Önemli Duyuru : KVKK Uyum Süreci Hakkında

Değerli müşterimiz,

Kişisel verilerin Korunması Kanunu kısaca KVKK kapmasında yapılması gerekli bir çok çalışma bulunmaktadır. interMEDIA HBYS olarak yapılması gerekli çalışmaların aşağıda sizler için derledik. Yapılması gereken işlemler için bir kılavuz olarak kabul edebilirsiniz. KVKK uyum süreci ile ilgili işlemleri yaparken bir avukata veya bir danışman firmaya danışmanız ve onayını almanızı tavsiye ederiz. Bu kanuna aksi bir durumda kurumun ciddi bir cezai sorumluluğu doğabilir. interMEDIA HBYS bu konu üzerinde herhangi bir sorumluluk kabul etmemektedir.

 

Kişisel Veri Nedir: Kimliği belirli ya da belirlenebilir gerçek kişiye ilişkin tekil olarak kaydedilen ve işlenebilen veriler Örneğin;  TCKN, Adı Soyadı, telefon numarası vb  olabileceği gibi

kimliği belirli veya belirlenebilir gerçek kişiyle ilişkili raporlar da olabilir. Bu tür raporlara örnek olarak müşteri şikayet raporları, çalışan performans değerlendirme raporları, mülakat değerlendirme raporları verilebilir.

Kurum tarafından kayıt edilen ses ya da görüntü kayıtları, resimler, kullanıcı işlem kayıtları  ve kurum tarafından kayıt altında tutulan belgeler örneğin; özgeçmişler,  bordro, fatura, banka dekontları, kredi kartı ekstreleri, nüfus cüzdanı fotokopileri ve yazılan tüm dokümanlar  örneğin;  mektuplar,  davet yazıları ve bu kriterlere uyan tüm dijital ve normal evraklar kişisel veridir.

 

Kişisel Verilerin İşlenmesi: Tamamen ya da kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemdir.

 

İnsan Kaynakları Birimi İlgilendiren Konular

İşe giriş belgeleri dahil olmak üzere, kurum içinde personel adına düzenlenen ne kadar belge varsa

Örneğin; 

  • Personel Zimmet Kontrol Formu
  • Çalışan Bilgi Formu
  • İş Sözleşmesi Bilgilendirme Tutanağı
  • E-Posta Bilgi Formu
  • Fazla Çalışma, Resmi Tatil, Gece Çalışma Muvaffakatnamesi
  • AGİ Taahhütnamesi
  • Personel Yönetmeliği
  • Disiplin Yönetmeliği
  • AGİ Formu
  • Ayrılan Personel Onay Formu
  • Bordro
  • CV
  • Hizmet Sözleşmeleri
  • İbraname
  • İş Teklif Mektubu
  • İşe Giriş / Çıkış Bildirgeleri
  • Kişisel Bilgi Formu
  • Performans Değerlendirme Formu
  • Özel Sağlık Sigortası Formu

Tüm belge ve dökümanlarda, KVKK uyum süreci kapsamında

  • Aydınlatma metni ve açık rıza onayı olmalıdır
  • Bu belgeler dışında çalışana imza karşılığı teslim edilen tüm yönetmelik, prosedür, talimat ve politika dokümanları için de aydınlatma metni düzenlenmelidir.
  • Kariyer.net gibi çeşitli portallar üzerinden edinilen özgeçmişler için kişilerden herhangi bir onay alınmasına gerek yoktur fakat elden alınan özgeçmişler ve e-posta yoluyla
    iletilmiş özgeçmişler için, aydınlatma metni ile birlikte açık rıza onayı da gerekmektedir. Web sayfasından başvuru yapılıyorsa da yine aydınlatma metni ile birlikte açık rıza onayı gerekmektedir.

