Özel Nitelikli Kişisel Veri İşleme Faaliyetinde Bulunan Şirketler ve Uyulması Gereken Usul ve Esaslar
Sağlık kuruluşları, faaliyetleri bakımından kişilerin pek çok verisini işlemektedir. Bunların başında sağlık verileri yer almaktadır. Sağlık verisi, gerçek kişilerin fiziksel ve ruhsal sağlığına ilişkin her türlü bilgi olarak tanımlanmaktadır. Sağlık verilerinin neler olduğu konusunda sayma yoluna gidilmemiştir. Hastanın öyküsü, tanılar ve tetkikler, tahliller, tedaviler, kullandığı ilaçlar ve kişinin sağlığına ilişkin her türlü verileri bünyesinde barındırmaktadır. Niteliği itibariyle özel nitelikli kişisel veri kategorisini haiz olan sağlık verileri, kişilerin ayrımcılığa uğramasına veya mağduriyetlerine sebep olabileceğinden işbu verilerin işleme şartları sıkı koşullara tabi tutulmuştur.
Kanunda özel nitelikli kişisel veriler, sınırlı sayma yoluyla belirlenmiştir. Bunlar; kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileridir.
Örneğin hastaneler, eczaneler, diyetisyenler, psikologlar, diş hekimleri, ortopedistler ve bunun gibi özel nitelikli kişisel veri işleyen veri sorumluları bünyelerinde pek çok sağlık verisi toplamakta, aktarmakta ve saklamaktadır. Bu kapsamda Kanun’un lafzı ile özel nitelikli kişisel veri işleyen veri sorumluları; “kişisel veri işleme” faaliyetinde bulunmaktadır. Söz konusu veri işleme faaliyetini gerçekleştirirken, Kanun’un getirdiği usul ve esaslar ile yükümlülüklere uyulması gerekmektedir.
Sektörel bazda pek çok hastaneye, eczaneye ve niteliği itibari ile özel nitelikli kişisel veri işleyen işletmelere KVKK kapsamında danışmanlık hizmeti sunan HAK HUKUK OFİSİ ve uzman ekip kadrosuyla kişisel veri işleme faaliyetini sürdürdüğünüz her faaliyeti KVKK’ya uyumlu hale getirecektir. HAK HUKUK OFİSİ EKİBİ; bilgi ve donanımı ile yıllardır çalıştığı ve uzmanlık alanını oluşturduğu KVKK alanında sizler için en doğru çözüm yollarını pratik, sonuç odaklı ve regülasyonlara uygun bir şekilde sunacaktır. Özel nitelikli kişisel veri işleyen veri sorumlularının uyması gereken yükümlülükler, yalnızca VERBİS kaydından ibaret değildir. VERBİS kaydı, veri sorumlularının uyması gereken yükümlülüklerden yalnızca bir tanesidir. Bunun dışında Kişisel Verileri Koruma Kurulu’nun (“Kurul”) tavsiyeleri ile KVKK’nın düzenlemiş olduğu usul ve esaslar neticesinde yapılması gereken pek çok yükümlülük bulunmaktadır. Özel nitelikli kişisel veri işleyen veri sorumluları, kişisel verilerin güvenliğini sağlamak için gerekli tüm teknik ve idari tedbiri almakla yükümlüdür. Bu kapsamda uzman avukat ekibi ile birlikte çalışmanız kapsamında alınacak teknik ve idari tedbirler;
- Kişisel Veri Envanteri Hazırlanması: VERBİS Sicil doğru, tam ve eksiksiz bir şekilde hazırlanabilmesi için kişisel veri envanteri hazırlanması gerekmektedir. Kişisel veri envanteriniz, şirketinizde çalışan ve veriye temas eden her bir personelin iş sürecinin; hangi kişisel verileri topladığı, topladığı kişisel verilerin kime ait olduğu, topladığı kişisel verileri nerelere aktardığı, bu kişisel verileri sakladığı yeri ile söz konusu kişisel verilerin güvenliğini sağlamak için ne gibi teknik ve/veya idari tedbirler aldığını içerecek şekilde detaylandırılmalıdır. Kişisel veri envanteri hazırlanması, başlı başına uzmanlık ve zaman gerektiren bir süreçtir. Bu noktada uzman avukatlar ekibimiz, sizlerin tüm ihtiyaçlarını en doğru şekilde karşılayacaktır.
