ÖZEL EGE GÜNEŞ DİYALİZ MERKEZİ

Kişisel Verilerin İşlenmesi ve Korunması Politikası

  1. AMAÇ VE KAPSAM

Gaziler Caddesi 1149 Sokak No:18 - 18A 35180 - Yenişehir / İZMİR adresindeki Ege Güneş Diyaliz Merkezi (Aşağıda kısaca Diyaliz Merkezi/ İşveren olarak ifade edilecektir.) olarak, anayasal bir hak olarak düzenlenen 6698 Sayılı Kişisel Verilerin Korunması Kanunu’na ve  Avrupa Birliği Genel Veri Koruma Tüzüğü  (GDPR) hükümleri uygun olarak; faaliyetlerimizi yerine getirirken, herhangi bir şekilde temas ettiğimiz tüm gerçek kişilere ait kişisel verilerin korunmasına ve bu bağlamda KVKK’da yer alan gerekliliklerin yerine getirilmesine önem vermekteyiz.

İşbu Kişisel Verilerin Korunması Politikası; kişisel verilerin, Gaziler Caddesi 1149 Sokak No:18 - 18A 35180 - Yenişehir / İZMİR adresindeki Ege Güneş Diyaliz Merkezi (Aşağıda kısaca Diyaliz Merkezi/ İşveren olarak ifade edilecektir.)  tarafından toplanması, kullanılması, paylaşılması ve saklanması ile ilgili süreçleri hakkında sizleri bilgilendirmek amacıyla hazırlanmıştır. Kişisel verilerin işlenmesi ve korunması sürecinde; yürürlükte bulunan ilgili mevzuat hükümleri öncelikli olarak uygulanacaktır.

Bu çerçevede işbu Kişisel Verilerin Korunması ve İşlenmesi Politikası’nın (“Politika”) temel amacı; Diyaliz Merkezinin benimsemiş olduğu kişisel verilerin korunması mevzuatı kapsamındaki kuralları, önlemleri, görev ve sorumlulukları metodolojik bir yaklaşımla ortaya koymak ve bu kapsamda kişisel verilerin korunmasına yönelik uyguladığımız önlemlerde şeffaflığı sağlamaktır.

  1. TANIMLAR VE KISALTMALAR

Bu Politika’nın uygulanmasında kullanılan terimler aşağıda yer verilen anlamları ifade ederler.

Çalışanlar:  Diyaliz Merkezinin çalışanlarını ifade eder.

İrtibat Kişisi : Diyaliz Merkezi  bünyesindeki kişisel veri işleme faaliyetlerini, KVK Politika ve Prosedürlerinin uygulanmasını bireysel bazda takip etmekle sorumlu olan kişidir.

Kişisel Veri : Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade eder.

Örneğin; ad, soyad, adres, telefon numarası, doğum tarihi, doğum yeri, göz rengi, T.C. kimlik numarası.

Kişisel Veri Sahibi: Kişisel verisi işlenen gerçek kişidir. Örneğin; çalışan, ziyaretçi , müşteri, ilgilenen Kişi , hasta,

Kişisel Verilerin İşlenmesi: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla kişisel veriler üzerinde gerçekleştirilen her türlü işlemdir. Örneğin; elde etmek, kaydetmek, depolamak, değiştirmek, aktarmak.

KVK Kanunu: 6698 sayılı Kişisel Verilerin Korunması Kanunu’nu ifade eder.

GDPR: Avrupa Birliği Genel Veri Koruma Tüzüğü

 

3.KİŞİSEL VERİLERİN İŞLENMESİ İLKELERİ

Diyaliz Merkezi, Kişisel verileri, KVKK ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlemektedir.

 Kişisel verilerin işlenmesinde aşağıdaki ilkelere uyulur:

a) Hukuka ve dürüstlük kurallarına uygun olma:

Diyaliz Merkezi yasal mevzuat hükümlerine, hukuka ve dürüstlük kurallarına uygun olarak kişisel verileri işler. Kişisel veri sahiplerine bilgilendirmede bulunur.

b) Doğru ve gerektiğinde güncel olma:

Diyaliz Merkezi işlediği kişisel verilerin doğru ve güncel olması için gerekli tedbirleri almaktadır.

c) Belirli, açık ve meşru amaçlar için işlenme:

Diyaliz Merkezi, meşru ve hukuka uygun olan kişisel veri işleme amacını açık ve kesin olarak belirlemektedir. Diyaliz Merkezi,  kişisel verileri sunmakta olduğu hizmetle bağlantılı ve bunlar için gerekli olan kadar işlemektedir.

ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma:

Diyaliz Merkezi verdiği hizmet kapsamında belirlenen amaçların gerçekleştirilmesi için kişisel verileri işlemekte, amacın gerçekleştirilmesi için gerekli olmayan kişisel veriyi almak, işlemek ve saklamaktan kaçınır.

d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme:

Diyaliz Merkezi yasal mevzuat hükümlerine uygun olarak kişisel verileri saklamaktadır. Süre sonunda kişisel veriler silinmekte, anonim hale getirilmekte veya imha edilmektedir.

 

KİŞİSEL VERİLERİN İŞLENME ŞARTLARI:

Diyaliz Merkezi, kişisel verileri işlerken 6698 sayılı KVKK hükümleri doğrultusunda aşağıdaki şartlara uymaktadır:

       (1) Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez.

Kişisel veriler ancak veri sahibinin/ilgili kişinin açık rızası ile işlenir. Bu doğrultuda hastalar konuya ilişkin bilgilendirilir, özgür iradeye dayalı açık rızaları alınır.

        (2) Aşağıdaki şartlardan birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür:

a) Kanunlarda açıkça öngörülmesi.

b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.

c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.

ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.

d) İlgili kişinin kendisi tarafından alenileştirilmiş olması.

e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.

f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

 

ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENME ŞARTLARI

Diyaliz Merkezi, 6698 sayılı KVKK ile belirtilen özel nitelikli kişisel verileri işlenmesinde belirtilen düzenlemelere uymaktadır.

KVKK “MADDE 6-(1) Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veri” olarak tanımlanmıştır.

Diyaliz Merkezi, özel nitelikteki kişisel verileri; İlgilinin açık rızası ile işler,

Sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenir,

Sağlık ve cinsel hayata ilişkin kişisel veriler ise kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenmektedir.

KİŞİSEL VERİLERİN TOPLANMASI VE İŞLENMESİ YÖNTEMLERİ

Kişisel Verilerin Korunması Kanunu 4, 5 ve 6. maddeye uygun olarak ve Yönetmelik’in 5’inci, 7’inci, 9’uncu ve 10’uncu maddesi kapsamında düzenlenmesi ve aşağıda yer alan bilgileri içermesi zorunlu olan Kişisel Veri İşleme Envanterine dayalı olarak gerçek kişilere ait kişisel verileri işlemektedir.

  • Veri kategorisi
  • Kişisel veri işleme amaçları ve hukuki sebebi
  • Aktarılan alıcı/alıcı grupları
  • Veri konusu kişi grupları
  • Kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresi
  • Yabancı ülkelere aktarım
  • Veri güvenliğine ilişkin alınan idari ve teknik tedbirler

 

DİYALİZ MERKEZİ TARAFINDAN KİŞİSEL VERİLERİN AKTARILDIĞI ÜÇÜNCÜ KİŞİLER VE AKTARILMA  AMAÇLARI

Diyaliz Merkezi tarafından kişisel verilerin üçüncü taraflarla paylaşılması hususunda, diğer kanunlarda yer alan hükümler saklı kalmak kaydıyla, KVKK’da düzenlenen şartlara özenle uymaktadır. Bu çerçevede, kişisel veriler,Diyaliz Merkezi  tarafından veri sahibinin açık rızası olmadan üçüncü kişilere aktarılmamaktadır. Ancak, KVKK tarafından düzenlenen aşağıdaki şartlardan birinin varlığı halinde kişisel veriler Diyaliz Merkezi -tarafından, veri sahibinin açık rızası temin edilmeksizin de aktarılabilecektir:

  • Kanunlarda açıkça öngörülmesi,
  • Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
  • Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
  • Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
  • Veri sahibinin kendisi tarafından alenileştirilmiş olması,
  • Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
  • Veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması. Yeterli önlemler alınmak kaydıyla; sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler bakımından kanunlarda öngörülmesi, sağlık ve cinsel hayata ilişkin özel nitelikli kişisel veriler bakımından ise,
  • Kamu sağlığının korunması,
  • Koruyucu hekimlik,
  • Tıbbî teşhis,
  • Tedavi ve bakım hizmetlerinin yürütülmesi,
  • Sağlık hizmetleri ile finansmanının planlanması ve yönetimi gibi amaçlarla açık rıza temin edilmeksizin kişisel verileriniz aktarılabilecektir. Özel nitelikli kişisel verilerin aktarılmasında da, bu verilerin işlenme şartlarında belirtilen koşullara uyulmaktadır.                                           

    Ayrıca GDPR  madde 9/2/h, madde 6/1/b, madde 6/1/f uyarınca açık rıza beyanı aranmaksızın verilerinizin işlenebileceği durumlar aşağıda belirtilmiştir.

