Hasta Aydınlatma Metni
6698 SAYILI KİŞİSEL VERİLERİN KORUNMASI KANUNU ("KVKK") UYARINCA
KİŞİSEL VERİLERİN KORUNMASI HAKKINDA MÜŞTERİ (HASTA) AYDINLATMA METNİ
Ad – Soyad :
TC No :
Adres :
1-Azaderm Sağlık Hizmetleri Ltd. Şti. (Poliklinik) KVKK’nın 3’üncü maddesine göre “Veri Sorumlusu” sıfatına haiz olup Hasta ve Hasta Yakınlarının (Refakatçi, Veli, Vasi vb.) potansiyel hasta ve konuklarımızın, ve onların yakınlarının, internet sitesi ziyaretçilerimizin, tedarikçilerimizin ve hizmet sağlayıcılarımız ile onların çalışan/yetkilileri ve diğer üçüncü kişiler için kişisel verilerinin mevzuatımızla uyumlu bir şekilde işlenmesi ve korunması konusunda azami özen göstermekteyiz. İşbu aydınlatma metni, Hastane’nin, 6698 Sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) uyarınca, hastane içi “aydınlatma yükümlülüğü” nün yerine getirilmesi için düzenlenmiştir.
Azaderm Sağlık Hizmetleri Ltd. Şti. gizlilik ve kişisel verilerin işlenmesi politikası ve detaylarına https://www.akifmehmetoglu.com/tr/kvkk-aydinlatma-metni/ adresinden her zaman ulaşabilirsiniz.
-Kişisel Veriler
Bu kapsamda tüm tıbbî teşhis, muayene, tedavi ve bakım hizmetlerinin yürütülmesi için gerekli olan ve bu amaçla elde edilen kişisel sağlık verisi başta olmak üzere, başlıca genel ve özel nitelikli kişisel veriler aşağıda sıralanmıştır;
- Kimlik Bilgileriniz: Ad, Soyad, T.C. Kimlik Numarası, Türk vatandaşı olmamanız halinde pasaport numarası veya geçici T.C. kimlik numarası, doğum yeri ve tarihi, medeni halin, cinsiyet bilginiz gibi kimlik verileriniz ve ibraz ettiğiniz T.C. Kimlik Kartı ya da Ehliyet fotokopiniz,
- İletişim Bilgileriniz: Adresi, Telefon numarası, Elektronik posta adresi
- Finans Bilgileriniz: Banka hesap numarası veya IBAN numarası
- Sağlık Bilgileriniz: Laboratuvar ve görüntüleme sonuçlarınız, test sonuçlarınız, muayene verileriniz, reçete bilgileriniz gibi tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi sırasında elde edilen sağlık ve cinsel hayata ilişkin verileriniz,
- Hukuki İşlem Bilgileriniz: Adli makamla yazışmalar ve dava dosyasındaki bilgiler
- Biyometrik Bilgileriniz: SGK mevzuatı gereği alınan avuç içi tarama kayıtlarınız
- Hasta İşlem Bilgileri: Sağlık hizmetlerinin finansmanı ve planlaması amacıyla özel sağlık sigortasına ilişkin verileriniz ve Sosyal Güvenlik Kurumu verileriniz Hizmetlerimizi değerlendirmek amacı ile paylaştığınız yanıt ve yorumlarınız,
- Görüntü ve Ses Kayıtlarınız: Polikliniğimizi ziyaretiniz sırasında alınan kapalı devre kamera sistemi görüntüsü ve ses kayıtlarınız
- Haberleşme Kayıtlarınız: Çağrı Merkezimiz (call-center) ile iletişime geçtiğiniz takdirde tutulan sesli görüşme kayıtlarınız, WhatsApp, E-posta, SMS ve sair sosyal medya, dahil dijital yazışma ve haberleşmeleriniz.
- Web sitemiz ve mobil uygulamamızın kullanımı sırasında elde edilen gezinme bilgileri, IP adresi, tarayıcı bilgileri ve kendi rızanız ile ilettiğiniz tıbbi belgeler, anketler, form bilgileriniz ve konum verileriniz.
