DOK.KOD BY.YD.012 YAY.TRH REV.TRH. REV.NO

(1)

ÖZEL TEKİRDAĞ STAR MEDİCA HASTANESİ ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİ VE KORUNMASI POLİTİKASI

DOK.KOD BY.YD.012 YAY.TRH. 30.09.2020 REV.TRH. REV.NO

Sayfa 1 / 7 1.Giriş

a. İşbu Özel Nitelikli Kişisel Verilere İlişkin Önlem Politikası (“Politika”); 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) altıncı maddesinin dördüncü fıkrası uyarınca Kişisel Verileri Koruma Kurulu’nun 31/08/2018 tarihli, Özel Nitelikli Kişisel Verilerin İşlenmesi ve Yeterli Önlemlerin Alınması Hakkındaki Kurul kararı ile belirlenen ilkeler gereğince Özel Tekirdağ Star Medica Hastanesi(Hastane) tarafından uyulması gereken esasları belirleyecektir.

b.Özel Tekirdağ Star Medica HastanesiVeri Saklama ve İmha Politikası’nın, bu Politikaya aykırı olmayan hükümleri özel nitelikteki kişisel veriler hakkında da uygulanacaktır.

c. Hastane’nin bu çerçevede, Kanunun 22 nci maddesinin birinci fıkrasının (ç) ve (e) bentleri uyarınca özel nitelikli kişisel veriler için alması gereken yeterli önlemler aşağıdaki şekilde belirlenmiştir:

2. Tanımlar

Çalışan: Görev ve unvanına bakılmaksızın Hastane personelini, Hastane: Özel Tekirdağ Star Medica Hastanesini,

Kanun: 6698 sayılı Kişisel Verilerin Korunması Kanunu’nu, Kişisel Veri Sahibi:Kişisel verisi işlenen gerçek kişiyi,

Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi, Özel Nitelikli Kişisel Veri: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri,

Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasında ve yönetilmesinden sorumlu gerçek veya tüzel kişiyi,

3. Özel Nitelikli Kişisel Verilerin İşlenmesine İlişkin İlkeler

(2)

Sayfa 2 / 7 Hastanemiz bakımından öncelikle önem arz eden hususların başında, özel nitelikli kişisel verilerin işlenmesinde Kanun’un altıncı maddesi ve ilgili mevzuatta öngörülen genel ilkelere uygun davranılması gelmektedir. Bu kapsamda Hastanemiz, Anayasa, Kanun ve ilgili mevzuata uygun olarak kişisel verilerin işlenmesinde aşağıda sıralanan ilkelere uygun hareket etmektedir.

3.1 Hukuka ve Dürüstlük Kuralına Uygun Kişisel Veri İşleme Faaliyetlerinde Bulunma

Hastane, özel nitelikli kişisel verilerin

işlenmesifaaliyetlerikapsamındahukukavedürüstlükkurallarınauygun hareket etmektedir.

Hastane, kişisel verilerin işlenmesindeorantılılık ve gereklilik prensipleriniuygulamayakoyaraksadecegerektiğikadarkişisel

veriyi,veriişlemeamaçlarınauygun düşecek seviyede işlemektedir.

Hastane, kişisel verileringüvenliği konusuna önem vermekte olupkendisi ile paylaşılan her türlü kişisel veriyi, mahremiyetine özen göstererek ve kişisel verilere ilişkin uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbiri alarak muhafaza etmektedir. Bu bağlamda, 6698 Kanunve ilgili mevzuat ile 3359 sayılı Sağlık Hizmetleri Temel Kanunu, 663 sayılı Sağlık Bakanlığı ve Bağlı Kuruluşlarının Teşkilat ve Görevleri Hakkında Kanun Hükmünde Kararname, Özel Hastaneler Yönetmeliği ve Sağlık Bakanlığı düzenlemeleri ve sair mevzuata uygun olarak işlenmektedir.

3.2 Kişisel Verilerin Doğru veGerektiğinde Güncel Olmasını Sağlama

Hastane, kişisel veri sahiplerinin temel haklarını ve kendi meşru menfaatlerini dikkate alarak işlediğikişisel verilerindoğruvegüncelolmasınısağlamakta vebudoğrultudagereklitedbirlerialarak bunları sağlamaya yönelik sistemlerikurmaktadır.

3.3 Belirli, Açık ve Meşru Amaçlarla İşleme

Hastane, sağlanmakta olan kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ve finansmanının planlanması ve yönetimi amaçlarıyla sağlık verileri başta olmak üzere özel nitelikli kişisel veriler, aşağıda yer alanlar dâhil ve bunlarla sınırlı olmaksızın bu maddede belirtilen amaçlar ile bağlantılı, sınırlı ve ölçülü şekilde işlenebilmektedir.

3.4.İşlendikleri Amaçla Bağlantılı, Sınırlı veÖlçülü Olma

(3)

Sayfa 3 / 7

Hastane,özel nitelikli kişisel

verileribelirlenenamaçlarıngerçekleştirilebilmesineelverişlibirbiçimde işlemekte veamacıngerçekleştirilmesiyleilgiliolmayanveyaihtiyaçduyulmayankişisel verilerin işlenmesindenkaçınmaktadır.

