İş bu aydınlatma metninin muhatabı, Hasta (Mal veya Hizmet Alan Kişi), Hasta Veli veya Vasisi ile Bu Kişilerin Yakınlarıdır.
Veri sorumlusu DOÇ.DR. MERYEM GENCER MUAYENEHANESİ olarak tarafımızca işlenen her türlü kişisel veri 6698 sayılı Kişisel Verilerin Korunması Kanunu başta olmak üzere ilgili ulusal ve uluslararası mevzuat hükümleri kapsamında korunmaktadır. Tarafımızca gerekli korunmanın sağlanması adına teknik ve idari tedbirleri vaktinde gereği gibi almakta olup herhangi bir ihlal şüphesi karşısında yasal hükümler çerçevesinde ilgili şahıslara, kurum ve kuruluşlara gerekli bildirimleri en kısa sürede yapmaktadır.
A. KİŞİSEL VERİLERİN İŞLENMESİ VE VERİ İŞLENMESİNE HAKİM OLAN TEMEL İLKELER
Gerçek kişilere ait kişisel verilerin tamamen veya kısmen otomatik kayıt yöntemlerinin kullanılması yahut otomatik olmayan yöntemlerle elde edilmesi, kısmen veya tamamen değiştirilmesi, kategorize edilmesi, aktarılması, kayıt altına alınması, saklanması, imha edilmesi şeklindeki her türlü işlem kişisel verilerin işlenmesi olarak adlandırılmaktadır. İş bu açıklamadan da anlaşılacağı üzere, elde edilen verinin başta elde edilmesi, saklanması, aktarılması ve imha edilmesi süreçlerinin hepsi verilerin işlenmesi demektir.
Kişisel verileriniz Kliniğimiz bünyesindeki ticari faaliyetin, iş yeri düzeni ve genel işleyişin gerekleriyle bağlantılı olarak 4857 sayılı İş Kanunu, 6698 sayılı Kişisel Verilerin Korunması Kanunu, 6098 sayılı Türk Borçlar Kanunu, 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu, 6331 sayılı İş Sağlığı ve Güvenliği Kanunu başta olmak üzere sair kanunlardaki hükümler kapsamında işlenmektedir. Söz konusu veriler, iş sözleşmesi, ticari sözleşmeler, sair akdi ilişkiler kapsamındaki bilgiler ile tarafın özlük dosyası, tarafınızca sunulan bilgi ve belgeler ile ilgili kurumlardan yasal olarak elde edilen yahut kurumlarca tarafımıza bildirilen bilgi ve belgelerden elde edilmektedir. Yine söz konusu veriler veri sorumlusu kliniğimiz denetim ve sorumluluğunda veri işleyenler İnsan Kaynağı, Veri Koruma Birimi (DPO), Çağrı Merkezi, Muhasebe, Bilgi İşlem, Destek Hizmetleri ile diğer hizmet birimi/birimleri personel veya personelleri tarafından münhasır amaçlarıyla sınırlı olarak yasal çerçeveler içinde işlenmektedir. Yine kurum doktoru ve avukat/avukatları tarafından da işin gereği ve yasal gerekler minvalinde amaçla sınırlı olarak verilerin işlenmesi söz konusu olabilmektedir.
GDPR yani Avrupa Veri Tüzüğü başta olmak üzere uluslararası belgelerde kabul görmüş ve ülkelerin yetkili kılınmış kurul kararlarında yer almış kişisel verilerin işlenmesine ilişkin temel ilkeler bulunmaktadır. Kişisel Verilerin Korunması Kanunu’nun 4. Maddesinde kişisel verilerin işlenmesine ilişkin usul ve esaslar 108 sayılı Sözleşmeye ve 95/46/EC sayılı Avrupa Birliği Direktifine paralel şekilde düzenlenmiştir. Buna göre; Kanunda kişisel verilerin işlenmesinde sayılan genel (temel) ilkeler şunlardır:
- Hukuka ve dürüstlük kurallarına uygun olma,
- Doğru ve gerektiğinde güncel olma,
- Belirli, açık ve meşru amaçlar için işlenme,
- İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma,
- İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.
Söz konusu ilkeler düzenleyici işlem yapma yetkisine sahip kurullar ve yargı mercileri tarafından esas alınarak uyuşmazlıklara uygulanmaktadır. Kişisel verilerin yasaya uygun elde edilip işlendiğinden bahsedebilmemiz için söz konusu verilerin yukarıda yer alan ilkeler ve ilkelerin özünde yer alan temel saiklerin göz ününde tutularak işlenmesi gerekmektedir.
