KVKK Aydınlatma Metni

Aydınlatma Metni

KONFİDENT ÖZEL SAĞLIK HİZMETLERİ VE TİC. LTD. ŞTİ.

KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASI

1. TANIMLAR

İşbu Politika’da kullanılan ve büyük harfle başlayan Politika içerisinde tanımlanmamış terimler, kendilerine aşağıda atfedilen anlamları haiz olacaklardır:

2. GİRİŞ

2.1. Amaç ve Kapsam

İşbu Kişisel Verilerin Korunması ve İşlenmesi Politikası (“Politika”) ile özel sağlık kurumları tarafından sağlanan diş hekimliği uygulama faaliyetleri alanında faaliyet gösteren Kliniğimizin Kişisel Verilerin İşlenmesi kapsamındaki her türlü işlem ve faaliyetlerinin Veri Sahiplerinin kişilik hakları başta olmak üzere 6698 sayılı Kişisel Verilerin Korunması Kanunu,  ilgili mevzuat ve Kurum karar ve uygulamalarına uyumunu sağlamak amacı ile belirlenen prensipleri düzenlemektir.

Kliniğimiz, Kişisel Verilerin korunmasının anayasal bir hak olarak düzenlendiğinin bilincinde olarak ve özel hayatın gizliliği gereği, Kişisel Verilerin korunması ve hukuksal güvence altına alınmasındaki tüm sürecin, ilgili mevzuata uygun ve Veri Sahibi’nin temel hak ve özgürlüklerini koruyacak şekilde gerçekleşmesini temin etmekle yükümlüdür. Kişisel Veri, Veri Sahibi’nin kişilik hakkının bir parçasıdır, hiçbir şekilde ilgili mevzuat ve bu Politika’nın hükümlerine aykırı olarak işlenemez.

Kişisel Verilerin Korunması ve İşlenmesi Politikası, klinik çalışanları, hastalar, asistanlar, tedarikçiler ve ziyaretçiler de dâhil ama bunlarla sınırlı olmaksızın Klinik bünyesinde gerçek kişiye ilişkin elde edilen ve işlenen bütün kişisel veriler için uygulama alanı bulur. İşbu Politika’nın içerdiği tüm hükümler mevzuata tabi olup Politika’nın içerdiği hükümler ile ilgili mevzuatın emredici düzenlemeleri arasında çelişki bulunduğu takdirde, güncel mevzuat hükümleri öncelikli olarak esas alınarak uygulanır.

2.2. Kişisel Verilerin İşlenmesinde Uyulacak İlkeler

Hukuka ve Dürüstlük Kuralına Uygun İşleme: Kliniğimiz, Kişisel Verilerin işlenmesinde hukuksal düzenlemelerle getirilen ilkeler ile genel güven ve dürüstlük kuralına uygun hareket etmektedir. Bu çerçevede, Kişisel Veriler Kliniğimizin iş faaliyetlerinin gerektirdiği ölçüde ve bunlarla sınırlı olarak işlenmekte ve Kişisel Veriler öngörülmüş amaç dışında kullanılmamaktadır.

Kişisel Verilerin Doğru ve Gerektiğinde Güncel Olması: Kliniğimiz, Kişisel Verilerin işlendiği süre boyunca doğruluğunun ve güncelliğinin sağlanması için belirli aralıklarda gerekli idari ve teknik önlemleri almaya devam eder.

Belirli, Açık ve Meşru Amaçlarla İşleme: Kliniğimiz, Kişisel Verilerin işlenme amaçlarını açık ve belirli bir şekilde belirlemekte ve söz konusu verileri iş faaliyetleri doğrultusunda bu faaliyetlerle bağlantılı amaçlar kapsamında işlemektedir. Kişisel Verilerin hangi amaçla işleneceği, Kişisel Verilerin elde edilmesinden önce ilgili Veri Sahiplerine duyurulmaktadır. Confident’in Kişisel Veri işleme amaçlarının değişmesi halinde, işbu Politika güncellenerek farklı kanallardan Veri Sahiplerine duyurulmaktadır.

İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma: Kliniğimiz, Kişisel Verileri sadece ilgili faaliyetlerin gerektirdiği nitelikte ve ölçüde toplayıp belirlenen amaçlarla sınırlı olarak işlemektedir. Bu anlamda, Klinik tarafından Kişisel Veriler “amaçla sınırlı kullanım” ilkesine bağlı kalınarak işlenmektedir.

İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç için Gerekli Olan Süre Kadar Muhafaza Etme: Confident, Kişisel Verileri işlendikleri amaç için gerekli olan süre veya ilgili faaliyetin tabi olduğu yasal mevzuatta öngörülen yasal süre kadar muhafaza etmektedir. Bu kapsamda, Kliniğimiz öncelikle ilgili mevzuatta Kişisel Verilerin saklanması için bir süre öngörülüp öngörülmediğini tespit etmekte, bir süre belirlenmişse bu süreye uygun davranmaktadır. Yasal bir süre mevcut değil ise Kişisel Veriler işlendikleri amaç için gerekli olan süre kadar saklanmaktadır. Kişisel Veriler belirlenen saklama sürelerinin sonunda periyodik imha sürelerine veya Veri Sahibi başvurusuna uygun olarak silinmekte, yok edilmekte veya anonim hale getirilmektedir. Bu kapsamda Confident, Saklama ve İmha Politikası ile Kişisel Veri Envanteri’nde belirlenen muhafaza sürelerine uygun hareket etmektedir.

3. KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN ESASLAR

3.1. Klinik İçi Sorumluluk Zinciri

İşbu Politika ile Kişisel Verilerin Veri Sahibi’nden elde edilerek Klinik içerisindeki dolaşımını düzen altına almak amacıyla, Confident tarafından yürürlüğe sokulan “Kişisel Verilerin Korunması Kanunu’na Dair İç Yönetmelik” ile Klinik içerisinde bir “Sorumluluk Zinciri” kurulmuştur. Buna göre, Kişisel Verilerin Klinik içerisinde hukuka uygun bir şekilde işlenmesinden ve korunmasından tüm Confident çalışanları birlikte sorumlu olup; aykırı davranışların fark edilmesi halinde bu durum derhal Sorumluluk Zinciri’nde kurulan sistematiğe göre bir üst çalışana bildirilmektedir. İç Yönetmelik ile kurulan Klinik içi Sorumluluk Zinciri’nde yer alanların görev ve tanımları aşağıdaki gibidir:

• Çalışanlar: Görevlerinin ifası esnasında herhangi bir Veri Sahibi’nden veri elde eden ya da başka yollarla veri işleyen idari personel, hekimler ve asistanları da dahil olmak üzere tüm çalışanlar, Veri Sahibi’nden elde edilen kişisel verilerin mevzuat ve iç yönetmelik hükümlerine uygun olarak işlenmesinden sorumludur. Verilerin hukuka aykırı işlenmesi ve benzeri aykırılık durumlarında, her çalışan durumu derhal Veri Koruma Görevlisi’ne iletmekle yükümlüdür.
• Veri Koruma Görevlileri: Klinik içerisinde kişisel verisi işlenen gerçek kişiler bakımından bir ayrıma gidilerek iki ayrı Veri Koruma Görevlisi belirlenmiştir. Klinik tarafından kişisel verisi işlenen çalışanlara bakımından İnsan Kaynakları Sorumlusu; çalışanlar haricinde Klinik tarafından kişisel verisi işlenen her türlü gerçek kişi bakımından ise İdari Asistan “Veri Koruma Görevlisi” olarak belirlenmiştir. Bu kapsamda Klinik organizasyon şeması içerisinde yer alan her çalışan, kendi kişisel verilerinin akıbeti ile ilgili hususları İnsan Kaynakları Sorumlusu’na; diğer gerçek kişilere ait kişisel verilerin akıbeti ile ilgili hususları ise İdari Asistan olan Veri Koruma Görevlisi’ne iletmekle yükümlüdür. Veri Koruma Görevlileri öncelikle bu Yönetmeliğin tüm çalışanlara doğru kanallardan duyurulduğuna emin olmalıdır. Buna ek olarak, her bir çalışanın Yönetmelik kapsamındaki iş ve sorumluluklarını yerine getirip getirmediğinin denetlenmesi, yeni işe başlayanlarda kişisel veri farkındalığının yaratılması ve çalışanların kişisel verilerin korunması konusunda ortaya çıkan gelişmeler hakkında bilgilendirilmesi de Veri Koruma Görevlilerinin sorumluluğundadır.
• Mesul Müdür: Verilerin hukuka aykırı işlenmesi ve benzeri aykırılık durumlarında, söz konusu aykırılığı tespit eden Veri Koruma Görevlisi, durumu derhal Mesul Müdür’e bildirir. Mesul Müdür, bu bağlamda gerekli mercilerle iletişime geçerek Klinik içerisinde gerekli önlemlerin alınmasını sağlar.
• Yönetim Kurulu: Klinik içerisinde herhangi bir veri ihlali söz konusu olduğu takdirde, Mesul Müdür durumun hal ve şartlarını göz önünde bulundurarak Yönetim Kurulu’nu bilgilendirir. Yönetim Kurulu tarafından gereken önlemler alınır.

