Kişisel Verilerin Korunması Politikası

İÇİNDEKİLER
1.    GİRİŞ    
2.    AMAÇ    
3.    KAPSAM    
4.    TANIMLAR    
5.    POLİTİKANIN VE İLGİLİ MEVZUATIN UYGULANMASI    
6.    KİŞİSEL VERİLERİN İŞLENME İLKELERİ    
7.    KİŞİSEL VERİLERİN İŞLENME ŞARTLARI    
8.    ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİ ŞARTLARI    
9.    KİŞİSEL VERİLERİN GÜVENLİĞİNİN SAĞLANMASI    
10.    KİŞİSEL VERİLERİN AKTARILMASI    
11.    KİŞİSEL VERİLERİN YURTDIŞINA AKTARILMASI    
12.    KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VE ANONİMLEŞTİRİLMESİ ŞARTLARI    
13.    KİŞİSEL VERİ SAHİBİNİN AYDINLATILMASI VE BİLGİLENDİRİLMESİ    
14.    VERİ SAHİBİNİN HAKLARI; BİLGİ TALEP ETME, İLETİŞİM KANALLARI VE VERİ SAHİPLERİNİN TALEPLERİNİN DEĞERLENDİRİLMESİ    
15.    BİNA, TESİS GİRİŞLERİ İLE BİNA TESİS İÇERİSİNDE YAPILAN KİŞİSEL VERİ İŞLEME FAALİYETLERİ İLE İNTERNET SİTESİ ZİYARETÇİLERİ    
16.    YÜRÜRLÜĞE GİRMESİ    
17.    EK – 1: VERSİYON TAKİP TABLOSU    

1.    GİRİŞ

Özel Gebze Doğa Hastanesi Sağlık Hizmetleri Anonim Şirketi (Kısaca ‘’Merkez Sağlık Grubu’’ ve/veya ‘’Hastane’’ olarak anılacaktır.) Hastanemizce belirlenen üstün hizmet kalitesi, bireylerin haklarına saygı, şeffaflık ve dürüstlük ilkeleri çerçevesinde, Kişisel Verileri Koruma Kanunu (Kısaca ‘’Kanun’’ ve/veya ‘’KVKK’’ olarak anılacaktır.) ile öngörülen yeni düzenlemeler doğrultusunda Hastanemiz iç işleyişinin; Kanun, İkincil Düzenlemeler (Yönetmelik, Tüzük, Genelge, Tebliğ, vd.) Kişisel Verileri Koruma Kurulu Kararları- Düzenlemeleri ve ilgili mevzuat kapsamında düzenlenmesi, önceliklerimiz arasında yer almaktadır. Hastanemiz tarafından kişisel verilerin güvenliği konusunda gereken hassasiyet gösterilmekte, hasta mahremiyetine ve hastalarımıza ait her türlü kişisel verinin mümkün olan en iyi şekilde ve özenle işlenerek muhafaza edilmesine büyük önem verilmektedir. Hastalarımızın yanı sıra refakatçiler, ziyaretçiler ve işbirliği içerisinde olduğumuz kurum ve kuruluş çalışanlarının; “6698 sayılı Kişisel Verilerin Korunması Kanunu”, “Kişisel Sağlık Verilerinin İşlenmesi ve Mahremiyetinin Sağlanması Hakkındaki Yönetmelik” ve ilgili mevzuatta yer alan temel ilkeler çerçevesinde kişisel verileri korumak ve işlemek amacıyla iş bu politika düzenlenerek yürürlüğe sokulmuştur.

2. AMAÇ

Bu Politikanın ana amacı, Merkez Sağlık Grubu tarafından mevzuata uygun bir biçimde yürütülen kişisel veri işleme faaliyeti ve kişisel verilerin korunmasına yönelik yapılanlar konusunda açıklamalarda bulunmak, bu kapsamda hastalarımız, refakatçilerimiz, ziyaretçilerimiz, çalışanlarımız ve kurum yetkililerimiz, işbirliği içinde olduğumuz kurumların çalışanları, yetkilileri ve üçüncü kişiler başta olmak üzere kişisel verileri Hastanemiz tarafından işlenen kişileri bilgilendirerek şeffaflığı sağlamaktır. Merkez Sağlık Grubu tarafından işlenen kişisel veriler verilen sağlık hizmetlerine bağlı olarak değişebilmekle birlikte fiziki ve/veya dijital yöntemlerle toplanmaktadır. Hasta temsilcilerimiz, hekimlerimiz, sağlık personellerimiz, vb. çalışanlarımız, taşeron firmalar ve çalışanları ve her türlü ticari faaliyetler içine girilen firmalar, çağrı merkezimiz, Hastanemize ait internet sitesi, online hizmetler ve benzeri yollarla sözlü, yazılı ya da dijital olarak toplanan sağlık verileri başta olmak üzere özel nitelikli kişisel veriler ve genel nitelikli kişisel veriler, aşağıda yer alan amaçlarla ve yine bunlarla sınırlı olmamak üzere ileride doğabilecek diğer ihtiyaçlar kapsamında işlenmektedir:

  • Tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, 
  • Kamu sağlığının korunması, 
  • Koruyucu hekimlik sağlık hizmetleri ile finansmanının planlanması ve yönetimi,
  • Randevu hakkında hastalarımızı haberdar edebilme
  • Hastanemiz iç prosedürlerinin planlanması ve yönetilmesi, 
  • Sağlık hizmetlerinin mevzuata uygun olarak yerine getirilmesi geliştirme amacıyla analiz yapma, 
  • Çalışanlarımızı eğitme ve geliştirme, çalışanlarımızın özlük süreçlerini ve yasal haklarını koruma, suiistimal ve yetkisiz işlemlerin izlenmesi ve engellenmesi,
  • Risk yönetimi ve kalite geliştirme aktivitelerinin yerine getirilmesi,
  • Araştırma yapılması
  • Yasal ve düzenleyici gereksinimlerin yerine getirilmesi,
  • Hizmetlerimiz karşılığında faturalandırma yapılması,
  • Kimliğinizin teyit edilmesi
  • Yeni doğanın bildirimi,
  • Hastanemiz ile anlaşmalı olan kurumlarla ilişkinizin teyit edilmesi,
  • Sağlık hizmetlerinin finansmanı kapsamında özel sigorta şirketleri tarafından talep edilen her türlü bilgilerin paylaşılması,
  • Sağlık hizmetlerimize ilişkin her türlü soru ve şikâyetlerinize cevap verilebilmesi,
  • Hastanemiz sistem ve uygulamalarının veri güvenliği kapsamında tüm gerekli teknik ve idari tedbirleri alma,
  • Size sunduğumuz sağlık hizmetlerinin geliştirilmesi ve iyileştirilmesi amacıyla sağlık hizmetleri kullanımınızı analiz etme ve sağlık verilerinizin saklanması,
  • İlgili mevzuat gereği saklanması gereken sağlık verilerinize ilişkin bilgilerin muhafaza edilmesi,
  • Anlaşmalı olduğumuz kurumlarla, bankalar ve sağlık harcamaları tahsil edilen tüm kuruluşlar ile (kamu ve özel) size sunulan sağlık hizmetlerine ilişkin finansal mutabakatın sağlanması,
  • İlgili mevzuat uyarınca Sağlık Bakanlığı ve diğer kamu kurum ve kuruluşları ile talep edilen bilgilerin paylaşılması,
  • Hasta memnuniyetinin ölçülmesi, hasta memnuniyetinin arttırılması,
  • Hastanemizin sözleşmeler ve yasal yükümlülüklerini gereği gibi yerine getirilebilmesi,

Kişisel veriler, her türlü sözlü, yazılı ya da dijital ortamda, yukarıda yer verilen amaçların yerine getirilmesi üzere toplanır ve işlenir.

3.    KAPSAM

Bu Politika; hastalarımızın, refakatçilerimizin, ziyaretçilerimizin, kurum yetkililerimizin, çalışanlarımızın, işbirliği ve her türlü hukuki ilişki içinde olduğumuz kişi, kurum ve kuruluşlar ile çalışanlarının, yetkililerinin ve üçüncü kişilerin fiziki ve/veya dijital ortamda işlenen aşağıda tanımlı kişisel verilerini kapsar. 

KİŞİSEL VERİ KATEGORİZASYONU

Kimlik Bilgisi

Ehliyet, nüfus cüzdanı, pasaport, avukatlık kimliği, evlilik cüzdanı gibi dokümanlarda yer alan kişinin kimliğine dair tüm bilgiler

İletişim Bilgisi

Telefon numarası, adres, ikametgâh, e-mail gibi veri sahibiyle iletişim kurulmasına yönelik bilgiler

Lokasyon Verisi

Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan ve veri kayıt sistemi içerisinde yer alan, veri sahibinin konumunu tespit etmeye yarayan veriler

Aile Bireyleri ve Yakın Bilgisi

Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan ve veri kayıt sistemi içerisinde yer alan, ilgili Kurum ve veri sahibinin hukuki menfaatlerini korumak amacıyla işlenen kişisel veri sahibinin aile bireyleri ve yakınları hakkındaki bilgiler

Fiziksel Mekan

Fiziksel mekana girişte, fiziksel mekânın içerisinde kalış sırasında alınan kamera kayıtları, parmak izi kayıtları gibi kayıtlar ve belgelere ilişkin kişisel veriler

İşlem Güvenliği Bilgisi

Faaliyetlerimizi yürütürken teknik, idari, hukuki ve ticari güvenliğimizi sağlamamız için işlenen kişisel verileriniz

Finansal Bilgi

Hastanemiz kişisel veri sahibi ile kurmuş olduğu hukuki ilişkinin tipine göre yaratılan her türlü finansal sonucu gösteren bilgi, belge ve kayıtlara ilişkin işlenen kişisel veriler

Çalışan Adayı Bilgisi

Hastanemiz çalışanı olmak için başvuruda bulunmuş veya ticari teamül ve dürüstlük kuralları gereği Hastanemiz insan kaynakları ihtiyaçları doğrultusunda çalışan adayı olarak değerlendirilmiş veya Hastanemizle çalışma ilişkisi içerisinde olan bireylerle ilgili işlenen kişisel veriler

Özlük Bilgisi

Bordro Bilgileri, Disiplin Soruşturması, işe giriş-çıkış belgesi kayıtları, mal bildirimi bilgileri, özgeçmiş bilgileri, performans değerlendirme raporları ile ilgili bilgiler.

Performans ve Kariyer Gelişim Bilgisi

Performans Değerlendirme mülakatları, sonuçları, raporları, testleri gibi bilgiler

Yan Haklar

Yan Haklara ilişkin bilgiler

Hukuki İşlem

Hukuki alacak ve haklarımızın tespiti, takibi ve borçlarımızın ifası ile kanuni yükümlülüklerimiz ve Hastane politikalarına uyum kapsamında işlenen kişisel veriler

Mesleki Deneyim

İş Sözleşmesinin içeriği, işe başlama bilgisi/ tarihi, işe son verme bilgisi/ tarihi,  ile ilgili kişisel veriler

Özel Nitelikli Veri

Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.

