Kişisel Veri İşleme Envanteri
KİŞİSEL VERİ İŞLEME ENVANTERİ
A- ÜROLOJİ ALANINDA SUNULAN SAĞLIK HİZMETİ KAPSAMINDA İŞLENEN VERİLER
- Veri Kategorileri
a. Özel Nitelikte Olmayan Kişisel Veriler
i. Kimlik Bilgileri (Ad-soyad, anne ve baba adı, cinsiyet, doğum tarihi ve yeri, medeni hal, TC Kimlik Numarası, uyruk bilgisi, imza bilgisi)
ii. İletişim Bilgileri (İletişim adresi, e-posta adresi, telefon numarası, adres numarası, faks numarası)
i. Finans Bilgileri ((Banka hesap numarası (IBAN), banka hesap bilgileri(hesap sahibi vb.) kredi kartı bilgisi, fatura düzenlemek için gerekli bilgiler, özel sağlık sigortası tutarı vb. bilgiler.)
b. Özel Nitelikte Kişisel Veriler
i. Sağlık Bilgileri (Kişilerin geçirdiği hastalıklar, kullandığı ilaçlar, tıbbi raporlar, tahlil, laboratuvar ve görüntüleme sonuçları, klinik dosyasındaki tıbbi öyküsü, hastalık geçmişi, uygulanan tıbbi girişim sonucunda ulaşılan değişimi göstermek amacıyla alınan fotoğraflar dâhil olmak üzere fiziksel ve ruhsal sağlığına ilişkin her türlü bilgi)
ii. Sağlık hizmeti sunumunu gerçekleştirebilmek amacıyla gerekli durumlarda cinsel hayat bilgileri istenebilmektedir. (Ağız lezyonlarına ilişkin tanı ve teşhis süreçlerinin yürütülmesi, ilaç reçete edilebilmesi için doğum kontrol hapı kullanım bilgilerinin alınması vb.)
iii. Hakkında mahkûmiyet kararı bulunan ve ceza infazı devam eden kişiler ilgili ceza infaz kurumundan izin alarak sağlık kuruluşuna başvurabilmektedir. Bu halde söz konusu hastaların ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri işlenebilmektedir.
- Kişisel Veri İşleme Amaçları
A.1 Başlığında sayılan kişisel veriler ve özel nitelikteki kişisel veriler; hastalara sağlık hizmeti sunulabilmesi, randevu günü belirleme vb. süreçlerin yürütülebilmesi amacıyla işlenmektedir.
- Veri Konusu Kişi Grubu
Ağız ve diş sağlığı alanında hizmet almak için başvuran hastaların A.1 Başlığında sayılan verileri alınmaktadır. Bunun yanında henüz 18 yaşını doldurmamış ergin olmayan hastaların velilerinin de kimlik ve iletişim verileri alınmaktadır.
- Kişisel Veri İşlenmesinin Hukuki Sebebi
Tıbbi Deontoloji Tüzüğü, Hasta Hakları Yönetmeliği ve 863 sayılı Tababet ve Şuabatı San'atlarının Tarzı İcrasına Dair Kanun ile öngörülen yükümlülükler doğrultusunda mesleki ve hukuki yükümlülüğün yerine getirilmesi.
- Kişisel Verilerin Azami Saklanma Süresi
A.1 Başlığında sayılan kişisel veriler mesleki yükümlülükler dolayısıyla tedavinin sonlanmasından itibaren 20 yıl süresince saklanacaktır.
