Yönetmelikler

YÖNETMELİK

Sosyal Güvenlik Kurumu Başkanlığından:

SOSYAL GÜVENLİK KURUMU NEZDİNDEKİ VERİLERİN KORUNMASINA
VE İŞLENMESİNE İLİŞKİN YÖNETMELİK

BİRİNCİ BÖLÜM
Amaç, Kapsam, Dayanak ve Tanımlar

Amaç

MADDE 1 – (1) Bu Yönetmeliğin amacı; Kurumun 16/5/2006 tarihli ve 5502 sayılı Sosyal Güvenlik Kurumuna İlişkin Bazı Düzenlemeler Hakkında Kanun, 31/5/2006 tarihli ve 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu ve 15/7/2018 tarihli ve 30479 sayılı Resmî Gazete’de yayımlanan 4 sayılı Bakanlıklara Bağlı, İlgili, İlişkili Kurum ve Kuruluşlar ile Diğer Kurum ve Kuruluşların Teşkilatı Hakkında Cumhurbaşkanlığı Kararnamesinde belirtilen görev ve yetkileri kapsamında, tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde ettiği verilerin işlenmesinde uyulacak usul ve esasları belirlemektir.

Kapsam

MADDE 2 – (1) Bu Yönetmelik, Kurumun görev ve yetkileri kapsamında tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde ettiği verilerin işlenmesinde uyulacak usul ve esaslar doğrultusunda;

a) Kurum personelini,

b) Kişisel verileri işlenen gerçek kişileri,

c) Kişisel verilerin işlenmesine ait bilgi işlem sistemleri yazılım ve donanımı ile dosyalama sistemi gibi hizmetleri sunan gerçek ve tüzel kişileri,

ç) Kurumun faaliyetleri kapsamında mevzuat çerçevesinde kişisel verileri işleyen kamu kurum ve kuruluşları ile özel hukuk gerçek ve tüzel kişileri,

d) Kurum adına kişisel verileri işleyen gerçek veya tüzel kişileri,

e) Veri aktarımının yapıldığı kamu kurum ve kuruluşları ile özel hukuk gerçek ve tüzel kişilerini,

kapsar.

Dayanak

MADDE 3 – (1) Bu Yönetmelik, 16/5/2006 tarihli ve 5502 sayılı Sosyal Güvenlik Kurumuna İlişkin Bazı Düzenlemeler Hakkında Kanunun 35 inci maddesi ile 24/3/2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanununa dayanılarak hazırlanmıştır.

Tanımlar

MADDE 4 – (1) Bu Yönetmelikte geçen;

a) AFYDB: Kurum Aktüerya ve Fon Yönetimi Daire Başkanlığını,

b) Anonim hâle getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini,

c) Anonim veri: Anonim hale getirilen ve kimliği belirli veya belirlenebilir gerçek kişiyle ilişkilendirilemeyen veriyi,

ç) Başkan: Sosyal Güvenlik Kurumu Başkanını,

d) Birim: 4 sayılı Cumhurbaşkanlığı Kararnamesinin 413 üncü maddesinde belirtilen hizmet birimlerini,

e) Birim amiri: 4 sayılı Cumhurbaşkanlığı Kararnamesinin 413 üncü maddesinde belirtilen hizmet birimlerinin en üst amirini, taşra teşkilatında ise sosyal güvenlik il müdürlerini,

f) Genel sağlık sigortalısı: 5510 sayılı Kanunun 60 ıncı maddesinde sayılan kişileri,

g) Genel sağlık sigortası: Kişilerin öncelikle sağlıklarının korunmasını, sağlık riskleri ile karşılaşmaları halinde ise oluşan harcamaların finansmanını sağlayan sigortayı,

