HANZADE SAĞLIK HİZMETLERİ SANAYİ VE TİCARET LİMİTED ŞİRKETİ
XXXXXXX XXXXXX HİZMETLERİ SANAYİ VE TİCARET LİMİTED ŞİRKETİ
KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASI
1
İÇİNDEKİLER
2.2. POLİTİKA KAPSAMINDAKİ KİŞİ GRUPLARI 3
2.3. KİŞİSEL VERİ TOPLAMA YÖNTEMİ VE HUKUKİ SEBEBİ 4
3. KİŞİSEL VERİ SAHİPLERİNİN AYDINLATILMASI 10
4. KİŞİSEL VERİ SAHİPLERİNİN TALEPLERİNİN SONUÇLANDIRILMASI 10
4.1. KİŞİSEL VERİ SAHİPLERİNİN HAKLARI 11
4 2. MEVZUAT GEREĞİ KİŞİSEL VERİ SAHİPLERİNİN HAKLARI DIŞINDA KALAN HALLER11
6. KİŞİSEL VERİLERİN GÜVENLİĞİNİN VE GİZLİLİĞİNİN SAĞLANMASI 13
7. KİŞİSEL VERİLERİN İŞLENME AMAÇLARI VE VERİ İŞLEME FAALİYETİNE
KONU OLAN KİŞİSEL VERİ GRUPLARI 16
8. KİŞİSEL VERİLERİN İMHASI 21
11. İLGİLİ PROSEDÜR VE FORMLAR… 25
1. AMAÇ VE KAPSAM
XXXXXXX XXXXXX HİZMETLERİ SAN. VE TİC. LTD. ŞTİ. / XXXX XXXXX HOSPİTAL
(“HASTANE” olarak anılacaktır), kişisel verilerin işlenmesi ve korunmasına ilişkin yürürlükte bulunan tüm mevzuat ile uyumlu davranmak için azami gayreti göstermektedir.
HASTANE, Kişisel Verilerin Korunması ve İşlenmesi Politikası (“Politika”) çerçevesinde, Şirket tarafından gerçekleştirilen kişisel verileri işleme faaliyetlerinin yürütülmesinde benimsenen ilkeler açıklanmaktadır.
Politika ile, HASTANE’in “şirket faaliyetlerinin şeffaflık içinde yürütülmesi ilkesi”nin sürdürülebilirliği amaçlanmaktadır. Bu kapsamda, Hastane veri işleme faaliyetlerinin 6698 sayılı Kişisel Verilerin Korunması Kanunu’nda (“KVK Kanunu”) yer alan düzenlemelere uyumu bakımından benimsenen temel prensipler belirlenmekte ve Hastane tarafından yerine getirilen uygulamalar açıklanmaktadır.
Politika; Hastane tarafından otomatik olan veya herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla gerçekleştirilen, kişisel verileri işlenen gerçek kişilere yöneliktir.
Politika, Hastane tarafından internet sitesinde yayımlanarak kamuoyuna sunulmuştur. Başta Kanun olmak üzere yürürlükteki mevzuat ile bu Politika’da yer verilen düzenlemelerin çelişmesi halinde mevzuat hükümleri uygulanır.
Hastane, yasal düzenlemelere paralel olarak Politika’da değişiklik yapma hakkını saklı tutar. Politika’nın güncel versiyonuna Hastane web sitesinden [ xxx.xxxxxxxxxxxxx.xxx.xx] erişilebilir.
2. POLİTİKA ESASLARI
2.1. Genel Esaslar
Politika, kişisel veri sahiplerinin erişimine açık olacak biçimde Hastane’nin xxx.xxxxxxxxxxxxx.xxx.xx internet sitesinde yayınlanır. Mevzuatta gerçekleştirilecek değişiklik ve yeniliklere paralel olarak, Politika’da yapılacak değişiklikler, veri sahiplerinin kolaylıkla erişim sağlayabileceği biçimde erişime açılacaktır.
Kişisel verilerin korunması ve işlenmesine ilişkin yürürlükte bulunan mevzuat ile ile işbu Politika arasında çelişki bulunması halinde, Hastane yürürlükte bulunan mevzuatın uygulama alanı bulacağını kabul etmektedir.
2.2. Politika Kapsamındaki Kişi Grupları
Politika kapsamında olan ve Hastane tarafından kişisel verileri işlenen İlgili Kişi grupları aşağıdaki gibidir:
İLGİLİ KİŞİ KATEGORİLERİ | AÇIKLAMA | |
1 | Hasta | Hastane’nin sunduğu ürün ve hizmetlerden yararlanan gerçek kişileri ifade etmektedir. |
3 | Çalışan | Hastanede iş sözleşmesi ile hizmet ifa eden gerçek kişileri ifade etmektedir. |
4 | Ziyaretçi | Hastane, internet sitesini ve hastane binası veya bina içerisindeki hastaları ziyaret eden ziyaret eden gerçek kişileri ifade etmektedir. |
5 | Çalışan Adayı | Hastane’ye CV göndererek veya başka yöntemlerle iş başvurusu yapan gerçek kişileri ifade etmektedir. |
6 | Üçüncü Kişiler | Yukarıda yer verilen İlgili Kişi kategorileri ile Hastane çalışanları hariç gerçek kişileri ifade etmektedir. |
7 | Tedarikçiler ve bunların çalışanları | Hastane’nin talimatlarına uygun ve sözleşme temelli olarak Şirket’e mal veya hizmet sunan taraflar ve bu tarafların çalışanlarını ifade etmektedir. |
8 | Gerçek Kişi İş Ortağı | Hastane’nin her türlü iş ilişkisi içerisinde bulunduğu gerçek kişileri ifade etmektedir. |
9 | Hastane Tedarikçilerinin Paydaşı, Yetkilisi, Çalışanı | Hastane’nin her türlü iş ilişkisi içerisinde bulunduğu gerçek ve tüzel kişilerin (iş ortağı, tedarikçi gibi) çalışanları, Paydaşları ve yetkilileri dâhil olmak üzere, tüm gerçek kişileri ifade etmektedir. |
10 | Hastane Yetkilisi | Şirket’in yönetim kurulu üyesi ve diğer yetkili gerçek kişileri ifade etmektedir. |
2.3. KİŞİSEL VERİLERİN TOPLANMA YÖNTEMİ VE HUKUKİ SEBEBİ
HASTANE ile ilgili kişi arasındaki ticari, hukuki, sözleşmesel veya bir başka surette kurduğunuz ilişki kapsamında; aşağıda detaylı olarak belirtilen amaçlar çerçevesinde ve 6698 sayılı Kanun’un
5. Maddesinin 2. Fıkrası ve devamındaki hukuka uygunluk sebeplerine istinaden veya böyle bir sebep bulunmaması halinde açık rızaya istinaden; Kişisel Veriler, HASTANE tarafından doğrudan ilgili kişiden toplanmakta ve işlenebilmektedir. Hastanemizi ziyaretleriniz sırasında güvenlik gerekçeleri ile kimlik bilgileriniz ve güvenlik kamerası ile görüntünüz kayıt altına alınmakta ve bu operasyonla sınırlı olarak işlenmektedir. Veri işlemenin hukuki dayanağı olarak aşağıdaki hususlar kabul edilmektedir.
o HASTANE ’nin tabi olduğu mevzuatta öngörülmüş olması,
o Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, talep edilen ürün ve hizmetleri sunabilmek veya akdettiğiniz sözleşmelerin gereğinin yerine getirilmesi,
o HASTANE’nin hukuki yükümlülüklerini yerine getirebilmesi için veri işlemenin zorunlu olması,
o Tarafınızca alenileştirilmiş olması,
o HASTANE’nin mevzuat veya iç uygulayışı gereği bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
o Temel hak ve özgürlüklerinize zarar vermemek kaydıyla, HASTANE’nin meşru menfaatleri için veri işlemenin zorunlu olması.
2.3.1. HASTANE Müşterileri (hastaları)
Hastalara ait kişisel bilgiler;
HASTA (müşteri) olarak HASTANE’den hizmet satın alınması veya bir başka surette ticari veya hukuki ilişkiye girilmesi durumunda, kimlik bilgileri (Ad, Soyad, TC kimlik Numarası) başta olmak üzere, oluşabilecek herhangi bir komplikasyonda veya acil durumda ulaşılabilmek için hasta yakını bilgileri (Ad, Soyad, Telefon numarası), iletişim verileri (E-mail Adresi, Adres ve Telefon Bilgileri), finansal bilgileri ( Banka Hesap no veya Kredi kartı bilgileri) İlgili HASTANE’nin faaliyet alanı kapsamında satın alınan hizmete dair veriler, Kanunun 5. Maddesi
2. Fıkrasında belirtilen hukuka uygunluk sebepleri çerçevesinde, sözleşmenin kurulması, ifası, bir hakkın tesisi, yasal yükümlülüklerin yerine getirilmesi ve meşru menfaatler çerçevesinde toplanmakta ve işlenmektedir.
