Sağlık Verilerine İlişkin Açık Rıza Beyanı

6698 sayılı Kişisel Verilerin Korunması Kanununun amacı, kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere, kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir.

İşbu kişisel verilerin korunması hakkında bilgilendirme, kişisel veri koruma ve işleme politikamızı Doç. Dr. Mustafa Seçkin (Kısaca ‘’Veri Sorumlusu’’ olarak anılacaktır.) tarafından ifa edilen hizmetler sırasında kişisel verilerinizi nasıl topladığımızı, aktardığımızı, kullandığımızı ve koruduğumuzu açıklamaktadır.

Doç. Dr. Mustafa Seçkin tarafından sunulan sağlık hizmetleri kapsamında işlenen kişisel veriler, işbu Aydınlatma Metni çerçevesinde ve KVKK’ya uygun olarak işlenmektedir.

Sağlık hizmetinin sunulduğu hastane veya sağlık kuruluşunun kendi faaliyetlerinden kaynaklanan veri işleme faaliyetleri bakımından ilgili kuruluş ayrıca veri sorumlusu olup, bu kapsamdaki işlemler ilgili kuruluşun kendi KVKK aydınlatma metinlerine tabidir.

Merkez Sağlık Grubu tarafından, 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kısaca “Kanun” ve/veya ‘’KVKK’’ olarak anılacaktır.) ve ilgili mevzuat kapsamında Veri Sorumlusu sıfatıyla, kişisel verileriniz, yalnızca aşağıda açıklanan çerçevede ve Özel Hastaneler Yönetmeliği ile Sağlık Bakanlığı düzenlemeleri ve sair mevzuata uygun olarak işlenebilecektir.

Veri Sorumlusu : Doç. Dr. Mustafa Seçkin – Nöroloji Uzmanı

Adres : Acıbadem İzmir Kent Hastanesi, 8229/1. Sk. No:56, Karşıyaka / İZMİR

Telefon : 0232 491 44 44 – 0532 176 50 08

E-posta : seckin.dr@gmail.com

Bu metin, 6698 sayılı KVKK’nın 10. maddesi uyarınca sağlık verilerinizin işlenmesine ilişkin olarak sizi bilgilendirmek amacıyla hazırlanmıştır. Aydınlatmada asgari olarak; veri sorumlusu kimliği, amaçlar, aktarım/alıcı grupları ve amaçları, toplama yöntemi-hukuki sebep ve KVKK m.11 hakları yer almalıdır.

1- İŞLENEN VERİLERİN KAPSAMI

KVKK m.4 uyarınca veriler hukuka ve dürüstlük kurallarına uygun, belirli-açık-meşru amaçlarla, sınırlı-ölçülü ve gerekli süre kadar işlenir. Sağlık verileriniz; sağlık hizmetinin sunumu sırasında oluşan/sağladığınız aşağıdaki verileri ve bunlarla sınırlı olmamak kaydıyla diğer sağlık verilerini kapsar :

• Kimlik Verileri : ad-soyad, TCKN/pasaport, doğum tarihi, cinsiyet vb.
• İletişim Verileri : telefon, e-posta, adres vb.
• Hasta İşlem / Sağlık Verileri (Özel Nitelikli Kişisel Veri): şikâyet, anamnez, muayene bulguları, tanı, tedavi planı, reçete, rapor, tıbbi görüntüleme/laboratuvar sonuçları, epikriz, alerji bilgisi, ölçümler vb. (KVKK m.6 kapsamında “özel nitelikli”dir).
• Finans Verileri: ödeme bilgileri, fatura/ makbuz bilgileri, bankacılık işlem bilgileri (zorunlu oldukça).
• Hukuki İşlem/Uyuşmazlık Verileri: dava/icra/şikâyet süreçlerinde gerekli bilgi ve belgeler.
• Görsel/İşitsel Veriler : kamera kaydı, rıza ile alınan fotoğraf/video, tele-tıp görüşme kayıtları.
• Randevu/İşlem Kayıtları: randevu zamanı, iptal/erteleme, iletişim geçmişi (çağrı kaydı vb. varsa).
• Dijital İz Kayıtları : web sitesi/online randevu kullanılıyorsa IP, log kayıtları, çerez bilgileri.

2- TANIMLAR VE GENEL BİLGİLER

KVKK : 6698 sayılı Kişisel Verilerin Korunması Kanunu’nu ifade eder.

Kişisel Veri : Kimliği belirli veya belirlenebilir gerçek kişiye ait her türlü bilgiyi ifade eder. Bu kapsamda isim, soy isim, telefon numarası, e-posta adresi gibi kişiyi tanımlayan tüm bilgiler kişisel veridir. Kişilerin sağlığı, cinsel hayatı, biyometrik ve genetik verileri özel nitelikli kişisel veridir.

