1. KAPSAM
6698 Sayılı Kişisel Verilerin Korunması Kanunu’nun (“KANUN”) 6. maddesinde, hukuka aykırı olarak işlendiğinde kişilerin mağduriyetine veya ayrımcılığa sebep olma riski taşıyan bir takım kişisel veriler “ÖZEL NİTELİKLİ KİŞİSEL VERİ” olarak belirlenmiştir.
Özel nitelikli kişisel verilerin kapsamına kişilerin ırkı, etnik kökeni, siyasi düşüncesi, inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri girmektedir.
2. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİ
Veri Sahibi/İlgili Kişi açısından korunmasının çeşitli açılardan daha kritik önem teşkil ettiğine inanılan Özel Nitelikli Kişisel Veriler’in işlenmesinde, Op. Dr. Birdal TOSYALI ÇETİNOL (Veri Sorumlusu) tarafından özel hassasiyet gösterilmektedir.
Özel Nitelikli Kişisel Veriler, Veri Sorumlusu tarafından, Kanun’a uygun bir şekilde, Kurul’ca belirlenecek yeterli önlemlerin alınması kaydıyla, aşağıdaki şartların varlığı halinde işlenmektedir:
- Veri Sahibi/İlgili Kişi’nin açık rızası var ise veya
- Veri Sahibi/İlgili Kişi’nin açık rızası yok ise; Veri Sahibi/İlgili Kişi’nin sağlığı ve cinsel hayatı dışındaki özel nitelikli kişisel veriler, kanunlarda öngörülen hallerde, Veri Sahibi/İlgili Kişi’nin sağlığına ve cinsel hayatına ilişkin özel nitelikli kişisel verileri ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenmektedir.
3. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN ÖNLEMLER
Veri Sorumlusu, Kanun’un 6. Maddesinde yer alan, Özel Nitelikli Kişisel Veriler’in işlenmesinde, Kurul’un 31.01.2018 Tarihli ve 2018/10 Numaralı kararı uyarınca, veri sorumlusu sıfatıyla, aşağıda belirtilen önlemleri almaktadır:
- Özel nitelikli kişisel verilerin güvenliğine yönelik sistemli, kuralları net bir şekilde belli, yönetilebilir ve sürdürülebilir işbu Politika belirlenmiştir.
- Özel nitelikli kişisel verilerin işlenmesi süreçlerinde yer alan Çalışan, Diğer - Hasta, Ürün veya Hizmet Alan Kişi, Çalışan Adayı, Potansiyel Ürün veya Hizmet Alıcısı, Diğer - Doktor, Ziyaretçi, Tedarikçi Yetkilisi, Tedarikçi Çalışanı kişi grubuna/gruplarına yönelik,
- Çalışanlar için veri güvenliği hükümleri içeren disiplin düzenlemeleri mevcuttur
- Çalışanlar için veri güvenliği konusunda belli aralıklarla eğitim ve farkındalık çalışmaları yapılmaktadır
- Çalışanlar için yetki matrisi oluşturulmuştur
- Gizlilik taahhütnameleri yapılmaktadır
- Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır
- İmzalanan sözleşmeler veri güvenliği hükümleri içermektedir
- Kişisel veri güvenliği politika ve prosedürleri belirlenmiştir
- Kişisel veri içeren ortamların güvenliği sağlanmaktadır
- Kişisel veriler mümkün olduğunca azaltılmaktadır
- Özel nitelikli kişisel veri güvenliğine yönelik protokol ve prosedürler belirlenmiş ve uygulanmaktadır
- Kağıt yoluyla aktarılan kişisel veriler için ekstra güvenlik tedbirleri alınmakta ve ilgili evrak gizlilik dereceli belge formatında gönderilmektedir
- Kişisel veri güvenliğinin takibi yapılmaktadır
Tedbirleri uygulanmaktadır.