3.5.

İlgiliMevzuattaÖngörülenveyaİşlendikleriAmaçİçinGerekliOlanSüreKada r Muhafaza Etme

Hastane, özel nitelikli kişisel verileriyalnızca ilgili mevzuatta öngörülen sürelerile veya işlendikleri amaç ile sınırlı olarakmuhafazaetmektedir.

Bukapsamda,ilgilimevzuattakişisel verilerinsaklanmasıiçinbelirlenensürelere uygundavranmaktadır. Süre belirlenmeyen durumlarda,kişisel verilerişlendikleriamaçiçin gerekli olan süre kadarmuhafaza edilmektedir.

3.6. Kişisel Verilerin Aktarımında Uyulması Gerekenler

Kişisel veriler, 3359 sayılı Sağlık Hizmetleri Temel Kanunu, 663 sayılı Sağlık Bakanlığı ve Bağlı Kuruluşlarının Teşkilat ve Görevleri Hakkında Kanun Hükmünde Kararname, 6698 Sayılı Kişisel Verilerin Korunması Kanunu, Özel Hastaneler Yönetmeliği, Kişisel Sağlık Verilerinin İşlenmesi ve Mahremiyetinin Korunması Yönetmeliği ve Sağlık Bakanlığı düzenlemeleri ve ilgili mevzuat hükümleri çerçevesinde;

Hastane; Sağlık Bakanlığı, Bakanlığa bağlı alt birimler ve aile hekimliği merkezleri, Özel sigorta şirketleri (sağlık, emeklilik, hayat sigortası ve benzeri), Sosyal Güvenlik Kurumu, Emniyet Genel Müdürlüğü ve diğer kolluk kuvvetleri, Nüfus ve Vatandaşlık işleri Genel Müdürlüğü, Türkiye Eczacılar Birliği, Adli makamlar, Tıbbi teşhis ve tedavi için iş birliği içerisinde olduğumuz yurt içinde bulunan laboratuvarlar, tıp merkezleri, ambulans, tıbbi cihaz ve sağlık hizmeti sunan kurumlar, hastanın sevk edildiği veya hastanın kendisinin başvurduğu sağlık kuruluş veya yetki vermiş olduğu kanuni temsilcisi, hastanenin çalışmakta olduğu avukatlar, vergi danışmanları ve denetçiler de dâhil olmak üzere danışmanlık aldığı üçüncü kişiler, düzenleyici ve denetleyici kurumlar ve resmi merciler, hizmetlerinden faydalandığı veya işbirliği içinde olduğu tedarikçiler, destek hizmet sağlayıcıları ve arşiv hizmeti sağlayıcıları ile paylaşılabilecektir.

3.6.1.Yurtiçinde Kişisel Verilerin Aktarımı

Hastane, kişisel verileri, Kanunun sekizinci maddesi gereğince kişisel veri işleme amaçlarına uygun olarak ve gerekli güvenlikönlemlerinialaraküçüncükişilereaktarmaktadır.

(4)

Sayfa 4 / 7 3.6.2.Yurtdışına Kişisel Verilerin Aktarılması

Hastane tarafından yurt dışına kişisel veri aktarılmamaktadır.

Yurt dışına kişisel veri aktarılması zorunluluğu doğması halinde ise Kanunun dokuzuncu maddesindeöngörülen düzenlemelere uygun olarak gerekli tüm önlemler alındıktan sonra veri aktarımı yapılacaktır.

4. Hastanenin Kişisel Verilerin Korunması ve İşlenmesine İlişkin Yükümlülükleri

4.1.Veri Sorumluları Siciline Kaydolma Yükümlülüğü Hastane,Veri Sorumluları Siciline kayıt olmuştur.

4.2.Kişisel Veri Sahibini Aydınlatma Yükümlülüğü

Hastane,kişisel verilerineldeedilmesisırasında,kişisel veri sahibini,aşağıdayeralan konularda aydınlatmaktadır:

(1)Veri Sorumlusununkimliği,

(2)Kişisel verilerin hangi amaçla işleneceği,

(3)Kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, (4)Kişisel veritoplamanın yöntemi ve hukuki sebepleri, (5)Kişisel veri Sahibinin sahip olduğu hakları.

4.3.Özel Nitelikli Kişisel Verilerin Güvenliğini Sağlama Yükümlülüğü

Hastane, Kanun’un 12. maddesine uygun olarak, işlemekte olduğu özel nitelikli

kişisel verilerin hukuka aykırıolarakişlenmesinive bu

verilerehukukaaykırıolarakerişilmesiniönlemekveverilerin muhafazasını sağlamak için uygun güvenlik düzeyini sağlamaya yönelik olarak aşağıdaki teknik ve idari tedbirleri almaktadır.