ğ) HSGM: Kurum Hizmet Sunumu Genel Müdürlüğünü,

h) İlgili kişi: Kişisel verisi işlenen gerçek kişiyi,

ı) İlgili kullanıcı: Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişileri,

i) Kişisel sağlık verisi: Kimliği belirli ya da belirlenebilir gerçek kişinin fiziksel ve ruhsal sağlığına ilişkin her türlü bilgi ile kişiye sunulan sağlık hizmetiyle ilgili bilgileri,

j) Kişisel veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi,

k) Kişisel verilerin işlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi,

l) Kişisel verilerin silinmesi: Kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesini,

m) Kişisel verilerin yok edilmesi: Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemini,

n) Kurul: Kişisel Verileri Koruma Kurulunu,

o) Kurum: Sosyal Güvenlik Kurumunu,

ö) MEDULA: Sağlık hizmeti kullanım verisi toplamak ve bu verilere dayanarak faturalama işlemini gerçekleştirmek amacıyla Kurum tarafından uygulanan ve işletilen elektronik bilgi sistemini,

p) Mevzuat birimi: Emeklilik Hizmetleri Genel Müdürlüğü, Sigorta Primleri Genel Müdürlüğü, Genel Sağlık Sigortası Genel Müdürlüğü, Rehberlik ve Teftiş Başkanlığı, Aktüerya ve Fon Yönetimi Daire Başkanlığı ile Strateji Geliştirme Başkanlığını,

r) Sağlık hizmeti: Genel sağlık sigortalısı ve bakmakla yükümlü olduğu kişilere 5510 sayılı Kanunun 63 üncü maddesi gereği finansmanı sağlanacak tıbbi ürün ve hizmetleri,

s) Sağlık hizmeti sunucusu: Sağlık hizmetini sunan ve/veya üreten; gerçek kişiler, kamu kurum ve kuruluşları ile özel hukuk tüzel kişilerini ve bunların tüzel kişiliği olmayan şubelerini,

ş) Sigortalı: Kısa ve/veya uzun vadeli sigorta kolları bakımından adına prim ödenmesi gereken veya kendi adına prim ödemesi gereken kişiyi,

t) Sosyal sigortalar: 5510 sayılı Kanunda tanımlanan kısa ve uzun vadeli sigorta kollarını,

u) Taşra birimi: Sosyal güvenlik il müdürlükleri ile sosyal güvenlik il müdürlüklerine bağlı sosyal güvenlik merkezlerini,

ü) Ticari sır niteliğindeki veri: Bir ticari işletme veya şirketin kendisine veya muvafakati çerçevesinde gerçek veya tüzel kişilere verilme durumları hariç olmak üzere; herkes tarafından bilinmeyen ve elde edilemeyen, başta rakipleri olmak üzere üçüncü kişilere ve kamuya açıklanması halinde ilgili ticari işletme veya şirketin zarar görme ihtimali bulunan ve ticari işletme veya şirketin ekonomik hayattaki başarı ve verimliliği için ticari önem atfettikleri veriyi,

v) Veri: Kurum nezdinde üretilen, işlenen veya arşivlenen her türlü bilgi ve belgeyi,

y) Veri işleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi,

z) Veri kayıt sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği Kurum veri kayıt sistemlerini,

aa) Veri paylaşım metodu: Talep edilen verilerin Kurum tarafından uygun bulunan Elektronik Belge Yönetimi Sistemi (EBYS) ortamında CD, DVD, sabit disk, taşınabilir bellek gibi elektronik-manyetik kayıt ortamlarında veya web servis, SFTP veya Kurumda kullanılan diğer yazılımlar gibi elektronik ortamlar üzerinden şifrelenerek paylaşım metotlarını,

bb) Veri sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi,

ifade eder.

İKİNCİ BÖLÜM
Kişisel Veriler, Kişisel Sağlık Verileri ile Ticari Sır Niteliğindeki Veriler
Kişisel veriler, kişisel sağlık verileri ile ticari sır niteliğindeki verilerin işlenmesi

MADDE 5 – (1) Kurum; 5502 sayılı Kanun, 5510 sayılı Kanun ve 4 sayılı Cumhurbaşkanlığı Kararnamesi ile kendisine verilen görevleri yerine getirmek amacıyla kişisel verilerin, kişisel sağlık verilerinin ve ticari sır niteliğindeki verilerin işlenmesinde aşağıdaki ilkelere uymak zorundadır:

a) Hukuka ve dürüstlük kurallarına uygun olma.

b) Doğru ve gerektiğinde güncel olma.

c) Belirli, açık ve meşru amaçlar için işlenme.

ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma.

d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.

(2) Kurumla sözleşmeli sağlık hizmeti sunucuları, Kurum adına işledikleri kişisel sağlık verilerini Kurum veri kayıt sistemine aktarmakla yükümlüdür.

(3) Sağlık hizmeti sunucuları, sözleşme kapsamında Kurum adına işledikleri kişisel sağlık verilerini, Kurum veri kayıt sistemi dışında hiçbir yere kopyalayamaz veya aktaramaz.

