ÜÇ KARTAL SAĞLIK HİZMETLERİ İNŞAAT TURİZM SANAYİ VE TİCARET
ANONİM ŞİRKETİ
(ÖZEL MEDİKAYA HASTANESİ)
KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASI
I. GİRİŞ
A. POLİTİKANIN AMACI
Üç Kartal Sağlık Hizmetleri İnşaat Turizm Sanayi ve Ticaret A.Ş. (Medikaya Hastanesi / Şirket)
Yönetim Kurulu ve tüm personelleri, Kişisel Verilerin Korunması ve İşlenmesi Politikası
doğrultusunda, kişisel verilerin korunmasına ilişkin Türkiye Cumhuriyeti Anayasası, 6698 sayılı
Kişisel Verilerin Korunması Kanunu (KVKK), sair mevzuat tarafından getirilmiş ilke, kurallara
uymayı ve ilgili kişilerin haklarını korumayı taahhüt etmektedir.
Kişisel Verilerin Koruması ve İşlenmesi Politikasının amacı, Medikaya Hastanesi’nin kişisel
verilerin yönetiminde kendi standartlarını oluşturması ve gerçekleştirmesinin sağlanması,
organizasyonel hedef ve yükümlülüklerin belirlenmesi, desteklenmesi, Medikaya Hastanesi’nin
kabul edilebilir risk seviyesiyle uyumlu olarak kontrol mekanizmalarının tesis edilmesi; Medikaya
Hastanesi’nin kişisel verilerin korunması alanındaki uluslararası sözleşmeler, Anayasa, kanunlar,
sözleşmeler ve meslek kuralları uyarınca tabi olduğu yükümlülüklerin yerine getirilmesi ve bireylerin
menfaatlerinin en iyi şekilde korunmasıdır.
Medikaya Hastanesi’nde kişisel verilerin güvenliği konusunda gereken hassasiyet gösterilmekte,
hasta mahremiyetine ve hastalarımıza ait her türlü kişisel verinin mümkün olan en iyi şekilde ve
özenle işlenerek muhafaza edilmesine büyük önem verilmektedir. Bu amaçla hastalarımızın yanı
sıra refakatçi ve ziyaretçilerimiz, tüm çalışanlarımız, stajyerlerimiz ve işbirliğinde olduğumuz kurum
ve kuruluş çalışanlarının, 6698 sayılı Kişisel Verilerin Korunması Kanunu ve Kişisel Sağlık
Verilerinin İşlenmesi ve Mahremiyetinin Sağlanması hakkındaki yönetmelik ve ilgili mevzuatlara
göre aşağıdaki temel ilkeler Kişisel Verileri Korumak Şirket Politikamız olarak benimsenmiştir.
B. POLİTİKANIN KAPSAMI
İşbu Politika, Özel Isparta Hastanesi için hazırlanmış olup kurum bünyesinde verilen hizmetleri
kapsamına almaktadır. Politika hükümleri, Medikaya Hastanesi’nin faaliyet konuları ve çalışma
alanlarında kişisel verilerin işlenmesi süreçlerine dahil olan tüm bilgi sistemlerini ve alt bilgileri,
sözleşmeleri, çevre ve fiziksel alanları ve tüm bunlar için üretilen sistem ve düzenlemeleri
kapsamaktadır. Bu Politika Medikaya Hastanesi’nin Yönetim Kurulunu, tüm departmanları,
müdürlükleri, her türlü hizmeti veren firma çalışanlarını, stajyer ve sözleşmeli personeli
kapsamaktadır. KVKK veya bu Politikayı ihlal edici her türlü eylem ilgili mevzuat kapsamında
değerlendirilir ve bu doğrultuda yaptırımlar uygulanır.
Medikaya Hastanesi’nin kişisel verilere erişimi veya erişme ihtimali bulunan çözüm ortakları,
kamu kurumları, sigorta şirketleri ve Medikaya Hastanesi ile çalışan tüm üçüncü taraflar bu
Politikayı okumaya ve politikaya uymaya davet edilir. Üçüncü taraflar, kişisel verilerin korunması
konusunda en az Medikaya Hastanesi kadar güçlü ve yeterli standartlara sahip bir sistem ile
kişisel verilerin korunmasını sağlamalıdır. Üçüncü taraflar ile Medikaya Hastanesi arasında
kişisel verilerin korunması kapsamındaki yükümlülükler ve bunlara ilişkin denetim hakkını içeren
yazılı bir gizlilik anlaşması yapılacaktır. Kanunu yükümlülükler hariç olmak üzere, üçüncü taraflar
gizlilik anlaşması imzalanmadan Medikaya Hastanesi tarafından işlenen kişisel ve özel nitelikli
kişisel verilere erişim sağlayamaz. Kişisel Verilerin Korunması ve İşlenmesi Politikası ile birlikte
Medikaya Hastanesi’nin benimsediği veri güvenliği ilkeleri sürdürülebilir kılınmış olacaktır.
1
C. POLİTİKANIN HEDEFİ
Medikaya Hastanesi Politika ile, bünyesinde kişisel verilerin hukuka uygun olarak işlenmesi ve
korunması konusunda farkındalığın oluşması hedefi doğrultusunda gerekli sistemleri oluşturmak ve
mevzuata uyumunu temin etmek için gereken düzenin kurulması amaçlanmaktadır. Bu kapsamda
Politika ile KVK Kanunu ve ilgili mevzuat ile ortaya konulan düzenlemelerin uygulanması
bakımından yol gösterme hedefi gözetmektedir.
D. TANIM VE KISALTMALAR
Şirket : Üç Kartal Sağlık Hizmetleri İnşaat Turizm Sanayi ve Ticaret A.Ş. (Medikaya
Hastanesi)
Açık Rıza : Belirli bir konuya ilişkin, bilgilendirilmeye ve özgür iradeye dayanan, tereddüte yer
bırakmayacak açıklıkta, sadece o işlemle sınırlı olarak verilen onay.
Anonim Hale Getirme : Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği
belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.
Çalışan : 4857 Sayılı Kanuna tabi olarak veya başkaca kanunlar çerçevesinde veya Sözleşmeli
olarak Medikaya Hastanesi bünyesinde daimi veya belirli süreli hizmet veren gerçek
kişi personeli.
İlgili Kişi : Kişisel verisi işlenen gerçek kişi.
Kişisel Veri : Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.
Özel Nitelikli Kişisel Veri : Kişilerin, ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini,
mezhebi, veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı,
cinsel hayatı, ceza mahkumiyeti, güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik
verileri.
Kişisel Verilerin İşlenmesi : Kişisel verilerin tamamen veya kısmen otomatik olan ya da
herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde
edilmesi, kaydedilmesi, depolanması, saklanması, değiştirilmesi, yeniden düzenlenmesi,
açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da
kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.
Veri İşleyen : Veri Sorumlusunun verdiği yetkiye dayanarak veri sorumlusu adına kişisel verileri
işleyen gerçek veya tüzel kişi.
Veri Sorumlusu : Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt
sisteminin kurulmasında ve yönetilmesinden sorumlu gerçek veya tüzel kişi.
KVK Kurulu : Kişisel Verileri Koruma Kurulu.
KVK Uyum Süreci : Medikaya Hastanesi tarafından yürürlüğe konulmuş, kişisel verilerin
korunmasına ilişkin mevzuat ile uyumluluğun sağlanmasına ilişkin program.
KVK Kurumu : Kişisel Verileri Koruma Kurumu.
KVKK : 7 Nisan 2016 tarihli ve 29677 sayılı Resmi Gazetede yayımlanan, 6698 Sayılı Kişisel
Verilerin Korunması Kanunu.
Politika : Üç Kartal Sağlık Hizmetleri İnşaat Turizm Sanayi ve Ticaret A.Ş. (Medikaya
Hastanesi) Kişisel Verilerin İşlenmesi ve Korunması Politikası.
