Özel Nitelikli Kişisel Verilerin İşlenmesi Politikası

Amaç

Bu Politika, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (“Kanun”) 10 uncu maddesi ile Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ uyarınca veri sorumlusu sıfatıyla sorumlusu Gülümser Sağlık Eğitim Danışmanlık ve Ticaret Anonim Şirketi (“Gülümser Akademi”) tarafından, bu Politika’nın dayanağı yasal Mevzuat’a uygun olarak özel nitelikli kişisel verilerin işlenmesine yönelik usul ve esasları belirlemek amacı ile oluşturulmuştur.

Kapsam

Bu Politika, Gülümser Akademi kapsamında ait özel nitelikli kişisel verilerin işlenmesi süreçlerini kapsamaktadır.

Yukarıda belirtilen ilgili kişi gruplarına, bu Politika’nın tamamı uygulanabileceği gibi, sadece birtakım hükümleri de uygulanabilecektir.

Dayanak

Bu Politika 6698 sayılı Kişisel Verilerin Korunması Kanunu, 30286 sayılı Veri Sorumluları Sicili Hakkında Yönetmelik ve 30224 sayılı Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik ve "Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler" başlıklı Kurul kararına dayanılarak hazırlanmıştır.

Kişisel verilerin işlenmesi, korunması ve imhası konusunda bu Politika ile yürürlükte bulunan mevzuat arasında farklılık bulunması halinde Mevzuat hükümleri öncelikle uygulanacaktır.

Özel Nitelikli Kişisel Verileri Nelerdir?

Özel nitelikli kişisel veriler kanunda “Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler” olarak tanımlanmıştır. 

Birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.

Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır.

Özel Nitelikli Kişisel Verilerin İşleme Şartları Nelerdir?

Özel nitelikli kişisel verilerin, işlenmesinde genel kural veri sahibi ilgili kişinin açık rızasının alınmasıdır. Açık rızanın alınma usul ve esaslarına ilişkin detaylı bilgiyi “KVKK Açık Rıza Alma Prosedürü”nde bulabilirsiniz.


Özel nitelikli kişisel verilerin açık rıza olmaksızın işlenebileceği bi takım istisnalar da bulunmaktadır. Özel nitelikli kişisel veri kategorilerinden sağlık ve cinsel hayat dışındaki veriler, açık rıza olmaksızın yalnızca kanunlarda öngörülen hallerde işlenebilir. 

Özel nitelikli kişisel veri kategorilerinden cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.

Özel Nitelikli Kişisel İşlenmesinde Alınmış Teknik ve İdari Tedbirler

Gülümser Akademi özel nitelikli kişisel verilerin hukuka ve dürüstlük kurallarına uygun bir şekilde işlenmesini ve imha edilmesini sağlamak amacıyla tüm gerekli teknik ve idari tedbirleri almaktadır. İşbu politikada değinilen tedbirler yalnızca özel nitelikli verilerin gizliliği ve güvenliğine ilişkin alınmış ek tedbirler olup kişisel verilerin güvenliğine tüm tedbirlere “Kişisel Verileri Saklama ve İmha Politikası” üzerinden ulaşabilirsiniz.

Verilerin Elde Edilmesinde Uyulacak Tedbirler

a)     Özel nitelikli kişisel veriler Kanun’un 6. maddesinde sayılan şartlar olmaksızın işlenmemesi,

b)     Hem dijital hem fiziki veri olarak mevcut ve alınacak olan eski tip kimlik verilerinin yalnızca ön yüzünün alınması, hukuki zorunluluk olmadıkça arka yüzünün alınmaması, alınması halinde kan grubu ve din hanesinin maskelenmesi.

Çalışanlara Yönelik Tedbirler

a)     Kanun ve buna bağlı yönetmelikler ile özel nitelikli kişisel veri güvenliği konularında düzenli olarak eğitimler verilmesi,

b)     Gizlilik sözleşmelerinin yapılması,

c)     Verilere erişim yetkisine sahip kullanıcıların, yetki kapsamlarının ve sürelerinin tanımlanması,

d)     Periyodik olarak yetki kontrollerinin gerçekleştirilmesi,

e)     Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkilerinin derhal kaldırılması. Bu kapsamda, veri sorumlusu tarafından kendisine tahsis edilen envanterin iade alınması.

