KİŞİSEL VERİLERİ İŞLEME VE KORUMA POLİTİKASI
İşbu Kişisel Veri İşleme ve Koruma Politikası (“Politika”), 6698 Sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) uyarınca veri sahiplerini(ilgili kişileri), veri işleme ve koruma süreçleri hakkında bilgilendirmek amacıyla veri sorumlusu sıfatıyla Samak Sağlık Hizmetleri A.Ş. (“Hastane”) tarafından hazırlanmıştır.
TANIMLAR
Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi
Özel Nitelikli Kişisel Veri: Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık kıyafet, dernek vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik veriler özel nitelikli veriler
Açık Rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza
Anonim Hale Getirme: Kişisel verinin, kişisel veri niteliğini kaybedecek ve bu durumun geri alınamayacağı şekilde değiştirilmesi
Kişisel Verilerin İşlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem
İlgili Kişi: Kişisel verisi işlenen gerçek kişi
Veri İşleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel veri işleyen gerçek ve tüzel kişi
Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi (Hastanemiz veri sorumlusudur.)
GİRİŞ
Bu Politika ile Hastanemiz tarafından hukuka uygun bir biçimde yürütülen kişisel veri işleme faaliyeti ve kişisel verilerin korunmasına yönelik alınan önlemler hakkında ilgili kişilerin bilgilendirilmesi amaçlanmaktadır. Bu kapsamda aşağıda açıklanan amaçlar ile işlediğimiz kişisel verilerinizi yurt içinde ve yurt dışında bulunan iştiraklerimiz, iş ortaklarımız, tedarikçilerimiz, Şirket yetkililerimiz, hissedarlarımız, çalışmakta olduğumuz avukatlar, vergi danışmanları, muhasebeciler ve denetçiler de dahil olmak üzere danışmanlık aldığımız ve yetki verdiğimiz üçüncü kişiler, faaliyetlerimizi yürütmek üzere sözleşmeye bağlı olarak hizmet aldığımız, işbirliği yaptığımız, yurt içinde ve yurt dışında bulunan kuruluşlar ve diğer üçüncü kişiler ve kanuni temsilcileri, düzenleyici ve denetleyici kurumlar, resmi merciler ve kanunen yetkili kamu kurumları ve özel kişilerle kurumumuz tarafından işlenen ve aktarılan kişisel veriler hakkında bilgilendirmelere bu politikada yer verilecektir. Hastanemiz tarafından işlenen kişisel veriler verilen sağlık hizmetlerine bağlı olarak değişebilmekle birlikte otomatik ya da otomatik olmayan yöntemlerle toplanmaktadır. Hasta temsilcilerimiz, hekimlerimiz, sağlık personellerimiz, vb. çalışanlarımız, taşeron firmalar ve çalışanları ve her türlü ticari faaliyetler içine giren firmalar; çağrı merkezimiz, internet sitemiz, online hizmetler ve benzeri yollarla sözlü, yazılı ya da elektronik olarak toplanan sağlık verileri başta olmak üzere özel nitelikli kişisel veriler ve genel nitelikli kişisel veriler, aşağıda yer alan amaçlarla işlenebilmektedir.
Hastanemiz, faaliyetleri çerçevesinde işlemekte olduğu kişisel verileri aşağıdaki amaçlar doğrultusunda işlemektedir.