IT Birimini İlgilendiren Konular

  • Kişisel veri içeren bilgi teknoloji sistemlerinin internet üzerinden gelen izinsiz erişim tehditlerine karşı korunması için güvenlik duvarı ve ağ geçidi tedbiri alınmalıdır.
  • Kullanılmayan yazılım ve servisler cihazlardan kaldırılmalıdır.
  • Ağ ortamında kullanılan cihazların ve/veya programların yama yönetimi-yazılım güncellemelerinin olup olmadığı, düzgün bir şekilde çalıştığının kontrolü ve sistemler için alınan güvenlik tedbirlerinin yeterli olup olmadığının düzenli olarak kontrol edilmesi gerekir.
  • Kişisel verileri içeren sistemlere erişimin sınırlı olması gerekmektedir. Çalışanlara işi ve görevleri ile yetki ve sorumlulukları için gerekli olduğu ölçüde erişim yetkisi tanınmalı, kullanıcı adı ve parola kullanılmak suretiyle ilgili sistemlere erişim sağlanmalıdır.
  • Erişim yetki ve kontrol matrisi oluşturulmalıdır. Erişim politika ve prosedürü oluşturarak veri sorumlusu organizasyonu içinde uygulamaya alınmalıdır.
  • Güçlü şifre ve parola kullanılmalıdır. Kaba kuvvet saldırılarından korunmak için parola girişi deneme sayısının sınırlandırılması ve düzenli aralıklarla şifre ve parola değişimi sağlanmalıdır.
  • Yönetici ve admin yetkisinin sadece ihtiyaç olduğu durumlarda kullanmak için açılmalıdır.
  • Veri sorumlularının kurum veya veri ile ilişikleri kesildiği anda zaman kaybetmeden hesaplarının silinmesi ve girişlerinin kapatılması gerekmektedir.
  • Kötü amaçlı yazılımlardan korunmak amaçlı, bilgi sistem ağını düzenli olarak tarayan ve tehlikeleri tespit eden antivirüs, antispam ürünlerin kullanılması gerekmektedir. Kurulan ürünler güncel tutularak gereken dosyaların düzenli olarak tarandığından emin olunmalıdır.
  • Veri sorumluları farklı internet siteleri ve/veya mobil uygulama kanallarından kişisel veri temin edecekse, bağlantılarının SSL ya da daha güvenli bir yol ile gerçekleştirilmesi gerekmektedir.
  • Bilişim ağında hangi yazılım ve servislerin çalıştığı kontrol edilmelidir.
  • Bilişim ağında sızma veya olmaması gereken bir hareket olup olmadığının belirlenmesi gerekmektedir.
  • Sistemdeki tüm kullanıcıların işlem hareketleri kaydının düzenli olarak tutulması gerekmektedir. (Log kayıtları)
  • Güvenlik sorunları hızlı bir şekilde raporlanmalıdır.
  • Kurumda çalışanların sistem ve servislerdeki güvenlik zafiyetlerini ya da bunları kullanan tehditleri bildirmesi için resmi bir raporlama prosedürü oluşturulmalıdır.
  • Oluşturulan raporlar sistem yöneticisi tarafından en kısa zamanda veri sorumlusuna sunulmalıdır.
  • Güvenlik yazılımı mesajları, erişim kontrolü kayıtları ve diğer raporlama araçlarının düzenli olarak kontrol edilmesi gerekir. Sistemlerden gelen uyarılar üzerine harekete geçilmeli, bilişim sistemlerinin bilinen zafiyetlere karşı korunması için düzenli olarak zafiyet taramaları ve sızma testlerinin yapılması ile ortaya çıkan güvenlik açıklarına dair testlerinin sonucuna göre değerlendirme yapılmalıdır.
  • Bilişim sistemlerinin çökmesi, kötü niyetli yazılım, servis dışı bırakma saldırısı, eksik veya hatalı veri girişi, gizlilik ve bütünlüğü bozan ihlaller, bilişim sisteminin kötüye kullanılması gibi istenmeyen olaylarda deliller toplanmalı ve güvenli bir şekilde saklanmalıdır.
  • Kişisel veriler, veri sorumlularının yerleşkesinde yer alan cihazlarda ya da kâğıt ortamında saklanıyor ise, bu cihazların ve kâğıtların çalınması veya kaybolması gibi tehditlere karşı fiziksel güvenlik önlemlerinin alınarak korunması gerekmektedir.
  • Kişisel verilerin yer aldığı fiziksel ortamların dış risklere (yangın, sel vb.) karşı uygun yöntemlerle korunması ve bu ortamlara giriş/çıkışların kontrol altına alınması gerekmektedir.
