MUKOPOLİSAKKARİDOZ VE BENZERİ LİZOZOMAL DEPO HASTALIKLARI DERNEĞİ
KİŞİSEL VERİ İŞLEME POLİTİKASI
1 |
Açık Rıza |
Kişisel verilerin işlenmesine ilişkin, bilgilendirilmeye dayanan, özgür iradeyle açıklanan ve ilgili kişi tarafından verilen rıza |
2 |
Anayasa |
9 Kasım 1982 tarihli ve 17863 sayılı Resmî Gazete’de yayımlanan 7 Kasım 1982 tarihli ve 2709 sayılı Türkiye Cumhuriyeti Anayasası |
3 |
Kişisel Veri |
Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi |
4 |
Kişisel Verilerin Anonim Hale Getirilmesi, Silinmesi ve Yok Edilmesi |
Anonimleştirme; kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesi. Silinme; kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi. Yok edilme; kişisel verilerin hiç̧ kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemi |
5 |
Kişisel Verilerin İşlenmesi |
Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü̈ işlem |
6 |
KVK Kurulu |
Kişisel Verilerin Korunması Kurulu |
7 |
KVK Kurumu |
Kişisel Verilerin Korunması Kurumu |
8 |
KVKK |
7 Nisan 2016 tarihli ve 29677 sayılı Resmî Gazete’de yayımlanan 6698 sayılı Kişisel Verilerin Korunması Kanunu |
9 |
Özel Nitelikli Kişisel Veri |
Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri |
10 |
MPS LH Derneği |
Veri sorumlusu olan Mukopolisakkaridoz Ve Benzeri Lizozomal Depo Hastalıkları Derneği’ni |
11 |
Veri İşleyen |
Veri sorumlusunun organizasyonu dışında, veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişiler |
12 |
Veri Sahibi/İlgili Kişi |
Mukopolisakkaridoz Ve Benzeri Lizozomal Depo Hastalıkları Derneği tarafından kişisel verisi işlenen tüm gerçek kişiler |
13 |
Veri Sorumlusu |
Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu Veri sorumlusu olan Mukopolisakkaridoz Ve Benzeri Lizozomal Depo Hastalıkları Derneği’ni |
14 |
Periyodik İmha |
Kanunda yer alan kişisel verilerin islenme şartlarının tamamının ortadan kalkması durumunda tekrar eden aralıklarla re’sen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi |
- AMAÇ
Mukopolisakkaridoz ve Benzeri Lizozomal Depo Hastalıkları Derneği (“MPS LH Derneği” veya kısaca “Dernek”) olarak, anayasal bir hak olarak düzenlenen kişisel verilerin korunması hususunda ve hukuksal güvence altına alınması konusunda, sorumluluğumuzun farkındayız ve kişisel verilerinizin güvenli bir şekilde işlenmesine önem veriyoruz.
Bu politikanın amacı MPS LH Derneği’nin kişisel verileri KVKK’ya ve ikincil mevzuatlarına uyumlu bir şekilde işlenmesini ve korunmasını sağlamak için izlenecek yöntem ve ilkeleri düzenlemektir.
- KAPSAM
Bu politika, MPS LH Derneği tarafından yönetilen, tüm kişisel verilerin işlenmesi ve korunmasına yönelik yürütülen faaliyetlerde uygulanmaktadır.
Bu politika; yöneticilerimizin, çalışanlarımızın, üyelerimizin, takibini yaptığımız hastaların ve yakınlarının, iş birliği içinde olduğumuz kişilerin ve üçüncü kişilerin işlenen tüm kişisel verilerine ilişkindir.
Bu politika, MPS LH Derneği tarafından, tüm kişisel verilerin işlenmesi ve korunmasına yönelik yürütülen faaliyetlerde, ilgili detaylı veri prosedürleri ve ekli belgeler ile birlikte uygulanmaktadır.
- POLİTİKANIN UYGULANMASI
MPS LH Derneği, aslen belirli fonksiyonlar ve iş faaliyetleri ile ilişkili olarak verilerin korunmasını ele alan farklı politika, prosedür, disiplin yönetmeliği ve diğer metinlere sahiptir.
Bu politika, içerdiği şartlara ek olarak belirlenen veya en azından bu politika ile aynı standartlarda kişisel verilerin korunmasını sağlayan MPS LH Derneği’nin farklı politika, prosedür ve metinlerindeki veri koruma şartlarını geçersiz kılmaz.