Pazarlama Bilgisi

Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan ve veri kayıt sistemi içerisinde yer alan, Hastane tarafından pazarlama faaliyetlerinde kullanılacak veriler

Olay Yönetimi Bilgisi

Hastanemizin ticari hak ve menfaatleri ile hizmet alan kişilerin hak ve menfaatlerini korumak maksatlı gelişen olaylara karşı gerekli hukuki, teknik ve idari tedbirlerin alınmasına yönelik olarak işlenen kişisel veriler

Görsel ve İşitsel Veri

Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan ve veri kayıt sistemi içerisinde yer alan, kişisel veri sahibiyle ilişkilendirilen görsel ve işitsel kayıtlar

Kişisel veri sahipleri gruplarına göre bu politikanın uygulama kapsamı Politikanın tamamı olabileceği gibi (Örneğin hastalarımız gibi); yalnızca bir kısım hükümleri de (Örneğin yalnızca çalışanlarımız, tedarikçilerimiz vb.) olabilecektir.

 Hastanemiz’ in online hizmetlerinden faydalanmak üzere çağrı merkezi veya internet sitesi kullanıldığında, kurum içi intranette, eğitim, hastanenin düzenlemiş olduğu etkinliklere katılımda veya internet sayfaları ziyaret edildiğinde de kişisel veriler işlenebilecektir.

4. TANIMLAR

Açık Rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.
Anonim Hale Getirme:  Kişisel verinin, kişisel veri niteliğini kaybedecek ve bu durumun geri alınamayacağı şekilde değiştirilmesidir. Örneğin maskeleme, toplulaştırma, veri bozma vb. tekniklerle kişisel verinin bir gerçek kişi ile ilişkilendirilemeyecek hale getirilmesi. Kişisel verilerin çeşitli amaçlarla ancak KVKK kapsamını ve açık rızayı ihlal etmeyecek şekilde ilgili kişinin talebi ve/veya rızasına uygun olarak anonim hale getirilmesi mümkündür. Anonim hale getirilen kişisel verinin çeşitli yöntemler ile kişiyi belirlenebilir kılan bir hale getirilmemesi için Hastanemiz içerisinde gerekli önlemler alınacaktır. 
İşbirliği İçerisinde Olduğumuz Kurumların Çalışanları, Hissedarları ve Yetkilileri: Hastanemiz’ in her türlü iş ilişkisi içerisinde bulunduğu kurumlarda (iş ortağı, tedarikçi gibi, ancak bunlarla sınırlı olmaksızın) çalışan, bu kurumların hissedarları ve yetkilileri dahil olmak üzere, gerçek kişileri ifade eder.
Kişisel Verilerin İşlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi ifade eder.
İlgili Kişi: Kişisel verisi işlenen gerçek kişiyi ifade eder. Hastanemizin gerçek ve/veya tüzel kişi iş ortaklarının, hissedarlarının, yöneticilerinin veya çalışanlarının, misafirlerinin, çalışanlarının kişisel veri ve özel nitelikli kişisel verilerinin işlenmesi ve korunması KVKK ve Politika kapsamında Hastanemizce ele alınacaktır.
Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade eder. Kişiyi belirlenebilir kılan tüm bilgiler kişisel veri olarak düzenlenmiş olup, TC Kimlik Numarası, Adı Soyadı, e-posta adresi, telefon numarası, ikametgah adresi, doğum tarihi, banka hesap numarası gibi bilgiler kişisel verilere örnek olarak verilebilir.

Hastanemiz içinde bu veriler sınıflandırılmaya tabi tutulmuş ve her kategori verinin ne şekilde, kimler tarafından, hangi amaçla, ne kadar süre ile işleneceği gibi hususlar veri envanteri ile düzenlenmiştir. 


Hasta: Hastanemize tetkik, tedavi için müracaat edip ayaktan ya da yatarak tedavi gören kişiyi ifade eder.
Özel Nitelikli Kişisel Veri: Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık kıyafet, dernek vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik veriler özel nitelikli verileri ifade eder.
Üçüncü Kişi: Hastanemizin yukarıda bahsi geçen taraflarla arasındaki ticari işlem güvenliğini sağlamak veya bahsi geçen kişilerin haklarını korumak ve menfaat temin etmek üzere bu kişilerle ilişkili olan üçüncü tarafgerçek kişileriifade eder. (Örneğin hizmet alınan firma çalışan veya yetkilileri, Refakatçi vb.)
Veri İşleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel veri işleyen gerçek ve tüzel kişiyi ifade eder. Örneğin Hastanemizin verilerini tutan bilişim firması.
Veri Sorumlusu: Kişisel verilerin işlenme amaçlarını ve vasıtalarını belirleyen, verilerin sistematik bir şekilde tutulduğu yeri (veri kayıt sistemi) yöneten kişiyi ifade eder.

KVKK kapsamında Hastanemiz veri sorumlusu sıfatına haiz olacak olup, VERBİS sistemine kayıt olacaktır. Kayıt esnasında veri sorumlusu sıfatı ile yürütülecek işlemleri yürütmek üzere Hastanemiz içerisinden 11 kişiden oluşan bir ekip ( Kişisel Veri Sorumlusu Ekibi ) kurulmuş olup, KVKK ve Veri Koruma Kurulu düzenlemeleri kapsamındaki tüm iş ve işlemlerin takibinden ve koordinasyonundan bu ekip sorumlu olacaktır. Karar alınmasını gerektiren durumlarda Hastane içi Kişisel Veri Sorumlusu ekibi Hukuk Müşavirliği’nin de görüşünü aldıktan sonra yönetime tavsiye niteliğindeki kararını sunacak, yönetimin onayına müteakip alınan karar uygulamaya konulacaktır.

