AMAÇ VE KAPSAM
Özel Nitelikli Kişisel Verilerin Korunması İZMİT ÖZEL POLİKLİNİK SAĞLIK HİZMETLERİ TİCARET ANONİM ŞİRKETİ (ÖZEL AKTİF KOCAELİ HASTANESİ/ŞİRKET) için en önemli önceliklerinden olup, yürürlükte olan tüm mevzuata uygun davranmak için azami gayret göstermektedir. İzmit Özel Poliklinik Sağlık Hizmetleri Ticaret Anonim Şirketi (Özel AKTİF Kocaeli Hastanesi/Şirket) Özel Nitelikli Kişisel Verileri Koruması Politikası çerçevesinde Şirketimiz tarafından gerçekleştirilen Özel Nitelikli Kişisel Veri işleme faaliyetlerinin yürütülmesinde benimsenen ilkeler ve Şirketimizin veri işleme faaliyetlerinin 6698 sayılı Kişisel Verilerin Korunması Kanununda ve ilgili mevzuatta yer alan düzenlemeler ile Kişisel Verileri Koruma Kurumu kararlarına uyum bakımından benimsenen temel prensipler açıklanmakta ve böylelikle Şirketimiz, kişisel veri sahiplerini bilgilendirerek gerekli şeffaflığı sağlamaktadır. Özel Nitelikli Kişisel Verileriniz bu politika kapsamında işlenmekte ve korunmaktadır.
TANIM
Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri Kanunda özel nitelikli kişisel veri (hassas veri) olarak belirtilmiştir. Tanımdan da anlaşıldığı üzere Kanun özel nitelikli kişisel verileri saymak suretiyle sınırlı olarak belirlemiştir. Özel nitelikli kişisel veriyi diğer kişisel verilerden ayıran en önemli özellik bu verilerin hukuka aykırı bir şekilde işlenmesi halinde kişilerin mağduriyetine veya ayrımcılığa sebep olma riski taşıyan kişisel veriler olmalarıdır.
ÖZEL NİTELİKLİ KİŞİSEL VERİNİN İŞLENMESİ
▪ Kişisel Verilerin Korunması Kanunu
Şirketimiz, sağlık sektöründe hizmet vermekte olup, kişilere ait kritik öneme haiz özel nitelikli kişisel verileri işlerken görev bilinci ve kanuni yükümlülükleri uyarınca, bu konuya azami özen göstermektedir. Şirketimiz özel nitelikli kişisel verileri Kanuna uygun olarak işlemektedir. Kanunun 6. maddesinin 4. fıkrasının göndermesiyle yeterli önlemleri ihtiva eden Kişisel Verileri Koruma Kurulunun 31.01.2018 Tarihli ve 2018/10 Sayılı Kararı ile belirlenen tedbirleri Şirketimiz almış olup bu kurallar doğrultusunda kişilere ait özel nitelikli kişisel verileri işlemektedir.
Kural olarak özel nitelikli kişisel verilerin ilgilinin açık rızası olmaksızın işlenmesi yasaktır. Özel nitelikli kişisel veriler Şirketimiz tarafından, bu Politikada belirtilen ilkelere uygun olarak ve KVK Kurumunun belirleyeceği yöntemler de dâhil olmak üzere gerekli her türlü idari ve teknik tedbirler alınarak ve aşağıdaki şartların varlığı halinde işlenmektedir.
▪ Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler, kanunlarda açıkça öngörülmesi diğer bir ifade ile ilgili faaliyetin tabi olduğu kanunda kişisel verilerin işlenmesine ilişkin açıkça bir hüküm olması halinde veri sahibinin açık rızası aranmaksızın işlenebilecektir. Aksi durumda söz konusu özel nitelikli kişisel verilerin işlenebilmesi için veri sahibinin açık rızası alınacaktır.
▪ Sağlık ve cinsel hayata ilişkin özel nitelikli kişisel veriler, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından açık rıza aranmaksızın işlenebilecektir. Aksi durumda söz konusu özel nitelikli kişisel verilerin işlenebilmesi için veri sahibinin açık rızası alınacaktır.
VERİ GÜVENLİĞİ ÖNLEMLERİ
Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler ile ilgili Kişisel Verileri Koruma Kurulunun 31.01.2018 Tarihli ve 2018/10 Sayılı Kararı uyarınca belirlenen tedbirler Şirketimizce alınmıştır. Bu tedbirler aşağıda belirtilmiştir:
1- Özel nitelikli kişisel verilerin güvenliğine yönelik sistemli, kuralları net bir şekilde belli, yönetilebilir ve sürdürülebilir ayrı bir Özel Nitelikli Kişisel Verileri Koruma Politikası belirlenmiştir.