HASTANE, hastalara verdiği sağlık hizmetine ilişkin olarak, gerçek kişilerle kurulan hizmet alım ilişkisi uyarınca aşağıda yer alan amaçlar kapsamında veri işleme faaliyeti yürütmektedir.
•
Kamu sağlığının korunması, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi,
• İlgili mevzuatlar uyarınca Sağlık Bakanlığı ve diğer kamu kurum ve kuruluşları ile talep edilen bilgilerin paylaşılması,
• Randevu aldığınız takdirde randevunuza ilişkin size bilgi sağlanması,
• Hastanenin iç işleyişini planlama ve yönetme,
• Sağlık hizmetlerini geliştirme amacıyla analiz yapılması,
• Sağlık hizmetinin finansmanının sağlanması, faturalandırma yapılması,
• Kimliğinizin doğrulanması, anlaşmalı/ ilgili kurumlarla ilişkinizin doğrulanması ve teyit edilmesi,
• Hizmetlerimize ilişkin soru veya şikâyetlerinize yanıt verme,
• Hizmet kalitesini arttırmak amacıyla hasta memnuniyetinin ölçülmesi ve araştırılmasına ilişkin faaliyetler,
• İlaç ve tıbbi cihaz temini,
• Denetim/Etik Faaliyetlerinin Yürütülmesi,
• Faaliyetlerin Mevzuata Uygun Yürütülmesi,
• Hukuk İşlerinin Takibi Ve Yürütülmesi,
• İç Denetim/ Soruşturma / İstihbarat Faaliyetlerinin Yürütülmesi,
• İş Faaliyetlerinin Yürütülmesi / Denetimi,
• İş Sürekliliğinin Sağlanması Faaliyetlerinin Yürütülmesi,
• Müşteri İlişkileri Yönetimi Süreçlerinin Yürütülmesi,
• Müşteri Memnuniyetine Yönelik Aktivitelerin Yürütülmesi,
• Saklama Ve Arşiv Faaliyetlerinin Yürütülmesi,
• Veri Sorumlusu Operasyonlarının Güvenliğinin Temini,
• Yetkili Kişi, Kurum Ve Kuruluşlara Bilgi Verilmesi,
• 2219 sayılı Hususi Hastaneler Kanunu ile 3359 sayılı Sağlık Hizmetleri Temel Kanunu'nda açıkça öngörülen haller ile 663 sayılı Sağlık Bakanlığı ve Bağlı Kuruluşlarının Teşkilat ve Görevleri Hakkında Kanun Hükmünde Kararname, Özel Hastaneler Yönetmeliği, Sağlık Uygulama Tebliği, Hasta Hakları Yönetmeliği, Kişisel Sağlık Verilerinin işlenmesi ve mahremiyetin Sağlanması Hakkındaki Yönetmelik, Acil Sağlık Hizmetleri Yönetmeliği, İlk yardım yönetmeliği, Evde Bakım Hizmetleri Sunumu Hakkında Yönetmelik, Ambulanslar ve Acil Sağlık Araçları ile Ambulans Hizmetleri Yönetmeliği gibi ilgili ikincil mevzuattan kaynaklanan hukuki yükümlülüklerimizin yerine getirilmesi ve kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, ilk yardım eğitiminin sunulması, evde bakım hizmetinin sunulması ve sağlık hizmetleri ile finansmanının planlanması ve yönetimidir.
HASTANE tarafından işlenen, hastalara ait kişisel veriler, mevzuatta belirlenen güvenlik ve gizlilik esasları uyarınca yeterli ve etkili önlemler alınmak kaydıyla, Xxxxx’xx 8. ve 9. Maddelerinde belirtilen kişisel veri işleme şartları dahilinde, TC Sağlık Bakanlığı ile İl Sağlık Müdürlükleri, Halk Sağlığı Merkezleri ve Sağlık Bakanlığına bağlı sair birimler başta olmak üzere ancak bu kurumlar ile sınırlı olmamak üzere yetkili makamlar tarafından talep edilmesi, yetkili makamlar tarafından görevlendirilen kişiler tarafından ya da kurulan e-nabız ve benzeri sistemler kapsamında talep edilmesi halinde ya da tarafımıza yüklenen bildirim ve/veya raporlama yükümlülüğümüz kapsamında kişisel verilerinizin ilgili makamlar ve kişiler ile, Çalışmakta olduğumuz avukatlar, danışmanlar, denetçiler de dâhil olmak üzere danışmanlık aldığımız, yetki verdiğimiz kanuni temsilciler ve üçüncü kişiler ile, Faaliyetlerimizi yürütmek üzere sözleşmesel olarak hizmet aldığımız, işbirliği yaptığımız, yurt içi/yurt dışı kuruluşlar ve
diğer üçüncü kişiler ve kanuni temsilcileri ile, SGK tabiiyetindeki hastalar için Sosyal Güvenlik Kurumu ile özel sigortanızı kullanmanız halinde üyesi olduğunuz sigorta şirketiniz ile faturalandırmanızın çalıştığınız kuruma yapılacak olması durumunda kurumunuz ile, Tıbbi teşhis ve tedavi için iş birliği içerisinde olduğumuz yurt içinde veya yurt dışında bulunan laboratuvarlar, ambulans, tıbbi cihaz ve sağlık hizmeti sunan kurumlar ile, Sevk edilmeniz gerektiğinde ilgili sağlık kuruluşu ile, Emniyet Genel Müdürlüğü ve diğer kolluk kuvvetleri, Nüfus Genel Müdürlüğü, Türkiye Eczacılar Birliği, Yetki vermiş olduğunuz kanuni temsilciler ile, paylaşılabilecektir.
2.3.3. HASTANE’nin Çalışanları
HASTANE bünyesinde, iş sözleşmesi bağı ile hizmet gören tüm çalışanlara ait kişisel veriler, 6698 sayılı Kanun’da açıklanan şekilde, kanunun izin verdiği ölçüde, iş sözleşmesinin kurulabilmesi ve gereğinin yerine getirilebilmesi, iş ilişkisinin ispatlanması, ücret ve ücrete ilişkin bilgilerin kayıt altına alınması, Maliye Bakanlığı, Çalışma Bakanlığı, Sosyal Güvenlik Kurumu ve diğer tüm kurumlara yasal bildirimlerin yapılabilmesi, Sendikal süreçlerin yürütülmesi, iş sağlığı ve güvenliği esaslarının uygulanabilmesi, kanunlardan doğan yükümlülüklerin yerine getirilmesi, çalışma koşullarının belirlenmesi, güvenlik, maaş banka hesaplarının açılabilmesi, sosyal güvenlik prim ödemelerinin yapılabilmesi ve resmi dairelerle yasal süreçlerin takip edilmesi için 4857 Sayılı İş Kanununun 75. Maddesince düzenlenen, personele ait özlük dosyasında muhafaza edilen tüm bilgi ve belgeler, bunlarla sınırlı olmamak üzere, kişisel veri kapsamında değerlendirilmekte ve bu amaçlarla toplanmaktadır.
İş yeri özlük dosyası için talep edilen, kimlik fotokopisi, nüfus kayıt örneği veya nüfus cüzdan sureti, adli sicil kaydı, ikametgâh ilmühaberi, fotoğraf, cv, diploma, askerlik durumunu gösterir belge, sağlık raporları (işe giriş ve diğer raporlar), kan grubu kartı, kurumun anlaşmalı olduğu banka hesap numarası, hizmet belgesi, çalışma belgesi, aile durum bildirimi, evlilik cüzdanı fotokopisi, engelliliği gösterir rapor, vergi indirim yazısı ve eğitim belgeleri, personele uygulanan çeşitli eğitim ve yetenek testleri sonucu ortaya çıkan performans veriniz, işyerinin ve çalışanların güvenliğini sağlamak amacıyla tesis edilmiş güvenlik kameraları vasıtasıyla elde edilen görsel veriler, iş sözleşmesi ve iş ilişkisinden kaynaklanan diğer yasal belgelerde yer alan tüm bilgilerden ibaret kişisel veriler, iş ilişkisi amacıyla sınırlı olmak kaydıyla işlenmektedir.
