Özel Nitelikli Kişisel Veri İşleme Faaliyetinde Bulunan Şirketler ve Uyulması Gereken Usul ve Esaslar

Sağlık kuruluşları, faaliyetleri bakımından kişilerin pek çok verisini işlemektedir. Bunların başında sağlık verileri yer almaktadır. Sağlık verisi, gerçek kişilerin fiziksel ve ruhsal sağlığına ilişkin her türlü bilgi olarak tanımlanmaktadır. Sağlık verilerinin neler olduğu konusunda sayma yoluna gidilmemiştir. Hastanın öyküsü, tanılar ve tetkikler, tahliller, tedaviler, kullandığı ilaçlar ve kişinin sağlığına ilişkin her türlü verileri bünyesinde barındırmaktadır. Niteliği itibariyle özel nitelikli kişisel veri kategorisini haiz olan sağlık verileri, kişilerin ayrımcılığa uğramasına veya mağduriyetlerine sebep olabileceğinden işbu verilerin işleme şartları sıkı koşullara tabi tutulmuştur.

Kanunda özel nitelikli kişisel veriler, sınırlı sayma yoluyla belirlenmiştir. Bunlar; kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileridir.

Örneğin hastaneler, eczaneler, diyetisyenler, psikologlar, diş hekimleri, ortopedistler ve bunun gibi özel nitelikli kişisel veri işleyen veri sorumluları bünyelerinde pek çok sağlık verisi toplamakta, aktarmakta ve saklamaktadır. Bu kapsamda Kanun’un lafzı ile özel nitelikli kişisel veri işleyen veri sorumluları; “kişisel veri işleme” faaliyetinde bulunmaktadır. Söz konusu veri işleme faaliyetini gerçekleştirirken, Kanun’un getirdiği usul ve esaslar ile yükümlülüklere uyulması gerekmektedir.

Sektörel bazda pek çok hastaneye, eczaneye ve niteliği itibari ile özel nitelikli kişisel veri işleyen işletmelere KVKK kapsamında danışmanlık hizmeti sunan DPC Kişisel Veri Güvenliği ve Danışmanlık Hizmetleri A.Ş., (“DPC”) bünyesinde barındırdığı Ceo Av. Sefa Karcıoğlu ve uzman ekip kadrosuyla kişisel veri işleme faaliyetini sürdürdüğünüz her faaliyeti KVKK’ya uyumlu hale getirecektir. DPC Ceo’su Av. Sefa Karcıoğlu; bilgi ve donanımı ile uzun yıllardır çalıştığı ve uzmanlık alanını oluşturduğu KVKK alanında sizler için en doğru çözüm yollarını pratik, sonuç odaklı ve regülasyonlara uygun bir şekilde sunacaktır. Özel nitelikli kişisel veri işleyen veri sorumlularının uyması gereken yükümlülükler, yalnızca VERBİS kaydından ibaret değildir. VERBİS kaydı, veri sorumlularının uyması gereken yükümlülüklerden yalnızca bir tanesidir. Bunun dışında Kişisel Verileri Koruma Kurulu’nun (“Kurul”) tavsiyeleri ile KVKK’nın düzenlemiş olduğu usul ve esaslar neticesinde yapılması gereken pek çok yükümlülük bulunmaktadır. Özel nitelikli kişisel veri işleyen veri sorumluları, kişisel verilerin güvenliğini sağlamak için gerekli tüm teknik ve idari tedbiri almakla yükümlüdür. Bu kapsamda Av. Sefa Karcıoğlu ve bünyesinde bulunan uzman avukat ekibi ile birlikte çalışmanız kapsamında alınacak teknik ve idari tedbirler;

