CEYHAN ÖZEL SAĞLIK HİZMETLERİ SAN. VE TİC. LTD. ŞTİ.

 

 

 

KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASI

 

 

 

 

Belge İsmi:Ceyhan Özel Sağlık Hizmetleri San.ve Tic. Ltd. Şti.Kişisel Verilerin Korunması ve İşlenmesi Politikası

 

Hedef Kitle:Ceyhan Özel Sağlık Hizmetleri San.ve Tic. Ltd. Şti.tarafından kişisel verileri işlenenCeyhan Özel Sağlık Hizmetleri San.ve Tic. Ltd. Şti.’nin çalışanları dışındaki tüm gerçek kişiler

 

Hazırlayan:Ceyhan Özel Sağlık Hizmetleri San.ve Tic. Ltd. Şti. Kişisel Verilerin Korunması Komitesi

 

Versiyon:1.0

 

Onaylayan:Ceyhan Özel Sağlık Hizmetleri San.ve Tic. Ltd. Şti. tarafından onaylanmıştır.

 

© Ceyhan Özel Sağlık Hizmetleri San.ve Tic. Ltd. Şti., 2021

Ceyhan Özel Sağlık Hizmetleri San.ve Tic. Ltd. Şti.’ninyazılı izni olmaksızın bu belge çoğaltılıp dağıtılamaz.

• ​

 

1.     GİRİŞ  1

1.1. Amaç  1

1.2.Kapsam   1

1.3   . Dayanak  1

1.4   . Tanımlar  2

ifade eder. 3

2.     KİŞİSEL VERİLERİN KORUNMASIKONULARI  3

2.1. Kişisel Verilerin GüvenliğininSağlanması 3

2.2. Özel Nitelikli Kişisel VerilerinKorunması 3

2.3. KişiselVerilerin Korunmasiveİşlenmesi Bilincinin  Geliştirilmesi 4

3. KİŞİSEL VERİLERİN İŞLENMESİ  4

3.1. Kişisel Verilerin Mevzuata Uygun İşlenmesi 4

3.2.Kişisel Verilerin İşlenmeŞartları 4

3.3. Özel Nitelikli Kişisel Verilerinİşlenmesi 5

3.4. Kişisel Veri SahibininAydınlatılması 7

3.5. Kişisel VerilerinAktarılması 7

4. İŞLENENKİŞİSELVERİLERİNKATEGORİZASYONU VE İŞLENMEAMAÇLARI  8

5. KİŞİSEL VERİLERİN KORUNMASINA İLİŞKİN ALINAN ÖNLEMLER   9

6.KİŞİSEL VERİLERİN SAKLANMASI VEİMHASI  9

7.KİŞİSEL VERİ SAHİPLERİNİN HAKLARI VE BU HAKLARINKULLANILMASI  9

7.1. Kişisel Veri SahibininHakları 9

7.2. Kişisel Veri Sahibinin HaklarınıKullanması 9

7.3. Başvurulara Cevap Verilmesi 10

7.4. Kişisel Veri Sahibi Başvurusunun Reddedilmesi 10

8.YÜRÜTME   10

9. YÜRÜRLÜK ve İLANI  10

EK 1 – Kişisel VeriSahipler 12

EK 2 – Kişisel VeriKategorileri 12

EK 3 – Kişisel Veri İşlemeAmaçları 15

EK 4 –Kişisel Verilerin Aktarıldığı Üçüncü Kişiler ve AktarılmaAmaçları 17

 

 

CEYHAN ÖZEL SAĞLIK HİZMETLERİ SAN. VE TİC. LTD. ŞTİ.

KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASI

 

1. GİRİŞ

Ceyhan Özel Sağlık Hizmetleri San.ve Tic. Ltd. Şti. (“Nefrodost”) olarak, faaliyetimizi yürütürken 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) ve Kişisel Sağlik Verileri Hakkinda Yönetmelik (“Yönetmelik”)kapsamında kişisel verileri, özenle işleyerek korumaktayız. Kişisel Verilerin Korunması ve İşlenmesi Politikası (“Politika”) ile Nefrodost süreç ve uygulamalarıKanun’a uyumlulaştırılarak, sağlık hizmetlerinin daha etkin ve verimli sunulması sağlanılmaktadır.Diğer taraftan veri sorumlusu sıfatıyla, özel hayatın gizliliği, temel hak ve özgürlüklerin korunmasına önem verilmektedir.

1. Amaç

Politika’nın amacı,Nefrodost’un Kanun’caöngörülen düzenlemelere ilişkin uyulacak usul ve esasları düzenlemek, kişisel veri   sahiplerini bilgilendirerek gerekli şeffaflığı sağlamaktır.Politika ile Nefrodost kişisel verileri işleme amaçları ve bu faaliyetleri gerçekleştirecek birimler belirlenmekte, kişisel verilerin işlenmesi ve korunması için gerekli idari ve teknik önlemler alınmakta, iç prosedürler oluşturulmakta;hissedarlar, yetkililer, çalışanlar ve iş ortaklarının Kanun süreçlerine uyumları için gerekli tüm önlemler alınarak uygun ve etkin denetim mekanizmaları kurulmaktadır.

