Açık Rıza : Belirli bir konuya ilişkin, bilgilendirilmeye ve özgür iradeye dayanan, tereddüde yer bırakmayacak açıklıkta, sadece o işlemle sınırlı olarak verilen onay.
Anonim Hale Getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.
Kişisel Veri Sahibi (İlgili Kişi): Kişisel verisi işlenen gerçek kişi Örneğin; Hastalar, hasta yakınları, tedarikçiler, ziyaretçiler, çalışanlar ve çalışan adaylarıdır.
Kişisel Veri : Gerçek bir kişinin kimliğini belirleyen veya kimliğini belirlenebilir kılan her türlü bilgidir. Örneğin; ad-soyad, TCKN, e-posta, adres, doğum tarihi ve yeri, sosyal güvenlik numarası, görüntüleri, kredi kartı numarası, banka hesap numarası vb.
Özel Nitelikli Kişisel Veri: Öğrenildiği takdirde Kişisel Veri Sahibi’nin mağdur olmasına veya ayrımcılığa maruz kalmasına neden olabilecek nitelikte bilgilerdir. (Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik veriler özel nitelikli verilerdir.) Dolayısıyla tüzel kişilere ilişkin bilgilerin işlenmesi Kanun kapsamında değildir.
Kişisel Verilerin İşlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, saklanması, güncelleştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.
Veri Sorumlusu : BRH veri tabanında kayıtlı olan kişisel verilerin, işleme amaçlarını ve vasıtalarını belirleyerek, veri kayıt sistemi kuran ve yönetilmesinden sorumlu olan Veri Sorumluları Sicili açıldığında veri sorumlusu kaydını gerçekleştiren, kayıtlı veri sorumlusu sıfatını haiz olan kişi veya kişilerdir.
Veri İşleyen : BRH ‘in verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiler
İş bu esaslarla BRH bünyesinde bulunan Kişisel Verilerin toplanması, işlenmesi, aktarılması, saklanması, veri güvenliği, silinmesi, yok edilmesi ve anonimleştirilmesi, imhası tanımlanmaktadır.
6.1. KİŞİSEL VERİLERİN TOPLANMASI
İşlenen kişisel veriler, BRH ‘ in hizmetlerinin türü ve niteliğine göre değişebilmektedir. Kişisel veriler otomatik ya da otomatik olmayan yöntemlerle, ofisler, danışma, internet sitesi, sosyal medya mecraları, iş ilişkisi içerisinde olduğu kurumlar, paydaşlar ve benzeri vasıtalarla sözlü, yazılı ya da elektronik olarak toplanabilmektedir.
BRH’ e ait hizmetlerden yararlanıldığı müddetçe kişisel veriler işlenebilecek ve verilerin doğruluğu ve güncelliğini sağlamak amacıyla gerektiğinde güncellenebilecektir. Ayrıca, hizmetlerden yararlanmak amacıyla, BRH’in Hastane binası, Hastane Kampüsü, fiziken veya internet sayfaları ve/veya sair sosyal ve dijital mecraları ziyaret edildiğinde veya BRHH ‘in düzenlediği etkinlik, seminer, organizasyon, eğitim gibi faaliyetlere katılım sağlandığında da kişisel veriler toplanıp, işlenebilecektir.
6.2. KİŞİSEL VERİLERİN İŞLENMESİ
BRH, ticari ve iş stratejilerinin belirlenmesi, uygulanması ve insan kaynakları proseslerinin yürütülmesi amaçlarıyla ve kişisel verilerin elde edilmesi esnasında bildirilecek diğer sair amaçlarla, KVKK Madde 5 ve Madde 6’da belirtilen işleme şartlarına uygun şekilde gerçekleştirilecektir:
İşleme amaçları;
Aşağıda belirtilenlerle sınırlı olmamak üzere,
6.2.1. Hukuka ve dürüstlük kurallarına uygun işleme
BRH, KVKK’nın 4. maddesi uyarınca kişisel verileri hukuka ve dürüstlük kuralına uygun olarak işler, veri sahiplerine karşı “şeffaflık” ilkesini benimser ve kişisel veri sahiplerine kendi bilgilerinin kullanımı hakkında bilgilendirmede bulunur. Bilgilendirmede, açıklık ve dürüstlük esas alınır, toplanan kişisel verilerin işlenme ve kullanım amacı hakkında net bilgi verilir ve veriler bu çerçevede işlenir.