Bu kapsamda ve her halükarda yıllık düzeyde mesul müdür, veri koruma görevlilerininkatılımı ile gerçekleştirilen yönetimin gözden geçirmesi toplantılarında İç Yönetmelik kapsamındaki faaliyet, süreç ve önerilerin de gündeme alınarak tartışılması beklenmektedir. Gündemdeki konulara göre söz konusu gözden geçirme toplantılarına teknik danışmanlar ve hukukçuların da katılması söz konusudur. Bu sayede gerekli iyileştirmelerin ve güncellemelerin yapılarak Kliniğiimizin KVKK uygulamaları kapsamında KVKK ve ikincil düzenlemeler başta olmak üzere mevzuat ile uyum sağlaması hedeflenmektedir.

3.2. Kişisel Verilerin İşlenmesi

Confident tarafından işlenen Kişisel Veriler, KVKK’nın 4. maddesinde belirtilen hukuka uygun işleme şartlarına dayalı olarak ve Kişisel Verilerin korunması hakkındaki ilgili mevzuatın sınırları çerçevesinde işlenmektedir. Veri Sorumlusu Klinik tarafından Kişisel Veriler elde edilmeden evvel Klinik tarafından Veri Sahiplerine yapılacak bilgilendirme ile aydınlatma yükümlülüğü yerine getirilmekte ve gereken hallerde ilgili Veri Sahiplerinin Açık Rızası alınmaktadır. Kişisel Verilerin işlenmesi sürecinde Confident, aşağıda yer verilen yükümlülüklerini yerine getirmektedir:

• Aydınlatma:

Klinik, KVKK ve ilgili sair mevzuat uyarınca, Kişisel Verilerin elde edilmesinden önce Veri Sahibi kişileri aydınlatmaktadır. Bu çerçevede Klinik tarafından İlgili Kişi’ye Kişisel Verilerin hangi amaçla işleneceği, işlenen verilerin kimlere ve hangi amaçlarla aktarılabileceği, Kişisel Veri elde etmenin yöntemi/süreci ve Kişisel Veri elde etmenin hukuki sebebi, saklama süresi ve alınan tedbirler hakkında aydınlatma (bilgilendirme) yapmaktadır.

Klinik dahilinde yapılan KVKK’ya uyum çalışması kapsamında Kişisel Verilerin elde edildiği her bir veri konusu kişi kategorisi için aydınlatma metni hazırlanmış olup, söz konusu aydınlatma belgesi örneği veri sahibi İlgili Kişilere sunulmak üzere Klinik’in ilgili birimlerine iletilmelidir. Mesul Müdür’ün açık izni olmaksızın bu belge içeriğinde değişiklik yapılamamaktadır. Aydınlatma mümkün oldukça durumun gereklerine göre elektronik ortamda ve/veya fiziksel olarak Veri Sahibi’nin imzası ile tevsik edilerek yapılmakta, imza ile tevsikin mümkün olmadığı hallerde, aydınlatma Veri Sahibi’ne ulaşabilecek ortamlarda gerekli duyuru ve bildirimlerle de yapılabilmektedir.

• Açık Rıza:

Kişisel Veriler İlgili Kişi’nin Açık Rızası olmaksızın işlenememektedir ancak; aşağıdaki şartlardan birinin varlığı hâlinde, İlgili Kişi’nin Açık Rızası aranmaksızın Kişisel Verilerinin işlenmesi mümkündür:

• Kanunlarda açıkça öngörülmesi.
• Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
• Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait Kişisel Verilerin işlenmesinin gerekli olması.
• Veri Sorumlusu’nun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
• İlgili Kişi’nin kendisi tarafından alenileştirilmiş olması.
• Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
• İlgili Kişi’nin temel hak ve özgürlüklerine zarar vermemek kaydıyla, Veri Sorumlusu’nun meşru menfaatleri için veri işlenmesinin zorunlu olması.

Yasal zorunluluk kapsamında, Açık Rıza alınması gereken durumlarda, Veri Sahibi’nden Kişisel Verileri elde edilmeden önce (içeriği Klinik tarafından belirlenmiş olan) “Açık Rıza” alınmaktadır. Açık Rıza durumun gereklerine göre elektronik ortamda ve/veya fiziksel olarak Veri Sahibi’nin imzası ile tevsik edilerek alınmaktadır. Çalışanların, Veri Sahibi’nden Açık Rıza almak zorunda olup olmadığı konusunda şüpheye düşmeleri halinde, durumu derhal ilgili Veri Koruma Görevlisi’ne ileterek onun talimatları doğrultusunda hareket etmeleri gerekmektedir.