-Muayene, tıbbî teşhis, tedavi ve bakım hizmetlerini yürütebilmek amacıyla,Kanun gereği sır saklama yükümlülüğü altında bulunan Diyaliz Merkezi tarafından, Özel Nitelikli Kişisel Veri sayılan Sağlık Verileriniz, açık rızanız aranmaksızın işlenecektir.

  • Tıbbi teşhis ve tedavi süreçleri sonrasında kontrollerinizi gerçekleştirebilmek, sizinle birebir iletişime geçebilmek,
  • randevu süreçlerini yönetebilmek amacıyla, Diyaliz Merkezi tarafından, açık rızanız aranmaksızın, Kişisel Verileriniz işlenecektir.

-Hasta memnuniyeti ve talep yönetiminin gerçekleştirilebilmesi amacıyla,Diyaliz Merkezi  tarafından, açık rızanız aranmaksızın, Kişisel Verileriniz işlenecektir.

GDPR madde 6/1/c,  uyarınca hukuki yükümlülüklere istinaden, aşağıdaki durumlarda açık rızanız alınmaksızın Kişisel Verileriniz işlenecektir;

  • Hasta dosyası oluşturulması.
  • İlgili mevzuatı gereği saklanması gereken sağlık verilerinize ilişkin bilgilerin muhafaza edilmesi.
  • Ücret ödemelerinizin kontrolünü gerçekleştirerek fatura tanzim edilmesi.
  • Vergi ödemelerinin ifa edilmesi.
  • Sağlık Bakanlığı Mevzuatları gereği yükümlülüklerin ifa edilmesi.
  • Sağlık Turizmi Mevzuatı gereği yükümlülüklerin ifa edilmesi.
  • Veri güvenliğinizin sağlanması.
  • Yargı Makamları nezdinde hukuki yükümlülüklerin ifa edilmesi.

İdari Kurum ve Kuruluşlar nezdinde idari yükümlülüklerin ifa edilmesi.     

 

KİŞİSEL VERİLERİN İLGİLİ MEVZUAT KAPSAMINDA MUHAFAZASI

Diyaliz Merkezi kişisel verileri, KVKK ve ilgili diğer kanun hükümlerine uygun olarak şirketimizin  faaliyetlerinin yerine getirebilmesi amacıyla uygun süre zarfında fiziksel veya elektronik ortamda güvenli bir şekilde saklanmaktadır.  Öncelikle kişisel verilerin saklanması için süre olup olmadığını inceler bu süreye uygun davranır. Yasal süre bulunmaması halinde gerekli süre belirlenerek kişisel veriler bu süreye uygun olarak saklanır. Süre bittiğinde kişisel veriler silinir, yok edilir, anonim hale getirilir.

Ancak veri sorumlusunun meşru menfaatinin olduğu durumlarda, işlenme amacının ve ilgili kanunlarda belirtilen sürelerin de sona ermesine rağmen veri sahiplerinin temel hak ve özgürlüklerine zarar vermemek kaydıyla kişisel veriler, Borçlar Kanunu’nda düzenlenen genel zamanaşımı süresinin (on yıl) sona ermesine kadar saklanabilecektir.

 Bu kapsamda Diyaliz Merkezi bünyesindeki ilgili birimlere gerekli eğitimleri vermekte, farkındalığı sağlamaktadır.      

VERİ GÜVENLİĞİ İÇİN ALINAN TEDBİRLER

Diyaliz Merkezi kişisel verilerin korunması için gerekli olan uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almaktadır.

KVKK’nın 12(1). maddesinde öngörülen tedbirler şunlardır:

  • Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
  • Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
  • Kişisel verilerin muhafazasını sağlamak.

Diyaliz Merkezinin bu kapsamda aldığı önlemler aşağıda sayılmıştır:

İdari Tedbirler

  • Diyaliz Merkezi Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapar.
  • İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde,Diyaliz Merkezi, bu durumu en kısa sürede ilgilisine ve Kurula bildirir.
  • Kişisel verilerin paylaşılması ile ilgili olarak, kişisel verilerin paylaşıldığı kişiler ile çerçeve sözleşmeler, onam formları ve veri sahibi açık rıza formları yahut sözleşmelere ekleyeceği hükümler ile veri güvenliğini sağlar.
  • Kişisel verilerin işlenmesi hakkında bilgili ve deneyimli personel istihdam eder ve personeline gerekli KVK eğitimlerini verir.

