UZMAN DOKTOR GÜNEŞ TERZİ
ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASI

1. GİRİŞ
Özel nitelikli kişisel veriler, öğrenilmesi halinde ilgili kişi hakkında ayrımcılık yapılmasına veya mağduriyete neden olabilecek nitelikteki verilerdir. Bu nedenle Kişisel Verilerin Korunması Kanunu’nda özel nitelikli kişisel verilere, diğer kişisel verilere göre özel önem atfedilmiş ve özel nitelikli kişisel verilerin çok daha sıkı şekilde korunmaları gerektiği belirtilmiştir. İşbu politika özel nitelikli kişisel verilerin korunması ile ilgili olarak veri sorumlusu bünyesinde yer alan prosedür ve bilgilendirmelere yönelik hazırlanmıştır.
Politika kapsamında Kişisel Verilerin Korunması Kanunu “Kanun” olarak, veri sorumlusu UZMAN DOKTOR GÜNEŞ TERZİ “Doktor” olarak anılacaktır. Özel Nitelikli Kişisel Verilerin Korunması ve İşlenmesi Politikası “Politika” olarak, Kişisel Verileri Koruma Kurulu “Kurul” olarak anılacaktır.

2. POLİTİKANIN AMACI
Doktor tarafından, Kanun ile “özel nitelikli” olarak belirlenen veriler hukuka uygun olarak işlenmekte ve özel nitelikli kişisel verilerin korunmasında hassasiyetle davranılmaktadır. Bu kapsamda, doktor tarafından kişisel verilerin korunması için alınan teknik ve idari tedbirler, özel nitelikli kişisel veriler bakımından özenle uygulanmakta ve doktor bünyesinde gerekli denetimler sağlanmaktadır. Ayrıca Kanun’un 6. maddesinin 4. fıkrası gereği özel nitelikli kişisel verilerin işlenmesinde, Kurul tarafından belirlenen yeterli önlemler de alınmakta ve Kurul kararları kapsamında hareket edilmektedir.

3. POLİTİKANIN KAPSAMI
İşbu Özel Nitelikli Kişisel Verilerin Korunması ve İşlenmesi Politikasıyla Kanun, ilgili mevzuat ile Kurul kararları kapsamında ve genel ilkeler çerçevesinde özel nitelikli kişisel verilerin işlenmesinde gereken usul ve esaslar belirlenmekte ve özel nitelikli kişisel verilerin korunması için gereken idari ve teknik tedbirler ile Kurul kararıyla belirlenen yeterli önlemler açıklanmaktadır.

4. TANIMLAR
Veri sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasında ve yönetilmesinden sorumlu gerçek veya tüzel kişidir. İşbu politika kapsamında veri sorumlusu Çocuk Sağlığı Ve Hastalıkları Uzmanı Doktoru Tülay Kavaklı olarak kabul edilmiştir.

Özel nitelikli kişisel veri: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileridir. Kanun’un 6. maddesinde düzenlenmiştir ve bu verileri, özel nitelikli kişisel veri ya da hassas veriler olarak kabul etmektedir.

Açık rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızadır.
İlgili kişi: Kişisel verisi işlenen gerçek kişidir.

Kişisel Verilerin İşlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, saklanması, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemdir.

5. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİ VE İŞLENME AMAÇLARI
Özel nitelikli kişisel veriler Kişisel Verilerin Korunması Kanunu’nun 6. maddesi uyarınca ilgili kişinin açık rızası ile işlenebilecektir. Ancak Kanunda sayılan hallerde, özel nitelikli kişisel verilerin işlenmesi ilgili kişinin açık rızası olmadan da mümkündür. Bu kapsamda;
Sağlık ve cinsel hayat dışında yer alan özel nitelikli kişisel verileriniz “İşlenen Kişisel Verileriniz ve İşlenme Amaçları” başlığında yer alan amaçlar doğrultusunda ve 6698 sayılı Kanun’un 6. maddesi 2. fıkrası kapsamında açık rıza şartının sağlanması veya 6. maddenin 3. fıkrası uyarınca kanunlarda öngörülen hallerde işlenecektir.
Sağlık bilgilerinize ilişkin özel nitelikli kişisel verileriniz “İşlenen Kişisel Verileriniz ve İşlenme Amaçları” başlığında yer alan amaçlar doğrultusunda ve 6698 sayılı Kanun’un 6. maddesi 2. fıkrası kapsamında açık rıza şartının sağlanması veya 6. maddenin 3. fıkrası uyarınca sadece sır saklama yükümlülüğü altında bulunan yetkili kişiler veya yetkili kurum ve kuruluşlarca kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla toplanacaktır.

