Özel Nitelikli Kişisel Veri İşleme Politikası

ÖZEL NİTELİKLİ KİŞİSEL VERİLERİ İŞLEME POLİTİKASI

1. POLİTİKANIN AMACI VE KAPSAMI

Veri sorumlusu unvanı                 :Özel Rana ALTINIŞIK Ağız ve Diş Sağlığı Hizm.etleri San. Tic. Ltd. Şti.
Veri sorumlusu adresi                  : Sırakapılar mah Prof Dr. Nusret H Fişek sk No:6/1 Merkezefendi DENİZLİ
Veri sorumlusu telefon              : 0 258 2421795
Veri sorumlusu e-posta                : info@denizlidis.net
Veri sorumlusu web sitesi          : www.denizlidis.net

veri sorumlusu işlediği özel nitelikli kişisel verilerin korunması noktasında son derece hassas davranmaktadır.

İşbu politika, elde edilen özel nitelikli kişisel verilerin Kanun’un 6. maddesinin (4) numaralı fıkrasında belirtilen “Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır.” hükmüne istinaden alınan güvenlik önlemlerinin açıklanması ve bu kapsamda usul ve esasların belirlenmesi amacıyla hazırlanmıştır.

2. TANIMLAR

Bu Politikada yer verilen hukuki ve teknik terimlerden;

Açık Rıza	Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı,
Kanun	24.3.2016 Tarih ve 6698 Sayılı Kişisel Verilerin Korunması Kanununu,
Kayıt ortamı	Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortamı,
Özel Nitelikli Kişisel Veri	Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verilerini,
Kişisel Verilerin İşlenmesi	Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi,
Kurul	Kişisel Verileri Koruma Kurulunu,
İlgili Kişi	Kişisel verisi işlenen gerçek kişiyi,
Veri Sorumlusu	Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi,

İfade eder

3. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİ

3.1 Özel Nitelikli Kişisel Verilerin İşlenmesinde Uyulan Temel İlkeler

Özel nitelikli kişisel veriler, Kanun ve işbu Politikada belirtilen ilkelere uygun olarak gerekli her türlü idari ve teknik tedbirler alınarak işlenmektedir. Bu kapsamda özel nitelikli kişisel veriler;

Hukuka ve dürüstlük kuralına uygun işlenecek,
Kişisel verilerin doğru ve gerektiğinde güncel olması sağlanacak,
Belirli, açık ve meşru amaçlar için işlenecek,
İşlendikleri yasal amaçla bağlantılı, sınırlı ve ölçülü olarak kullanılacak ve açıklanacak,
İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilecektir.

3.2 Özel Nitelikli Kişisel Verilerin İşlenmesi

Hastaların kişisel sağlık verileri KVKK 6/3 maddesine göre tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ve yönetimi amacıyla sır saklama yükümlülüğü altında bulunan hekimlerimiz tarafından işlenmektedir. Bu özel nitelikli kişisel sağlık verileri KVKK konusunda düzenli olarak farkındalık eğitimleri verilen ve gizlilik taahhütnamesi ile çalıştırılan personel tarafından elektronik ve fiziki ortamda işlenmektedir.
İş Sağlığı ve Güvenliği Kanunu’na istinaden personelden elde edilen sağlık raporları KVKK mevzuatına uygun olarak işlenmektedir.
- Bünyemizdeki sağlık çalışanlarının adli sicil kaydı personel çalışma belgesi işlemleri için kanunlarda açıkça öngörülmesi hukuki sebebine dayanarak işlenmektedir.
- Personel çalışma belgesi düzenlenmeyenlerin adli sicil kaydı bilgilendirilerek özgür iradelerine dayanan açık rızaları ile fiziki ve elektronik ortamda işlenmektedir.
- Bünyemizde çalışan sağlık çalışanlarının kılık kıyafet verisi, Kanunun 6. Maddesinde belirtilen Kanunlarda açıkça öngörülmesi hukuki sebebine dayanılarak işlenmektedir.

Personel adaylarından açık rıza ile sağlık, ceza mahkumiyeti ve güvenlik tedbiri verisi elde edilmekte, İş başvurusu olumsuz sonuçlananların verileri derhal silinmektedir.

4. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENME AMAÇLARI

Merkez, Kanun’un 4. maddesinde düzenlenen temel ilkelere uygun olarak, yine Kanun’un 6. Maddesinde belirtilen özel nitelikteki kişisel verilerin işlenme şartlarından en az birine dayanarak aşağıda sayılan amaçlarla kişisel veri işlemektedir.

VERBİS Bildiriminizi görmek için : google’a Verbis sicil sorgulama yazınız, çıkan sayfada Aranacak metin bölümüne kendi adınızı (şirketse ünvanı) yazınız ve güvenlik sorusunu cevaplayıp, sağ alttaki arama yap alanına tıklayınız. Açılan sayfada adınızın yanında bulunan detay bölümündeki işarete tıklayınız. Açılan sayfada verbis bildirimleriniz görünecektir. Buradan verileri işleme AMAÇLARINIZI görebileceksiniz.

Acil Durum Yönetimi Süreçlerinin Yürütülmesi
Çalışan Adaylarının Başvuru Süreçlerinin Yürütülmesi
Çalışanlar İçin İş Akdi ve Mevzuattan Kaynaklı Yükümlülüklerin Yerine Getirilmesi
Çalışanlar İçin Yan Haklar ve Menfaatleri Süreçlerinin Yürütülmesi
Faaliyetlerin Mevzuata Uygun Yürütülmesi
Hukuk İşlerinin Takibi ve Yürütülmesi
İnsan Kaynakları Süreçlerinin Planlanması
İş Sağlığı / Güvenliği Faaliyetlerinin Yürütülmesi
Hizmetin Operasyon Süreçlerinin Yürütülmesi
Saklama ve arşiv faaliyetlerinin yürütülmesi
Sözleşme Süreçlerinin Yürütülmesi
Taşınır Mal ve Kaynakların Güvenliğinin Temini
Veri Sorumlusu Operasyonlarının Güvenliğinin Temini
Yetkili Kişi, Kurum ve Kuruluşlara Bilgi Verilmesi
Kamu sağlığının korunması, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi

5. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN AKTARILMASI

5.1 Yurt İçine Aktarılması

a) Hastaların kişisel sağlık verileri aşağıda belirtilen 3. kişilere aktarılabilir.

Hukuki uyuşmazlık durumunda talep halinde talep edilen kişisel verilerle sınırlı olarak adli makamlar ve taraf avukatlarına
Kimlik ve sağlık bilgileri Sağlık Hizmetleri Temel Kanunu gereği E-Nabız sistemine
Özel sigorta kapsamında hizmet alanların kimlik, sağlık ve sigorta bilgileri özel sigorta şirketlerine
Kimlik, iletişim, sağlık ve refakatçi bilgileri hastanın sevki durumunda sevk edilecek sağlık kuruluşuna
Hasta dosyalarının arşivlenmesi amacıyla hasta kayıt programının geliştiricisi olan yazılım firmasına

b) Personelin kişisel sağlık verileri aşağıda belirtilen 3. Kişilere aktarılır.

Hukuki uyuşmazlık durumunda talep halinde talep edilen kişisel verilerle sınırlı olarak adli makamlar ve taraf avukatlarına
Kimlik, iletişim, sağlık, fotoğraf, diploma ve ceza mahkumiyeti verileri personel çalışma belgesi başvurusu amacıyla ilçe/il sağlık müdürlüğüne
Arşivleme amacıyla işyeri bilgisayar programlarının geliştiricisi olan yazılım firmasına

c) İş başvurusunda bulunan personel adaylarından açık rıza ile elde edilen kişisel sağlık, ceza mahkumiyeti ve güvenlik tedbirleri verileri iş başvurusunun olumsuz sonuçlanması halinde derhal silinmekte ve yok edilmektedir.

5.2 Yurt Dışına Aktarılması

İşlenen özel nitelikli kişisel veriler yurt dışına aktarılmamaktadır.

6. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN KORUNMASI İÇİN ALINAN TEDBİRLER

7.1 Alınan Güvenlik Önlemleri

1- Merkezimiz özel nitelikli kişisel verilerin güvenliğine yönelik sistemli, kuralları net bir şekilde belli, yönetilebilir ve sürdürülebilir ayrı bir politika ve prosedür belirlemiştir,

2-Özel nitelikli kişisel verilerin işlenmesi süreçlerinde yer alan çalışanlara yönelik,

a) Kanun ve buna bağlı yönetmelikler ile özel nitelikli kişisel veri güvenliği konularında düzenli olarak eğitimler verilmektedir,

b) Gizlilik sözleşmeleri yapılmıştır,

c) Verilere erişim yetkisine sahip kullanıcıların, yetki kapsamları ve süreleri net olarak tanımlanmıştır,

d) Periyodik olarak yetki kontrolleri gerçekleştirilmektedir,

e) Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri derhal kaldırılmaktadır. Bu kapsamda, işten ayrılan çalışana tahsis edilen envanter iade alınmaktadır,

3- Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar elektronik ortam ise;

a) Veriler kriptografik yöntemler kullanılarak muhafaza edilmektedir,

b) Kriptografik anahtarlar güvenli ve farklı ortamlarda tutulmaktadır,

c) Veriler üzerinde gerçekleştirilen tüm hareketlerin işlem kayıtları güvenli olarak loglanmaktadır,

d) Verilerin bulunduğu ortamlara ait güvenlik güncellemeleri sürekli takip edilmektedir, gerekli güvenlik testleri düzenli olarak yapılıp/yaptırılıp, test sonuçları kayıt altına alınmaktadır,

e) Verilere uzaktan erişim sağlanırken iki kademeli kimlik doğrulama sistemi kullanılmaktadır.

4- Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve erişildiği fiziksel ortam ise;

a) Özel nitelikli kişisel verilerin bulunduğu ortamın niteliğine göre yeterli güvenlik önlemleri (elektrik kaçağı, yangın, su baskını, hırsızlık vb. durumlara karşı) alınmıştır,

b) Bu ortamların fiziksel güvenliği sağlanarak yetkisiz giriş çıkışlar engellenmiştir,

5- Özel nitelikli kişisel veriler aktarılacaksa;

a) Verilerin e-posta yoluyla aktarılması gerekiyorsa şifreli olarak kurumsal e-posta adresiyle veya Kayıtlı Elektronik Posta (KEP) hesabı kullanılarak aktarılmaktadır,

b) Taşınabilir Bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerekiyorsa kriptografik yöntemlerle şifrelenmesi ve kriptografik anahtar farklı ortamda tutulmaktadır,

c) Farklı fiziksel ortamlardaki sunucular arasında aktarma gerçekleştiriliyorsa, sunucular arasında VPN kurularak veya sFTP yöntemiyle veri aktarımının gerçekleştirilmektedir,

d) Verilerin kağıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemlerin alınmakta ve evrak “gizlilik dereceli belgeler” formatında gönderilmektedir.

7.2 Ayrıca Alınan İdari ve Teknik Tedbirler

VERBİS Bildiriminizi görmek için : google’a Verbis sicil sorgulama yazınız, çıkan sayfada Aranacak metin bölümüne kendi adınızı (şirketse ünvanı) yazınız ve güvenlik sorusunu cevaplayıp, sağ alttaki arama yap alanına tıklayınız. Açılan sayfada adınızın yanında bulunan detay bölümündeki işarete tıklayınız. Açılan sayfada verbis bildirimleriniz görünecektir. Buradan veri güvenliği tedbirlerini (GÜVENLİK) görebileceksiniz.

