KİŞİSEL VERİLERİN KORUNMASI
KİŞİSEL VE ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİ HAKKINDA AYDINLATMA METNİ
Bu aydınlatma metni, Veri Sorumlusu Sıfatıyla Ümraniye Sağlık Hizmetleri Sanayi Ticaret ve Pazarlama A.Ş. (Özel Ümraniye Diyaliz Merkezi) tarafından hazırlanmıştır. Kişisel ve özel nitelikli kişisel verilerin işlenmesi ve korunması için gerekli tedbirlerin alınması Merkez için azami önem arz etmektedir. Bu bilinçle Merkez’in öncelikli amacı; hasta, hasta yakınları ve refakatçilerin; personel yakınları, personel adayları ve personel adayı referans kişilerinin, tedarikçilerin, hizmet alınan kişiler ve hissedarların mahremiyetini koruyarak her türlü kişisel verinin; hukuka uygun ve dürüstlük kurallarının öngördüğü biçimde, işlenme amaçları ile bağlantılı, sınırlı, ölçülü olarak, doğru ve güncel olarak, belirli, açık ve meşru amaçlar ile işlenmesidir. Bu çerçevede Merkez, kişisel ve özel nitelikli kişisel verilerinizi aşağıda detaylıca açıklanan şartlarda ve belirtilen mevzuatlarla belirlenen sınırlar dahilinde işlemektedir. 6698 Sayılı Kişisel Verilerin Korunması Kanunu’na (“Kanun”) göre veri işleme tamamen veya kısmen otomatik yollarla veya herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla verilerin ilk defa elde edilmesinden başlayarak veriler üzerinde gerçekleştirilen tüm işlem türlerini ifade etmektedir.
Odak grup çalışması yöntemi ile gerçekleştirilen araştırma sonucu kapsamında ortak bir “SKS Diyaliz Seti” kapsamında prosedürlerimizi oluşturup,aşağıdaki SKS-Diyaliz Boyut ve Bölümler Tablosuna göre oluşturulmuştur.
MERKEZ TARAFINDAN İŞLENEN KİŞİSEL VE ÖZEL NİTELİKLİ KİŞİSEL VERİLER
Kişisel ve özel nitelikli kişisel veriler, Merkez tarafından, Merkez’de tedavi gören hastalardan, bu hastaların yakınları ve refakatçilerinden; Merkez personel adayları ve bu personel adaylarının özgeçmişlerinde yer alan referans kişileri ile bu personellerin yakınlarından; Merkez ile iş ilişkisi içerisinde bulunan tedarikçiler ve hizmet alınan kişilerden, ayrıca Merkez hissedarlarından çağrı merkezi, internet sitesi, fiziksel mekânlar ve benzeri kanallardan sözlü, yazılı, görsel ya da elektronik yollarla elde edilerek işlenmektedir.
Merkez’in hizmet ve faaliyet alanıyla uygun düşecek şekilde; hasta, hasta yakını ve/veya refakatçi sıfatlarından biri ile Merkez’den hizmet ve/veya bilgi ve belge talebinde bulunmanız hallerinde hastaların; Kimlik, İletişim, Finans, Sigorta İşlemleri ve Mesleki Deneyim kategorileri altında toplanan kişisel verileri ile kan grubu, hemodiyaliz uygulaması için zorunlu olan diyaliz raporu dahil olmak üzere hasta tıbbi raporları, test sonuçları ve bunlarla sınırlı olmaksızın muayene, tanı, tıbbi teşhis, tedavi, bakım ve refakat hizmetlerinin yürütülmesi sırasında ve bunların sonucunda elde edilen her türlü Sağlık Verisi ve Biyometrik Veri niteliğini haiz parmak izi ve avuç içi özel nitelikli kişisel verileri; hasta yakınları ve refakatçilerin ise, Kimlik ve İletişim kategorileri altında toplanan kişisel verileri işlenmektedir.