1.2.Kapsam

Nefrodostiş süreçlerinde, hasta ile yakını ve refakatçi, çalışan, çalışan adayı, ziyaretçi, hissedar, tedarikçi yetkilisi, Merkez yetkilisi,  internet sitesini ziyaret eden kullanıcı ve diğer kişilere ait otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen tüm kişisel verilerPolitika kapsamındadır. Kişisel veri sahiplerine (Ek-1)ilişkin veri kategorileri ve kişisel verileri (Ek-2), kişisel veri işleme amaçlarına (Ek-3) bağlı işlenmektedir. Veri kategorilerine gore işlenme amaçları ile veri konusu kişi grupları detaylarına https://verbis.kvkk.gov.tr/ adresinden Nefrodost alanında bildirilmektedir.Kişisel veriler, Kanun’un belirlediği standartlarda, Politika’ya bağlı üst düzey sorumluluk ve bilinciyle işlenmekte ve korunmaktadır.

1. . Dayanak

Politika,3359 sayılı Sağlık Hizmetleri Temel Kanunu, 663 sayılı Sağlık Bakanlığı ve Bağlı Kuruluşlarının Teşkilat ve Görevleri Hakkında Kanun Hükmünde Kararname, Ayakta Teşhis Ve Tedavi Yapılan Özel Sağlık Kuruluşları Hakkında Yönetmelik, Radyasyon Güvenliği Denetimleri ve Yaptırımları Yönetmeliği, 6698 sayılı Kişisel Verilerin Korunması Kanunu, Kişisel Sağlık Verilerinin İşlenmesi ve Mahremiyetinin Sağlanması Hakkında Yönetmelik, 1774 sayılı Kimlik Bildirme Kanununu, 4857 sayılı İş Kanunu, 6331 sayılı İş Sağlığı ve Güvenliği Kanunu, 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu, 4447 sayılı İşsizlik Sigortası Kanunu, 6102 sayılı Türk Ticaret Kanunu, 213 sayılı Vergi Usul Kanunu ve diğer yürürlüktebulunan ilgilimevzuata dayanmaktadır.YürürlüktekimevzuatvePolitika arasındauyumsuzluk olduğu hallerdeyürürlüktekimevzuatuygulanır. İlgilimevzuattarafındanöngörülen düzenlemeler bu Politika ileNefrodostuygulamalarına dönüştürülmektedir.

1.4. Tanımlar

Bu Politikada geçen;

AÇIK RIZA

Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı,

AÇIK SAĞLIK VERİSİ

Açık veri haline getirilen sağlık verisini,

AÇIK VERİ

Ücretsiz olarak veya hazırlanma maliyetini geçmeyecek şekilde internet üzerinden herkesin erişimine sunulan, üzerinde herhangi bir fikri mülkiyet hakkı bulunmayan ve herhangi bir amaçla serbestçe kullanılabilen, makineler tarafından okunabilen ve böylelikle diğer veriler ve sistemlerle birlikte çalışabilen, anonim hale getirilmiş veriyi,

ANONİM HALE GETİRME

Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini,

e-NABIZ

İlgili kişilerin sağlık verilerine kendilerinin, hekimlerin veya yetki verdikleri üçüncü kişilerin erişimini sağlayan, e-Devlet uygulamalarına uygun olarak Bakanlıkça kurulan sistemini,

İLGİLİ KULLANICI

Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişiyi,

İMHA EDİLME

Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesini,

KAYIT ORTAMI

Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortamı,

KİMLİKSİZLEŞTİRME

Kişisel verilerin; kimliği belirli veya belirlenebilir gerçek kişiyle ilişkilendirilememesi için teknik ve idari tedbirlerin alınması şartıyla ve farklı bir ortamda muhafaza edilen diğer verilerle bir araya getirilmeksizin ilgili kişiyle ilişkilendirilemeyecek şekilde işlenmesini,

KİŞİSEL SAĞLIK VERİSİ

Kimliği belirli ya da belirlenebilir gerçek kişinin fiziksel ve ruhsal sağlığına ilişkin her türlü bilgi ile kişiye sunulan sağlık hizmetiyle ilgili bilgileri,

KİŞİSEL VERİ

Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi,

KİŞİSEL VERİLERİN ANONİM HALE GETİRİLMESİ

Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini,

KİŞİSEL VERİLERİN İŞLENMESİ

Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması,aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi,

KİŞİSEL VERİLERİN SİLİNMESİ

Kişisel verilerin silinmesi; kişisel verilerin İlgili Kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesini,

KİŞİSEL VERİLERİN YOK EDİLMESİ

Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemini,

KURUL

Kişisel Verileri Koruma Kurulu

ÖZEL NİTELİKLİ KİŞİSEL VERİ

Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verilerini,

PERİYODİK İMHA

Kanun’da yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla re’sen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemini,

VERİ SAHİBİ / İLGİLİ KİŞİ

Kişisel verisi işlenen gerçek kişiyi,

VERİ SORUMLUSU

Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi,

ifade eder.