Ziyaretçi: Hastanemizin sahip olduğu fiziksel alanlara çeşitli amaçlarla girmiş olan veya internet sitelerimizi ziyaret eden gerçek kişileri ifade eder.

5. POLİTİKANIN VE İLGİLİ MEVZUATIN UYGULANMASI

Kişisel verilerin işlenmesi ve korunması yürürlükte bulunan ilgili kanuni düzenlemeler çerçevesinde yürütülür. Merkez Sağlık Grubu Kişisel Verilerin Korunması Politikası güncel yönetmeliklerle uyumlu olarak hazırlanmıştır.

Politika, ilgili mevzuat tarafından ortaya konulan kurallar çerçevesinde Merkez Sağlık Grubu uygulamaları ile entegre edilerek oluşturulmuştur. KVKK’ da öngörülen yürürlük sürelerine  bağlı kalarak, gerekli hazırlıklarını yürütmektedir. Yukarıda kapsam başlığı altında 3. Maddede belirtilen kişisel veriler gerektiğinde 3359 sayılı Sağlık Hizmetleri Temel Kanunu, 663 sayılı Sağlık Bakanlığı ve Bağlı Kuruluşlarının Teşkilat ve Görevleri Hakkında Kanun Hükmünde Kararname, Özel Hastaneler Yönetmeliği, Kişisel Sağlık Verilerinin İşlenmesi ve Mahremiyetinin Korunması Yönetmeliği ve Sağlık Bakanlığı düzenlemeleri vb. mevzuat hükümleri çerçevesinde işlenebilecek, hastanelerimize ve/veya tedarikçilerimize ait fiziki arşivler ve bilişim sistemlerine nakledilecektir. Sonuç olarak kişisel veriler kurum prosedürlerinde tanımlı yasal sürelere uygun olarak hem dijital hem de fiziki ortamda korunacaktır.

6. KİŞİSEL VERİLERİN İŞLENME İLKELERİ

Kişisel Verilerin İşlenmesinde Genel İlkeler: Hastane KVKK’ nın 4. maddesi doğrultusunda işbu politika kapsamında kalan kişisel verilerin aşağıdaki ilkelere uygun olarak işleyeceğini kabul etmektedir:

Hukuka Ve Dürüstlük Kurallarına Uygunluk: Hastane, veri sorumlusu sıfatı ile basiretli bir tacir olarak Anayasa ve KVKK başta olmak üzere yürürlüğe girecek olan tüm mevzuat hükümlerine uygun olarak ve Türk Medeni Kanunu’nun 2. maddesi ile öngörülen dürüstlük kuralına uygun bir biçimde kişisel veri işleme faaliyetlerini yürüteceğini kabul etmektedir.

Doğruluk ve Güncellik: Hastane, kişisel verilerin işlenmesi faaliyetlerinde tekniğin elverdiği ölçüde kişisel verilerin doğruluk ve güncelliğinin sağlanması için gerekli tüm tedbirleri almaktadır. İlgili kişinin veri sorumlusu sıfatıyla Hastane’ ye bildireceği talepler Hastane’ nin bizzat gerekli göreceği durumda hatalı veya güncel olmayan kişisel verilerin düzeltilmesi ve doğruluğunun denetlenmesi için Hastane tarafından kurulan idari ve teknik mekanizmalar işletilecektir.  

Belirli, açık ve meşru amaçlar için işlemek: Hastane tarafından kişisel veriler, ilgili mevzuat hükümlerinin gereklilikleri ile sunulan veya sunulacak olan hizmetlerle sınırlı olarak hukuka uygun biçimde işlenmekte olup, kişisel verilerin işlenme amacı verilerin işlenmeye başlanmasından önce açık ve kesin olarak belirlenmektedir. 

Amaçla bağlantılı, sınırlı ve ölçülü işlemek: Hastane tarafından kişisel veriler işlenme amaçlarıyla bağlantılı ve sınırlı olarak ve bu amacın gerçekleşmesi için gerekli ölçüde işlenmektedir. Bu kapsamda verilerin işlenme amacı ile ilgili olmayan ve ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınılması temel esastır. 

Mevzuat hükümleriyle öngörülen veya işlenme amacının gerektirdiği süre ile sınırlı olarak işlemek: Kişisel veriler ilgili mevzuat hükümleriyle öngörülen süreler doğrultusunda ve/veya verilerin işlenme amacının gerektirdiği süre boyunca muhafaza edilmektedir. Mevzuat hükümleri ile öngörülen sürenin sonunda veya işlenme amacının gerektirdiği süre sonunda kişisel veriler Hastane tarafından silinmekte, yok edilmekte veya anonim hale getirilmektedir. Verilerin gerekli sürenin sonunda muhafaza edilmesinin önlenmesi için gerekli idari ve teknik tedbirler alınacaktır.

7. KİŞİSEL VERİLERİN İŞLENME ŞARTLARI

Kişisel verilerin korunması Anayasal bir haktır. Anayasa’ nın 20’ nci maddesinin üçüncü fıkrası gereğince, kişisel veriler ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilecektir. Hastanemiz bu doğrultuda ve Anayasa’ ya uygun bir biçimde; kişisel verileri, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlemektedir.