6. İŞLENEN KİŞİSEL VERİLERİNİZ VE İŞLENME AMAÇLARI
Doktorun bünyesinde toplanan özel nitelikli kişisel verileriniz aşağıda yer alan amaçlar doğrultusunda işlenebilecektir:
• Acil Durum Yönetimi Süreçlerinin Yürütülmesi
• Bilgi Güvenliği Süreçlerinin Yürütülmesi
• Çalışan Adayı / Stajyer / Öğrenci Seçme Ve Yerleştirme Süreçlerinin Yürütülmesi
• Çalışan Adaylarının Başvuru Süreçlerinin Yürütülmesi
• Çalışanlar İçin İş Akdi ve Mevzuattan Kaynaklı Yükümlülüklerin Yerine Getirilmesi
• Çalışanlar İçin Yan Haklar ve Menfaatleri Süreçlerinin Yürütülmesi
• Denetim/Etik Faaliyetlerinin Yürütülmesi
• Eğitim Faaliyetlerinin Yürütülmesi
• Erişim Yetkilerinin Yürütülmesi
• Faaliyetlerin Mevzuata Uygun Yürütülmesi
• Finans Ve Muhasebe İşlerinin Yürütülmesi
• Firma/Ürün/Hizmetlere Bağlılık Süreçlerinin Yürütülmesi
• Görevlendirme Süreçlerinin Yürütülmesi
• Hukuk İşlerinin Takibi ve Yürütülmesi
• Fiziksel Mekan Güvenliğinin Temini
• İç Denetim/ Soruşturma / İstihbarat Faaliyetlerinin Yürütülmesi
• İletişim Faaliyetlerinin Yürütülmesi
• İnsan Kaynakları Süreçlerinin Planlanması
• İş Faaliyetlerinin Yürütülmesi/Denetimi
• İş Sağlığı/Güvenliği Faaliyetlerinin Yürütülmesi
• İş Süreçlerinin İyileştirilmesine Yönelik Önerilerin Alınması Ve Değerlendirilmesi
• İş Sürekliliğinin Sağlanması Faaliyetlerinin Yürütülmesi
• Mal/Hizmet Satın Alım Süreçlerinin Yürütülmesi
• Mal / Hizmet Satış Süreçlerinin Yürütülmesi
• Mal / Hizmet Üretim Ve Operasyon Süreçlerinin Yürütülmesi
• Müşteri Memnuniyetine Yönelik Aktivitelerin Yürütülmesi
• Organizasyon Ve Etkinlik Yönetimi
• Performans Değerlendirme Süreçlerinin Yürütülmesi
• Risk Yönetimi Süreçlerinin Yürütülmesi
• Saklama ve Arşiv Faaliyetlerinin Yürütülmesi
• Sözleşme Süreçlerinin Yürütülmesi
• Stratejik Planlama Faaliyetlerinin Yürütülmesi
• Talep / Şikayetlerin Takibi
• Veri Sorumlusu Operasyonlarının Güvenliğinin Temini
• Yetkili Kişi, Kurum ve Kuruluşlara Bilgi Verilmesi
• Düzenleyici ve denetleyici kurumlarla, resmi mercilerin talep ve denetimleri doğrultusunda gerekli bilgilerin temini
• İlgili mevzuat gereği saklanması gereken verilere ilişkin bilgilerin muhafaza edilmesi
• Çalışanlar bakımından; özlük dosyasının oluşturulması, işin gereklerini sürekli olarak yerine getirmeye ehil olup olmadığının tespiti, özel sağlık sigortası yapılması, sağlık dosyası oluşturulması, iş güvenliği önlemlerinin alınması
• Yasal yükümlülüklerin yerine getirilmesi
• Tedarik Zinciri Yönetimi Süreçlerinin Yürütülmesi
• Veri Sorumlusu Operasyonlarının Güvenliğinin Temini
• Yetenek / Kariyer Gelişimi Faaliyetlerinin Yürütülmesi
Doktor bünyesinde yukarıda sayılan amaçlar doğrultusunda özel nitelikli kişisel veriler işlenmektedir. Bu kişisel veriler sadece o kişisel verinin toplanma amacı ve gerekliliği ile uyumlu ilgili kişilerden toplanmaktadır. Süreçlere bağlı olarak gerçekleştirilen faaliyetler kapsamındaki tüm kişisel verilerle ilgili kişisel veri bazında ilgili kişilerin kimler olduğu Doktor Tülay KAVAKLI Kişisel Veri İşleme Envanterinde; veri kategorileri bazında ilgili kişiler VERBİS’e kayıtta belirtilmiştir. Bu kapsamda aşağıda belirtilen kişisel veriler işlenmektedir:

Sağlık Verisi: Kişinin sağlık durumuna ilişkin veri grubudur (Sağlık raporu, ilaç bilgileri, işitme ve görme bilgileri, konsültasyon raporu, muayene bilgileri).
Ceza Mahkumiyeti Verisi: Kişinin geçmişinde aldığı yaptırımlara ilişkin veri grubudur (Ceza kovuşturmaları, adli sicil kaydı, disiplin kaydı).
Biyometrik Veri: Kişiye ait avuç içi bilgileri, parmak izi bilgileri, retina taraması bilgileri, yüz tanıma bilgilerinin bulunduğu veri grubudur (Parmak izi).

7. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN SAKLANMASI
Doktor, ilgili kanunlarda ve mevzuatlarda öngörülmesi durumunda kişisel verileri bu mevzuatlarda belirtilen süre boyunca saklamaktadır.
Kişisel verilerin ne kadar süre boyunca saklanması gerektiğine ilişkin mevzuatta bir süre düzenlenmemişse, kişisel veriler Doktor’un o veriyi işlerken yürüttüğü faaliyet ile bağlı olarak, Doktor’un uygulamaları ve sektörün teamülleri uyarınca saklanmasını gerektiren süre kadar saklanmakta, daha sonra ilgili kişiye ait kişisel veri Doktor tarafından oluşturulmuş “Kişisel Veri Saklama ve İmha Politikası” uyarınca silinmekte, yok edilmekte veya anonim hale getirilmektedir.

SÜREÇ
SAKLAMA SÜRESİ
Personel Kişisel Sağlık Dosyalarının Oluşturulması
İş akdinin sona ermesinden itibaren 15 yıl süreyle saklanmaktadır.
İşe Giriş Çıkış Takibi Amacı İle Biyometrik Veri
İşlenmesi
İş akdinin feshinden itibaren gerçekleştirilecek ilk periyodik imha kapsamında imhası gerçekleştirilecektir.
Adli Sicil Kayıt Bilgilerinin Alınması
İş akdinin feshinden itibaren gerçekleştirilecek ilk periyodik imha kapsamında imhası gerçekleştirilecektir.
Hasta Sağlık Dosyalarının Oluşturulması
Faaliyetin sona erdiği tarihten itibaren 20 yıl süreyle saklanmaktadır.
Laboratuvar Süreçlerine İlişkin Dosyaların Oluşturulması
Faaliyetin sona erdiği tarihten itibaren 20 yıl süreyle saklanmaktadır.

8. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN AKTARILMASI
Doktor bünyesinde özel nitelikli kişisel veriler sadece konu ile ilgili yetkili kişi, kurum ve kuruluşlar ile paylaşılmaktadır. Özel nitelikli kişisel verilerin kanunda öngörülen haller dışında paylaşılması ilgili kişinin açık rızasına bağlanmıştır. Bu kapsamda özel nitelikli kişisel veriler kural olarak yurtdışı ile paylaşılmamaktadır. İlgili kişilere ait özel nitelikli kişisel veriler sadece mevzuat hükümleri uyarınca yetkili kılınan ilgili kamu kurumu, hukuk tüzel kişilikleri, sigorta şirketi veya yetkili kurum ve kuruluşlar ile paylaşılabilmektedir.

9. ÖZEL NİTELİKLİ KİŞİSEL VERİLERE ERİŞİM
Doktor  bünyesinde sağlık bilgileri haricindeki özel nitelikli kişisel veriler Kanun’un 6. maddesi uyarınca  “kanunlarda öngörülen hâllerde” veya ilgili kişinin açık rızasının alınması durumlarında işlenmektedir. Bu kapsamda sağlık verileri dışındaki kişisel verilere erişim çalışanlara yetki matrisi kapsamında sadece ilgili departmanlarca sınırlı tutulmuştur. Personel’e ait özel nitelikli kişisel veriler sadece İnsan Kaynakları departmanınca sorumlu kişiler tarafından işlenmekte ve muhafaza edilmektedir.
Sağlık bilgileri içeren kişisel veriler Doktor bünyesinde ilgili kişinin açık rıza vermesi haricinde sadece kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan iş sağlığı güvenliği birimlerince iş yeri hekimi tarafından toplanmaktadır. Sağlık verileri sadece belirtilen yetkili kişilerce erişimin sınırlı olduğu ortamlarda tutulmaktadır.
Doktor tarafından işbu Politika ile özel nitelikli kişisel verilere erişim belirlenmiş ve Doktor çalışanlarının bu şartlara uygun hareket etmeleri beklenmektedir.

10. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN KORUNMASI
Kişisel Verilerin Korunması Kanunu’nun 6. maddesinin 4. fıkrasında “Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır.” şeklinde özel nitelikli kişisel verilerin işlenmesi için veri sorumlusu tarafından ayrıca Kurul tarafından belirlenen önlemlerin alınması gerektiği düzenlenmiştir. Kişisel Verileri Koruma Kurulu’nun 31.01.2018 tarihli ve 2018/10 karar numaralı kararıyla özel nitelikli kişisel veri işleyen veri sorumlularının alması gereken yeterli önlemler belirlenmiştir. Kurul kararı ve Kanun doğrultusunda Doktor tarafından özel nitelikli kişisel verilerin korunması ve hukuka aykırı işlenmesinin önlenmesi amacıyla aşağıda sayılan teknik ve idari tedbirler alınmaktadır:
1- Özel nitelikli kişisel verilerin güvenliğine yönelik sistemli, kuralları net bir şekilde belli, yönetilebilir ve sürdürülebilir ayrı bir politika ve prosedür belirlenmiştir.
2- Özel nitelikli kişisel verilerin işlenmesi süreçlerinde yer alan çalışanlara yönelik;
a) Kanun ve buna bağlı yönetmelikler ile özel nitelikli kişisel veri güvenliği konularında düzenli olarak eğitimler verilmekte,
b) Üçüncü kişiler ile doktor ve personel ile doktor arasında gizlilik sözleşmeleri yapılmakta,
c) Verilere erişim yetkisine sahip kullanıcıların, yetki kapsamları ve süreleri net olarak tanımlanmakta,
ç) Periyodik olarak yetki kontrolleri gerçekleştirilmekte,
d) Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri derhal kaldırılmaktadır.
3- Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, elektronik ortam ise;
a) Veriler kriptografik yöntemler kullanılarak muhafaza edilmekte,
b) Kriptografik anahtarlar güvenli ve farklı ortamlarda tutulmakta,
c) Veriler üzerinde gerçekleştirilen tüm hareketler ve işlem kayıtları güvenli olarak loglanmakta,
ç) Verilerin bulunduğu ortamlara ait güvenlik güncellemeleri sürekli takip edilmekte, gerekli güvenlik testleri düzenli olarak yapılmakta/yaptırılmakta, test sonuçları kayıt altına alınmakta,
d) Verilere bir yazılım aracılığı ile erişiliyorsa bu yazılıma ait kullanıcı yetkilendirmeleri yapılmakta, bu yazılımların güvenlik testleri düzenli olarak yapılmakta/yaptırılmakta, test sonuçları kayıt altına alınmakta,
e) Verilere uzaktan erişim gerekiyorsa en az iki kademeli kimlik doğrulama sistemi sağlanmaktadır,
4- Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve erişildiği ortamlar fiziksel ortam ise;
a) Özel nitelikli kişisel verilerin bulunduğu ortamın niteliğine göre yeterli güvenlik önlemler alınmakta ve bu ortamların fiziksel güvenliğinin sağlanarak yetkisiz giriş çıkışlar engellenmektedir.
5- Özel nitelikli kişisel veriler aktarılacaksa;
a) Verilerin e-posta yoluyla aktarılması gerekiyorsa şifreli olarak kurumsal e-posta adresiyle veya Kayıtlı Elektronik Posta (KEP) hesabı kullanılarak aktarılmakta,
b) Taşınabilir Bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerekiyorsa kriptografik yöntemlerle şifrelenmekte ve kriptografik anahtar farklı ortamda tutulmakta,
c) Farklı fiziksel ortamlardaki sunucular arasında aktarma gerçekleştiriliyorsa, sunucular arasında VPN kurularak veya sFTP yöntemiyle veri aktarımı gerçekleştirilmekte,
ç) Verilerin kağıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemler alınmakta ve evrak “gizlilik dereceli belgeler” formatında gönderilmektedir.
Yukarıda belirtilen önlemlerin yanı sıra veri sorumlusu Doktor tarafından teknolojik imkânlar ve uygulama maliyetine göre teknik ve idari tedbirler alınmaktadır. Söz konusu tedbirler “UZMAN DOKTOR GÜNEŞ TERZİ Kişisel Verilerin Korunması ve İşlenmesi Politikası”nda belirlenmiştir.

11. İLGİLİ KİŞİNİN HAKLARI
İlgili kişi, Kanun’un ilgili kişinin haklarını düzenleyen 11. maddesi kapsamındaki taleplerini “Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ”e göre bu konuda kapsamlı düzenlemelerin yer aldığı “UZMAN DOKTOR GÜNEŞ TERZİ Kişisel Veri Başvuru ve Yanıt Prosedürü” ve “UZMAN DOKTOR GÜNEŞ TERZİ Kişisel Verilerin Korunması ve İşlenmesi Politikası”nda yer alan bilgiler ışığında yapabilecektir.