1. KİŞİSEL VERİLERİN KORUNMASIKONULARI

 

1. Kişisel Verilerin GüvenliğininSağlanması

Nefrodost,kişiselverilerinhukukaaykırıaçıklanmasını, erişimini, aktarılmasını veya başka şekillerde oluşabilecek güvenlik sorunlarını önlemekiçin, verininniteliğinegöre,Kanun’un12.maddesinde öngörülengerekliönlemlerialmaktadır.Nefrodost,KişiselVerileri KorumaKomitesitarafındanyayımlanmışolanrehberlereuygunolarakgereklikişisel veri güvenlik seviyesini sağlamak için tedbirler almakta, denetimlergerçekleştirmektedir.

1. Özel Nitelikli Kişisel VerilerinKorunması

Özel nitelikte olan, kişilere ait ırk,etnikköken,siyasidüşünce,felsefiinanç,din,mezhepveyadiğerinançlar,kılıkve kıyafet,dernek,vakıfyadasendikaüyeliği,sağlık,cinselhayat,cezamahkûmiyeti,güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetikverilerinkorunmasına yönelik alınan önlemler özenle uygulanmaktave gereklidenetimleryapılmaktadır.

Özelniteliklikişiselverilerinişlenmesiileilgiliayrıntılıbilgiye,Politika’nın3.3.maddesindeyerverilmiştir.

1. KişiselVerilerinKorunmasiveİşlenmesi Bilincinin  Geliştirilmesi

Nefrodost,kişiselverilerinhukukauygun işlenmesini,erişilmesini, verilerinmuhafazası ve hakları kullanmayayönelikbilincin geliştirilmesiiçinilgililere gerekli eğitimleri vermektedir.

Çalışanların kişisel verileri korumabilincini arttırmakiçin,Nefrodostgerekli iş süreçlerini oluşturmakta,ihtiyaç duyulması halindedanışmanlardan destek almaktadır.Uygulamada karşılaşılan eksiklikler veeğitimlerin sonucu Nefrodost yönetimi tarafındandeğerlendirilir. Yapılan bu değerlendirmeler ile ilgilimevzuattaki değişikliklere bağlı ihtiyaç duyulması halinde yeni eğitimlerdüzenlenebilir.

3.KİŞİSEL VERİLERİN İŞLENMESİ

3.1.Kişisel Verilerin Mevzuata Uygun İşlenmesi

Hasta takip program üzerindenSağlık Bakanlığı ve SGK ile güvenli veri alışverişi, hasta takipleri ve rutin seans işlemleri, laboratuar işlemleri, imza föyleri oluşturma, ilaç tedavi planı ve fatura düzenleme, e reçete ve ilaç takip sistemi üzerinde kişisel veriler işlenmektedir. Nefrodost kişisel veriler aşağıda sayılan ilkeler doğrultusunda mevzuata uygun işler.

1. HukukaveDürüstlükKuralınaUygunİşleme

     Kişiselverileriişfaaliyet alanlarının gerektirdiği ölçüde, bunlarla sınırlı, kişilerintemelhakveözgürlüklerinezararvermeyecek şekilde,genelgüvenvedürüstlük kuralınauygunolarakişlenir.

1. KişiselVerilerin Güncel ve DoğruveOlmasınıSağlama

İşlenenkişisel verilergüncel ve doğruşekilde tutmak için gerekli alınmakta sistemler.

1. Belirli,AçıkveMeşruAmaçlarlaİşleme

2.      yürütülen iş faaliyetlerinde,belirlenen ve açıklananmeşru amaçlara bağlı kişiselverilerişlenmektedir.

3. İşlendikleriAmaçlaBağlantılı,SınırlıveÖlçülüOlma

4.      Kişiselveriler,işfaaliyetleriningerektirdiğinitelikveölçüdetoplamakta, belirlenen amaçlara bağlı, sınırlı işlenmektedir.

5. GerekliOlanSüreKadarMuhafazaEtme

6. lgilimevzuattaöngörülenve kişisel verileri işlemeamacıiçin gerekliolanen azsürekadarmuhafazaedilmektedir.Öncelikleilgilimevzuattakişisel verilerinsaklanmasıiçinbirsüreöngörülmüş isebu süreye;öngörülmemiş isekişiselverilerişlendikleriamaçiçingerekli olansürekadarmuhafaza edilmektedir.Kişiselverilersaklamasürelerininsonundaperiyodikimha sürelerineveyaverisahibibaşvurusunauygunolarak,uygun yöntemlerle(silme,yoketme veya anonimleştirme) imhaedilmektedir.

3.2.Kişisel Verilerin İşlenmeŞartları

Kişiselverisahibininaçıkrızavermesidışındakişiselveriişlemefaaliyetiaşağıda belirtilen şartlardan yalnızca biri ya da birden fazla şarta dayanarak işlenebilir.Özelniteliklikişiselverilerin işlenmesi,Politika3.3. maddesinde  (Özel Nitelikli Kişisel Verilerin İşlenmesi) düzenlenen şartlara dayanır.