Hastanemiz tarafından kişisel verilerin işlenmesine yönelik hukuki dayanaklar farklılık gösterse de, her türlü kişisel veri işleme faaliyetinde 6698 sayılı KVKK’ nın 4’ncü maddesinde belirtilen genel ilkelere uygun olarak hareket edilmektedir.

Kişisel veri sahibinin açık rıza vermesi, kişisel verilerin hukuka uygun olarak işlenmesine olanak tanıyan hukuki dayanaklardan yalnızca bir tanesidir. Açık rıza dışında, aşağıda yazan diğer şartlardan birinin varlığı durumunda da kişisel veriler işlenebilir. Kişisel veri işleme faaliyetinin dayanağı aşağıda belirtilen şartlardan yalnızca biri olabileceği gibi bu şartlardan birden fazlası da aynı kişisel veri işleme faaliyetinin dayanağı olabilir. İşlenen verilerin özel nitelikli kişisel veri olması halinde aşağıda yer alan şartlar uygulanır:

Kişisel Veri Sahibinin Açık Rızasının Bulunması: Kişisel verilerin işlenmesinde ana kural ilgili kişinin verilerinin işlenmesi hususunda açık rızasının bulunmasıdır. Hastane, ilgili kişinin KVKK ile öngörüldüğü biçimde tereddüde mahal bırakmayacak açıklıkta ve işleneceği amaca dair aydınlatılması üzerine vereceği açık rızası doğrultusunda, rızanın kapsadığı işlemler için veri işleme faaliyetlerini yürütecektir.

Kanunlarda Açıkça Öngörülmesi: KVKK gereği ilgili kişilerin açık rızası olmasa dahi kişisel verilerin mevzuat hükümleri gereği işlenmesinin zorunlu olduğu durumlarda veri işleme faaliyetleri gerekli diğer kriterlerin sağlanması şartı ile hukuka uygun kabul edilecektir. 

Fiili İmkânsızlık Sebebiyle İlgilinin Açık Rızasının Alınamaması: KVKK gereği ilgili kişinin fiili olarak rızasını açıklamasının mümkün bulunmadığı veya rızasına hukuken geçerlilik tanınamayacağı durumlarda ilgili kişinin kendisinin veya başkasının hayatının veya beden bütünlüğünün korunması için kişisel verilerinin işlenmesinin zorunlu olması halinde kişisel verilerin işlenmesi mümkündür. Hastane, anılan bu düzenleme doğrultusunda öngörülen hallerde kişisel verileri işleyecektir.

Sözleşmenin Kurulması veya İfasıyla Doğrudan İlgi Olması: Sözleşmenin kurulması ve ifası ile doğrudan ilgili olmak kaydı ile sözleşmenin taraflarına ait kişisel veriler Hastane tarafından işlenecektir.

Kurumun Hukuki Yükümlülüğünü Yerine Getirmesi: KVKK gereği Veri Sorumlusu sıfatına haiz Hastane’ nin mevzuat hükümlerinden doğan yükümlülüklerini yerine getirebilmesi için söz konusu yükümlülüğün sınırları ile bağlı olacak şekilde Hastane tarafından kişisel veriler işlenecektir.

Kişisel Veri Sahibinin Kişisel Verisini Alenileştirmesi: İlgili kişinin kişisel verilerini alenileştirmesi halinde Hastane tarafından söz konusu kişisel veriler, alenileştirilme amaçları ile orantılı olarak işlenecektir.

Bir Hakkın Tesisi veya Korunması için Veri İşlemenin Zorunlu Olması: Kişisel veriler, bir hakkın tesisi, kullanılması veya korunması için zorunlu olduğu ölçüde Hastane tarafından işlenecektir.

Hastanemizin Meşru Menfaati için Veri İşlemenin Zorunlu Olması: İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydı ile Veri Sorumlusu sıfatına haiz Hastane’ nin meşru menfaatleri doğrultusunda kişisel veriler işlenebilecektir. Ancak Hastane’ nin meşru menfaatleri ifadesi hiçbir surette KVKK ile belirlenen ilkelere, kişisel verinin işlenme amacına aykırı olamaz ve Anayasa ile güvence altına alınmış olan hakkın özüne müdahale niteliğinde olamaz.

8. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİ ŞARTLARI

Hastanemiz tarafından, KVKK ile “özel nitelikli” olarak belirlenen kişisel verilerin işlenmesinde, KVKK’ xda öngörülen düzenlemelere hassasiyetle uygun davranılmaktadır.

KVKK’ nın 6’ ncı maddesinde, hukuka aykırı olarak işlendiğinde kişilerin mağduriyetine veya ayrımcılığına sebep olma riski taşıyan bir takım kişisel veri “özel nitelikli” olarak belirlenmiştir. Bu veriler; ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir.

KVKK’ ya uygun bir biçimde Hastanemiz tarafından; özel nitelikli kişisel veriler,  Kişisel Verileri Koruma Kurulu tarafından belirlenecek olan yeterli önlemlerin alınması kaydıyla aşağıdaki durumlarda işlenmektedir:

  • Kişisel veri sahibinin açık rızası var ise veya,
  • Kişisel veri sahibinin açık rızası yok ise; kişisel veri sahibinin sağlığı ve cinsel hayatı dışındaki özel nitelikli kişisel veriler, kanunlarda öngörülen hallerde,
  • Kişisel veri sahibinin sağlığına ve cinsel hayatına ilişkin özel nitelikli kişisel verileri ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenmektedir.