Teknik Tedbirler

  • Diyaliz Merkezi, veri güvenliğini sağlamak amacıyla bilgili ve deneyimli kişiler istihdam eder ve personeline gerekli KVK eğitimlerini verir.
  • Kurulan sistemler kapsamında gerekli iç kontrolleri yapar.
  • Kişisel verilerin kurum dışına sızmasını engelleyecek ve/veya gözlemleyecek teknik altyapının temin edilmesini ve ilgili matrislerin oluşturulmasını sağlar.
  •  

KİŞİSEL VERİ SAHİPLERİNİN  KVKK11. MADDESİ GEREĞİNCE HAKLARI:

6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) 11. Maddesi çerçevesinde kişisel veri sahipleri Diyaliz Merkezi adresine başvurarak;

a-Kişisel veri işlenip işlenmediğini öğrenme,

b-Kişisel veri işlenmiş ise buna ilişkin bilgi talep etme,

c- Kişisel verileri işlenme amacını ve bunların amaca uygun kullanılıp kullanılmadığını öğrenme,

ç- Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,

d- Kişisel verilerin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini isteme,

e- KVKK ve diğer ilgili mevzuat hükümlerine uygun olarak kişisel verilerin silinmesini veya yok edilmesini isteme,

f- Kişisel verilerinizin düzeltilmesi, silinmesi ya da yok edilmesi halinde bu işlemlerin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,

g- İşlenen kişisel verilerinizin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle  aleyhinize bir sonucun ortaya çıkması halinde bu sonuca itiraz etme,

ğ- Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğramanız halinde zararın giderilmesini talep etme,haklarına sahiptir.

GDPR UYARINCA VERİ SAHİPLERİNİN HAKLARI

Veri Sahibi olarak Kişisel Verileriniz GDPR uyarınca da korunmaktadır. GDPR’ın yetki alanına girildiği hallerde (Avrupa Birliği vatandaşları veya Avrupa Birliği ülkelerinde ikamet edenler) Veri Sahiplerinin hakları şu şekildedir;

  • Erişim Hakkı (GDPR madde 15):Veri sahibi, kendisi ile ilgili kişisel verilerin işlenip işlenmediğini Kiniğe başvurarak teyit etme, kişisel verilerin işlenmesi halinde GDPR m.15’de yer alan detayları öğrenme hakkına sahiptir.
  • Düzeltme Hakkı (GDPR madde 16):Veri Sahibi,Diyaliz Merkezi uhdesinde bulunan ve tarafına ait değişen kişisel verilerini her zaman için başvurarak düzelttirme hakkına sahiptir.
  • Silme Hakkı (GDPR madde 17):Veri Sahibi, Diyaliz Merkezi uhdesinde tutulmakta olan kişisel verilerinin silinmesini talep etme hakkına sahiptir. GDPR madde 17’de belirtilen hususlar meydana geldiği takdirde Diyaliz Merkezi tarafından, kişisel verileriniz, gecikmeye mahal verilmeksizin silinecektir.
  • İşlemenin Kısıtlanması Hakkı (GDPR madde 18):
  • Veri Sahipleri, Kişisel Verilerinin güncelliği konusunda itiraz etmeleri halinde, Diyaliz Merkezi tarafından Kişisel Verilerin doğruluğu teyit edilene kadar, Veri Sahibi olarak verilerin kullanımının kısıtlanmasını talep etme hakkına sahiptirler.
  • Veri Sahibi, Kişisel Veri işlenme faaliyetinin yasa dışı olması nedeniyle Kişisel Verilerinin silinmesini talep ettiği durumlarda, talebi gerçekleşene kadar verilerin kullanımının kısıtlanmasını talep etme hakkına sahiptir.
  • Veri Sahibi, Diyaliz Merkezinin işleme amacı doğrultusunda artık kişisel verilerine ihtiyaç kalmadığı durumlarda, verilerinin kullanımının kısıtlanmasını talep etme hakkına sahiptir.

Veri Sahipleri, GDPR 21/1 maddesi uyarınca işleme faaliyetine itiraz ettikleri durumlarda, Diyaliz Merkezinin veri işlemedeki meşru sebeplerinin Veri Sahibi’nin meşru sebeplerine ağır basıp basmadığı doğrulanana kadar, verilerinin kullanımının kısıtlanmasını talep etme hakkına sahiptir.

  • Veri Taşınması Hakkı (GDPR madde 20):Veri Sahibi, teknik olarak mümkün olduğu taktirde, Diyaliz Merkezi uhdesinde tutulmakta olan Kişisel Verilerini her zaman için başvurarak, başka bir kontrolöre aktarılmasını talep etme hakkına sahiptir. Ancak işbu hak, veri işlemenin rızaya dayandığı zamanlarda veya sözleşmenin gerektirdiği hallerde kullanabilecektir.

.İtiraz Hakkı (GDP madde 21)