KVKK Nedir?
2016 yılında yürürlüğe giren Kişisel Verilerin Korunması Kanunu, kişisel veri işleyenlerin yükümlülüklerini, uyacakları usul ve esasları düzenlemektedir. Kanun, başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini koruma amacı taşımaktadır.
Kanunun muhatabı, kişisel veri işleme faaliyeti olan tüm gerçek ve tüzel kişilerdir. Yani kliniklerin ve muayenehanelerin de kişisel veri işleme faaliyetlerini kanuna uygun olarak gerçekleştirmesi gerekmektedir.
Peki ne yapılmalı?
Klinikler; hastaların ve çalışanlarının kişisel verilerini toplar ve işlerler. Bu sebeple faaliyetlerini KVKK’ya uygun olarak gerçekleştirmeleri gerekmektedir. Yapılması gerekenleri yani kanuni yükümlülüklerinizi 9 ana başlıkta toplayabiliriz:
- Aydınlatma Yükümlülüğü
- Veri Güvenliği Yükümlülüğü
- Denetim Yükümlülüğü
- Verileri İmha Yükümlülüğü
- Sır Saklama Yükümlülüğü
- İhlal Bildirimi Yükümlülüğü
- Sicile Kayıt Yükümlülüğü
- Başvuruya Cevap Yükümlülüğü
- Kişisel Veri İşleme Şartlarına ve İlkelerine Uyma Yükümlülüğü
1. Aydınlatma Yükümlülüğü
Klinik, kişisel verilerin elde edilmesi sırasında ilgili kişilere (hastalara) kanunda sayılı konularda bilgi vermekle yükümlüdür.
2. Veri Güvenliği Yükümlülüğü
- Veri sorumlusu kişisel verilerin muhafazasını sağlamak, hukuka aykırı işleme ve aktarımı önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik her türlü idari ve teknik tedbiri almak zorundadır:
- A. İdari Tedbirler
- Mevcut risk ve tehditlerin belirlenmeli
- Çalışanlar eğitilmeli ve farkındalık çalışmaları yapılmalı
- Kişisel veri güvenliği politika ve prosedürlerin belirlenmeli
- Kişisel veriler mümkün oldukça azaltılmalı
- Veri işleyenler ile ilişkilerin yönetimi
- B. Teknik Tedbirler
- Siber güvenlik sağlanmalı
- Kişisel veri güvenliğinin takibi yapılmalı
- Kişisel veri içeren ortamların güvenliği sağlanmalı
- Bigli teknolojileri sistemleri tedariği, geliştirme ve bakımı yapılmalı
- Bulut ve yedekleme süreçlerinin uygunluğu sağlanmalı
- A. İdari Tedbirler
- Özel nitelikli kişisel veriler işlenirken ayrıca yeterli önlemlerin alınması zorunludur.
3. Denetim Yükümlülüğü
Veri sorumlusu Kanunun uygulanmasını sağlamak amacıyla gerekli denetimi yapmak veya yaptırmakla yükümlüdür.
4. Verileri İmha Yükümlülüğü
Veri sorumlusu kişisel veri işleme envanterine uygun olarak kişisel veri saklama ve imha politikası hazırlamakla yükümlüdür.
İşlenmesini gerektiren sebeplerin ortadan kalması halinde veri sorumlusu, kişisel verileri silmek, yok etmek veya anonim hale getirmekle yükümlüdür.
5. Sır Saklama Yükümlülüğü
Veri sorumluları ile veri işleyen kişiler, öğrendikleri kişisel verileri Kanunun hükümlerine aykırı olarak başkasına açıklayamaz ve işleme amacı dışında kullanamazlar. Bu yükümlülük görevden ayrılmalarından sonra da devam eder.
6. İhlal Bildirimi Yükümlülüğü
Veri sorumlusu, işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından ele geçirilmesi halinde durumu en kısa sürede Kurula bildirmekle yükümlüdür.
Veri sorumlusu, işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından ele geçirilmesi halinde durumu en kısa sürede ilgilisine bildirmekle yükümlüdür.
7. Sicile Kayıt Yükümlülüğü
Veri sorumlusu şartlarını taşıması halinde kişisel veri işleme envanteri hazırlamakla yükümlüdür.
Veri sorumlusu şartlarını taşıması halinde Veri Sorumluları Sicili'ne kayıt olmakla ve envanterindeki değişiklikleri 7 gün içerisinde güncellemekle yükümlüdür.
8. Başvuruya Cevap Yükümlülüğü
Veri sorumlusu ilgili kişilerin başvurularını sonuçlandırmakla yükümlüdür.
Veri sorumlusu Kurul taleplerini karşılama ve kurul kararlarını yerine getirmekle yükümlüdür.
9. Kişisel Veri İşleme Şartlarına ve İlkelerine Uyma Yükümlülüğü
Veri sorumlusu ancak kişisel veri işleme şartlarından birine veya birkaçına dayanrak kişisel veri işleyebilir.
Veri sorumlusu Kanunda belirtilen kişisle veri işleme ilkelerine uymaklarla yükümlüdür.
Veri sorumlusu kişisel verileri yurtiçinde ve yurtdışında aktarılırken Kanunda belirtilen usul ve esasların gereğini yerine getirmekle yükümlüdür.
KVKK Yaptırımları Nelerdir ?
-
İhlal Halinde Öngörülen İdari Yaptırımlar*
-
Aydınlatma Yükümlülüğünün İhlali : 9.834 TL’den 196.686 TL’ye kadar idari para cezası
-
Veri Güvenliğinin İhlali : 29.503 TL’den 1.966.862 TL’ye kadar idari para cezası
-
Kurul Kararlarına Uymama : 49.172 TL’den 1.966.862’ye kadar idari para cezası
-
Sicile Kaydolmama : 39.337 TL’den 1.966.862 TL’ye kadar idari para cezası
-
-
İhlal Halinde Öngörülen Cezai Müeyyideler
-
Kişisel Verilerin Hukuka Aykırı Kaydedilmesi : 6 aydan 3 yıla kadar hapis cezası
-
Hukuka Aykırı Paylaşım ve Ele Geçirme : 1 yıldan 6 yıla kadar hapis cezası
-
Verileri Yok Etmeme : 6 aydan 1 yıla kadar hapis cezası
-
Tazminat : Maddi zararın giderilmesi ve manevi tazminat talebi
-
VERBİS'e kayıt yükümlülüğü olarak da bilinen sicile kayıt tarihi 31 Mart 2021'de sona erecektir. Bu sebeple ana faaliyet konusu sağlık kişisel verileri olan klinik ve muayenehanelerin 31 Mart'a kadar kayıt işlemlerini gerçekleştirmesi gerekmektedir.
Detaylı Bilgi İçin Bulutklinik Çağrı Merkezi : 0850 711 0258