Hizmetlerimizi sunabilmek ve bu hizmetlerin kalitesini artırabilmek,
Kamu otoritelerince öngörülen ve/veya istisna olarak sayılan faaliyetleri yerine getirebilmek,
Hastanemizin satış ve pazarlama faaliyetlerini yerine getirebilmek,
Bilgi saklama, raporlama, bilgilendirme yükümlülüklerine uymak,
İnsan kaynakları politikalarımızın en iyi şekilde planlanması ve uygulanmasını sağlamak,
Ticari ortaklıklarımızın ve stratejilerimizin doğru olarak planlanması ve yürütülmesini sağlamak,
Hastanemizin ve iş ortaklarımızın hukuki, ticari ve fiziki güvenliğinin teminini sağlamak,
Hastanemiz kurumsal işleyişini sağlanmak,
Hastane yerleşkelerini ziyaretlerde ilgili güvenlik ve meşru menfaatleri korumak,
Hastanemizin ürün ve hizmetlerini sunmak,
Ürün ve hizmete ilişkin iletişim kurmak,
Pazarlama faaliyetlerinde kullanmak,
Ürün/hizmet teklifi, modelleme, raporlama, risk izleme, mevcut veya yeni ürün çalışmaları ve potansiyel müşteri tespiti gibi Hastanemizin faaliyet konuları ile ilgili hizmetleri sunabilmek ve bu hizmetlerin kalitesini artırabilmek ve diğer faaliyetlerini yerine getirebilmek,
Bilgilendirme yükümlülüklerine uymak,
Hastanemiz internet sitesinde sunulan hizmetleri geliştirmek,
Hastanemize talep ve şikâyetlerini iletenler ile iletişime geçmek,
Hastanemiz internet sitesinde oluşan hataları gidermek,
İnsan kaynakları süreçlerini yürütmek,
Kurumsal iletişimi sağlamak,
İmzalanan sözleşmeler ve protokoller neticesinde iş ve işlemleri ifa edebilmek,
Yasal düzenlemelerin gerektirdiği veya zorunlu kıldığı şekilde, hukuki yükümlülüklerin yerine getirilmesini sağlamak,
İstatiksel çalışmalar yapabilmek,
Hastanemiz ile iş ilişkisinde bulunan gerçek / tüzel kişilerle irtibat sağlamak,
Çağrı merkezi süreçlerini yönetmek,
İleride doğabilecek hukuki uyuşmazlıklarda delil olarak ispat yükümlülüğü,
İş sözleşmesinin ifası için gerekli amacın yerine getirilmesi, özellikle;
Çalışanların izin onayı, bakiye izinlerin görüntülenmesi, izin düzenlemelerinin yapılması
Çalışanların işten çıkış işlemlerinin yapılması
Bordro işlemlerinin yapılmasının sağlanması
Çalışanlara maaş ödemelerinin yapılması
İş Kanunu, İş Sağlığı ve Güvenliği Kanunu, Sosyal Güvenlik Kanunu ve ilgili mevzuat ile, diğer kanunlar ve mevzuat kapsamında gereklilikleri yerine getirmek amacıyla özellikle;
Personel özlük ve sağlık dosyasının oluşturulması
SGK bildirimleri, İŞKUR bildirimleri, karakol bildirimi ile teşvik ve yasal yükümlülük bilgilendirmesinin yapılması
Zorunlu bireysel emeklilik sigortası hesabı açılmasının sağlanması
Çalışanların giriş çıkış kayıtlarının kontrolü ve Ar-Ge için kamera kayıtlarının kapı giriş çıkış kayıtlarıyla olan eşleşmesinin tespit edilmesi
Ar-Ge için teşvik hesaplaması yapılması
İcra dosyalarına çalışanların maaş haciz kesintilerine ilişkin ödeme yapılması
İş kazasının yasal bildirimlerinin yapılması
İş sağlığı ve güvenliği işlemlerinin yapılması
Mevzuat, ilgili düzenleyici kurumlar ve diğer otoritelerce öngörülen diğer bilgi saklama, raporlama, bilgilendirme yükümlülüklerine uymak
Mahkeme kararlarının yerine getirilmesi
Hasta/Müşteri sözleşmelerinin ifasından doğan gereklilik nedeniyle özellikle;
Hasta/Müşteri şikâyetlerinde müşterinin haklı/haksız ayrımının yapılması, müşteri memnuniyetinin arttırılması, müşteri ihtiyacının anlaşılması ve müşteri ile ilişkili süreçlerin iyileştirilmesinin sağlanması
Hastaya/Müşteriye hizmet kalitesinin değerlendirilmesi ve çalışanlara eğitim verilmesi
Şirketin idaresi, işin yürütülmesi, Şirket politikalarının uygulanması amacıyla, özellikle;
Şirket çalışanlarının performanslarının takibi ve raporlanması