Merkez, personel/personel adayı ve/veya personel yakını sıfatlarından biri ile Merkez ile kurulan veya kurulacak sözleşmesel ilişkinin tarafı olunması yahut Merkez tarafından sunulan her nevi hizmet ve/veya bilgi ve belgeye ilişkin talepte bulunmanız hallerinde; çağrı merkezi, internet sitesi, fiziksel mekânlar ve benzeri kanallardan sözlü, yazılı, görsel, ya da elektronik yollarla personel ve personel adaylarının; Kimlik, İletişim, Finans, Mesleki Deneyim ve Özlük kategorileri altında toplanan kişisel verileri ile personellerin; kan grubu ve sağlık raporundan elde edilen rutin olarak gerçekleştirilecek EKG ve akciğer grafisi sonuçları da dahil olmak üzere her türlü Sağlık Verileri, adli sicil kaydı raporu Ceza Mahkumiyet ve Güvenlik Tedbiri Verileri ve Biyometrik Veri niteliğini haiz parmak izi özel nitelikli kişisel verileri; personel adaylarının Merkez ile akdedilecek hizmet sözleşmesi kapsamında ilgili kişilerce verilen kullanılan yabancı madde bilgisi ve sağlık problemi bilgisi Sağlık Verileri, personel yakınlarının ise; Kimlik ve Mesleki Deneyim kategorileri altında toplanan kişisel verilerini işlemektedir.
Merkez’in yaptığı faaliyetler sonucu tedarikçilerin, Kimlik ve İletişim kategorileri kapsamında bulunan kişisel verileri; hizmet alınan kişilerin, Kimlik, İletişim, Müşteri İşlem ve Finans kategorileri kapsamında bulunan kişisel verileri; hissedarların ise, Kimlik, İletişim, Yönetim Bilgisi ve Finans kategorileri kapsamında bulunan kişisel verileri ve Sağlık Verisi kategorisi kapsamında bulunan kan grubu özel nitelikli verileri işlenmektedir.
KİŞİSEL VE ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENME AMAÇLARI
Merkez, kişisel ve özel nitelikli kişisel verilerinizi Kanun’da öngörülen veri ekonomisi ilkeleri çerçevesinde ve Kanun’un 5 ve 6. maddelerinde belirtilen kişisel veri işleme şartlarına uygun olarak yalnızca verilen hizmet bakımından gerekli olan hallerde açık rızanın alınması, yasal zorunluluklar ve tarafı olunan sözleşmeler neticesinde ve Merkez’in meşru menfaati olan durumlarda işlemektedir. Kişisel ve özel nitelikli kişisel veriler Merkez tarafından 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu, Tababet ve Şuabatı San’atlarının Tarzı İcrasına Dair Kanun, 4857 sayılı İş Kanunu, 3359 sayılı Sağlık Hizmetleri Temel Kanunu, 6331 sayılı İş Sağlığı ve Güvenliği Kanunu, Diyaliz Merkezleri Hakkında Yönetmelik, Sosyal Güvenlik Kurumu Sağlık Uygulama Tebliği, Hasta Hakları Yönetmeliği, Sosyal Güvenlik Kurumu ile Merkez arasında yapılan sözleşme ve Merkez tarafından sunulan sağlık hizmetlerinin düzenlendiği sair mevzuat hükümleri çerçevesinde yasal yükümlülüklerin yerine getirilmesi, kamu sağlığının korunması, sağlık hizmetlerinin sunulması, geliştirilmesi ve iyileştirilmesi, sağlık hizmetleri kullanımının analiz edilmesi, sunulan hizmetler karşılığında fatura tanzim edilmesi, Merkez’in sistem ve uygulamalarının veri güvenliğini sağlamak adına tüm gerekli idari ve teknik tedbirlerin alınması, Merkez iç politikası ve prensiplerine uyum sağlanması, hukuki işlemlerin yerine getirilmesi, Merkez’in iç işleyişi ile günlük operasyonların planlanması ve yönetilmesi, risk yönetimi ve kalite geliştirme aktivitelerinin yerine getirilmesi, yasal ve düzenleyici gereksinimlerin yerine getirilmesi, gerekli iletişimin sağlanması, düzenleyici ve denetleyici kurumlar ile resmi mercilerin talep ve denetimleri doğrultusunda gerekli bilgilerin temininin sağlanması, Merkez’de en uygun tedavi hizmetinin sunulabilmesi, bu hizmetin ifasının, planlamasının ve finansmanının gerçekleştirilmesi, risk yönetimi ve kalite geliştirme aktivitelerinin yerine getirilmesi, yasal ve düzenleyici gereksinimlerin yerine getirilmesi, yetkili kamu kurum ve kuruluşları ile edinilen verilerin paylaşılması ve taleplere ilişkin yanıt verilmesi, saklanması gerekli sağlık verilerine ilişkin bilgilerin muhafaza edilmesi amaçlarıyla işlenmektedir.
