6698 sayılı Kişisel Verilerin Korunması Kanunu, 2010 yılında kişisel verilerin korunmasının Anayasal bir hak olmasının ardından 2016 yılında yürürlüğe girmiş; kişisel verilerin işlenmesi aşamasında özel hayatın gizliliği ilkesini muhafaza etmek ve temel hak ve özgürlüklerin zarar görmemesi adına geliştirilmiş bu konu hakkında usul ve esasları gösteren hukuki bir koruma aygıtıdır.
6698 Sayılı Kanunun (“KVKK” ya da “Kanun”) 16 ncı maddesi gereğince Veri Sorumluları Siciline kayıt olmakla yükümlü olan veri sorumlularının, kişisel veri işleme envanterine uygun olarak kişisel verilerin korunması ve işlenmesi politikası hazırlama yükümlülüğü vardır.
İşbu Kişisel Verilerin Korunması ve İşlenmesi Politikası, DAMAGEN Genetik Araştırma ve Tanı Tic. Ltd. Şti. (“Veri Sorumlusu”) (“Damagen”) (“Merkez”) olarak bizler tarafından işlenen ve elimizde bulundurduğumuz kişisel verilerin ve kişisel sağlık verilerinin, 6698 sayılı Kanun ve Kişisel Sağlık Verileri Hakkında Yönetmelik uyarınca kişisel verilerin ve kişisel sağlık verilerinin korunması ve işlenmesine ilişkin Damagen tarafından uygulanacak usul ve esasların belirlenmesi amacıyla hazırlanmıştır.
Sicil, Kişisel Verileri Koruma Kurumu Başkanlığı tarafından tutulan veri sorumluları sicilidir.
Açık Rıza, belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan onay beyanıdır.
Veri kayıt sistemi, kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemidir.
Kişisel Verileri Koruma Kanunun ve Yönetmeliğin Tanımladığı Özneler
Veri Sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir.
İlgili Kullanıcı, verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişilerdir.
Alıcı Grubu, veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisidir.
İlgili kişi, kişisel verisi işlenen gerçek kişidir.
Envanter, veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel veri işleme faaliyetlerini; kişisel veri işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanterdir.
Açık veri, Ücretsiz olarak veya hazırlanma maliyetini geçmeyecek şekilde internet üzerinden herkesin erişimine sunulan, üzerinde herhangi bir fikri mülkiyet hakkı bulunmayan ve herhangi bir amaçla serbestçe kullanılabilen, makineler tarafından okunabilen ve böylelikle diğer veriler ve sistemlerle birlikte çalışabilen, anonim hale getirilmiş veridir.
Açık sağlık verisi, açık veri haline getirilen sağlık verisidir.
Kişisel sağlık verisi, kimliği belirli ya da belirlenebilir gerçek kişinin fiziksel ve ruhsal sağlığına ilişkin her türlü bilgi ile kişiye sunulan sağlık hizmetiyle ilgili bilgilerdir.
Sağlık hizmeti sunucusu, sağlık hizmetini sunan veya üreten gerçek kişiler ile kamu hukuku ve özel hukuk tüzel kişileridir.
Merkez, genetik hastalıklarda tanı ve genetik danışmanlık hizmeti verilmesi amacıyla açılan, genetik hastalıklar değerlendirme merkezleridir.
Genetik veri, gerçek bir kişinin fizyolojik sağlığı hakkında bilgi veren gerçek kişinin biyolojik numunelerinin analizinden elde edilmiş genetik özellikleri ile ilgili verilerdir.
Kişisel verilerin işlenmesi, Kanunun 3 üncü maddesinde tanımlanmıştır. Buna göre; Veri Sorumlusu Damagen olarak kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi, kişisel verilerin işlenmesi olarak kabul etmekteyiz.
Kişisel verilerin işlenme şartları ise Kanunun 5 inci maddesinde sayılmıştır. Buna göre hareket edip aşağıdaki hallerden en az birinin bulunması durumunda kişisel verileri kanunen işlemekteyiz.
