KİŞİSEL VERİ İŞLEME ENVANTERİ
A- SAĞLIK HİZMETİ KAPSAMINDA İŞLENEN VERİLER
1. Veri Kategorileri
a. Özel Nitelikte Olmayan Kişisel Veriler
i. Kimlik Bilgileri (Ad-soyad, anne ve baba adı, cinsiyet, doğum tarihi ve yeri, medeni hal, TC Kimlik Numarası, uyruk bilgisi, imza bilgisi)
ii. İletişim Bilgileri (İletişim adresi, e-posta adresi, telefon numarası, adres numarası, faks numarası)
i. Finans Bilgileri ((Banka hesap numarası (IBAN), banka hesap bilgileri(hesap sahibi vb.) kredi kartı bilgisi, fatura düzenlemek için gerekli bilgiler, özel sağlık sigortası tutarı vb. bilgiler.)
b. Özel Nitelikte Kişisel Veriler
i. Sağlık Bilgileri (Kişilerin geçirdiği hastalıklar, kullandığı ilaçlar, tıbbi raporlar, tahlil, laboratuvar ve görüntüleme sonuçları, klinik dosyasındaki tıbbi öyküsü, hastalık geçmişi, uygulanan tıbbi girişim sonucunda ulaşılan değişimi göstermek amacıyla alınan fotoğraflar dâhil olmak üzere fiziksel ve ruhsal sağlığına ilişkin her türlü bilgi)
ii. Cinsel Hayat Bilgileri (Sağlık hizmeti sunumunu için gerekli olması halinde)
2. Kişisel Veri İşleme Amaçları
A.1 Başlığında sayılan kişisel veriler ve özel nitelikteki kişisel veriler; hastalara sağlık hizmeti sunulabilmesi, randevu günü belirleme vb. süreçlerin yürütülebilmesi, sunulan hizmet karşılığında ücret alınabilmesi, vergi hukukundan kaynaklı yükümlülüklerin yerine getirilmesi ve diğer kanuni ve akdi yükümlülüklerin yerine getirilmesi amaçlarıyla işlenmektedir.
3. Veri Konusu Kişi Grubu
Sağlık hizmeti almak için başvuran hastaların A.1 Başlığında sayılan verileri alınmaktadır. Bunun yanında henüz 18 yaşını doldurmamış ergin olmayan hastaların velilerinin de kimlik, iletişim ve finans bilgileri alınabilmektedir.
4. Kişisel Veri İşlenmesinin Hukuki Sebebi
1219 sayılı Kanun, Ayakta Teşhis ve Tedavi Sunulan Özel Sağlık Kuruluşları Hakkında Yönetmelik, Tıbbi Deontoloji Tüzüğü, Hekimlik Meslek Etiği Kuralları, Hasta Hakları Yönetmeliği ve ilgili diğer mevzuat doğrultusunda mesleki ve hukuki yükümlülüklerin yerine getirilmesi.
5. Kişisel Verilerin Azami Saklanma Süresi
A.1 Başlığında sayılan kişisel veriler sağlık hizmeti sunumunun gerçekleştirilebilmesi amacıyla işlendiğinden, hekimlik mesleği ve kanuni yükümlülükler dolayısıyla tedavinin sonlanmasından itibaren 20 yıl süresince saklanacaktır.
6. Kişisel Verilerin Aktarımı
a. Alıcı/Alıcı Grupları
i. Sunulan sağlık hizmetinin karşılığında alınan bedelin faturalandırılabilmesi için Muhasebeci/Serbest Mali Müşavir ile hastanın kimlik bilgileri paylaşılmaktadır.
ii. Sunulan sağlık hizmeti karşılığında ödenen bedelin hasta tarafından anlaşmalı olduğu sigorta şirketinden veya Sosyal Güvenlik Kurumundan alınabilmesi için Hastanın kimlik bilgileri ilgili sigorta şirketi ve SGK ile paylaşılabilmektedir.
iii. 1593 sayılı Umumi Hıfzıssıhha Kanunu’nun 58. maddesinde düzenlenen bulaşıcı hastalıkları yetkili makamlara bildirme yükümlülüğü gibi toplum sağlığının korunması için kişisel tıbbi kayıtların mahremiyetinin sınırlanması gereken durumlarda ya da suçu bildirim yükümlülüğü gibi Kanuni zorunluluk hallerinde, sadece amaçla sınırlı olarak ve ölçülü biçimde hastanın sağlık, iletişim ve kimlik verileri yetkili makamlarla paylaşılabilmektedir.
b. Yabancı Ülkelere Veri Aktarımı
i. İkametgahı yurtdışında olup sağlık kuruluşumuzdan hizmet alan hastaların kimlik ve iletişim bilgileri hastaların anlaşmalı olduğu yurtdışı menşeili sigorta şirketleriyle paylaşılabilmektedir.
ii. Sunulacak sağlık hizmetinin planlanabilmesi için hastaların sağlık ve kimlik bilgileri yurtdışı menşeili bazı programlara yüklenebilmektedir. Bu halde amaç verinin yurtdışına aktarımı değildir ancak sağlık hizmetinin sağlanabilmesi için bu işlemin yapılması zorunludur.