Hasta yakını ve refakatçilere ilişkin kişisel verilerin işlenme amacı ise hasta sağlığının korunması ve tedavisinin gerçekleştirilmesi için gerekli olan hallerde iletişim sağlanmasıdır.
Personel yakınlarına ilişkin kişisel verilerin işlenme amacı, gerekli olan hallerde iletişimin sağlanması ve personelin yan haklarının kullanılması için gerekli müracaatların yapılmasıdır. Personel adaylarına ilişkin kişisel verilerin işlenme amacı, kurumsal iletişim faaliyetlerinin planlanması ve insan kaynakları süreçlerinin yürütülmesidir. Personel adayı referans kişilerine ilişkin kişisel verilerin işlenme amacı ise personel adayı tarafından gösterilen referansın teyidinin yapılması, başvurduğu pozisyona uygunluğunun değerlendirilmesi, geçmiş deneyimleri hakkında bilgi edinilmesi ve doğrulanmasıdır.
Merkez tedarikçilerine ve hizmet alınan kişilere ilişkin kişisel veriler, mal ve hizmet tedariki için sözleşme yapılması ve tamamlanması ve yetki tespitinin yapılması, Merkez hissedarlarına ilişkin veriler de Merkez adına gerekli resmi müracaatların yapılması, yönetim faaliyetleri ve sözleşme süreçlerinin yürütülmesi amaçları ile işlenmektedir.
KİŞİSEL VE ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN AKTARIMI
Merkez; Kanun, Kişisel Sağlık Verileri Hakkında Yönetmelik, Kişisel Verileri Koruma Kurumu tarafından hazırlanan Kişisel Veri Güvenliği Rehberi ve Kişisel Verileri Koruma Kurulu (“Kurul”) tarafından alınan kararlar ile ilgili sağlık mevzuatı ve yukarıda sayılan işleme amaçları doğrultusunda gerekli ve uygun güvenlik düzeyini temin etmeye yönelik her türlü teknik ve idari tedbirlerin alınmasını sağlayarak kişisel veri sahibinin kişisel ve özel nitelikli kişisel verilerini üçüncü kişilere, Kanun’un 8. ve 9. maddesinde öngörülen düzenlemelere uymak şartıyla, 28. maddesinin birinci fıkrasındaki muafiyet halleri saklı kalmak kaydı ile aktarabilmektedir.
Hastalara ait kişisel ve özel nitelikli kişisel veriler, Merkez tarafından sunulan sağlık hizmetlerinin düzenlendiği yukarıda belirtilen sair mevzuat hükümleri çerçevesinde T.C. Sağlık Bakanlığı ve bağlı alt birimleri, Türkiye Eczacılar Birliği ve Sosyal Güvenlik Kurumu gibi kamu kurum ve kuruluşlarına aktarılmaktadır. Ek olarak, Sosyal Güvenlik Kurumu hizmet alımı sözleşmesinden doğan yükümlülüklerin yerine getirilmesi amacıyla kullanılan yazılım tedarikçisi firma üzerinden SGK ve MEDULA’ya, E-Nabız sistemine, T.C. Sağlık Bakanlığı’na bağlı hemodiyaliz merkezi olarak Bakanlığa karşı sorumlulukları yerine getirebilmek için T.C. Sağlık Bakanlığı’nın merkezi sağlık veri sistemlerine, SGK ve T.C. Sağlık Bakanlığı’nın öngördüğü yükümlülükler uyarınca hasta tanı ve tedavi süreçlerinde zorunlu olan tetkiklerin yapılması için sözleşme yapılan laboratuvara ve akciğer grafilerinin çekilmesi ve raporlanması için sözleşme yapılan tıp merkezine, hastanın başka sağlık kuruluşuna nakil işlemlerini gerçekleştirmek amacıyla nakil yapılacak sağlık kuruluşuna veri aktarımı yapılmaktadır. Merkez’de alınan hizmete yönelik ücretin tahsili amacıyla özel sigorta şirketlerine ve ücretin çalışılan kurum veya kuruluştan tahsili halinde ilgili kurum veya kuruluşa veri aktarımı yapılabilmektedir.