Kişisel verilerin işlenme şartları, yani hukuka uygunluk halleri, Kanunda sayma yoluyla belirlenmiş olup, bu şartlar genişletilemeyecektir.
Veri Sorumlusu sıfatıyla Damagen olarak, yukarıda sayılmış şartları sağlayarak veri işlemekteyiz.
Veri Sorumlusu Damagen olarak veri işleme faaliyetinin gerçekleştirilmesinde öncelikle diğer veri işleme şartlarından birine dayanılıp dayanılamayacağını değerlendirip, bunlardan hiçbirisi yoksa ilgili kişinin açık rızasının alınması yoluna başvurmaktadır.
Ayrıca Genetik Hastalıklar Değerlendirme Merkezleri Yönetmeliği kapsamında istisnai olarak öngörülmüş “Merkezde, başvurana yönelik olarak aydınlatma yükümlülüğü yerine getirildikten sonra başvuranın bilgilendirilmiş açık rızası alınarak işlem yapılır.” hükmü gereğince Merkez’e yapılan bireysel başvurularda hastalardan açık rıza alarak işlem yapar.
Veri işleme şartlarından birisi de kanunlarda açıkça öngörülmesidir. Kanunlarda kişisel verilerin işlenebileceğine ilişkin bir hüküm veri işleme şartını oluşturacaktır. Örneğin, Genetik Hastalıklar Değerlendirme Merkezleri Yönetmeliğinin 24. maddesi uyarınca hastaların kişisel sağlık verilerinin işlenmesi ve bakanlığa aktarılması bu kapsamdadır.
Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin, kendisinin ya da başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması halinde ilgili kişinin kişisel verileri işlenebilecektir.
Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin zorunlu olması durumunda ilgili kişilerin bu amaçla sınırlı olmak üzere kişisel verilerinin işlenmesi mümkündür. Örneğin sağlık hizmet sunucusu Damagenin hastalarına vereceği sağlık hizmeti kapsamında onlara ilişkin kişisel verileri ve kişisel sağlık verilerini işlemesi bu kapsamdadır.
Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için veri işlenmesinin zorunlu olduğu hallerde ilgili kişinin kişisel verileri işlenebilecektir.
Damagen olarak çalışanlara maaş ödeyebilmek için, çalışanın banka hesap numarası, bakmakla yükümlü olduğu kişiler, eşinin çalışıp çalışmadığı, sosyal sigorta numarası gibi verilerin elde edilmesi ve işlenmesi bu duruma örnek verilebilir.
İşveren sıfatıyla vergi denetimi sırasında çalışanlarımıza ait bilgileri ilgili kamu görevlilerinin incelemesine sunmamız da bu kapsamda değerlendirilebilir.
İlgili kişinin kendisi tarafından alenileştirilen, bir başka ifadeyle herhangi bir şekilde kamu oyuna açıklanmış olan kişisel verileri işlenebilecektir. Bu duruma örnek olarak ise bir kişinin belirli hallerde kendisiyle iletişime geçilmesi amacıyla iletişim bilgilerini kamuya açık şekilde ilan etmesi verilebilir. Kurumsal internet sitelerinde, çalışanların işyeri telefon numaraları ve kurumsal elektronik posta adreslerinin üçüncü kişilerin erişimine açık şekilde paylaşılması halinde de alenileştirmeden söz edilebilir. Ancak, kişisel verinin aleni kabul edilebilmesi için ait olduğu kişinin aleni olmasını istemesi gerekir. Başka bir ifade ile, alenileştirmenin gerçekleştirilebilmesi için alenileştirme iradesinin varlığı gerekir.
Bu sebepler prensip olarak bir kişinin kişisel verisinin herkesin görebileceği bir yerde olmasını alenileştirmek olarak algılamayıp, kişinin paylaştığı verisini sadece o amaçla alenileştirdiğini kabul etmektedir.
Bir hakkın tesisi, kullanılması veya korunması için zorunlu olması halinde ilgili kişinin kişisel verilerinin işlenmesi mümkündür.
