Yarına Hazırlık Enstitüsü
6698 SAYILI KİŞİSEL VERİLERİN KORUNMASI KANUNU KAPSAMINDA
ÖZEL NİTELİKLİ KİŞİSEL VERİ İŞLEME POLİTİKASI
BAŞLANGIÇ
- GİRİŞ
6698 sayılı Kişisel Verilerin Korunması Kanununun (“Kanun”) 6’ncı maddesinin (4) numaralı fıkrasında ise “Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır.” hükmü yer almaktadır. Yarına Hazırlık Enstitüsü (“Enstitü”) özel nitelikli kişisel verilerin korunması konusunda; gerekli bütün önlemleri almaktadır.
Kişisel Sağlık Verileri Hakkında Yönetmelik’in 20.maddesinde de özel nitelikli kişisel verilerin işlenmesinde, yukarıda sayılanlara atıf yapılmış, Kişisel Verilerin Korunması Kanununun 6’ncı maddesinin dördüncü fıkrası ile 22’nci maddesinin birinci fıkrasının (ç) bendi uyarınca Kişisel Verileri Koruma Kurulu tarafından yapılan ikincil düzenlemelerde yer alan yeterli önlemlere riayet edileceği düzenlenmiştir. Ayrıca, adı geçen Yönetmelik’te veri güvenliğine ilişkin olarak Kişisel Verilerin Korunması Kanunu ile Kişisel Verilerin Korunması Kurumunun yayımladığı Kişisel Veri Güvenliği Rehberinin esas alınacağı düzenlenmiştir.
29677 sayılı Resmi Gazete’de yayımlanan 6698 Sayılı Kişisel Verilerin Korunması Kanunu ve Kişisel Verileri Koruma Kurulunun “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler” ile ilgili 31/01/2018 Tarihli ve 2018/10 Sayılı Kararı doğrultusunda, özel nitelikli kişisel verilerin korunması konusunda verilerin güvenliğine yönelik sistemli, kuralları belli, yönetilebilir ve sürdürülebilir bir politika hazırlanmıştır.
- AMAÇ
Bu Politikanın amacı, Enstitü tarafından mevzuata uygun olarak yürütülen özel nitelikli kişisel veri işleme ve saklama ilke ve prensiplerinin oluşturulması ve kişisel veri envanterine uygun olarak, özel nitelikli kişisel verilere ilişkin Kurul tarafından belirlenen yeterli önlemlerin alınmasını sağlamak ve özel nitelikli kişisel veri saklama yükümlülüğünün yerine getirilmesini temin etmektir.
- KAPSAM
Bu Politika, teşhis ve tedavi hizmetlerinin yerine getirilebilmesi ile çalışanlar için iş akdi ve mevzuattan kaynaklı yükümlülüklerin yerine getirilmesi amacıyla, Enstitü tarafından, mevzuata uygun olarak otomatik olan veya herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen özel nitelikli kişisel verilere dair her türlü işleme ve kişisel verilerin güvenliği için alınan idari ve teknik önlemlere ilişkindir.
Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesi ve özel nitelikli olmayan genel nitelikli kişisel verilerin korunmasına dair esaslar ayrı birer politika içerisinde belirlendiğinden işbu politikada yer verilmemiştir.
- DAYANAK
Bu Politika, öncelikli olarak Türkiye Cumhuriyeti Anayasası, Kanun, Kişisel Verileri Koruma Kurumu tarafından yayımlanan ikincil mevzuat ve yürürlükte bulunan sair mevzuat dayanak alınarak hazırlanmıştır.
- ÖZEL NİTELİKLİ KİŞİSEL VERİLER
5.1. ÖZEL NİTELİKLİ KİŞİSEL VERİLER
Enstitü tarafından teşhis ve tedavi hizmetleri ile çalışanlar için iş akdi ve mevzuattan kaynaklı yükümlülüklerin yerine getirilmesi kapsamında, Kanun’da mevcut şartlar ve ilkeler çerçevesinde işlenen özel nitelikli kişisel verilere ilişkin bilgiler aşağıdaki tabloda verilmiştir.
