KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ HAKKINDA AYDINLATMA METNİ

KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ HAKKINDA HASTA AYDINLATMA METNİ
 

İş bu aydınlatma metninin muhatabı, Hasta (Mal veya Hizmet Alan Kişi), Hasta Veli veya Vasisi ile Bu Kişilerin Yakınlarıdır.

Veri sorumlusu PROF. DR. ERGİN TURAN  olarak tarafımızca işlenen her türlü kişisel veri 6698 sayılı Kişisel Verilerin Korunması Kanunu başta olmak üzere ilgili ulusal ve uluslararası mevzuat hükümleri kapsamında korunmaktadır.

A. KİŞİSEL VERİLERİN İŞLENME ŞARTLARI

            Kişisel verilerin işlenmesi 6698 sayılı kanunun 3/e bendinde şu şekilde tanımlanmıştır:

            ‘’ Kişisel verilerin işlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi,’’

            Söz konusu kişisel veri niteliğindeki bilgilerin ne şekilde işleneceği aynı kanunun 5. maddesinde şu şekilde ifade edilmiştir:

            ‘’ Kişisel verilerin işlenme şartları MADDE 5-

            (1) Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez.

             (2) Aşağıdaki şartlardan birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür:

             a) Kanunlarda açıkça öngörülmesi.

            b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.

            c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.

            ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.

            d) İlgili kişinin kendisi tarafından alenileştirilmiş olması.

            e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.

            f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması’’

B. ÖZEL NİTELİKTEKİ KİŞİSEL VERİ VE İŞLENME ŞARTLARI

            Bazı veriler nitelikleri, doğası ve müdahale ettiği alan bakımından diğer kişisel haklara nazaran daha vazgeçilmez bir pozisyonda bulunmaktadır. Bu nedenle iş bu hakların korunması ve işlenmesi söz konusu yasa kapsamında ayrı olarak ve sıkı şekil şartlarıyla birlikte düzenlenmiştir. Özel nitelikteki kişisel haklar kanunun 6/1 fıkrasında şu şekilde tanımlanmış ve sayılmıştır :

            ‘’Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.’’

            Söz konusu hakların ne şekilde işlenebileceği ise aynı maddenin diğer fıkralarında şu şekilde ifade olunmuştur:

            ‘’ (2) Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır.

            3) Birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.

            (4) Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır.’’  

C. KİŞİSEL VERİLERİN TOPLANMA YÖNTEMLERİ

Kişisel verileriniz muayenehanemiz ile kurdurunuz diyaloglar ve iletişim kapsamında alınan bilgilerden, tarafımıza iletilen referans mektupları ve akdedilen ön sözleşme ve sözleşme kapsamlarından, mobil haberleşme, mobil uygulamalar, öneri/şikâyet formu, muhtelif sözleşmeler, elektronik posta ve sair iletişim kanallar ile gönderilen bilgi, belge ve başvuru formlarından, internet sitesi çerez uygulamalarından, internet sitesi kapsamında doldurulan ve tarafımıza iletilen formlardan,  güvenlik kameralarından toplanmaktadır.

D. İŞLENEN KİŞİSEL VERİLER, İŞLENME AMAÇLARI, YASAL DAYANAKLARI

Yukarıda yer alan toplanma yöntemleri kapsamında elde edilen kişisel veriler aşağıdaki genel başlıklar altında kategorize edilebilir;

Kimlik Bilgileri: Kimlik bilgisi olarak tarafınızdan Ad Soyad, TC Kimlik Numarası, Pasaport Numarası, Geçici TC Kimlik Numarası, Doğum Yeri, Doğum Tarihi, Medeni Hal, Cinsiyet bilgileri alınmaktadır.

İletişim Bilgileri: Telefon numarası, mektup, adres, e-mail adresi, faks numarası, IP adresi ve kullanılan haberleşme uygulamalarına göre (ZOOM ve Teamwiever gibi) tanımlı ID numaraları gibi bilgiler bu kapsamda yer almaktadır.

Aile Bireyleri ve Yakın Verileri: Otomatik veya kısmen otomatik olan bir sistem veya otomatik olmayan bir yöntem kapsamında kimliği belirli veya belirlenebilir gerçek kişi veya kişilerden alınan aile ve yakın bilgileri.

Mali Veriler: Banka Hesap Numarası, IBAN Numarası, Kredi Kartı Bilgileri, Fatura Bilgileri bu kapsamda işlenmektedir.