Yukarıda sayılan kişisel veriler; iş ihtiyacı sebebiyle gerekli olduğu durumlarda ve işin gerektirdiği kadarıyla, mal ve hizmet tedarikçileri ile paylaşılabilmektedir. (Yemek, Güvenlik, Temizlik, Eğitim gibi hizmetlerin temini gibi.)
Bununla birlikte HASTANE bünyesinde verilen sağlık hizmeti nedeniyle kanun ve ilgili mevzuat çerçevesinde özel olarak korunan çalışanlara ait özel nitelikli kişisel veri mahiyetindeki kişisel sağlık verileri de yine kanunun düzenlediği yükümlülük kapsamında sadece ilgili sağlık departmanı tarafından toplanabilecek ve bu amaçla sınırlı olmak üzere işlenebilecektir. Sağlık verileri, yasal sebeplerle ve iş ilişkisi kapsamında iş sağlığı ve güvenliği departmanındaki sorumlu personel (İş Yeri Hekimi ve İş Güvenliği Uzmanı) ile paylaşılabilecektir.
HASTANE tarafından görüntü kayıt özellikleri olan kameralar ile işyerinin genelini izlenebilmekte, kayıt altına alabilmekte ve veri saklama ve imha politikasında ve kişisel veri envanterinde düzenlenen süre kadar saklanabilmektedir.
HASTANE, tüm çalışanlarının kişisel verilerinin korunması amacıyla gerekli tüm teknik ve idari tedbirleri almaktadır.
HASTANE tarafından, tüm çalışanların kişisel verileri ilgili mevzuattan kaynaklı sebeplerle, iş sözleşmesi ve HASTANE’nin meşru menfaati kapsamında işlenmekte olup, bu hukuka uygunluk sebebinin varlığı dolayısıyla ayrıca (sağlık ve biyometrik verileri hariç) rıza alınmasına gerek bulunmamaktadır. Mevzuat ve uygulamada ortaya çıkacak gelişmeler sonucu çalışanlardan ayrıca rıza talep edilmesi gerektiği hallerde, rıza gerektirecek kişisel verilerin işlenmesi süreci ile ilgili onay talep edilebilecektir.
HASTANE, bazı personelleri adına açacağı elektronik posta adresi için Microsoft 365 alt yapısını kullanmaktadır. Bu sebeple sadece ilgili şirkette ilgili personel için açılan e-posta adresi kapsamında; personelin adı, soyadı ve e-posta adres bilgisi zorunlu olarak yurt dışında yerleşik Microsoft Inc. sistemine aktarılmaktadır. Bu iş için personelden xxxx xxxx talep edilmektedir.
Çalışanın iş ilişkisi kapsamında vermiş olduğu bilgilerde değişiklik olduğu takdirde, yukarıda açıklanan işlemlerin yürütülmesi amacıyla oluşan değişikliklerin ilgili HASTANE’ye bildirilmesi gerekmektedir.
Çalışan dilediği zaman Hastane’nin İnsan Kaynakları Departmanında personel sorumlusuna başvurarak, kişisel verilerine erişebilir. Bu verilerin değiştirilmesini veya düzeltilmesini talep edebilir. Çalışanın kişisel bilgilerinin bu bildirimde belirtilen amaçlar dahilinde işlenip işlenmediğini öğrenme hakkı bulunmaktadır.
Çalışanlarla ilgili veri işleme amaçları aşağıda liste halinde sunulmuştur:
o Bilgi Güvenliği Süreçlerinin Yürütülmesi
o Çalışan Memnuniyeti Ve Bağlılığı Süreçlerinin Yürütülmesi
o Çalışanlar İçin İş Akdi Ve Mevzuattan Kaynaklı Yükümlülüklerin Yerine Getirilmesi
o Çalışanlar İçin Yan Haklar Ve Menfaatleri Süreçlerinin Yürütülmesi
o Denetim / Etik Faaliyetlerinin Yürütülmesi
o Eğitim Faaliyetlerinin Yürütülmesi
o Erişim Yetkilerinin Yürütülmesi
o Faaliyetlerin Mevzuata Uygun Yürütülmesi
o Finans Ve Muhasebe İşlerinin Yürütülmesi
o Fiziksel Mekan Güvenliğinin Temini
o Görevlendirme Süreçlerinin Yürütülmesi
o Hukuk İşlerinin Takibi Ve Yürütülmesi
o İnsan Kaynakları Süreçlerinin Planlanması
o İş Faaliyetlerinin Yürütülmesi / Denetimi
o İş Sağlığı / Güvenliği Faaliyetlerinin Yürütülmesi
o İş Süreçlerinin İyileştirilmesine Yönelik Önerilerin Alınması Ve Değerlendirilmesi
o İş Sürekliliğinin Sağlanması Faaliyetlerinin Yürütülmesi
o Performans Değerlendirme Süreçlerinin Yürütülmesi
o Yetkili Kişi, Kurum Ve Kuruluşlara Bilgi Verilmesi
o Yönetim Faaliyetlerinin Yürütülmesi
o Resmi Kurumlara Gerekli Yasal Bildirimleri Gerçekleştirmek, Resmi Kurumlar Nezdinde Teşviklerden Yararlanmak, Resmi Kurumları Denetimleri Kapsamında İlgili Makamlara Bildirimde Bulunmak
o İnsan Kaynakları Operasyonlarının ve Özellikle Özlük Faaliyetinin Yürütülmesi,
o Çalışan Denetimini Sağlamak ve İşverenin Yönetim Hakkı Kapsamında Gerekli Veri İşleme Faaliyetinde Bulunulması
2.3.4. HASTANE’nin Çalışan Adayları
HASTANE tarafından veri sorumlusu sıfatıyla; iş başvuruları kapsamında paylaşılan CV’ler veya doldurulan başvuru formu ile alınan, (Basılı form olarak çalışan adayına sunulan aydınlatma metninin değerlendirilmesi ve izin formlarının imzalanması şeklinde veri ve rıza alınmaktadır) çalışan adaylarına ait kişisel veriler; ilgili şirketin otomatik sistemleri veya fiziksel ortamlarında ve şirket yazılı standartlarında, çalışan adaylarıyla iş ilişkisi kurulabilmesi amacıyla işlenmekte ve makul süre olarak kabul edilen 1 yıl boyunca saklanmaktadır. Burada amaç bu süre boyunca çalışan adayının yeniden değerlendirmeye alınması ve kurulması muhtemel iş ilişkisi için belirli süre ile sistemde tutulmasıdır. Bu süre içinde aday ile iş ilişkisi kurulmaması durumunda 1. yılın sonunda ilk periyodik imha işleminde bu veriler imha edilecektir.
HASTANE, CV’de ve/veya başvuru formunda yer alan kişisel verileri (özel nitelikli kişisel verilerden olan ve başvuru formunda yer alan sağlık verileri, sabıka kaydı verileri de dahil olmak üzere) görüşme sonrasında da işlemesi için ilk görüşme aşamasında çalışan adayından izin talep etmektedir. Çalışan adayı tarafından paylaşılan kişisel veriler, bildirilen referanslar ile paylaşılacak ve iletişim sonucunda çalışan adayının iş hayatı geçmişi hakkında bilgi edinilmesine, geçmiş taraması yapılmasına olanak sağlayacaktır. Bu kişisel bilgiler, çalışan adayı ile iş ilişkisi kurulmaması halinde 6698 sayılı Kanun’un 6. Maddesinde belirtilen xxxx xxxx kapsamında ve ‘amaçla sınırlılık ilkesi’ gereğince personel temini ve iş süreçlerinin yönetilmesi için işlenebilecektir. Bu kişisel veriler, ihtiyaç halinde adli makamlarla ve bu bilgileri talep etmeye yetkili devlet kurumlarıyla paylaşılabilecek, başkaca gerçek ve tüzel kişiye aktarılmayacaktır.
Çalışan adaylarına ait genel veri işleme amaçları aşağıda sıralanmıştır:
o Çalışan Adayı / Stajyer işe alım Süreçlerinin Yürütülmesi
o Çalışan Adaylarının Başvuru Süreçlerinin Yürütülmesi
o İnsan kaynakları operasyonlarının ve özellikle işe alım süreçlerinin yürütülmesi,
o İş Sürekliliğinin Sağlanması, Faaliyetlerinin Yürütülmesi ve Fiziksel Mekan Güvenliğinin Temini
2.3.5. HASTANE Ziyaretçileri
Gerçek kişilerin HASTANE’nin veya hastaların ziyaretleri sırasında; HASTANE tarafından ziyaretçilerin ve şirketin güvenliğinin sağlanması amacıyla, güvenlik kameraları ile görüntü alınması suretiyle görsel verilerden ibaret kişisel veriler işlenmektedir. Bu kişisel veriler; sözleşmenin ifası için zorunlu olması, yasal zorunluluklar ve kamu otoritesinin yazılı talepleri dışında hiçbir suretle 3. kişilerle paylaşılmamaktadır. Bu konuda gerekli yasal uyarı ve bilgilendirmeler, bina girişlerinde ve web sitesindeki aydınlatma metninde belirtilmiştir.