- Kişisel Verilerin Aktarımı
a. Alıcı/Alıcı Grupları
i. Sunulan sağlık hizmetinin karşılığında alınan bedelin faturalandırılabilmesi için Muhasebeci/Serbest Mali Müşavir ile Hastanın kimlik bilgileri paylaşılmaktadır.
ii. Sunulan sağlık hizmeti karşılığında ödenen bedelin hasta tarafından anlaşmalı olduğu sigorta şirketinden veya Sosyal Güvenlik Kurumundan alınabilmesi için Hastanın kimlik bilgileri ilgili sigorta şirketi ve SGK ile paylaşılabilmektedir.
iii. 1593 sayılı Umumi Hıfzıssıhha Kanunu’nun 58. maddesinde düzenlenen bulaşıcı hastalıkları yetkili makamlara bildirme yükümlülüğü gibi toplum sağlığının korunması için kişisel tıbbi kayıtların mahremiyetinin sınırlanması gereken durumlarda ya da suçu bildirim yükümlülüğü gibi Kanuni zorunluluk hallerinde, sadece amaçla sınırlı olarak ve ölçülü biçimde hastanın sağlık, iletişim ve kimlik verileri yetkili makamlarla paylaşılabilmektedir.
b. Yabancı Ülkelere Veri Aktarımı
i. İkametgahı yurtdışında olup sağlık kuruluşumuzdan hizmet alan hastaların kimlik ve iletişim bilgileri hastaların anlaşmalı olduğu yurtdışı menşeili sigorta şirketleriyle paylaşılabilmektedir.
ii. Sunulacak sağlık hizmetinin planlanabilmesi için hastaların sağlık ve kimlik bilgileri yurtdışı menşeili bazı programlara işlenebilmektedir. Bu halde amaç verinin yurtdışına aktarımı değildir ancak sağlık hizmetinin sağlanabilmesi için bu işlemin yapılması zorunludur.
B- SAĞLIK KURULUŞU TARAFINDAN ÇALIŞAN İSTİHDAMI KAPSAMINDA İŞLENEN KİŞİSEL VERİLER
- Veri Kategorileri
a. Özel Nitelikte Olmayan Kişisel Veriler
ii. Kimlik Bilgileri (Ad-soyad, anne ve baba adı, cinsiyet, doğum tarihi ve yeri, medeni hal, TC Kimlik Numarası, uyruk bilgisi, imza bilgisi)
iii. İletişim Bilgileri (İletişim adresi, e-posta adresi, telefon numarası, adres numarası, faks numarası, acil durumda ulaşılabilecek yakınları ve aile bireylerinin iletişim bilgileri)
iv. Özlük Bilgileri (Bordro bilgileri, disiplin soruşturması, işe giriş belgesi kayıtları, özgeçmiş, performans değerlendirme raporları, CV, sosyal güvenlik numarası)
v. Mesleki Deneyim (öğrenim durumu, sertifika, diploma, yabancı dil bilgileri)
vi. Finans Bilgileri (Banka hesap numarası (IBAN), banka hesap bilgileri (hesap sahibi vb.) kredi kartı bilgisi, çalışanlara ilişkin finansal ve maaş detayları, bordrolar, asgari geçim indirimi bilgisi, özel sağlık sigortası tutarı vb. bilgiler.)
b. Özel Nitelikte Kişisel Veriler
i. Sağlık kuruluşunda istihdam edilecek çalışanlardan işe giriş öncesinde adli sicil kaydı istenmektedir. Bu nedenle adli sicil kaydında varsa ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri işlenebilmektedir.
ii. Sağlık kuruluşunda iş sağlığı ve güvenliği faaliyetleri kapsamında çalışanların bazı sağlık verileri alınıp işlenebilmektedir.
iii. Çalışanların bir sendikaya üye olması halinde sendika bilgileri işlenmektedir.
- Kişisel Veri İşleme Amaçları
B.1 Başlığında sayılan kişisel veriler ve özel nitelikteki kişisel veriler; çalışanların SGK kaydının yapılabilmesi, 4857 sayılı İş Kanunu ile 6331 sayılı İş Sağlığı ve Güvenliği Kanunu uyarınca işveren yükümlülüklerinin yerine getirilmesi, çalışanların özlük dosyalarının oluşturulabilmesi amacıyla işlenmektedir.