Kişisel Veri Saklama ve İmha Politikası : Kişisel Verilerin Silinmesi, Yok Edilmesi, Anonim Hale
Getirilmesi Hakkında Yönetmelik gereğince, Medikaya Hastanesi tarafından kişisel verilerin
işlendikleri amaç için gerekli olan azami süreyi belirleme işlemi ile silme, yok etme ve anonim
2
hale getirme işlemi için dayanak yapılmış olan “Medikaya Hastanesi Kişisel Veri Saklama ve
İmha Politikası”.
Periyodik İmha : Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan
kalkması durumunda tekrar eden aralıklarla gerçekleştirilecek silme, yok etme veya anonim
hale getirme işlemi.
Hasta : Medikaya Hastanesi’ne tetkik, tedavi amacıyla müracaat edip ayaktan ya da yatarak
tedavi gören, sağlık hizmeti alan kişi.
Kayıtlı Elektronik Posta (KEP) : Her türlü ticari, hukuki yazışma ve belge paylaşımlarınızı
gönderdiğiniz biçimde koruyan, alıcının kim olduğunu kesin olarak tespit eden, içeriğin
kesinlikle değişmemesini ve içeriği yasal geçerli ve güvenli, kesin delil haline getiren sistemdir.
Veri Sorumluları Sicil Bilgi Sistemi : Veri Sorumlularının Sicile başvuruda ve Sicile ilişkin ilgili
diğer işlemlerde kullanacakları, internet üzerinden erişilebilen, Başkanlık tarafından oluşturulan
ve yönetilen bilişim sistemi.
VERBİS : Veri Sorumluları Sicil Bilgi Sistemi.
E. KİŞİSEL VERİLERE İLİŞKİN GÖREV DAĞILIMI
Kişisel Verilerin Korunmasına İlişkin Görev Dağılımı
Yönetim Kurulu
Üç Kartal Sağlık Hizmetleri İnşaat Turizm Sanayi ve Ticaret A.Ş. (Medikaya Hastanesi) Yönetim
Kuru Üyelerini ifade etmekte olup, Şirket Politikasına uygun şekilde iş ve işlemlerin yürütülmesini
sağlamakla görevlidirler.
KVKK Komitesi
Şirket tarafından kişisel verilerin korunmasına ilişkin uyum sürecinde belirlenen kişilerden oluşan
komitesini ifade etmekte olup, Politika’ nın hazırlanması, geliştirilmesi, yürütülmesi, ilgili ortamlarda
yayınlanması ve güncellenmesinden sorumlu ve görevlidirler.
Departman Sorumluları
İnsan Kaynakları, Muhasebe, Finansman, Satın Alma, Satış ve Pazarlama, Bilgi İşlem ve Medikaya Hastanesi tüm Tıbbi Hizmet ve Birimleri ile Departman Sorumlularını ifade etmekte olup,
üstlendikleri işin niteliğine, mevzuata ve gizlilik sözleşmelerine uygun olarak Politikanın
yürütülmesinden sorumludur ve görevledirler.
İrtibat Kişisi
Veri Sorumlusu tarafından VERBİS sisteminde atanan kişiyi ifade etmekte olup, Politikada yer alan
hususların VERBİS sistemine uyumlu şekilde düzenlenmesi ve bildirimlerin yapılmasından sorumlu
ve görevlidir.
II. KİŞİSEL VERİLERİN KORUNMASINA İLİŞKİN HUSUSLAR
A. KİŞİSEL VERİLERİN GÜVENLİĞİNİN SAĞLANMASI
Tüm personel ve çalışanlar, Özel Medikaya Hastanesi tarafından işlenen ve kendi sorumluluklarında
olan verilerin güvenli olarak tutulmasını ve gizlilik sözleşmesi imzalamadıkça üçüncü tarafa
açıklanmamasını sağlamakla yükümlüdür.
3
Kişisel verilere, yalnızca bunlara erişimi gerekli olanlar erişebilmektedir. Kişilere özgü erişim
yetkilerine ilişkin bilgiler üçüncü kişiler ile paylaşılamaz. Kişisel verilere ilişkin bilgi güvenliği ile ilgili
olaylar KVK Komitesi’nce kesin olarak tespit edildiğinden itibaren en kısa süre ve en geç 72 saat
içerisinde KVK Kurulu’na bildirilir. İş bu Politikanın XII. maddesinde belirtilen “İhlal Durumu İle
Karşılaşılması Halinde Yapılacaklar” başlığı altındaki tedbirler ayrıca alınır.
Kişisel Verilerin Bulunduğu Ortamlar
Elektronik Ortamlar :
• Yerel Ağ cihazları,
• Yerel Ağ üzerinde veri saklanması için kullanılan paylaşımlı / paylaşımsız disk sürücüleri
Yazılımlar (ofis yazılımları)
• Bilgi güvenliği cihazları (güvenlik duvarı, saldırı tespit ve engelleme, günlük kayıt dosyası, anti
virüs vb.)
• Çıkartılabilir Diskler (USB, Hafıza Kartı vb.)
• Kişisel Bilgisayarlar (Masaüstü, Dizüstü)
• Mobil Cihazlar (telefon, tablet vb.)
• Optik Diskler (CD, DVD, vb.)
• Sunucular (Etki alanı, yedekleme, e-posta, veri tabanı, web, dosya paylaşım, vb.)
• Yazıcı, tarayıcı, fotokopi makinesi
• Yazılımlar (ofis yazılımları)
• Yazıcı, tarayıcı, fotokopi makinesi
Elektronik Olmayan Ortamlar :
• Arşiv
• Kağıt
• Manuel Veri Kayıt Sistemleri (anket formları, özlük dosyaları, ziyaretçi giriş defteri, hasta kayıt
defterleri, poliklinik defterleri, hasta izlem formları, tıbbi tedavilere ilişkin kayıtlar, reçeteler,
laboratuvar verileri v.b.)
• Yazılı, basılı, görsel ortamlar
• Birim dolapları
B. İLGİLİ KİŞİNİN HAKLARININ GÖZETİLMESİ
İlgili Kişiler Özel Isparta Hastanesi nezdindeki veri işleme faaliyetleri ve kayıtlara ilişkin olarak
Kişisel Verilerin Korunması Hakkında Kanun’un 11. maddesinde ve iş bu Politikanın XI. başlığının
A-1 maddesinde açıkça sayılan haklara sahiptir. Medikaya Hastanesi, kişisel verilerin işlenmesi
esnasında ilgili kişilerin tüm haklarını gözeterek faaliyetlerini sürdürmektedir.
C. DEPARTMANLARIN KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ KONUSUNDA
FARKINDALIKLARININ ARTTIRILMASI VE DENETİMİ
Medikaya Hastanesi, kişisel verilerin hukuka aykırı olarak işlenmesinin önlenmesi, verilere
hukuka aykırı olarak erişilmesinin önlenmesi ve verilerin muhafazasının sağlanması için tüm
birimlere, çalışanlarına gerekli farkındalık eğitimlerinin düzenlenmesini sağlamaktadır.
D. İŞ ORTAKLARI VE TEDARİKÇİLERİN KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ
KONUSUNDAKİ FARKINDALIKLARININ ARTTIRILMASI VE DENETİMİ
Medikaya Hastanesi, kişisel verilerin hukuka aykırı olarak işlenmesini, verilere hukuka aykırı
olarak erişilmesini önlemeye ve verilerin muhafazasını sağlamaya yönelik farkındalığın artırılması
için iş ortaklarına, hizmet aldığı üçüncü kişiler ve tedarikçilerine gerekli eğitimlerin düzenlenmesini
sağlamaktadır.
4
III. KİŞİSEL VERİLERİN İŞLENMESİNDE İLKELER VE UYULACAK KURALLAR
A. KİŞİSEL VERİLERİN MEVZUATTA ÖNGÖRÜLEN İLKELERE UYGUN OLARAK İŞLENMESİ
1. Hukuka ve Dürüstlük Kuralına Uygun İşleme
Medikaya Hastanesi bünyesinde ilgili kişilerin kişisel verileri dürüstlük kurallarına uygun, şeffaf
ve aydınlatma yükümlülüğü çerçevesinde işlenmektedir.
2. Kişisel Verilerin Doğru ve Gerektiğinde Güncel Olmasını Sağlama
İşlenen verilerin doğru ve güncel olmasını sağlamak için veri işleme prosedürlerinde gerekli
tedbirler alınmakta, İlgili Kişiye verilerini güncellemesi ve var ise işlenen verilerindeki hataların
düzeltilebilmesi için başvuru imkânı sunulmaktadır.