Bu politika, ek şartlar içermesi veya kişisel verilerin korunması için daha yüksek standart talep etmesi durumunda MPS LH Derneği’nin farklı politikalarındaki ilgili veri koruma şartlarını geçersiz kılar.
MPS LH Derneği’nin, KVKK ile bağlantılı diğer metinleri aşağıdaki gibidir. İşbu Politika’daki tanım ve kısaltmalar bu belge ve metinler için de geçerlidir:
- Kişisel Veri İşleme Envanteri
- Aydınlatma Metinleri
- Kişisel Verilerin Korunması Aydınlatma Metni (Üye)
- Kişisel Verilerin Korunması Aydınlatma Metni (Hasta Yakını)
- Kişisel Verilerin Korunması Aydınlatma Metni (Hasta)
- Kişisel Verilere Erişim Yetki Matrisi
- Açık Rıza Metni
- Gizlilik Taahhütnameleri
- Çalışan Gizlilik Taahhütnamesi
- Yönetim Kurulu Gizlilik Taahhütnamesi
- Veri İşleyen Gizlilik Taahhütnamesi
- Veri Sahibi Başvuru Formu
- Veri Saklama ve İmha Politikası
Kişisel verilerin işlenmesi ve korunması sürecinde yürürlükte bulunan ilgili mevzuat hükümleri öncelikli olarak uygulama alanı bulacaktır. Mevzuat hükümleri ile politika hükümleri arasında çelişki bulunması halinde MPS LH Derneği, güncel mevzuat hükümlerinin geçerlilik bulacağını kabul etmektedir.
Politika, MPS LH Derneği uygulamalarının ilgili mevzuat tarafından ortaya konulan kurallara göre düzenlenmesinden oluşturulmuştur.
Veri sorumlusu olarak MPS LH Derneği,
- Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
- Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
- Kişisel verilerin güvenliği sağlamak
amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.
Verilerin korunması ile ilgili olarak MPS LH Derneği’nin yükümlülüklerinin ana kaynağı KVKK ve bağlantılı ikincil mevzuatlardır.
- KİŞİSEL VERİLERİN KORUNMASINA YÖNELİK HUSUSLAR
MPS LH Derneği, yürürlükteki kanunlar doğrultusunda veri sahiplerini, kişisel verilerinin işlenmesi ve aktarılması ile ilgili olarak aydınlatmaktadır.
MPS LH Derneği, kişisel verilerin neler olduğunu ve bu verilerin korunmasına ilişkin ortaya çıkabilecek risklerin neler olduğunu tespit eden bir analiz yapmış ve KVKK 12. maddesi uyarınca işlenmekte olan kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak için uygun güvenlik düzeyini sağlamaya yönelik gerekli teknik ve idari tedbirleri almaktadır.
Alınan başlıca tedbirler aşağıda sıralanmaktadır.
- MPS LH Derneği’nin yürütmüş olduğu tüm faaliyetler detaylı olarak tüm iş birimleri özelinde analiz edilmiş ve bu analiz neticesinde süreç bazlı bir kişisel veri işleme envanteri hazırlanmıştır. KVKK’ya ve ikincil mevzuatlara uyum programı tamamlanmıştır. Bu kapsamda dernek faaliyetlerinde oluşabilecek değişikliklerde eğer gerekliyse envanterin de revize edilmesi gerekmektedir.
- MPS LH Derneği tarafından gerçekleştirilen kişisel veri işleme faaliyetleri bilgi güvenliği sistemleri, teknik sistemlerle ve hukuki yöntemlerle denetlenmektedir.
- MPS LH Derneği, kişisel veriye erişimi olan kişiler ile veri güvenliğine ilişkin olarak taahhütnameler imzalatmaktadır ve bu kişilerden bu hükümlere uymasını istemektedir.
- Veriye erişimi olan kişiler, kişisel verilerin korunması hukuku konusunda düzenli olarak bilgilendirilmektedir. Veriye erişimi olan kişilerin rol ve sorumlulukları bu kapsamda gözden geçirilmiş ve görev tanımları revize edilerek Yetki Matrisi hazırlanmıştır.
- Veri İşleyenler kişisel verilerin korunması hukuku ve bu hukuka uygun olarak gerekli önlemlerin alınması konusunda bilgilendirilmektedir. Bu kişiler ile gizlilik taahhütnameleri imzalanmıştır ve ileride imzalanacak sözleşmelerde de veri gizliliğine ilişkin hükümler eklenecek veya sözleşmenin diğer tarafı ile gizlilik taahhütnamesi imzalanacaktır.