1. Kişisel Veri Sahibinin Açık RızasınınBulunması

Kişisel verilerin işlenmesi veri sahibinin açık rızasıyla yapılır. Kişisel veri sahibininaçık rızası: belirli bir konuda bilgilendirilerekve özgür iradesialınarak gerçekleşir.Aşağıdasıralananşartlarındanherhangibirininbulunmasıdurumundaveri sahibinin açık rızasına gerek kalmaksızın kişisel verilerişlenebilir.

1. KanunlardaAçıkçaDüzenlenmesi

Kanunlarda .

1. FiiliİmkânsızlıkSebebiyleİlgilininAçıkRızasınınAlınamaması

Fiiliimkânsızlıknedeniyle,rızasınıaçıklayamayacakdurumdaolanveyarızasınageçerlilik tanınamayacakolankişinin,kendisininyadabaşkabirkişininhayatıveyabedenbütünlüğünü korumakiçin,kişiselverisininişlenmesizorunluolmasıdurumundaverisahibininkişiselverileri işnebilir.

1. SözleşmeninKurulmasıveyaİfasıylaDoğrudanİlgiOlması

Kişiselverilerinişlenmesi, şartıyla verisahibininkişiselverileri işnebilir.

1. Nefrodost’unHukukiYükümlülüğünüYerineGetirmesi

2.      ,hukukiyükümlülükleriyerinegetirirken,kişisel veri işlemezorunluolmasıdurumundaveri sahibinin kişisel verileriişlenebilir.

   1. KişiselVeriSahibininKişiselVerisiniAlenileştirmesi

3. en veri sahiplerine ait kişiselveriler,alenileştirme amacıyla sınırlı olarak,kişisel verileri işlenebilir.

   1. BirHakkınTesisiveyaKorunmasıiçinZorunlu Veriİşleme

Veri işleme birhakkın tesisi,kullanılması veyakorunması içinzorunluiseveri sahibinin kişisel verileriişlenebilir.

1. Nefrodost’unMeşruMenfaatiiçinZorunlu Veriİşleme

KişiselverisahibinintemelhakveözgürlüklerinezararvermemekkaydıylaNefrodost’unmeşru menfaatleriiçinveriişlemesininzorunluolmasıhalindeverisahibininkişiselverileriişlenebilir.

3.3.Özel Nitelikli Kişisel Verilerinİşlenmesi

1. Özel Nitelikli Kişisel Verilerin İşlenmesi

2. niteliklikişiselverileri işlerken,Kanun ve Politika’dabelirlenenilkelere uygun, Kurul’unbelirleyeceğiyöntemlerlegereklihertürlüidariveteknikönlemleri alarak, aşağıdaki şartlarla işler:

1. Sağlıkvecinselhayatdışındakiözelniteliklikişiselveriler,kanunlardaişlenmesineilişkinaçıkçabirhükümolmasıhalindeveri sahibinin açık rıza aranmaksızın işlenebiltir. Kanunlarda açıkça öngörülmeyen hallerde veri sahibinin açık rızasıalınır.

2. Sağlıkvecinselhayatailişkinözelniteliklikişiselveriler,sırsaklamayükümlülüğüaltındabulunankişilerveya yetkili kurumve kuruluşlar tarafından:kamusağlığınınkorunması,koruyucuhekimlik,tıbbiteşhis,tedavivebakımhizmetlerininyürütülmesi,sağlıkhizmetleriilefinansmanınınplanlanmasıveyönetimiamacıyla,veri sahibinin açıkrızasıaranmaksızın işlenebilir. Aksi halde veri sahibinin açık rızasıalınır.

1. Sağlık Kişisel Verilerinin İşlenme İlke Esasları

1. Hiç kimse, sağlık hizmeti sunumu için gerekli olan durumlar haricinde geçmiş sağlık verilerinin dökümünü sunmaya veya göstermeye zorlanamaz.

2. Banko, gişe ve masa gibi bölümlerde yetkisi olmayan kişilerin yer almasını önleyecek ve aynı anda yakın konumda hizmet alanların birbirlerine ait kişisel verileri duymalarını, görmelerini, öğrenmelerini veya ele geçirmelerini engelleyecek nitelikte gerekli fiziki, teknik ve idari tedbirler alınır.

3. Tahlil ve tetkik sonuçları gibi hastaya ait kişisel sağlık verilerini içeren basılı materyal üzerinde gerekli kısmî kimliksizleştirme veya maskeleme tedbirlerini uygular ve söz konusu materyalin yetkisiz kişilerin eline geçmesi hâlinde kime ait olduğunun tespit edilmesini zorlaştıracak diğer tedbirleri alır.

1. Sağlık personelinin verilere erişimi

1. Sağlık hizmeti sunumunda görevli kişiler; ilgili kişinin sağlık verilerine ancak, verilecek olan sağlık hizmetinin gereği ile sınırlı olmak kaydıyla erişebilir.

2. e-Nabız hesabı bulunan kişilerin sağlık verilerine, kendi gizlilik tercihleri çerçevesinde erişim sağlanır. İlgili kişiler, gizlilik tercihleri ve sonuçları konusunda ayrıntılı şekilde bilgilendirilir. Gizlilik tercihi ve geçmiş sağlık verilerinin görüntülenememesi nedeniyle sağlık hizmeti sunumunda meydana gelebilecek aksaklık ve zararlardan Sağlik Bakanlığı sorumlu olmaz.