Kişisel verilerin Klinik içerisinde hukuka uygun bir şekilde işlenmesinden ve korunmasından tüm Klinik çalışanları birlikte sorumlu olup, Veri Koruma Görevlileri  “Kişisel Verilerin İşlenmesi” başlıklı bu bölümde belirtilen iş ve işlemlerin hukuk, mevzuat ve İç Yönetmelik’e uygun olarak yapılmasını denetler. Veri Koruma Görevlilerinin görev veya sorumluluklarını aşan hallerde, ancak nicelik veya nitelik itibari ile önemli veri koruma ihlalinin meydana geldiği her durumda Mesul Müdür’e; Mesul Müdür’ün gerekli gördüğü hallerde ise Mesul Müdür tarafından Yönetim Kurulu’na bildirilir.

3.3. Özel Nitelikli Kişisel Verilerin İşlenmesi

Klinik tarafından gerekmedikçe Özel Nitelikli Kişisel Verilerin işlenmemesi esastır. Ancak faaliyet alanı sebebiyle Kliniğimiz Özel Nitelikli Veri işlemektedir. Hasta kayıtlarının oluşturulması ve tedavi süreçleriyle ilgili ve çalışanların özlük dosyasının oluşturulması gibi süreçlerde kanuni yükümlülük sebebiyle Veri Sorumlusu Klinik’in elde ettiği Özel Nitelikli Kişisel Veriler bakımından ise mevzuatta belirtilen şartlara uygun olarak veri işleme yapılmaktadır.

3.4. Hizmet Binası ve İnternet Sitesi Ziyaretçilerinin Kişisel Verilerinin İşlenmesi

Kliniğimiz tarafından hizmet kalitesini arttırmak, Klinik’in, Veri Sahibi’nin ve diğer kişilerin can ve mal güvenliğini sağlamak amacıyla, mevzuata uygun olarak Klinik binalarında ve tesislerinde güvenlik kamerasıyla izleme faaliyeti ile Kişisel Veri işleme faaliyetlerinde bulunulmaktadır.

Kliniğimiz tarafından Kanun’un 10. maddesine uygun olarak, kamera ile izleme faaliyetine ilişkin olarak Veri Sahibi aydınlatılmaktadır. Ayrıca, Klinik Kanun’un 4. maddesine uygun olarak, Kişisel Verileri amaçla bağlantılı, sınırlı ve ölçülü bir biçimde işlemektedir.

Güvenlik kameralarının izleme alanları, sayısı ve ne zaman izleme yapılacağı, güvenlik amacına ulaşmak için yeterli ve bu amaçla sınırlı olarak uygulamaya alınmaktadır. Kişinin mahremiyetini güvenlik amaçlarını aşan şekilde müdahale sonucu doğurabilecek alanlarda izlemeye tabi tutulmamaktadır.

Klinik’in internet sitesini ziyaret eden Veri Sahiplerinin kullanım kalitesini arttırmak ve aramalarına özelleştirilmiş içerikler sunabilmek amacıyla Klinik tarafından kullanılan çerezler vasıtasıyla internet sitesi ziyaretçilerinin bir kısım Kişisel Verileri işlenebilmektedir. Klinik tarafından yürürlüğe konulan “Çerez Politikası” içerisinde çerez kullanımı ile ilgili detaylara yer verilmiştir.

Klinik hizmet binası içerisinde Klinik’in internet erişiminden faydalanmak isteyen ziyaretçilere ait log kayıtları 5651 sayılı Kanun ve KVKK başta olmak üzere ilgili sair mevzuat uyarınca Klinik tarafından kayıt altına alınabilir. İşbu kayıtlar yetkili adli ve idari kamu kurum ve kuruluşlarının talebi üzerine Üçüncü Kişi resmi kuruluşlar ile paylaşılabilmektedir.

4. KİŞİSEL VERİLERİN SAKLANMASI, SİLİNMESİ, YOK EDİLMESİ ve ANONİM HALE GETİRİLMESİ

Kişisel Verilerin saklanması ve imhasına ilişkin usul ve esaslar ile saklama süreleri Klinik tarafından yürürlüğe sokulan “Kişisel Veri Saklama ve İmha Politikası’nda” yer almaktadır. Verilerin güvenli bir şekilde muhafaza edilmesi Kliniğimiz için önceliklidir. Bu çerçevede verilerin nitelik ve niceliğine göre uygun güvenlik önlemlerinin alınması sağlanmakta ve düzenli güvenlik denetimleri yapılmaktadır.

