SAĞLIK HİZMETİ KAPSAMINDA İŞLENEN VERİLER
Veri Kategorileri
Özel Nitelikte Olmayan Kişisel Veriler
Kimlik Bilgileri (Ad-soyad, hastanın tercih ettiği yakınının adı, cinsiyet, doğum tarihi ve yeri, medeni hal, TC Kimlik Numarası, uyruk bilgisi, imza bilgisi)
İletişim Bilgileri (İletişim adresi, e-posta adresi, telefon numarası, adres numarası, faks numarası)
Finans Bilgileri (fatura düzenlemek için gerekli bilgiler)
Özel Nitelikte Kişisel Veriler
Sağlık Bilgileri (Kişilerin geçirdiği hastalıklar, kullandığı ilaçlar, tıbbi raporlar, tahlil, laboratuvar ve görüntüleme sonuçları, klinik dosyasındaki tıbbi öyküsü, hastalık geçmişi, uygulanan tıbbi girişim sonucunda ulaşılan değişimi göstermek amacıyla alınan fotoğraflar dâhil olmak üzere fiziksel ve ruhsal sağlığına ilişkin her türlü bilgi)
Kişisel Veri İşleme Amaçları
A.1 Başlığında sayılan kişisel veriler ve özel nitelikteki kişisel veriler; hastalara sağlık hizmeti sunulabilmesi, randevu günü belirleme vb. süreçlerin yürütülebilmesi, sunulan hizmet karşılığında ücret alınabilmesi, vergi hukukundan kaynaklı yükümlülüklerin yerine getirilmesi ve diğer kanuni ve akdi yükümlülüklerin yerine getirilmesi amaçlarıyla işlenmektedir.
Veri Konusu Kişi Grubu
Sağlık hizmeti almak için başvuran hastaların A.1 Başlığında sayılan verileri alınmaktadır. Bunun yanında henüz 18 yaşını doldurmamış ergin olmayan hastaların velilerinin de kimlik ve iletişim bilgiler alınabilmektedir.
Kişisel Veri İşlenmesinin Hukuki Sebebi
1219 sayılı Kanun, Ayakta Teşhis ve Tedavi Sunulan Özel Sağlık Kuruluşları Hakkında Yönetmelik, Tıbbi Deontoloji Tüzüğü, Hekimlik Meslek Etiği Kuralları, Hasta Hakları Yönetmeliği ve ilgili diğer mevzuat doğrultusunda mesleki ve hukuki yükümlülüklerin yerine getirilmesi.
Kişisel Verilerin Azami Saklanma Süresi
A.1 Başlığında sayılan kişisel veriler sağlık hizmeti sunumunun gerçekleştirilebilmesi amacıyla işlendiğinden, hekimlik mesleği ve kanuni yükümlülükler dolayısıyla tedavinin sonlanmasından itibaren 20 yıl süresince saklanacaktır. [1]
Kişisel Verilerin Aktarımı
Alıcı/Alıcı Grupları
Sunulan sağlık hizmetinin karşılığında alınan bedelin faturalandırılabilmesi için Muhasebeci / Serbest Mali Müşavir ile hastanın kimlik bilgileri paylaşılmaktadır.
Sunulan sağlık hizmeti karşılığında ödenen bedelin hasta tarafından anlaşmalı olduğu sigorta şirketinden veya Sosyal Güvenlik Kurumundan alınabilmesi için hastanın kimlik bilgileri ilgili sigorta şirketi ve SGK ile paylaşılabilmektedir.
1593 sayılı Umumi Hıfzıssıhha Kanunu’nun 58. maddesinde düzenlenen bulaşıcı hastalıklar ve kanser vb. hastalıkları yetkili makamlara bildirme yükümlülüğü gibi toplum sağlığının korunması için kişisel tıbbi kayıtların mahremiyetinin sınırlanması gereken durumlarda ya da suçu bildirim yükümlülüğü gibi Kanuni zorunluluk hallerinde, sadece amaçla sınırlı olarak ve ölçülü biçimde hastanın sağlık, iletişim ve kimlik verileri yetkili makamlarla paylaşılabilmektedir.