  1. Kişisel Veri Envanteri Hazırlanması: VERBİS Sicil doğru, tam ve eksiksiz bir şekilde hazırlanabilmesi için kişisel veri envanteri hazırlanması gerekmektedir. Kişisel veri envanteriniz, şirketinizde çalışan ve veriye temas eden her bir personelin iş sürecinin; hangi kişisel verileri topladığı, topladığı kişisel verilerin kime ait olduğu, topladığı kişisel verileri nerelere aktardığı, bu kişisel verileri sakladığı yeri ile söz konusu kişisel verilerin güvenliğini sağlamak için ne gibi teknik ve/veya idari tedbirler aldığını içerecek şekilde detaylandırılmalıdır. Kişisel veri envanteri hazırlanması, başlı başına uzmanlık ve zaman gerektiren bir süreçtir. Bu noktada Av. Sefa Karcıoğlu ve uzman ekibinden oluşan avukatlar, sizlerin tün ihtiyaçlarını giderecektir.
  • Farkındalık Eğitimlerinin Verilmesi: Kanun ve buna bağlı yönetmelikler ve özel nitelikli kişisel veri güvenliği konularında personellerinize düzenli eğitimlerin verilmesi gerekmektedir. Av. Sefa Karcıoğlu ve uzman ekibinden oluşan avukatlar, personellerinize periyodik eğitimler vererek kişisel veri işleme faaliyetleriniz konusunda sizlere farkındalık kazandıracaktır.
  • Veri Analizlerinin Yapılması: Şirket bünyesinde bulunan hastalara, müşterilere, ziyaretçilere ait kişisel veriler, özlük dosyaları, üçüncü kişilerle yapılan sözleşmeler, kamera ve ses kayıtları, sağlık raporları ve iş yeri hekimi faaliyetleri KVKK kapsamında Av. Sefa Karcıoğlu ve uzman ekibinden oluşan avukatlar tarafından yapılarak Kanun’a uygun hale getirilecektir.
  • Hukuki Dokümantasyonların Hazırlanması: Personellerinizin işlediği veya erişebildiği kişisel veriler ile özel nitelikli kişisel veriler bakımından güvenlik zafiyetleri sebebi ile Şirketinizin sorumluluğuna gidilmesinin önüne geçilebilmesi adına personellere yönelik gizlilik sözleşmeleri hazırlanması gerekmektedir. Yapılacak veri analizi neticesinde şirketiniz için zorunlu olan açık rıza, aydınlatma, taahhütname, veri saklama ve imha prosedürü, veri güvenliği politikası gibi metinler hazırlanarak Şirketinizin tüm sözleşmeleri KVKK’ya uyumlu hale getirilecektir. Bu kapsamda Av. Sefa Karcıoğlu ve uzman ekibinden oluşan avukatlarla sizlerin tüm iş süreçleri ve hukuki dokümanları denetlenecek, Kanun’a uygun hale getirilecektir.
  • VERBİS Kaydı: Av. Seda Karcıoğlu ve uzman ekibinden oluşan avukatlarla birlikte hazırlanacak kişisel veri envanteriniz neticesinde tespit edilen tüm süreçler, kategorik bazda VERBİS’e kaydedilecektir. Yıllık çalışan sayısı 50’den az ve yıllık mali bilançosu 25 milyon TL’ den az olup ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek ve tüzel kişi veri sorumlularının Sicile kayıt yükümlülüğünü yerine getirmeleri için belirlenen süre 31.12.2021 tarihinde sona ermektedir.
  • Periyodik Denetim ve Danışmanlık: Av. Sefa Karcıoğlu ve uzman ekibinden oluşan avukatlar, KVKK Uyum Projesi sonrasında uygulamaya konulan prosedürlerin, veriye temas eden personel tarafından uygulanıp uygulanmadığı, idari ve teknik tedbirlerin Kanun’un aradığı şartlar ve güncel Kurul kararlarına uygun olup olmadığına ilişkin periyodik denetim ve danışmanlık hizmeti verecektir.
  • Teknik Tedbirler: Av. Seda Karcıoğlu ve uzman ekibinden oluşan avukatlarla birlikte teknik konularda alınacak güvenlik tedbirleri neticesinde; yetki matrisi, yetki kontrol, erişim logları, ağ güvenliği, şifreleme, saldırı tespit ev önleme  sistemleri, log kayıtları, veri kaybı önleme yazılımları, güvenlik duvarları, güncel antivirüs sitemleri, kullanıcı hesap yönetimi ile silme, yok etme ve anonim hale getirme politikası hazırlanacaktır.