B. TANIMLAR
Açık rıza, 95/46 EC sayılı Direktif kapsamına göre, açık rıza ilgili kişinin kendisiyle ilgili veri işlenmesine, özgürce, konuyla ilgili yeterli bilgi sahibi olarak, tereddüde yer bırakmayacak açıklıkta ve sadece o işlemle sınırlı olarak verdiği onay beyanı şeklinde anlaşılmalıdır.
Kişisel verilerin anonim hale getirilmesi, Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini ifade etmektedir.
Veri kayıt sistemi, Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini ifade etmektedir. Söz konusu sistemler fiziki veya dijital olabilir. Söz konusu sistem içinde birden fazla kritere göre veriler işlenebilmektedir. Örneğin, ad soyad, T.C. kimlik no yahut doğum yeri bazlı bir kayıt sistemi baz alınarak verilerin kaydı ve işlenmesi yapılabilir.
Veri sorumlusu, 6698 sayılı kanun kapsamında doğrudan verişlerin işlenmesinden, aktarılmasından, silinmesinden ve diğer kanun kapsamındaki yükümlülüklerinden sorumlu olan kişidir. Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olanlardır. Bu kişiler, gerçek kişiler olabileceği gibi, kamu kurumları, şirketler, dernekler veya vakıflar gibi tüzel kişiler de olabilecektir. İş bu aydınlatma metni kapsamında DOÇ.DR. MERYEM GENCER’i ifade etmektedir.
Veri işleyen, veri sorumlusu adına verileri işleyen gerçek ve tüzel kişilerdir. Bu kişiler, kişisel verileri kendisine verilen talimatlar çerçevesinde işleyen çalışanlar olabileceği gibi, veri sorumlusunun hizmet satın almak suretiyle belirlediği ayrı bir gerçek veya tüzel kişi de olabilir. Herhangi bir gerçek veya tüzel kişi aynı zamanda hem veri sorumlusu hem de veri işleyen olabilir. Örneğin, bir muhasebe şirketi kendi personeliyle ilgili tuttuğu verilere ilişkin olarak veri sorumlusu sayılırken, müşterisi olan şirketlere ilişkin tuttuğu veriler bakımından ise veri işleyen olarak kabul edilecektir.
İlgili Kişi, Kişisel verisi işlenen gerçek kişiyi yani iş bu sözleşme kapsamında HASTA, HASTA YAKINI VE HASTA VELİ VEYA VASİSİNİ ifade etmektedir.
İmha, Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesini ifade eder.
C. KİŞİSEL VERİLERİN İŞLENME ŞARTLARI
Kişisel verilerin işlenmesi 6698 sayılı kanunun 3/e bendinde şu şekilde tanımlanmıştır:
“Kişisel verilerin işlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi,”
Söz konusu kişisel veri niteliğindeki bilgilerin ne şekilde işleneceği aynı kanunun 5. maddesinde şu şekilde ifade edilmiştir:
“Kişisel verilerin işlenme şartları MADDE 5-
(1) Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez.
(2) Aşağıdaki şartlardan birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür:
a) Kanunlarda açıkça öngörülmesi.
b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
d) İlgili kişinin kendisi tarafından alenileştirilmiş olması.
e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması”
D. ÖZEL NİTELİKTEKİ KİŞİSEL VERİ VE İŞLENME ŞARTLARI
Bazı veriler nitelikleri, doğası ve müdahale ettiği alan bakımından diğer kişisel haklara nazaran daha vazgeçilmez bir pozisyonda bulunmaktadır. Bu nedenle iş bu hakların korunması ve işlenmesi söz konusu yasa kapsamında ayrı olarak ve sıkı şekil şartlarıyla birlikte düzenlenmiştir. Özel nitelikteki kişisel haklar kanunun 6/1 fıkrasında şu şekilde tanımlanmış ve sayılmıştır:
“Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.”
Söz konusu hakların ne şekilde işlenebileceği ise aynı maddenin diğer fıkralarında şu şekilde ifade olunmuştur:
“ (2) Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır.
(3) Birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.
(4) Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır.”
Kâr amacı gütmeyen siyasi parti, vakıf, dernek veya sendika gibi kuruluş ya da oluşumlar tarafından, yaptıkları faaliyetin gereği olarak özel nitelikte kişisel verilerin işlenmesi söz konusu olabilmektedir. Söz konusu kuruluş ve oluşumlar, kendi üye ve mensuplarına ait özel nitelikteki kişisel verilerini kuruluş amaçlarına uygum olarak yani amaçla sınırlı olarak yasalara uygun şekilde işleyebilecektir. Bir siyasi partinin üyelik bilgilerini saklaması özel nitelikte kişisel verinin işlenmesi demektir. Yukarıda da ifade edildiği üzere, söz konusu kuruluş ve oluşumlar ancak faaliyet alanları ve amaçlarıyla uygun bir şekilde iş bu verileri işleyebilecektir. Örnekle ifade etmek gerekirse, bir sendika sadece işçilerinin sendika üyelik kayıtlarını tutacak onların siyasi görüş veya sağlık durumlarına ilişkin özel nitelikteki verilerini işleyemeyecektir.