KAYIT ORTAMLARI
Kişisel veriler, poliklinik tarafından hukuka uygun olarak güvenli bir şekilde saklanır.
-Elektronik Ortamlar
- (Etki alanı, yedekleme, e-posta, veritabanı, web, dosya paylaşım, vb.)
- Yazılımlar (ofis yazılımları, portal, EBYS, VERBİS.)
- Bilgi güvenliği cihazları (güvenlik duvarı, saldırı tespit ve engelleme, günlük kayıt dosyası, antivirüs vb.)
- Kişisel bilgisayarlar (Masaüstü, dizüstü)
- Mobil cihazlar (telefon, tablet vb.)
- Optik diskler (CD, DVD vb.)
- Çıkartılabilir bellekler (USB, Hafıza Kart vb.)
- Yazıcı, tarayıcı, fotokopi makinesi
-Elektronik Olmayan Ortamlar Sunucular
- Kâğıt
- Manuel veri kayıt sistemleri (anket formları, ziyaretçi giriş defteri)
- Yazılı, basılı, görsel ortamlar
2- SAKLAMAYI GEREKTİREN İŞLEME AMAÇLARI
Poliklinik, faaliyetleri çerçevesinde işlemekte olduğu kişisel verileri aşağıdaki amaçlar doğrultusunda saklar.
- İnsan kaynakları süreçlerini yürütmek.
- Kurumsal iletişimi sağlamak.
- Kurum güvenliğini sağlamak,
- İstatistiksel çalışmalar yapabilmek.
- İmzalanan sözleşmeler ve protokoller neticesinde iş ve işlemleri ifa edebilmek.
- VERBİS kapsamında, çalışanlar, veri sorumluları, irtibat kişileri, veri sorumlusu temsilcileri ve veri işleyenlerin tercih ve ihtiyaçlarını tespit etmek, verilen hizmetleri buna göre düzenlemek ve gerekmesi halinde güncellemek.
- Yasal düzenlemelerin gerektirdiği veya zorunlu kıldığı şekilde, hukuki yükümlülüklerin yerine getirilmesini sağlamak.
- Kurum ile iş ilişkisinde bulunan gerçek / tüzel kişilerle irtibat sağlamak.
- Yasal raporlamalar yapmak.
- Çağrı merkezi süreçlerini yönetmek.
- İleride doğabilecek hukuki uyuşmazlıklarda delil olarak ispat yükümlülüğü.
İMHAYI GEREKTİREN SEBEPLER
Kişisel veriler;
- İşlenmesine esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası,
- İşlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,
- Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin açık rızasını geri alması,
- Kanunun 11 inci maddesi gereği ilgili kişinin hakları çerçevesinde kişisel verilerinin silinmesi ve yok edilmesine ilişkin yaptığı başvurunun Kurum tarafından kabul edilmesi,
- Polikliniğin, ilgili kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabı yetersiz bulması veya Kanunda öngörülen süre içinde cevap vermemesi hallerinde; Kurula şikâyette bulunması ve bu talebin Kurul tarafından uygun bulunması,
- Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olması ve kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması, durumlarında, Kurum tarafından ilgili kişinin talebi üzerine silinir, yok edilir ya da re’sen silinir, yok edilir veya anonim hale getirilir.
TEKNİK VE İDARİ TEDBİRLER
Kişisel verilerin güvenli bir şekilde saklanması, hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi ile kişisel verilerin hukuka uygun olarak imha edilmesi için Kanunun 12 nci maddesiyle Kanunun 6 ncı maddesi dördüncü fıkrası gereği özel nitelikli kişisel veriler için Kurul tarafından belirlenerek ilan edilen yeterli önlemler çerçevesinde Kurum tarafından teknik ve idari tedbirler alınır.