Kişisel Verilerin İşlenmesi : Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi ifade eder. Bu kapsamda örneğin bilgilerinizin randevu veya muayene süreçlerinde işlenmesi bir veri işlemedir.

Veri Sorumlusu : Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade eder.

İlgili kişi : Kişisel verisi işlenen gerçek kişiyi ifade eder.

3- SAĞLIK VERİLERİNİN İŞLENME AMAÇLARI

Kişisel verileriniz, muayenehane/klinik faaliyetleri kapsamında aşağıdaki amaçlarla işlenebilir. Kişisel Verilerin bu amaçlarla işlenebilmesi, KVKK’da özel olarak düzenlenmiştir. Bu amaçlar :

4-KİŞİSEL VERİLERİN İŞLENME ŞEKİLLERİ

4.1. Randevu ve Hasta Kayıt İşlemleri

Randevu ve hasta kayıt işlemlerinde hastanın temel kimlik bilgileri (ad, soyadı, kimlik/pasaport numarası, doğum tarihi) ve müşteri/hasta işlem bilgileri (randevu bilgileri); KVKK m. 5/2-a, b, ç ve e kapsamında acil durum yönetimi süreçlerinin yürütülmesi, faaliyetlerin mevzuata uygun yürütülmesi, hizmet satış ve operasyon süreçlerinin yürütülmesi, hasta ilişkileri yönetim süreçlerinin yürütülmesi, risk yönetimi süreçlerinin yürütülmesi, saklama ve arşiv faaliyetlerinin yürütülmesi, yetkili kişi kurum veya kuruluşlara bilgi verilmesi ile sağlık hizmetlerinin yürütülmesi amacıyla kayıt altına alınmaktadır.

Hastanın iletişim bilgileri (telefon numarası veya e-posta adresi); KVKK m. 5/2-ç ve f kapsamında iletişim faaliyetlerinin yürütülmesi, bilgi güvenliği süreçlerinin yürütülmesi, saklama ve arşiv faaliyetlerinin yürütülmesi ve yetkili kişi kurum veya kuruluşlara bilgi verilmesi amacıyla kayıt altına alınmakta ve randevu bilgileri, hastanın belirtmiş olduğu iletişim kanalına/kanallarına gönderilmektedir. Ayrıca işbu aydınlatma metni ile diğer metinlere yönlendirme amacıyla ilgili kişilere bildirim yapılmaktadır.

İşlemin ödeme gerektirmesi durumunda hastanın finans bilgileri (ödemeye tabi işlemler için ödeme, kart/hesap bilgileri); KVKK m. 5/2-a, ç ve e kapsamında faaliyetlerin mevzuata uygun yürütülmesi, finans ve muhasebe işlerinin yürütülmesi, ücret politikasının yürütülmesi, yetkili kişi kurum veya kuruluşlara bilgi verilmesi amacıyla kayıt altına alınmaktadır.

Randevunun hasta yakını tarafından alınması veya hasta yakınının kayıt işlemlerinde bulunması durumunda; hasta yakınına ait temel kimlik bilgileri (ad, soyadı, kimlik numarası), iletişim bilgileri (telefon numarası) ve yakın bilgileri (yakınlık derecesi) KVKK m. 5/2-b ve f kapsamında iş faaliyetlerinin yürütülmesi ile iletişim faaliyetlerinin yürütülmesi amacıyla kayıt altına alınmaktadır.

Randevu ve hasta kayıt işlemlerinin çevrimiçi (elektronik veya internet sitesi) alınması durumunda işlem güvenliği bilgisi (doğrulama veya güvenlik kodu ile IP, cihaz, kullanıcı adı, parola ve işlem hareketleri); KVKK m. 5/2-ç ve f kapsamında bilgi güvenliği süreçlerinin yürütülmesi amacıyla işlenmektedir.

Randevu ve hasta kayıt işlemlerinde işlenen bilgilerin tamamı, sağlık hizmetlerinin sunumu ve yürütülmesi amacıyla kullanmış olduğumuz Hastane Bilgi Yönetim Sistemi’ne girilmektedir. Dolayısıyla bu paragrafta ve aşağıda bulunan, sağlık hizmetleri ile ilgili tüm süreçler HBYS üzerinden işletilmektedir. Hasta kayıtla birlikte hastaya protokol/hasta numarası atanmakta ve hasta bilekliği oluşturulmaktadır. Hasta bilekliğinde ad, soyadı, kimlik numarası, doğum tarihi ve protokol numarası ile barkod bulunmaktadır. Bu bilgiler, KVKK m. 5/2-f kapsamında iş faaliyetlerinin yürütülmesi amacıyla işlenmektedir.

Randevu ve hasta kayıt işlemlerinde işlenen kişisel veriler; ilgili kişiden (hasta veya yakını), kurum kaynaklarından (hastane kaynakları) veya kurum dışı kaynaklardan ,dijital platformlar veya T.C. Sağlık Bakanlığı, T.C. Çalışma ve Sosyal Güvenlik Bakanlığı, ilgili kişinin yetkili veli/vasi/temsilcisi, diğer sağlık kurumları gibi) fiziksel, sözlü veya elektronik ortamlarda elde edilmektedir.