Sağlık Bilgileri: İlgili kişilerden alınan Muayene Verileri, tıbbi özgeçmişe ilişkin anlatımlar ve raporlar, tıbbi soy geçmişine ilişkin veriler, tahlil ve test sonuçları, laboratuvar sonuçları, tıbbi görüntüleme sonuçları, randevu bilgileri, reçete bilgileri, ameliyat öncesi ve sonrasına ilişkin fotoğraflar, üç boyutlu görsel veriler, Muayenehane takip verileri, endoskopi verileri, tanı ve tedaviye yönelik olarak alınan videolar, dijital cihazlar vasıtası ile uzaktan kaydedilen bilgi ve belgeler başlıca alınan ve işlenen sağlık verileridir. Muayenehane ile muayene öncesi ve sonrasında kurulan diyaloglardan elde edilen hastalığın teşhis ve tedavisine ilişkin görüşme ve yazışma verileri, sosyal çevre, aile hayatına ve cinsel hayata ilişkin veriler de bu kapsamda yer almaktadır. Tarafımızca tedavi ve teşhiste tıbben önemli kabul edilen ve istenen başka sağlık kuruluşları veya doktorlar tarafından raporlanan ve kayıt altına alınan konsültasyon notları, ameliyat notları, tetkik ve değerlendirme sonuçları işlenen sağlık verileri olarak değerlendirilebilmektedir.

SGK Mevzuatı Kapsamında Alınan Veriler: Sigorta ve Hasta Protokol numaraları bu kapsamda yer almaktadır.

Görsel/İşitsel Veriler: Gerçek kişi veya kişilere ait görsel ve işitsel kayıt ortamlarından elde edilen veriler ve bu verilerin saklandığı ortamlar. Kliniğimiz bünyesinde yer alan kameralarda sadece görsel kayıt yapılmaktadır. Ses kaydı bulunmamaktadır. Çağrı merkezi kayıtları da bu kapsamda yer almaktadır.

Talep/Şikâyet Yönetimine İlişkin Veriler: Muayenehane talep ve şikayet süreci içinde otomatik, yarı otomatik veya otomatik olmayan yöntemlerle elde edilen veriler.

Hukuki İşlem Verisi: Muayenehane çalışanlarının ve tarafımızın taraf olduğu hukuki uyuşmazlıklara delil olmak üzere elde edilen ve adli merciler nezdinde kullanılan veriler bu grup verilere girmektedir.

Yukarıdaki kişisel verilerin işlenme amaçları şu şekildedir;

  1. İlgili kişiye etkin, güvenli ve kaliteli bir sağlık hizmetinin verilmesini sağlamak.

  2. Yasal mevzuatların gereğini ifa etmek.

  3. Doktor hasta iletişimini sağlamak.

  4. Kimlik ve hastalık teyit süreçlerini yönetmek.

  5. Kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin ifasını sağlamak.

  6. Randevu süreçlerinin teyidi ve zamanlarını ayarlamak.

  7. Muayenehane iç işleyişinin etkin bir şekilde yönetilmesini sağlamak.

  8. Anlaşmalı kurumlara ilişkin teyit ve finans süreçlerinin koordinasyonunu sağlamak.

  9. Faturalandırma yapmak.

  10. Sağlık Bakanlığı başta olmak üzere ilgili kurum ve kuruluşlardan gelen yasal talepleri karşılamak.

  11. Sunulan hizmetlere ilişkin talep ve şikayet süreçlerini yönetmek.

  12. Tanıtım ve pazarlama süreçlerinin yönetmek.

  13. Risk ve kalite süreçlerinin yönetimini sağlamak.

  14. Hastaya uygun ilaç ve malzeme teminini sağlamak.

  15. Düzenleyici ve denetleyici kurum ve kuruluşlar ile resmi mercilerin taleplerini karşılamak.

  16. Adli mercilerin talepleri doğrultusunda istenilen bilgi ve belgelerin adli makamlar ile paylaşılmasını sağlamak.

 

Kişisel verilerin işlenmesine dayanak yasal mevzuat hükümleri ise şu şekildedir;

  1. 3359 Sayılı Sağlık Hizmetleri Temel Kanunu

  2. 663 Sayılı Sağlık Bakanlığı ve Bağlı Kuruluşların Teşkilat Ve Görevleri Hakkında Kanun Hükmünde Kararname

  3. Özel Hastaneler Yönetmeliği

  4. 6698 Sayılı Kişisel Verilerin Korunması Kanunu

  5. Kişisel Sağlık Verilerinin İşlenmesi ve Mahremiyetinin Sağlanması Hakkında Yönetmelik,

  6. 6098 Sayılı Borçlar Kanunu

  7. Ağız ve Diş Sağlığı Hizmeti Sunulan Özel Sağlık Kuruluşları Hakkında Yönetmelik

  8. Ayakta Teşhis ve Tedavi Yapılan Özel Sağlık Kuruluşları Hakkında Yönetmelik

  9. Hasta Hakları Yönetmeliği

  10. 5651 Sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun,

  11. 6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun

E. KİŞİSEL VERİLERİN SAKLANMA SÜRELERİ VE İMHASI

Kanunun 3 üncü maddesinde kişisel verilerin işlenmesi kavramı tanımlanmış, 4 üncü maddesinde işlenen kişisel verinin işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli süre kadar muhafaza edilmesi gerektiği belirtilmiş, 5 ve 6 ncı maddelerde ise kişisel verilerin işleme şartları sayılmıştır.