İlgili kişi tarafından özel nitelikteki kişisel veriler alenileştirilmiş yani kamuya açık hale gelmiş ise söz konusu verilerin işlenmesi mümkündür. Böyle bir durumda veri sorumlusunun sorumluluğuna gidilemeyecektir. Hâkim olan görüşe göre, ilgili kişi bakımından bu gibi durumlarda hukuksal olarak korunan menfaat ortadan kalkmış bulunmaktadır. Burada dikkat edilmesi gereken husus alenileştirmenin kapsamıdır.
Kişisel verilerde olduğu gibi özel nitelikteki verilerde de bir hakkın tesisi, kullanılması veya korunması için işlenmesinin zorunlu olması halinde rıza şartı aranmaksızın işlenme hukuka uygun kabul edilmektedir. Engelli işçi çalıştırma zorunluluğu olan bir işyerinin söz konusu çalışana ait verileri alması ve işlemesi yani ilgili kurum ve kuruluşlarla paylaşması halinde açık rızaya gerek bulunmamaktadır. Benzer şekilde ÖTV muafiyetinden faydalanarak araç almak isteyen engelli kişi yahut vasisinin söz konusu verileri Vergi Dairesi ile paylaşması ve dairenin verileri işlemesi halinde açık rıza şartı aranmayacaktır.
Gerek özel nitelikli gerekse diğer kişisel verilerinizin işlenmesi sırasında alınan idari ve teknik tedbirlere meryemgencer.com internet sitesinde yer alan KVKK İmha Politikaları başlığından ulaşabilirsiniz.
E. KİŞİSEL VERİLERİN TOPLANMA YÖNTEMLERİ
Kişisel verileriniz muayenehanemiz ile kurdurunuz diyaloglar ve iletişim kapsamında alınan bilgilerden, tarafımıza iletilen referans mektupları ve akdedilen ön sözleşme ve sözleşme kapsamlarından, mobil haberleşme, mobil uygulamalar, öneri/şikâyet formu, muhtelif sözleşmeler, elektronik posta ve sair iletişim kanallar ile gönderilen bilgi, belge ve başvuru formlarından, internet sitesi çerez uygulamalarından, internet sitesi kapsamında doldurulan ve tarafımıza iletilen formlardan, güvenlik kameralarından toplanmaktadır. İş bu veriler veri politikamız ve Kurul kararları minvalinde KVKK 5.madde ilkeleri göz önünde bulundurularak elde edilip işlenmektedir. Tüm bu süreçlerde orantılılık ve ölçülülük ilkeleri göz önünde bulundurularak gereksiz veri alımının önüne geçilmesi hedeflenmektedir.
F. İŞLENEN KİŞİSEL VERİLER, İŞLENME AMAÇLARI, YASAL DAYANAKLARI VE SAKLANMA ŞEKİLLERİ
Yukarıda yer alan toplanma yöntemleri kapsamında elde edilen kişisel veriler aşağıdaki genel başlıklar altında kategorize edilebilir;
Kimlik Bilgileri: Bir veya birden fazla gerçek kişiye ait otomatik, kısmen otomatik veya otomatik olmayan yöntemlerle işlenen kişi ya da kişileri belirli veya belirlenebilir hale getiren bilgilerdir. Söz konusu bilgilerden kişilerin sadece T.C. Kimlik bilgileri değil aynı zamanda kimlik yerine geçen belgelerde yer alan bilgilerde bu kapsama girmektedir. Bu kapsamda kimlik bilgisi olarak tarafınızdan Ad Soyad, T.C. Kimlik Numarası, Geçici TC Kimlik Numarası, Doğum Tarihi, Medeni Hal, Cinsiyet bilgileri alınmaktadır.
İletişim Bilgileri: Bir veya birden fazla gerçek kişiye ait otomatik, kısmen otomatik veya otomatik olmayan yöntemlerle işlenen kişi ya da kişilerin birbirleriyle irtibat ve iletişim kurmalarını sağlayan verilerdir. Telefon numarası, mektup, adres, e-posta adresi, faks numarası, IP adresi ve kullanılan haberleşme uygulamalarına göre (Zoom ve Teamviewer gibi) tanımlı ID numaraları gibi bilgiler bu kapsamda yer almaktadır.