Randevu ve hasta kayıt işlemlerinin çevrimiçi (elektronik veya internet sitesi) alınması durumunda altyapımız MERNİS entegreli olduğu için, temel kimlik bilgileri (ad, soyadı, kimlik numarası) kimlik doğrulaması yapılması (bilgi güvenliği süreçlerinin yürütülmesi) amacıyla T.C. İç İşleri Bakanlığı Nüfus ve Vatandaşlık İşleri Genel Müdürlüğü’ne aktarılmaktadır.

Randevu oluştuktan sonra, iletişim bilgileri (telefon numarası veya e-posta adresi); randevu oluştuğuna dair SMS veya e-posta ile bilgilendirme yapılması (iletişim faaliyetlerinin yürütülmesi) amacıyla gerçek veya tüzel kişiye (ileti merkezine) aktarılmaktadır.

4.2. Sağlık Hizmetinin Sunulması

Randevu ve kayıt işlemi tamamlandıktan sonra hastalara ait kimlik bilgileri (ad, soyadı, kimlik numarası, doğum tarihi ve bazı durumlarda işlem güvenliğinin sağlanması için nüfus cüzdanı ya da sürücü belgesi veya benzer kimlik nüshası) ve sağlık bilgileri; kamu sağlığının korunması, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla yetkili kurum personellerimiz veya sır saklama yükümlülüğü altında bulunan kişiler tarafından KVKK m. 6/3 kapsamında kayıt altına alınmaktadır. Anlam karışıklığına mahal vermemek adına, bu işlemlerin tamamı işbu aydınlatma metninde sağlık hizmetinin sunulması olarak adlandırılacaktır.

Sağlık bilgilerinin içeriği; hastaya yapılan/yapılacak işleme göre değişkenlik gösterebilmektedir. Bu nedenle, sağlık bilgilerinin işbu aydınlatma metinde münhasır bir şekilde sayılması olanaklı değildir. Ancak yürütülen/yürütülecek sağlık hizmetiyle ilgili, orantılı ve ölçülü olan tüm bu bilgiler, sağlık bilgisi olarak adlandırılabilir.

Bunun yanında, hastaya yapılan/yapılacak işleme göre değişebilmekle birlikte, hastaya ait genetik bilgileri de KVKK m. 6/3 kapsamında işlenmektedir.

Hastaya yapılan/yapılacak işlem, hastanın aile bireylerinin veya yakın çevresinin sağlık, genetik bilgilerinin işlenmesini gerektirebilir. Bu durumda yine, hasta haricindeki ilgili kişiye ait bilgiler; KVKK m. 6/3 kapsamında sağlık hizmetinin yürütülmesi amacıyla işlenmektedir. Hastanın, üçüncü kişilere ait sağlık, genetik bilgileri başta olmak üzere herhangi bir kişisel veriyi hastaneye iletmesi durumunda; işbu aydınlatma metnini söz konusu üçüncü kişilere sunması gerekmektedir. Veri Sorumlusu bu hususta ek sorumluluk kabul etmemektedir.

Sağlık hizmetinin sunulması sürecinde işlenen kişisel veriler; ilgili kişiden (hasta veya yakını), kurum kaynaklarından (hastane kaynakları) veya kurum dışı kaynaklardan, dijital platformlar veya T.C. Sağlık Bakanlığı, T.C. Çalışma ve Sosyal Güvenlik Bakanlığı, ilgili kişinin yetkili veli/vasi/temsilcisi, diğer sağlık kurumları gibi) fiziksel, sözlü veya elektronik ortamlarda elde edilmektedir.

Sağlık hizmetinin uzaktan sunulmasında yukarıda sayılan bilgilere ek olarak ses ve görüntü bilgileri KVKK m. 5/2-e ve m. 6/3 kapsamında işlenmektedir. KVKK m. 5/2-ç ve f kapsamında bilgi güvenliği süreçlerinin yürütülmesi amacıyla işlenmektedir. Bu nedenle, işlenen temel kimlik, işlem güvenliği ve iletişim bilgileriniz yazılım desteği aldığımız firmaya aktarılmaktadır. Ses ve görüntü bilgileriniz kayıt altına alınmamaktadır.