İdari Tedbirler

Erişim, bilgi güvenliği, kullanım, saklama ve imha konularında kurumsal politikalar hazırlanmış ve uygulamaya başlanmıştır.
İmzalanan sözleşmeler veri güvenliği hükümleri içermektedir.
Kişisel veriler mümkün olduğunca azaltılmaktadır.
Kurum İçi Periyodik ve/veya Rastgele Denetimler yapılmakta veya yaptırılmaktadır.
Risk Analizleri yapılarak raporlanmaktadır.
İş Sözleşmesi, disiplin yönetmeliği gibi metinlere KVKK hükümleri ilave edilmektedir.
Kişisel veri güvenliğinin takibi yapılmaktadır.
Veri aktarımı yapılan alıcı gruplarla gizlilik sözleşmeleri yapılmaktadır.
Kişisel Veri İşleme Envanteri Hazırlanmıştır.
Periyodik aralıklarla Silme, yok etme veya anonim hale getirme işlemleri yapılmaktadır.

Teknik Tedbirler

VERBİS Bildiriminizi görmek için : google’a Verbis sicil sorgulama yazınız, çıkan sayfada Aranacak metin bölümüne kendi adınızı (şirketse ünvanı) yazınız ve güvenlik sorusunu cevaplayıp, sağ alttaki arama yap alanına tıklayınız. Açılan sayfada adınızın yanında bulunan detay bölümündeki işarete tıklayınız. Açılan sayfada verbis bildirimleriniz görünecektir. Buradan veri güvenliği tedbirlerini (GÜVENLİK) görebileceksiniz.

Ağ güvenliği ve uygulama güvenliği sağlanmaktadır.
Bilgi teknolojileri sistemleri tedarik, geliştirme ve bakımı kapsamındaki güvenlik önlemleri alınmaktadır.
Çalışanlar için yetki matrisi oluşturulmuştur.
Güncel anti-virüs sistemleri kullanılmaktadır.
Güvenlik duvarları kullanılmaktadır.
Kullanıcı hesap yönetimi ve yetki kontrol sistemi uygulanmakta olup bunların takibi de yapılmaktadır.
Siber güvenlik önlemleri alınmış olup uygulanması sürekli takip edilmektedir.

7 İLGİLİ KİŞİLERİN HAKLARI VE BU HAKLARIN KULLANILMASI

7.2 İlgili Kişilerin Hakları

Kişisel veri işlenip işlenmediğini öğrenme,
Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme.

7.3 İlgili Kişinin Haklarını Kullanması

Kişisel veri sahipleri,

Yukarıda adresi yazılan kliniğimizden
Yukarıda belirtilen web sitemizden

edinecekleri Veri Sahibi Başvuru Formu’nu doldurularak ıslak imzalı bir şekilde elden, postayla veya noter kanalıyla yukarıda belirtilen veri sorumlusunun adresine ya da tarafımıza önceden bildirdiğiniz ve sistemimizde kayıtlı elektronik posta adresiniz üzerinden yukarıdaki e-posta adresimize iletmeniz gerekmektedir.

7.4 Başvurulara Cevap Verilmesi

İlgili kişinin yukarıda sayılan ve Kanun’un 11. Maddesinde geçen haklara ilişkin talebini usule uygun olarak tarafımıza iletmesi durumunda, talebin niteliğine göre en kısa sürede ve en geç 30 (otuz) gün içinde ilgili talebi ücretsiz olarak sonuçlandıracaktır. Ancak, işlemin ayrıca bir maliyet gerektirmesi halinde, Kurul tarafından belirlenen tarife uyarınca ücret alınabilecektir.

8 KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ SÜREÇLERİ KOORDİNASYONU

Özel Nitelikli Kişisel verilerin işlenmesi ve Korunması süreçlerinin koordinasyonunu şirket müdürü veya görevlendireceği personel yapar.

9 POLİTİKADA YAPILAN GÜNCELLEMELER

Mevzuatın değişmesi sebebiyle, Kurul kararları uyarınca ya da sektördeki ya da bilişim alanındaki gelişmeler doğrultusunda işbu Özel Nitelikli Kişisel Verilerin İşlenmesi Politikasında değişiklik yapılabilir. Bu kapsamda yapılan değişiklikler derhal metne işlenir ve değişikliklere ilişkin açıklamalar aşağıda düzenlenen güncellemeler tablosuna eklenir.

Güncellemeler Tablosu

…tarih….

Özel Nitelikli Kişisel Verilerin İşlenmesi ve Korunması Politikası yürürlüğe girmiştir.

KVKK