Ayrıca, Veri Sorumlusu Damagen olarak kurduğumuz sözleşmeler sona erdikten sonra, olası yasal takiplere karşı zamanaşımı süresinin sonuna kadar fatura, sözleşme, kefaletname gibi belgelerin bu amaçlar için saklanması bu kapsamda değerlendirilecektir.
İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydı ile veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması durumunda, kişisel verilerinin işlenmesi mümkündür.
Bazı durumlarda veri sorumlusunun meşru menfaati bakımından veri işleme söz konusu olabilmektedir. Örneğin çalışanlarımızın temel hak ve özgürlüklerine zarar vermemek kaydıyla, onların terfileri, maaş zamları veyahut sosyal haklarının düzenlenmesinde ya da işletmenin yeniden yapılandırılması sürecinde görev ve rol dağılımında esas alınmak üzere çalışanlarımızın kişisel verilerinin işlenmesi veri sorumlusunun meşru menfaati kapsamında değerlendirmekteyiz.
Veri Sorumlusu Damagen tarafından, kişisel verilerin korunması mevzuatına uyum sağlanması ve uyumun sürdürülmesi kapsamında aşağıda sıralanan temel ilkeler benimsenmektedir:
Uluslararası belgelerde kabul görmüş ve pek çok ülke uygulamasına yansımış olan kişisel verilerin işlenmesine ilişkin temel ilkeler bulunmaktadır. Kanunun 4 üncü maddesinde kişisel verilerin işlenmesine ilişkin usul ve esaslar 108 sayılı Sözleşmeye ve 95/46/EC sayılı Avrupa Birliği Direktifine paralel şekilde düzenlenmiştir.
Buna göre; Kanunda kişisel verilerin işlenmesinde sayılan genel (temel) ilkeler şunlardır:
Hukuka ve dürüstlük kuralına uygun olma, kişisel verilerin işlenmesinde kanunlarla ve diğer hukuksal düzenlemelerle getirilen ilkelere uygun hareket edilmesi zorunluluğunu ifade etmektedir.
Dürüstlük kuralına uygun olma ilkesi uyarınca Veri Sorumlusu Damagen tarafından, veri işlemedeki hedeflerimize ulaşmaya çalışırken, ilgili kişilerin çıkarlarını ve makul beklentilerini her zaman dikkate almaktayız. Ayrıca prensip olarak ilgili kişinin beklemediği ve beklemesinin de gerekmediği sonuçların ortaya çıkmasını önleyici şekilde hareket etmekteyiz. Bahsedilen ilke uyarınca ayrıca ilgili kişi için söz konusu veri işleme faaliyetinin şeffaf olması ve Veri Sorumlusu Damagen tarafından bilgilendirme ve uyarı yükümlülüklerine her zaman uygun hareket etmekteyiz.
Veri Sorumlusu Damagen olarak kişisel verilerin doğru ve gerektiğinde güncel olmasının sağlanması noktasında aktif özen yükümlülüğü taşıdığımızın farkındayız. Buna uygun olarak da her zaman ilgili kişinin bilgilerini doğru ve güncel olmasını temin edecek kanalları açık tutmaktayız.
Kişisel verilerin işlenme amaçlarının belirli, meşru ve açık olması ilkesi;
Bu itibarla Veri Sorumlusu Damagen olarak, kişisel veri işleme amaçlarının açıklandığı hukuki işlem ve metinlerde (açık rıza, aydınlatma, ilgili kişinin başvurularını cevaplama, veri sorumlusu siciline olan başvuru) belirlilik ve açıklık ilkesine uyumda yüksek bir hassasiyet gösterip, söz konusu hukuki metinleri karşı tarafa sunarken herkes tarafından kolayca anlaşılabilmesi adına teknik-hukuki terminoloji kullanımı minimum seviyede tutmaktayız.
Bu esasa uygun davranma aynı zamanda dürüstlük ilkesine uyum bakımından da önemlidir.