4.3. Malî İşlemler

Sağlık hizmetinin öncesi, başlangıcı, sunumu veya sonrasında ödeme yapılması gereken hallerde hastalara ait kimlik bilgileri (ad, soyadı, kimlik numarası, imza), finans bilgileri (fatura/dekont/makbuzda yer alan ödeme bilgileri, ödemenin kredi kartı/havale/EFT gibi yöntemler kullanılarak gerçekleştirilmesi durumunda kart/hesap bilgileri) ve müşteri/hasta işlem bilgileri (fatura/dekont/makbuzda bulunan işlem bilgileri, detaysız randevu/işlem/tetkik bilgisi, protokol numarası, talep bilgisi gibi), ücret iadesi durumlarında ücretin üçüncü bir kişi tarafından alınmak istenmesi halinde, kişinin ücreti almaya yetkili olduğunu ispatlar belge (örneğin vekaletname, veraset ilamı gibi); faaliyetlerin mevzuata uygun yürütülmesi, finans ve muhasebe işlerinin yürütülmesi, ücret politikasının yürütülmesi, yetkili kişi kurum veya kuruluşlara bilgi verilmesi, saklama ve arşiv faaliyetlerinin yürütülmesi, bilgi güvenliği süreçlerinin yürütülmesi amacıyla KVKK m. 5/2-a, ç ve e kapsamında işlenmektedir.

Mali işlemlerde işlenen kişisel veriler; ilgili kişiden (hasta veya yakını), kurum kaynaklarından (hastane kaynakları) veya kurum dışı kaynaklardan (banka havalesi vb ) ilgili kişinin yetkili veli/vasi/temsilcisi, diğer sağlık kurumları gibi) fiziksel, sözlü veya elektronik ortamlarda elde edilmektedir.

4.4. İletişim / Talep / Şikayet Faaliyetleri

İletişim faaliyetleri, birden çok amaca hizmet edebilir. Yine, iletişim faaliyetlerinde iletişim içeriğine bağlı olarak değişebilen kişisel veriler işlenebilir. Ancak temel anlamda; ilgili kişinin adı, soyadı, kimlik numarası, telefon numarası, e-posta adresi, adresi, iletişim yazılı olarak yürütülüyor ise evrak numarası ve evrakın içeriğindeki diğer bilgiler, başkası adına iletişim kuruluyorsa vekaletname, yetki belgesi gibi bilgiler işlenmektedir. Bu bilgiler; iletişim faaliyetlerinin yürütülmesi, bilgi güvenliği süreçlerinin yürütülmesi, talep / şikayetlerin takibi, hukuk işlerinin takibi ve yürütülmesi, risk yönetimi süreçlerinin yürütülmesi, yetkili kişi kurum veya kuruluşlara bilgi verilmesi, iş faaliyetlerinin yürütülmesi, saklama ve arşiv faaliyetlerinin yürütülmesi, faaliyetlerin mevzuata uygun yürütülmesi, sağlık hizmetlerinin yürütülmesi amacıyla KVKK m. 5/2-a, ç, e, f ve KVKK m. 6/3 kapsamında işlenmektedir. Bazı durumlarda kimlik doğrulaması yapılması (bilgi güvenliği süreçlerinin yürütülmesi) amacıyla kimlik belgesi örneği istenebilmektedir.

İşlenen bilgiler; ilgili kişi, kurum kaynakları ve kurum dışı kaynaklar (veli/vasi/temsilci, diğer özel kurumlar, CİMER, SABİM, Valilik, Hastane vb. kamu kurumu vb.) aracılığıyla fiziksel, dijital veya sözlü olarak elde edilmektedir.

İşlenen bilgiler; iletişimin türüne ve nedenine göre değişebilmekle birlikte, üçüncü kişi olarak iletişimin muhatabına veya ilgilisine, iletişim faaliyetlerinin yürütülmesi ve yetkili kişi kurum veya kuruluşlara bilgi verilmesi amacıyla aktarılabilmektedir. Örneğin talep / şikayet sürecinin sonuçlanması için gerekli olduğu kadarıyla yetkili kurumlara bilgi verilmesi amacıyla, hukuk işlerinin takibi ve yürütülmesi amacıyla, faaliyetlerin mevzuata uygun yürütülmesi amacıyla, talep / şikayetlerin yürütülmesi amacıyla yetkili kamu kurum veya kuruluşlarına (Emniyet Genel Müdürlüğü, İç İşleri Bakanlığı, Adalet Bakanlığı/Mahkemeler, Sağlık Bakanlığı, CİMER, Çalışma ve Sosyal Güvenlik Bakanlığı gibi) ve diğer üçüncü kişilere (vekaletnamede açık bir şekilde yazması durumunda temsilciye veya yetkili veli/vasi’ye) aktarım yapılabilmektedir.

Ayrıca iş sürekliliğinin sağlanması ve iletişim faaliyetlerinin yürütülmesi amacıyla iç ve dış kurumlarla yazışmalar KEP aracılığıyla yapılmaktadır.