Klinik tarafından mevzuata uygun olarak işlenen Kişisel Veriler, mevzuatta öngörülen ve/veya işlenmelerini gerektiren amaca uygun süre boyunca saklanmakta olup işbu süre sonunda re’sen veya ilgili Veri Sahibi’nin talebi üzerine silinmekte, yok edilmekte veya anonim hale getirilmektedir.

Prensip olarak verilerin Klinik merkezinde toplanması Veri Koruma Görevlisi sorumluluğunda burada muhafaza edilmesi esastır. Veri fiziksel ya da dijital ortamda muhafaza edilebilmekte, gerektiğinde Üçüncü Kişi hizmet sağlayıcılardan bu konuda hizmet alınabilmektedir. Veri güvenliği için gerekli fiziksel ve teknolojik altyapının oluşturulması Veri Koruma Görevlisi’nin sorumluluğundadır.

Veri Koruma Görevlisi, işin yürütümü için söz konusu çalışanın veriyi işlemeye devam etmesi gerekmedikçe iletimden sonra çalışanın elindeki verileri sildiğinden emin olmakla, bunun için gerekli denetimleri düzenli olarak yapmakla yükümlüdür.

Veri Koruma Görevlisi verilerin doğru ve güvenli bir şekilde muhafazası, işin gereği nedeni ile zorunlu olmadıkça diğer çalışanlar da dahil Üçüncü Kişilerin erişiminin engellenmesi için gereken her türlü önlemi almaktadır. Verilerin güvenliği için alınması gereken ek tedbirler varsa Veri Koruma Görevlisi derhal Mesul Müdür’ü bilgilendirmektedir.

ÖNV’ler sınırlı sayıda kişinin erişimi olan ayrı bir kilitli dolapta tutulur.  Gerek çalışanlara gerek hastalara ait sağlık verileri ise, sır saklama yükümlülüğü altında bulunan ilgili Veri Koruma Görevlileri tarafından kilitli yanmaz dolaplarda muhafaza altında tutulur.

5. KİŞİSEL VERİLERİN KORUNMASI AMACIYLA ALINAN İDARİ VE TEKNİK TEDBİRLER

Kliniğimiz, Kanun’un 12. maddesi uyarınca, Kişisel Verilerin hukuka aykırı olarak açıklanmasını, işlenmesini, erişimini, aktarılmasını veya başka şekillerde meydana gelebilecek güvenlik eksikliklerini önlemek için, korunacak verinin niteliğine göre gerekli tedbirlerini almaktadır. Bu kapsamda Kliniğimiz, mevzuata ve Kurul tarafından yayımlanmış olan rehberlere uygun olarak uygun güvenlik düzeyini sağlamaya yönelik idari tedbirleri almakta, denetimleri yapmakta veya yaptırmaktadır.

Bu anlamda, ilgili Departman Veri Koruma Görevlileri de dahil olmak üzere tüm çalışanlardan alınan taahhütnameler, gizlilik sözleşmeleri, Veri İşleyenlere aktarılan Kişisel Veriler bakımından imzalanan veri aktarım protokolleri, Kanun uyarınca Veri Sahiplerinin bilgilerine sunmak üzere hazırlanan Aydınlatma ve Açık Rıza metinleri ve Klinik tarafından yürürlüğe konulan Kişisel Verilerin korunması ve işlenmesi ile ilgili tüm politika ve prosedürler, Klinik tarafından idari tedbir olarak benimsenmiştir.

Faaliyet alanı sebebiyle ÖNV işleyen Klinik, Kurum tarafından öngörülen “özel nitelikli kişisel verilerin korunmasına dair gerekli her türlü idari ve teknik önlemi almış olup; gelişen teknoloji ve değişen mevzuat hükümleri çerçevesinde ileriki dönemlerde de ÖNV’lerin korunmasına yönelik gerekli güncellemeleri yaparak her türlü teknik ve idari tedbiri alacaktır. ÖNV’ler sınırlı sayıda kişinin erişimi olan ayrı bir kilitli dolapta tutulur.  Gerek çalışanlara gerek hastalara ait sağlık verileri ise, sır saklama yükümlülüğü altında bulunan ilgili Veri Koruma Görevlileri tarafından kilitli yanmaz dolaplarda muhafaza altında tutulur.

Klinik’in Kişisel Verilerin güvenliği elektronik ortamda yazılımlar, virüs programları ve diğer bilgi teknoloji sistemleri ile; fiziksel ortamda ise kilitli dolaplarda saklanarak her halükarda verilere erişim sınırlı tutularak sağlanmaktadır.