3. Belirli, Açık ve Meşru Amaçlarla İşleme
Medikaya Hastanesi tarafından kişisel verilerin kapsamı ve içeriği açıkça belirlenmiş, mevzuat
ve ticari hayatın olağan akışı çerçevesinde faaliyetlerini sürdürmek için belirlenen meşru amaçlar
dahilinde kişisel veriler işlenmektedir.
4. İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma
Medikaya Hastanesi, kişisel verileri belirlenen amaçların gerçekleştirilebilmesine elverişli bir
biçimde işlemekte ve amacın gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan kişisel
verilerin işlenmesinden kaçınmaktadır.
5. İşlendikleri Amaç İçin Gerekli Olan veya İlgili Mevzuatta Öngörülen Süre Kadar Muhafaza Etme
Mevzuattaki birçok düzenleme kişisel verilerin belirli bir süre saklanmasını zorunlu kılmaktadır. Bu
nedenle, işlenen kişisel veriler ilgili mevzuatta öngörülen veya kişisel verilerin işlenme amaçları için
gerekli olan süre kadar saklanmaktadır.
Mevzuatta öngörülen saklama süresinin sona ermesi veya işleme amacının ortadan kalkması
durumunda kişisel veriler silinmekte, yok edilmekte veya anonim hale getirilmektedir. Saklama
sürelerine ilişkin ilkeler ve süreçler işbu Politikanın IV. C. maddesinde detaylarıyla açıklanmaktadır.
B. KİŞİSEL VERİLERİN, KVKK’NIN 5. MADDESİNDE BELİRTİLEN KİŞİSEL VERİ İŞLEME
ŞARTLARI İLE SINIRLI OLARAK İŞLENMESİ
Kişisel veriler, KVKK’ nın 5. Maddesinde belirtildiği üzere; kanunlarda açıkça öngörülmesi, fiili
imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik
tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için
zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla,
sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki
yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından
alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu
olması, ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru
menfaatleri için veri işlenmesinin zorunlu olması durumlarında ve bu şartlarla sınırlı olarak
işlenmektedir.
C. İLGİLİ KİŞİNİN AYDINLATILMASI VE BİLGİLENDİRİLMESİ
Medikaya Hastanesi tarafından, kişisel veriler toplanırken; öncelikle KVKK’ nın 10. maddesine
ve Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’e
uygun olarak ilgili kişiler açıkça bilgilendirilerek aydınlatılmaktadır. Aydınlatma metinlerimizde;
Medikaya Hastanesi unvanı, açık adresi ve iletişim bilgileri
Kişisel veri kategorileri
Kişisel verilerin hangi amaçla işleneceği
İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği
Verileri toplama yöntemi ve hukuki sebebi
İlgili kişinin KVKK’ nın 11. maddesinde sayılan hakları, şeklinde alt başlıklar ve içerikleri
yer almaktadır. Aydınlatma metnimizde yukarıda yer alan bilgilerin dışında başvuru yöntemleri
de sayılmıştır. Bu yöntemler sayesinde Kişisel Verilerin Korunmasında şeffaf ve ulaşılabilir
olunması hedeflenmiştir.
Medikaya Hastanesi olarak kamuoyuna açık olan işbu Politika’ nın açık, anlaşılır, kolay erişebilir
olmasına özen gösterilmektedir. Kişisel Verilerin Korunması Kanunu hakkındaki “Aydınlatma
Metnini” internet sitesi (https://www.medikayahastanesi.com.tr) üzerinden incelenebilecektir.
D. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİ
Özel nitelikli kişisel veriler kanunlarda sınırlı sayıda öngörülmüştür. Bu verilerin işlenebilmesi için
kanun maddeleri ve KVK Kurulu’nun öngördüğü idari ve teknik tedbirler alınmak suretiyle verilerin
korunması sağlanmaktadır. Bu kapsamda, özel nitelikli kişisel verilerin (ırk, etnik köken, siyasi
düşünce, felsefi inanç, din, mezhep veya diğer inançları, kılık ve kıyafet, dernek, vakıf ya da sendika
üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik
ve genetik verileri) ilgilinin açık rızası olmaksızın işlenmesi kanunen yasaktır. Sağlık ve cinsel hayat
dışındaki kişisel veriler, kanunlarda öngörülen hallerde ilgili kişinin açık rızası aranmaksızın
işlenebilecektir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması,
koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile
finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler
veya yetkili kurul ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilecektir.
IV. MEDİKAYA HASTANESİ TARAFINDAN İŞLENEN KİŞİSEL VERİLERİN
SINIFLANDIRILMASI, İŞLEME AMAÇLARI VE SAKLAMA SÜRELERİ
A. KİŞİSEL VERİLERİN SINIFLANDIRILMASI
1. Kişisel Veriler
Kişisel veriler, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgilerdir.
Kişisel verilerin koruması sadece gerçek kişiler ile ilgili olup tüzel kişilere ait, içerisinde gerçek
kişiye ilişkin bilgi içermeyen bilgiler kişisel veri koruması dışında bırakılmıştır. Bu nedenle işbu
Politika tüzel kişilere ait verilere uygulanmaz.
Kişisel Veri Kategorileri
Kimlik : Ad ve Soyadı, T.C. kimlik numarası, uyruk bilgisi, anne adı-baba adı, anne kızlık soyadı,
doğum yeri, doğum tarihi, cinsiyet gibi bilgileri içeren ehliyet, nüfus cüzdanı ve pasaport gibi
belgeler ile vergi numarası, SGK numarası, imza bilgisi, taşıt plakası v.b. bilgiler.
İletişim : İletişim bilgileri; telefon numarası, adres, e-mail adresi, faks numarası vb. kişisel verilerdir.
Özlük : Bordro bilgileri, disiplin soruşturması, işe giriş belgesi kayıtları, özgeçmiş bilgileri,
performans değerlendirme raporları vb.
Hukuki İşlem : Adli Makamlarla yazışma bilgileri, dava dosyalarındaki bilgiler.
6
Müşteri İşlem : Fatura, senet, çek bilgileri, talep bilgisi, sipariş bilgisi vb. müşterilere ilişkin verilerdir.
Fiziksel Mekan Güvenliği : Çalışanların ve ziyaretçilerin giriş çıkış kayıtları, kamera kayıtları.
İşlem Güvenliği : İnternet sitesi giriş çıkış bilgileri, Ip adresi bilgileri, şifre ve parola bilgileri.
Finans : Bilanço bilgileri, malvarlığı bilgileri.
Mesleki Deneyim : Diploma bilgileri, gidilen kurslar, Meslek içi eğitim bilgileri, transkript bilgileri,
sertifikalar.
Pazarlama : Alışveriş geçmişi bilgileri, anketler, Kampanya çalışmasıyla elde edilen bilgiler.
Görsel ve İşitsel Kayıtlar : Görsel ve işitsel kayıtlar.
Özel Nitelikli Kişisel Veriler : KVKK’ nın 6. maddesinde belirtilen veriler (örneğin; kan grubu da dahil
sağlık verileri, biyometrik veriler, din ve üye olunan dernek bilgisi gibi).
2. Özel Nitelikli Kişisel Veriler
Kişilerin, ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları ile kılık
ve kıyafeti, dernek, vakıf ya da sendika üyelikleri, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve
güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel verilerdir.
