ÇALIŞAN DIŞI KİŞİSEL VERİLERİNKORUNMASI VE İŞLENMESİ POLİTİKASI

PROF. DR. SELÇUK İNANLI                                                                     

ÇALIŞAN DIŞI KİŞİSEL VERİLERİNKORUNMASI VE İŞLENMESİ POLİTİKASI

 

GİRİŞ

İşbu politika Prof. Dr. Selçuk İnanlı’nın çalışan dışı kişisel verileri işlenirken uyulması gereken kuralları 6698 sayılı KVKK uyarınca düzenlemektedir. Kişisel verilerin korunması kliniğimizin en önemli önceliklerinden biridir. Kliniğimiz kişisel verileri işlerken hukuka uygunluk ve dürüstlük kurallarına azami özen göstererek işleme faaliyetlerini yürütmektedir.


Bu Politika’da yer alan “çalışan dışı” ifadesi, uygun olduğu ölçüde, kliniğimizden hizmet alanları ve kliniğimiz ile konusu dahilinde ilişikte bulunan kişileri kapsayacaktır.


Güncellenebilirlik
 

İş bu politika mevzuat değişikliklerine uygun olarak değiştirilip güncellenebilecektir. Yapılacak güncellemeler hem çevrimiçi ortamlarda hemde belge arşivinde gecikmeksizin yerini alacaktır.


1-         ÇALIŞAN DIŞI KİŞİSEL VERİLERİNİN İŞLENMESİ


1.1       Çalışan dışı Kişisel Verilerinin İşlenmesinde Genel Yaklaşım

 

Kliniğimiz sunduğu aydınlatma metinleri ile çalışan dışı kişilerin; kendileri hakkında işlenen kişisel verilerin hangileri olduğu, kişisel verilerin hangi amaçlarla ve sebeplerle işleneceğini, kişisel verilerin hangi kaynaklardan toplandığını, bu kişisel verilerin kimlerle paylaşılacağı ve nasıl kullanılacağı hakkında bilgilendirir.


Kliniğimiz, işlediği kişisel verileri değerlendirerek, KVKK’da yer alan şartlardan en az birisine dayalı olarak bu verileri işler.

 

Bu şartlar;


· Kişinin açık rızasının olması,


· Veri işlemenin ilgili kanunlarda açıkça öngörülmesi,


· Fiili imkânsızlık sebebiyle kişinin açık rızasının alınamaması,


· Veri işlemenin bir sözleşmenin kurulması veya ifasıyla doğrudan ilgi olması,


· Şirketimiz hukuki yükümlülüğünü yerine getirebilmesi için veri işlemenin zorunlu olması,


· Kişisel verinin kişisel veri sahibinin kendisi tarafından alenileştirilmiş olması,


· Bir hakkın tesisi veya korunması için veri işlemenin zorunlu olması,


· Meşru menfaate dayalı olarak verilerin işlenmesidir.


Yukarıda yazılı şartlardan en az birisinin varlığı halinde kişisel veri işleme faaliyeti gerçekleştirilebilir. Veri işleme faaliyeti, şartlardan birisine veya birden fazlasına dayalı olarak gerçekleştirilebilir.


Açık rıza alınması gereken durumlarda, söz konusu açık rıza alma işlemi, kişisel verilerin işlenmesinden önce tamamlanır. Kliniğimiz hiçbir zaman battaniye açık rıza almaz.


1.2       Gerektiği Kadar ve Gerekli Süre Boyunca Kişisel Veri Toplanması


Kliniğimiz, mutlaka açık ve öngörülebilir bir ihtiyaç üzerine çalışanlardan ve çalışan dışı olan kişilerden kişisel veri toplar. Kliniğimiz, toplanan verilerin bahsi geçen ihtiyaçları karşılama konusunda elverişli olmasını sağlar. Ayrıca kliniğimiz alınan verilerin ancak kanunen öngörülen veyahut açık rıza metninde belirtilen süre kadar işlenmesi konusunda hassasiyet gösterir. İşlenme süresi bitmiş olan veriler; imha, anonimleştirme ve silme yolu ile ortadan kaldırılır.