Aile Bireyleri ve Yakın Verileri: Otomatik veya kısmen otomatik olan bir sistem veya otomatik olmayan bir yöntem kapsamında kimliği belirli veya belirlenebilir gerçek kişi veya kişilerden alınan aile ve yakın bilgileri. Burada bahsedilen yakın bilgilerinden anlaşılması gereken verisi işlenen ilgili kişinin kendisi ile alakalı süreçlerde irtibat kurmasına rıza gösterdiği kişilerdir. Akrabalık ilişkisi şart değildir. İş bu veriler hasta doktor süreç yönetiminin sağlanması, acil durumlarda kriz sürecinin idare edilmesi ve yasaların şart koşmasından kaynaklı olarak işlenmektedir.
Mali Veriler: Otomatik ya da Otomatik olmayan yöntemlerle gerçek kişilerden alınan finansal duruma ilişkin her türlü bilgi ve belge mali veri olarak adlandırılmaktadır. Söz konusu alınan veri Muayenehane ile kurulan diyaloglar kapsamında çeşitlenmektedir. Banka Hesap Numarası, IBAN Numarası, Kredi Kartı Bilgileri, Fatura Bilgileri bu kapsamda işlenmektedir.
Sağlık Bilgileri: İlgili kişilerden alınan Muayene Verileri, tıbbi özgeçmişe ilişkin anlatımlar ve raporlar, tıbbi soy geçmişine ilişkin veriler, tahlil ve test sonuçları, laboratuvar sonuçları, tıbbi görüntüleme sonuçları, randevu bilgileri, reçete bilgileri, ameliyat öncesi ve sonrasına ilişkin fotoğraflar, üç boyutlu görsel veriler, Muayenehane takip verileri, endoskopi verileri, detaylı ultrason verileri, kan basıncı, anne-bebek kalp atım hızı, NST verileri, EKG verileri, tanı ve tedaviye yönelik olarak alınan videolar, dijital cihazlar vasıtası ile uzaktan kaydedilen bilgi ve belgeler başlıca alınan ve işlenen sağlık verileridir. Muayenehane ile muayene öncesi ve sonrasında kurulan diyaloglardan elde edilen hastalığın teşhis ve tedavisine ilişkin görüşme ve yazışma verileri, sosyal çevre, aile hayatına ve cinsel hayata ilişkin veriler de bu kapsamda yer almaktadır. Tarafımızca tedavi ve teşhiste tıbben önemli kabul edilen ve istenen başka sağlık kuruluşları veya doktorlar tarafından raporlanan ve kayıt altına alınan konsültasyon notları, ameliyat notları, tetkik ve değerlendirme sonuçları işlenen sağlık verileri olarak değerlendirilebilmektedir.
SGK Mevzuatı Kapsamında Alınan Veriler: Sigorta ve Hasta Protokol numaraları bu kapsamda yer almaktadır.
Görsel/İşitsel Veriler: Gerçek kişi veya kişilere ait görsel ve işitsel kayıt ortamlarından elde edilen veriler ve bu verilerin saklandığı ortamlar. Kliniğimiz bünyesinde yer alan kameralarda sadece görsel kayıt yapılmaktadır. Ses kaydı bulunmamaktadır.
Talep/Şikâyet Yönetimine İlişkin Veriler: Muayenehane talep ve şikâyet süreci içinde otomatik, yarı otomatik veya otomatik olmayan yöntemlerle elde edilen veriler. Muayenehane çalışanlarının şikâyet edilmesi sırasında hatalı uygulanan tedaviye ilişkin veriler bu kapsamda yer almaktadır. Yine şikâyet formu içinde yer alan diğer verilerde bu kapsamı belirlemektedir.
Hukuki İşlem Verisi: Muayenehane çalışanlarının ve tarafımızın taraf olduğu hukuki uyuşmazlıklara delil olmak üzere elde edilen ve adli merciler nezdinde kullanılan veriler bu grup verilere girmektedir.
Yukarıdaki kişisel verilerin işlenme amaçları şu şekildedir;
- İlgili kişiye etkin, güvenli ve kaliteli bir sağlık hizmetinin verilmesini sağlamak.
- Yasal mevzuatların gereğini ifa etmek.
- Doktor hasta iletişimini sağlamak.
- Kimlik ve hastalık teyit süreçlerini yönetmek.
- Kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin ifasını sağlamak.
- Randevu süreçlerinin teyidi ve zamanlarını ayarlamak.
- Muayenehane iç işleyişinin etkin bir şekilde yönetilmesini sağlamak.
- Anlaşmalı kurumlara ilişkin teyit ve finans süreçlerinin koordinasyonunu sağlamak.
- Faturalandırma yapmak.
- Sağlık Bakanlığı başta olmak üzere ilgili kurum ve kuruluşlardan gelen yasal talepleri karşılamak.
- Sunulan hizmetlere ilişkin talep ve şikâyet süreçlerini yönetmek.
- Tanıtım ve pazarlama süreçlerinin yönetmek.
- Risk ve kalite süreçlerinin yönetimini sağlamak.
- Hastaya uygun ilaç ve malzeme teminini sağlamak.