B. KİŞİSEL VERİLERİN İŞLENME AMAÇLARI
Medikaya Hastanesi, faaliyetleri çerçevesinde işlemekte olduğu kişisel verileri Hasta
temsilcilerimiz, hekimlerimiz, sağlık profesyonellerimiz, çalışanlarımız, taşeron firmalar ve
çalışanları ve her türlü ticari işbirliği içine girilen firmalar, çağrı merkezimiz, internet sitemiz, online
hizmetler ve benzeri yollarla sözlü, yazılı ya da elektronik olarak toplanan sağlık verileri başta olmak
üzere özel nitelikli kişisel veriler ve kişisel veriler, tıbbî teşhis, tedavi ve bakım hizmetlerinin
yürütülmesi, kamu sağlığının korunması, koruyucu hekimlik, sağlık hizmetleri ile finansmanının
planlanması ve yönetimi, randevu hakkında hastalarımızı haberdar edebilme, hastanemizin iç
prosedürlerinin planlanması ve yönetilmesi, sağlık hizmetlerini geliştirme amacıyla analiz yapma,
çalışanlarımızın eğitim ve gelişimi, çalışanlarımızın özlük süreçlerini ve yasal haklarını koruma,
suiistimal ve yetkisiz işlemlerin izlenmesi ve engellenmesi, risk yönetimi ve kalite geliştirme
aktivitelerinin yerine getirilmesi, araştırma yapılması, yasal ve düzenleyici gereksinimlerin yerine
getirilmesi, hizmetlerimiz karşılığında faturalandırma yapma, kimlik teyidi, yeni doğan bildirimi,
hastanemiz ile anlaşmalı olan kurumlarla ilişkiyi teyit etme, sağlık hizmetlerinin finansmanı
kapsamında özel sigorta şirketleri tarafından talep edilen her türlü bilgileri paylaşma, sağlık
hizmetlerimize ilişkin her türlü soru ve şikâyetlere cevap verebilme, hastanemiz sistem ve
uygulamalarının veri güvenliği kapsamında tüm gerekli teknik ve idari tedbirleri alma, sunulan
sağlık hizmetlerinin geliştirilmesi ve iyileştirilmesi amacıyla, sağlık hizmetleri kullanımını analiz etme
ve sağlık verilerini saklama, ilgili mevzuat gereği saklanması gereken sağlık verilere ilişkin bilgileri
muhafaza etme ve arşivleme, anlaşmalı olduğumuz kurumlarla, bankalar ve sağlık harcamaları
tahsil edilen tüm kuruluşlarla (kamu ve özel) hastalara sunulan sağlık hizmetlerine ilişkin finansal
mutabakat sağlanması; ilgili mevzuat uyarınca Sağlık Bakanlığı ve diğer kamu kurum ve kuruluşları
ile talep edilen bilgileri paylaşma, hasta memnuniyetinin ölçülmesi, hasta memnuniyetinin
arttırılması gibi amaçlarla işlenmektedir. Medikaya Hastanesi’nin temel faaliyet konusu olan
sağlık hizmetlerinin yürütülmesiyle ilgili yukarıda yazılı temel amaçların yanı sıra kişisel veriler
aşağıdaki amaçlarla da işlenmektedir;
• Acil Durum Yönetimi Süreçlerinin Yürütülmesi
• Bilgi Güvenliği Süreçlerinin Yürütülmesi
• Çalışan Adayı / Stajyer / Öğrenci Seçme Ve Yerleştirme Süreçlerinin Yürütülmesi
• Çalışan Adaylarının Başvuru Süreçlerinin Yürütülmesi
• Çalışan Memnuniyeti ve Bağlılığı Süreçlerinin Yürütülmesi
7
• Çalışanlar İçin İş Akdi ve Mevzuattan Kaynaklı Yükümlülüklerin Yerine Getirilmesi
• Çalışanlar İçin Yan Haklar ve Menfaatleri Süreçlerinin Yürütülmesi
• Denetim / Etik Faaliyetlerinin Yürütülmesi
• Eğitim Faaliyetlerinin Yürütülmesi
• Erişim Yetkilerinin Yürütülmesi
• Faaliyetlerin Mevzuata Uygun Yürütülmesi
• Finans ve Muhasebe İşlerinin Yürütülmesi
• Firma / Ürün / Hizmetlere Bağlılık Süreçlerinin Yürütülmesi
• Fiziksel Mekân Güvenliğinin Temini
• Görevlendirme Süreçlerinin Yürütülmesi
• Hukuk İşlerinin Takibi Ve Yürütülmesi
• İç Denetim/ Soruşturma / İstihbarat Faaliyetlerinin Yürütülmesi
• İletişim Faaliyetlerinin Yürütülmesi
• İnsan Kaynakları Süreçlerinin Planlanması
• İş Faaliyetlerinin Yürütülmesi / Denetimi
• İş Sağlığı / Güvenliği Faaliyetlerinin Yürütülmesi
• İş Süreçlerinin İyileştirilmesine Yönelik Önerilerin Alınması Ve Değerlendirilmesi
• İş Sürekliliğinin Sağlanması Faaliyetlerinin Yürütülmesi
• Kalite Standartlarının Sağlanması
• Lojistik Faaliyetlerinin Yürütülmesi
• Mal / Hizmet Satın Alım Süreçlerinin Yürütülmesi
• Mal / Hizmet Satış Sonrası Destek Hizmetlerinin Yürütülmesi
• Mal / Hizmet Satış Süreçlerinin Yürütülmesi
• Mal / Hizmet Üretim Ve Operasyon Süreçlerinin Yürütülmesi
• Müşteri İlişkileri Yönetimi Süreçlerinin Yürütülmesi
• Müşteri Memnuniyetine Yönelik Aktivitelerin Yürütülmesi
• Organizasyon Ve Etkinlik Yönetimi
• Pazarlama Analiz Çalışmalarının Yürütülmesi
• Performans Değerlendirme Süreçlerinin Yürütülmesi
• Reklam / Kampanya / Promosyon Süreçlerinin Yürütülmesi
• Risk Yönetimi Süreçlerinin Yürütülmesi
• Saklama ve Arşiv Faaliyetlerinin Yürütülmesi
• Sosyal Sorumluluk ve Sivil Toplum Aktivitelerinin Yürütülmesi
• Sözleşme Süreçlerinin Yürütülmesi
• Sponsorluk Faaliyetlerinin Yürütülmesi
• Stratejik Planlama Faaliyetlerinin Yürütülmesi
• Talep / Şikâyetlerin Takibi
• Taşınır Mal Ve Kaynakların Güvenliğinin Temini
• Tedarik Zinciri Yönetimi Süreçlerinin Yürütülmesi
• Ücret Politikasının Yürütülmesi
• Ürün Faturalarının Düzenlenmesi
8
• Ürün Politikasının Yürütülmesi
• Ürün Satış Politikalarının Yürütülmesi
• Ürün / Hizmetlerin Pazarlama Süreçlerinin Yürütülmesi
• Veri Sorumlusu Operasyonlarının Güvenliğinin Temini
• Yabancı Personel Çalışma Ve Oturma İzni İşlemleri
• Yatırım Süreçlerinin Yürütülmesi
• Yetenek / Kariyer Gelişimi Faaliyetlerinin Yürütülmesi
• Yetkili Kişi, Kurum Ve Kuruluşlara Bilgi Verilmesi
• Yönetim Faaliyetlerinin Yürütülmesi
• Ziyaretçi Kayıtlarının Oluşturulması Ve Takibi
• Medikaya Hastanesi Binasına Giriş ve Çıkışların Kontrol Altında Tutulması ve İzinsiz Giriş Çıkışların Engellenmesi
• Yönetim Kurulu Üyelerinin Türk Ticaret Kanunu Mevzuatından Kaynaklanan Yükümlülüklerin
Yerine Getirilmesi
• Kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin
yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi,
• Ülke genelinde sunulan sağlık hizmetlerinin bir parçası haline gelen hastanemizin işleyişinin
planlanması ve yönetimi,
• Randevu almanız halinde randevu hakkında sizi haberdar edebilme,
• İlgili mevzuat uyarınca Sağlık Bakanlığı ve ilgili kamu kurum ve kuruluşları ile talep edilen bilgileri
paylaşma,
• Sağlık hizmetlerinin yürütülmesi, geliştirilmesi ve bu hizmetlerin iyileştirilmesi amacıyla
kullandığınız sağlık hizmetlerini analiz etme ve sağlık verilerini saklama,
• Çalışanlarımızı eğitme ve geliştirme, suistimal ve yetkisiz işlemlerin izlenmesi ve engellenmesi,
• Sağlık hizmetlerinin finansmanı kapsamında özel sigorta şirketler ile talep edilen bilgileri
paylaşma,
• Hasta memnuniyetinin ölçülmesi ve sağlık hizmetlerimiz dahilinde her türlü soru ve şikayetinize
cevap verebilme.