Çalışanlara masraf ödemelerinin yapılması
Çalışanlarla iletişimin sağlanması
Kendisine araç tahsis edilen veya kullandırılan çalışanın araba kullanmaya ehil olduğunun, ehliyetini herhangi bir nedenle kaybetmediğinin teyit edilmesi
Çalışana araç tedarik edilmesi ve park yeri ayarlanmasının sağlanması
Kartvizit basımının sağlanması
Kargo ve kurye aracılığıyla gelen paketlerin ilgili çalışana iletilmesinin sağlanması
Çalışanların güvenliği ve işin yürütülmesi için Şirket aracı kullanımının takip edilmesi
Servis ve seyahat organizasyonunun sağlanması
Çalışanın iş e-postasının oluşturulması
Çalışanlarla ilgili araştırma projeleri yürütülmesi
Çalışanların işe giriş ve çıkışlarının kontrolünün sağlanması
Çalışanların işe başvuru ve mülakatı süresince toplanan belgelerinin kayıt altına alınması
Kutlama amaçlı iletişimin sağlanması
Eğitim planlamasının yapılması, eğitimlerin raporlaması, eğitim sertifikalarının hazırlanması, gerçekleşen eğitimlere katılan çalışanların takip edilebilmesi, çalışanların aldıkları eğitimler sonucu gelişim süreçlerinin takip edilebilmesi
Kalite kontrolün sağlanması
Acil durumlarda ilgili kişilerle iletişim sağlanması
Sistem odaları, yazılımlar ve kullanılan uygulamalar kapsamında veri güvenliğinin sağlanması
Şirket içerisinde güvenliğin sağlanması özellikle işyeri güvenliğinin sağlanması amacıyla,
Finans ve muhasebe işlerinin yürütülmesi,
Görevlendirme süreçlerinin yürütülmesi,
İletişim faaliyetlerinin yürütülmesi,
İş faaliyetlerinin yürütülmesi/denetimi,
İş sağlığı ve güvenliği faaliyetlerinin yürütülmesi(taşeron çalışanları için),
Lojistik faaliyetlerinin yürütülmesi,
Mal hizmet alım ve satım ile operasyon süreçlerinin yürütülmesi,
Sözleşme süreçlerinin yürütülmesi, taşınır mal ve kaynaklarının güvenliğinin temini,
Veri sorumlusu operasyonlarının güvenliğinin temini,
Yetkili kişi kurum ve kuruluşlara bilgi verilmesi,
Yönetim faaliyetlerinin yürütülmesi,
Pazarlama ve analiz faaliyetlerinin yürütülmesi
Fiziksel mekan güvenliğinin temini
Reklam/Kampanya/Promosyon faaliyetlerinin yürütülmesi
İşbirliği içinde olan eğitim/öğretim kurumlarına eğitim ve araştırma faaliyetlerinin gerçekleştirilmesi
Özel sağlık hizmetleri ile ilgili olarak ve bu kapsamda, tamamlayıcı sağlık sigortası faaliyetlerinin yürütülmesi
KAPSAM
Bu Politika; hastalarımız, refakatçilerimiz, ziyaretçilerimiz, hastanemiz yetkilileri, çalışanlarımızın, işbirliği ve her türlü hukuki ilişki içinde olduğumuz kişi, kuruluş ve kurumların çalışanları, hissedarları ve yetkililerinin ve üçüncü kişilerin otomatik olan veya olmayan yollarla işlenen aşağıda tanımlı kişisel verilerini kapsar.
- İşlenen Veriler
- Ad Soyadı
- Türkiye Cumhuriyeti Kimlik Numarası
- Kimlik Belgesi
- Türk Vatandaşı Olmayanlar İçin Pasaport Numarası veya Geçici Kimlik Numarası
- Türk Vatandaşı Olmayanlar İçin Geçici Koruma Kimlik Belgesi
- Adres
- Doğum yeri ve tarihi
- Cinsiyet
- Telefon numarası
- Elektronik posta adresi
- SGK verileri ve/veya Özel Sağlık Sigortası
- Randevu bilgisi
- Sağlık Verileri
- Banka Hesap Bilgileri
- Banka kartı, kredi kartı vb ödeme aracı numarası
- Fatura bilgileri
- CCTV aracılığı ile Görsel ve İşitsel Veriler
- Özlük Bilgileri
- Aile Bireyleri ve Yakın Bilgisi
KİŞİSEL VERİLERİN İŞLENMESİ VE KORUNMASINA İLİŞKİN USULLER, TEKNİK VE İDARİ TEDBİRLER
Kişisel veriler, Hastanemiz tarafından sunucular(web, e- posta vs.), yazılımlar(ofis yazılımları, ….), bilişim güvenliği (firewall(güvenlik duvarı), antivirüs yazılımları vs), bilgisayarlar, sürücüler(flash bellek, CD vs) olarak elektronik ortamlarda; kağıt, dolap, arşiv olarak fiziki ortamlarda güvenli biçimde saklanmaktadır.