Buna göre, Muayenehanemiz faaliyetleri çerçevesinde elde edilen kişisel veriler, ilgili mevzuatta öngörülen veya işleme amaçlarımıza uygun süre kadar saklanır.

Muayenehanemiz nezdinde Ocak ve Temmuz ayları imha dönemleri olarak tayin edilmiştir. Söz konusu veriler bir tutanağa bağlanarak imha edilecek olup bu tutanak 3 yıl süre ile muhafaza edilecektir.

F. KİŞİSEL VERİLERİN AKTARILMASI

            Kişisel verilerin ülke sınırları içinde ne şekilde ve ne şartlar altında üçüncü kişilere aktarılacağı Kişisel Verilerin Korunması Kanunu’nun 8.maddesi kapsamında düzenlenmiştir. İş bu maddeye göre ancak kişilerin açık rızalarının olması halinde kişisel verilerin aktarılması mümkündür. Ancak yine aynı kanun maddesinde 5.ve 6. madde kapsamındaki şartların olması halinde açık rıza olmaksızın da kişisel verilerin aktarılabileceğini kaleme alınmıştır. Söz konusu kanun maddelerinin birlikte yorumlanmasından çıkan sonuç;

  • İlgili kişinin açık rızasının alınması,

  • Kanunlarda açıkça öngörülmesi,

  • Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,

  • Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,

  • Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,

  • İlgili kişinin kendisi tarafından alenileştirilmiş olması,

  • Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,

  • İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması halinde kişisel verilerin aktarılabilmesi mümkündür.

Özel nitelikteki kişisel verilerin aktarılabilmesi için ise;

  • İlgili kişinin açık rızasının alınması halinde,

  • Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler bakımından kanunlarda açıkça öngörülmüş olması halinde,

  • Sağlık ve cinsel hayata ilişkin kişisel veriler bakımından ise kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından özel nitelikteki kişisel veriler üçüncü kişilere aktarılabilir.

Kişisel verilerin MUAYENEMİZ faaliyet kapsamı ve ticari menfaatleri kapsamında kişisel verileri yurt dışındaki kamu ve özel tüzel kişilere yasal şartlar minvalinde aktarması mümkündür. Kanun’un 9. maddesine göre, yurt dışına veri aktarımı;

• İlgili kişinin açık rızasının bulunması,

• Kanun’da belirtilen hallerin varlığında (Kanun’un 5. maddesinin 2. fıkrası ile 6. maddesinin 3. fıkrasında belirtilen şartlar) veri aktarılacak ülkede yeterli korumanın bulunması (Kurul tarafından güvenli kabul edilen ülkeler),

• Kanun’da belirtilen hallerin varlığında (Kanun’un 5. maddesinin 2. fıkrası ile 6. maddesinin 3. fıkrasında belirtilen şartlar) veri aktarılacak ülkede yeterli korumanın bulunmaması halinde (Kurul tarafından güvenli kabul edilmeyen ülkeler), yeterli korumanın yazılı olarak taahhüt edilmesi ve Kurul’un izninin bulunması durumlarında gerçekleştirilebilir.

Veri sorumlusu olarak, yukarıda ayrıntılarıyla yazan veri aktarım şartlarının bulunması halinde,  söz konusu veriler kliniğimiz ilgili personeli, bağlantılı şirketlerimiz, doğrudan / dolaylı yurt içi iştiraklerimiz, hizmet aldığımız kuruluşlar, kullandığımız yurt içi server (sunucular), bulut hizmeti aldığımız yurt içi kurumlar, veri sorumlusu adına veri işleyen, ölçümleme, hedefleme, profilleme desteği veren kişi ve kuruluşlar, denetim şirketleri, e- doktor ve benzeri online aracı sistemler (buraya hangileri kullanılıyorsa açıkça yazılmalı), danışmanlar, özel sigorta şirketleri, yurt içi dolaylı/doğrudan bilimsel çalışmalar için aktarım yapılan iş ve çözüm ortakları, nakliyeci firmalar, tedarikçiler, kamu tüzel kişileriyle paylaşılabilecektir.