- Farkındalık Eğitimlerinin Verilmesi: Kanun ve buna bağlı yönetmelikler ve özel nitelikli kişisel veri güvenliği konularında personellerinize düzenli eğitimlerin verilmesi gerekmektedir. Uzman avukatlardan oluşan ekibimiz, personellerinize periyodik eğitimler vererek kişisel veri işleme faaliyetleriniz konusunda sizlere farkındalık kazandıracaktır.
- Veri Analizlerinin Yapılması: Şirket bünyesinde bulunan hastalara, müşterilere, ziyaretçilere ait kişisel veriler, özlük dosyaları, üçüncü kişilerle yapılan sözleşmeler, kamera ve ses kayıtları, sağlık raporları ve iş yeri hekimi faaliyetleri KVKK kapsamında uzman avukatlardan oluşan ekibimiz tarafından yapılarak Kanun’a uygun hale getirilecektir.
- Hukuki Dokümantasyonların Hazırlanması: Personellerinizin işlediği veya erişebildiği kişisel veriler ile özel nitelikli kişisel veriler bakımından güvenlik zafiyetleri sebebi ile Şirketinizin sorumluluğuna gidilmesinin önüne geçilebilmesi adına personellere yönelik gizlilik sözleşmeleri hazırlanması gerekmektedir. Yapılacak veri analizi neticesinde şirketiniz için zorunlu olan açık rıza, aydınlatma, taahhütname, veri saklama ve imha prosedürü, veri güvenliği politikası gibi metinler hazırlanacak aynı zamanda tedarikçileriniz ile aranızdaki veri akışını düzenleyen Veri Sorumlusu-Veri Sorumlusu veya Veri Sorumlusu – Veri İşleyen Aktarım ve Sorumluluğa ilişkin gizlilik anlaşmaları düzenlenecektir. Şirketinizin tüm sözleşmeleri KVKK’ya uyumlu hale getirilecektir.
- VERBİS Kaydı: Uzman Avukatlardan oluşan ekibimizle birlikte hazırlanacak kişisel veri envanteriniz neticesinde tespit edilen tüm süreçler, kategorik bazda VERBİS’e kaydedilecektir. Yıllık çalışan sayısı 50’den az ve yıllık mali bilançosu 25 milyon TL’ den fazla olan veya Yıllık çalışan sayısı 50’den az ve yıllık mali bilançosu 25 milyon TL az olup ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek ve tüzel kişi veri sorumlularının Sicile kayıt yükümlülüğünü yerine getirmeleri için belirlenen süre 31.12.2021 tarihinde sona ermektedir.
- Periyodik Denetim ve Danışmanlık: Uzman Avukatlardan oluşan ekibimiz, KVKK Uyum Projesi sonrasında uygulamaya konulan prosedürlerin, veriye temas eden personel tarafından uygulanıp uygulanmadığı, idari ve teknik tedbirlerin Kanun’un aradığı şartlar ve güncel Kurul kararlarına uygun olup olmadığına ilişkin periyodik denetim ve danışmanlık hizmeti verecektir.
- Teknik Tedbirler: Siber Güvenlik ve teknik tedbirlere ilişkin faaliyetler (yetki matrisi, yetki kontrol, erişim logları, ağ güvenliği, şifreleme, saldırı tespit ev önleme sistemleri, log kayıtları, veri kaybı önleme yazılımları, güvenlik duvarları, güncel antivirüs sitemleri, kullanıcı hesap yönetimi ile silme, yok etme ve anonim hale getirme politikasının hazırlanması) alanında uzman ve yılların deneyimine sahip Çözüm ortağımız tarafından yerine getirilecektir.