3. e-Nabız hesabı bulunmayan kişilerin sağlık verilerine ise Kanunun 6 ncı maddesinin üçüncü fıkrasında yer alan istisnai amaçlarla sınırlı olmak üzere ancak;

• Kişinin kayıtlı olduğu aile hekimi tarafından herhangi bir süre sınırı olmaksızın,

• Kişinin sağlık hizmeti almak üzere randevu aldığı hekim tarafından, randevunun alındığı gün ile sınırlı olmak kaydıyla ve alınan sağlık hizmeti ile doğrudan bağlantılı işlemler sonlanana kadar,

• Kişinin sağlık hizmeti almak üzere giriş yaptığı sağlık hizmeti sunucusunda görev yapan hekimler tarafından, yirmi dört saat süre ile sınırlı olmak kaydıyla,

• Hastanın yatışının yapıldığı sağlık hizmeti sunucusunda görev yapan hekimler tarafından, hasta sağlık hizmeti sunucusundan taburcu olana kadar,

  • ​

1. Geçmiş sağlık verilerinin herhangi bir kimse tarafından erişilmesini istemeyen kişilere ilgili gizlilik tercihi e-Nabız üzerinden sunulur. Bu gizlilik tercihini kullanan kişilerin geçmiş sağlık verilerine ancak kişinin kendisi tarafından beyan edilen telefon numarasına gönderilecek olan kodun hekim ile paylaşılması ve hekim tarafından sisteme girilmesi halinde erişilebilir.

2. Mahremiyet düzeyi daha yüksek olan, başkaları tarafından görülmesi ve bilinmesi halinde kişilerin sosyal hayatını ve ruh sağlığını olumsuz etkileme riski taşıyan kişisel sağlık verileri Sağlık Bakanlığınca belirlenir ve sağlık personelinin bu verilere erişimine ölçülü kısıtlar getirilebilir.

1. Çocukların sağlık verilerine erişim

Ebeveynler, çocuklarına ilişkin sağlık kayıtlarına herhangi bir onaya ihtiyaç duyulmaksızın e-Nabız üzerinden erişebilir. Ayırt etme gücüne sahip çocuklar, sağlık geçmişlerine ebeveynlerinin erişimini e-Nabız üzerinden izne tabi tutabilir.

Anne ve babanın boşanması hâlinde velâyet hakkı üzerinde bırakılmayan taraf, çocuk ile velinin faydası gözetilmek suretiyle kişisel verilerin korunması mevzuatına uygun şekilde ve Genel Müdürlükçe belirlenen sınırlar çerçevesinde çocuğa ilişkin sağlık verilerine erişebilir.

1. Sağlık verilerine hasta yakınlarının erişimi

Kişisel sağlık verilerinin hasta yakınları ile paylaşımında, Kanun ilkelerine aykırılık teşkil etmeyecek şekilde, 1/8/1998 tarihli ve 23420 sayılı Resmî Gazete’de yayımlanan Hasta Hakları Yönetmeliğinin 18 inci maddesinin üçüncü fıkrasına uygun hareket edilir.

1. Sağlık verilerine avukatların erişimi

Avukatlar, müvekkilinin sağlık verilerini genel vekâletname ile talep edemezler. Müvekkiline ait sağlık verilerinin avukata aktarılması için düzenlenmiş olan vekâletnamede, ilgili kişinin özel nitelikli kişisel verilerinin işlenmesi ve aktarılmasına ilişkin açık rızasını gösteren özel bir hüküm bulunması gerekir.

1. Ölünün sağlık verilerine erişim

Ölmüş bir kimsenin sağlık verilerini almaya, veraset ilamını ibraz etmek suretiyle murisin yasal mirasçıları münferit olarak yetkilidir.

Ölmüş bir kimsenin sağlık verileri, en az 20 yıl süre ile saklanır.

 

1. Kişisel sağlık verilerinin düzeltilmesi

İl sağlık müdürlüğü, ilgilinin talebi üzerine sağlık hizmeti sunucusunda yapacağı araştırmada sağlık verisi sehven oluşturulduğu sonucuna ulaşılması veSağlık Bilgi Sistemleri Genel Müdürlüğü tarafından düzeltilmesi halinde Nefrodostsunucusunun kendi veri tabanında da aynı düzeltme gerçekleştirilir.

Genel Müdürlük, sağlık hizmeti sunucuları tarafından oluşturulan sağlık verilerinin kendileri tarafından düzeltilebileceği tarihi belirler ve bu tarihi ihtiyaca göre günceller. Genel Müdürlükçe belirlenen bu tarihten sonra oluşturulan sağlık verileri ilgili sağlık hizmeti sunucusu tarafından; bu tarihten önce oluşturulan sağlık verileri ise ilgili il sağlık müdürlüğünün talebi üzerine Genel Müdürlükçe düzeltilir.

1. Kişisel Sağlık Verilerinin bilimsel amaçla işleme

Kanunun 28 inci maddesinin birinci fıkrasının (b) bendi kapsamında veri sorumlusu tarafından anonim hâle getirilen kişisel sağlık verileri ile bilimsel çalışma yapılabilir.