Yine bu kapsamda HASTANE tarafından güvenliğin sağlanması amacı ve bu Politika’da belirtilen diğer amaçlarla; HASTANE tarafından ziyaretçilerin bina içerisinde bulunduğu süre boyunca, talep eden ziyaretçilere ve hastalara internet erişimi sağlanabilmektedir. Bu durumda internet erişimlerine ilişkin log kayıtları 5651 Sayılı Kanun ve bu Kanuna göre düzenlenmiş olan mevzuatın amir hükümlerine göre tutulmakta; bu kayıtlar ancak yetkili kamu kurum ve kuruluşları tarafından talep edilmesi halinde veya HASTANE ŞİRKETLERİ içinde gerçekleştirilecek denetimlerde ilgililerle paylaşılmaktadır.
Bu alanda veri işleme amaçları aşağıda belirtilmiştir:
o Bilgi Güvenliği Süreçlerinin Yürütülmesi
o Fiziksel Mekan Güvenliğinin Temini
o Yetkili Kişi, Kurum Ve Kuruluşlara Bilgi Verilmesi
o Veri Sorumlusu Operasyonlarının Güvenliğinin Temini
o İnternet Erişimi Sağlanması ve Erişim Güvenliğinin Temininetim süreçlerinde ilgili hukuki yükümlülüğün yerine getirmek amacıyla işlenmektedir.
o Denetim ve Güvenlik Faaliyetlerinin Yürütülmesi
2.3.6. HASTANE Tedarikçileri
HASTANE tarafından yürütülen ticari faaliyetler kapsamında, ticari veya hukuki ilişki içinde bulunulan, Gerçek veya Tüzel Kişi tacir ve esnaflara ait kişisel bilgiler (Kimlik verisi, İletişim verisi, Finansal Verisi, İmza Verisi) işlenmektedir. Bu veriler Kanun’un 5. Maddesinde belirtilen; Sözleşmelerimizin kurulması ve ifası, yasal yükümlülüklerin yerine getirilmesi ve şirketimizin meşru menfaatleri kapsamında Kanun’da öngörülen temel ilkelere uygun olarak ve belirtilen kişisel veri işleme şartları dâhilinde; ticari ve finansal operasyonların yürütülmesi, teknik ve idari sonucu olan faaliyetlerin gerçekleştirilmesi, hukuksal süreçlerin yürütülmesi ve takibi, şirket iç operasyonlarının yürütülmesi, tedarikçi yönetimi amaçlarıyla toplanmakta ve işlenmektedir. Kişisel veriler Şirketimiz tarafından yukarıda sıralanan amaçlar kapsamında ve elektronik ortamda veya fiziki olarak Tedarikçiler tarafından doğrudan iletilmek yöntemi ile toplanmaktadır. Kişisel verileriniz, Kanun’da öngörülen temel ilkelere uygun olarak ve
Kanun’un 8. ve 9. maddelerinde belirtilen kişisel veri işleme şartları dâhilinde, Şirketimiz tarafından aynı amaçlar doğrultusunda Hizmet aldığımız tedarikçilerimize, kanunen yetkili kamu kurumlarına ve yetkili özel kişilere aktarılabilmektedir.
Genel olarak veri işleme amaçları;
o Sözleşme Süreçlerinin Yürütülmesi
o Finans Ve Muhasebe İşlerinin Yürütülmesi
o Mevzuattan Xxxxxxlanan Sorumlulukların ve Hukuksal Süreçlerin Yürütülmesi ve Takibi
o Şirket İç Operasyonlarının Yürütülmesi
o Strateji Planlama & Tedarikçi Yönetimi
o Fiziksel Mekan Güvenliğinin Sağlanması
o Tedarik Zinciri Yönetim Süreçlerinin Yönetilmesi
o İlgili Mevzuat Gereği Saklanması Gereken Bilgilerinizin Muhafazası; Bilgi Kayıplarının Önlenebilmesi İçin Kopyalanması, Yedeklenmesi; Bilgilerinizin Tutarlılığının Kontrolünün Sağlanması; Veri Tabanlarımızın ve Bilgilerinizin Güvenliği İçin Gerekli Teknik ve İdari Tedbirlerin Alınması
3. İLGİLİ KİŞİLERİN AYDINLATILMASI
Şirket, KVK Kanunu’nun 10. maddesine uygun olarak, kişisel verilerin elde edilmesi sırasında veri sahiplerinin bilgilendirilmesini sağlamak için gerekli süreçleri yürütmektedir. Bu kapsamda Şirket tarafından veri sahiplerine sunulan aydınlatma metinlerinde aşağıda sıralanan bilgiler bulunmaktadır:
1. Şirketimizin unvanı ve iletişim bilgisi
2. Şirket tarafından veri sahiplerinin kişisel verilerinin hangi amaçla işleneceği
3. İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği
4. Kişisel veri toplamanın yöntemi ve hukuki sebebi
5. İlgili kişinin hakları
4. KİŞİSEL VERİ SAHİPLERİNİN (İLGİLİ KİŞİ) TALEPLERİNİN SONUÇLANDIRILMASI
Veri sahiplerinin (ilgili kişilerin) kişisel verilerine ilişkin taleplerini Hastanemize yazılı olarak (KVK kurulu tarafından yayınlanan tebliğe uygun olarak ) iletmeleri durumunda, Şirket veri sorumlusu sıfatıyla KVK Kanunu’nun 13. maddesine uygun olarak, talebin niteliğine göre en kısa sürede ve en geç otuz (30) gün içinde sonuçlandırılmasını sağlamak üzere gerekli süreçleri yürütmektedir.
Hastane, veri güvenliğinin sağlanması kapsamında, başvuruda bulunan kişinin başvuruya konu kişisel verinin sahibi olup olmadığını tespit etmek amacıyla bilgi talep edebilir. Hastanemiz ayrıca İlgili Kişinin başvurusunun talebe uygun bir biçimde sonuçlandırılmasını sağlamak adına, başvurusu ile ilgili soru yöneltebilir.
İlgili kişinin başvurusunun; diğer kişilerin hak ve özgürlüklerini engelleme ihtimali olması, orantısız çaba gerektirmesi, bilginin kamuya açık bir bilgi olması gibi durumlarda, Veri sorumlusu tarafından gerekçesi açıklanarak talep reddedilebilecektir.