Veri Sorumlusu Damagen olarak işlenen verilerin belirlenen amaçların gerçekleştirilebilmesine elverişli olması, amacın gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan kişisel verilerin gereksiz yere işlenmesinden kaçınmaktayız. Bu noktada belirlenen amaca hizmet edebilmesi adına minimum seviyede kişisel veri işlemekteyiz.
Bunun gibi, sonradan ortaya çıkması muhtemel ihtiyaçların karşılanmasına yönelik olarak veri işlenmesi yoluna da gidilmemektedir. Ayrıca işlenen veri, sadece amacın gerçekleştirilmesi için gerekli olan kişisel verilerle sınırlı tutulacaktır. Veri Sorumlusu Damagen prensip olarak amacı gerçekleştirmeye yönelik yeterli verinin temin edilmesinden sonra, bunun dışındaki amaç için gerekli olmayan veri işlemeden kaçınmaktadır.
Veri Sorumlusu Damagen kişisel verilerin “amaçla sınırlılık ilkesi” nin bir gereği olarak işlendikleri amaç için gerekli olan süreye uygun olarak muhafaza etmektedir. Kanunun 12 nci maddesinde de belirtildiği gibi veri sorumlusu; kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır. Bu konuda Veri Sorumlusu Damagen olarak, idari ve teknik tedbirleri almakla yükümlü olduğumuzun farkındayız.
Kişisel verilerin saklanması için amaçla sınırlılık ilkesi uyarınca Veri Sorumlusu Damagen olarak belirlenen saklama sürelerinin yanı sıra, tabi olduğumuz ilgili mevzuat kapsamında da belirlediğimiz saklama süreleri mevcuttur. Buna göre; ilgili kişisel veriler için mevzuatta öngörülmüş bir süre varsa bu süreye riayet edecek; eğer böyle bir süre öngörülmemişse verileri ancak işlendikleri amaç için gerekli olan süre kadar saklamaktayız.
Bir verinin daha fazla saklanması için geçerli bir sebep bulunmaması halinde, o veri silinecek, yok edilecektir. İleride tekrar kullanılabileceği düşünülerek ya da herhangi bir başka gerekçe ile kişisel verilerin muhafaza edilmesi yoluna gidilemeyeceğinden yukarıda bahsedilmişti.
Ayrıca Veri Sorumlusu Damagen olarak, Kanunun 16 ncı maddesi uyarınca sicile kayıt için başvuru yaparken kişisel verilerin işlenme amacı için gerekli azami süreyi Veri Sorumluları Sicili Hakkında Yönetmeliğin 9 uncu maddesini göz önünde bulundurarak tespit edip gerekli olan süreleri hukuki metinlerimizde yayınlanmıştır.
Özel nitelikli kişisel veriler, öğrenilmesi halinde ilgili kişi hakkında ayrımcılık yapılmasına veya mağduriyete neden olabilecek nitelikteki verilerdir. Bu nedenle Veri Sorumlusu Damagen olarak söz konusu nitelikteki verilerin korunması ve işlenmesi hususunda diğer kişisel verilere göre çok daha sıkı şekilde korunmaları gerektiğinin farkındayız. Nitekim Kanun, bu verilere özel bir önem atfetmekte ve bu verilerle ilgili farklı bir düzenleme getirmektedir. Kanun bunları özel nitelikli kişisel veri ya da hassas veriler olarak kabul etmektedir. Özel nitelikli kişisel veriler ilgili kişinin açık rızası ile ya da Kanunda sayılan sınırlı hallerde işlenebilir.
Damagen, ana faaliyet konusu kişisel sağlık verisi ve genetik veri işlemek olan sağlık hizmet sunucusu ve genetik hastalıklar değerlendirme merkezidir. Bu kapsamda özel nitelikli kişisel verileri Kanunda ve Yönetmelikte yer alan işleme şartlarına uygun olarak işler.