4.3.1.Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, elektronik ortam ise;

a) Verilerin kriptografik yöntemler kullanılarak muhafaza edilmesi, b) Kriptografik anahtarların güvenli ve farklı ortamlarda tutulması,

(5)

Sayfa 5 / 7 c) Veriler üzerinde gerçekleştirilen tüm hareketlerin işlem kayıtlarının güvenli olarak loglanması,

d) Verilerin bulunduğu ortamlara ait güvenlik güncellemelerinin sürekli takip edilmesi, gerekli güvenlik testlerinin düzenli olarak yapılması/yaptırılması, test sonuçlarının kayıt altına alınması,

e) Verilere bir yazılım aracılığı ile erişiliyorsa bu yazılıma ait kullanıcı yetkilendirilmelerinin yapılması, bu yazılımların güvenlik testlerinin düzenli olarak yapılması/yaptırılması, test sonuçlarının kayıt altına alınması,

f) Verilere uzaktan erişim gerekiyorsa en az iki kademeli kimlik doğrulama sisteminin sağlanması.

4.3.2.Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, fiziksel ortam ise;

a) Özel nitelikli kişisel verilerin bulunduğu ortamın niteliğine göre yeterli güvenlik önlemlerinin (elektrik kaçağı, yangın, su baskını, hırsızlık vb. durumlara karşı) alındığından emin olunması,

b) Bu ortamların fiziksel güvenliğinin sağlanarak yetkisiz giriş çıkışların engellenmesi.

4.3.3.Özel nitelikli kişisel veriler aktarılacaksa;

a) Verilerin e-posta yoluyla aktarılması gerekiyorsa şifreli olarak kurumsal e-posta adresiyle veya Kayıtlı Elektronik Posta (KEP) hesabı kullanılarak aktarılması,

b) Taşınabilir Bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerekiyorsa kriptografik yöntemlerle şifrelenmesi ve kriptografik anahtarın farklı ortamda tutulması,

c) Farklı fiziksel ortamlardaki sunucular arasında aktarma gerçekleştiriliyorsa, sunucular arasında VPN kurularak veya sFTP yöntemiyle veri aktarımının gerçekleştirilmesi,

d) Verilerin kağıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması, ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemlerin alınması ve evrakın “gizlilik dereceli belgeler” formatında gönderilmesi gerekir.

4.4.Özel Nitelikli Kişisel Veri Sahibini Bilgilendirme Yükümlülüğü

(6)

Sayfa 6 / 7 Kişisel verisahipleri,gerekduyduklarıhallerdeyazılıolarakveyaKişisel Verileri KorumaKurulu’nunbelirleyeceğidiğer yöntemlerle başvurudabulunarak kendiverilerine ilişkin bilgi talebinde bulunma hakları vardır.

BukapsamdaHastane,Kişisel verisahiplerininhaklarınındeğerlendirilmesivekişisel veri sahiplerine gereken bilgilendirmenin yapılması için Kanun’un 13. maddesine uygun olarak gerekli mekanizmaları oluşturmuştur.

5.Hastane Bünyesinde Organizasyonel Yapılanma Hastane

bünyesindeişbupolitikavebupolitikayabağlıveilişkilidiğerpolitikalarıyönetmek üzere, yönetim kurulu tarafından “Kişisel Verilerin Korunması Birimi” oluşturulmuştur.

Özel Star Medica Hastanesi işbu Politikada yer alan hükümleri yayımlamak suretiyle her zaman değiştirebilir. Özel Star Medica Hastanesi’nin değişiklik yaptığı hükümler yayınlandığı tarihte yürürlük kazanır.

AYRICA YAPILMASI GEREKENLER

1- Özel nitelikli kişisel verilerin işlenmesi süreçlerinde yer alan çalışanlara yönelik,

a) Kanun ve buna bağlı yönetmelikler ile özel nitelikli kişisel veri güvenliği konularında düzenli olarak eğitimler verilmesi,

b) Gizlilik sözleşmelerinin yapılması,

c) Verilere erişim yetkisine sahip kullanıcıların, yetki kapsamlarının ve sürelerinin net olarak tanımlanması,

d) Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkilerinin derhal kaldırılması. Bu kapsamda, veri sorumlusu tarafından kendisine tahsis edilen envanterin iade alınması,

II. POLİTİKA’DA YAPILACAK DEĞİŞİKLİKLER

(7)

Sayfa 7 / 7 1. İlgili mevzuatta yapılacak her türlü resmi değişiklikler ve konu ile ilgili kurul kararları doğrultusunda bu değişikliklerle uyumlu olacak şekilde Şirket tarafından işbu Politika güncellenebilir.

2. Şirket, Politika üzerinde yaptığı değişikliklerin izlenebileceği bir yöntem ile güncel Politika’yıveya politikada güncelleme yapıldığına dair bilgiyi e-posta yolu ile çalışanlarıyla paylaşacak ve aşağıdaki web adresi üzerinden çalışanlarının erişimine sunacaktır.

İlgili web adresi : https://www.starmedica.com.tr/

III. POLİTİKA’NIN YÜRÜRLÜK TARİHİ İşbu Politika 30.09.2020 tarihinde yürürlüğe girmiştir.