Kanunun 28 inci maddesinin birinci fıkrasının (c) bendi kapsamında kişisel sağlık verileri, ilgili kişilerin özel hayatın gizliliğini veya kişilik haklarını ihlâl etmemek ya da suç teşkil etmemek kaydıyla alınacak teknik ve idari tedbirler çerçevesinde, bilimsel amaçlarla işlenebilir.

3.4.Kişisel Veri SahibininAydınlatılması

Nefrodost,kişiselveri sahiplerini,hangi amaçlarla kişisel verilerininişlendiği,hangi amaçlarlakimlerle paylaşıldığı,hangiyöntemlerletoplandığı,hukukisebebiveverisahiplerininkişiselverilerinin işlenmesindesahip olduğu hakları konularında, ilgili mevzuatauygunşekildebilgilendirir. Bu bakımdan kişisel  verilerininkorunmasını,Politika’dakiesaslar çerçevesinde hazırlanan diğer politika belgeleri ve aydınlatma metinlerine bağlı  yürütülmektedir.

3.5. Kişisel VerilerinAktarılması

Nefrodost,kişiselveriişlemeamaçlarıdoğrultusunda,gerekligüvenlikönlemlerini alarak, kişisel verileri ve özel nitelikli kişisel verileri üçüncü kişilere (üçüncükişi şirketlere,grupşirketlerine,üçüncügerçekkişilere)hukukauygunolarak aktarabilir.Nefrodostaktarma işlemlerini, Kanun’un8.maddesindeöngörülendüzenlemelereuygun şekilde gerçekleştirmek için,Politikaeki “EK4-KişiselVerilerinAktarıldığıÜçüncüKişilerve Aktarılma Amaçları”uyarıncaişlemleri gerçekleştirir.

1. KişiselVerilerinAktarılması

Kişiselverilerin akratılması için kişisel veri sahibinin açık rızasıaranmakla birlikte,aşağıda belirtilen koşullarınbiryada birkaçına dayanılarak,Kurultarafındanöngörülenyöntemler de dahil gerekli tüm güvenlik önlemleri alınarak kişisel veriler üçüncü kişilereaktarılabilir.

1. Kanunlarda açıkçaöngörülmesi,

2. Birsözleşmeninkurulmasıveyaifasıyladoğrudan doğruya ilgili ve gerekliolması,

3. Nefrodost’inhukukiyükümlülüğünüyerinegetirebilmesiiçinzorunluolması,

4. Verisahibitarafındankişiselverileri alenileştirilmişolmasışartıyla,alenileştirmeamacıylasınırlı,

5. Nefrodostveyaverisahibininveyaüçüncükişilerin haklarının tesisi, kullanılması veya korunması için zorunluolması,

6. VerisahibinintemelhakveözgürlüklerinezararvermemekkaydıylaNefrodostmeşrumenfaatlerinin sağlanması içinzorunluolması,

7. Fiili imkânsızlıknedeniylerızasınıaçıklayamayacakdurumdabulunanveyarızasınahukukigeçerlilik tanınmayan kişininkendisinin yada birbaşkasının hayatı veya bedenbütünlüğünü koruması için zorunluolması.

Kurul tarafından yeterlikorumayasahipolduğu“YeterliKorumayaSahipYabancıÜlke” olarakilan edilen yabancıülke statüsündekilere, yukarıda sayılanşartlardanherhangibirinebağlıkişisel veriler aktarılabilir.YeterlikorumabulunmayanTürkiyeveyabancıülkedekiverisorumlularınınyeterlibir korumayıyazılıolaraktaahhütedenveKurul’uniznininbulunduğu“YeterliKorumayı Taahhüt EdenVeri Sorumlusunun Bulunduğu Yabancı Ülke”statüsündekilere,mevzuattaöngörülenşartlara göre kişisel veriler aktarılabilir.

ii.ÖzelNitelikliKişiselVerilerinAktarılması

Özelniteliklikişiselveriler,Politika’dabelirlenenilkelereuygunolarak,Kurul’unbelirleyeceğiyöntemlerdedahilolmaküzere,gereklihertürlüidarivetekniktedbirler alınarakaşağıdaki koşullarlaaktarılabilir:

1. Sağlıkvecinselhayatdışındakiözelniteliklikişiselveriler,kanunlardakişiselverilerinişlenmesineilişkinaçıkçabirhükümolmasıhalindeveri sahibinin açık rızası aranmaksızın,aksi halde veri sahibinin açık rızası alınması durumunda.

2. Sağlıkvecinselhayata ilişkinözel nitelikli kişiselveriler,kamusağlığının korunması,koruyucu hekimlik,tıbbiteşhis,tedavivebakımhizmetlerininyürütülmesi,sağlıkhizmetleriilefinansmanının planlanmasıveyönetimi amacıyla,sır saklamayükümlülüğüaltında bulunankişiler veya yetkili kurumvekuruluşlartarafındanaçıkrızaaranmaksızın,aksihaldeverisahibininaçık rızasıalınması durumunda.