İşlenen verilerden ………………………………………ları yurt dışı bağlantılı şirketlerimiz, doğrudan / dolaylı yurt dışı iştiraklerimiz, yurt dışı hizmet aldığımız kuruluşlar, kullandığımız yurt dışı serverlar (sunucular), bulut hizmeti aldığımız yurt dışı kurum ve kuruluşları, yurt dışı şirketler, yurt dışı dolaylı/doğrudan bilimsel çalışmalar için aktarım yapılan iş ve çözüm ortakları, çevrim içi veri aktarımı yapan haberleşme, depolama ve iletişim programları tarafından kullanılan yurt dışı serverları ve veri merkezleri ile paylaşılabilecektir.

Çevrim içi veri aktarımı yapan haberleşme, depolama ve iletişim programları tarafından kullanılan yurt dışı serverları ve veri merkezleri bakımından verilerin aktarıldığı ülke çeşitlilik göstermekle birlikte Google ve Microsoft Tabanlı Çevrim İçi uygulamaların yönetim merkezi Amerika Birleşik Devletleri olup, Yandex’in yönetim merkezi Rusya’dır. Yine Whats App uygulaması bakımından söz konusu merkez Amerika Birleşik Devletleri iken Telegram açısından Rusya’dır.

G. İLGİLİ KİŞİ OLARAK HAKLARINIZ

İlgili kişi olarak tarafınızın sahip olduğu haklar aşağıdaki gibidir;

  • İlgili kişiler kendilerine ait kişisel verilerin işlenip işlenmediğini işleniyorsa ne şekilde ne kadar süreyle işlendiğini yahut işleneceğini öğrenme,

  • İşlenen kişisel verileri varsa bunlara ilişkin bilgi talep etme,

  • Kişisel verilerin işlenme amacını ve bu verilerin amaca uygun kullanılıp kullanılmadığını öğrenme,

  • Kişisel verilerinin aktarıldığı üçüncü kişileri bilme, kişisel verilerindeki hataların düzeltilmesini ve eğer aktarım yapılmışsa ilgili üçüncü kişiden bu düzeltmenin istenmesini talep etme,

  • Kişisel verilerle alakalı şikayetlerin kurum nezdinde itiraz yoluyla giderilmesini isteme eğer itiraz sonuçsuz kalır yahut talep reddedilirse Kişisel Verilerin Korunması kurumuna şikayette bulunma,

  • Kişisel verilerin işlenmesini gerektiren sebeplerin ortadan kalkması halinde bu verilerin silinmesini, yok edilmesini ya da anonim hale getirilmesini isteme ve eğer aktarım yapılmışsa bu talebin aktarılan üçüncü kişiye iletilmesini isteme,

  • Kişisel verilerin imha edilmesine ilişkin sürelerin tarafına haberdar edilmesini ve hangi verinin ne kadar süreyle tutulacağını talep etme,

  • İşlenen verilerin neticesinde kişi ile ilintili olumsuz bir sonuç çıkmasına itiraz etme,

  • Kanuna aykırı veri işleme nedeniyle zararının ortaya çıkması halinde zararını yasalar çerçevesinde talep etme haklarına sahiptir.

      Bize kişisel verilerinizle ilgili her türlü soru, şikayet ve görüşleriniz için veri sorumlusu bilgilerimiz şu şekildedir;

             H. DİĞER AÇIKLAMALAR

Söz konusu politikalar kapsamında bir değişiklik olduğunda bunlar internet sitesinden ilgililere bildirilecek olup eski politikaların onaylı suretleri 3 (üç) yıl süreyle tutulacaktır.

            Muayenehane, Kanunda yapılan değişiklikler nedeniyle, Kurum kararları uyarınca ya da sektördeki ya da bilişim alanındaki gelişmeler doğrultusunda Kişisel Verilerin İşlenmesi ve Korunması Politikasında ya da işbu Kişisel Veri Saklama ve İmha Politikasında değişiklik yapma hakkını saklı tutar.

MERSİS Numarası / Vergi Numarası: 8680023676

  • Adresi: Barbaros Mah. Buğday Sokak No:6/44 Çankaya/Ankara

AYDINLANMA BEYANI

Yukarıda açıklanan tüm hususlarda tarafıma gerekli aydınlatma yapıldığını, PROF. DR. ERGİN TURAN   Kişisel Verilerin Korunması ve İşlenmesi Politikasını okuduğumu ve anladığımı, 6698 sayılı Kanunun 11. maddesi kapsamındaki haklarımı bildiğimi beyan ederim.

 

Veri Sahibi Adı Soyadı  :......................................                     T.C. Kimlik No: ...................................

Tarih           :..../...../...........                                                      İmza