C. KİŞİSEL VERİLERİN SAKLANMA SÜRELERİ
Kişisel veriler mevzuatta öngörülen saklama süreleri saklı kalmak kaydıyla, kişisel verilerin işleme
amacının gerektirdiği süre boyunca saklanmaktadır. Resmi internet sitesinde yayınlanan Medikaya Hastanesi Saklama ve İmha Politikası içeriğinde saklama ve imha sürelerinin detaylarına
yer verilmiştir.
Kişisel veriler birden fazla amaç ile işlenmesi hallerinde, verinin işleme amaçlarının ortadan
kalkması veya İlgili Kişinin talebi üzerine verilerin silinmesine mevzuatta bir engel olmaması
durumunda veriler silinir, yok edilir veya anonimleştirilerek saklanır. Yok etme, silme veya
anonimleştirme hususlarında mevzuat hükümlerine ve KVK Kurulu kararlarına uyulur.
1. Kişisel verilerin saklanmasına ilişkin alınan tedbirler
a. Teknik tedbirler
Kişisel Verilerin Korunmasına İlişkin alınmış bulunan teknik tedbirler aşağıda belirtilmiştir.
• Ağ güvenliği ve uygulama güvenliği sağlanmaktadır.
9
• Medikaya Hastanesi, işbu Politikada yer alan tercih edeceği her bir imha yöntemine uygun
teknik araç ve ekipman bulundurur.
• Sızma (Penetrasyon) testleri ile Özel Isparta Hastanesi tarafından bilişim sistemlerine yönelik
risk, tehdit, zafiyet ve varsa açıklıklar ortaya çıkarılarak gerekli önlemler alınmaktadır.
• Kişisel verilerin hukuka aykırı işlenmesini önlemeye yönelik riskler belirlenmekte, bu risklere
uygun teknik tedbirlerin alınması sağlanmakta ve alınan tedbirlere yönelik teknik kontroller
yapılmaktadır.
• Kişisel verilerin bulunduğu saklama alanlarına erişimler kayıt altına alınarak uygunsuz
erişimler veya erişim denemeleri kontrol altında tutulmaktadır.
• Medikaya Hastanesi, silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar
kullanılamaz olması için gerekli tedbirleri almaktadır.
• Kişisel verilerin güvenli olarak saklanmasını sağlayan veri yedekleme programları
kullanılmaktadır.
• Özel nitelikli kişisel veri işleme süreçlerinde yer alan çalışanlara yönelik özel nitelikli kişisel
veri güvenliği konusunda eğitimler verilmekte, gizlilik sözleşmeleri yapılmakta, verilere erişim
yetkisine sahip kullanıcıların yetkileri tanımlanmaktadır.
• Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği fiziksel ve elektronik
ortamların özel ve yeterli güvenlik önlemleri alınmakta, fiziksel ve elektronik ortam güvenliği
sağlanarak yetkisiz giriş çıkışlar engellenmektedir.
• Çalışanlar için veri güvenliği konusunda belli aralıklarla eğitim ve farkındalık çalışmaları
yapılmaktadır.
• Çalışanlar için yetki matrisi oluşturulmuştur.
• Özel Nitelikli Kişisel Verilere Erişim logları düzenli olarak tutulmaktadır.
• Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır.
• Güncel anti-virüs sistemleri kullanılmaktadır.
• Güvenlik duvarları kullanılmaktadır.
• Kişisel veri içeren fiziksel ortamların dış risklere (yangın, sel vb.) karşı güvenliği
sağlanmaktadır.
• Kişisel veriler mümkün olduğunca azaltılmaktadır.
• Kullanıcı hesap yönetimi ve yetki kontrol sistemi uygulanmakta olup bunların takibi de
yapılmaktadır.
• Şifreleme yapılmaktadır.
b. İdari tedbirler
Kişisel Verilerin Korunmasına İlişkin alınmış bulunan idari tedbirler aşağıda belirtilmiştir.
• İmha işlemini yapacak çalışanlarının bilgi güvenliği, kişisel veriler ve özel hayatın gizliliği
konularında farkındalıklarının artırılması ve bilinçlendirilmesi için çalışmalar yapılmaktadır.
• Bilgi güvenliği, özel hayatın gizliliği, kişisel verilerin korunması ve güvenli imha teknikleri alanındaki
gelişmeleri takip etmek ve gerekli önlemleri almak üzere hukuki ve teknik danışmanlık hizmeti
alınmaktadır.
• Teknik ya da hukuki gereklilikler nedeniyle imha işlemini üçüncü kişilere yaptırdığı durumlarda ilgili
üçüncü kişilerle kişisel verilerin korunması amacıyla gizlilik sözleşmesi imzalanır, ilgili üçüncü
kişilerin işbu gizlilik sözleşmesindeki yükümlülüklerine uyması için gerekli tüm özeni
gösterilmektedir.
• İmha işlemlerinin hukuka ve işbu Kişisel Veri Saklama ve İmha Politikasında belirtilen şart ve
yükümlülüklere uygun olarak yapılıp yapılmadığını periyodik olarak denetlemekte, gereken
önlemleri alınmaktadır.
10
• Kişisel veri işleme envanteri hazırlanmıştır.
• Kurum içi periyodik ve rastgele denetimler yapılmaktadır.
• Gizlilik sözleşmeleri hazırlanmaktadır. Gizlilik sözleşmeleri kapsamında kişisel verilerin
korunmasına ilişkin ayrıca hükümler düzenlenmektedir.
• Özel Isparta Hastanesi bünyesinde çalışan Doktor, Hemşire, Yardımcı Sağlık Personeli, Mavi
Yaka/Beyaz Yaka personellerine KVKK Farkındalık Eğitimleri verilmektedir.
• Veri Sorumlusu sıfatına haiz Özel Isparta Hastanesi ile Veri İşleyen arasındaki Gizlilik Sözleşmeleri
hazırlanmaktadır.
• İrtibat Kişisi olarak atanan kişi, Aydınlatma Metinlerinde ilan edilmektedir.
• Hasta / Hasta Yakını, Çalışan / Ziyaretçi / Hizmet Alan Kişilere ilişkin Aydınlatma Metinleri
hazırlanmaktadır.
• Özel Medikaya Hastanesi bünyesinde çalışan personellerin İş ve Hizmet Sözleşmeleri KVKK ile
uyumlu hale getirilmektedir.
• Kamera Sistemleri bulunan tüm yerlere Kamera Sistemleri Aydınlatma Metinleri tablo şeklinde
asılmaktadır.
• Özel Medikaya Hastanesi bünyesinde çalışan personellere ilişkin kişisel verilerin saklandığı odalar
bakımından erişim sınırlaması uygulanmaktadır.
• Kişisel veri içeren fiziksel ortamların dış risklere (yangın, sel vb.) karşı güvenliği sağlanmaktadır.
• Departman bazlı kişisel verileri korumaya yönelik bilgilendirme metinleri ilan edilmektedir.
• Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır.
• İmzalanan sözleşmeler veri güvenliği hükümleri içermektedir.
• Kişisel veri güvenliğinin takibi yapılmaktadır.
V. KİŞİSEL VERİLERİN GÜVENLİĞİ
A. Kişisel verilerin güvenliğine ilişkin yükümlülükler
Kişisel verilerin;
• Hukuka aykırı işlenmesinin önlenmesi,
• Hukuka aykırı erişiminin önlenmesi,
• Hukuka uygun olarak saklanmasının sağlanması için Özel Isparta Hastanesi tarafından
teknolojik olanaklar ve uygulama maliyetlerine göre idari ve teknik tedbirler alınmaktadır.