4.5. Eczane İşlemleri

Eczane işlemlerinde hastaya ait kimlik bilgileri (ad, soyadı, kimlik numarası), müşteri/hasta işlem bilgileri (hasta barkodu, protokol numarası) ve sağlık bilgisi (ilaç, hekim tarafından yapılan istek ve reçete bilgisi) işlenmektedir. Bu bilgiler HBYS ve KKYS aracılığıyla dijital olarak kurum kaynaklarından ve kurum dışı kaynaklardan elde edilmektedir. Yine bu bilgiler; hukuk işlerinin takibi ve yürütülmesi, yetkili kişi kurum veya kuruluşlara bilgi verilmesi, iş faaliyetlerinin yürütülmesi, saklama ve arşiv faaliyetlerinin yürütülmesi, taleplerin takibi, faaliyetlerin mevzuata uygun yürütülmesi, hukuk işlerinin takibi ve yürütülmesi, hizmet satış süreçlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması amacıyla KVKK m. 6/3 (özel nitelikli veriler) ve KVKK m. 5/2-a, ç, e (diğer veriler) kapsamında işlenmektedir.

Bazı ilaçlarda sağlık hizmetleri ile ilgili finansmanın planlanması amacıyla ilgili mevzuat uyarınca SGK’ya Medula sistemi aracılığıyla aktarım yapılmaktadır. Ayrıca Devlet Malzeme Ofisine bilgi verilmesi ve finans ve muhasebe işlemlerinin yürütülmesi amacıyla kişisel veri içermeden, yalnızca ilaç bilgisi olacak şekilde aktarım yapılmaktadır.

Finans ve muhasebe işlemlerinde veri işlemeye yönelik bilgilendirme yukarıda mali işlemlere yönelik ilgili bölümde yer almaktadır.

4.6. Rapor İşlemleri

Rapor işlemleri, hastanemizin Kurullar ve Konseyler birimi aracılığıyla yapılmaktadır. Bu kapsamda ilaç raporları (bazı ilaçların alınması için gerekli raporların düzenlenmesi), maluliyet raporları (hastaların maluliyet durumlarını belirtir raporların düzenlenmesi), istirahat raporları (hastaların istirahat durumlarını belirtir raporların düzenlenmesi) ve adli raporlar ile ilgili işlemler yürütülmektedir.

Rapor işlemlerinde; hasta barkodu ve hekimin düzenlediği istek formu bilgileriyle hastanın ad, soyadı, kimlik numarası, doğum tarihi, protokol numarası ve ilgili sağlık bilgileri; faaliyetlerin mevzuata uygun yürütülmesi, hukuk işlerinin takibi ve yürütülmesi, iletişim faaliyetlerinin yürütülmesi, iş faaliyetlerinin yürütülmesi, hizmet operasyon süreçlerinin yürütülmesi, hizmet alan ilişkileri yönetimi süreçlerinin yürütülmesi, saklama ve arşiv faaliyetlerinin yürütülmesi, talep / şikayetlerin takibi, yetkili kişi, kurum veya kuruluşlara bilgi verilmesi, bakım ve sağlık hizmetlerinin yürütülmesi, planlanması amacıyla işlenmektedir. Bu bilgiler; ilgili kişiden, kurum kaynaklarından veya kurum dışı kaynaklardan (SGK, Adalet Bakanlığı gibi) fiziksel, muayene veya elektronik ortamda KVKK m. 5/2-a, b, c, ç, e ve KVKK m. 6/3 kapsamında elde edilmektedir.

İlaç raporu işlemlerinde İşlenen kişisel veriler, sağlık hizmetleri ile ilgili finansmanın planlanması amacıyla ilgili mevzuat uyarınca SGK’ya Medula sistemi aracılığıyla aktarılır. Bunun dışında, bakım hizmetleri ile sağlık hizmetlerinin yürütülmesi ile finansmanın planlanması amacıyla eczane sistemine yansıtılır.

Maluliyet raporu işlemlerinde SGK’ya başvuran hasta, sevk evrakıyla poliklinikte muayene olmaktadır. Bu kapsamda işlenen kişisel veriler, sağlık hizmetleri ile ilgili finansmanın planlanması amacıyla (maluliyet oranı tespitinin yapılması için) ilgili mevzuat uyarınca SGK’ya KEP aracılığıyla aktarılır.

İstirahat raporu işlemlerinde hekimlerimiz aracılığıyla SGK’ya sağlık hizmetleri ile finansmanın planlanması amacıyla veri girişi yapılır. İşlenen kişisel veriler, sağlık hizmetleri ile ilgili finansmanın planlanması amacıyla (maluliyet oranı tespitinin yapılması için) ilgili mevzuat uyarınca SGK’ya aktarılır.