2- Özel nitelikli kişisel verilerin işlenmesi süreçlerinde yer alan çalışanlara yönelik;
a) Kanun ve buna bağlı yönetmelikler ile özel nitelikli kişisel veri güvenliği konularında düzenli olarak eğitimler verilmektedir.
b) Çalışanlar ile gizlilik sözleşmeleri yapılmaktadır. Yine hizmet alınan kurumlarla da Kurumsal Gizlilik Sözleşmesi akdedilmektedir.
c) Verilere erişim yetkisine sahip kullanıcıların, yetki kapsamlarının ve sürelerinin net olarak tanımlanmaktadır.
ç) Periyodik olarak yetki kontrolleri yapılmaktadır.
d) Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkilerinin işten ayrıldığı anda İnsan Kaynakları birimi tarafından sistem üzerinden derhal yetkisi kaldırılmakta, sisteme erişimi engellenmektedir. Bu kapsamda, veri sorumlusu tarafından kendisine tahsis edilen envanter iade alınmaktadır.
3- Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, elektronik ortam ise;
a) Veriler kriptografik yöntemler kullanılarak muhafaza edilmektedir.
b) Kriptografik anahtarlar güvenli ve farklı ortamlarda tutulmaktadır.
c) Veriler üzerinde gerçekleştirilen tüm hareketlerin işlem kayıtları güvenli olarak loglanmaktadır.
ç) Verilerin bulunduğu ortamlara ait güvenlik güncellemeleri sürekli takip edilmekte, gerekli güvenlik testleri düzenli olarak yapılmakta/yaptırılmakta ve test sonuçları kayıt altına alınmaktadır.
d) Yazılım aracılığı ile erişilen verilere, bu yazılıma ait kullanıcı yetkilendirmeleri yapılmakta, bu yazılımların güvenlik testleri düzenli olarak yapılmakta/yaptırılmakta, test sonuçları kayıt altına alınmaktadır.
e) Verilere uzaktan erişim gerekiyorsa en az iki kademeli kimlik doğrulama sistemi sağlanmaktadır.
4- Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, fiziksel ortam ise;
a) Özel nitelikli kişisel verilerin bulunduğu ortamın niteliğine göre yeterli güvenlik önlemleri (elektrik kaçağı, yangın, su baskını, hırsızlık vb. durumlara karşı) alınmaktadır.
b) Bu ortamların fiziksel güvenliğinin sağlanarak yetkisiz giriş çıkışların engellenmesi sağlanmaktadır.
5- Özel nitelikli kişisel veriler aktarılacaksa;
a) Verilerin e-posta yoluyla aktarılması gerekiyorsa şifreli olarak kurumsal e-posta adresiyle veya Kayıtlı Elektronik Posta (KEP) hesabı kullanılarak aktarılmaktadır.
b) Taşınabilir Bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerekiyorsa kriptografik yöntemlerle şifrelenmekte ve kriptografik anahtar farklı ortamda tutulmaktadır.
c) Farklı fiziksel ortamlardaki sunucular arasında aktarma gerçekleştiriliyorsa, sunucular arasında VPN kurularak veya sFTP yöntemiyle veri aktarımı gerçekleştirilmektedir.
ç) Verilerin elden aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemlerin alınması ve evrakın gizlilik dereceli belgeler formatında gönderilmektedir.
6-Yukarıda belirtilen önlemlerin yanı sıra Kişisel Verileri Koruma Kurumunun internet sitesinde yayımlanan Kişisel Veri Güvenliği Rehberinde belirtilen uygun güvenlik düzeyini temin etmeye yönelik teknik ve idari tedbirler de Şirketimizce sağlanmaktadır.
ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN AKTARILMASI
Özel nitelikli kişisel veriler Şirketimiz tarafından, bu Politikada belirtilen ilkelere uygun olarak ve Kurul’un belirleyeceği yöntemler de dâhil olmak üzere gerekli her türlü idari ve teknik tedbirler alınarak ve aşağıdaki şartların varlığı halinde aktarılabilecektir:
– Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler, kanunlarda açıkça öngörülmesi diğer bir ifade ile ilgili kanunda kişisel verilerin işlenmesine ilişkin açıkça bir hüküm olması halinde veri sahibinin açık rıza aranmaksızın işlenebilecektir. Aksi halde veri sahibinin açık rızası alınacaktır.
– Sağlık ve cinsel hayata ilişkin özel nitelikli kişisel veriler, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından açık rıza aranmaksızın işlenebilecektir. Aksi halde veri sahibinin açık rızası alınacaktır.
Yukarıdakilere ek olarak kişisel veriler, şirketimizce Yabancı Ülkelere aktarılmamaktadır. Ancak ilgilinin talebi veya başka bir sebeple bu gerekli olursa ilgilinin açık rızası alınarak bu yapılacaktır.