4.1. İlgili kişilerin Hakları
KVK Kanunu’nun 11. Maddesi uyarınca, Hastanemize başvurarak aşağıda yer alan konularda talepte bulunabilirsiniz:
1. Kişisel verilerinizin işlenip işlenmediğini öğrenme
2. Kişisel verileriniz işlenmişse buna ilişkin bilgi talep etme
3. Kişisel verilerinizin işlenme amacı ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme
4. Kişisel verilerinizin yurt içinde veya yurt dışında aktarıldığı üçüncü kişileri öğrenme
5. Kişisel verilerinizin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerinizin aktarıldığı üçüncü kişilere bildirilmesini isteme
6. KVK Kanunu ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerinizin silinmesini, yok edilmesini veya anonim hale getirilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerinizin aktarıldığı üçüncü kişilere bildirilmesini isteme
7. İşlenen verilerinizin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle aleyhinize bir sonucun ortaya çıkmasına itiraz etme
8. Kişisel verilerinizin kanuna aykırı olarak işlenmesi sebebiyle zarara uğramanız hâlinde zararın giderilmesini talep etme
4.2. Mevzuat Gereği İlgili kişilerin Hakları Dışında Kalan Haller
KVK Kanunu’nun 28. Maddesi gereğince aşağıdaki hallerin KVK Kanunu’nun kapsamında olmaması sebebiyle, kişisel veri sahiplerinin aşağıda yer alan konularda haklarını ileri sürmeleri mümkün olmayacaktır:
1. Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi
2. Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi
3. Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş
kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi
4. Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi
KVK Kanunu’nun 28/2 maddesi gereğince; aşağıda sıralanan hallerde zararın giderilmesini talep etme hariç olmak üzere, kişisel veri sahiplerinin haklarını ileri sürmeleri mümkün olmayacaktır:
1. Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması
2. Xxxxxx Xxxx tarafından kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi
3. Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması
4. Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması
5. ROLLER VE SORUMLULUKLAR
5.1. HASTANE KVK Komitesi
HASTANE tarafından, kişisel verilerin korunması mevzuatına uygunluğun sağlanması, muhafazası ve sürdürülmesi kapsamında Şirket bünyesinde gerekli koordinasyonu sağlayacak olan “Kişisel Verilerin Korunması Komitesi” kurulmuştur. Bu Komite, şirket birimleri arasında birlik sağlanması, yürütülen faaliyetlerin kişisel verilerin korunması mevzuatına uygunluğunun temini için kurulan sistemlerin yürütülmesi ve iyileştirilmesinden sorumludur. Bu kapsamda, KVK Komitesi’nin temel görevleri aşağıda belirtilmektedir:
❖ Şirket içi kişisel verilerinin korunması ve işlenmesi ile ilgili temel politikaları hazırlamak ve yürürlüğe koymak
❖ Şirket içi kişisel verilerinin korunması ve işlenmesine ilişkin politikaların uygulanması ve denetiminin ne şekilde yerine getirileceğine karar vermek ve bu çerçevede Şirket içi görevlendirmede bulunmak ve koordinasyonu sağlamak
❖ KVKK ve ilgili mevzuata uyumun sağlanması için yapılması gereken hususları tespit etmek; uygulanmasını gözetmek ve koordinasyonunu sağlamak
❖ Kişisel verilerin korunması ve işlenmesi konusunda Şirket içinde ve işbirliği içerisinde olunan kurumlar nezdinde farkındalığı arttırmak
❖ Şirket’in kişisel veri işleme faaliyetlerinde oluşabilecek riskleri tespit ederek gerekli önlemlerin alınmasını sağlamak; iyileştirme önerilerini sunmak
❖ Kişisel verilerin korunması ve politikaların uygulanması konusunda eğitimler tasarlamak ve icra edilmesini sağlamak
❖ Kişisel veri sahiplerinin başvurularını karara bağlamak
❖ Kişisel veri sahiplerinin; Şirket’in kişisel veri işleme faaliyetleri ve kanuni hakları konusunda bilgilenmelerini temin etmek üzere bilgilendirme ve eğitim faaliyetlerinin icrasını koordine etmek
❖ Kişisel verilerin korunması ve işlenmesi ile ilgili temel politikalardaki değişiklikleri hazırlamak ve yürürlüğe koymak
❖ Kişisel verilerin korunması konusundaki gelişmeleri ve düzenlemeleri takip etmek; bu gelişmelere ve düzenlemelere uygun olarak Şirket operasyonlarında yapılması gerekenler konusunda üst yönetime tavsiyelerde bulunmak
❖ Kurum ve Kurul ile olan ilişkileri yönetmek
6. KİŞİSEL VERİLERİN GÜVENLİĞİNİN VE GİZLİLİĞİNİN SAĞLANMASI Hastane tarafından, kişisel verilerin hukuka aykırı olarak açıklanmasını, erişimini, aktarılmasını veya başka şekillerde meydana gelebilecek güvenlik eksikliklerini önlemek için, imkanlar dahilinde, korunacak verinin niteliğine göre gerekli her türlü tedbir alınmaktadır.
Bu kapsamda Hastane tarafından gerekli her türlü (1) idari ve (2) teknik tedbirler alınmakta, (3) şirket bünyesinde denetim sistemi kurulmakta ve (4) kişisel verilerin kanuni olmayan yollarla ifşası durumunda KVK Kanunu’nda öngörülen tedbirlere uygun olarak hareket edilmektedir.
1. Kişisel Verilerin Hukuka Uygun İşlenmesini Sağlamak ve Kişisel Verilere Hukuka Aykırı Erişilmesini Önlemek için Hastane Tarafından Alınan İdari Tedbirler
❖ Hastane, kişisel verilerin korunması hukukuna ilişkin olarak çalışanlarını eğitir ve bilinçlendirilmelerini sağlar.
❖ Kişisel verilerin aktarıma konu olduğu durumlarda, Şirket tarafından kişisel verilerin aktarıldığı kişiler ile akdedilmiş olan sözleşmelere, kişisel verilerin aktarıldığı tarafın veri güvenliğini sağlamaya yönelik yükümlülükleri yerine getireceğine ilişkin kayıtlar eklenmesi temin edilecektir.
❖ Şirket tarafından yürütülen kişisel veri işleme faaliyetleri detaylı olarak incelenmekte, bu kapsamda, KVK Kanunu’nda öngörülen kişisel veri işleme şartlarına uygunluğunun sağlanması için atılması gereken adımlar tespit edilir.
❖ Şirket, KVK Kanunu’na uyumun sağlanması için yerine getirilmesi gereken uygulamaları tespit ederek, bu uygulamaları iç politikalar ile düzenler.
2. Kişisel Verilerin Hukuka Uygun İşlenmesini Sağlamak ve Kişisel Verilere Hukuka Aykırı Erişilmesini Önlemek için Hastane Tarafından Alınan Teknik Tedbirler
❖ Şirket tarafından kişisel verilerin korunmasına ilişkin olarak, teknolojinin imkân verdiği ölçüde teknik önlemler alınmakta ve alınan önlemler gelişmelere paralel olarak güncellenmekte ve iyileştirilmektedir.
❖ Teknik konularda, uzman personel istihdam edilir.
❖ Alınan önlemlerin uygulanmasına yönelik düzenli aralıklarla denetim yapılır.
❖ Güvenliği temin edecek yazılım ve sistemler kurulur.
❖ Şirket bünyesinde işlenmekte olan kişisel verilere erişim yetkisi, belirlenen işleme amacı doğrultusunda ilgili çalışanlar ile sınırlandırılır.
3. Hastane Tarafından Kişisel Verilerin Korunmasına ilişkin Denetim Faaliyetleri Yürütülmesi
Hastane tarafından, kişisel verilerin korunması ve güvenliğinin sağlanması kapsamında alınan teknik ve idari tedbirlerin işleyişi denetlenmekte ve işleyişin devamını sağlayacak uygulamalar yürütülmektedir. Hastane bu hususta iç ve dış denetimler yaptırabilmektedir. Bu kapsamda gerçekleştirilen denetim faaliyetlerinin sonuçları, Şirket bünyesinde ilgili departmana raporlanmaktadır. Denetim sonuçları doğrultusunda verilerin korunmasına ilişkin alınan tedbirlerinin geliştirilmesini ve iyileştirilmesini sağlayacak faaliyetler yürütülür.
4. Kişisel Verilerin Kanuni Olmayan Yollarla İfşası Durumunda Alınacak Tedbirler Hastane tarafından yürütülen kişisel veri işleme faaliyeti kapsamında, kişisel verilerin hukuka aykırı olarak yetkisiz kimseler tarafından elde edilmesi durumunda, vakit kaybedilmeksizin durum KVK Kurulu’na ve ilgili veri sahiplerine bildirilecektir.