Adli rapor işlemlerinde ise hasta, ilgili kamu kurumundan temin ettikleri yazıyla evrak girişe kayıt yaptırmakta, sonrasında sağlık hizmetleri ile ilgili işlemler yürütülmektedir. Bu işlemlerde kişinin yukarıda sayılan bilgilerine ek olarak hukuki işlem veya ceza mahkumiyeti ile güvenlik tedbiri bilgileri işlenebilmektedir. İşlenen kişisel veriler, sürecin sonunda sürecin devamı için zorunluysa veya talep halinde uygunluk değerlendirmesi yapılarak yetkili kamu kurum veya kuruluşları ile dijital veya fiziksel yollarla KEP/EBYS aracılığıyla ya da fiziksel olarak paylaşılır. Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi durumu mevcutsa, bu durum KVKK m. 28 kapsamında istisna hükümleri arasında yer almaktadır.

4.7. Laboratuvar İşlemleri

Hastahane içi laboratuvarlarımız aracılığıyla, tanı veya tetkik amaçlı işlemler yapılmaktadır. Bu kapsamda hastanın kimlik bilgileri (ad, soyadı, kimlik numarası, doğum tarihi), iletişim bilgileri (telefon numarası), müşteri/hasta işlem bilgileri (protokol numarası, hasta barkodu), sağlık/genetik bilgileri (tanı veya tetkikle ilgili olan sağlık bilgileri), bazı durumlarda (bekar veya çocuk hastalar gibi) yakının bilgileri (ad, soyadı, telefon numarası, yakınlık derecesi); acil durum yönetimi süreçlerinin yürütülmesi, bilgi güvenliği süreçlerinin yürütülmesi, faaliyetlerin mevzuata uygun yürütülmesi, hukuk işlerinin takibi ve yürütülmesi, iletişim faaliyetlerinin yürütülmesi, iş faaliyetlerinin yürütülmesi, hizmet satış süreçlerinin yürütülmesi, hizmet satış sonrası destek hizmetlerinin yürütülmesi, hizmet operasyon süreçlerinin yürütülmesi, hizmet alan ilişkileri yönetimi süreçlerinin yürütülmesi, risk yönetimi süreçlerinin yürütülmesi, saklama ve arşiv faaliyetlerinin yürütülmesi, talep / şikayetlerin takibi, ücret politikasının yürütülmesi, yetkili kişi, kurum veya kuruluşlara bilgi verilmesi amaçlarıyla KVKK m. 5/2-a, b, c, ç, e, f ve KVKK m. 6/3 (özel nitelikli veriler) kapsamında işlenmektedir. İşlenen bilgiler; ilgili kişiden, kurum dışı kaynaklardan (örneği veli, vasi, temsilci gibi) veya kurum kaynaklarından dijital veya muayene yöntemiyle elde edilmektedir. Hasta ve hasta yakınına ilişkin işlenen bilgiler; kamu sağlığının korunması, sağlık hizmetleri ile finansmanının planlanması ve yönetilmesi amacıyla yetkili kamu kurum veya kuruluşlarına (T.C. Sağlık Bakanlığı) aktarılmaktadır. Ayrıca yetkili kamu kurum veya kuruluşlarından gelen talepler doğrultusunda uygunluk değerlendirmesi yapılarak, bilgi verilmesi ve faaliyetlerin mevzuata uygun yürütülmesi amacıyla yetkili kamu kurum veya kuruluşuna aktarım yapılabilmektedir. Ayrıca laboratuvar işlemlerimizde iş sürekliliğinin sağlanması amacıyla kullanılan yazılıma aktarım yapılmaktadır.

4.8. Kamera Kayıt İşlemleri

Hastanemiz içerisinde ve çevresinde güvenlik kameraları aracılığıyla görüntülükayıt yapılmaktadır. Bu kayıtlar; acil durum yönetimi süreçlerinin yürütülmesi, faaliyetlerin mevzuata uygun yürütülmesi, bilgi güvenliği süreçlerinin yürütülmesi, fiziksel mekan güvenliğinin sağlanması, hukuk işlerinin takibi ve yürütülmesi, risk yönetimi süreçlerinin yürütülmesi, saklama ve arşiv faaliyetlerinin yürütülmesi, veri sorumlusu operasyonlarının güvenliğinin temini amaçlarıyla KVKK m. 5/2-ç, e ve f kapsamında işlenmektedir. Elde edilen kayıtlar, talep edilmesi halinde veya hukuki bir işlemin tesis edilmesi durumunda yetkili kişi kurum veya kurumlara bilgi verilmesi ve hukuk işlerinin takibi amacıyla üçüncü kişilerle (Adalet Bakanlığı, İç İşleri Bakanlığı, Sağlık Bakanlığı gibi) paylaşılabilmektedir.

4.9. Santral İşlemleri

Santral aracılığıyla iletişim kuran kişilerin ad, soyadı, telefon numarası, çağrı ve randevu bilgisi ile ses bilgisi işlenmektedir. Söz konusu veri işlemeye yönelik bilgilendirme, santral aracılığıyla otomatik olarak yapılmaktadır.

4.10. İnternet Sitesi Aracılığıyla Çerezlere Yönelik Veri İşlenmesi

İnternet sitemizde bulunan çerezlerle ilgili olarak, yine internet sitemizde çerez aydınlatma metni bulunmaktadır.