Verilerin 3.kişilerle paylaşıldığı durumlarda bu 3.kişilerin veri güvenlik politika ve teknik yeterlilikleri de ayrıca düzenli olarak denetlenmektedir.

Veri güvenliğinin sağlanabilmesi için alınması gereken ek önlemlerin ortaya çıkması durumunda derhal Mesul Müdür’e bilgi verilmektedir.

Yukarıda belirtilen işlerin teknik anlamda yapılması ve takibi için gerektiğinde teknik tedbirler konusunda harici danışmanlardan destek alınmaktadır.

6. İŞ BİRİMLERİNİN KİŞİSEL VERİLERİN İŞLENMESİ VE KORUNMASI KONUSUNDA FARKINDALIKLARININ ARTTIRILMASI

Kişisel Verilerin hukuka uygun bir şekilde işlenmesinin Klinik içerisinde sürdürülebilir hale gelmesi amacı ile Klinik çalışanlarına işe girişte Kişisel Verilerin korunmasına dair farkındalık eğitimi verilmektedir. Yeni istihdam edilen çalışanların bu eğitimi aldığından emin olunmadan işbaşı yaptırılması mümkün değildir.

Mevcut çalışanlara ise başlangıçta verilecek farkındalık eğitimine ek olarak, düzenli periyotlar halinde Kişisel Verilerin korunması alanında meydana gelen gelişmeler sunulmakta ve gerekli hatırlatmalar yapılmaktadır. Kurum tarafından, Veri Sorumlularından işledikleri Kişisel Verileri güncel tutmaları beklenildiğinden, çalışanlara belli aralıklarla Klinik’teki Kişisel Verilerini güncellemeleri için hatırlatmalar ve/veya duyurular yapılmaktadır.

7. KİŞİSEL VERİLERİN AKTARILMASI

7.1. Yurt İçinde Kişisel Verilerin Aktarımı

Kliniğimiz, Kişisel Verilerin aktarılması konusunda mevzuat, Kurul kararları ve ilgili düzenlemelere uygun olarak hareket etmekle yükümlüdür.

Verilerin Klinik’in faaliyetlerinin yürütülmesi için zorunlu olmadıkça, verilere erişimi zorunlu olan Klinik çalışanları hariç olmak üzere Kişisel Verilerin Klinik çalışanları ve Üçüncü Kişilerle paylaşılmaması esastır.

Klinik, KVKK ve ilgili mevzuatta belirtilen tüm güvenlik önlenmelerini alarak ve mevzuat ve düzenlemelere uygun olmak kaydı ile Kişisel Verileri kendi Departmanları arasında paylaşabilmekte; kendi iştiraklerine, grup Kliniklere; Türkiye’de bulunan diğer Üçüncü Kişilere aktarabilmektedir.

KVKK’nın 5.ve 6. maddelerinde sayılı ilgilinin rızası olmaksızın Kişisel Verilerin aktarımının mümkün olmasına ilişkin hususlar saklı kalmak üzere, Kişisel Verilerin KVKK veya ilgili mevzuat gereği idari ve adli kurum ve kuruluşlara aktarımını zorunlu kıldığı durumlar haricinde Kişisel Veriler Veri Sahibi’nin Açık Rızası olmaksızın başka kişilere aktarılmamaktadır.

• Kişisel Verilerin Klinik Organizasyonu Dışındaki Üçüncü Kişilerle Paylaşımı

Verilerin Üçüncü Kişilerle paylaşımı, paylaşım amacı, paylaşımda bulunulacak verilerin içeriği, paylaşım süresi, usulü Departman Veri Koruma Görevlisi tarafından Mesul Müdür’e yapılacak bildirim ve onun onayı sonrası yapılabilmektedir.

Üçüncü Kişiler tarafından veri güvenliğinin sağlanması, sonrasında verilerin silinmesi, verilerin doğru, sözleşme, mevzuat ve Klinik politikalarına uygun olarak işlenmesine yönelik denetimler Klinik tarafından yapılmaktadır.

• Kişisel Verilerin Klinik İçerisinde Paylaşımı

Klinik’in dahil olduğu grup içindeki diğer Kliniklerle ya da Klinik’in iştirakleri, pay sahibi olduğu diğer Kliniklerle veri paylaşımı ve Klinik ile veri paylaşılan diğer Klinik arasında organik bir bağ olsa dahi veri paylaşılan Klinik Üçüncü Kişi olarak değerlendirildiğinden “Verilerin Klinik Organizasyonu Dışındaki Üçüncü Kişilerle Paylaşımı” başlığında belirtilen tüm usul ve sınırlamalar grup içi Kliniklerle veri paylaşımında da dikkate alınmaktadır.