B- SAĞLIK KURULUŞU TARAFINDAN ÇALIŞAN İSTİHDAMI KAPSAMINDA İŞLENEN KİŞİSEL VERİLER
1. Veri Kategorileri
a. Özel Nitelikte Olmayan Kişisel Veriler
ii. Kimlik Bilgileri (Ad-soyad, anne ve baba adı, cinsiyet, doğum tarihi ve yeri, medeni hal, TC Kimlik Numarası, uyruk bilgisi, imza bilgisi vb.)
iii. İletişim Bilgileri (İletişim adresi, e-posta adresi, telefon numarası, adres numarası, faks numarası, acil durumda ulaşılabilecek yakınları ve aile bireylerinin iletişim bilgileri vb.)
iv. Özlük Bilgileri (Bordro bilgileri, disiplin soruşturması, işe giriş belgesi kayıtları, özgeçmiş, performans değerlendirme raporları, CV, sosyal güvenlik numarası vb.)
v. Mesleki Deneyim Bilgileri (öğrenim durumu, sertifika, diploma, yabancı dil bilgileri vb.)
vi. Finans Bilgileri (Banka hesap numarası (IBAN), banka hesap bilgileri(hesap sahibi vb.) kredi kartı bilgisi, çalışanlara ilişkin finansal ve maaş detayları, bordrolar, asgari geçim indirimi bilgisi, özel sağlık sigortası tutarı vb. bilgiler.)
b. Özel Nitelikte Kişisel Veriler
i. Sağlık kuruluşunda istihdam edilecek çalışanlardan işe giriş öncesinde adli sicil kaydı istenmektedir. Bu nedenle adli sicil kaydında varsa ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri işlenebilmektedir.
ii. Sağlık kuruluşunda iş sağlığı ve güvenliği faaliyetleri kapsamında çalışanların bazı sağlık verileri alınıp işlenebilmektedir.
iii. Çalışanların bir sendikaya üye olması halinde sendika bilgileri işlenmektedir.
2. Kişisel Veri İşleme Amaçları
B.1 Başlığında sayılan kişisel veriler ve özel nitelikteki kişisel veriler; çalışanların SGK kaydının yapılabilmesi, 4857 sayılı İş Kanunu ile 6331 sayılı İş Sağlığı ve Güvenliği Kanunu uyarınca iş sözleşmesi ve işveren yükümlülüklerinin yerine getirilmesi, çalışanların özlük dosyalarının oluşturulabilmesi amacıyla işlenmektedir.
3. Veri Konusu Kişi Grubu
Veri sorumlusu sağlık kuruluşu tarafından istihdam edilen çalışanlar (sekreter, güzellik uzmanı vb. )
4. Kişisel Veri İşlenmesinin Hukuki Sebebi
4857 sayılı İş Kanunu, 6331 sayılı İş Sağlığı ve Güvenliği Kanunu, İş Sağlığı ve Güvenliği Hizmetleri Yönetmeliği ve ilgili diğer mevzuat doğrultusunda hukuki yükümlülüklerin yerine getirilmesi ve çalışan ile imzalanan iş sözleşmesi.
5. Kişisel Verilerin Azami Saklanma Süresi
a. 4857 sayılı İş Kanunu ve 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu gereğince B.1 Başlığında sayılan kişisel verilerden kimlik, iletişim, özlük, finans ve her türlü mahkumiyete ilişkin bilgiler çalışanın işten ayrılmasından itibaren 10 yıl süreyle saklanır.
b. 6331 sayılı İş Sağlığı Ve Güvenliği Kanunu ve 29.12.2012 tarih ve 28512 sayılı Resmi Gazete’de yayınlanan İş Sağlığı Ve Güvenliği Hizmetleri Yönetmeliği gereğince B.1 Başlığında sayılan kişisel verilerden sağlık verileri çalışanın işten ayrılmasından itibaren 15 yıl süreyle saklanır.