- Düzenleyici ve denetleyici kurum ve kuruluşlar ile resmi mercilerin taleplerini karşılamak.
- Adli mercilerin talepleri doğrultusunda istenilen bilgi ve belgelerin adli makamlar ile paylaşılmasını sağlamak.
Tüm bunların yanında Açık Rıza olması halinde, ilgili hastadan elde edilen sağlık verileri ile hastaya ait kişisel veriler diğer hastaların, asistanların, eğitim alan personelin ve kamuoyunun bilgilendirilmesi ve eğitimini sağlamak için işlenebilecektir. Bu kapsamda elde edilen veriler makaleler, sunumlar, seminerler, kitaplar ve açık oturumlar gibi eğitici platformlarda amaçla sınırlı olarak kullanılabilecektir.
Kişisel verilerin işlenmesine dayanak yasal mevzuat hükümleri ise şu şekildedir;
- 3359 Sayılı Sağlık Hizmetleri Temel Kanunu,
- 663 Sayılı Sağlık Bakanlığı ve Bağlı Kuruluşların Teşkilat ve Görevleri Hakkında Kanun Hükmünde Kararname,
- Özel Hastaneler Yönetmeliği,
- 6698 Sayılı Kişisel Verilerin Korunması Kanunu,
- Kişisel Sağlık Verilerinin İşlenmesi ve Mahremiyetinin Sağlanması Hakkında Yönetmelik,
- 6098 Sayılı Borçlar Kanunu,
- Ağız ve Diş Sağlığı Hizmeti Sunulan Özel Sağlık Kuruluşları Hakkında Yönetmelik,
- Ayakta Teşhis ve Tedavi Yapılan Özel Sağlık Kuruluşları Hakkında Yönetmelik,
- Hasta Hakları Yönetmeliği,
- 5651 Sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun,
- 6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun.
Yukarıda ifade edilen yasal mevzuatlar ve saklama amaçları kapsamında elde edilen kişisel veriler kliniğimiz nezdinde korunacak olup korunma ve tutulma şekilleri aşağıdaki gibidir:
DİJİTAL ORTAMLAR | FİZİKSEL ORTAMLAR |
Dijital Saklama Alanları, Yazılımsal Dijital Ortamlar (Ofis yazılımları, VERBİS), Siber ve Ağ Güvenliğe Yönelik kullanılan cihazlar (Firewall vb.), Telefon tablet gibi Mobil Cihazlar Taşınabilir Diskler, Yazıcı, Tarayıcı ve Fotokopi Makinası, Optik Diskler. |
Kağıt ve türevleri Formlar ve kliniğin işleyiş süreçlerinde doldurulan defterler, Yazılı olarak verilerin bulundurulduğu her türlü ortam, Fiziksel verilere ilişkin sair dokümanlar (fotoğraf, fotokopi vs). |
G. KİŞİSEL VERİLERİN SAKLANMA SÜRELERİ VE İMHASI
Kanunun 3’üncü maddesinde kişisel verilerin işlenmesi kavramı tanımlanmış, 4 üncü maddesinde işlenen kişisel verinin işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli süre kadar muhafaza edilmesi gerektiği belirtilmiş, 5 ve 6’ncı maddelerde ise kişisel verilerin işleme şartları sayılmıştır.
Buna göre, Muayenehanemiz faaliyetleri çerçevesinde elde edilen kişisel veriler, ilgili mevzuatta öngörülen veya işleme amaçlarımıza uygun süre kadar saklanır. Bu bağlamda tarafımızdan hizmet veya mal alan bir kişinin verisi muhtemel uyuşmazlık çıkma ihtimaline karşı aramızdaki işin niteliği vekalet sözleşmesi/ eser sözleşmesi sayılmakla söz konusu veriler 10 yıl sonraki ilk imha döneminde imha edilecektir. Hukuki işlemlere ilişkin veriler dava sürecinin sonlanmasından sonra 5 yıl muhafaza edilip ilk imha döneminde imha edilecektir. Kamera kayıtları ise 90 gün süre ile muhafaza edilecektir. Online ziyaretçilere ilişkin veriler 5651 sayılı kanun uyarınca 2 yıl süre ile saklanacaktır. Ancak internet ortamında doldurulan formlara ilişkin veriler ise 10 yıl sonraki ilk imha döneminde imha edilecektir. Vergisel Kayıtlara İlişkin Kişisel Veriler ve Fatura/Gider Pusulası/Makbuz Gibi Vergi Usul Kanunu Uyarınca Tutulması Gereken Belgelerle İşlenen Kişisel Veriler 213 Sayılı Vergi Usul Kanunu uyarınca 5 yıl boyunca saklanır sonrasında ilk imha döneminde imha edilir. Çağrı merkezi ses kayıtları 6563 Sayılı Kanun ve İlgili Mevzuat uyarınca 3 yıl boyunca saklanacak ve sonraki ilk imha döneminde imha edilecektir. Söz konusu verilerin ceza davasına konu olması halinde veriler 30 yıl süre ile saklanacaklardır.