7. VERİ KATEGORİLERİ VE İŞLENME AMAÇLARI
7.1. Kişisel Veri Kategorileri
KİŞİSEL VERİ KATEGORİZASYONU | AÇIKLAMA |
Kimlik Bilgisi | Ehliyet, nüfus cüzdanı, ikametgâh, pasaport, avukatlık kimliği, evlilik cüzdanı gibi dokümanlarda yer alan kişinin kimliğine dair tüm bilgileri ifade etmektedir. |
İletişim Bilgisi | Telefon numarası, adres, e-mail gibi İlgili Kişiyle iletişim kurulmasına yönelik bilgileri ifade etmektedir. |
Müşteri (Hasta) Bilgisi | Hastane tarafından sağlanan hizmetlerden faydalanan ilgili kişi hakkında elde edilen ve üretilen bilgileri ifade etmektedir. |
Tedarikçi Verisi | Şirketimizin ticari faaliyet içinde bulunduğu Tedarikçilerine ve bunların çalışanlarına ait bilgileri ifade etmektedir. |
Müşteri (Hasta) İşlem Bilgisi | Hastaneden alınan hizmete yönelik kayıtlar ile gerekli olan talimatları ve talepleri gibi bilgileri ifade etmektedir. |
Görsel/İşitsel Veri | Hastane binası güvenliğini sağlamak amacıyla güvenlik kameraları ile alınan veya kişiler tarafından bizzat sunulan video ve fotoğraflardan ibaret verileri ifade etmektedir. |
Özlük Bilgileri: | Bu veri kategorisi, personel ile kurulan iş akdi çerçevesinde yasal |
olarak oluşturulması gereken özlük dosyası kapsamında personele ait kimlik, iletişim bilgilerinin yanı sıra, meslek, eğitim, sağlık, finansal bilgilerin yer aldığı veri türüdür. | |
Sözleşme Bilgileri: | Bu veri kategorisi, HASTANE’nin hukuki veya ticari ilişki içinde bulunduğu tedarikçileri ve dış kaynaklarının yetkilileri, personelleri gibi gerçek kişilere ait imza, imza sirküleri, gerçek kişi şirket bilgisi gibi veri türlerini ifade etmektedir. |
Eğitim ve Meslek Verileri | Çalışanların, adayların iş geçmişi ve eğitim geçmişine ait bilgilerdir. |
Fiziksel Mekân Güvenlik Bilgisi | Fiziksel mekâna girişte, fiziksel mekânın içerisinde kalış sırasında alınan kamera kayıtları ve belgelere ilişkin kişisel verileri ifade etmektedir. |
İşlem Güvenliği Bilgisi | Ticari faaliyetlerimizi yürütürken teknik, idari, hukuki ve ticari güvenliğimizi sağlamamız için işlenen kişisel verilerinizi ifade etmektedir. |
Finansal Bilgi | Şirketimizin İlgili Kişi ile kurmuş olduğu hukuki ilişkinin tipine göre yaratılan her türlü finansal sonucu gösteren bilgi, belge ve kayıtlara ilişkin işlenen kişisel verileri ifade etmektedir. |
Hukuki İşlem ve Uyum Bilgisi | Hukuki alacak ve haklarımızın tespiti, takibi ve borçlarımızın ifası ile kanuni yükümlülüklerimiz ve şirketimizin politikalarına uyum kapsamında işlenen kişisel verileri ifade etmektedir. |
Denetim ve Teftiş Bilgisi | Şirketimizin kanuni yükümlülükleri ve şirket politikalarına uyumu kapsamında işlenen kişisel verileri ifade etmektedir. |
Özel Nitelikli Veri | Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir. |
Talep/Şikâyet Yönetimi Bilgisi | Hastanemize yöneltilmiş olan her türlü talep veya şikâyetin alınması ve değerlendirilmesine ilişkin kişisel verileri ifade etmektedir. |
Olay Yönetimi Bilgisi | Şirketimizin ticari hak ve menfaatleri ile müşteri hastalarımızın hak ve menfaatlerini korumak maksatlı gelişen olaylara karşı gerekli hukuki, teknik ve idari tedbirlerin alınmasına yönelik olarak işlenen kişisel verileri ifade etmektedir. |
7.2. Kişisel Verilerinin İşlenme Amaçları
Kişisel verileri, veri işleme şartlarına ve ilkelerine uygun olarak aşağıda sıralanan amaçlarla Hastane tarafından işlenmektedir. Aşağıda yer alan amaçların varlığı, her İlgili Kişi özelinde değişiklik gösterebilmektedir.
Elde edilen kişisel veriler, HASTANE tarafından KVK Kanunu’nun 5. ve 6. maddelerinde belirtilen kişisel veri işleme şartları kapsamında ve aşağıda sayılan amaçlar dahilinde işlenmektedir:
ANA AMAÇLAR | ALT AMAÇLAR |
Şirket İç Operasyonlarının Yürütülmesi | 1. Ticari faaliyetlerin Kurgulanması ve İcrası 2. Bilgi Güvenliği Süreçlerinin Planlanması, Denetimi ve İcrası 3. Çalışanların Bilgi Sistemlerine Erişim Yetkilerinin Planlanması ve İcrası 4. Etkinlik/eğitim Yönetimi 5. Finans ve Muhasebe İşlerinin Takibi 6. İş Faaliyetlerinin Planlanması ve İcrası 7. İş Ortakları ve Tedarikçilerin Bilgi Sistemlerine Erişim Yetkilerinin Planlanması ve İcrası 8. İş Sürekliliğinin Sağlanması Faaliyetlerinin Planlanması ve İcrası 9. Kurumsal İletişim Faaliyetlerinin Planlanması ve İcrası 10. Kurumsal Sürdürülebilirlik Faaliyetlerin Planlanması ve İcrası 11. Kurumsal Yönetim Faaliyetlerin Planlanması ve İcrası |
Hukuksal, Teknik ve İdari Sonucu olan Faaliyetler | 1. Acil Durum Yönetimi Süreçlerinin Planlanması ve İcrası 2. İş Sağlığı ve Güvenliği Süreçlerinin Planlanması ve İcrası 3. Cari alacaklarla ilgili Risk Yönetiminin Gerçekleştirilmesi 4. Hukuk İşlerinin Takibi 5. Yetkili Kuruluşlara Mevzuattan Kaynaklı Bilgi Verilmesi 6. Şirketler ve Ortaklık Hukuku İşlemlerinin Gerçekleştirilmesi 7. Şirket Operasyonlarının Güvenliğinin Temini 8. Hastane Güvenliğinin Temini 9. Şirketin Finansal Risk Süreçlerinin Planlanması ve İcrası 10. Şirket Demirbaşlarının ve Kaynaklarının Güvenliğinin Temini 11. Şirket Denetim Faaliyetlerinin Planlanması ve İcrası |
12. Sigorta Poliçelerinin Düzenlenmesi 13. Şirket Faaliyetlerinin Şirket Prosedürleri ve İlgili Mevzuata Uygun Olarak Yürütülmesinin Temini İçin Gerekli Operasyonel Faaliyetlerin Planlanması ve İcrası 14. Verilerin Doğru ve Güncel Olmasının Sağlanması | |
Müşteriye Dokunan Süreç ve Operasyonlar | 1. Kredi Ödeme İşlemleri Takibi 2. Hasta randevularının oluşturulması ve takibi 3. Tıbbi Teşhis, Tedavi ve Bakım hizmetlerinin yürütülmesi 4. Sözleşme Süreçlerinin ve Hukuki Taleplerin Takibi 5. Sağlık hizmetleri ve Finansmanının Planlanması ve İcrası |
Finansal Operasyonlar | 1. Bankacılık İşlemleri 2. Tüm Ödeme Ve Tahsilat İşlemleri 3. Yatırım Süreçleri |
Strateji Planlama & İş Ortakları/Tedarikçi Yönetimi | 1. İş Ortakları ve/veya Tedarikçilerle Olan İlişkilerin Yönetimi 2. Şirket Dışı Eğitim Faaliyetlerinin Planlanması ve İcrası 3. Stratejik Planlama Faaliyetlerinin İcrası |
7.3. Paylaşılan Taraf Kategorileri
Hastane, KVK Kanunu’nda yer alan ilkelere ve özellikle, KVK Kanunu’nun 8. ve 9. Maddelerine uygun olarak Politika kapsamı dahilinde olan ilgili kişilerin (Bkz. Bölüm 2.2.) kişisel verilerini aşağıda sıralanan kişi gruplarına yukarıdaki tabloda belirtilen amaçlarla aktarılabilir:
❖ TC Sağlık Bakanlığı ile İl Sağlık Müdürlükleri, Halk Sağlığı Merkezleri ve Sağlık Bakanlığına bağlı sair birimler başta olmak üzere ancak bu kurumlar ile sınırlı olmamak üzere yetkili makamlar tarafından talep edilmesi, yetkili makamlar tarafından görevlendirilen kişiler tarafından ya da kurulan e-nabız ve benzeri sistemler kapsamında talep edilmesi halinde ya da tarafımıza yüklenen bildirim ve/veya raporlama yükümlülüğümüz kapsamında kişisel verilerinizin ilgili makamlar ve kişiler ile,
❖ Çalışmakta olduğumuz avukatlar, danışmanlar, denetçiler de dâhil olmak üzere danışmanlık aldığımız, yetki verdiğimiz kanuni temsilciler ve üçüncü kişiler ile,
❖ Faaliyetlerimizi yürütmek üzere sözleşmesel olarak hizmet aldığımız, işbirliği yaptığımız, yurt içi/yurt dışı kuruluşlar ve diğer üçüncü kişiler ve kanuni temsilcileri ile,
❖ SGK tabiiyetindeki hastalar için Sosyal Güvenlik Kurumu ile özel sigortanızı kullanmanız halinde üyesi olduğunuz sigorta şirketiniz ile faturalandırmanızın çalıştığınız kuruma yapılacak olması durumunda kurumunuz ileTarafınızca yetki verilmiş olan vekil, vasi ve temsilcilerinize
❖ Tıbbi teşhis ve tedavi için iş birliği içerisinde olduğumuz yurt içinde veya yurt dışında bulunan laboratuvarlar, ambulans, tıbbi cihaz ve sağlık hizmeti sunan kurumlar ile
❖ Veri aktarım şartlarına uygun olarak, diğer üçüncü kişilere
❖ Yetki vermiş olduğunuz kanuni temsilciler ile Sevk edilmeniz gerektiğinde ilgili sağlık kuruluşu ile, Emniyet Genel Müdürlüğü ve diğer kolluk kuvvetleri, Nüfus Genel Müdürlüğü, Türkiye Eczacılar Birliği ile
8. KİŞİSEL VERİLERİN İMHASI
Kanun’un 7. maddesi gereğince hukuka uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler resen veya İlgili Kişinin talebi üzerine Hastane, KVK Kurumu tarafından yayımlanan rehberlere uygun olarak siler, yok eder veya anonim hâle getirir.