B. Kişisel verilerin hukuka aykırı işlenmesini önlemek için aldığımız tedbirler
• Özel Medikaya Hastanesi içerisinde rastgele ve/veya periyodik denetimler yapılmakta ve
yaptırılmakta,
• Doktor, Hemşire, Yardımcı Sağlık Personeli ve Çalışanlara (mavi yaka ve beyaz yaka olmak
üzere) kişisel verilerin korunmasına ilişkin periyodik olarak farkındalık eğitimleri verilmekte,
• Medikaya Hastanesi’nin yürüttüğü faaliyetler, detaylı olarak tüm departmanlara özgü olarak
değerlendirilmekte, söz konusu değerlendirme sonucunda ilgili birimlerin gerçekleştirdiği
faaliyetler özelinde kişisel veriler işlenmekte,
• Kişisel verilerin işlenmesi amacıyla üçüncü kişilerle iş birliği yapıldığı hallerde kişisel verileri
işleyen şirketler ile yapılan sözleşmelerde; kişisel verileri işleyen kişilerin, gerekli idari ve
teknik tedbirleri almasına ilişkin hükümlere yer verilmekte,
• Kişisel verilerin hukuka aykırı olarak ifşa edilmesi veya veri sızıntısı olması halinde KVK
Kurulu’na durumu bildirerek bu hususta mevzuat tarafından öngörülen incelemeler yapılmakta
ve tedbirler alınmaktadır.
11
1. Kişisel verilere hukuka aykırı erişimi engellemek için alınan teknik ve idari tedbirler
Kişisel verilere hukuka aykırı erişimi engellemek için;
• Teknik uzmanlığı olan çalışanlar istihdam edilmekte,
• Teknik tedbirler periyodik olarak güncellenmekte ve yenilenmekte,
• Medikaya Hastanesi içerisinde erişim yetkilendirme prosedürleri oluşturulmakta,
• Alınan teknik tedbirlerin ve denetim süreçlerinin raporlanmasına ilişkin prosedürler
belirlenmekte,
• Medikaya Hastanesi içerisinde kullanılmakta olan veri kayıt sistemleri mevzuata uygun
şekilde oluşturulmakta ve periyodik olarak denetimleri yapılmakta,
• Oluşabilecek risklere karşı acil eylem planları oluşturulup bunların uygulanmasına ilişkin
sistemler geliştirilmekte,
• Çalışanlar kişisel verilere erişim ve yetkilendirme hususlarında eğitim almakta ve
bilgilendirilmekte,
• Kişisel verilerin işlenmesi ve saklanması gibi faaliyetler amacıyla üçüncü kişilerle iş birliği
yapıldığı hallerde kişisel verilere erişim sağlayan şirketler ve hizmet alımlarında yapılan gizlilik
sözleşmelerinde; kişisel verilere erişim sağlayan kişilerin, gerekli idari ve teknik tedbirleri
almasına ilişkin hükümlere yer verilmekte,
• Kişisel verilere hukuka aykırı erişimi engellemeyi sağlamak amacıyla teknolojik
gelişmeler dahilinde güvenlik sistemleri kurulmaktadır.
2. Kişisel verilerin hukuka aykırı ifşası durumunda aldığımız tedbirler
Kişisel verilerin hukuka aykırı ifşasının engellenmesine yönelik, idari ve teknik tedbirler alınmakta ve
ilgili prosedürlere uygun şekilde bu tedbirler güncellenmektedir. Kişisel verilerin yetkisiz olarak ifşa
edildiğinin tespit edilmesi halinde, bu durumun İlgili Kişiye ve KVK Kurulu’na bildirilmesi için sistem
ve alt yapılar oluşturulmaktadır.
Alınan tüm idari ve teknik tedbirlere rağmen hukuka aykırı bir ifşa gerçekleşmesi durumunda KVK
Kurulu tarafından gerek görülmesi halinde, bu durum, KVK Kurulu’nun internet sitesinde veya
başka bir yöntemle ilan edilebilecek yahut ilgilisine doğrudan bildirilebilecektir.
VI. MEDİKAYA HASTANESİ TARAFINDAN VERİLERİ İŞLENEN KİŞİ GRUPLARI
Medikaya Hastanesi tarafından işlenen kişisel veriler aşağıdaki kişi gruplarına aittir;
• Çalışan
• Çalışan Adayı
• Hissedar/Ortak
• Hizmet Alınan Özel Hukuk Kişileri
• Müşteriler ve Yetkilileri
• Potansiyel Ürün veya Hizmet Alıcısı
• Tedarikçi
• Tedarikçi Çalışanı
• Tedarikçi Yetkilisi
• Ürün veya Hizmet Alan Kişi
• Stajyer
• Yönetim Kurulu Üyeleri
• Ziyaretçi
• Hastalar
• Hasta Yakınları
12
VII. KİŞİSEL VERİLERİN VE ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİ
A. KİŞİSEL VERİLERİN İŞLENMESİ
6698 Sayılı Kişisel Verileri Koruma Kanunu’nun Kişisel Verilerin işlenmesi hakkındaki
düzenlemesine göre, “İlgili Kişinin Açık Rızası Bulunmadıkça Kişisel Verisi İşlenemez”. Ancak,
aşağıdaki şartlardan birinin varlığı halinde kişisel veriler sahibinin rızası olmaksızın işlenebilir.
• Kanunlarda açıkça öngörülmesi
• Fiili imkansızlık sebebiyle ilgilinin açık rızasının alınamaması
• Sözleşmenin kurulması veya ifasıyla doğrudan ilgili olması
• Şirketin hukuki yükümlülüğünü yerine getirmesi
• İlgili Kişinin kişisel verisini alenileştirmesi
• Bir hakkın tesisi veya korunması için veri işlemenin zorunlu olması
• İlgili Kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla Şirketimizin meşru menfaati
için veri işlemenin zorunlu olması
• Özel nitelikli kişisel verilerin İlgili Kişi’ nin açık rızası olmadan işlenebileceği istisnai durumlar işbu
Politika’ nın XI. B maddesinde belirtilmiştir.
B. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİ
Özel nitelikli kişisel verilerin (ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer
inançları, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza
mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri) ilgilinin açık rızası
olmaksızın işlenmesi kanunen yasaktır. Sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda
öngörülen hallerde ilgili kişinin açık rızası aranmaksızın işlenebilecektir. Sağlık ve cinsel hayata
ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve
bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi
amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurul ve kuruluşlar tarafından
ilgilinin açık rızası aranmaksızın işlenebilecektir.
VIII. MEDİKAYA HASTANESİ TARAFINDAN KİŞİSEL VERİLERİN AKTARILDIĞI ÜÇÜNCÜ
KİŞİLER VE AKTARILMA AMAÇLARI
Kişisel veriler; 1219 sayılı Tababet ve Şuabatı San’ atlarının İcrasına Dair Kanun, 2219 sayılı Hususi
Hastaneler Kanunu, 3359 sayılı Sağlık Hizmetleri Temel Kanunu, 663 sayılı Sağlık Bakanlığı ve
Bağlı Kuruluşlarının Teşkilat ve Görevleri Hakkında Kanun Hükmünde Kararname, 6698 Sayılı
Kişisel Verilerin Korunması Kanunu, Özel Hastaneler Yönetmeliği, Hasta Hakları Yönetmeliği,
Kişisel Sağlık Verileri Hakkında Yönetmelik, Sağlık Bakanlığı düzenlemeleri ve sair ilgili mevzuat
hükümleri uyarınca, işleme amaçlarının gerçekleştirilmesi doğrultusunda, tedarikçilerimize,
kanunen yetkili kamu kurumlarına ve kanunen yetkili özel kişilere, Kanun’un 5. ve 6. maddelerinde
yer alan veri işleme şartları kapsamında, Kanun’un 5. ve 6. maddelerinde yer alan veri işleme
şartları dayanağı ile Kanun’un 8. ve 9. maddelerinde belirtilen kişisel verilerin aktarılmasına ilişkin
kurallara uygun olarak aktarılabilecektir. Açık rızanın varlığı halinde sunulan sağlık hizmetlerine
ilişkin provizyon ve faturalandırma süreçlerinin yürütülmesi amacıyla özel sağlık sigortasından ilgili
kişinin faydalanmasının sağlanması ve tedavi masraflarına ilişkin ödeme onay talebi amacı ile sınırlı
olarak anlaşmalı özel sigorta şirketine veya özel sigorta şirketi tarafından yetkilendirilmiş aracı
13
kuruma kişisel veriler aktarılabilecektir. Açık rızanızın varlığı halinde ilgili sağlık verileri ve diğer
kişisel verilerin, ilgili kişinin ismen belirtmiş olduğu yakınlarına veya üçüncü kişilere ilgili kişi talebi
uyarınca ve bununla sınırlı olarak aktarılabilecektir. Buna göre aşağıda yazılı olanlarla sınırlı
olmamak üzere kişisel veriler;
• Sağlık Bakanlığı, bakanlığa bağlı alt birimler ve aile hekimliği merkezleri,
• Sosyal Güvenlik Kurumu,
• Özel sigorta şirketleri,
• Adli makamlar (Cumhuriyet Başsavcılıkları, Mahkemeler ve tüm yargı birimleri),
• Hukuken yetkili kamu kurum ve kuruluşlarına,
• Emniyet Genel Müdürlüğü ve diğer kolluk kuvvetleri,
• Nüfus Genel Müdürlüğü,
• Türkiye Eczacılar Birliği,
• Hastanın sevk edildiği veya hastanın kendisinin başvurduğu sağlık kuruluşu,
• Tıbbi teşhis, tedavi, tedavi sonrasında sunulan her türlü sağlık hizmetinin yüksek kalitede
ve etkin sunulabilmesi adına işbirliği içerisinde olduğumuz yurt içinde veya yurt dışında
bulunan laboratuvarlar, tıp merkezleri, ambulans, tıbbi cihaz ve sağlık hizmeti sunan
kurumlar,
• Yetki vermiş olduğunuz kanuni temsilcileriniz,
• Ortak çalışma gerçekleştirdiğimiz avukatlar,
• Denetçiler de dâhil olmak üzere danışmanlık aldığımız üçüncü kişiler,
• Düzenleyici ve denetleyici kurumlar ve resmi merciler dâhil sağlık hizmetlerini yukarıda
belirtilen amaçlarla geliştirmek ve yürütmek üzere iş birliği yaptığımız iş ortaklarımız ve
üçüncü kişiler ile paylaşılabilecektir.