9. KİŞİSEL VERİLERİN GÜVENLİĞİNİN SAĞLANMASI

Hastanemiz, işlemekte olduğu kişisel verilerin hukuka aykırı olarak işlenmesini önlemek ve verilerin muhafazasını sağlamak için yüksek  güvenlik düzeyini sağlamaya yönelik gerekli teknik ve idari tedbirleri almakta, bu kapsamda gerekli denetimleri yapmakta veya yaptırmaktadır.

Hastanemiz tarafından KVKK’ nın 12’ nci maddesi uyarınca “veri güvenliğini” sağlamaya yönelik alınan aksiyonlar ve tedbirler aşağıda belirtilmektedir:

  • Hastanemiz, kişisel verilerin hukuka uygun işlenmesini sağlamak için, teknolojik olanaklar ve uygulama maliyetine göre teknik ve idari önlemleri almaktadır.
  • Çalışanlar, öğrendikleri kişisel verileri KVKK hükümlerine aykırı olarak başkasına açıklayamayacağı ve işleme amacı dışında kullanamayacağı ve bu yükümlülüğün görevden ayrılmalarından sonra da devam edeceği konusunda bilgilendirilmekte ve bu doğrultuda kendilerinden gerekli taahhütler alınmaktadır. 
  • Hastanemiz, kişisel verilerin tedbirsizlikle veya yetkisiz olarak açıklanmasını, erişimini, aktarılmasını veya başka şekillerdeki tüm hukuka aykırı erişimi önlemek için teknik ve idari tedbirler almaktadır. 
  • Hastanemiz, kişisel verilerin hukuka aykırı olarak işlenmesinin önlenmesi, verilere hukuka aykırı olarak erişilmesinin önlenmesi ve verilerin hukuka uygun muhafazasının sağlanması konusunda kişisel verileri aktarmış olduğu iş ortakları ve tedarikçiler gibi veri işleyen kurumlar bazında da farkındalıkları arttırmaktadır.
  • Hastanemiz’ in veri sorumlusu olarak kişisel verileri işlerken uymak zorunda olduğu yükümlülükler ve bu konuda geliştirdiği hukuksal, idari ve teknik tedbirlere uyma zorunluluğu Hastanemiz’ in tedarikçi, iş ortağı gibi çeşitli sıfatlarla ilişkide olduğu veri işleyen kurumlara veri işleme konusunda gerçekleştirdikleri faaliyetin niteliğiyle uyumlu bir şekilde sözleşmeler yapılmaktadır.
  • Hastanemiz kendi bünyesi içerisinde gerekli denetimleri yapmakta veya yaptırmaktadır. Bu denetim sonuçları Hastanenin iç işleyişi kapsamında konu ile ilgili bölüme raporlanmakta ve alınan tedbirlerin iyileştirilmesi için gerekli faaliyetler yürütülmektedir.
  • Hastanemiz, KVKK’ nın 12’ nci maddesine uygun olarak işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde bu durumu en kısa sürede ilgili kişisel veri sahibine ve Kişisel Verileri Koruma Kurulu’ na bildirilmesini sağlayan sistemi yürütmektedir. 

10. KİŞİSEL VERİLERİN AKTARILMASI

Hastanemiz hukuka uygun olan kişisel veri işleme amaçları doğrultusunda gerekli güvenlik önlemlerini alarak kişisel veri sahibinin kişisel verilerini ve özel nitelikli kişisel verilerini üçüncü kişilere (üçüncü kişi şirketlere, kurumlara, grup şirketlerine, üçüncü gerçek kişilere) aktarabilmektedir. Hastanemiz bu doğrultuda KVKK’ nın 8’inci maddesinde öngörülen düzenlemelere uygun hareket etmektedir.
    
Kişisel verileriniz, Kanun ve diğer mevzuat kapsamında ve yukarıda yer verilen amaçlarla Merkez Sağlık Grubu’nin çalışmış olduğu Tıp Merkezleri, Üniversiteler, Sağlık Bakanlığı, bağlı alt birimleri ve Aile Hekimliği merkezleri, özel sigorta şirketleri (sağlık, emeklilik ve hayat sigortası vb.), Sosyal Güvenlik Kurumu, Emniyet Genel Müdürlüğü ve diğer kolluk kuvvetleri, Nüfus Genel Müdürlüğü, Türkiye Eczacılar Birliği, mahkemeler ve bununla bağlı kalmamak kaydı ile tüm kamu kurum ve kuruluşları, tıbbi teşhis için iş birliği içerisinde olduğumuz yurt içinde veya yurt dışında bulunan laboratuvarlar, tıp merkezleri ve sağlık hizmeti sunan üçüncü kişiler, hastanın sevk edildiği veya hastanın kendisinin başvurduğu sağlık kuruluşu, yetki vermiş olduğunuz temsilcileriniz, bağlı olduğunuz ve/veya çalışmakta olduğumuz kurum, avukatlar, vergi danışmanları ve denetçiler de dâhil olmak üzere danışmanlık aldığımız üçüncü kişiler, düzenleyici ve denetleyici kurumlar ve resmi merciler, yurt içindeki veya yurt dışındaki sistemler, hizmetlerinden faydalandığımız veya işbirliği içerisinde olduğumuz tedarikçilerimiz, destek hizmet sağlayıcılarımız ve iş ortaklarımız (Daha detaylı bilgi için Hastanemize yazılı olarak başvurabilirsiniz.) ile paylaşılabilecektir. 