Kişisel Veri Kategorisi | Açıklama |
Özel Nitelikli Kişisel Veriler | Kanun’un 6. maddesinde nitelikleri belirtilen aşağıdaki kişisel veriler işlenmektedir:
|
5.2. ÖZEL NİTELİKLİ KİŞİSEL VERİ SAHİPLERİ
İlgili Kişi | Açıklama |
Hasta | Koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetleri almak amacıyla Enstitü’ye gelerek tedavi olan, kişisel sağlık verileri işlenen gerçek kişileri ifade eder. |
Çalışan Kişi | İş sözleşmesi ile bağlı olarak çalışan gerçek kişi çalışanları ifade eder. |
- ÖZEL NİTELİKLİ KİŞİSEL VERİLERE DAİR ALINAN ÖNLEMLER
6.1. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİ
Enstitü tarafından Kanunda özel nitelikli olarak belirlenen kişisel verilerin işlenmesinde mevzuatta öngörülen düzenlemelere uygun davranılmaktadır. Enstitü, özel nitelikli kişisel verilerin, öğrenilmesi halinde İlgili Kişi hakkında ayrımcılık yapılmasına ve mağduriyete neden olabilecek nitelikte veriler olduğunun, bu nedenle diğer kişisel verilere göre çok daha sıkı şekilde korunması gerektiğinin bilincinde olarak hareket etmektedir.
Kanun’un 6. maddesi ile kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik verileri özel nitelikli kişisel veri olarak düzenlenmiştir.
Kanun’un 6. maddesinin (3) numaralı fıkrasında, “Birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.” hükmü yer almaktadır. Bu hükme dayanılarak “Enstitü” tarafından hastaların sağlık ve cinsel hayata ilişkin kişisel verileri, sayılan amaçlar doğrultusunda işlenmektedir.
Enstitü, hastaların sağlık ve cinsel hayat verileri dışında, Çalışanların özel nitelikli kişisel verilerini, Kurum tarafından belirlenecek olan yeterli önlemlerin alınması şartıyla ve sadece;
- İlgili Kişinin açık rızası ile,
- İlgili kişinin sağlık ve cinsel hayat dışındaki özel nitelikli kişisel verilerini kanunlarda öngörülen hâllerde
işler.
6.2. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİ SÜREÇLERİNDE YER ALAN ÇALIŞANLAR
Özel nitelikli kişisel verilerin işlenmesi süreçlerinde yer alan çalışanlara yönelik Kurul tarafından belirlenen aşağıdaki önlemler alınmakta, önlemlerin tam ve gereğince sağlanması konusunda aşağıdaki çalışmalarda ve belirlemelerde bulunulmuştur:
- Kanun ve buna bağlı yönetmelikler ile özel nitelikli kişisel veri güvenliği konularında düzenli olarak eğitimler verilmesi,
- Gizlilik sözleşmelerinin yapılması,
- Verilere erişim yetkisine sahip kullanıcıların, yetki kapsamlarının ve sürelerinin net olarak tanımlanması,
- Elektronik ortamda muhafaza edilen özel nitelikli kişisel verilere erişimde, yetki sınırları belirlenmiş profiller kullanılması,
- Fiziksel ortamda (Kilitli dolaplarda vb.) saklanan özel nitelikli kişisel verilere erişimde, yetki matrisine uygun olarak, Enstitü tarafından varsa yetkilendirilen çalışan, çalışan dışındaki kişilerde anahtar bulundurulmaması,
- Periyodik olarak yetki kontrollerinin gerçekleştirilmesi,
- Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkilerinin derhal kaldırılması. Bu kapsamda, veri sorumlusu olan Enstitü tarafından kendisine tahsis edilen envanterin iade alınması.