Yukarıda belirtilen prensibe uyumluluğu sağlamak amacıyla çalışanların kişisel veri girişi yaptığı her türlü form ve girdi yöntemi denetlenir. Bu denetim, mevcut form ve girdi yöntemleri için en kısa sürede; yeni oluşturulacak form ve girdi yöntemleri için bunların kullanılmasına başlanmadan önce tamamlanır.

Yapılacak denetim neticesinde gereksiz veri toplanmasını sağlayan kısımlar ilgili form ve girdi
yönteminden çıkarılır. Ayrıca bu kısımlar sayesinde elde edilen kişisel veriler derhal silinir, yok edilir ya da anonimleştirilir.


1.3       Kişisel Verilerin Güncelliğinin Sağlanması


Kliniğimiz, çalışan dışı kişilerin kişisel verilerinin güncelliğini sağlamak adına gerekli önlemleri alır.

Bu kapsamda özellikle aşağıda hususlara dikkat edilir:


· Çalışan dışı kişilerin, değişme ihtimali olan kişisel verileri (adres, telefon, aile/yakın bilgisi vb.) tespit edilir.


· Değişme ihtimali olan kişisel verilerin elektronik ortamda kolayca görülmesine yönelik önlemler alınır.


· Değişme ihtimali olan kişisel verilerin elektronik ortamda herkes tarafından değil; sadece ilgili kişini kendisi ve diğer erişim yetkilileri tarafından görülmesi sağlanır.


· Çalışan dışı kişilerin değişme ihtimali olan kişisel verileri elektronik ortamda görmesi imkanı
bulunmuyorsa; bu kişisel verilerin fiziki ortamda gösterilebilmesi için gereken tedbirler alınır.


· Çalışan dışı kişilerin değişme ihtimali olan kişisel verilerini güncel tutmaları sağlanır. Bu kapsamda farkındalık çalışmaları ile ilgili sorumlu tarafından aktif takip yapılır.
Yukarıda açıklanan yöntem haricinde şirketimiz; kendine özgü koşullara göre kişilerin
işlenmekte olan kişisel verilerini güncel tutmak için gerekli önlemleri alır.


1.4       Özel Nitelikli Çalışan Dışı Kişilerin Verilerinin İşlenmesi


Kişisel verilerin bir kısmı, KVKK kapsamında “özel nitelikli kişisel veri” olarak ayrı şekilde düzenlenmekte ve özel bir korumaya tabi olmaktadır.


Özel nitelikli kişisel kanunda açıklandığı üzere veriler; ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ilgili veriler ile biyometrik ve genetik verilerdir.


Kliniğimiz, sağlık verilerini, çalışan dışı kişinin açık rızası bulunmayan durumlarda Kişisel Verileri Koruma Kurulu tarafından belirlenecek olan yeterli önlemlerin alınması kaydıyla aşağıdaki durumlarda işleyebilir:

 

  1. Çalışan dışı kişinin sağlığı ve cinsel hayatı dışındaki özel nitelikli kişisel verileri, sadece kanunlarda öngörülen hallerde,

 

  1. Çalışan dışı kişinin sağlığına ve cinsel hayatına ilişkin özel nitelikli kişisel verileri ise kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar eliyle işleyebilir.


2.         ÇALIŞAN DIŞI KİŞİLERİN SAĞLIĞINA İLİŞKİN VERİLER


2.1       Çalışan Dışı Kişilerin Sağlık Verilerinin İşlenmesine İlişkin Genel Yaklaşım

 

Sağlık verileri, özel nitelikli kişisel veriler arasında yer almaktadır. Çalışan dışı kişilerin sağlık verileri, diğer kişisel verilerinden ayrı olarak saklanır.