11. KİŞİSEL VERİLERİN YURTDIŞINA AKTARILMASI

Merkez Sağlık Grubu kişisel veri işleme amaçları doğrultusunda gerekli güvenlik önlemleri alarak kişisel veri sahibinin kişisel verilerini ve özel nitelikli kişisel verilerini dış ülkelerin sözleşmeli özel ve resmi kuruluşlarına, yabancı sağlık ve sigorta kuruluşlarına, tıbbi zorunluluk gereği paylaşılması gereken hizmet sağlayıcı kuruluşlara aktarabilmektedir. Hastanemiz tarafından kişisel veriler; Kişisel Verileri Koruma Kurulu tarafından yeterli korumaya sahip olduğu ilan edilen yabancı ülkelere (“Yeterli Korumaya Sahip Yabancı Ülke”) veya yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt ettiği ve Kişisel Verileri Koruma Kurulu’nun izninin bulunduğu yabancı ülkelere (“Yeterli Korumayı Taahhüt Eden Veri Sorumlusunun Bulunduğu Yabancı Ülke ”) aktarılmaktadır. Hastanemiz bu doğrultuda KVKK’nın 9’ uncu maddesinde öngörülen düzenlemelere uygun hareket etmektedir.

12. KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VE ANONİMLEŞTİRİLMESİ ŞARTLARI

Türk Ceza Kanunu’nun 138’ inci maddesinde ve KVKK’ nın 7’ nci maddesinde düzenlendiği üzere ilgili kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde Hastanemizin ilgili prosedürlerine istinaden veya kişisel veri sahibinin talebi üzerine kişisel veriler silinir, yok edilir veya anonim hâle getirilir.

Bu kapsamda Hastanemiz ilgili yükümlülüğünü yerine getirmek üzere ilgili iş birimlerini eğitmekte, görevlendirmekte ve farkındalıklarını arttırmaktadır.

Hastanemiz binalarına gelen kişilerin isim ve soyadları elde edilirken ya da Kurum nezdinde asılan ya da diğer şekillerde misafirlerin erişimine sunulan metinler aracılığıyla söz konusu kişisel veri sahipleri bu kapsamda aydınlatılmaktadır.

Hastanemiz tarafından güvenliğin sağlanması ve bu Politikada belirtilen amaçlarla; Hastanemiz tarafından Bina ve Tesislerimiz içerisinde kalınan süre boyunca talep eden ziyaretçilerimize internet erişimi sağlanabilmektedir. Bu durumda internet erişimlerine ilişkin log kayıtları 5651 sayılı Kanun ve bu Kanuna göre düzenlenmiş olan mevzuatın amir hükümlerine göre kayıt altına alınmakta; bu kayıtlar ancak yetkili kamu kurum ve kuruluşları tarafından talep edilmesi veya Kurum içinde gerçekleştirilecek denetim süreçlerinde ilgili hukuki yükümlülüğümüzü yerine getirmek amacıyla işlenmektedir.

Bu çerçevede elde edilen log kayıtlarına yalnızca sınırlı sayıda Hastane çalışanının erişimi bulunmaktadır. Bahsi geçen kayıtlara erişimi olan Hastane çalışanları bu kayıtları yalnızca yetkili kamu kurum ve kuruluşundan gelen talep veya denetim süreçlerinde kullanmak üzere erişmekte ve hukuken yetkili olan kişilerle paylaşmaktadır. Kayıtlara erişimi olan sınırlı sayıda kişi gizlilik taahhütnamesi ile eriştiği verilerin gizliliğini koruyacağını beyan etmektedir.

Hastanemiz sahibi olduğu internet sitelerinde; bu siteleri ziyaret eden kişilerin sitelerdeki ziyaretlerini ziyaret amaçlarıyla uygun bir şekilde gerçekleştirmelerini temin etmek; kendilerine özelleştirilmiş içerikler gösterebilmek ve çevrimiçi tanıtım faaliyetlerinde bulunabilmek maksadıyla teknik vasıtalarla site içerisindeki internet hareketlerini kaydetmektedir.

13. KİŞİSEL VERİ SAHİBİNİN AYDINLATILMASI VE BİLGİLENDİRİLMESİ

Hastanemiz tarafından KVKK’ nın 10’ uncu maddesine uygun olarak, kişisel verilerin elde edilmesi sırasında kişisel veri sahipleri aydınlatılmaktadır. Bu kapsamda Hastanemiz tarafından kişisel veri sahiplerine kişisel verilerinin elde edilmesi sırasında Hastanemizin kimliği, kişisel verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi ile kişisel veri sahibinin KVKK’ nın 11’ inci maddesi kapsamında sahip olduğu haklarla ilgili aydınlatma yapılmaktadır.

Anayasa’nın 20’ nci maddesinde herkesin kendisine ait kişisel veriler ile ilgili bilgi alma hakkına sahip olduğu ortaya konulmuştur. Bu doğrultuda KVKK’nın 11’ inci maddesinde kişisel veri sahibinin hakları arasında “bilgi talep etme hakkı” da sayılmıştır. Hastanemiz bu kapsamda, Anayasa’nın 20’ inci ve KVKK’nın 11’ inci maddesine uygun olarak kişisel veri sahibinin bilgi talep etmesi durumunda gerekli bilgilendirmeyi yapmaktadır.