4.11. Hasta Yakını veya Hasta Tarafından Belirtilen Üçüncü Kişi Verilerinin İşlenmesi

Bazı durumlarda hastanın tanı veya teşhisinin belirlenmesi veya hastaya uygulanacak tedavi yönteminin doğru tespit edilebilmesi amacıyla üçüncü kişiye ait kişisel veriler işlenebilmektedir. Yine, bazı durumlarda tanı, teşhis veya tedaviyle ilişkili olmasa da hasta tarafından üçüncü kişi bilgileri hastanemize iletilebilmektedir. Bu durumlarda hastayı bilgilendirme yükümlülüğü, hastaya veya kişisel bilgileri hastanemize ileten kişiye aittir.

5- SAĞLIK VERİLERİNİ TOPLAMA YÖNTEMLERİ

Kişisel verileriniz; yüz yüze muayene/tedavi sırasında, telefon/e-posta/online randevu/hasta kayıt sistemi gibi kanallardan, laboratuvar/görüntüleme kuruluşlarından gelen sonuçlar aracılığıyla (Veri Sorumlusu, Acıbadem İzmir Kent Hastahanesi’nin laboratuvar sistemi olan …’ı kullanacaktır.) otomatik veya kısmen otomatik olmayan yollarla toplanabilir.

6-HUKUKİ SEBEP

Kişisel verilerin ilgili kişinin açık rızası bulunmaksızın işlenmesi yasaktır ancak kanunlarda açıkça öngörülmesi , fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması ,bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması ,veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması ,bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması veya ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması hallerinde ilgili kişinin açık rızasına başvurulmaz.

Özel nitelikli kişisel verilerin de ilgilinin açık rızası olmaksızın işlenmesi yasaktır. Ancak sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık verileri kural olarak açık rıza olmaksızın işlenemez; ancak KVKK m.6’da sağlık verileri için özel bir işleme şartı öngörülmüştür “Sağlık verileri; kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından açık rıza aranmaksızın işlenebilir.” şeklinde düzenleme yapılmıştır.

Kişisel verileriniz, KVKK’da aşağıda öngörülen işleme şartlarına dayanılarak işlenir :

A) Genel nitelikli kişisel veriler (KVKK m.5):

Örneğin; kanunda açıkça öngörülmesi, sözleşmenin kurulması/ifası, veri sorumlusunun hukuki yükümlülüğü, bir hakkın tesisi/kullanılması/korunması gibi sebeplerle açık rıza aranmaksızın işlenebilir.

B) Sağlık verileri dahil özel nitelikli kişisel veriler (KVKK m.6):

Özel nitelikli verilerin işlenmesi kural olarak yasaktır; ancak KVKK m.6/3’te sayılan hallerde mümkündür. Sağlık hizmeti bakımından özellikle şu bentler pratikte dayanak olur:

m.6/3-e: sır saklama yükümlülüğü altındaki kişilerce veya yetkili kurum/kuruluşlarca; kamu sağlığı, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım, sağlık hizmetlerinin planlanması-yönetimi-finansmanı amacıyla gerekli olması ayrıca somut duruma göre kanunda açıkça öngörülme (m.6/3-b), hakkın tesisi/kullanılması/korunması (m.6/3-d) vb.

Özel nitelikli veriler işlenirken Kurulun belirlediği yeterli önlemler ayrıca alınır.

Açık rıza ancak gerekli olduğunda alınır. Açık rıza; “belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan” rızadır.

7- SAĞLIK VERİLERİNİN AKTARILMASINDA ALICI GRUPLARI VE AMAÇLAR

7.1. Yurt İçi Aktarım

• Verileriniz, amaçlarla sınırlı olarak ve gerekli olduğu ölçüde aşağıdaki alıcı gruplarına aktarılabilir:
• Yetkili kamu kurum ve kuruluşları: Sağlık Bakanlığı ve bağlı sistemler, SGK (varsa), mahkemeler/İcra daireleri, kolluk, vergi idaresi vb.
• Laboratuvar/medikal görüntüleme merkezleri, hastaneler, konsültasyon yapılan sağlık profesyonelleri (gerektiğinde)
• Muhasebe/mali müşavirlik ve finans kuruluşları (faturalama/ödeme süreçleri için)
• Hukuk danışmanları/avukatlar (uyuşmazlık/hak takibi hallerinde)
• BT/dijital hizmet sağlayıcıları (randevu yazılımı, hasta yönetim sistemi, e-posta/SMS hizmeti vb.)
• Aktarım, KVKK m.8’deki şartlara uygun yapılır.