İdari Tedbirler:
Hastanemiz idari tedbirler kapsamında;
• Saklanan kişisel verilere Hastane içi erişimi iş tanımı gereği erişmesi gerekli personel ile sınırlandırır. Erişimin sınırlandırılmasında verinin özel nitelikli olup olmadığı ve önem derecesi de dikkate alınır.
• İşlenen kişisel verilerin hukuka aykırı yollarla başkaları tarafından elde edilmesi hâlinde, bu durumu en kısa sürede ilgilisine ve Kurul’a bildirir.
• Kişisel verilerin paylaşılması ile ilgili olarak, kişisel verilerin paylaşıldığı kişiler ile kişisel verilerin korunması ve veri güvenliğine ilişkin çerçeve sözleşme imzalar yahut mevcut sözleşmesine eklenen hükümler ile veri güvenliğini sağlar.
• Kişisel verilerin işlenmesi hakkında bilgili ve deneyimli personel istihdam eder ve personeline kişisel verilerin korunması mevzuatı ve veri güvenliği kapsamında gerekli eğitimleri verir.
• Kendi tüzel kişiliği nezdinde Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapar ve yaptırır. Denetimler sonucunda ortaya çıkan gizlilik ve güvenlik zafiyetlerini giderir.
• Kişisel verilerin bulunduğu ortama göre yeterli güvenlik önlemlerinin (elektrik kaçağı, yangın, su baskını, hırsızlık vb. durumlara karşı) alınmasını sağlar ve bu ortamlara yetkisiz giriş çıkışları engeller.
• Kişisel verilerin işlenmesi ve korunması süreçleri ile ilgili çalışanların uymakla yükümlü olduğu disiplin yönetmeliği ve diğer politikalarda sorumluluk ve yaptırımları düzenler.
Teknik Tedbirler:
Hastanemiz idari tedbirler kapsamında;
• Verilerin kurum dışına sızmasını engelleyecek veya gözlemleyecek teknik altyapının temin edilmesini ve yetki matrislerinin oluşturulmasını sağlar.
• Düzenli olarak ve ihtiyaç oluştuğunda sızma testi hizmeti alarak güvenlik kontrolü sağlar.
• Kişisel verilerin yok edilmesini geri dönüştürülemeyecek ve denetim izi bırakmayacak şekilde sağlar.
• Kanun’un 12. maddesi uyarınca, kişisel verilerin saklandığı her türlü dijital ortamı, bilgi güvenliği gereksinimlerini sağlayacak şekilde şifreli yöntemler ile korur.
• Özel nitelikli kişisel verileri üzerinde gerçekleşen tüm hareketlerin işlem kayıtlarının güvenli olarak loglanmasını sağlar.
• Verilerin bulunduğu ortamlara ait güvenlik güncellemelerini sürekli takip ederek gerekli güvenlik testlerinin düzenli olarak yaptırılmasını sağlar.
• Özel nitelikli kişisel verilere bir yazılım aracılığı ile erişilen durumlarda bu yazılıma ait kullanıcı yetkilendirmelerini yaparak bu yazılımların güvenlik testlerinin düzenli olarak yaptırılmasını sağlar.
• Özel nitelikli kişisel verilerin aktarıldığı durumlarda;
- Verilerin e-posta ile aktarılması gerekiyor ise bunların şifreli olarak kurumsal e-posta adresiyle veya KEP hesabı kullanılarak aktarılmasını,
- Verilerin taşınabilir bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerekiyorsa kriptografik yöntemler ile şifrelenmesini,
- Farklı fiziksel ortamdaki sunucular arasında aktarma gerçekleşiyor ise sunucular arasında VPN kurularak veya sFTP yöntemiyle aktarmanın sağlanmasını,
- Verilerin kağıt ortamında aktarımı gerekiyorsa evrakın “gizlilik dereceli belgeler” formatında gönderilmesini sağlar.