Hastanemiz kişisel veri sahipleri ile ilgililere, kişisel verilerin korunmasındaki kurum politikasını, çeşitli kamuoyuna açık dokümanlarla duyurarak, kişisel veri işleme faaliyetlerinde ilgilileri bilgilendirmeyi ve bu çerçevede hesap verilebilirliği ve şeffaflığı sağlamaktadır. Ayrıca Hastanemiz ilgili kişileri; kişilerin “açık rıza” sına başvurduğu zamanlar başta olmak üzere, kendi faaliyetleri ve kanundaki maddeler hakkında farklı yöntemlerle de bilgilendirmektedir.

14. VERİ SAHİBİNİN HAKLARI; BİLGİ TALEP ETME, İLETİŞİM KANALLARI VE VERİ SAHİPLERİNİN TALEPLERİNİN DEĞERLENDİRİLMESİ

Hastanemiz, kişisel veri sahiplerinin haklarının değerlendirilmesi ve kişisel veri sahiplerine gereken bilgilendirmenin yapılabilmesi için KVKK’ nın 13’ üncü maddesine uygun olarak gerekli kanalları, iç işleyişi, idari ve teknik düzenlemeleri yürütmektedir. 

Kişisel veri sahipleri aşağıda sıralanan haklarına ilişkin taleplerini yazılı olarak şahsen başvuru ile ve özel yetkili vekâletname ile Hastanemiz’ e iletmeleri durumunda Hastanemiz talebin niteliğine göre talebi en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandırmaktadır. Kişisel veri sahipleri kendisiyle ilgili olmak kaydıyla;

  • Kişisel veri işlenip işlenmediğini öğrenme,
  • Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
  • Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
  • Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
  • Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
  • Kişisel verilerin silinmesini veya yok edilmesini isteme,
  • Kişisel verilerin düzeltilmesi, silinmesi ya da yok edilmesi halinde bu işlemlerin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
  • İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
  • Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme, haklarına sahiptir.

KVKK’nın 13’ üncü maddesinin 1’ inci fıkrası gereğince yukarıda belirtilen hakların kullanılması ile ilgili talebin “yazılı” olarak Hastanemiz’ e (veri sorumlusuna) iletilmesi gerekmektedir.

KVKK çerçevesinde belirtilen hakların kullanılması için, kimliği tespit edici gerekli bilgiler ve kullanmak istenilen haklara yönelik açıklamalarla birlikte talebin, KVKK’ nın 11’ inci maddesinde belirtilen hangi hakkın kullanımına ilişkin olduğunun da belirtilerek Hastanemiz’ e iletilmesi, talebe ilişkin başvurunun daha hızlı ve etkili bir şekilde cevaplandırılmasını sağlayacaktır. 

15. BİNA, TESİS GİRİŞLERİ İLE BİNA TESİS İÇERİSİNDE YAPILAN KİŞİSEL VERİ İŞLEME FAALİYETLERİ İLE İNTERNET SİTESİ ZİYARETÇİLERİ

Hastanemiz tarafından güvenlik amacıyla kamera ile izleme faaliyeti yürütülmesinde KVKK’ da yer alan düzenlemelere uygun hareket edilmektedir.

Hastanemiz binalarında ve tesislerinde güvenlik kamerasıyla izleme faaliyeti ile hasta, personel, ziyaretçi, tedarikçi firma çalışanlarının giriş çıkışlarının takibine yönelik kişisel veri işleme faaliyetinde bulunulmaktadır.

Güvenlik kameraları kullanılması ve misafir giriş çıkışlarının kayıt altına alınması yoluyla Hastanemiz tarafından kişisel veri işleme faaliyeti yürütülmektedir.

Bu kapsamda Hastanemiz Anayasa, KVKK ve ilgili diğer mevzuata uygun olarak hareket etmektedir.

Hastanemizin bina, tesis girişlerinde ve tesis içerisinde kamera ile izleme sistemi vasıtasıyla ziyaretçilerimizin görüntü kayıtları ve gerekli yerlerde ses kayıtları alınmaktadır.

Hastanemiz, güvenlik kamerası ile izleme faaliyeti kapsamında; sunulan hizmetin kalitesini artırmak, güvenilirliğini sağlamak, kurumun, hasta ve çalışanların  diğer kişilerin güvenliğini sağlamak, hastaların  aldıkları sağlık hizmeti ve diğer hizmetlere ilişkin menfaatlerini korumak gibi amaçlar taşımaktadır.

Hastanemiz tarafından yürütülen kamera ile izleme faaliyeti, Özel Güvenlik Hizmetlerine Dair Kanun ve ilgili mevzuata uygun olarak sürdürülmektedir.

Dijital ortamda kaydedilen ve muhafaza edilen kayıtlara sadece yetkilendirilmiş kurum çalışanlarının ve/veya tedarikçi firma çalışanlarının  erişimi bulunmaktadır. Canlı kamera görüntülerini ise, dışarıdan hizmet alınan güvenlik görevleri izleyebilmektedir. Kamera kayıtları 2 ay süreyle saklanmaktadır.

Hastanemiz tarafından KVKK’ nın 12’ nci maddesine uygun olarak, kamera ile izleme faaliyeti sonucunda elde edilen kişisel verilerin güvenliğinin sağlanması için gerekli teknik ve idari tedbirler alınmaktadır.

16. YÜRÜRLÜĞE GİRMESİ

Özel Gebze Doğa Sağlık Hizmetleri Anonim Şirketi Kişisel Verilerin Korunması ve İşlenmesi Politikası 17.08.2020 tarihinde yürürlüğe girer. Politikanın tamamının veya belirli maddelerinin yenilenmesi durumunda Politika’ nın yürürlük tarihi yenilenen madde için o maddenin revize edildiği tarihtir.