Başvuranın sağlık hizmeti almak amacıyla ilk başvuruyu Merkeze yapması halinde hastanın bilgilendirilmiş açık rızası alınarak işlem yapılır ve hastaya ilişkin kişisel veriler ve kişisel sağlık verileri işlenir.
Merkezimiz esas faaliyet alanıyla ilgili bünyesinde yapılamayan testler için başka genetik hastalıklar değerlendirme merkezinden, dış laboratuvar test hizmeti alabilir. Bu kapsamda hastalarından aldığı açık rıza kapsamında aktarım yapar.
Damagen hizmet satma yolu ile doktor, hastane ve diğer sağlık hizmet sunucuları ile çalışır. Bu kapsamda hasta verilerini hizmet sattığı bu merkezlerin aktarımı ile de elde eder. Söz konusu başvuruların Damagen tarafından direkt alınmaması hallerinde verisi işlenecek hastalara yönelik uygulanacak özel nitelikli kişisel verilerin işlenmesine yönelik prosedür hastanın ilk başvuruda bulunduğu hizmet satılan merkez tarafından uygulanır.
Veri Sorumlusu Damagen , Kanunun 10 uncu maddesine ve Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’e uygun olarak, kişisel verilerin elde edilmesi sırasında veri sahiplerinin bilgilendirilmesini sağlamak için gerekli süreçleri yürütmektedir. Bu kapsamda Damagen tarafından veri sahiplerine sunulan aydınlatma metinlerinde aşağıda sıralanan;
Gerekli usul ve esasları dikkate alarak veri sahibi ilgili kişiye söz konusu aydınlatma yükümlülüğümüzü yerine tam ve doğru bir şekilde yerine getirebilmek temel prensiplerimizden biridir.
Veri sahiplerinin kişisel verilerine ilişkin taleplerini Veri Sorumlusu Merkeze yazılı olarak veya KVK Kurulu tarafından belirlenen diğer yöntemler ile iletmeleri durumunda, Damagen veri sorumlusu sıfatıyla ilgili kişinin Kanunun 11 nci maddesinde yazılı herhangi bir hakkını Kanunun 13 ncü maddesine uygun olarak kullanmak adına tarafımıza iletmiş olduğu talepler en geç 30 (otuz) gün içerisinde sonuçlandırılmakta ve ilgili kişiye bilgi verilmektedir.
Veri sahipleri kişisel verilerine ilişkin taleplerini Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ doğrultusunda gerçekleştirmelidir.
Damagen veri güvenliğinin sağlanması kapsamında, başvuruda bulunan kişinin başvuruya konu kişisel verinin sahibi olup olmadığını tespit etmek amacıyla bilgi talep edebilir. Ayrıca kişisel veri sahibinin başvurusunun talebe uygun bir biçimde sonuçlandırılmasını sağlamak adına, kişisel veri sahibine başvurusu ile ilgili soru yöneltebilir.
Damagen tarafından, kişisel verilerin hukuka aykırı olarak açıklanmasını, erişimini, aktarılmasını veya başka şekillerde meydana gelebilecek güvenlik eksikliklerini önlemek için, imkanlar dahilinde korunacak verinin niteliğine göre gerekli her türlü tedbir alınmaktadır.
A. Kişisel Verilerin Hukuka Uygun İşlenmesini Sağlamak ve Kişisel Verilere Hukuka Aykırı Erişilmesini Önlemek için Veri Sorumlusu Damagen Tarafından Alınan İdari Tedbirler:
B. Kişisel Verilerin Hukuka Uygun İşlenmesini Sağlamak ve Kişisel Verilere Hukuka Aykırı olarak Erişilmesini Önlemek Amacıyla Veri Sorumlusu Damagen Tarafından Alınan Teknik Tedbirler:
UNVAN: DAMAGEN Genetik Araştırma ve Tanı Tic. Ltd. Şti.
ADRES: Cinnah Cad. No:102/1 Çankaya - ANKARA– TÜRKİYE
VKN: 2690409419
E-POSTA ADRESİ: damagenetik@gmail.com
Kanun kapsamında “Veri Sorumlusudur”.