Muayenehanemiz nezdinde Ocak ve Temmuz ayları imha dönemleri olarak tayin edilmiştir. Söz konusu veriler bir tutanağa bağlanarak imha edilecek olup bu tutanak 3 yıl süre ile muhafaza edilecektir.
İlgili kişi tarafından talepte bulunulduğunda söz konusu kişisel veriler kliniğimiz tarafından ve aktarımda bulunduğumuz üçüncü kişiler tarafından yasal şartlarının bulunması halinde silinecektir. İlgili kişi, Kanunun 13’üncü maddesine istinaden DOÇ.DR. MERYEM GENCER MUAYENEHANESİ’ne başvurarak kendisine ait kişisel verilerin silinmesini veya yok edilmesini talep ettiğinde;
- Kişisel verileri işleme şartlarının tamamı ortadan kalkmışsa; Veri sorumlusu olarak talebe konu kişisel verileri talebi aldığı günden itibaren 30 (otuz) gün içinde[1] gerekçesini açıklayarak uygun imha yöntemi ile siler, yok eder veya anonim hale getirir. Veri sorumlusu olarak kliniğimizin talebi almış sayılması için ilgili kişinin talebini Kişisel Verilerin İşlenmesi ve Korunması Politikasına uygun olarak yapmış olması gerekir. Veri Sorumlusu tarafından, her halde yapılan işlemle ilgili ilgili kişiye bilgi verir.
- Kişisel verileri işleme şartlarının tamamı ortadan kalkmamışsa, bu talep Veri Sorumlusu tarafından Kanunun 13’üncü maddesinin üçüncü fıkrası uyarınca gerekçesi açıklanarak reddedilebilir ve ret cevabı ilgili kişiye en geç otuz gün içinde yazılı olarak ya da elektronik ortamda bildirilir. İlgili kişinin kuruma şikâyet hakkı saklıdır. Bu bağlamda ilgili kişiler taleplerin reddedildiğini öğrenmelerinden itibaren Kurula 60 (altmış gün) içinde başvurabilir.
- Bu çerçevede “yazılı” olarak Veri Sorumlusu olarak kliniğimize yapılacak başvurular,
- Başvuru Sahibinin şahsen başvurusu ile,
- Noter vasıtasıyla,
- Başvuru Sahibince 5070 Sayılı Elektronik İmza Kanunu’nda tanımlı olan “güvenli elektronik imza” ile imzalanarak
- Muayenehane kayıtlı elektronik posta adresine gönderilmek suretiyle,
tarafımıza iletilebilecektir. Bu hakkınızı kullanmak için iletişim bilgilerimize aşağıdaki I. İlgili Kişi Olarak Haklarınız başlığı altında yer verilmiştir.
H. KİŞİSEL VERİLERİN AKTARILMASI
Kişisel verilerin ülke sınırları içinde ne şekilde ve ne şartlar altında üçüncü kişilere aktarılacağı Kişisel Verilerin Korunması Kanunu’nun 8.maddesi kapsamında düzenlenmiştir. İş bu maddeye göre ancak kişilerin açık rızalarının olması halinde kişisel verilerin aktarılması mümkündür. Ancak yine aynı kanun maddesinde 5.ve 6. madde kapsamındaki şartların olması halinde açık rıza olmaksızın da kişisel verilerin aktarılabileceğini kaleme alınmıştır. Söz konusu kanun maddelerinin birlikte yorumlanmasından çıkan sonuç;
- İlgili kişinin açık rızasının alınması,
- Kanunlarda açıkça öngörülmesi,
- Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
- Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
- Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
- İlgili kişinin kendisi tarafından alenileştirilmiş olması,
- Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
- İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması halinde kişisel verilerin aktarılabilmesi mümkündür.
Özel nitelikteki kişisel verilerin aktarılabilmesi için ise;
- İlgili kişinin açık rızasının alınması halinde,
- Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler bakımından kanunlarda açıkça öngörülmüş olması halinde,
- Sağlık ve cinsel hayata ilişkin kişisel veriler bakımından ise kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından özel nitelikteki kişisel veriler üçüncü kişilere aktarılabilir.
Kişisel verilerin yalnızca gerçek kişilere ait veriler olabilmesinin aksine, “veri sorumlusu” ve “veri işleyen” hem gerçek hem de tüzel kişi olabilmektedir. Kişisel veriler üzerinde işlem gerçekleştiren her türlü gerçek veya tüzel kişi, veri işlenmesine ilişkin amaç ve yöntemlerine göre ya veri sorumlusu ya da veri işleyendir. Bu bağlamda, söz konusu iki kategorideki kişiler arasında gerçekleştirilecek her türlü veri aktarımı için de Kanunun 8. maddesinde yer alan düzenlemelere uyulması gerekmektedir.