6.2.2. Kişisel verilerin doğru ve gerektiğinde güncel olmasını sağlama
BRH, işlediği kişisel verilerin doğru ve güncel olmasını sağlar. Bu sebeple kişisel verilerin doğru ve güncel tutulması açısından meydana gelen güncelleştirmeler ilgili birimlerce gerçekleştirilir.
6.2.3. Belirli, açık ve meşru amaçlarla işleme
BRH, kişisel verileri meşru ve hukuka uygun sebeplerle toplar ve işler. BRH, kişisel verileri, yürütmekte oldukları faaliyet/süreçlerle bağlantılı olarak, makul çerçevede ve gerekli olduğu ölçüde işler.
6.2.4. Kişisel verilerin işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması
BRH, işleme amacı ile ilgili olmayan veya ihtiyaç duyulmayan kişisel verileri işlemekten kaçınır. Bu çerçevede, veri işleme faaliyetinin en aza indirilmesi esastır.
6.2.5. Kanuni düzenlemeler tarafından öngörülen ve ticari meşru menfaatlerimiz süresince kişisel verilerin saklanması
BRH, işlediği kişisel verileri, yalnızca ilgili mevzuat ve kanunlarda öngörülen veya mevzuatta bir süre öngörülmemiş ise kişisel veri işleme amacının gerektirdiği süre kadar muhafaza eder.
Ancak veri sorumlusunun meşru menfaatinin olduğu durumlarda, işlenme amacının ve ilgili kanunlarda belirtilen sürelerin de sona ermesine rağmen veri sahiplerinin temel hak ve özgürlüklerine zarar vermemek kaydıyla kişisel veriler, veri saklama amacı sona erene kadar ve mevzuatın gerektirdiği süre boyunca kadar saklanabilecektir.
Bahsi geçen zaman aşımı süresinin sona ermesinin ardından kişisel veriler, yukarıda belirtilen Kayıtların Kontrolü prosedürüne göre silinecek, yok edilecek yahut anonim hale getirilecektir.
6.2.6. Özel nitelikli kişisel verilerin işlenmesi
Özel nitelikli kişisel veriler kanunlarda öngörülen ve BRH ‘in öngördüğü idari ve teknik tedbirler alınarak ve açık rıza var ise veya mevzuatın zorunlu kıldığı hallerde işlenir.
Sağlık ve cinsel hayata ilişkin özel nitelikli kişisel veriler, kamu sağlığının korunması, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenebilmekte olduğundan, BRH tarafından hasta ve çalışanların verisi dışında işlenmez. Hastalara ve çalışanlara ait bu tür veriler ise kanunlarda öngörülen kişilerce işlenebilir.
6.3. KİŞİSEL VERİLERİN AKTARILMASI
6.3.1. Kişisel verilerin yurt içine aktarımı
Kişisel veriler, işbu düzenlemede belirtilen amaçların yerine getirilmesine yönelik olarak, kanunen yetkili kamu kurumları ve kuruluşlarına, kanunen yetkili özel hukuk kişilerine, BRH ‘in tedarikçiden dış kaynaklı olarak temin ettiği ve ticari faaliyetlerini yerine getirmek için gerekli hizmetlerin sunulmasını sağlamak amacıyla sınırlı olarak BRH tedarikçilerine, hizmet alınan kişilere veya diğer üçüncü kişilere ve/veya yurtdışına, KVKK Kanunu Madde 8 ve Madde 9’da belirtilen kişisel veri işleme şartları ve amaçları çerçevesinde gerekli güvenlik önlemleri alınarak aktarılabilecektir.
6.3.2. Kişisel verilerin yurt dışına aktarımı
BRH tarafından kişisel veriler; KVK Kurulu tarafından yeterli korumaya sahip olduğu ilan edilen yabancı ülkelere (“Yeterli Korumaya Sahip Yabancı Ülke”) veya yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt ettiği ve KVK Kurulu’nun izninin bulunduğu yabancı ülkelere (“Yeterli Korumayı Taahhüt Eden Veri Sorumlusunun Bulunduğu Yabancı Ülke”) aktarılabilecektir. BRH, bu doğrultuda KVK Kanunu’nun 9. maddesinde öngörülen düzenlemelere uygun hareket edecektir.