Hasta yakınına ve refakatçilere ait kişisel veriler, gerektiği hallerde yasal yükümlülüklerin yerine getirilmesi adına Sosyal Güvenlik Kurumu ve T.C. Sağlık Bakanlığı ve alt birimleri gibi kamu kurum ve kuruluşlarına aktarılabilecektir. Personel yakınına ait yalnızca aktarılması zorunlu olan kişisel veriler, Sosyal Güvenlik Kurumu ve ilgili kurum ve kuruluşlara aktarılabilecektir. Hissedarlara ait kişisel veriler, Sosyal Güvenlik Kurumu, T.C. Sağlık Bakanlığı ve bağlı alt kuruluşları, İstanbul Ticaret Odası Sicil Müdürlüğü ve ilgili bankalara aktarılabilecektir. Tedarikçilere ait kişisel veriler, Sosyal Güvenlik Kurumu, T.C. Sağlık Bakanlığı ve bağlı alt kuruluşlarına; hizmet alınan kişilere ait kişisel veriler Sosyal Güvenlik Kurumu’na aktarılabilecektir.
Yukarıda sayılanlara ek olarak, ilgili kişilere ait kişisel ve özel nitelikli kişisel veriler bunlarla sınırlı olmamak kaydı ile yargı birimleri; Merkez’in vekilleri, vergi danışmanları, mali müşavirler ve denetçiler de dâhil olmak üzere hizmet alınan üçüncü kişiler; veri sahibinin yetki vermiş olduğu temsilcileri veya var ise, yasal temsilcisi; zaruri olan hallerde Merkez hissedarları ve diğer şahıs, kurum ve kuruluşlara aktarılabilecektir.
KİŞİSEL VE ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN YURTDIŞINA AKTARIMI
Merkez, Kanun’un 4. maddesinin ikinci fıkrasında düzenlenen ilkeler uyarınca ilgili kişilere ait işlenen kişisel ve özel nitelikli kişisel veriler hakkında açık rızalarını almak suretiyle veya Kanun’un 5. maddesinin ikinci fıkrası ve 6. maddesinin üçüncü fıkrasında öngörülen şartlarla Kurul tarafından yeterli korumaya sahip olduğu ilan edilen yabancı ülkelere; yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt ettiği ve Kurul’un izninin bulunduğu yabancı ülkelere mevzuatın öngördüğü sınırlar içerisinde, gerekli tedbirleri alarak; Merkez ile olan hukuki ilişki ve faaliyet kapsamında, Merkez’in hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması halleri ile mevzuata uygun olarak kamu sağlığının korunması, koruyucu hekimlik, tanı, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanın planlanması ve yönetimi ve bir sözleşmenin kurulması veya ifası adına sözleşme taraflarına ait kişisel verilerin işlenmesinin gerekli olması aktarım amacıyla sınırlı olarak, kullanılan uygulamalar, yazılım programları, internet sitesi, elektronik posta sistemi gibi vasıtalar aracılığı ile ilgili kişilere ait kişisel ve özel nitelikli kişisel bilgiler yurtdışında bulunan yabancı sağlık ve sigorta kuruluşlarına ve tıbbi zorunluluk gereği paylaşılması gereken hizmet sağlayıcı kuruluşlara açık rıza aranmaksızın veri aktarımı yapabilmektedir.