Kişisel Verilerin Aktarılma Amaçları Aşağıdaki Şekildedir:
• Sağlık hizmeti sunumu ve tedavi sürecine ilişkin tüm faaliyetlerin yürütülmesi,
• Yönetim faaliyetlerinin yürütülmesi,
• Sözleşme kapsamında ve hizmet standartları çerçevesinde hasta ve müşterilere destek
hizmeti sağlanması,
• Hastaların tercih ve ihtiyaçlarının tespit edilmesi ve verilen hizmetin bu kapsamda
şekillendirilmesi, güncellenmesi,
• Yasal düzenlemelerin gerektirdiği veya zorunlu kıldığı şekilde, hukuki yükümlülüklerin
yerine getirilmesi,
• Pazar araştırmaları ve istatistiksel çalışmaların yapılabilmesi,
• Anket, yarışma, promosyon ve sponsorlukların organize edilmesi,
• İş başvurularının değerlendirilmesi,
• Şirket ile iş ilişkisinde bulanan kişiler ile irtibat sağlanması,
• Pazarlama süreçlerinin yönetimi,
• Satıcı / tedarikçi ilişkilerinin yönetimi,
• Yasal raporlama ve faturalandırma işlemlerinin tamamlanması.
A. Kişisel Verilerin Aktarılması
1. Kişisel Verilerin Yurt İçine Aktarım Şartları
Özel Isparta Hastanesi tarafından kişisel verilerin aktarılması konusunda KVKK’ da öngörülen ve
KVK Kurulu tarafından alınan karar ve düzenlemelere uygun bir şekilde hareket edilmektedir.
14
Mevzuatta yer alan istisnai haller saklı kalmak kaydıyla, kişisel veriler ve özel nitelikli kişisel
veriler İlgili Kişinin açık rızası olmadan başka gerçek kişilere veya tüzel kişilere Özel Isparta
Hastanesi tarafından aktarılmaz.
KVKK ve sair mevzuatın öngördüğü istisnai hallerde İlgili Kişinin açık rızasına gerek kalmaksızın
kişisel veriler mevzuatta öngörülen şekilde ve sınırlarla bağlı olarak yetkili kılınan idari/adli kurum
veya kuruluşlar ile özel hukuk kişilerine aktarılabilir.
2. Kişisel Verilerin Yurt Dışına Aktarım Şartları
Kişisel verileri kural olarak İlgili Kişinin açık rızası olmadan yurt dışına aktarılmaz. Kişisel verilerin
ilgili kişinin açık rızası ile yurt dışına aktarımı hukuka uygunluk sebeplerinden biridir.
Ancak, işbu Politika’ nın XI. B. 2. maddesinde yer alan istisnai hallerden birinin var olduğu
durumlarda yurt dışında bulunan üçüncü kişilerin:
• KVK Kurulu’nun ilan ettiği yeterli korumanın olduğu ülkelerde bulunması,
• Yeterli korumanın olmadığı ülkelerde yer alması halinde Türkiye’de ve söz konusu yabancı
ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve KVK Kurulu’nun
izninin bulunması hallerinde açık rıza olmadan, kişisel veriler yurt dışına aktarılabilir.
B. Özel Nitelikli Kişisel Verilerin Aktarılması
1. Özel Nitelikli Kişisel Verilerin Yurt İçine Aktarım Şartları
Özel Medikaya Hastanesi, hukuka uygun olarak elde etmiş olduğu Özel nitelikli kişisel verileri, veri
işleme amaçları doğrultusunda, gerekli idari ve teknik tedbirleri alarak, İlgili Kişinin Özel Nitelikli
Kişisel Verilerini üçüncü kişilere aktarabilmektedir. Özel Medikaya Hastanesi, bu doğrultuda Özel
Nitelikli Kişisel Verileri, yukarıdaki bölümde belirtilen işleme şartlarından ve aşağıda yer alan
şartlardan birinin varlığı halinde üçüncü kişilere aktarabilecektir.
Ayrıca, mevzuatın öngördüğü istisnai haller ile ;
KVK Kurulu’nun ve ilgili mevzuatın öngördüğü tedbirlerin alınması ile birlikte İlgili Kişinin sağlığı ve
cinsel hayatına ilişkin özel nitelikli kişisel veriler ise ancak kamu sağlığının korunması, koruyucu
hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının
planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili
kurum ve kuruluşlara, açık rızaya gerek kalmaksızın aktarılabilir.
2. Özel Nitelikli Kişisel Verilerin Yurt Dışına Aktarım Şartları
Özel Medikaya Hastanesi, gerekli özeni göstererek, gerekli idari ve teknik tedbirleri ve Kurul tarafından
gerekli görülen önlemleri alarak, meşru ve hukuka uygun kişisel veri işleme amaçları
doğrultusunda, İlgili Kişinin Özel Nitelikli Kişisel Verilerini aşağıdaki durumlarda yeterli korumaya
sahip veya yeterli korumayı taahhüt eden veri sorumlusunun bulunduğu yabancı ülkeye
aktarabilecektir.
• İlgili Kişinin açık rızası bulunuyorsa gösterilen rızaya istinaden,
• İlgili Kişinin açık rızası bulunmuyorsa;
• İlgili Kişinin sağlığı ve cinsel hayatı dışındaki özel nitelikli kişisel verileri (ırk, etnik köken, siyasi
düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık kıyafet, dernek, vakıf ya da sendika
üyeliği, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik
verilerdir), kanunlarda öngörülen hallerde,
• İlgili Kişinin sağlığına ve cinsel hayatına ilişkin özel nitelikli kişisel verileri ise ancak kamu
sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi,
sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü
15
altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenmesi kapsamında, Özel
Nitelikli Kişisel Veriler, yurtdışına aktarılabilecektir.