6. Kişisel Verilerin Aktarımı
a. Alıcı/Alıcı Grupları
i. Sosyal Güvenlik Kurumu
ii. Anlaşmalı olunan muhasebeci/serbest mali müşavir
iii. 4857 sayılı İş Kanunu uyarınca işveren yükümlülüklerini yerine getirebilmek için veri aktarılması gereken Yetkili diğer kamu kurum ve kuruluşları
b. Yabancı Ülkelere Veri Aktarımı
Çalışan istihdamı kapsamında işlenen kişisel veriler ancak veri sahibinin açık rızasının bulunması veya kanuna uygunluk koşullarından birisinin varlığı halinde yurtdışına aktarılmaktadır.
C- KİŞİSEL VERİLERİ KORUMA KANUNU KAPSAMINDA ALINAN GÜVENLİK TEDBİRLERİ
1. İdari Tedbirler
i. Çalışanların niteliği ve teknik bilgi/ becerisinin geliştirilmesi, kişisel verilerin hukuka aykırı işlenmenin önlenmesi, kişisel verilere hukuka aykırı erişilmesinin önlenmesi, kişisel verilerin muhafazasının sağlanması, iletişim teknikleri ve ilgili mevzuatlar hakkında çalışanlara eğitimler verilmektedir.
ii. Çalışanlara gizlilik sözleşmeleri imzalatılmaktadır.
iii. Güvenlik politika ve prosedürlerine uymayan çalışanlara yönelik uygulanacak disiplin prosedürü uygulanmaktadır.
iv. İlgili kişileri aydınlatma yükümlülüğü yerine getirilmektedir.
v. Kurum içi periyodik ve rastgele denetimler yapılmaktadır.
2. Teknik Tedbirler
i. Kurumun bilişim sistemleri teçhizatı, yazılım ve verilerin fiziksel güvenliği için gerekli önlemler alınmaktadır.
ii. Hukuka aykırı işlemeyi önlemeye yönelik riskler belirlenmektedir.
iii. Belirlenen risklere uygun teknik tedbirler alınmaktadır.
iv. Erişim yetki ve rol dağılımları için prosedürler oluşturulmakta ve uygulanmaktadır.
v. Yetki matrisi uygulanmakta, erişimler kayıt altına alınarak uygunsuz erişimler kontrol altında tutulmaktadır.
vi. Saklama ve imha politikasına uygun imha süreçleri tanımlanmakta ve uygulanmaktadır.
vii. Hukuka aykırı işleme tespiti halinde ilgili kişiye ve kurula bildirmek için bir sistem ve altyapı oluşturulmaktadır.
viii. Güvenlik açıkları takip edilerek uygun güvenlik yamaları yüklenmektedir.
ix. Bilgi sistemleri güncel halde tutulmaktadır.
x. Kişisel verilerin işlendiği elektronik ortamlarda güçlü parolalar kullanılmakta ve güvenli kayıt tutma (loglama) sistemleri kullanılmakta, kişisel verilerin güvenli olarak saklanmasını sağlayan yedekleme programları kullanılmaktadır.
KİŞİSEL VERİLER AYDINLATMA VE ONAM METNİ
Dr. Bülent Genç olarak tarafınıza sunacağım hizmetlerin yürütülebilmesi için kişisel bilgilerinizi ve sağlık verilerinizi öğrenmemiz ve sunulacak hizmetin gerektirdiği sınırlar içinde kalmak kaydıyla kaydetmemiz ve saklamamız gerekebilmektedir.
Tarafınıza sağlık hizmeti sunabilmek için kaydetmek durumunda olduğumuz sağlık verileriniz, Kanunen özel nitelikli kişisel veri olarak kabul edilmektedir. Bu kapsamda 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 6. Maddesinin 2. Fıkrasında yer alan ‘Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır.’ hükmü uyarınca kişisel sağlık verileri, kanunda belirtilen özel koşullar dışında ancak kişinin açık yazılı rızası ile kaydedilebildiğinden, tarafınızdan bu onamın alınması zorunluluğu doğmuştur.
BİLGİLENDİRME METNİ
- Bu onam, muayenemizde sözlü, yazılı, görsel, ya da elektronik olarak tarafımıza verdiğiniz kişisel verileriniz ile internet ve mobil uygulamalar ile ya da elektronik olarak tarafımıza ilettiğiniz ya da muayenehanemizde elde edilen (tahlil sonucu, reçete, fotoğraf, video, kamera kaydı vb.) kişisel verilerinizi kapsamaktadır.