-Teknik Tedbirler
Poliklinik tarafından, işlediği kişisel verilerle ilgili olarak alınan teknik tedbirler aşağıda sayılmıştır:
- Sızma (Penetrasyon) testleri ile Polikliniğimiz bilişim sistemlerine yönelik risk, tehdit, zafiyet ve varsa açıklıklar ortaya çıkarılarak gerekli önlemler alınmaktadır.
- Bilgi güvenliği olay yönetimi ile gerçek zamanlı yapılan analizler sonucunda bilişim sistemlerinin sürekliliğini etkileyecek riskler ve tehditler sürekli olarak izlenmektedir.
- Bilişim sistemlerine erişim ve kullanıcıların yetkilendirilmesi, erişim ve yetki matrisi ile kurumsal aktif dizin üzerinden güvenlik politikaları aracılığı ile yapılmaktadır.
- Poliklinik bilişim sistemleri teçhizatı, yazılım ve verilerin fiziksel güvenliği için gerekli önlemler alınmaktadır.
- Çevresel tehditlere karşı bilişim sistemleri güvenliğinin sağlanması için, donanımsal (sistem odasına sadece yetkili personelin girişini sağlayan erişim kontrol sistemi, 7/24 çalışan izleme sistemi, yerel alan ağını oluşturan kenar anahtarların fiziksel güvenliğinin sağlanması, yangın söndürme sistemi, iklimlendirme sistemi vb.) ve yazılımsal (güvenlik duvarları, atak önleme sistemleri, ağ erişim kontrolü, zararlı yazılımları engelleyen sistemler vb.) önlemler alınmaktadır.
- Kişisel verilerin hukuka aykırı işlenmesini önlemeye yönelik riskler belirlenmekte, bu risklere uygun teknik tedbirlerin alınması sağlanmakta ve alınan tedbirlere yönelik teknik kontroller yapılmaktadır.
- Poliklinik içerisinde erişim prosedürleri oluşturularak kişisel verilere erişim ile ilgili raporlama ve analiz çalışmaları yapılmaktadır.
- Kişisel verilerin bulunduğu saklama alanlarına erişimler kayıt altına alınarak uygunsuz erişimler veya erişim denemeleri kontrol altında tutulmaktadır.
- Poliklinik, silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması için gerekli tedbirleri almaktadır.
- Kişisel verilerin hukuka aykırı olarak başkaları tarafından elde edilmesi halinde bu durumu ilgili kişiye ve Kurula bildirmek için Poliklinik tarafından buna uygun bir sistem ve altyapı oluşturulmuştur.
- Güvenlik açıkları takip edilerek uygun güvenlik yamaları yüklenmekte ve bilgi sistemleri güncel halde tutulmaktadır.
- Kişisel verilerin işlendiği elektronik ortamlarda güçlü parolalar kullanılmaktadır.
- Kişisel verilerin işlendiği elektronik ortamlarda güvenli kayıt tutma (loglama) sistemleri kullanılmaktadır.
- Kişisel verilerin güvenli olarak saklanmasını sağlayan veri yedekleme programları kullanılmaktadır.
- Elektronik olan veya olmayan ortamlarda saklanan kişisel verilere erişim, erişim prensiplerine göre sınırlandırılmaktadır.
- Poliklinik internet sayfasına erişimde güvenli protokol (HTTPS) kullanılarak SHA 256 Bit RSA algoritmasıyla şifrelenmektedir.
- Özel nitelikli kişisel verilerin güvenliğine yönelik ayrı politika belirlenmiştir.
- Özel nitelikli kişisel veri işleme süreçlerinde yer alan çalışanlara yönelik özel nitelikli kişisel veri güvenliği konusunda eğitimler verilmiş, gizlilik sözleşmeleri yapılmış, verilere erişim yetkisine sahip kullanıcıların yetkileri tanımlanmıştır.
- Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği elektronik ortamlar kriptografik yöntemler kullanılarak muhafaza edilmekte, kriptografik anahtarlar güvenli ortamlarda tutulmakta, tüm işlem kayıtları loglanmakta, ortamların güvenlik güncellemeleri sürekli takip edilmekte, gerekli güvenlik testlerinin düzenli olarak
– İdari Tedbirler
Poliklinik tarafından, işlediği kişisel verilerle ilgili olarak alınan idari tedbirler aşağıda sayılmıştır:
- Çalışanların niteliğinin geliştirilmesine yönelik, kişisel verilerin hukuka aykırı olarak işlenmenin önlenmesi, kişisel verilerin hukuka aykırı olarak erişilmesinin önlenmesi, kişisel verilerin muhafazasının sağlanması, iletişim teknikleri, teknik bilgi beceri, 657 sayılı Kanun ve ilgili diğer mevzuat hakkında eğitimler verilmektedir.
- Poliklinik tarafından yürütülen faaliyetlere ilişkin çalışanlara gizlilik sözleşmeleri imzalatılmaktadır.
- Güvenlik politika ve prosedürlerine uymayan çalışanlara yönelik uygulanacak disiplin prosedürü hazırlanmıştır.
- Kişisel veri işlemeye başlamadan önce Poliklinik tarafından, ilgili kişileri aydınlatma yükümlülüğü yerine getirilmektedir.
- Poliklinik içi periyodik ve rastgele denetimler yapılmaktadır.
- Çalışanlara yönelik bilgi güvenliği eğitimleri verilmektedir.
8- KİŞİSEL VERİLERİN İMHA, YOK ETME VE SİLİNMESİ
Çalışanlar tarafından müşterilere(hastalara), çalışanlara, şirket ile dışarıdan çalışan üçüncü kişilere (avukatlar, muhasebeciler vs…) ait elde edilen ve saklanan kişisel verilerin saklanması gereken süresinin dolması, çalışanın işten ayrılması, veri sahibi veya işverenin talebi üzerine silinir, yok edilir, imha edilir veya anonim hale getirilir.
9-KİŞİSEL VERİLERİN SİLİNMESİ
Sunucularda Yer Alan Kişisel Veriler : Sunucularda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler için sistem yöneticisi tarafından ilgili kullanıcıların erişim yetkisi kaldırılarak silme işlemi yapılır.
Elektronik Ortamda Yer Alan Kişisel Veriler : Elektronik ortamda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, veritabanı yöneticisi hariç diğer çalışanlar (ilgili kullanıcılar) için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir.
Fiziksel Ortamda Yer Alan Kişisel Veriler : Fiziksel ortamda tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler için evrak arşivinden sorumlu birim yöneticisi hariç diğer çalışanlar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. Ayrıca, üzeri okunamayacak şekilde çizilerek/boyanarak/silinerek karartma işlemi de uygulanır.
Taşınabilir Medyada Bulunan Kişisel Veriler : Flash tabanlı saklama ortamlarında tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler, sistem yöneticisi tarafından şifrelenerek ve erişim yetkisi sadece sistem yöneticisine verilerek şifreleme anahtarlarıyla güvenli ortamlarda saklanır.
-KİŞİSEL VERİLERİN YOK EDİLMESİ
Fiziksel Ortamda Yer Alan Kişisel Veriler : Kâğıt ortamında yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, kâğıt kırpma makinelerinde geri döndürülemeyecek şekilde yok edilir.
Optik / Manyetik Medyada Yer Alan Kişisel Veriler : Optik medya ve manyetik medyada yer alan kişisel verilerden saklanmasını gerektiren süre sona erenlerin eritilmesi, yakılması veya toz haline getirilmesi gibi fiziksel olarak yok edilmesi işlemi uygulanır. Ayrıca, manyetik medya özel bir cihazdan geçirilerek yüksek değerde manyetik alana maruz bırakılması suretiyle üzerindeki veriler okunamaz hale getirilir.
10-KİŞİSEL VERİLERİN ANONİM HALE GETİRİLMESİ
Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.
Kişisel verilerin anonim hale getirilmiş olması için; kişisel verilerin, veri sorumlusu veya üçüncü kişiler tarafından geri döndürülmesi ve/veya verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekir.