Sağlık kuruluşları, çalışma alanı bakımından kişilerin pek çok verisini işlemektedir. Bunların başında sağlık verileri yer almaktadır. Sağlık verisi, gerçek kişilerin fiziksel ve ruhsal sağlığına ilişkin her türlü bilgiyi içerir. Tanılar, ilaçlar ve tetkikler gibi kişinin sağlığına ilişkin her türlü verileri sağlık verisi olarak geçer. Bu yüzden bu tür veriler özel nitelikli kişisel veri kategorisi sayılır. Sağlık verileri, kişilerin ayrımcılığa veya mağduriyete sebep olabilir. Bu yüzden verilerin işleme şartları sıkı koşullara tabi tutulmuştur.
Kanunda kişilerin ırkı, etnik kökeni, dini, sağlığı gibi veriler özel nitelikli kişisel veri olarak belirtilmiştir. Aynı şekilde sağlık verisi işleyen veri sorumluları bünyelerinde pek çok sağlık verisi bulundurur. Bu yüzden kapsam Kanun’a göre özel nitelikli kişisel veri işleyen veri sorumluları; kişisel veri işlemektedir. Söz konusu veri işleme gerçekleştirirken, Kanun’un getirdiği usul ve esaslar ile yükümlülüklere uyulması gerekmektedir.
KVKK ve Sağlık Sektörü
Nesil Bilişim Teknoloji A.Ş. sağlık sektöründe bulunan birçok firmaya KVKK kapsamında danışmanlık hizmeti sunmuştur. Bünyesinde uzman avukat ve bilişimcilerden oluşan uzman bir ekip kadrosu barındırır. Bu sayede Nesil Teknoloji, uzman ekip kadrosuyla KVKK sürecini hukuki ve teknik yönden tamamlanmasını sağlar.
Özel nitelikli kişisel veri işleyen veri sorumlularının uyması gereken yükümlülükler, yalnızca VERBİS kaydından ibaret değildir. VERBİS kaydı, veri sorumlularının uyması gereken yükümlülüklerden son adımıdır. Bunun dışında Kişisel Verileri Koruma Kurulu’nun (“Kurul”) tavsiyeleriyle yapılması gereken pek çok yükümlülük bulunmaktadır. Ayrıca özel nitelikli kişisel veri işleyen veri sorumluları, kişisel verilerin güvenliğini sağlamak için gerekli tüm teknik ve idari tedbiri almakla yükümlüdür. Bu kapsamda Nesil Teknoloji ile birlikte çalışmanız kapsamında alınacak teknik ve idari tedbirler;
Kişisel Veri Envanteri Hazırlanması: VERBİS Sicil’i doğru, tam ve eksiksiz bir şekilde hazırlanabilmesi için kişisel veri envanteri hazırlanması gerekmektedir. Kişisel veri envanteriniz, şirketinizde çalışan ve veriyle ilgilenen her bir personelin iş sürecinin; hangi kişisel verileri topladığı, topladığı kişisel verilerin kime ait olduğu, topladığı kişisel verileri nerelere aktardığı, bu kişisel verileri sakladığı yeri içermelidir. Ayrıca söz konusu kişisel verilerin güvenliğini sağlamak için ne gibi teknik ve/veya idari tedbirler aldığını içerecek şeklinde hazırlanmalıdır. Ayrıca Kişisel veri envanteri hazırlanması, başlı başına uzmanlık ve zaman gerektiren bir süreçtir. Bu noktada avukatlarımız, sizlerin tün ihtiyaçlarını giderecektir.
KVKK Danışmanlık Evreleri
- Farkındalık Eğitimleri: Kanun ve buna bağlı yönetmelikler ve özel nitelikli kişisel veri güvenliği konularında personellerinize düzenli eğitimlerin verilmesi gerekmektedir. Danışmanlarımız personellerinize periyodik eğitimler vererek kişisel veri işleme faaliyetleriniz konusunda sizlere farkındalık kazandıracaktır.
- Veri Analizlerinin Yapılması: Şirket bünyesinde bulunan hastalara, müşterilere, ziyaretçilere ait kişisel veriler, özlük dosyaları, üçüncü kişilerle yapılan sözleşmeler, kamera ve ses kayıtları, sağlık raporları ve iş yeri hekimi çalışmaları KVKK kapsamına uygun hale getirilecektir.
- Hukuki Dokümantasyonlar: Personellerinizin işlediği veya erişebildiği kişisel veriler ile özel nitelikli kişisel veriler bakımından güvenlik zafiyetleri sebebi ile Şirketinizin sorumluluğuna gidilmesinin önüne geçilebilmesi adına personellere yönelik gizlilik sözleşmeleri hazırlanması gerekmektedir. Yapılacak veri analizi neticesinde şirketiniz için zorunlu olarak metinler hazırlanır. Şirketinizin tüm sözleşmeleri KVKK’ya uyumlu hale getirilecektir. Bu kapsamda sizlerin tüm iş süreçleri ve hukuki dokümanları denetlenerek, Kanun’a uygun hale getirilecektir.
- VERBİS: Danışmanlarımızla birlikte hazırlanacak kişisel veri envanteriniz neticesinde tespit edilen tüm süreçler, kategorik bazda VERBİS’e kaydedilecektir. Yıllık çalışan sayısı 50’den az ve yıllık mali bilançosu 25 milyon TL’ den az olup ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek ve tüzel kişi veri sorumlularının Sicile kayıt yükümlülüğünü yerine getirmeleri için belirlenen süre 31.03.2021 tarihinde sona ermektedir.
- Periyodik Denetim ve Danışmanlık: Danışmanlarımız, KVKK Uyum Projesi sonrasında uygulamaya konulan prosedürlerin, veriye temas eden personel tarafından uygulanıp uygulanmadığı, idari ve teknik tedbirlerin Kanun’un aradığı şartlar ve güncel Kurul kararlarına uygun olup olmadığına ilişkin periyodik denetim ve danışmanlık hizmeti verecektir.
- Teknik Tedbirler: Teknik konularda alınacak güvenlik tedbirleri neticesinde; yetki matrisi, yetki kontrol, erişim logları, ağ güvenliği, şifreleme, saldırı tespit ev önleme sistemleri, log kayıtları, veri kaybı önleme yazılımları, güvenlik duvarları, güncel antivirüs sitemleri, kullanıcı hesap yönetimi ile silme, yok etme ve anonim hale getirme politikası hazırlanacaktır.
KVKK Kurumunu ziyaret etmek için buraya tıklayabilirsiniz, KVKK Danışmanlık teklif mektubu için buraya tıklayın.
İçerik Üretici
Zeynep GÜLBAY
Nesil Bilişim Teknolojileri Tic. A.Ş.