  • Kişisel veriler elektronik ortamda ise, kişisel veri güvenliği ihlalini önlemek için ağ bileşenleri arasında erişim sınırlandırılır veya bu bileşenlerin ayrılması sağlanır.
  • Çalışanların şahsi elektronik cihazlarının bilgi sistem ağına erişim sağlamaması gerekir. Erişim sağlanması gerekiyor ise, güvenlik ihlali risklerini arttırdığı için güvenlik tedbirleri alınmalıdır.
  • Kişisel veri içeren kâğıt ortamındaki evraklar, sunucular, yedekleme cihazları, CD, DVD ve USB gibi cihazların ek güvenlik önlemlerinin olduğu farklı bir odaya alınması gerekir. Kullanılmadığı zaman kilit altında tutulmalı, giriş-çıkış kayıtlarının tutulması gibi fiziksel güvenlik önlemleri alınmalıdır.
  • Kişisel veri içeren cihazların kaybolması veya çalınması gibi durumlara karşı erişim kontrol yetkilendirmesi veya şifreleme yöntemlerinin kullanılması gerekir. Şifre anahtarı sadece yetkili kişilerin erişebileceği ortamda saklanmalı ve yetkisiz erişim önlenmelidir.
  • Cihazlar içerisinde bulunan kişisel veriler disk şifreleme yöntemi ile şifrelenmeli veya cihazda bulunan önemli veriler dosya halinde şifrelenmelidir.
  • Şifreleme programı olarak uluslararası kabul gören şifreleme programları tercih edilmelidir. Tercih edilen şifreleme yöntemi asimetrik şifreleme yöntemi olması halinde, anahtar yönetimi süreçlerine önem gösterilmelidir.
  • Kişisel verilerin bulut ortamında depolanması halinde, bulut depolama hizmeti sağlayıcısı tarafından alınan güvenlik önlemlerinin yeterli olup olmadığının veri sorumlusunca değerlendirilmesi gerekmektedir.
  • Bulut ortamında depolanan kişisel verilerin neler olduğunun detaylıca bilinmesi, yedeklenmesi, senkronizasyonun sağlanması ve bu kişisel verilere ihtiyaç olması durumunda uzaktan erişim için iki kademeli kimlik doğrulama kontrolünün uygulanması gerekmektedir.
  • Bulut ortamında bulunan kişisel verilerin depolanması ve kullanımı sırasında, kriptografik yöntemlerle şifrelenmesi, bulut ortamlarına şifrelenerek atılması gerekmektedir.
  • Kişisel veriler için mümkün olan her yerde ayrı ayrı şifreleme anahtarı kullanılması gerekmektedir.
  • Uygulama sistem girdilerinin doğru ve uygun olduğuna dair kontroller yapılmalı, yapılan işlemler sırasında bilginin kasıtlı olarak bozulup bozulmadığını kontrol etmek için uygulamalara kontrol mekanizmaları yerleştirilmelidir.
  • Uygulamalar işlem sırasında oluşabilecek hatalarda veri bütünlüğünü bozma olasılığını asgari düzeye indirecek şekilde tasarlanmalıdır.
  • Arızalandığı ya da bakım süresi geldiği için üretici, satıcı, servis gibi üçüncü kurumlara gönderilen cihazlarda kişisel veri barındırıyor ise bu cihazların bakım ve onarım işlemi için gönderilmesinden önce kişisel verilerin güvenliğinin sağlanması gerekmektedir. Bu cihazlardaki veri saklama ortamının sökülerek saklanması, sadece arızalı parçaların gönderilmesi, içerisinde bulunan verilerin şifrelenmesi gibi işlemler yapılması gerekmektedir.
  • Bakım ve onarım gibi amaçlarla dışarıdan personel gelmiş ise kişisel verileri kopyalayarak kurum dışına çıkartmasının engellenmesi ve gerekli güvenlik önlemlerinin alınması gerekmektedir.
  • Kişisel verilerin herhangi bir sebeple zarar görmesi, yok olması, çalınması veya kaybolması gibi durumlarda veri sorumluları yedeklenen verileri kullanarak sistemin en kısa sürede yeniden faaliyete geçmesi gerekmektedir.
  • Kötü amaçlı yazımların verilere erişimde engel olması ihtimaline karşı veri yedekleme stratejileri geliştirilmelidir.
  • Yedeklenen veriler sadece sistem yöneticisi tarafından erişilebilir olmalıdır.
  • Veri seti yedekleri mutlaka ağ dışında tutulmalıdır.
  • Veri yedeklerinin fiziksel güvenliğinin sağlandığından emin olunmalıdır.