Kişisel verileriniz ve kişisel sağlık verileriniz işbu politika metninde açıklanan amaçlar ve 3359 sayılı Sağlık Hizmetleri Temel Kanunu, 663 sayılı Sağlık Bakanlığı ve Bağlı Kuruluşların Teşkilat ve Görevleri Hakkında Kanun Hükmünde Kararname, 6698 sayılı Kişisel Verilerin Korunması Kanunu, Özel Hastaneler Yönetmeliği, Kişisel Sağlık Verilerinin İşlenmesi ve Mahremiyetinin Korunması Yönetmeliği ve ilgili düzenlemeler çerçevesinde;
• Sözleşmeden kaynaklı ve kanuni yükümlülüklerimizin yerine getirilebilmesi ile hastanemizin idari, ticari ve ekonomik faaliyetlerin gerçekleştirilebilmesi amaçlarıyla Sağlık Bakanlığı, Sosyal Güvenlik Kurumu, Emniyet Genel Müdürlüğü ve sair kolluk kuvvetleri, CİMER, SABİM, Çalışma Bakanlığı, Nüfus Genel Müdürlüğü, mahkemeler ve icra daireleri, Türkiye Eczacılar Birliği, düzenleyici ve denetleyici kurumlar, sigorta şirketleri, hastalar tarafından yetkilendirilen temsilciler, iş birliği yapılan laboratuvarlar ve sair merkezler ile Elektronik Tıbbi Kayıtlar ve Elektronik Sağlık Kayıtları sistemlerine aktarılabilmektedir.
• Şirket tarafından sunulan hizmetlerin faturalandırılabilmesi ve tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla sigorta şirketleri ve yetkili kurum/kuruluşlara,
• Şirketin verimliliği ile iş ve işçi bulma politikalarının geliştirilebilmesi, sürdürülebilirliğin sağlanabilmesi için ilgili üçüncü şahıslara,
• İş sözleşmesi kapsamında işverenin sahip olduğu yükümlülüklerin yerine getirilebilmesi amacıyla bankalara,
• Hastane bünyesindeki işlerin idaresi, yönetimi, hastane işlerinin yürütülebilmesi, hastane politikalarının uygulanabilmesi, iş akışının verimli bir şekilde yönetilip yürütülebilmesi için kişisel verileriniz, veri depolama amacıyla çalışılan üçüncü kişilere, HBYS uygulamalarına ve yedekleme sistemlerine aktarılmaktadır.
• Kamuoyunun bilgi alma hakkı çerçevesinde, ilgili kişinin açık rızasının alınması suretiyle, hastanın tıbbi bilgileri ile hasta ve hasta yakınlarına ilişkin sosyo-kültürel ve ekonomik bilgiler basın yayın organları ile paylaşılabilmektedir.
KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VE ANONİMLEŞTİRİLMESİ ŞARTLARI
Kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde şirketimiz ilgili prosedürlerine istinaden veya kişisel veri sahibinin talebi üzerine kişisel veriler silinir, yok edilir veya anonim hâle getirilir.
Bu kapsamda şirketimiz ilgili yükümlülüğünü yerine getirmek üzere ilgili iş birimlerini eğitmekte, görevlendirmekte ve farkındalıklarını arttırmaktadır.
Şirketimizin KİŞİSEL VERİ SAKLAMA VE İMHA POLİTİKASI hazırlanarak, https://www.aktifinternational.com/hastaneler/kocaeli-hastanesi/ internet sitemizde yayınlanmıştır.
Şirketimiz binalarına gelen kişilerin kişisel ve özel nitelikli kişisel verileri usulüne uygun olarak elde edilirken Şirketimizde görülebilir şekilde sergilenen ya da diğer şekillerde (internet sitemizde) erişime sunulan metinler aracılığıyla söz konusu kişisel veri sahipleri bu kapsamda aydınlatılmaktadır.
POLİTİKANIN YÜRÜRLÜĞE GİRMESİ
Özel Nitelikli Kişisel Verilerin Korunması ve İşlenmesi Politikasının tamamının veya belirli maddelerinin yenilenmesi durumunda Politikanın yürürlük tarihi yenilenen madde için o maddenin revize edilerek yayınlandığı tarihtir.
Politika, Şirketimizin internet sitesinde (https://www.aktifinternational.com/hastaneler/kocaeli-hastanesi/)yayınlanır ve yayınlanması ile yürürlüğe girer.
İZMİT ÖZEL POLİKLİNİK SAĞLIK HİZMETLERİ TİCARET ANONİM ŞİRKETİ
(ÖZEL AKTİF KOCAELİ HASTANESİ)
İLETİŞİM: Yeniköy Merkez Mah., Mine Çiçeği Sk., No:6, Başiskele/KOCAELİ
0 262 3230202