Özel Nitelikli Kişisel Verilerin Bulunduğu Elektronik Ortamlara Yönelik Tedbirler

a)     Veriler üzerinde gerçekleştirilen tüm hareketlerin işlem kayıtlarının güvenli olarak loglanması,

b)     Verilerin bulunduğu ortamlara ait güvenlik güncellemelerinin sürekli takip edilmesi, gerekli güvenlik testlerinin düzenli olarak yapılması/yaptırılması, test sonuçlarının kayıt altına alınması,

c)     Verilere bir yazılım aracılığı ile erişiliyorsa bu yazılıma ait kullanıcı yetkilendirmelerinin yapılması, bu yazılımların güvenlik testlerinin düzenli olarak yapılması/yaptırılması

d)     Verilere uzaktan erişim gerekiyorsa en az iki kademeli kimlik doğrulama sisteminin sağlanması,

e)     Dijital olarak alınacak olan eski tip kimlik verilerinin yalnızca ön yüzünün alınması, hukuki zorunluluk olmadıkça arka yüzünün alınmaması, alınması halinde kan grubu ve din hanesinin maskelenmesi

Özel Nitelikli Kişisel Verilerin Bulunduğu Fiziksel Ortamlara Yönelik Tedbirler

a)     Özel nitelikli kişisel verilerin bulunduğu ortamın niteliğine göre yeterli güvenlik önlemlerinin (elektrik kaçağı, yangın, su baskını, hırsızlık vb. durumlara karşı) alındığından emin olunması,

b)     Bu ortamların fiziksel güvenliğinin sağlanarak yetkisiz giriş çıkışların engellenmesi,

Aktarıma Yönelik Tedbirler

a)     Verilerin e-posta yoluyla aktarılması gerekiyorsa şifreli olarak kurumsal e-posta adresiyle veya Kayıtlı Elektronik Posta (KEP) hesabı kullanılarak aktarılması,

b)     Taşınabilir Bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerekiyorsa kriptografik yöntemlerle şifrelenmesi ve kriptografik anahtarın farklı ortamda tutulması,

c)     Bakım onarım için yurtiçi ve yurtdışı servis sağlayıcılara gönderilen görüntüleme cihazları gönderilmeden önce cihazların içinde yer alan bellekler çıkarılmalı veya bellekler tümüyle yedeklendikten sonra silinmelidir.

d)     Farklı fiziksel ortamlardaki sunucular arasında aktarma gerçekleştiriliyorsa, sunucular arasında VPN kurularak veya sFTP yöntemiyle veri aktarımının gerçekleştirilmesi,

e)     Verilerin kağıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemlerin alınması ve evrakın “gizlilik dereceli belgeler” formatında gönderilmesi gerekir.

f)      Tahlil ve tetkik sonuçları gibi danışana ait kişisel sağlık verilerini içeren basılı materyal üzerinde gerekli kısmî kimliksizleştirme veya maskeleme tedbirlerinin uygulanması.

Çalışan Yükümlülükleri 

a)     Veri gizliliği ve güvenliği farkındalık eğitimimizi tamamlayın.

b)     Gülümser Akademi bünyesinde; bilinmeyen, refakatsiz veya başka bir şekilde yetkisiz bir kişiyi tespit ederseniz, derhal üstlerinizi bilgilendirin.

c)     Ziyaretçilere kısıtlı alanlarda, ziyaretçilere her zaman yetkili bir çalışanın eşlik ettiğinden emin olun.

d)     İş faaliyetlerinizi yürütürken Gülümser Akademi tarafından kontrol edilmeyen iletişim kanallarını kullanmayın. 

e)     Lütfen masalarınızı temiz tutun. Bilgi güvenliğini sürdürmek için, basılı tüm verilerinin iş alanınızda gözetimsiz bırakılmamasını sağlayın.

f)      Veri içeren bir cihazın kaybolması durumunda (örn. Cep telefonları, dizüstü bilgisayarlar vb.) gecikme olmaksızın “Gülümser Akademi- Veri İhlali Formu”nu doldurarak konu hakkında  Gülümser Akademiyi bilgilendirin.

g)     Bu politikaya veya bilgi güvenliği amacına uygun olmadığından şüphelendiğiniz bir sistem veya işlem bulmanız durumunda, uygun önlemleri alabilmeleri için yöneticileri bilgilendirin.

h)     Eğer uzaktan çalışıyorsanız; verilerin gizlilik ve güvenliğini sağlamak için ek önlemler almanız gerekebilir. Sorumluluklarınızdan emin değilseniz Gülümser Akademi’den yardım isteyin. 

i)      Lütfen kişisel verileri barındıran ortamların gereksiz yere açıkta bırakılmadığından emin olun.

Özel Nitelikli Kişisel Verilerin İmhası

Özel nitelikli kişisel verilerin imhasına ilişkin tüm bilgi ve prosedürlere Gülümser Akademi tarafından yayınlanmış olan “Kişisel Veri Saklama ve İmha Politikası” üzerinden ulaşabilirsiniz.

Güncelleme Tablosu

Bu Politika’da yapılan değişiklikler aşağıdaki tabloda yer almaktadır.

GÜNCELLEME TARİHİ

GÜNCELLEMELERİN KAPSAMI  

19/1/20222

Politika yayın tarihi

[•]

[•]

Gülümser Akademi © Copyright 2024
Tüm hakları saklıdır.
Ultra Mega Omega Icon