Kişisel verilerin MUAYENEHANEMİZ faaliyet kapsamı ve ticari menfaatleri kapsamında kişisel verileri yurt dışındaki kamu ve özel tüzel kişilere yasal şartlar minvalinde aktarması mümkündür. Kanun’un 9. maddesine göre, yurt dışına veri aktarımı;
- İlgili kişinin açık rızasının bulunması,
- Kanun’da belirtilen hallerin varlığında (Kanun’un 5. maddesinin 2. fıkrası ile 6. maddesinin 3. fıkrasında belirtilen şartlar) veri aktarılacak ülkede yeterli korumanın bulunması (Kurul tarafından güvenli kabul edilen ülkeler),
- Kanun’da belirtilen hallerin varlığında (Kanun’un 5. maddesinin 2. fıkrası ile 6. maddesinin 3. fıkrasında belirtilen şartlar) veri aktarılacak ülkede yeterli korumanın bulunmaması halinde (Kurul tarafından güvenli kabul edilmeyen ülkeler), yeterli korumanın yazılı olarak taahhüt edilmesi ve Kurul’un izninin bulunması durumlarında gerçekleştirilebilir.
Veri sorumlusu olarak, yukarıda ayrıntılarıyla yazan veri aktarım şartlarının bulunması halinde, söz konusu veriler Muayenehanemiz ilgili personeli, Muayenehane yöneticileri, kullandığımız yurt içi server (sunucular) (Uygulama özelinde Turhost.com), avukatlar, denetim şirketleri, iş ve çözüm ortakları (laboratuvarlar, online randevu siteleri, anlaşmalı hastane ve tıp merkezleri), tedarikçiler, adli merciler, düzenleyici ve denetleyici kurumlar ve resmi merciler ile paylaşılabilecektir.
İşlenen verilerden Ad, Soyad, İletişim, Sağlık ve Finans verileri yurt dışı bağlantılı şirketlerimiz, doğrudan / dolaylı yurt dışı iştiraklerimiz, yurt dışı hizmet çevrim içi veri aktarımı yapan haberleşme, depolama ve iletişim programları tarafından kullanılan yurt dışı serverları ve veri merkezleri ile paylaşılabilecektir.
Çevrim içi veri aktarımı yapan haberleşme, depolama ve iletişim programları tarafından kullanılan yurt dışı serverları ve veri merkezleri bakımından verilerin aktarıldığı ülke çeşitlilik göstermekle birlikte Google ve Microsoft Tabanlı Çevrim İçi uygulamaların yönetim merkezi Amerika Birleşik Devletleri olup, Yandex’in yönetim merkezi Rusya’dır. Yine WhatsApp uygulaması bakımından söz konusu merkez Amerika Birleşik Devletleri iken Telegram açısından Rusya’dır.
I. İLGİLİ KİŞİ OLARAK HAKLARINIZ
İlgili kişi olarak tarafınızın sahip olduğu haklar aşağıdaki gibidir;
- İlgili kişiler kendilerine ait kişisel verilerin işlenip işlenmediğini işleniyorsa ne şekilde ne kadar süreyle işlendiğini yahut işleneceğini öğrenme,
- İşlenen kişisel verileri varsa bunlara ilişkin bilgi talep etme,
- Kişisel verilerin işlenme amacını ve bu verilerin amaca uygun kullanılıp kullanılmadığını öğrenme,
- Kişisel verilerinin aktarıldığı üçüncü kişileri bilme, kişisel verilerindeki hataların düzeltilmesini ve eğer aktarım yapılmışsa ilgili üçüncü kişiden bu düzeltmenin istenmesini talep etme,
- Kişisel verilerle alakalı şikayetlerin kurum nezdinde itiraz yoluyla giderilmesini isteme eğer itiraz sonuçsuz kalır yahut talep reddedilirse Kişisel Verilerin Korunması kurumuna şikâyette bulunma,
- Kişisel verilerin işlenmesini gerektiren sebeplerin ortadan kalkması halinde bu verilerin silinmesini, yok edilmesini ya da anonim hale getirilmesini isteme ve eğer aktarım yapılmışsa bu talebin aktarılan üçüncü kişiye iletilmesini isteme,
- Kişisel verilerin imha edilmesine ilişkin sürelerin tarafına haberdar edilmesini ve hangi verinin ne kadar süreyle tutulacağını talep etme,
- İşlenen verilerin neticesinde kişi ile ilintili olumsuz bir sonuç çıkmasına itiraz etme,
- Kanuna aykırı veri işleme nedeniyle zararının ortaya çıkması halinde zararını yasalar çerçevesinde talep etme haklarına sahiptir.