HASTANE, kişisel verilerin İmha usullerinin belirlendiği bir İMHA POLİTİKASI hazırlamış ve şirket içinde yayınlamıştır. Tüm imha süreçleri bu politikaya uygun olarak yürütülmektedir.
9. KİŞİSEL VERİLERİN KORUNMASINA İLİŞKİN HUSUSLAR
HASTANE; KVK Kanunu’nun 12. maddesine uygun olarak, işlemekte olduğu kişisel verilerin hukuka aykırı olarak işlenmesini, verilere hukuka aykırı olarak erişilmesini önlemek ve verilerin muhafazasını sağlamak için uygun güvenlik düzeyini sağlamaya yönelik gerekli teknik ve idari tedbirleri almakta, bu kapsamda gerekli denetimleri yapmakta veya yaptırmaktadır.
HASTANE, kişisel verilerin hukuka uygun işlenmesini sağlamak için, teknolojik imkânlar ve uygulama maliyetine göre teknik ve idari tedbirler almaktadır.
TEKNİK TEDBİRLER
HASTANE, tarafından kişisel verilerin hukuka uygun işlenmesini sağlamak için alınan başlıca teknik tedbirler aşağıda sıralanmaktadır:
o HASTANE, bünyesinde gerçekleştirilen kişisel veri işleme faaliyetleri, düzenli olarak denetlenmektedir.
o Alınan teknik önlemler periyodik olarak iç denetim mekanizması gereği komiteye raporlanmaktadır.
o Teknik konularda bilgi işlem departmanı kurulmuş olup bu konuda bilgili personel istihdam edilmektedir.
o Yeni teknolojik gelişmeler takip edilmekte ve özellikle siber güvenlik alanında sistemler üzerinde teknik önlemler alınmakta, alınan önlemler periyodik olarak güncellenmekte ve yenilenmektedir.
o HASTANE, bünyesindeki her bir bölüm özelinde belirlenen hukuksal uyum gereksinimleri çerçevesinde erişim ve yetkilendirme çözümleri devreye alınmaktadır.
o Erişim yetkileri sınırlandırılmakta, yetkiler düzenli olarak gözden geçirilmektedir. Eski çalışanlara erişim kısıtlaması uygulanmakta, hesaplar belirli süreler sonunda kapatılmaktadır.
o HASTANE, iç işleyiş gereğince alınan teknik önlemler veri tabanlarına erişim yetkisi olan personele raporlanmakta, risk teşkil eden hususlar yeniden değerlendirilerek gerekli teknolojik çözüm üretilmektedir.
o Virüs koruma sistemleri, veri açığı güvenlikleri ve güvenlik duvarlarını içeren yazılımlar ve donanımlar kurulmaktadır.
o Teknik konularda uzman personel istihdam edilmektedir.
o Kişisel verilerin toplandığı uygulamalar da dahil olmak üzere tüm bilgi sistemleri, güvenlik açıklarını saptamak için düzenli olarak dış etki testine tabi tutulmakta ve bu testin sonuçlarına göre bulunan açıkların kapatılması sağlanmaktadır.
İDARİ TEDBİRLER
HASTANE, tarafından kişisel verilerin hukuka uygun işlenmesi için alınan idari tedbirler:
o HASTANE’nin çalışanları, kişisel verilerin korunması hukuku ve kişisel verilerin hukuka uygun olarak işlenmesi konusunda mevzuatta veya iş uygulamalarında ortaya çıkan gelişmeler uyarınca bilgilendirilmekte ve eğitilmektedir.
o HASTANE’nin yürütmekte olduğu tüm kişisel veri işleme faaliyetleri; detaylı olarak tüm iş birimlerinin analiz edilmesi suretiyle oluşturulmuş kişisel veri envanteri ve eklerine uygun olarak yürütülmektedir.
o HASTANE bünyesindeki ilgili bölümlerin yürütmekte olduğu kişisel veri işleme faaliyetleri; bu faaliyetlerin KVKK’nın aradığı kişisel veri işleme şartlarına uygunluğunun sağlanması için yerine getirilecek olan yükümlülükler, ilgili şirketler tarafından yazılı politika ve prosedürlere bağlanmış olup her bir iş birimi bu konu ile ilgili bilgilendirilmiş ve yürütmekte olduğu faaliyet özelinde dikkat edilmesi gereken hususlar belirlenmiştir.
o HASTANE bünyesindeki bölümlerin kişisel veri güvenliği ile ilgili denetim ve yönetimi, Bilgi işlem departmanı tarafından organize edilmektedir. İş birimi bazında belirlenen hukuksal gerekliliklerin sağlanması için farkındalık yaratılmakta, bu hususların denetimini ve uygulamanın sürekliliğini sağlamak için gerekli idari tedbirler şirket içi politika, prosedürler ve eğitimler yoluyla hayata geçirilmektedir.
o HASTANE ile çalışanlar arasındaki hizmet sözleşmeleri ve ilgili belgelere, kişisel veriler ile ilgili bilgilendirme ve veri güvenliğini içerir kayıtlar konulmakta ve ek protokoller yapılmaktadır. Bu konuda çalışanlar için gerekli farkındalığı yaratmaya yönelik çalışmalar yapılmaktadır.
o HASTANE bünyesindeki her bir bölüm özelinde, kişisel veri işleme süreçleri dikkate alınarak hukuki uyum, şirket içinde kişisel verilere erişim ve yetkilendirme süreçleri uygulanmaktadır.( Kişisel veri barındıran veri tabanlarına erişim yetkileri bilgi işlem departmanı tarafından sağlanmakta ve kontrol edilmektedir.)
o HASTANE, ticari faaliyetleri gereği iş ilişkisi içinde bulunduğu ve hizmet aldığı iş ortakları ve tedarikçileriyle yapmış olduğu sözleşmelere ( kişisel veri işleme süreçleri barındıran ticari faaliyetlerle ilgili sözleşmeler) kişisel veri gizliliği hükümleri eklemekte veya bu hususta kişisel verilerin korunması taahhütnameleri almaktadır.
10. GÖZDEN GEÇİRME
İşbu Politika, HASTANE KVK Komitesi tarafından her yıl en az bir defa gözden geçirilerek gerekli olması halinde güncellenecektir. İşbu Politika’nın yürürlüğe girmesi, değiştirilmesi, yürütülmesi ve yürürlükten kaldırılması hususlarında HASTANE KVK Komitesi yetkili ve sorumludur.