7.2. Yurt Dışına Aktarım

Kişisel verilerinizin yurt dışına aktarılması, ancak KVKK’nın 9. maddesinde öngörülen şartların sağlanması hâlinde mümkündür. Bu kapsamda kişisel verileriniz;

İlgili kişinin açık rızasının bulunması, veya

Kişisel Verileri Koruma Kurulu tarafından yeterli korumaya sahip olduğu ilan edilen ülkelere aktarım yapılması, veya

Kurul tarafından onaylanan uygun güvencelerin (taahhütname, standart sözleşme vb.) sağlanması

şartlarından en az birinin varlığı hâlinde yurt dışına aktarılabilir.

Bu şartlar sağlanmaksızın kişisel verileriniz yurt dışına aktarılmaz.

8- SAKLAMA SÜRESİ

Kişisel verileriniz; ilgili sağlık mevzuatı, vergi mevzuatı ve diğer yasal düzenlemelerde öngörülen süreler boyunca saklanmaktadır.

Bu kapsamda:

Hasta dosyaları ve sağlık verileri, ilgili mevzuat uyarınca en az 20 yıl,

Mali işlemlere ilişkin kayıtlar, Vergi Usul Kanunu uyarınca en az 10 yıl

süreyle muhafaza edilir.

Saklama süresinin sona ermesi hâlinde kişisel veriler, KVKK’nın 7. maddesi uyarınca silinir, yok edilir veya anonim hâle getirilir.

9-VERİ GÜVENLİĞİ

Kişisel verilerinizin hukuka aykırı olarak işlenmesini, erişilmesini ve ifşasını önlemek amacıyla KVKK’nın 12. maddesi uyarınca gerekli idari ve teknik tedbirler alınmaktadır.

Bu kapsamda alınan başlıca tedbirler şunlardır:

Sağlık verilerine erişimin yetki ve rol esasına göre sınırlandırılması,

Elektronik sistemlerde kullanıcı loglarının tutulması,

Fiziksel hasta dosyalarının kilitli ve erişimi sınırlandırılmış alanlarda muhafaza edilmesi,

Dijital veriler için şifreleme ve güvenli erişim yöntemlerinin kullanılması,

Sağlık verilerine erişimi bulunan kişilerin sır saklama yükümlülüğü altında çalışması.

10- İLGİLİ KİŞİ OLARAK HAKLARINIZ (KVKK M.11)

İlgili kişinin hakları, 6698 sayılı Kanun’un 11. Maddesinde yer almaktadır. Bu madde kapsamındaki haklarınızı Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’e uygun bir şekilde tarafımıza başvuruda bulunarak kullanabilirsiniz.

KVKK m.11 uyarınca; sağlık verilerinizin işlenip işlenmediğini öğrenme, işlenmişse bilgi talep etme, amacına uygun kullanılıp kullanılmadığını öğrenme, düzeltilmesini/silinmesini isteme, aktarım yapılan üçüncü kişilere bildirilmesini isteme vb. haklara sahipsiniz.

Kişisel verilerin işlenmesiyle ilgili daha detaylı bilgi için ilgili kişi kendisine sözlü olarak bilgilendirme yapılmasını isterse, danışma veya hasta kayıt biriminden sözlü bilgilendirme talep edebilir.

9-BAŞVURU USULÜ

Kişisel verilerinizin Hastanemiz tarafından veri sorumlusu sıfatı ile işlendiği ölçüde Kişisel Verilerin Korunması Kanunu’nun 11. Maddesi gereği, internet sitemizden ve danışma birimimizden temin edeceğiniz “KVKK Erişim/ Bilgi Talep Formu’ nu doldurup hizmet almış olduğunuz hastane adresine elden teslim ederek, Noter kanalıyla göndererek veya gebzedoga@hs01.kep.tr adresine güvenli elektronik imza ile ileterek;

• • İşlenip işlenmediğini öğrenme,
• • İşlenmişse buna ilişkin bilgi talep etme,
• • İşlenme amacını ve amacına uygun kullanılıp kullanılmadığını öğrenme,
• • Aktarıldığı üçüncü kişileri bilme, eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
• • Sağlık Mevzuatının gerektirdiği hasta kayıtlarının saklanması ve muhafazası ile ilgili yasal yükümlülük saklı kalmak kaydıyla, 6698 sayılı Kanun’un 7. maddesinde öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme,
• • Aktarıldığı üçüncü kişilere yukarıda belirtilen düzeltme, silinme veya yok edilme kapsamında yapılan işlemlerin bildirilmesini isteme,
• • Münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle aleyhinize bir sonucun ortaya çıkmasına itiraz etme,
• • Kanuna aykırı olarak işlenmesi sebebiyle zarara uğramanız hâlinde zararın giderilmesini talep etme,

haklarına sahipsiniz.

Hastanemiz, talebin niteliğine göre talebi en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandıracaktır. Ancak işlemin ayrıca bir maliyeti gerektirmesi halinde, Hastanemiz tarafından Kişisel Verileri Koruma Kurulunca belirlenen tarifedeki ücret talep edilecektir.