Sunulan sağlık hizmetinde kullanılan medikal malzemeleri tedarik eden firmalarla hastalara kesilecek fatura için gerekli olan kimlik, adres, telefon ve varsa e-posta adres bilgileri paylaşılmaktadır.
Yabancı Ülkelere Veri Aktarımı
İkametgahı yurtdışında olup sağlık kuruluşumuzdan hizmet alan hastaların kimlik ve iletişim bilgileri hastaların anlaşmalı olduğu yurtdışı menşeili sigorta şirketleriyle paylaşılabilmektedir.
SAĞLIK KURULUŞU TARAFINDAN ÇALIŞAN İSTİHDAMI KAPSAMINDA İŞLENEN KİŞİSEL VERİLER
Veri Kategorileri
Özel Nitelikte Olmayan Kişisel Veriler
Kimlik Bilgileri (Ad-soyad, anne ve baba adı, cinsiyet, doğum tarihi ve yeri, medeni hal, TC Kimlik Numarası, uyruk bilgisi, imza bilgisi vb.)
İletişim Bilgileri (İletişim adresi, e-posta adresi, telefon numarası, adres numarası, faks numarası, acil durumda ulaşılabilecek yakınları ve aile bireylerinin iletişim bilgileri vb.)
Özlük Bilgileri (Bordro bilgileri, disiplin soruşturması, işe giriş belgesi kayıtları, özgeçmiş, performans değerlendirme raporları, CV, sosyal güvenlik numarası vb.)
Mesleki Deneyim Bilgileri (öğrenim durumu, sertifika, diploma, yabancı dil bilgileri vb.)
Finans Bilgileri (Banka hesap numarası (IBAN), banka hesap bilgileri (hesap sahibi vb.) kredi kartı bilgisi, çalışanlara ilişkin finansal ve maaş detayları, bordrolar, asgari geçim indirimi bilgisi, özel sağlık sigortası tutarı vb. bilgiler.)
Özel Nitelikte Kişisel Veriler
Sağlık kuruluşunda istihdam edilecek çalışanlardan işe giriş öncesinde adli sicil kaydı istenmektedir. Bu nedenle adli sicil kaydında varsa ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri işlenebilmektedir.
Sağlık kuruluşunda iş sağlığı ve güvenliği faaliyetleri kapsamında çalışanların bazı sağlık verileri alınıp işlenebilmektedir.
Kişisel Veri İşleme Amaçları
B.1 Başlığında sayılan kişisel veriler ve özel nitelikteki kişisel veriler; çalışanların SGK kaydının yapılabilmesi, 4857 sayılı İş Kanunu ile 6331 sayılı İş Sağlığı ve Güvenliği Kanunu uyarınca iş sözleşmesi ve işveren yükümlülüklerinin yerine getirilmesi, çalışanların özlük dosyalarının oluşturulabilmesi amacıyla işlenmektedir.
Veri Konusu Kişi Grubu
Veri sorumlusu sağlık kuruluşu tarafından istihdam edilen çalışanlar (sekreter, güzellik uzmanı vb. )
Kişisel Veri İşlenmesinin Hukuki Sebebi
4857 sayılı İş Kanunu, 6331 sayılı İş Sağlığı ve Güvenliği Kanunu, İş Sağlığı ve Güvenliği Hizmetleri Yönetmeliği ve ilgili diğer mevzuat doğrultusunda hukuki yükümlülüklerin yerine getirilmesi ve çalışan ile imzalanan iş sözleşmesi.
Kişisel Verilerin Azami Saklanma Süresi
4857 sayılı İş Kanunu ve 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu gereğince B.1 Başlığında sayılan kişisel verilerden kimlik, iletişim, özlük, finans ve her türlü mahkumiyete ilişkin bilgiler çalışanın işten ayrılmasından itibaren 10 yıl süreyle saklanır.