6.3. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENDİĞİ, MUHAFAZA EDİLDİĞİ ve/veya ERİŞİLDİĞİ ELEKTRONİK ORTAMLAR
Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği elektronik ortamlarda;
- Verilerin şifreli bilgisayarlarda ve disklerde muhafaza edilmesi,
- Veriler üzerinde gerçekleştirilen tüm hareketlerin işlem kayıtlarının güvenli olarak loglanması,
- Verilerin bulunduğu ortamlara ait güvenlik güncellemelerinin sürekli takip edilmesi, gerekli güvenlik testlerinin düzenli olarak yapılması/yaptırılması, test sonuçlarının kayıt altına alınması,
- Verilere bir yazılım aracılığı ile erişiliyorsa bu yazılıma ait kullanıcı yetkilendirmelerinin yapılması, bu yazılımların güvenlik testlerinin düzenli olarak yapılması/yaptırılması, test sonuçlarının kayıt altına alınması,
- Verilere uzaktan erişim gerekiyorsa en az iki kademeli kimlik doğrulama sisteminin sağlanması gerçekleştirilmektedir.
6.4. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENDİĞİ, MUHAFAZA EDİLDİĞİ ve/veya ERİŞİLDİĞİ FİZİKSEL ORTAMLAR
Özel nitelikli kişisel verileri içeren belgeler, Enstitü dışındaki kişilerin erişebileceği yerlerde bırakılmaz. Yalnızca yetkili personelin ulaşabileceği, güvenli dosyalar içinde, kilitli dolapta ve güvenli yerlerde muhafaza edilmektedir. Bu ortamların;
- Elektrik kaçağı, yangın, su baskını, hırsızlık gibi tehlikelere karşı eksiksiz ve yeterli güvenlik önlemleri alınmaktadır.
- Bu ortamlarda fiziksel güvenlik tedbirleri alınarak yetkisiz giriş çıkışların gerçekleşmesi engellenmektedir.
- Fiziksel güvenliğinin sağlanarak yetkisiz giriş çıkışlar engellenmektedir.
- ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN AKTARILMASI
Enstitü, sınırlı ve hukuka uygun olarak, gerekli güvenlik önlemlerini almak kaydıyla, ilgili kişinin kişisel verilerini Kanun tarafından izin verilen şartlarda veya ilgili kişinin açık rızası ile üçüncü kişilere aktarabilmektedir. Enstitü, kişisel verilerin aktarılmasında kişisel verinin işlenmesi amaçları doğrultusunda, hukuka ve dürüstlük kurallarına uygun olarak, ilgili kişinin kişisel verilerini üçüncü kişiler ile paylaşabilmektedir.
7.1 ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN AKTARILMASI
Enstitü, özel nitelikli kişisel verileri, Kurum tarafından belirlenecek olan yeterli önlemlerin alınması şartıyla ve sadece aşağıdaki durumlarda aktarılabilir;
- İlgilinin açık rızası varsa veya
- Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler ilgili kişinin açık rızası aranmaksızın kanunlarda öngörülen hâllerde,
- Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgili kişinin açık rızası aranmaksızın aktarılabilir.
7.2 ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN AKTARILMA USULLERİ
- Verilerin e-posta yoluyla aktarılması gerekiyorsa şifreli olarak kurumsal e-posta adresi kullanılarak aktarılır.
- Taşınabilir Bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerekiyorsa bunlar şifrelenir.
- Verilerin kağıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemler alınır ve evrak “gizlilik dereceli belgeler” formatında, güvenli dosyalarda gönderilir.
UYGULAMA VE YÜRÜRLÜK
İşbu Politika Enstitü tarafından onaylanmasının akabinde yürürlüğe girer.
DÖKÜMAN TARİHÇESİ | ||
Versiyon | Yayın Tarihi | Değişikliğin Tanımı |
Hazırlayan | İnceleyen | Onaylayan |