MIAS Dental Clinic Logo
KVKK Bilgi Portalı

ÖZEL NİTELİKLİ KİŞİSEL VERİ İŞLEME POLİTİKASI VE PROSEDÜRÜ

6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 6’ncı maddesinin (4) numaralı fıkrasında, “Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır.” hükmü yer almaktadır.

Bu çerçevede, Kanunun 22’nci maddesinin (1) numaralı fıkrasının (ç) ve (e) bentleri uyarınca özel nitelikli kişisel veri işleyen veri sorumluları tarafından alınması gereken yeterli önlemler Kişisel Verileri Koruma Kurulu tarafından belirlenmiştir.

Veri Sorumlusu olarak Özel nitelikli kişisel verilerin işlenmesinde Özel nitelikli kişisel verilerin güvenliğine yönelik sistemli, kuralları net bir şekilde belli, yönetilebilir ve sürdürülebilir ayrı bir politika ve prosedürün belirlenmesi, gerekmektedir.

  1. Özel Nitelikli Kişisel Veriler yalnızca Veri Öznesinin Açık Rızasının bulunması yahut cinsel hayat ve kişisel sağlık verileri dışındaki Özel Nitelikli Kişisel Veriler bakımından kanunlarda açıkça işlemenin zorunlu tutulması halinde işlenebilir.
  2. Sağlık ve cinsel hayata ilişkin Kişisel Veriler, ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler (örn. Şirket hekimi) veya yetkili kurum ve kuruluşlar tarafından Açık Rıza almaksızın işlenebilir.
  3. Özel Nitelikli Kişisel Veriler İşlenirken, Kurul tarafından belirlenen önlemler alınır.
  4. Şirket, Özel Nitelikli Kişisel Verilerin işlenmesi süreçlerinde yer alan çalışanlara yönelik, KVK Düzenlemeleri ile Özel Nitelikli Kişisel Verilerin güvenliği konularında düzenli olarak eğitimler verecektir.
  5. Gizlilik sözleşmeleri yapacaktır.
  6. Özel Nitelikli Kişisel Verilere erişim yetkisine sahip kullanıcıların yetki kapsamlarını ve sürelerini net olarak tanımlayacaktır.
  7. Periyodik olarak yetki kontrollerini gerçekleştirecektir.
  8. Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkilerini derhal kaldırır ve ilgili çalışana tahsis edilen envanteri derhal geri alacaktır.

9. Elektronik Ortam Güvenliği

Özel Nitelikli elektronik ortamlara aktarılması durumunda, Özel Nitelikli Verilerin işlendiği, muhafaza edildiği ve/veya erişildiği elektronik ortamlar ile ilgili olarak Şirket:

  • 9.1.Özel Nitelikli Kişisel Verileri kriptografik yöntemler kullanarak muhafaza edecektir.
  • 9.2.Kriptografik anahtarları güvenli ve farklı ortamlarda tutacaktır.
  • 9.3.Özel Nitelikli Kişisel Veriler üzerinde gerçekleştirilen tüm hareketlerin işlem kayıtlarını güvenli olarak loglayacaktır.
  • 9.4.Özel Nitelikli Kişisel Verilerin bulunduğu ortamlara ait güvenlik güncellemelerini sürekli takip edecek, gerekli güvenlik testlerini düzenli olarak yapacak/yaptıracak, test sonuçlarını kayıt altına alacaktır.
  • 9.5.Özel Nitelikli Kişisel Verilere bir yazılım aracılığıyla erişiliyorsa bu yazılıma ait kullanıcı yetkilendirmelerini yapacak, bu yazılımların güvenlik testlerini düzenli olarak yapacak/yaptıracak, test sonuçlarını kayıt altına alacaktır.
  • 9.6.Özel Nitelikli Kişisel Verilere uzaktan erişim olması halinde en az iki kademeli kimlik doğrulama sistemi sağlayacaktır.

10. Fiziksel Ortam Güvenliği

Özel Nitelikli Kişisel Verilerin fiziksel ortamda işlenmesi durumunda, Verilerin işlendiği, muhafaza edildiği ve/veya erişildiği fiziksel ortamlar ile ilgili olarak Şirket:

  • 10.1.Özel Nitelikli Kişisel Verilerin bulunduğu ortamın niteliğine göre yeterli güvenlik önlemlerinin (elektrik kaçağı, yangın, su baskını, hırsızlık vb. durumlara karşı) alındığından emin olacaktır.
  • 10.2.Bu ortamların fiziksel güvenliğini sağlayarak yetkisiz giriş çıkışları engelleyecektir.

11. Veri Aktarımı

Özel Kişisel Verilerin aktarılması halinde, Veri Sorumlusu:

  • 11.1.Özel Nitelikli Kişisel Verilerin e-posta yoluyla aktarılmasının gerekmesi halinde şifreli kurumsal e-posta adresi veya Kayıtlı Elektronik Posta (“KEP”) hesabı kullanacaktır.
  • 11.2.Özel Nitelikli Kişisel Verilerin taşınabilir bellek, CD, DVD gibi ortamlar yoluyla aktarımın gerekli olması halinde kriptografik yöntemlerle şifreleme yapar ve kriptografik anahtarı farklı ortamda tutacaktır.
  • 11.3.Özel Nitelikli Kişisel Verilerin farklı fiziksel ortamlardaki sunucular arasında aktarılması gerekiyorsa, sunucular arasında VPN kurarak veya SFTP yöntemiyle aktarımı gerçekleştirecektir.
  • 11.4.Özel Nitelikli Kişisel Verilerin kağıt ortamı yoluyla aktarımının gerekli olması halinde, evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemleri alır ve evrakı “gizlilik dereceli belgeler” formatında gönderecektir.
  1. Yukarıdaki düzenlemelere ek olarak, Şirket, Özel Nitelikli Veriler dahil Kişisel Verilerin güvenliğinin sağlanmasına ilişkin Kurul tarafından yayımlanan başta Kişisel Veri Güvenliği Rehberi olmak üzere KVK Düzenlemelerine uygun hareket edecektir.
  2. Özel Nitelikli Kişisel Verilerin İşlenmesini gerektiren her durumda, ilgili çalışan tarafından [Veri Sorumlusu Temsilcisi ve/veya Komite] bilgilendirilir.
  3. Bir verinin Özel Nitelikli Kişisel Veri olup olmadığı anlaşılabilir değil ise ilgili departman tarafından [Veri Sorumlusu Temsilcisi ve/veya Komite’den] görüş alınır.