- MPS LH Derneği’nin ve veri işleyenlerin yürütmekte olduğu kişisel veri işlemesi; bu işlemenin KVKK’nın aradığı kişisel veri işleme şartlarına uygunluğun sağlanması için uyulması gereken konular yerine getirilmektedir.
- MPS LH Derneği’nin akdetmiş olduğu sözleşmeler KVKK açısından incelenmiş ve gerekli görülen değişiklikler yapılmıştır.
- Herhangi bir kişisel veri güvenliği ihlaline karşı tedbirli olmak adına kriz ve itibar yönetimi görüşülmüş, bu kapsamda KVK Kurulu ve ilgili kişiyi bilgilendirme süreçleri tasarlanmıştır.
- ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN KORUNMASI
MPS LH Derneği, özel nitelikli kişisel verilerin güvenliğinin sağlanması için gerekli faaliyetlerde bulunmakta olup bu verilerin hukuka uygun işlenmesini temin etmek amacıyla yasal gerekliliklere ve KVK Kurulu tarafından belirlenen yeterli önlemlere uyum sağlamak amacıyla her türlü teknik ve idari tedbirleri almaktadır.
- KİŞİSEL VERİLERİN İŞLENMESİ POLİTİKASI
6.1 Kişisel Verilerin İşlenmesine İlişkin Uyulacak İlkeler
MPS LH Derneği tarafından işlenen tüm kişisel veriler, KVKK ve ilgili mevzuat uyarınca işlenmektedir. MPS LH Derneği, KVKK 4. maddesi uyarınca; kişisel verilerin işlenmesi konusunda hukuka ve dürüstlük kurallarına uygun, doğru ve gerektiğinde güncel, belirli, açık ve meşru amaçlar güderek, amaçla bağlantılı, sınırlı ve ölçülü biçimde kişisel verileri işlemektedir:
- Hukuka ve Dürüstlük Kuralına Uygun İşleme: MPS LH Derneği; kişisel verilerin işlenmesinde hukuksal düzenlemelerle getirilen ilkeler ile genel güven ve dürüstlük kuralına uygun hareket etmektedir. Bu kapsamda MPS LH Derneği, kişisel verilerin işlenmesinde orantılılık gerekliliklerini dikkate almakta, kişisel verileri amacın gerektirdiği dışında kullanmamaktadır.
- Kişisel Verilerin Doğru ve Gerektiğinde Güncel Olmasını Sağlama: MPS LH Derneği; kişisel veri sahiplerinin temel haklarını ve kendi meşru menfaatlerini dikkate alarak işlediği kişisel verilerin doğru ve güncel olmasını sağlamaktadır. Bu kapsamda veriler periyodik zamanlarda imha edilmektedir.
- Belirli, Açık ve Meşru Amaçlarla İşleme: MPS LH Derneği, meşru ve hukuka uygun olan kişisel veri işleme amacını açık ve kesin olarak belirlemektedir. MPS LH Derneği, kişisel verileri sunmakta olduğu ürün ve hizmetler ile bağlantılı ve bunlar için gerekli olan kadar işlemektedir. MPS LH Derneği tarafından kişisel verilerin hangi amaçla işleneceği henüz kişisel veri işleme faaliyeti başlamadan ortaya konulmaktadır.
- İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma: MPS LH Derneği, kişisel verileri belirlenen amaçların gerçekleştirilebilmesine elverişli bir biçimde işlemekte ve amacın gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınmaktadır. Ayrıca MPS LH Derneği, verileri sadece işleme amacının gerçekleştirilmesi için zorunlu olan personelin ve bazı istisnai durumlarda veri işleyenlerin kullanımına açmakta, bunun dışındaki, veri işleme amacı nedeniyle veriye erişimi zorunlu olmayan kişiler verilere erişememektedir.
- İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç için Gerekli Olan Süre Kadar Muhafaza Etme: MPS LH Derneği, kişisel verileri ancak ilgili mevzuatta belirtildiği veya işlendikleri amaç için gerekli olan süre kadar muhafaza etmektedir. Bu kapsamda, MPS LH Derneği öncelikle ilgili mevzuatta kişisel verilerin saklanması için bir süre öngörülüp öngörülmediğini tespit etmekte, bir süre belirlenmişse bu süreye uygun davranmakta, bir süre belirlenmemişse kişisel verileri işlendikleri amaç için gerekli olan süre kadar saklamaktadır. Sürenin bitimi veya işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel veriler MPS LH Derneği tarafından imha edilmektedir.