6.3.3. Kişisel verilerin hukuka uygun olarak aktarılmasına ilişkin alınan tedbirler
6.3.3.1. Teknik tedbirler
Kişisel verilerin mevzuata uygun olarak işlenmesi ve saklanması için hastane içi teknik organizasyonu yapmak,
Kişisel verilerin saklanacağı veri tabanlarının güvenliğini sağlamak için teknik altyapıyı oluşturmak,
Oluşturulan teknik alt yapının süreçlerini takip etmek ve denetimlerini yapmak,
Teknik tedbirleri periyodik olarak güncellemek ve yenilemek,
Riskli durumlar için koruma sistemleri, güvenlik duvarı ve benzeri yazılımsal veya donanımsal güvenlik ürünleri kullanmakta ve teknolojik gelişmelere uygun güvenlik sistemleri kurmak,
Teknik konularda uzman çalışanlar istihdam etmek.
27001 Bilgi Güvenliği Yönetim Sistemini uygulamak
6.3.3.2. İdari tedbirler
Çalışanların kişisel verilerinin hukuka uygun bir şekilde korunması ve işlenmesine ilişkin bilgilendirmek ve gerekli eğitimlerin vermek,
Çalışanlar ile yapılan sözleşmelerde ve/veya Hastane uygulamalarında, Çalışanlar tarafından kişisel verilerin hukuka aykırı olarak işlenmesi durumlarında alınacak tedbirleri kayıt altına almak,
Veri işleyenler kişisel verilerin işlenmesi faaliyetlerini denetlemek.
6.4. KİŞİSEL VERİLERİN SAKLANMASI
6.4.1. BRH Kişisel verilerin ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar ve kişisel verileri mevzuatta öngörülen saklama süreleri saklı kalmak kaydıyla, kişisel verilerin işleme amacının gerektirdiği süre boyunca saklamaktadır.
Kişisel verileri birden fazla amaç ile işlediği hallerde, verinin işleme amaçlarının ortadan kalkması veya İlgili Kişi’nin talebi üzerine verilerin silinmesine mevzuatta bir engel olmaması durumunda BRH tarafından mevzuat hükümlerine uygun şekilde silinmekte, yok edilmekte veya anonimleştirilerek saklanmaktadır.
Kişisel verilerin işlenme amacı sona ermiş; ilgili mevzuat ve kurumun belirlediği saklama sürelerinin de sonuna gelinmişse; kişisel veriler yalnızca olası hukuki uyuşmazlıklarda delil teşkil etmesi veya kişisel veriye bağlı ilgili hakkın ileri sürülebilmesi veya savunmanın tesis edilmesi amacıyla saklanabilmektedir. Buradaki sürelerin tesisinde bahsi geçen hakkın ileri sürülebilmesine yönelik zaman aşımı süreleri ile zaman aşımı sürelerinin geçmesine rağmen daha önce aynı konularda hastaneye yöneltilen taleplerdeki örnekler esas alınarak saklama süreleri belirlenmektedir. Bu durumda saklanan kişisel verilere herhangi bir başka amaçla erişilmemekte ve ancak ilgili hukuki uyuşmazlıkta kullanılması gerektiği zaman ilgili kişisel verilere erişim sağlanmaktadır. Burada da bahsi geçen süre sona erdikten sonra kişisel veriler silinmekte, yok edilmekte veya anonim hale getirilmektedir.
6.4.2. Kişisel verilerin saklanmasına ilişkin alınan tedbirler
6.4.2.1. Teknik tedbirler
Kişisel verilerin silinmesi, yok edilmesi ve anonimleştirilmesi için teknik alt yapılar ve bunlara ilişkin denetim mekanizmaları oluşturmak,
Kişisel verilerin güvenli şekilde saklanması için gerekli tedbirleri almak,
Teknik uzmanlığı olan çalışanlar istihdam etmek,
Oluşabilecek risklere karşı iş sürekliliği ve acil durum planları oluşturup bunların uygulanmasına ilişkin sistemler geliştirmek, (BGYS Ekibi kontrolünde)
Kişisel verilerin saklama alanlarına ilişkin teknolojik gelişmeler uyarınca güvenlik sistemleri kurmak.