- Veri Konusu Kişi Grubu
Veri sorumlusu sağlık kuruluşu tarafından istihdam edilen çalışanlar (sekreter, ağız ve diş sağlığı teknikeri/teknisyeni vb. )
- Kişisel Veri İşlenmesinin Hukuki Sebebi
4857 sayılı İş Kanunu ile 6331 sayılı İş Sağlığı ve Güvenliği Kanunu doğrultusunda hukuki yükümlülüklerin yerine getirilmesi ve çalışan ile imzalanan iş sözleşmesi.
- Kişisel Verilerin Azami Saklanma Süresi
a. 4857 sayılı İş Kanunu ve 5510 sayılı Sosyal Sigortalar Ve Genel Sağlık Sigortası Kanunu gereğince B.1 Başlığında sayılan kişisel verilerden kimlik, iletişim, özlük, finans ve her türlü mahkumiyete ilişkin bilgiler çalışanın işten ayrılmasından itibaren 10 yıl süreyle saklanır.
b. 6331 sayılı İş Sağlığı Ve Güvenliği Kanunu ve 29.12.2012 tarih ve 28512 sayılı Resmi Gazete’de yayınlanan İş Sağlığı Ve Güvenliği Hizmetleri Yönetmeliği gereğince B.1 Başlığında sayılan kişisel verilerden sağlık verileri çalışanın işten ayrılmasından itibaren 15 yıl süreyle saklanır.
- Kişisel Verilerin Aktarımı
a. Alıcı/Alıcı Grupları
i. Sosyal Güvenlik Kurumu
ii. Anlaşmalı olunan muhasebeci/serbest mali müşavir
iii. Yetkili diğer kamu kurum ve kuruluşları
b. Yabancı Ülkelere Veri Aktarımı
Çalışanların B.1 Başlığında sayılan kişisel verileri yurtdışına aktarılmamaktadır.
C- KİŞİSEL VERİLERİ KORUMA KANUNU KAPSAMINDA ALINAN GÜVENLİK TEDBİRLERİ
- İdari Tedbirler
i. Çalışanların niteliği ve teknik bilgi/ becerisinin geliştirilmesi, kişisel verilerin hukuka aykırı işlenmenin önlenmesi, kişisel verilere hukuka aykırı erişilmesinin önlenmesi, kişisel verilerin muhafazasının sağlanması, iletişim teknikleri ve ilgili mevzuatlar hakkında çalışanlara eğitimler verilmektedir.
ii. Çalışanlara gizlilik sözleşmeleri imzalatılmaktadır.
iii. Güvenlik politika ve prosedürlerine uymayan çalışanlara yönelik uygulanacak disiplin prosedürü uygulanmaktadır.
iv. İlgili kişileri aydınlatma yükümlülüğü yerine getirilmektedir.
v. Kurum içi periyodik ve rastgele denetimler yapılmaktadır.
- Teknik Tedbirler
i. Kurumun bilişim sistemleri teçhizatı, yazılım ve verilerin fiziksel güvenliği için gerekli önlemler alınmaktadır.
ii. Hukuka aykırı işlemeyi önlemeye yönelik riskler belirlenmektedir.
iii. Belirlenen risklere uygun teknik tedbirler alınmaktadır.
iv. Erişim yetki ve rol dağılımları için prosedürler oluşturulmakta ve uygulanmaktadır.
v. Yetki matrisi uygulanmakta, erişimler kayıt altına alınarak uygunsuz erişimler kontrol altında tutulmaktadır.
vi. Saklama ve imha politikasına uygun imha süreçleri tanımlanmakta ve uygulanmaktadır.
vii. Hukuka aykırı işleme tespiti halinde ilgili kişiye ve kurula bildirmek için bir sistem ve altyapı oluşturulmaktadır.
viii. Güvenlik açıkları takip edilerek uygun güvenlik yamaları yüklenmektedir.
ix. Bilgi sistemleri güncel halde tutulmaktadır.
x. Kişisel verilerin işlendiği elektronik ortamlarda güçlü parolalar kullanılmakta ve güvenli kayıt tutma (loglama) sistemleri kullanılmakta, kişisel verilerin güvenli olarak saklanmasını sağlayan yedekleme programları kullanılmaktadır.