• Kişisel Verilerin Kamu Kurum ve Kuruluşları ile Paylaşılması

Kamu kurum ve kuruluşlarının ilgili mevzuat kapsamında talep ettikleri Kişisel Veriler, KVKK’nın 8. maddesi uyarınca Klinik tarafından paylaşılır. Bu halde Kişisel Verilerin kamu tüzel kişilikleri ile paylaşılması Veri Sorumlusu’nun hukuki yükümlülüğünü yerine getirmesi için zorunlu olduğundan, Kişisel Verilerin kamu tüzel kişilikleri ile paylaşımının herhangi bir sakınca doğurmadığı kabul edilmektedir.

7.2. Yurt Dışına Kişisel Verilerin Aktarımı

Kişisel verilerin Klinik’in faaliyetlerinin yürütülmesi için zorunlu olmadıkça, yurt dışına aktarılmaması esastır. Hal böyle olmakla birlikte Klinik, KVKK ve ilgili mevzuatta öngörülen şartlara uygun ve gerekli güvenlik tedbirlerini alarak ve ilgili kişinin açık rızasını alarak kişisel verileri yurt dışına aktarabilir. Yurt dışına aktarım bu bildirimin Mesul Müdür tarafından uygun bulunması ve gerekli yasal yükümlülüklerin yerine getirilmesi ile birlikte yapılabilmektedir.

İlgili Kişi’nin Açık Rızası’nın aranmadığı haller için, Kişisel Veri’nin aktarılacağı ülkenin “güvenli ülke” statüsünde olması ve yeterli korumayı sağlaması şartı aranmaktadır. Kurul tarafından veri aktarılan ülkenin güvenli ülke statüsünde sayılmadığı durumlar için, Kurul izni ile birlikte yeterli korumayı taahhüt edecek bir veri aktarım protokolü imzalanmaktadır. Açık Rıza olmaksızın güvenli ülke statüsünde bulunmayan bir ülkeye aktarım yapılmaması esas olmakla birlikte bunun zorunlu olması halinde süreç bizzat Mesul Müdür’ün katılımı ile yürütülmektedir.

Üçüncü Kişiler tarafından veri güvenliğinin sağlanması, sonrasında verilerin silinmesi, verilerin doğru olarak, sözleşme,  mevzuat ve Klinik politikalarına uygun olarak işlenip işlenmediği Veri Koruma Görevlisi tarafından denetlenmektedir. Şüphe uyandıran bir durum olması halinde Veri Koruma Görevlisi derhal Mesul Müdür’e konuyla ilgili bildirimde bulunur.

8. KİŞİSEL VERİLERİ İŞLENEN KİŞİNİN HAKLARI

Kişisel verileri Klinik tarafından işlenen gerçek kişi veri sahipleri, Klinik’e info@confident.net Adresinden başvurarak aşağıdaki haklarını kullanabilirler:

• Kişisel Verilerinin işlenip işlenmediğini öğrenme,
• Kişisel Verileri işlenmişse, bu işlemenin yapısına ilişkin bilgi talep etme ve kime ifşa edildiğini öğrenme,
• Kişisel Verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
• Yurt içinde veya yurt dışında Kişisel Verilerin aktarıldığı Üçüncü Kişileri bilme ve bu yönde yapılan işlemin Üçüncü Kişilere bildirilmesini isteme,
• Kişisel Verilerinin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini ve bu düzeltme halinin Üçüncü Kişilere bildirilmesini isteme,
• Kişisel Verilerinin işlenmesini gerektiren sebeplerin ortadan kalkması halinde Kişisel Verilerin silinmesini veya yok edilmesini isteme,
• Kişisel Verilerin işlenmesinde kendisi aleyhine bir sonucun ortaya çıkması halinde itiraz etme,
• Kişisel Verilerin Kanun’a aykırı olarak işlenmesi sebebiyle zarara uğraması halinde zararın giderilmesini isteme.

Veri Sahibi’nin talepleri kabul edildiği takdirde talebin niteliğine göre ve en geç otuz gün içerisinde gereği yerine getirilmektedir.

Veri Sahibi’nin talepleri ücretsiz olarak sonuçlandırılır. Ancak, işlemin ayrıca bir maliyeti gerektirmesi halinde, Kurulca belirlenen tarifedeki ücret alınmaktadır. Başvurunun Klinik’in hatasından kaynaklanması halinde alınan ücret ilgiliye iade edilmektedir.

Veri Sahibi’nin talebi kabul edilmediği takdirde ret cevabı talebin niteliğine göre en geç otuz gün içerisinde gerekçesi açıklanarak yazılı veya elektronik ortamda Veri Sahibi’ne bildirilmektedir.