Veri sorumluları, ilgili kişiler tarafından yazılı olarak veya Kurulun belirleyeceği diğer yöntemlerle kendisine iletilen Kanunun uygulanmasıyla ilgili talepleri, niteliklerine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandırmalıdır. Ancak, işlemin ayrıca bir maliyet gerektirmesi hâlinde, veri sorumlusu, Kurulca belirlenen tarifedeki ücretleri başvuruda bulunan ilgili kişiden isteyebilir.
Veri sorumlusu, talebi kabul eder veya gerekçesini açıklayarak reddeder ise bu cevabını ilgili kişiye yazılı olarak veya elektronik ortamda bildirir. Başvuruda yer alan talebin kabul edilmesi hâlinde veri sorumlusu tarafından bu talebin gereği yerine getirilir. Başvurunun veri sorumlusunun hatasından kaynaklanması hâlinde ise alınan ücret ilgiliye iade edilir.
Başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hâllerinde; ilgili kişi, veri sorumlusunun cevabını öğrendiği tarihten itibaren otuz ve herhâlde başvuru tarihinden itibaren altmış gün içinde Kurula şikâyette bulunabilir.
Bize kişisel verilerinizle ilgili her türlü soru, şikâyet ve görüşleriniz için veri sorumlusu bilgilerimiz şu şekildedir;
ÜNVANI | Doç. Dr. Meryem GENCER |
MERSİS NO | |
ADRESİ | Tahtakale Mah. Fırat 1 Cad. No:2 D:47 Avcılar/ İSTANBUL |
TELEFONU | 0530 723 80 39 |
FAX | |
info@meryemgencer.com | |
KEP ADRESİ | meryem.gencer@hs01.kep.tr |
J. DİĞER AÇIKLAMALAR
Söz konusu politikalar kapsamında bir değişiklik olduğunda bunlar internet sitesinden ilgililere bildirilecek olup eski politikaların onaylı suretleri 3 (üç) yıl süreyle tutulacaktır.
Muayenehane, Kanunda yapılan değişiklikler nedeniyle, Kurum kararları uyarınca ya da sektördeki ya da bilişim alanındaki gelişmeler doğrultusunda Kişisel Verilerin İşlenmesi ve Korunması Politikasında ya da işbu Kişisel Veri Saklama ve İmha Politikasında değişiklik yapma hakkını saklı tutar.
İşbu Kişisel Veri Saklama ve İmha Politikasında yapılan değişiklikler derhal metne işlenir ve değişikliklere ilişkin açıklamalar politikanın sonunda açıklanır.
Söz konusu veriler usul ve yasalara aykırı olarak elde edilmesi halinde KVKK 12.madde uyarınca en kısa sürede kurula bildirilecektir. En kısa süreden anlaşılması gereken[2] 72 saattir.
[1] Veri Sorumlusuna Başvuru ve Kurula Şikâyet Sürelerinin Hesaplanmasına İlişkin Kişisel Verileri Koruma Kurulunun 24.01.2019 tarih ve 2019/9 sayılı Kararında şu ilkelere yer verilmiştir:
-
İlgili kişi tarafından yapılan başvuruya veri sorumlusunca 30 gün içinde bir cevap verilmesi halinde ilgili kişinin veri sorumlusunun cevabını müteakip 30 gün içerisinde şikâyette bulunabileceği, bu itibarla söz konusu hallerde ilgili kişinin veri sorumlusuna başvurduğu tarihten itibaren 60 günlük süresinin bulunmadığı,
-
İlgili kişi tarafından yapılan başvuruya veri sorumlusunca bir cevap verilmediği durumda ise ilgili kişinin veri sorumlusuna başvurduğu tarihten itibaren 60 gün içinde Kurula şikâyette bulunabileceği,
-
İlgili kişi tarafından yapılan başvuruya veri sorumlusunca Kanunda tanınan 30 günlük süre sonrasında bir cevap verilmesi halinde ilgili kişinin, Kanunda veri sorumlusuna tanınan 30 günlük süre sonrasında verilecek cevabı beklemekle yükümlü olmadığı ve veri sorumlusuna tanınan sürenin dolması ile birlikte Kurula şikâyette bulunabileceği göz önüne alınarak, ilgili kişinin veri sorumlusunun kendisine cevap verdiği tarihten itibaren 30 gün değil, veri sorumlusuna başvurduğu tarihten itibaren 60 gün içinde Kurula şikâyette bulunabileceği, hususlarının Kişisel Verileri Koruma Kurulunun 24.01.2019 tarih ve 2019/9 sayılı Kararı ile kamuoyuna duyurulması uygun görülmüştür.