11. TANIMLAR
Politika’da kullanılan terimlere ait tanımlar aşağıda yer almaktadır:
Xxxx Xxxx | : | Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı ifade etmektedir. |
Anonim Hale Getirme | : | Kişisel verinin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini ifade etmektedir. |
Kişisel Sağlık Verilerinin İşlenmesine İlişkin Yönetmelik | : | 20 Ekim 2016 tarihli ve 29863 sayılı Resmi Gazete’de yayımlanan, Kişisel Sağlık Verilerinin İşlenmesi ve Mahremiyetinin Sağlanması Hakkında Yönetmelik’tir. |
Kişisel Sağlık Verisi | : | Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü sağlık bilgisini ifade etmektedir. |
Kişisel Veri | : | Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade etmektedir. |
Kişisel Veri Sahibi/İlgili Kişi | : | Şirket Paydaşlarını ve Çalışanlarını, Şirket İş Ortaklarını, Şirket Yetkililerini, Çalışan Adaylarını, Ziyaretçileri, Hastaları, Üçüncü Kişileri ve kişisel verisi şirket tarafından işlenen kişileri ifade etmektedir. |
Kişisel Verilerin İşlenmesi | : | Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi ifade etmektedir. |
KVK Kanunu | : | 7 Nisan 2016 tarihli ve 29677 sayılı Resmi Gazete’de yayımlanan, 24 Mart 2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanunu’dur. |
KVK Kurulu | : | Kişisel Verileri Koruma Kurulu’dur. |
KVK Kurumu | : | Kişisel Verileri Koruma Kurumu’dur. |
Özel Nitelikli Kişisel Veri | : | Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık kıyafet, dernek vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verileri ifade etmektedir. |
Politika | : | HASTANE Kişisel Verilerin Korunması ve İşlenmesi Politikası |
HASTANE İş Ortakları | : | Şirket’in ticari faaliyetlerini yürütürken çeşitli amaçlarla iş ortaklığı kurduğu tarafları ifade etmektedir. |
HASTANE Tedarikçileri | Sözleşme temelli olarak Şirket’e hizmet sunan tarafları ifade etmektedir. | |
Türkiye Cumhuriyeti Anayasası | : | 9 Kasım 1982 tarihli ve 17863 sayılı Resmi Gazete'de yayımlanan; 7 Kasım 1982 tarihli ve 2709 sayılı Türkiye Cumhuriyeti Anayasası’dır. |
Türk Ceza Kanunu | : | 12 Ekim 2004 tarihli ve 25611 sayılı Resmi Gazete'de yayımlanan; 26 Eylül 2004 tarihli ve 5237 sayılı Türk Ceza |
Kanunu’dur. | ||
Veri İşleyen | : | Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel veri işleyen gerçek ve tüzel kişidir. |
Veri Sorumlusu | : | Kişisel verilerin işlenme amaçlarını ve vasıtalarını belirleyen, verilerin sistematik bir şekilde tutulduğu yeri yöneten kişidir. |
Veri Kayıt Sistemi | Veri Kayıt Sistemi Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini ifade etmektedir. |
XXXXXXX XXXXXX HİZMETLERİ SANAYİ VE TİCARET LİMİTED ŞİRKETİ ADRES: XXXXX XXX. XXXXX XXXX XXXXXXX XX:00 XXXXXXXX/XXXXX
TELEFON: 0 000 000 00 00
WEB ADRESİ: xxx.xxxxxxxxxxxxx.xxx.xx
VERİ İŞLEME VE KORUMA PROSEDÜRÜ İLGİLİ POLİTİKA VE FORMLAR
BELGE NO | BELGE ADI | KULLANIM AMACI | KULLANIM ŞEKLİ |
1 | VERİ GİZLİLİĞİ POLİTİKASI | HASTANENİN VERİ İŞLEME SÜREÇLERİNİ KAMUOYU İLE PAYLAŞTIĞI ÇERÇEVE METİNDİR. | WEB SİTESİNDE YAYINLANIR. |
2 | VERİ SAKLAMA VE İMHA POLİTİKASI | HASTANENİN KİŞİSEL VERİLERİ İMHA SÜREÇLERİNİ VE SAKLAMA AMAÇLARINI DÜZENLER. | ŞİRKET KVKK DOSYASINDA SAKLANIR |
3 | PERSONEL BİLGİLENDİRME METNİ | ŞİRKET ÇALIŞANLARININ HAK VE YÜKÜMLÜLÜKLERİ AÇIKLANIR VE KİŞİSEL VERİ İŞLEME SÜREÇLERİ İLE İLGİLİ DETAY VERİLİR. | PERSONELE SUNULUR VE OKUDUĞUNA DAİR İMZA ALINIR VE ÖZLÜK DOSYASINDA SAKLANIR |
3.1 | PERSONEL XXXX XXXX METNİ | ŞİRKET ÇALIŞANLARINDAN BELİRLİ SÜREÇLER İÇİN İZİN ALINMASI AMACIYLA KULLANILIR. | PERSONELDEN İMZA ALINIR VE ÖZLÜK DOSYASINDA SAKLANIR. |
3.2. | PERSONEL XXXXXXXXXX METNİ | ÇALIŞANLARA KVKK HAKKINDA GENEL BİLGİ VEREN METİNDİR. | ÇALIŞMA ALANLARINDAKİ BİLGİ PANOSUNA ASILIR. |
3.3. | PERSONEL ADAYI XXXXXXXXXX XXXXX VE İZİN BELGELERİ | ADAY PERSOLLER GÖRÜŞMEYE ÇAĞRILDIKLARINDA SUNULUR VE İMZA ALINIR. | İŞ BAŞVURU FORMU İLE BİRLİKTE SUNULUR. İMZA ALINIR VE BAŞVURU FORMU İLE BİRLİKTE SAKLANIR. AYRICA REFERANS ARAŞTIRMASINDA DAYANAK BELGEDİR. |
3.4. | PERSONEL HİZMET SÖZLEŞMESİNE EK PROTOKOL | PERSONELİN KVKK KONUSUNDA YÜKÜMLÜLÜKLERİNİ SÖZLEŞME ALTINA ALMAYA YARAR. | TÜM PERSONELLE EK SÖZLEŞME OLARAK İMZALANIR. |
3.5. | PERSONEL KVKK EL KİTAPÇIĞI | PERSONELE KVKK KONUSUNDA GÖRSELLERLE KOLAY EĞİTİM VERILMESI IÇIN KULLANILIR. | KİTAPÇIKLAR TÜM PERSONELE İMZA KARŞILIĞI DAĞITILIR. |
4. | ZİYARETÇİ BİLGİLENDİRME METNİ | İŞ YERLERİNİ ZİYARET EDEN KİŞİLERİ KAMERA GÖRÜNTÜSÜ İLE İLGİLİ UYARMAYA YARAR. | İŞ YERI GİRİŞİNE ASILIR. |
5. | İŞ ORTAĞI/TEDARİKÇİ AYDINLATMA METNİ | TİCARİ İLİŞKİ İÇİNDE OLUNAN TÜM ŞİRKETLERİ, BU ŞİRKETLERİN YETKİLİLERİ VE ÇALIŞANLARININ KİŞİŞEL VERİLERİNİN İŞLENMESİ HAKKINDA BİLGİLENDİRİR. | TÜM TEDARİKÇİLERE E- POSTA İLE GÖNDERİLİR. |
6. | KVKK ÇERÇEVE SÖZLEŞMESİ | ŞİRKET ADINA KİŞİSEL VERİ İŞLEYEN ŞİRKETLERLE YAPILAN SÖZLEŞMELERE EK OLARAK KVKK SÜREÇLERİ İÇİN FİRMANIN SORUMLULUKLARINI DÜZENLER. | KONUSU VERİ İŞLEME SÜRECİ OLAN İŞLERDE İLGİLİ TEDARİKÇİ ILE İMZALANIR. |
7. | KVKK GİZLİLİK TAAHHÜDÜ | VERI İŞLEYEN TEDARİKÇİLERİN KVKK SORUMLULUKLARINI DÜZENLER. | DAHA BASİT VE SINIRLI VERİ İŞLEME SÜRECI OLAN İŞLERDE TEDARİKÇİYE İMZALATILIR. |
8. | İLGİLİ KİŞİ BAŞVURU PROSEDÜRÜ | VERİSİ İŞLENEN GERÇEK KİŞİLERİN ŞIRKETE YAPACAĞI BAŞVURULARA DAİR USULLERİ DÜZENLER. | KVKK DOSYASINDA SAKLANIR. BAŞVURU OLDUĞUNDA UYGUNLUĞUNUN KONTORLÜ İÇİN GÖZDEN GEÇİRİLİR. |
9. | İLGİLİ KİŞİ BAŞVURU FORMU | VERİSİ İŞLENEN GERÇEK KİŞİLERİN ŞİRKETE YAPACAĞI BAŞVURULARIN KOLAY YÖNETİMİ İÇİN HAZIRLANMIŞTIR. | İSTEĞE BAĞLI OLARAK WEB SITESINDE YAYINLANIR. |
10. | VERİ GÜVENLİĞİ İHLAL PROSEDÜRÜ | ŞİRKET İÇİNDE VERİ SIZINTISI VEYA BİR BAŞKA İHLAL OLMASI DURUMLARINDA ALINACAK AKSİYONU DÜZENLER. | KVKK DOSYASINDA SAKLANIR. |
11. | VERİ İHLALİ BİLDİRİM FORMU | VERİ İHLALİ DURUMLARINDA KURULA YAPILACAK BİLDİRİM İÇİN KULLANILIR. | KVKK DOSYASINDA SAKLANIR. |
12. | KİŞİSEL VERİ İŞLEME ENVANTERİ | ŞİRKETİN TÜM VERİ İŞLEME SÜREÇLERİNİ RAPORLAYAN KAPSAMLI BİLGİ AĞACIDIR VE VERİ İŞLEME SÜREÇLERİNİ YÖNETMEYE YARAR VE VERBİS KAYDINDA ESAS ALINIR. | ŞİRKETİN BİLGİ GÜVENLİĞİ PROSEDÜRLERİ ARASINA ALINIR VE İRTİBAT KİŞİSİ TARAFINDAN YÖNETİLİR. |