6.2 Kişisel Verileri İşleme Sebep ve Amaçları
MPS LH Derneği, KVKK’nın 10. maddesine uygun olarak, kişisel verilerin elde edilmesi sırasında ilgili kişileri aydınlatmaktadır. Bu kapsamda kişisel verilerin hangi amaçla işleneceğini, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi ile ilgili kişilerin KVKK madde 11 kapsamında sahip olduğu hakları konusunda aydınlatma yapmaktadır.
MPS LH Derneği KVKK 5. ve 6. maddede belirtilen kişisel veri işleme şartları içerisindeki aşağıdaki koşullarla sınırlı olarak ve aşağıdaki amaçlar doğrultusunda kişisel verileri işlemektedir.
6.2.1 Sebepler
Kişisel verilerin işlenmesine ilişkin MPS LH Derneği’nin,
- İlgili işleme faaliyette bulunmasının Kanunlarda açıkça öngörülmesi,
- Kişisel verilerin MPS LH Derneği tarafından işlenmesinin bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili ve gerekli olması: Sözleşme öncesinde sözleşmeye başlama aşamasında kişisel bilgiler ile ilgili olarak teklif hazırlamak ya da ilgili kişinin sözleşme sonucuyla bağlantılı taleplerini karşılamak amacıyla işlenebilir. Sözleşme hazırlanma sürecinde ilgili kişilerle sağladıkları bilgiler ışığında iletişime geçilebilir.
- Kişisel verilerin işlenmesinin MPS LH Derneği’nin hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması: Kişisel bilgileri hukukun talep etmesi, gerektirmesi ya da bu işlemlere izin vermesi durumunda da işlenmesi serbesttir. Veri işlemleri tür ve kapsam olarak, yasal olarak izin verilen veri işleme faaliyeti için gerekli olmalı ve ilgili yasal hükümlere uygun olmalıdır.
- Verisi işlenen kişilerin temel hak ve özgürlüklerine zarar vermemek kaydıyla MPS LH Derneği’nin meşru menfaatleri için kişisel veri işleme faaliyetinde bulunulmasının zorunlu olması: Kişisel veriler, MPS LH Derneği’nin meşru bir menfaati olduğu durumlarda da işlenebilir.
Yukarıda belirtilen şartların bulunmaması halinde; kişisel veri işleme faaliyetinde bulunmak için MPS LH Derneği kişisel veri sahiplerinin açık rızalarına başvurmaktadır. Açık rızalar bilgilendirmeye dayanmakta ve bir işlemin gerçekleştirilmesi için ön şart olarak sunulmamaktadır. Bu kapsamda hasta ve hasta yakınlarından bilgilendirmeye dayalı açık rıza talep edilmektedir. Açık rıza vermek istemeyen hasta veya hasta yakınlarının olması halinde ilgili hastayla ilgili olarak yapılan takip sonlandırılmalıdır. Bu kapsamda kendisine ilgili bilgilendirme yapılmalı ve bundan sonra Dernek tarafından takip yapılmayacağı açıklandıktan sonra kendisine ilişkin eski veriler silinmeli veya anonim hale getirilmelidir.
- KİŞİSEL VERİLERE ERİŞİM
- 1 Yurtiçinde Kişisel Verilerin Aktarımı
- MPS LH Derneği, kişisel verilerin aktarılması konusunda KVKK’da öngörülen ve KVK Kurulu tarafından alınan karar ve ilgili düzenlemelere uygun bir şekilde hareket etmek sorumluluğu altındadır.
MPS LH Derneği tarafından ilgililere ait kişisel veriler ve özel nitelikli veriler ilgili kişinin açık rızası olmadan başka gerçek kişilere veya tüzel kişilere aktarılamaz. Şu kadar ki, KVKK ve diğer Kanunların zorunlu kıldığı durumlarda ilgilinin açık rızası olmadan da veriler mevzuatta öngörülen şekilde ve sınırlarla bağlı olarak yetkili kılınan idari veya adli kurum veya kuruluşa aktarılabilir.