6.4.2.2. İdari tedbirler
Kişisel verilerin saklanması ile ilgili teknik ve idari riskler hakkında çalışanları bilgilendirerek farkındalık yaratmak,
Kişisel verilerin saklanması için üçüncü kişilerle işbirliği yapılması durumunda kişisel verilerin aktarıldığı şirketler ile yapılan sözleşmelere; kişisel verilerin aktarıldığı kişilerin, aktarılan kişisel verilerin korunması ve güvenli saklanması amacıyla gerekli güvenlik tedbirlerinin alınmasına ilişkin düzenlemelere yer vermek.
6.5. KİŞİSEL VERİLERİN GÜVENLİĞİ
6.5.1. BRH, kişisel verilerin güvenlik tedbirleri;
Hukuka aykırı işlenmesini önlemek,
Hukuka aykırı erişimini önlemek,
Hukuka uygun olarak saklanmasını sağlamak,
için teknolojik olanaklar ve uygulama maliyetlerine göre gereken idari ve teknik tedbirleri almaktadır.
6.5.2. Kişisel verilerin hukuka aykırı işlenmesini önlemek için alınan idari tedbirler
Çalışanları kişisel verilerin hukuka uygun olarak işlenmesi hakkında eğitmek ve bilgilendirmek,
BRH ‘in yürüttüğü faaliyetleri detaylı olarak tüm iş birimleri özelinde değerlendirmek, söz konusu değerlendirme sonucunda ilgili birimlerin gerçekleştirdiği ticari faaliyetler özelinde kişisel verileri işlemek,
Kişisel verilerin işlenmesi amacıyla üçüncü kişilerle işbirliği yapıldığı hallerde kişisel verileri işleyen şirketler ile yapılan sözleşmelerde; kişisel verileri işleyen kişilerin gerekli güvenlik tedbirlerinin almasına ilişkin düzenlemelere yer vermek,
Kişisel verilerin hukuka aykırı olarak ifşa edilmesi veya veri sızıntısı olması halinde KVK Kurul’una durumu bildirerek bu hususta mevzuat tarafından öngörülen incelemeleri yapmak, “Disiplin Prosedürü” ne ve Disiplin Kurulu kararına uygun hareket etmek.
6.5.3. Kişisel verilere hukuka aykırı erişimi engellemek için alınan teknik tedbirler
Teknik uzmanlığı olan çalışanlar istihdam etmek,
Teknik tedbirleri periyodik olarak güncellemek ve yenilemek,
Şirket içerisinde erişim yetkilendirme prosedürleri oluşturmak,
Şirket içerisinde kullanılmakta olan veri kayıt sistemlerini mevzuata uygun şekilde oluşturmak ve periyodik olarak denetimlerini yapmak,
Çalışanları kişisel verilere erişim, yetkilendirme hususlarında eğitmek ve bilgilendirmek,
Kişisel verilere hukuka aykırı erişimi engellemeyi sağlamak üzere teknolojik gelişmeler dahilinde güvenlik sistemleri kurmak.
6.6. KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VE ANONİMLEŞTİRİLMESİ – İMHA
İlgili kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması durumunda Balıklı Rum Hastanesi, kendi kararına istinaden veya kişisel veri sahibinin talebi üzerine kişisel verileri siler, yok eder veya anonim hâle getirir.
KVKK’nın 28. maddesine uygun olarak; anonim hale getirilmiş olan kişisel veriler araştırma, planlama ve istatistik gibi amaçlarla işlenebilir. Bu tür işlemeler KVKK kapsamı dışında olup, kişisel veri sahibinin açık rızası aranmayacaktır.
6.6.1. Kişisel Verilerin Silinmesi ve Yok Edilmesi Teknikleri;
6.6.1.1. Fiziksel Olarak Yok Etme (Physical Destruction)
Kişisel veriler herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla da işlenebilmektedir. Bu tür veriler silinirken/yok edilirken kişisel verinin sonradan kullanılamayacak biçimde fiziksel olarak yok edilmesi sistemi uygulanmaktadır.
6.6.1.2. Yazılımdan Güvenli Olarak Silme (Secure Deletion Softare)
Tamamen veya kısmen otomatik olan yollarla işlenen ve dijital ortamlarda muhafaza edilen veriler silinirken/yok edilirken; bir daha kurtarılamayacak biçimde verinin ilgili yazılımdan silinmesine ilişkin yöntemler kullanılır.
