GÜVEN HASTANESİ ANONİM ŞİRKETİ
ÖZEL NİTELİKLİ KİŞİSEL VERİ İŞLEME PROSEDÜRÜ

İşbu Özel Nitelikli Kişisel Veri İşleme Prosedürü, Güven Hastanesi Anonim Şirketi (“Şirket”) tarafından 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) uyarınca Veri Sorumlusu sıfatı ile gerçek kişilerden toplanan özel nitelikli kişisel verilerin işlenmesine ilişkin şartların belirlenmesi, tanımlanması, özel nitelikli kişisel veriler kapsamında alınması gereken önlemler ile özel nitelikli kişisel verilerin işlenmesi ve korunması konusunda sorumluluklarının belirlenmesine yönelik olarak hazırlanmıştır.

I. Tanımlar

"Açık Rıza"	Belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rıza anlamına gelmektedir.
"Çalışan"	Şirket ve iştirakleri ile iş sözleşmesi veya vekâlet sözleşmesine bağlı olarak işçi-işveren benzeri ilişkisi olan gerçek kişi anlamına gelmektedir.
"Kanun"	6698 sayılı Kişisel Verilerin Korunması Kanunu anlamına gelmektedir.
"Kişisel Veri"	Kimliği belirli veya belirlenebilir gerçek kişilere ilişkin her türlü bilgi anlamına gelmektedir.
"Kişisel Veri İşleme Envanteri"	Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları Kişisel Veri işleme faaliyetlerini; Kişisel Veri işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter anlamına gelmektedir.
"Kişisel Verilerin İşlenmesi"	Kişisel Verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem anlamına gelmektedir.
"Kurul"	Kişisel Verileri Koruma Kurulu anlamına gelmektedir.
"Kurum"	Kişisel Verileri Koruma Kurumu anlamına gelmektedir.
“Özel Nitelikli Kişisel Veri”	Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri anlamına gelmektedir.
"Prosedür"	İşbu Prosedür ve ileride kabul edilebilecek diğer politikaların tamamı anlamına gelmektedir.
“Veri İşleyen"	Veri Sorumlusu'nun verdiği yetkiye dayanarak onun adına Kişisel Verileri işleyen gerçek veya tüzel kişi anlamına gelmektedir.
“Veri Sahibi" veya “İlgili Kişi"	Verisi işlenen gerçek kişi anlamına gelmektedir.
"Veri Sorumlusu"	Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi anlamına gelmektedir.
"Veri Sorumlusu İrtibat Kişisi"	Veri Sorumlusu Şirket tarafından, Kanun ve bu Kanuna dayalı olarak çıkarılacak ikincil düzenlemeler kapsamındaki yükümlülükleriyle ilgili olarak, Kurum ile iletişimi sağlamak amacıyla Veri Sorumluları Sicili’ne kayıt esnasında bildirilen gerçek kişi anlamına gelmektedir.

II. Kapsam ve Amaç

Şirket, Kanun, Kurul kararları ve sair mevzuat hükümleri uyarınca, Veri Sorumlusu sıfatı ile işbu Prosedür'ü düzenlemiştir. Bu Prosedür, Şirket tarafından işlenen Özel Nitelikli Kişisel Veriler için işlenme şartları, işlenirken alınması gereken önlemler ve Şirket içerisinde sorumlulukların dağıtılmasına yönelik olarak hazırlanmıştır.

III. Özel Nitelikli Kişisel Verilerin İşlenme Şartları

Özel nitelikli kişisel verilerin işlenmesi yasaktır. Ancak bu verilerin işlenmesi;
- a) İlgili kişinin açık rızasının olması,
- b) Kanunlarda açıkça öngörülmesi,
- c) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin, kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
- ç) İlgili kişinin alenileştirdiği kişisel verilere ilişkin ve alenileştirme iradesine uygun olması,
- d) Bir hakkın tesisi, kullanılması veya korunması için zorunlu olması,
- e) Sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlarca, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması, yönetimi ve finansmanı amacıyla gerekli olması,
- f) İstihdam, iş sağlığı ve güvenliği, sosyal güvenlik, sosyal hizmetler ve sosyal yardım alanlarındaki hukuki yükümlülüklerin yerine getirilmesi için zorunlu olması,
- g) Siyasi, felsefi, dini veya sendikal amaçlarla kurulan vakıf, dernek ve diğer kâr amacı gütmeyen kuruluş ya da oluşumların, tâbi oldukları mevzuata ve amaçlarına uygun olmak, faaliyet alanlarıyla sınırlı olmak ve üçüncü kişilere açıklanmamak kaydıyla; mevcut veya eski üyelerine ve mensuplarına veyahut bu kuruluş ve oluşumlarla düzenli olarak temasta olan kişilere yönelik olması, halinde mümkündür.
Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır.
Özel Nitelikli Kişisel Verilerin işlenmesinde, “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler" ile ilgili Kurul'un 31/01/2018 Tarihli ve 2018/10 Sayılı Kararı uyarınca belirlenen yeterli önlemler ile Kurum'un internet sitesinde yayımlanan “Kişisel Veri Güvenliği Rehberi'nde belirtilen uygun güvenlik düzeyini temin etmeye yönelik teknik ve idari tedbirler de dikkate alınmaktadır.
Bir verinin Özel Nitelikli Kişisel Veri olup olmadığı anlaşılabilir değil ise ilgili departman tarafından Veri Sorumlusu İrtibat Kişisinden ve hukuk biriminden/hukuk danışmanından görüş alınır.