2.2       Sağlık Verilerini İşleyecek Kişilerin Belirlenmesi


Çalışan dışı kişilerin sağlık verilerini işleyecek veya işlemeye yetkilendirecek şirket çalışanlarının ilgili mevzuat ve oluşturulan gizlilik politikası hakkında bilgi sahibi olması sağlanır. Çalışan dışı kişilerin sağlık verileri bu işi yapmaya yetkin kişiler tarafından analiz edilir. Kliniğimiz, çalışanlara, sağlık verilerinin hangi amaçlar çerçevesinde kullanıldığını ve bu verilere kimin, ne amaçla eriştiğini anlaşılır bir biçimde bildirmeye özen gösterir.

 

Periyodik eğitimlerde bu verilerin kliniğimiz açısından önemini ve işleme faaliyetinde uyulması gereken esasları ilgili personellere tekraren anlatılır. Bu konuda kliniğimiz tarafından belirlenecek sürelerle personele ölçme ve değerlendirme testleri yapılır. Bu testlerden başarısız olan çalışanların derhal veri işleme faaliyetleri sonlandırılır. Bir daha yapılacak testten geçer not alıncaya kadar ilgili personel özel nitelikli veri işleme faaliyetlerinden uzak tutulur.

 

3.         ÇALIŞAN DIŞI KİŞİLERİN VERİLERİNİN PROF. DR. SELÇUK İNANLI TARAFINDAN İŞLENMESİ


 

Prof. Dr. Selçuk İnanlı aşağıdaki durumlarda kişisel verileri temin etmekte ve işlemektedir:

  • Kliniğimizden hizmet alacak kişilere gerekli hizmetin verilebilmesi
  • Kliniğimizden hizmet alacak kişilerin kimliğinin belirlenebilmesi
  • Kliniğimizden hizmet alacak kişilerin aldığı hizmetlerin gerekli kamu kurumlarına raporlanabilmesi ve ödemelerinin alınabilmesi
  • Ve diğer tüm kanuni yükümlülüklerin yerine getirilebilmesi

 


4.         ÇALIŞAN DIŞI KİŞİLERİN KENDİLERİ HAKKINDA TOPLANAN KİŞİSEL VERİLERE İLİŞKİN KANUNİ HAKLARI

KVKK 11. Maddede belitilen ve kliniğimizin aydınlatma metninde yer alan tüm kanuni haklara kişisel verileri şirketimizce işlenen gerecek kişiler sahiptir. Bu haklara erişimlerinin sağlanabilmesi için şirketimiz gerekli yöntemleri belirler ve aydınlatma metninde bu yöntemlere yer verir.

 

4.1       Çalışan Dışı Kişilerin Kanuni Haklarını Kullanmalarına ilişkin Esaslar


Kliniğimiz, ,KVKK gereği çalışan dışı kişilerin kanuni haklarını kullanabilmelerini, gerekli başvuruların yapılabilmesini ve yapacakları başvurulara en geç 30 gün içerisinde cevap verilmesini sağlayacak her türlü idari, hukuki ve teknik önlemleri alır ve ilgili süreçleri tasarlayarak bu konuda çalışanları bilgilendirirler. Kliniğimiz ilgili kişi tarafından yapılacak başvuruda ilgili kişinin tamamen tatmin edilmesini sağlayacak yöntemler geliştirir.

Kliniğimiz tarafından kanuni haklarını kullanan çalışanlara verilecek cevaplarda üçüncü
kişilerin kişisel verilerinin ifşa edilmemesi için gereken her türlü özen gösterilir.


5.         ÇALIŞAN DIŞI KİŞİLERİN KİŞİSEL VERİLERİNİN ÜÇÜNCÜ KİŞİLERLE PAYLAŞIMI


5.1       Kişisel Veri Paylaşımına İlişkin Genel Kurallar


Kliniğimiz, çalışan dışı kişilerin kişisel verilerinin paylaşımına ilişkin iç prosedürlerini belirler. Veri paylaşım taleplerinin bu konuda yetkin çalışanlarca cevaplanması sağlanır.
Klinik dışından gelen veri paylaşım taleplerinin (adli makamlar, idari makamlar, sigorta talepleri gibi) gerçekliği ve doğruluğunun teyidi konusunda gerekli önlemler alınır.