- Özel Nitelikli Kişisel Verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, fiziksel ve elektronik ortamlar için,
- Bilgi teknolojileri sistemleri tedarik, geliştirme ve bakımı kapsamındaki güvenlik önlemleri alınmaktadır
- Erişim, bilgi güvenliği, kullanım, saklama ve imha konularında kurumsal politikalar hazırlanmış ve uygulamaya başlanmıştır
- Kullanıcı hesap yönetimi ve yetki kontrol sistemi uygulanmakta olup bunların takibi de yapılmaktadır
- Güncel anti-virüs sistemleri kullanılmaktadır
Tedbirleri uygulanmaktadır.
- Özel Nitelikli Kişisel Veriler aktarılacaksa
- Beyanname
- Bildirim
- Data Medya
- Veri Girişi
- E-Posta ile
- Hard Copy
- Paylaşım
- Yurtdışı veri merkezi işleticisi
Aktarım yöntemleri kullanılmaktadır.
- Yukarıda belirtilen önlemlerin yanı sıra Kişisel Verileri Koruma Kurumunun internet sitesinde yayımlanan Kişisel Veri Güvenliği Rehberinde belirtilen uygun güvenlik düzeyini temin etmeye yönelik teknik ve idari tedbirler de dikkate alınmalıdır.
4. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN AKTARILMASI
Veri Sorumlusu, hukuka uygun olarak elde etmiş olduğu Özel Nitelikli Kişisel Verileri, veri işleme amaçları doğrultusunda, gerekli güvenlik önlemlerini alarak, Veri Sahibi/İlgili Kişi’nin Özel Nitelikli Kişisel Verileri’ni üçüncü kişilere aktarabilmektedir. Bu doğrultuda, Veri Sorumlusu, Özel Nitelikli Kişisel Verileri, yukarıdaki bölümde belirtilen işleme şartlarından ve aşağıda belirtilen şartlardan birinin varlığı halinde üçüncü kişilere aktarabilecektir.
- Veri Sahibi/İlgili Kişi’nin açık rızası var ise,
- Kanunlarda Özel Nitelikli Kişisel Veri’nin aktarılacağına ilişkin açık bir düzenleme var ise,
- Veri Sahibi/İlgili Kişi’nin veya başkasının hayatı veya beden bütünlüğünün korunması için zorunlu ise ve Veri Sahibi/İlgili Kişi fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda ise veya rızasına hukuki geçerlilik tanınmıyorsa;
- Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olmak kaydıyla sözleşmenin taraflarına ait kişisel verinin aktarılması gerekli ise,
- Veri Sorumlusu, hukuki yükümlülüğünü yerine getirmesi için kişisel veri aktarımı zorunlu ise,
- Özel Nitelikli Kişisel Veriler, Veri Sahibi/İlgili Kişi tarafından alenileştirilmiş ise,
- Özel Nitelikli Kişisel Veri aktarımı bir hakkın tesisi, kullanılması veya korunması için zorunlu ise,
- Veri Sahibi/İlgili Kişi’nin temel hak ve özgürlüklerine zarar vermemek kaydıyla, Veri Sorumlusu meşru menfaatleri için kişisel veri aktarımı zorunlu ise.
5. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN YURTDIŞINA AKTARILMASI
Veri Sorumlusu, gerekli özeni göstererek, gerekli güvenlik tedbirlerini ve Kurul tarafından öngörülen yeterli önlemleri alarak, meşru ve hukuka uygun Kişisel Veri işleme amaçları doğrultusunda, Veri Sahibi/İlgili Kişi’nin Özel Nitelikli Kişisel Veriler’ini aşağıdaki durumlarda yeterli korumaya sahip veya yeterli korumayı taahhüt eden veri sorumlusunun bulunduğu yabancı ülkelere aktarabilmektedir.
- Kişisel veri sahibinin açık rızası var ise veya
- Kişisel veri sahibinin açık rızası yok ise;
- Veri Sahibi/İlgili Kişi’nin sağlığı ve cinsel hayatı dışındaki özel nitelikli kişisel verileri (ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir), kanunlarda öngörülen hallerde,
- Veri Sahibi/İlgili Kişi’nin sağlığına ve cinsel hayatına ilişkin özel nitelikli kişisel verileri ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenmesi kapsamında.
Bu politika Op. Dr. Birdal TOSYALI ÇETİNOL tarafından yürütülür.
Saygılarımızla.
Op. Dr. Birdal TOSYALI ÇETİNOL