6331 sayılı İş Sağlığı Ve Güvenliği Kanunu ve 29.12.2012 tarih ve 28512 sayılı Resmi Gazete’de yayınlanan İş Sağlığı Ve Güvenliği Hizmetleri Yönetmeliği gereğince B.1 Başlığında sayılan kişisel verilerden sağlık verileri çalışanın işten ayrılmasından itibaren 15 yıl süreyle saklanır.
Kişisel Verilerin Aktarımı
Alıcı/Alıcı Grupları
Sosyal Güvenlik Kurumu
Anlaşmalı olunan muhasebeci / serbest mali müşavir
4857 sayılı İş Kanunu uyarınca işveren yükümlülüklerini yerine getirebilmek için veri aktarılması gereken Yetkili diğer kamu kurum ve kuruluşları
Yabancı Ülkelere Veri Aktarımı yoktur.
KİŞİSEL VERİLERİ KORUMA KANUNU KAPSAMINDA ALINAN GÜVENLİK TEDBİRLERİ
İdari Tedbirler
Çalışanların niteliği ve teknik bilgi/ becerisinin geliştirilmesi, kişisel verilerin hukuka aykırı işlenmenin önlenmesi, kişisel verilere hukuka aykırı erişilmesinin önlenmesi, kişisel verilerin muhafazasının sağlanması, iletişim teknikleri ve ilgili mevzuatlar hakkında çalışanlara eğitimler verilmektedir.
Çalışanlara gizlilik sözleşmeleri imzalatılmaktadır.
Güvenlik politika ve prosedürlerine uymayan çalışanlara yönelik uygulanacak disiplin prosedürü uygulanmaktadır.
İlgili kişileri aydınlatma yükümlülüğü yerine getirilmektedir.
Kurum içi periyodik ve rastgele denetimler yapılmaktadır.
Teknik Tedbirler
Kurumun bilişim sistemleri teçhizatı, yazılım ve verilerin fiziksel güvenliği için gerekli önlemler alınmaktadır.
Hukuka aykırı işlemeyi önlemeye yönelik riskler belirlenmektedir.
Belirlenen risklere uygun teknik tedbirler alınmaktadır.
Erişim yetki ve rol dağılımları için prosedürler oluşturulmakta ve uygulanmaktadır.
Yetki matrisi uygulanmakta, erişimler kayıt altına alınarak uygunsuz erişimler kontrol altında tutulmaktadır.
Saklama ve imha politikasına uygun imha süreçleri tanımlanmakta ve uygulanmaktadır.
Hukuka aykırı işleme tespiti halinde ilgili kişiye ve kurula bildirmek için bir sistem ve altyapı oluşturulmaktadır.
Güvenlik açıkları takip edilerek uygun güvenlik yamaları yüklenmektedir.
Bilgi sistemleri güncel halde tutulmaktadır.
Kişisel verilerin işlendiği elektronik ortamlarda güçlü parolalar ve kişisel verilerin güvenli olarak saklanmasını sağlayan yedekleme programları kullanılmaktadır.
[1] 1219 sayılı Kanun, Ayakta Teşhis ve Tedavi Sunulan Özel Sağlık Kuruluşları Hakkında Yönetmelikte hasta dosyalarının ne kadar süreyle saklanması gerektiği düzenlenmemiştir. Özel Hastaneler Yönetmeliğinde özel hastanede tutulan hasta dosyalarının en az yirmi yıl süre ile saklanacağı belirtilmiştir. Türk Borçlar Kanunu’nun 147.maddesinde eser ve vekalet sözleşmesinden kaynaklı tazminat istemlerinde zamanaşımı süresi 5 yıl olarak belirlenmiştir. Aynı Kanunun 478.maddesinde ise eser sözleşmesinden kaynaklı tazminat istemlerinde ağır kusur halinde zamanaşımı süresi 20 yıl olarak belirlenmiştir.