IV. Özel Nitelikli Veriler Kapsamında Alınması Gereken Önlemler

Şirket, işbu Prosedürde kuralları net bir şekilde belli, yönetilebilir ve sürdürülebilir bir sistem kurarak, Özel Nitelikli Kişisel Veriler'in işlenmesinde, Kurul'un 31.01.2018 Tarihli ve 2018/10 Numaralı kararı uyarınca, Veri Sorumlusu sıfatıyla, aşağıda belirtilen önlemleri almaktadır:

1. Özel Nitelikli Verilerin İşlenmesi Süreçlerinde Yer Alan Çalışanlara Yönelik Alınması Gereken Önlemler

Çalışanlara, Şirket Eğitim Prosedüründe yer alan hükümler uyarınca Kanun ve buna bağlı yönetmelikler ile Özel Nitelikli Kişisel Veri güvenliği konusunda düzenli olarak eğitimler verilir.
Çalışanlar ile gizlilik sözleşmeleri yapılır.
Şirket içinde kullanılan yazılımlarda yetkiler ve erişimler merkez tarafından belirlenmiştir, yöneticiler çalışanların yetkilerini görüntüleyebilmektedir.
Görev değişikliği olan ya da işten ayrılan Çalışanların bu alandaki yetkileri derhal kaldırılır. Veri Sorumlusu tarafından kendisine tahsis edilen Kişisel Veri İşleme Envanteri geri alınır.

2. Özel Nitelikli Kişisel Verilerin İşlendiği Ortama Göre Alınması Gereken Önlemler

i) Özel Nitelikli Kişisel Verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, elektronik ortam ise:

Veriler üzerinde gerçekleştirilen tüm hareketlerin işlem kayıtları güvenli olarak loglanır.
Verilerin bulunduğu ortamlara ait güvenlik güncellemelerinin sürekli takip edilir, gerekli güvenlik testlerinin düzenli olarak yapılır / yaptırılır ve test sonuçlarının kayıt altına alınması süreçleri işletilir.
Verilere bir yazılım aracılığı ile erişilmesi durumunda, bu yazılıma erişim sağlayacak kullanıcılar belirlenir ve kullanıcı yetkilendirmeleri yapılır.
Veriler kriptografik yöntemler kullanılarak muhafaza edilir, kriptografik anahtarlar güvenli ve farklı ortamlarda tutulur.

ii) Özel Nitelikli Kişisel Verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, fiziksel ortam ise:

Özel Nitelikli Kişisel Verilerin bulunduğu ortam niteliğine göre yeterli güvenlik önlemlerinin (elektrik kaçağı, yangın, su baskını, hırsızlık vb. durumlarına karşı) alındığından emin olunur.
Bu ortamların fiziksel güvenliği sağlanarak yetkisiz giriş çıkışlar engellenir.

3. Özel Nitelikli Kişisel Verilerin Aktarımında Alınması Gereken Önlemler

Farklı fiziksel ortamlardaki sunucular arasında aktarma gerçekleştiriliyorsa, sunucular arasında VPN kurularak veya sFTP yöntemiyle veri aktarımı gerçekleştirilir.
Verilerin kâğıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemler alınır ve evrak “gizlilik dereceli belgeler" formatında gönderilir.

Özel Nitelikli Kişisel Verilere ilişkin alınan bu önlemlerin denetimi Şirket Denetim Prosedürü uyarınca yapılacak olup, Çalışanlara eğitimler Şirket Eğitim Prosedürü uyarınca verilecek ve yine bu verilerin yurt içi ve yurtdışına aktarımı da Şirket Veri Paylaşım Politikasına göre gerçekleştirilecektir. Veri Sahiplerinin Özel Nitelikli Kişisel Verilere ilişkin başvuruları/şikâyetleri de Şirketin Veri Sahibi Başvurularının Alınması, Değerlendirilmesi ve Yanıtlanması Prosedürü uyarınca yürütülecektir.

V. Sorumluluk

İşbu Prosedürde yer alan düzenlemelere ek olarak, Çalışan, Şirket yetkilisi ve Veri Sorumlusu İrtibat Kişisi Özel Nitelikli Kişisel Verilerin güvenliğinin sağlanmasına ilişkin Kurul tarafından yayımlanan başta Kişisel Veri Güvenliği Rehberi olmak üzere Kanun, ilgili mevzuat hükümleri ve Kurul kararlarına uygun hareket etmekle yükümlü olup, bu kapsamda yükümlülüklerini getirmeyen Çalışan, Şirket yetkilisi, Veri Sorumlusu İrtibat Kişisi hakkında Şirket ile ilgili kişiler arasında imzalanmış olan iş sözleşmeleri hükümleri uyarınca Şirket tarafından işlem gerçekleştirilecektir. Ayrıca, Şirket adına veri işleyen 3. Kişilere de söz konusu aykırılıktan dolayı Şirket ile aralarında imzalanmış olan ilgili sözleşmeler ve/veya kişisel verilerin korunması hakkında taahhütname uyarınca rücu mekanizması işletilecektir.

VI. Yürürlük

İşbu Prosedür'ün yürürlük tarihi 01.01.2023 olup, İşbu Prosedür'ün yürürlük tarihini müteakip herhangi bir zamanda Kanun, ilgili mevzuat ve/veya Kurul tarafından ilave önlemler getirilmesi halinde, Şirket tarafından işbu önlemlere uymak için gerekli düzenlemeler yapılacak ve işbu Prosedür'ün tamamı veya belirli maddeleri revize edilerek Prosedür güncellenecektir.