Bu kapsamda Dernek tarafından sadece dışarıdan hizmet alınan üçüncü kişilere veri aktarımı yapılabilir. Veri aktarımı yapılabilmesi için üçüncü kişilerin gizlilik taahhütnamesi imzalamaları şarttır.
7.2 Yurtdışına Kişisel Verilerin Aktarımı
Yurtdışına veri aktarımı yapılmamaktadır.
7.3 Aktarım Yapılan Kurum Kuruluşlar
Kamu tüzel kişileri ile ilgili mevzuatları kapsamında talep ettikleri bilgiler KVKK 8. maddesi uyarınca paylaşılır.
7.4 Dernek İçi Erişim
7.4.1 Üyeler
Kişisel verilere sadece usulüne uygun olarak gerçekleştirilen genel kurullar sonrasında seçilen yönetim kurulu üyeleri erişebilir. Bunlar dışında diğer kurul üyelerinin ve dernek üyelerinin kişisel verilere herhangi bir şekilde erişim sağlaması mümkün değildir. Yönetim kurulu üyelerine veri aktarımı yapılabilmesi için bu kişilerin gizlilik taahhütnamesi imzalamaları şart ve asıldır.
7.4.2 Çalışanlar
Dernek tarafından alınan Call-Center hizmeti kapsamında Call-Center tarafından temin edilen ve mesaisinin tamamını derneğe aktaran çalışan verilere erişebilir. Bu çalışanın da erişim öncesinde gizlilik taahhütnamesi hazırlaması şarttır.
Bu sayılanlar dışında kimsenin veriye erişimi söz konusu olamaz. Bu kapsamda dernek yönetimi tarafından yetki matrisi de hazırlanmış ve yürürlüğe sokulmuştur.
- KİŞİSEL BİLGİLERİ MPS LH DERNEĞİ TARAFINDAN İŞLENEN KİŞİNİN HAKLARI
Kişisel veri sahipleri aşağıda sıralanan haklarına ilişkin taleplerini kimliklerini tespit edecek bilgi ve belgelerle ve aşağıda belirtilen yöntemlerle veya KVK Kurulu’nun belirlediği diğer yöntemlerle MPS LH Derneği’ne aşağıda belirtilen istisna haricinde ücretsiz olarak iletebileceklerdir. Bu kapsamda hazırlanan aydınlatma metinlerinde gerekli bilgilendirmeler gerçekleştirilmektedir.
Bu yönde bir başvuru olması durumunda başvuruyu alan kişinin durumu ivedi olarak dernek yönetim kurulu başkanına iletmesi gerekmektedir.
- MPS LH DERNEĞİ TARAFINDAN KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VE ANONİMLEŞTİRİLMESİ
Türk Ceza Kanunu’nun 138. Maddesi ve KVKK’nın 7. maddesi düzenlemesi doğrultusunda kişisel veriler ilgili kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması, Envanterde belirlenen saklama süresinin dolması, MPS LH Derneği’nin kendi kararına istinaden ve kişisel veri sahibinin bu yönde bir talebi olması hallerinde ve periyodik imha dahilinde silinir, imha edilir veya anonim hâle getirilir. Bu kapsamda MPS LH Derneği Kişisel Verileri Saklama ve İmha Politikası hazırlanmıştır.
MPS LH Derneği’nin ilgili mevzuat hükümleri gereğince kişisel verileri muhafaza etme hak ve/veya yükümlülüğü olan durumlarda veri sahibinin talebini yerine getirmeme hakkı daima saklıdır.
Kişisel veriler herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla da işlendiğinde, veriler silinirken/yok edilirken kişisel verinin sonradan kullanılamayacak biçimde fiziksel olarak yok edilmesi sistemi uygulanmaktadır. MPS LH Derneği, kendisi adına kişisel verileri işlemesi için bir kişi veya kuruluş ile anlaştığında, kişisel veriler bu kişi veya kuruluşlar tarafından bir daha kurtarılamayacak biçimde güvenli olarak silinir.
- DİĞER HUSUSLAR
KVKK ve ilgili diğer mevzuat hükümleri ile işbu Politika arasında uyumsuzluk olması halinde, öncelikle KVKK ve ilgili diğer mevzuat hükümleri uygulanacaktır.
MPS LH Derneği tarafından hazırlanan işbu Politika MPS LH Derneği Yönetim Kurulu tarafından alınan kararca ekiyle birlikte yürürlüğe girmiştir.
Eki: Yetki Matrisi