Özet olarak;

Aşağıda belirtilen başlıklar kurum içerisinde gereğiyle yapıldığında verilerin ihlali azaltılmış olur.

  •  Yetkilendirme matrisi oluşturulmalıdır.
  • Yetki kontrolü yapılmalıdır.
  • Erişim logları tutulmalıdır.
  • Kullanıcı hesapları yönetilmelidir.
  • Ağ ortamının güvenliği sağlanmalıdır.
  • Uygulamaların güvenliği sağlanmalıdır
  • Sızma testleri yapılarak kurum güvenliği test edilmelidir.
  • Saldırı tespit ve önleme sistemleri oluşturulmalıdır.
  • Log kayıtları incelenmeli ve yedeklenmelidir.
  • Veri kaybı önleme yazılımları kullanılmalıdır.
  • Yedekleme sistemleri kullanılmalıdır.
  • Güncel anti-virüs sistemleri kullanılmalıdır.

 

Pazarlama Birimini İlgilendiren Konular

  • Kişinin onayı alınmadan e-posta, sms , vb gönderilemez
  • Toplu e-posta, sms, vb gönderimlerimi, sisteme rızasıyla üye olmuş kişilere yapılabilir. Gönderilen e-posta, sms , vb bilgilendirmelerde  üyelikten çıkma seçeneği sunulmalıdır.
  • Üyelik onayı alınırken, KVKK ve kişisel veri kullanımı ile ilgili bilgi verilmelidir.
  • Web sitesinde aşağıdaki bilgilendirmenin yapılması önerilir.
    “Bu internet sitesi çerez kullanmaktadır. İçerik ve reklamları kişiselleştirmek, sosyal medya özellikleri sağlamak ve trafiğimizi analiz etmek için çerezleri kullanırız. Sitemizin kullanımınızla ilgili bilgileri, sosyal medyamız, reklamcılık ve analitik ortaklarımızla paylaşıyoruz. Reklam ve analiz ortaklarımız daha önce kendilerine sağladığımız diğer bilgilerle veya onların hizmetlerini
    kullanarak onların size ait topladığı verilerle bu bilgileri birleştirebilir. Sitemiz üzerinde ilerlemeye devam ederseniz çerez kullanımını onaylamış olursunuz”
  • Web sitesi içerisinde bulunan iletişim formu ve test sonuçları sistemi için KVKK’a uygun olarak güncellenmeli ve yayınlanmalıdır.
  • Gerçekleştirilen etkinlik, eğitim ve organizasyonlarda ses ve görüntü kaydı yapılabilmesi, kişisel verilerin katılımcı listesinde toplanabilmesi amacıyla aydınlatma metninin katılımcılara okutulması ve sonrasında katılımcı formunda yer alan verilerin doldurtulup imzalatılması gerekmektedir.
  • Dergi, gazete ve sosyal medyada doktor ve diğer personelin görüntü ve fotoğrafları paylaşılıyor ise çekim yapılmadan evvel onay alınırken aydınlatma metni okutulup, imzalatılmalıdır.