Klinik dışından gelen veri paylaşım taleplerinin yazılı olarak gerçekleştirilmesi esastır.
Çalışan dışı kişilerin kişisel verilerinin gelen talep üzerine yurtdışına gönderilmesi halinde kişisel verilerin yurtdışına aktarılmasına ilişkin her türlü idari, hukuki ve teknik önlem alınır.
Çalışan dışı kişilerin kişisel verilerinin paylaşılması hukuki bir yükümlülük teşkil ediyorsa, yalnızca bu hukuki yükümlülüğün kapsamına uygun şekilde kişisel veri paylaşımı yapılabilir.
Uluslararası veri aktarımı ve özel nitelikli kişisel verilerin aktarımına ilişkin kanuni şartlar saklı kalmak kaydıyla; çalışanların kişisel verileri: Veri sahibinin açık rızasının olması, Kanunlarda kişisel verinin aktarılacağına ilişkin açık bir düzenleme var ise, Kişisel veri sahibinin veya başkasının hayatı veya beden bütünlüğünün korunması için zorunlu ise ve kişisel veri sahibi fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumdaysa veya rızasına hukuki geçerlilik tanınmıyorsa; Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olmak kaydıyla sözleşmenin taraflarına ait kişisel verinin aktarılması gerekli ise, Hukuki bir yükümlülüğün yerine getirilmesi için kişisel veri aktarımı zorunlu ise, Kişisel veriler, kişisel veri sahibi tarafından alenileştirilmiş ise, Kişisel veri aktarımı bir hakkın tesisi, kullanılması veya korunması için zorunlu ise, Kişisel veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, ilgili kliniğin meşru menfaatleri için kişisel veri aktarımı zorunlu ise üçüncü kişilere aktarılabilir. Burada yazılı bulunan şartlar gerçekleşmeden klinik kişisel veri aktarımı yapamaz.


5.2       Kişisel Veri Paylaşımına ilişkin Bilgilendirme ve Kayıt Tutma


Çalışan dışı kişilerin kişisel verilerinin üçüncü kişilerle paylaşılması halinde verilerin paylaşılmasından önce, veri paylaşımının KVKK’da yer alan şartlardan birisine dayalı olması aranır.

“Çalışan dışı kişilerin, daha önce bilgilendirilmemiş ise, en geç paylaşım anında bu paylaşım ile ilgili olarak bilgilendirilmesi sağlanır. Ancak bu bilgilendirme hukuka aykırılık yaratıyorsa veya yetkili makamların yapacağı bir soruşturma hakkında önceden uyarı niteliği taşıyorsa ilgili çalışan dışı kişi konuya ilişkin bilgilendirilmez.”

6.         ÇALIŞAN DIŞI KİŞİLERİN KİŞİSEL VERİLERİNİN SAKLANMA SÜRESİ


Şirketimiz, çalışan dışı kişilerin kişisel verilerini işlendikleri amaç için gerekli olan süre ve ilgili faaliyetin tabi olduğu yasal mevzuatta öngörülen minimum sürelere uygun olarak muhafaza etmektedir.

Bu kapsamda, kliniğimiz öncelikle ilgili mevzuatta kişisel verilerin saklanması için bir süre öngörülüp öngörülmediğini tespit etmekte, bir süre belirlenmişse bu süreye uygun davranmaktadır. Yasal bir süre mevcut değil ise kişisel veriler işlendikleri amaç için gerekli olan süre kadar saklanmaktadır. Kişisel veriler belirlenen saklama sürelerinin sonunda periyodik imha sürelerine veya veri sahibi başvurusuna uygun olarak ve belirlenen imha yöntemleri (silme ve/veya yok etme ve/veya anonimleştirme) ile imha edilmektedir.