IX. İŞYERİ VE İNTERNET SİTESİ ZİYARETÇİLERİNE İLİŞKİN VERİ İŞLEME FAALİYETLERİ
A. İŞYERİNDE YÜRÜTÜLEN KAMERA İLE İZLEME FAALİYETLERİ
1. Kişisel verilerin korunması hukukuna uygun şekilde işyerinin, hastanenin, hastaların, hasta
yakınlarının, çalışanların, ziyaretçilerin ve diğer müşterilerin güvenliğinin sağlanabilmesi amacıyla
ve bu amaçla sınırlı olarak güvenlik kamerası ile izleme faaliyeti yürütülmesi,
2. Kamera ile izleme faaliyetinin duyurulması,
3. Elde edilen verilerin güvenliğinin sağlanması,
4. Kamera ile izleme faaliyeti ile elde edilen kişisel verilerin muhafaza süresi,
5. İzleme sonucunda elde edilen bilgilere kimlerin erişebildiği ve bu bilgilerin kimlere aktarıldığı,
şeklindeki bilgiler KVK Kurulu’nun resmi internet sitesinde ilan etmiş olduğu şekilde “katmanlı”
olarak aydınlatma metinlerine eklenmiştir. Kamera sistemlerinin bulunduğu tüm yerlere tablolar
halinde Katmanlı Kamera Aydınlatma Metinleri asılmıştır.
B. İŞYERİ/HASTANE HASTA, HASTA YAKINI, MİSAFİR GİRİŞ ÇIKIŞ KAYITLARININ TAKİBİ
Medikaya Hastanesi tarafından güvenliğin sağlanması amacı ve işbu Politikada belirtilen diğer
amaçlarla, işyeri hasta, hasta yakını, misafir giriş çıkış kayıtlarının takibine yönelik kişisel veri işleme
faaliyetinde bulunulmaktadır. Hasta, hasta yakını, misafir olarak Şirket ve Hastane binalarına gelen
kişilerin kimlik verileri elde edilirken ya da Özel Isparta Hastanesi nezdinde asılan ya da diğer
şekillerde hasta, hasta yakını, misafirlerin erişimine sunulan metinler aracılığıyla söz konusu ilgili
kişi bu kapsamda aydınlatılmaktadır. Hasta, hasta yakını, misafir giriş-çıkış takibi yapılması
amacıyla elde edilen veriler yalnızca bu amaçla işlenmekte ve ilgili kişisel veriler fiziki ortamda veri
kayıt sistemine kaydedilmektedir.
C. İŞYERİ / HASTANEDE HASTA, HASTA YAKINI, ZİYARETÇİLERE, MİSAFİRLERE İNTERNET
ERİŞİMİ
Medikaya Hastanesi tarafından veri güvenliğinin sağlanması amacı ve bu Politikada belirtilen
diğer amaçlarla, hastane ve bağlı çalışma alanlarında kalınan süre boyunca talep eden hasta, hasta
yakını ziyaretçi ve misafirlere internet erişimi şu an için sağlanmamaktadır. İleride bu tür bir hizmetin
verilmesi durumunda internet erişimlerine ilişkin log kayıtları 5651 Sayılı Kanun ve bu Kanuna göre
düzenlenmiş olan mevzuatın amir hükümlerine göre tutulacak, bu kayıtlar ancak yetkili kamu kurum
ve kuruluşları tarafından talep edilmesi halinde veya Özel Isparta Hastanesi içinde
gerçekleştirilecek denetim süreçlerinde ilgili hukuki yükümlülüğü yerine getirmek amacıyla
işlenebilecektir.
D. İNTERNET SİTESİ ZİYARETÇİLERİ
Çerez kayıtları, Özel Medikaya Hastanesi resmi internet sitesinin işleyiş biçimini ve kullanımını
geliştirmeye yönelik olarak kullanılmaktadır. Özel Medikaya Hastanesi internet sitesinde geçirilen
vaktin daha verimli ve çözüm odaklı hale getirilmesi amaçlanmaktadır. Bunların yanında, internet
sitesinde yapılan tercihlerin hatırlanmasına yönelik bazı çerezlerden yararlanılmakta ve bu sayede
kullanıcılara geliştirilmiş ve kişiselleştirilmiş bir deneyim sağlanmaktadır. İnternet sitesinde yer alan
çerezler üzerinden kişisel veriler toplanmakta, toplanan veriler işlenmekte, aktarılmakta ve
16
saklanabilmektedir. İnternet sitesinde kullanılan çerezlere ilişkin detaylı bilgi için resmi internet
sitesinde yer alan “Özel Isparta Hastanesi Çerez Aydınlatma Metnini” inceleyebilirsiniz.
X. KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VE ANONİMLEŞTİRİLMESİ ŞARTLARI
Türk Ceza Kanunu’nun 138. maddesi, KVK Kanunu’nun 7. maddesi ve “Kişisel Verilerin Silinmesi,
Yok Edilmesi ve Anonimleştirilmesi Hakkında Yönetmelik” uyarınca, ilgili kanun hükümlerine uygun
olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde Özel
Medikaya Hastanesi’nin kendi kararına istinaden veya ilgili kişinin talebi üzerine kişisel veriler silinir,
yok edilir veya anonim hâle getirilir. Özel Isparta Hastanesi bu konuda yönetmelik hükümlerine göre
bir politika oluşturmuş olup, bu politika uyarınca verinin niteliğine göre imha işlemi yapılmaktadır.
Bu yönetmelik uyarınca Özel Isparta Hastanesi tarafından periyodik imha tarihleri belirlenmiş olup,
yükümlülüğün başlaması ile beraber çeşitli aralıklarla periyodik imhanın yapılacağına göre takvim
oluşturulmuştur.
A. KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VE ANONİMLEŞTİRİLMESİ YÜKÜMLÜLÜĞÜ
KVKK’nın 5 inci ve 6 ncı maddelerinde yer alan kişisel verilerin işlenme şartlarının tamamının
ortadan kalkması halinde, kişisel verilerin veri sorumlusu tarafından resen veya ilgili kişinin talebi
üzerine silinmesi, yok edilmesi veya anonim hâle getirilmesi gerekir. Kişisel verilerin silinmesi, yok
edilmesi veya anonim hale getirilmesinde Kanunun 4 üncü maddesindeki genel ilkeler ile 12 nci
maddesi kapsamında alınması gereken teknik ve idari tedbirlere, ilgili mevzuat hükümlerine, Kurul
kararlarına ve kişisel veri saklama ve imha politikasına uygun hareket edilmesi zorunludur. Veri
sorumlusu, kişisel verilerin silinmesi, yok edilmesi, anonim hale getirilmesi işlemiyle ilgili uyguladığı
yöntemleri ilgili politika ve prosedürlerinde açıklamakla yükümlüdür. Yukarıda belirtilen Kişisel
Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik’in 7. maddesi
uyarınca Özel Isparta Hastanesi tarafından ayrıca Özel Isparta Hastanesi Saklama ve İmha
Politikası oluşturulmuştur.
B. KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VE ANONİMLEŞTİRİLMESİ TEKNİKLERİ
1. Kişisel Verilerin Silinmesi ve Yok Edilmesi Teknikleri
a. Fiziksel Olarak Yok Etme (Physical Destruction)
b. Yazılımdan Güvenli Olarak Silme (Secure Deletion Software)
c. Uzman Tarafından Güvenli Olarak Silme (Sending to a Specialist for Secure Deletion)
2. Kişisel Verilerin Anonimleştirilmesi Teknikleri
a. Maskeleme (Masking)
b. Toplulaştırma (Aggregation)
c. Veri Türetme (Data Derivation)
d. Veri Karma (Data Shuffing, Permutation)
XI. İLGİLİ KİŞİNİN HAKLARI; BU HAKLARIN KULLANILMASI VE DEĞERLENDİRİLMESİ
A. İLGİLİ KİŞİNİN HAKLARI VE BU HAKLARIN KULLANILMASI
17
1. İlgili Kişinin Hakları
Aydınlatma yükümlülüğü kapsamında, Medikaya Hastanesi tarafından İlgili Kişi bilgilendirilmekte
ve bu bilgilendirmeye ilişkin sistem ve altyapılar kurulmaktadır. İlgili Kişinin kişisel verilerine ilişkin
haklarını kullanması için gerekli olan teknik ve idari düzenlemeler Medikaya Hastanesi tarafından
yapılmaktadır.
İlgili Kişi kişisel verileri üzerinde;
• Kişisel veri işlenip işlenmediğini öğrenme,