HBYS İle İlgili Konular

  • Personel şifreleri min 8 hane olmalı, büyük-küçük harf, alfanümerik karakterler içeren şifreler olmalı, şifrelerde isim ve soyisim, doğum günü, plaka bilgileri bulunmamalıdır.
  • Hastalara KVKK ile ilgili onam formunun doldurulup, çıktılarının imzalattırılarak kilitli dolaplarda arşivlenmesi gerekmektedir.
  • Bilgi paylaşımları ile ilgili ekranların doldurulması ve bu yönde hastalara sms ya da e-posta gönderimi yapılması sağlanmalıdır.

Hastalarla İlgili Konular

  • Hasta Kayıt Aydınlatma Metni ve Muvafakatnamesi KVKK uyumlu bir şekilde imzalatılmalıdır.
  • Kan ve Kan Bileşenleri ve Transfüzyonu Bilgilendirilmiş Onam Formu KVKK uyumlu bir şekilde imzalatılmalıdır.
  • Başhekimlik Tedaviyi Ret Formu KVKK uyumlu bir şekilde imzalatılmalıdır.
  • Tıbbi Uygulamalar İçin Bilgilendirilmiş Onam Formu KVKK uyumlu bir şekilde imzalatılmalıdır.
  • İşleme Özel Rıza Bilgilendirme Onam Formu KVKK uyumlu bir şekilde imzalatılmalıdır.
  • Anestezi Uygulamaları İçin Bilgilendirilmiş Onam Formu KVKK uyumlu bir şekilde imzalatılmalıdır.
  • Gizli Hasta Bilgilerinin Paylaşılmasına İlişkin Onam Formu KVKK uyumlu bir şekilde imzalatılmalıdır.
  • Hasta Transfer Formları KVKK uyumlu bir şekilde imzalatılmalıdır.
  • Ameliyat Öncesi – Sonrası Hasta Onam Formu KVKK uyumlu bir şekilde imzalatılmalıdır.
  • Özel Sağlık Sigortası Hasta Bilgi Formu KVKK uyumlu bir şekilde imzalatılmalıdır.

Hastane Yönetimini Doğrudan İlgilendiren Konular

  • KVKK Politika Metninin Dokümante Edilmesi ve Paylaşımı
  • Kontrol Listesinin Oluşturulması ( Check List )
  • Tedarikçi Sözleşmelerinde KVKK uygun Ek Protokol Düzenlenmesi
  • Şirket İşbirliği Sözleşmelerinde KVKK uygun Ek Protokol Düzenlenmesi
  • Şahıs İşbirliği Sözleşmelerinde KVKK uygun Ek Protokol Düzenlenmesi
  • Aydınlatma Metinlerinin KVKK uygun Hale Getirilmesi
  • Verbis sistemine “veri sorumlusu”nun kayıt edilmesi

 

 

Üst

https://casino-strendus.com

aviamasters

woo casino

becric

pickering casino

verde casino

solar queen

fairplay 24

wolinak casino

gbets login

winnerz casino

ignition casino

gbets login

qizilbilet

rooli casino

king billy casino

wolfwinner casino

golden clover

esball casino

discord boost shop

star111

ποκερ ελλαδα

hollywoodbets mobile

pistolobet giris

https://casino-winpot.com

brango

chicken road

ignition casino

prizmabet giriş

johnny kash casino

strendus casino

fair go

lottostar login

chicken road

goawin game

playwise365

spinrise

https://lottostar-register.co.za

mxbet

blackjack

moonwin app

https://star111-india.com

sun of egypt

betturkey

netbet casino

betturkey

fortune dragon

playcity casino

sunbet

Spinbetter apk

esball

winshark

winbay app

casino clubhouse

mexplay app

https://cassinofortunemouse.com

mrpacho

winexch

betsson

Вавада Казино

lottostar login my account

Вавада зеркало

lukki casino

playuzu casino

winspirit casino

springbok casino

sun of egypt 3 slot

pg soft slot

lottostar

play croco casino

fortune ox

casino momang