KİŞİSEL VERİLERİN AKTARILMASI
Hastanemiz hukuka uygun olan kişisel veri işleme amaçları doğrultusunda gerekli güvenlik önlemlerini alarak kişisel veri sahibinin kişisel verilerini ve özel nitelikli kişisel verilerini üçüncü kişilere (üçüncü kişi şirketlere, kurumlara, grup şirketlerine, üçüncü gerçek kişilere) aktarabilmektedir. Hastanemiz bu doğrultuda 6698 sayılı KVKK m.8’de öngörülen düzenlemelere uygun hareket etmektedir.
Kişisel veriler, Kanun ve diğer mevzuat kapsamında ve yukarıda yer verilen amaçlarla, Tıp Merkezleri, Grup Şirketleri, Üniversiteler, Sağlık Bakanlığı, bağlı alt birimleri ve aile hekimliği merkezleri, özel sigorta şirketleri (sağlık, emeklilik ve hayat sigortası ve benzeri), Sosyal Güvenlik Kurumu, Emniyet Genel Müdürlüğü ve diğer kolluk kuvvetleri, Nüfus Genel Müdürlüğü, Türkiye Eczacılar Birliği, mahkemeler ve bununla bağlı kalmamak kaydıyla tüm kamu kurum ve kuruluşları, tıbbi teşhis için iş birliği içerisinde olduğumuz yurt içinde veya yurt dışında bulunan laboratuvarlar, tıp merkezleri ve sağlık hizmeti sunan üçüncü kişiler, hastanın sevk edildiği veya hastanın kendisinin başvurduğu sağlık kuruluşu, yetki vermiş olduğunuz temsilcileriniz, bağlı olduğunuz ve/veya çalışmakta olduğunuz kurum, avukatlar, vergi danışmanları ve denetçiler de dâhil olmak üzere danışmanlık aldığımız üçüncü kişiler, düzenleyici ve denetleyici kurumlar ve resmi merciler, yurt içindeki veya yurt dışındaki sistemlere ve/veya Hastanemizin bağlı bulunduğu şirketler topluluğu bünyesindeki şirketler, hizmetlerinden faydalandığımız veya işbirliği içerisinde olduğumuz tedarikçilerimiz, destek hizmet sağlayıcılarımız ve iş ortaklarımız ile paylaşılabilecektir.
Kişisel Verilerin Yurtdışına Aktarılması
Hastanemiz kişisel veri işleme amaçları doğrultusunda gerekli güvenlik önlemlerini alarak kişisel veri sahibinin kişisel verilerini ve özel nitelikli kişisel verilerini dış ülkelerin sözleşmeli özel ve resmi kuruluşlarına, yabancı sağlık ve sigorta kuruluşlarına, tıbbi zorunluluk gereği paylaşılması gereken hizmet sağlayıcı kuruluşlara aktarabilmektedir. Kurumumuz tarafından kişisel veriler; KVK Kurulu tarafından yeterli korumaya sahip olduğu ilan edilen yabancı ülkelere veya yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt ettiği ve KVK Kurulunun izninin bulunduğu yabancı ülkelere aktarılmaktadır. Kurumumuz bu doğrultuda KVK Kanunu’nun 9uncu maddesinde öngörülen düzenlemelere uygun hareket etmektedir.
Politikanın Yürürlüğe Sokulması, İhlal Durumları ve Yaptırımlar
• İşbu Politika tüm çalışanlara duyurularak …/…/… tarihinde link internet sitemizde yayınlanarak yürürlüğü girmiştir ve yürürlüğü itibariyle tüm iş birimleri, danışmanlar, dış hizmet sağlayıcıları ve kişisel veri işleyen herkes için bağlayıcı niteliktedir. İşbu politika hastanemizce gerekli görüldüğü durumlarda güncellenecek olup güncel haline internet sitemizden erişilebilecektir.
• Çalışanların politikanın gereklerini yerine getirip getirmediğinin takibi ilgili çalışanların amirlerinin sorumluluğunda olacaktır. Politikaya aykırı davranış tespit edildiğinde konu derhal ilgili çalışanın amiri tarafından bağlı bulunan bir üst amire bildirilecektir.
• Aykırılığın bildirilmesinin gerekli olması halinde ise üst amir tarafından vakit kaybetmeksizin Kişisel Verileri Koruma Komitesi’ne bilgi verilecektir.
• Politikaya aykırı davranan çalışan veya sorumlu hakkında, İnsan Kaynakları ve idari birim tarafından yapılacak değerlendirme sonrasında gerekli idari ve hukuki işlem yapılacaktır.