Kişisel Veri sahipleri, KVKK’nın 28. Maddesi gereğince aşağıdaki haller Kanun kapsamı dışında tutulduğundan bu konularda yukarıda sayılan haklarını ileri süremezler:

• Kişisel Verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi.
• Kişisel Verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi.
• Kişisel Verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi.
• Kişisel Verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi.

9. KİŞİSEL VERİ İHLALLERİNDE UYGULANACAK PROSEDÜR

Herhangi bir nedenle verilerin kaybolması, işbu Politika veya ilgili mevzuat hükümlerine aykırı olarak Üçüncü Kişi’nin eline geçmesi, verilerle ilgili mevzuata aykırı bir durumun varlığının tespit edilmesi halinde derhal bağlı bulunulan Veri Koruma Görevlisi durumdan haberdar edilmektedir.

İlgili Veri Koruma Görevlisi durumu derhal Mesul Müdür’e bildirecek ve Veri Koruma Görevlisi ile Mesul Müdür mevzuat ve fiilini durumun gereklerini dikkate alarak gerekli tedbirlerin alınması için gereken çalışmayı yapmaktadır.

Kanun’un 12. maddesinde işlenen Kişisel Verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, Veri Sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirmektedir. Kurulun, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebileceği hükme bağlanmıştır.

Kurulca yapılan inceleme sonucunda, ihlalin varlığının anlaşılması halinde hukuka aykırılıkların giderilmesine karar verildiği takdirde, kararın tebliğinden itibaren gecikmeksizin ve en geç otuz gün içerisinde kararın gerekleri yerine getirilmektedir.

Veri ihlal bildirimlerinde, Kurula ve ihlalden etkilenmiş kişilere bildirim yapılmasındaki amacın, ihlal nedeniyle bu kişiler hakkında ortaya çıkabilecek olumsuz sonuçların bir an önce önüne geçilmesi veya en aza indirilmesine imkân verecek önlemler alınmasını sağlamaktır.

Bu kapsamda Mesul Müdür ihlali öğrendiği tarihten itibaren gecikmeksizin ve en geç 72 saat içinde Kurula bildirmektedir, söz konusu veri ihlalinden etkilenen kişilerin belirlenmesini müteakip İlgili Kişilere de makul olan en kısa süre içerisinde, İlgili Kişi’nin iletişim adresine ulaşılabiliyorsa doğrudan, ulaşılamıyorsa Veri Sorumlusu’nun kendi web sitesi üzerinden yayımlanması gibi uygun yöntemlerle bildirim yapılmaktadır.

Veri Sorumlusu tarafından Kurula haklı bir gerekçe ile 72 saat içinde bildirim yapılamaması halinde, yapılacak bildirimle birlikte gecikmenin nedenleri de Kurula açıklanmaktadır.

Kuruldan gelen her türlü talep ve bildirim derhal Mesul Müdür ile paylaşılır. Mesul Müdür uygun görmesi halinde durumu derhal Klinik hukuk danışmanlarına iletir. İncelenmek üzere Kurulca istenmiş olan bilgi ve belgelerin on beş gün içinde gönderilmesi ve gerektiğinde yerinde inceleme yapılmasına imkân sağlanması zorunludur.

10. UYUMLULUK DENETİMİ

Klinik’in tüm iş birimleri için Veri Koruma Görevlileri tarafından düzenli olarak Kişisel Verilerin Korunması Kanunu’na uyumluluk denetimi yapılmaktadır. Yapılan denetimlerde tespit edilen eksiklik veya hatalar gerekli aksiyonun benimsenmesi suretiyle makul sürede giderilir.

Yıllık bazda Kişisel Verilerin korunmasına ilişkin uyumluluk denetimi, Klinik’in hukuk danışman(lar)ının desteği ile yapılmaktadır. İşbu yıllık denetimler sonucunda Klinik’in hali hazırda mevcut politika ve prosedürlerinde güncelleme yapılır ve eksiklik/hata tespit edilen hususlar için gerekli önlemlerin alınması sağlanır.

11. YÜRÜRLÜK

İşbu Politika, yayım tarihinde yürürlüğe girer. Veri Koruma görevlileri, işbu Politika’nın uygulanmasından sorumludur. Politika, ilgili Kanun, mevzuat, Kurul kararları ile meydana gelen değişiklikler, gelişmeler göz önünde bulundurularak gözden geçirilir, gerektiğinde değişiklikler yapılarak güncellenir. Bu değişiklikler, Klinik tarafından uygun kanallarla duyurulur.