- Bu anlamda tarafınıza sunacağımız hizmetlerin yürütülmesi için gerekli olan ve bu amaçla elde edilen kişisel sağlık verileri başta olmak üzere, adınız, soyadınız, TC kimlik numaranız, (Türk vatandaşı değilseniz pasaport numaranız veya geçici TC kimlik numaranız) doğum yeri ve tarihiniz, medeni haliniz, cinsiyet bilginiz gibi kimlik verileri ile çeşitli kimlik belgeleriniz, adresiniz, telefon numaranız, elektronik posta adresiniz gibi iletişim verileriniz, Banka hesap numaranız, IBAN numaranız gibi finansal verileriniz, klinik dosyanızdaki tıbbi öykünüz, hastalık geçmişinizi gösterir bilgiler, muayene verileriniz, tarafınıza uygulanan işlemlere ilişkin veriler, reçete bilgileriniz, fotoğraflarınız, her türlü görüntünüz, ses/kamera kaydınız, laboratuvar ve görüntüleme sonuçlarınız, test sonuçlarınız gibi tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi sırasında elde edilen sağlık ve cinsel hayata ilişkin verileriniz, özel sağlık sigortasına ilişkin verileriniz ile Sosyal Güvenlik Kurumu verileriniz vb. kişisel veri sayılmaktadır.
- Bu kişisel verileriniz 6698 sayılı Kişisel Verilerin Korunması Kanunu ve ilgili mevzuat çerçevesinde sadece tarafınıza sunulacak sağlık hizmetinin gerektirdiği ölçüde kaydedilecek ve ‘…kaydedilme amaçlarını gerçekleştirmek için gerekli olan süreyi aşmayacak şekilde’ sistemimizde/arşivimizde saklanacaktır. Bu kapsamda işlenen verileriniz mesleki sır olarak korunup, gizliliği sağlanacak ve üçüncü kişilerce/kurumlarca/kuruluşlarca paylaşılmayacaktır.
- Ancak kişisel verilerinizin 1593 sayılı Umumi Hıfzıssıhha Kanunu’nun 58. maddesinde düzenlenen bulaşıcı hastalıkları yetkili makamlara bildirme yükümlülüğü örneğinde olduğu gibi toplum sağlığının korunması için kişisel tıbbi kayıtların mahremiyetinin sınırlanması gereken durumlarda ya da suçu bildirim yükümlülüğü gibi Kanuni zorunluluk hallerinde, sadece amaçla sınırlı olarak ve ölçülü biçimde yetkili makamlara bildirimde bulunulması gerekebileceğini önemle hatırlatırız.
- Kamu kurumlarından, adli mercilerden ve diğer resmi makamlardan gelen tarafınıza ait verilerin kendilerine iletilmesi yönündeki talepler, talebin amacı, talep edilen veriler ile ulaşılmak istenen amacın örtüşüp örtüşmediği, somut biçimde ortaya konup konamadığı, belirtilen amaca ulaşmanın tek yolunun tarafınıza ait verilerin anonimleştirilmeden iletilme gerekliliği, veri iletiminin demokratik bir toplumda gerekli olup olmadığı unsurları yönünden değerlendirilecek, bu unsurların tamamını sağlamayan veri iletme talepleri yerine getirilmeyecektir.
- Tarafımızca kaydedilen verilerinize ilişkin, başta Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi (108 Sayılı Avrupa Konseyi Sözleşmesi), Avrupa İnsan Hakları Sözleşmesinin 8. Maddesi, Anayasa’nın 20. Maddesi, 6698 sayılı Kişisel Verilerin Korunması Kanunu uyarınca:
- Kişisel verilerinizin işlenip işlenmediğini, işlenen verilerinizin kapsamını öğrenme,
- Kişisel verileriniz işlenmişse buna ilişkin bilgi alma, bu verilere erişme ve bunlardan örnek alma,
- Kişisel verilerinizin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını, Yurt içinde veya yurt dışında 3. bir kişiye ya da kuruma aktarılıp aktarılmadığını öğrenme, kişisel verilerinizde meydana gelen değişikliklerin verilerin paylaşıldığı kişi ya da kurumlara bildirilmesini isteme,
- Kişisel verilerinizin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,( Bu hakkın Caddebostan Mah. Çam Fıstığı Sok. No:1 A Blok Daire:3 açık adresli muayenehane adresimize bizzat ya da yazılı şekilde başvurmak suretiyle ya da info@bulentgenc.com E-mail adresimize aşağıda belirtilen veri sahibine ait kişisel mail adresinden iletilecek bir taleple kullanılabileceği konusunda bilgi verildi. )
- Bazı verilerinizin gizlenmesini, silinmesini ya da yok edilmesini isteme haklarınız bulunmaktadır.