KİŞİSEL VE ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN TOPLANMA YÖNTEMİ VE HUKUKİ SEBEPLERİ
Merkez, kişisel ve özel nitelikli kişisel verileri, yukarıda belirtilen amaçlarla hastanın Merkez’e gelişi esnasında, bulunduğu süre boyunca ve/veya sonrasında; sözlü, yazılı, görsel veya elektronik ortamda telefon ve benzeri iletişim araçları vasıtalarıyla, Sosyal Güvenlik Kurumu sistemi üzerinden çevrimiçi olarak, özel sigorta şirketinden yararlanılması halinde paylaşılan kayıtlardan, Merkez’e sevk ile gelinmesi durumunda ve/veya bizzat iletilmesi halinde diğer kurum ve kuruluşların kayıtları üzerinden gönderilen elektronik postalar ve arama kayıtları ile; diğer kişi gruplarından ise, yukarıda belirtilen amaçlarla sözlü, yazılı, görsel veya elektronik ortamda telefon ve benzeri iletişim vasıtalarıyla, gönderilen elektronik postalar, arama kayıtları, Merkez internet sitesi gibi yazılı, basılı ve benzeri kanallar aracılığıyla otomatik ve/veya otomatik olmayan yöntemler ile toplamakta ve fiziki ve/veya dijital ortamda saklamaktadır. Toplanan kişisel ve özel nitelikli kişisel veriler Merkez tarafından sağlanan hizmetin niteliğine göre değişkenlik gösterebilmektedir. Bu kapsamda, kişisel verilerin toplanılmasındaki hukuki sebepler; kişisel ve özel nitelikli kişisel veri toplanmasının ilgili kanunlarda öngörülmesi, Merkez’in sözleşmesel ve yasal yükümlülüklerini tam ve gereği gibi yerine getirebilmesi, Merkez’in bu veriyi işlemekte ve saklamakta meşru menfaatinin bulunması halleri ve Kanun’da veri sahibinin açık rızası ile işlenebileceği durumlarda açık rızanın alınması ile Kanun’un 6. maddesinin üçüncü fıkrası uyarınca; kamu sağlığının korunması, koruyucu hekimlik, tanı, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenmesidir.
KİŞİSEL VE ÖZEL NİTELİKLİ KİŞİSEL VERİ SAHİBİNİN HAKLARI
Kanun kapsamında ilgili kişi, veri sorumlusu sıfatıyla hareket eden Merkez’e başvurarak kendisiyle ilgili;
a) Kişisel veri işlenip işlenmediğini öğrenme,
b) Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
c) Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
ç) Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
d) Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
e) Kişisel verilerin silinmesini veya yok edilmesini isteme,
f) (d) ve (e) maddeleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme, g) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
ğ) Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması halinde, zararın giderilmesini talep etme haklarına sahiptir.
VERİ SORUMLUSUNA BAŞVURU
Herhangi bir hak ihlalinin mevcut olduğu veya olabileceği hallerde yapılan başvuruda, bu başvuruda yer alan talepler, talebin niteliğine göre en geç 30 gün içerisinde ücretsiz olarak Merkez tarafından sonuçlandırılır. İşlemin Merkez için ek maliyet gerektirmesi halinde, Kurul tarafından “Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ”de gösterilen tarifedeki ücret uygulanabilir.
Başvuru yapıldığı halde, “Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ”in 5. maddesindeki şartlara uymak kaydı ile başvuruda yer alması gereken bilgiler aşağıdaki şekildedir;
Başvuru sahibinin ad, soyad bilgisi, doğum tarihi, telefon numarası, tebligata esas yerleşim yeri veya işyeri adresi, varsa bildirime esas e-posta adresi,
Başvuru sahibinin T.C. Kimlik Numarası; yabancılar için uyruğu, pasaport numarası veya var ise kimlik numarası
Başkasının verileri hakkında başvuru yapılıyor ise bu kişiye ilişkin yukarıdaki maddede belirtilen bilgiler,
Başvuru sahibinin veya adına başvuru yapılan kişinin kurum ile ilişkisinin niteliği ve tarihi,
Talep konusu,
Başvuru sahibinin imzası.
Yapılan başvuru merkezde yetkili kişiye elden teslim edilebileceği gibi, aşağıda belirtilen adrese veya e-posta adresine de iletilebilir.
Başvuru yapıldığı takdirde Merkez, başvuru sahibinin kimliğini doğrulamak ve haklarını korumak amacıyla başvuru sahibinin aranması, tarafına e-mail gönderilmesi gibi ek doğrulamalar yapabilir.
İLETİŞİM BİLGİLERİ
Unvan : Ümraniye Sağlık Hizmetleri Sanayi Ticaret ve Pazarlama A.Ş. (Özel Ümraniye Diyaliz Merkezi)
Adres : İnkilap Mahallesi Yıldırım Caddesi No:1 ÜMRANİYE / İSTANBUL
Telefon : (0216) 634 58 12
E-posta : [email protected]