Kişiselveriler, “Yeterli KorumayaSahipYabancıÜlke”statüsündekilere yukarıdakişartlardanherhangibirininbulunmasıhalinde,yeterlikorumanınbulunmamasıhalinde “YeterliKorumayıTaahhütEdenVeri Sorumlusunun Bulunduğu Yabancı Ülke” statüsündekilere mevzuattadüzenlenenveriaktarımşartlarına görekişisel veriler aktarılabilir.

4.İŞLENENKİŞİSELVERİLERİNKATEGORİZASYONUVEİŞLENMEAMAÇLARI

Nefrodostkişiselverileriişlemektekiamacı,Kanun’un10.maddesivediğer mevzuatuyarıncailgili kişileribilgilendirmek, Kanun’un5.ve6.maddesindebelirtilenkişisel veri işlemeşartlarındanenazbirine dayalı ve sınırlı olarak, kişisel verilerinişlenmesine ilişkinKanun’un4.maddesindebelirtilenilkelerbaşta olmaküzere,Kanun’dabelirtilengenel ilkelereuygunbir şekilde gerçekleştirmektir. Merkezde yönetim, mesul müdüre bağlı tıbbi hizmetler, sorumlu hemşireye bağlı hemşire, teknik personel, hasta kabul, yardımcı personel, ön muhasebe (personel-muhasebe-finans, satınalma isg, bilgi işlem süreçleri bulunmaktadır.

Hasta, yakınları ve ziyaretçilerin verileri;mevzuatla belirlenen düzenlemelere uygunluk sağlamak, yükümlülüklerin ihlali halinde uygun ifayıgerçekleştirmek için ihtarnameler çekilebilmesi, icra ve dava yollarına başvurulabilmesi ve diğer önlemlerin uygulanmasıamacıyla kaydedilir.

Mal/hizmet sağlayan tedarikçilerin bilgileri, yükümlülüklerini yerine getirip getirilmediğini kontrol etmek, verilen hizmetlerinsatndarlara uygun yürütülmesi amacıyla kaydedilir. Tedarikçilere ait kişisel veriler, kendileri ile kurulan iletişim sonucu yollanan ve alınan e- postalar, telefon görüşmeleri, kartvizit ve internet sitesindeki bilgiler yoluyla elde edilmektedir.

Çalışanların kişisel verileri, SGK kaydının yapılabilmesi, yürürlükteki İş Kanunu, İş Sağlığı ve Güvenliği Kanunu uygulamaları kapsamında, personel özlük dosyasında zorunlu bulunması gereken belgelerin tamamlanması amacıyla istenmekte ve işlenmektedir.

Çalışan adayı kişisel veriler, işe giriş ve iş başvuru sırasında ilettikleri öz geçmiş, iş başvuru formları, aday havuzu hizmetleri veren insan kaynakları yazılım programları (Kariyer.net, LinkedIn gibi) sunduğu özgeçmiş görüntüleme yöntemleri, sözlü sınavsıarasında kendilerine sorulan ve rızaları ile yanıtladıkları sorulara verdikleri cevaplar yoluyla elde edilmektedir. Nefrodost, iş başvuran kişilerden kişisel verilerini, işe alım sürecinde sözlü sınav için iletişim kurmak ve adayın nitelikleri ve deneyimleri ile açık pozisyonun uyumlu olup olmadığını tespit etmek amacıyla istemekte ve işlemektedir. 

Nefrodost, işbirliği içerisinde olduğu iş ortaklarının çalışanları ve yetkili gerçek kişilerinin verilerini iş ortaklığının kurulma amaçları çerçevesinde kaydetmektedir.

Nefrodost’agelen şikâyet ve talep formunda yer alan bilgileri, hizmet kalitesinin sağlanması amacıyla işlenmektedir.

İşlenen kişiselverikategorilerine ait ayrıntılı bilgilerPolitika eki“EK3-KişiselVeri Kategorileri”belgesinde; kişiselveriişlemeamaçlarınailişkindetaylıbilgilerPolitika eki “EK1-KişiselVeri İşleme Amaçları” belgesinde bulunmaktadır. Veri kategorilerine gore işlenme amaçları ile veri konusu kişi grupları detaylarına https://verbis.kvkk.gov.tr/ adresinden Nefrodost alanında bildirilmektedir.

5.KİŞİSEL VERİLERİN KORUNMASINA İLİŞKİN ALINAN ÖNLEMLER

Nefrodost, kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, verilere hukuka aykırı olarak erişilmesini önlemek ve verilerin muhafazasını sağlamak için gerekli teknik ve idari tedbirleri almakta, bu kapsamda gerekli eğitim ve bilinçlendirme ile denetimleri yapmakta veya yaptırmaktadır.

