gizlilik
Veri Sorumlusu, çalışanlarına gizlilik yükümlülüğü getirir; çalışanların KVKK ve GDPR konusunda bilgilendirilmesi ve eğitilmesi sağlanır. Veri İşleyen kişiler öğrendikleri kişisel verileri amaç dışında kullanamaz ve üçüncü kişiyle paylaşamaz.
2.4 Yetkisiz Erişim ve İfşa Durumunda Bildirim
Kişisel verilerin yetkisiz kişiler tarafından elde edilmesi halinde, Veri Sorumlusu bu durumu ilgili mevzuat kapsamında Veri Sahibi ve Kurum’a bildirir. Gerek görülürse kamuoyu da bilgilendirilir.
2.5 Veri Sahibi Haklarının Gözetilmesi
Veri Sorumlusu, veri sahiplerinin tüm yasal haklarını gözetir; bu hakların kullanılabilmesi için gerekli iletişim kanallarını açık tutar.
2.6 Özel Nitelikli Kişisel Verilerin Korunması
Özel nitelikli veriler hassas kategoride olduğundan, ek güvenlik tedbirleri uygulanır: erişim kısıtlamaları, özel saklama prosedürleri, yetki matrisleri vb. süreçler işletilir.
3. Kişisel Verilerin İşlenmesi ve Aktarılması
3.1 Genel İlkeler
- Hukuka ve dürüstlük kurallarına uygun olma
- Doğru ve güncel olma
- Belirli, açık ve meşru amaçlarla işlenme
- İşleme amacıyla bağlantılı, sınırlı ve ölçülü olma
- Gerekli süre kadar saklanma
- Gizlilik ve bütünlük ilkesine uyum
- Hesap verebilirlik
3.2 Kişisel Verilerin İşlenme Şartları
Kişisel veriler, veri sahibinin açık rızası olmaksızın yalnızca aşağıdaki durumlarda işlenebilir:
- Kanunlarda açıkça öngörülmesi
- Fiili imkânsızlık nedeniyle rızanın verilemediği acil haller
- Sözleşme kurulması veya ifası
- Hukuki yükümlülüklerin yerine getirilmesi
- Veri sahibinin kendisi tarafından alenileştirilmiş olması
- Bir hakkın tesisi, korunması veya kullanılması için zorunlu olması
- Meşru menfaat gereği veri işlenmesinin zorunlu olması
3.3 Özel Nitelikli Verilerin İşlenmesi
Sağlık ve cinsel hayata ilişkin veriler, yalnızca kamu sağlığı ve tıbbi teşhis amaçlarıyla, sır saklama yükümlülüğü altındaki kişiler tarafından işlenebilir.
3.4 Veri Aktarım Şartları
Kişisel veriler aşağıdaki durumlarda aktarılabilir:
- Acil durumlarda hayat ve beden bütünlüğünün korunması
- Sözleşmesel zorunluluk
- Hukuki yükümlülük
- Alenileştirilmiş veriler
- Bir hakkın tesisi/korunması
- Meşru menfaat
Özel nitelikli veriler yalnızca yukarıdaki şartlar + ek güvenlik önlemleri ile aktarılabilir.
4. Veri Kategorileri
Kimlik
Ad, soyad, kimlik/pasaport numarası, cinsiyet, medeni hal, meslek, imza vb.
İletişim
Adres, telefon, e-posta, sosyal medya bilgileri.
Özlük
Çalışan adayları ve çalışanlara ilişkin özgeçmiş, sicil, SGK kayıtları.
Finans
Fatura bilgileri, ödeme kayıtları, IBAN vb.
Görsel & İşitsel
Fotoğraf, video ve ses kayıtları.
Haberleşme
Telefon kayıtları, e-posta kayıtları.
Müşteri İşlem
Memnuniyet bilgileri, ödeme süreçleri, işlem kayıtları.
Özel Nitelikli Veriler
Sağlık verileri, geçmiş operasyonlar, tahliller, ilaç bilgileri, cinsel hayata ilişkin tıbbi bilgiler, görüntüleme sonuçları vb.
4.2 Veri Konusu Kişi Grupları
- Çalışan Adayları
- Hastalar/Danışanlar
- Çalışanlar
- Ziyaretçiler
5.1 Kişisel Veri Toplama Yöntemleri
- Başvuru formları
- Muayene ve tedavi süreçleri
- E-posta, mesaj ve posta yoluyla iletilen bilgiler
- Telefon görüşmeleri
- Fotoğraf/video kayıtları
- Web sitesi formları
- Tahlil ve görüntüleme sonuçları
- Log kayıtları
- WhatsApp, Instagram, Facebook, Zoom vb.
5.2 Hukuki Sebepler
- Açık rıza
- Kanuni zorunluluk
- Sözleşmenin kurulması/ifası
- Meşru menfaat
- Hakkın tesisi/korunması
- Kamu sağlığı amaçları
- Alenileştirme
6. Kişisel Verilerin İşlenme Amaçları
Hasta/Danışan İçin
- Tıbbi teşhis ve tedavi
- Hasta dosyası oluşturma
- Randevu süreçleri
- Konsültasyon
- Finansal süreçler
- Sağlık turizmi işlemleri
Çalışan İçin
- İş akdi ve mevzuat yükümlülükleri
- Bilgi güvenliği
- Yan hak süreçleri
- Performans ve organizasyon yönetimi
Çalışan Adayı İçin
- Başvuru değerlendirme
- İletişim süreçleri
Ziyaretçi İçin
- Fiziksel alan güvenliği
- Log kayıtlarının saklanması
7. Veri Aktarım Amaçları
- Tıbbi teşhis ve tedavi süreçleri
- Konsültasyon
- Sağlık turizmi hizmetleri
- Mali işlemler
- Kamu kurumlarına bildirim
- Yargı mercilerine bildirim
- Tedarikçi ve danışman hizmetleri
8. Kişisel Verilerin İmhası ve Saklama Süreleri
8.1 İmha Yöntemleri
- Silme: Veriye erişimin kalıcı olarak engellenmesi
- Yok etme: Fiziksel/dijital geri döndürülemez imha
- Anonimleştirme: Kimliği belirlenemez hale getirme
8.2 Saklama Süreleri
Kişisel veriler ilgili mevzuatta belirlenen süre boyunca saklanır; süre yoksa işleme amacının gerektirdiği kadar tutulur.
9. Veri Sahibi Hakları
GDPR Hakları
- Erişim hakkı
- Düzeltme hakkı
- Silme hakkı
- İşlemenin kısıtlanması
- İtiraz
- Veri taşınabilirliği
KVKK Hakları
- Verinin işlenip işlenmediğini öğrenme
- Veri işleme amacını öğrenme
- Eksik/yanlış verinin düzeltilmesi
- Verinin silinmesi/yok edilmesi
- Aktarılan üçüncü kişileri öğrenme
- İtiraz hakkı
- Zarar tazmini talebi