7.         KİŞİSEL VERİLERİN İŞLENMESİ KONUSUNDA DIŞ HİZMET SAĞLAYICI KULLANIMI

Kliniğimiz, çalışan dışı kişisel verilerinin işlenmesi konusunda dış hizmet sağlayıcılar
kullanabilirler. Ancak kliniğimiz dış hizmet sağlayıcılar konusunda aşağıdaki önlemleri almak zorundadır:

  • Dış hizmet sağlayıcının ilgili mevzuatın ve sektör uygulamalarının gerektirdiği teknik ve idari güvenlik önlemlerini almış olduklarının kontrol edilmesi,
  • Dış hizmet sağlayıcının ilgili mevzuatın ve sektör uygulamalarının gerektirdiği teknik ve idari güvenlik önlemlerini almış olduklarını belirli aralıklarla denetlenmesi,
  • Dış hizmet sağlayıcı ile gerekli teknik ve idari güvenlik önlemlerinin alınmasına yönelik şartlar da içeren sözleşme yapılması,
  • Kişisel verilerin yurtdışındaki dış hizmet sağlayıcılarına gönderilmesi halinde gerekli hukuki, idari ve teknik önlemlerin alınması.


8.         KİŞİSEL VERİLERİN GÜVENLİĞİ


Çalışan dışı kişilerin verilerinin güvenliğini sağlamak için kliniğimiz gereken tüm idari ve teknik önlemleri alır. Alınan önlemler yetkisiz erişim risklerini, kaza ile veri kayıplarını, verilerin kasti silinmesini veya verilerin zarar görmesini engelleyecek şekilde kurgulanır. Çalışanların bu kapsamda kişisel veri işleme faaliyetinden sorumlu olacak ve bu işleme neticesinde elde edilen kişisel verilere erişim yetkisi olacak çalışan sayısı olabildiğince sınırlı tutulur. Bu kapsamda kliniğimiz, mevcut durumda bu verilere erişimi gereksiz olan çalışanlar var ise bu çalışanların erişim yetkilerini kaldırır veya sınırlar. Çalışan dışı kişilerin kişisel verilerine sadece erişim ile yetkili olan kişilerin erişmesini sağlamak adına gereken fiziki güvenlik önlemleri alınır. Bu kapsamda ayrıca erişim yetkili kişilerin gereksiz yere geniş yetki sahibi olması engellenir. Bilgi sistemleri üzerinde kimlerin çalışanların kişisel verilerine eriştiğinin tespit edilmesini sağlayacak denetim izi gibi önlemler alınır. Bu kapsamda oluşturulacak erişim kayıtları düzenli olarak kontrol edilir ve yetkisiz erişimlere yönelik soruşturma mekanizmaları oluşturulur. Çalışan dışı kişilerin kişisel verilerine erişimi olan diğer çalışanların gerekli güvenlik kontrollerinden geçirilmeler esastır. Bunun yanında bu kişilerin gerekli korumaları sağlayan gizlilik sözleşmesi/taahhütnamesi imzalaması veya iş sözleşmelerinde bu kapsamda hükümlere yer verilmesi ve bu kişilerin sorumlulukları hakkında sürekli olarak eğitilmesi sağlanır. Çalışan dışı kişilere ait kişisel verilerin dizüstü bilgisayarlar gibi çeşitli vasıtalarla işyerinden çıkarılması halinde gerekli güvenlik önlemlerinin alınması ve bu önlemler hakkında ilgili çalışanların bilgilendirilmesi sağlanır.

 

İŞ BU POLİTİKA ŞİRKETİN UYGUN GÖRDÜĞÜ YERLERDE YAYIMLANMAK SURETİ İLE VERİ İŞLEYEN PERSONELLERİN VE VERİSİ İŞLENEN GERÇEK KİŞİLERİN(İLGİLİ KİŞİ) VERİ İŞLEME POLİTİKASI İLE İLGİLİ BİLGİLENDİRMELERİ SAĞLANIR.