6.KİŞİSEL VERİLERİN SAKLANMASI VEİMHASI

Nefrodost verilerin saklanması ve imhasını Politika eki“Kişisel Veri Saklama ve İmha Politikası” ile düzenlenen usul ve esaslara gore gerçekleştirmektedir. Kişisel veriler işlemeamacı içingerekli olansüre ilemuhafazaedilir. Öncelikle anılan Politika’da birsürebelirlenmiş isebu süreyeuygun; belirlenmemiş ise yasalsüre, yasal sürede deöngörülmemişisekişiselverilerinişlenmeamacıiçingerekli sürekadar kişisel verileri saklar.Kişiselverilerbelirlenensaklamasürelerininsonunda,periyodikimha sürelerineveyaverisahibibaşvurusunauygunolarak,belirlenenyöntem (silme,yoketme veya anonimleştirme) ile imha edilir.

7.KİŞİSEL VERİ SAHİPLERİNİN HAKLARI VE BU HAKLARINKULLANILMASI

7.1. Kişisel Veri SahibininHakları

Kişisel veri sahipleri aşağıda belirtilen haklarasahiptirler:

1. Kişiselveriişlenipişlenmediğiniöğrenme,

2. Kişiselverileriişlenmişsebunailişkinbilgitalepetme,

3. Kişisel verilerinişlenmeamacınıvebunlarınamacınauygunkullanılıpkullanılmadığını öğrenme,

4. Yurtiçindeveyayurtdışındakişiselverilerinaktarıldığıüçüncükişileribilme,

5. Kişiselverilerineksikveyayanlışişlenmişolmasıhâlindebunlarındüzeltilmesiniistemeve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilerebildirilmesini isteme,

6. Kanunveilgilidiğerkanunhükümlerineuygunolarakişlenmişolmasınarağmen, işlenmesini gerektirensebeplerinortadankalkmasıhâlinde kişisel verilerin silinmesiniveyayokedilmesiniistemevebukapsamdayapılanişleminkişisel verilerinaktarıldığı üçüncü kişilere bildirilmesiniisteme,

7. İşlenenverilerinmünhasıranotomatiksistemlervasıtasıylaanalizedilmesisuretiylekişinin kendisi aleyhine bir sonucun ortaya çıkmasına itirazetme,

8. Kişiselverilerinkanunaaykırıolarakişlenmesisebebiylezararauğramasıhâlindezararın giderilmesini talepetme.

7.2. Kişisel Veri Sahibinin HaklarınıKullanması

Kişiselverisahipleri6.1. maddede sayılan haklarınailişkintaleplerini, Nefrodost’awww.nefrodost.comadresindenulaşılan“Veri Sahibi Başvuru Formu” (Ek-6) doldurularakbaşvurabilir.

7.3. Başvurulara Cevap Verilmesi

Nefrodost, kişiselverisahibitarafındanyapılanbaşvurularıKanunvediğermevzuatauygunsonuçlandırır. UsuleuygunşekildeNefrodost’ailetilen talepler,enkısasüredeve engeç30(otuz)güniçinde,ücretsizolaraksonuçlandırır.Ancak,işleminayrıcabir maliyet gerektirmesi halinde, Kurul tarafından belirlenen tarife uyarınca ücret alınabilir.

7.4. Kişisel Veri Sahibi Başvurusunun Reddedilmesi

Nefrodost, aşağıda yer alan hallerde başvuruda bulunan kişinin başvurusunu, gerekçesini açıklayarak reddedebilir:

1. Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi,

2. Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi,

3. Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi,

4. Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi,

5. Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması,

6. Kişisel veri sahibi tarafından kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi,

7. Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması,

8. Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması,

9. Kişisel veri sahibinin talebinin diğer kişilerin hak ve özgürlüklerini engelleme ihtimali olması,

10. Orantısız çaba gerektiren taleplerde bulunulmuş olması,

11. Talep edilen bilginin kamuya açık bir bilgi olması.

8.YÜRÜTME

Politika Yönetim Kurulu tarafından onaylanmıştır. Politika’nın teknik yürütümü “Kişisel Veri Saklama ve İmha Politikası” (Ek-5) ile sağlanmaktadır. Kanun ve Politika’nın yürütülmesinden ve gerektiğinde güncellenmesinden Yönetim bu kapsamdaki tüm iş ve işlemlerin takibinden, koordinasyon ve denetiminden Merkez, Kişisel Verileri Koruma Komitesi sorumludur.

İş süreçlerinde, taraflar nezdinde Politikanın yürütümü “Hasta Aydınlatma Metni ve Açık Rıza Beyanı” (Ek-7), “Tedarikçi Gizlilik ve Kişisel Verileri Koruma Sözleşmesi” (Ek-8)“Çalışan Aydınlatma Metni ve Açık Rıza Beyanı” (Ek-9), “Çalışan Adayı Aydınlatma Metni ve Açık Rıza Beyanı” (Ek-10),“İnternet Sitesi Çerez Aydınlatma Metni” (Ek-11), “Kamera Aydınlatma Metni ve Açık Rıza Beyanı” (Ek-12) ile gerçekleştirilmektedir.

9. YÜRÜRLÜK ve İLANI

Politika yayımı tarihi itibariyle yürürlüğe girmiştir. Politika’da meydana gelecek değişikliklerNefrodost internetsitesinde(www.nefrodost.com)yayımlanarakkişiselverisahiplerinin, ilgilikişilerin erişiminesunulur. Politika değişiklikleri ilan edildiği tarihte uygulamaya girer.