6.6.1.3. Uzman Tarafından Güvenli Olarak Silme (Sending to a Specialist for Secure Deletion)
BRH, bazı durumlarda kendisi adına kişisel verileri silmesi için bir uzman ile anlaşabilir. Bu durumda, kişisel veriler bu konuda uzman olan kişi tarafından bir daha kurtarılamayacak biçimde güvenli olarak silinir/yok edilir.
6.6.2. Kişisel Verileri Anonim Hale Getirme Teknikleri
6.6.2.1. Maskeleme (Masking)
Veri maskeleme ile kişisel verinin temel belirleyici bilgisini veri seti içerisinden çıkartılarak kişisel verinin anonim hale getirilmesi yöntemidir.
6.6.2.2. Toplulaştırma (Aggregation)
Veri toplulaştırma yöntemi ile birçok veri toplulaştırılmakta ve kişisel veriler herhangi bir kişiyle ilişkilendirilemeyecek hale getirilmektedir.
6.6.2.3. Veri Türetme (Data Derivation)
Veri türetme yöntemi ile kişisel verinin içeriğinden daha genel bir içerik oluşturulmakta ve kişisel verinin herhangi bir kişiyle ilişkilendirilemeyecek hale getirilmesi sağlanmaktadır.
6.6.2.4. Veri Karma (Data Shuffling, Permutation)
Veri karma yöntemi ile kişisel veri seti içindeki değerlerinin karıştırılarak değerler ile kişiler arasındaki bağın kopartılması sağlanmaktadır.
6.7. KİŞİSEL VERİ SAHİBİNİN HAKLARI
Kişisel Veri Sahibi, KVKK Madde 11 uyarınca:
Kişisel veri işlenip işlenmediğini öğrenme,
Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
KVK Kanunu ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme,
haklarına sahiptir.
6.7.1. Kişisel verilere ilişkin hakların kullanılması
Kişisel Veri Sahipleri, KVKK’nın uygulanmasıyla ve KVKK madde 11 kapsamındaki yukarıda sayılan haklarına ait taleplerini www.surppirgic.com adresinde bulunan veri sahibi başvuru formunun ıslak imzalı bir nüshasını BRH ‘in iletişim adreslerine, posta, e-posta yahut iadeli taahhütlü mektup vasıtasıyla veya KVK Kurulunun belirleyeceği diğer yöntemlerle iletmelidir.
6.7.2. Başvurunun değerlendirilmesi
6.7.2.1. Başvurunun cevaplandırılma süresi
Kişisel verilere ilişkin talepler, niteliğine göre en kısa sürede ve her halükarda en geç 30 (otuz) gün içinde ücretsiz olarak karşılanacaktır.
Başvuru sırasında veya başvuru değerlendirilirken ek bilgi ve belge talep edilmesi söz konusu olabilecektir.
6.7.2.2. Başvuruyu reddetme hakkı
Kişisel veriler ile ilgili başvurular;
Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi,
Kişisel verilerin özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi,
Kişisel Veri Sahibi tarafından alenileştiren kişisel verilerin işlenmesi,
Başvurunun haklı bir nedene dayanmaması,
Başvurunun ilgili mevzuata aykırı bir istem içermesi,
Başvuru usulüne uyulmaması,
hallerinde BRH tarafından gerekçelendirilmek suretiyle reddedilir.
6.7.3. Başvurunun değerlendirilme usulü
Cevaplandırma süresinin başlayabilmesi için yapılan taleplerin yazılı ve ıslak imzalı, noter vasıtasıyla tebligat veya kayıtlı elektronik posta (KEP) üzerinden gönderilmesi veya KVK Kurulu’nun belirlediği diğer yöntemlerle başvuranın kimliğinin belgelendirilmiş kayıtlarla gönderilmesi gerekmektedir.
Talep kabul edilir ise ilgili işlem uygulanır ve yazılı veya elektronik ortamda bildirim yapılır. Talebin reddi halinde ise, gerekçesi açıklanarak yazılı veya elektronik ortamda başvuru sahibine bildirilir.
6.7.4. Kişisel Verileri Koruma Kurulu’na olan şikayet hakkı
Başvurunun reddedilmesi, verilen cevabı yetersiz bulunması veya süresinde cevap verilmemesi hallerinde; başvuru sahibinin cevabı öğrendiği tarihten itibaren 30 (otuz) gün ve her halde başvuru tarihinden itibaren 60 (altmış) gün içerisinde KVK Kurulu’na şikayette bulunma hakkı bulunmaktadır.