(4) Kurum adına kişisel verileri, kişisel sağlık verilerini ve ticari sır niteliğindeki verileri işleyen veya görevi gereği bu verilere erişen herkes, sır saklama yükümlülüğü altında olup veri gizliliğinin sağlanması amacıyla Kurum ve Kurul tarafından belirlenen önlemlere uymakla yükümlüdür.

(5) Kişisel verilerin, kişisel sağlık verilerinin ve ticari sır niteliğindeki verilerin işlenmesinde ayrıca Kurul tarafından yapılan düzenlemelere uyulması zorunludur. Ancak veri aktarımında 5502 sayılı Kanunun 35 inci maddesi hükmü saklıdır.

(6) Kişisel verilerin, kişisel sağlık verilerinin ve ticari sır niteliğindeki verilerin bulunduğu Kurum veri kayıt sistemine erişim izni verilebilmesi için, yetkilendirme dahilinde kullanıcı tanımlanması gerekir. Kullanıcı tanımlama ve yetkilendirmeye ilişkin her türlü işlem kayıt altına alınır ve bu kayıtlar muhafaza edilir. Yetkilendirme, kayıt altına alma ve verilerin muhafazasına ilişkin hususlar veri sorumlusu tarafından belirlenir.

Veri sorumlusunun görev ve yükümlülükleri

MADDE 6 – (1) Veri sorumlusu, bu Yönetmelik kapsamındaki verilerin hukuka aykırı olarak işlenmesini ve bu verilere, hukuka aykırı bir şekilde erişilmesini önlemek, bu verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.

(2) Veri sorumlusu, tedbirlerin alınması hususunda veri işleyenler ile birlikte müştereken sorumludur.

(3) Veri sorumlusu Kurul tarafından belirlenen düzenlemelerin uygulanmasını sağlamak amacıyla Kurumda gerekli denetimleri yapmak veya yaptırmak zorundadır.

(4) Kişisel verileri, kişisel sağlık verileri ile ticari sır niteliğindeki verileri işleyen kişiler, bu verilere erişen kişiler ve veri sorumluları; öğrendikleri kişisel verileri, kişisel sağlık verilerini ve ticari sır niteliğindeki verileri 6698 sayılı Kanun ve 5502 sayılı Kanun ile bu Yönetmelik hükümlerine aykırı olarak başkasına açıklayamaz ve işleme amacı dışında kullanamazlar. Bu yükümlülük görevden ayrılmalarından sonra da devam eder.

(5) Bu Yönetmelik kapsamında işlenen verilerin kanuni olmayan yollarla başkaları tarafından elde edildiğinin tespiti hâlinde veri sorumlusu, bu durumu gecikmeksizin ve en geç 72 saat içinde Kurula, söz konusu veri ihlalinden etkilenen kişilerin belirlenmesini müteakip ilgili kişilere de makul olan en kısa süre içerisinde bildirir.

(6) Bu Yönetmelik kapsamında kişisel veri işleyen veri sorumluları Kurul tarafından çıkarılacak düzenlemelere uymakla yükümlüdür.

Kişisel veriler, kişisel sağlık verileri ile ticari sır niteliğindeki verilere erişimler

MADDE 7 – (1) Kuruma verilen görevlerin yerine getirilebilmesi için kullanıcı tanımlaması ve yetkilendirmesi yapılan Kurum personelinin kişisel verilere, kişisel sağlık verilerine ve ticari sır niteliğindeki verilere erişimleri; üçüncü kişilere verilmemek, açıklanmamak ve veri güvenliğine ilişkin Kurum ve Kurul tarafından belirlenen yükümlülüklere uyulmak kaydıyla veri aktarımı olarak değerlendirilmez.

(2) Bu Yönetmelik kapsamındaki kişisel verilere;

a) Sağlık hizmetlerine ilişkin fatura bedellerinin incelenmesi ve ödenmesi,

b) Kurumun alacaklarının takip ve tahsili,

c) Denetim, teftiş ve kontrol,

ç) Verilerin işlenmesi,

d) Kurum mevzuatında yer alan sağlık ve sosyal sigorta hizmetlerine ilişkin kontrol parametrelerinin Kurum veri kayıt sistemine aktarılması ve takibi,

e) Sağlık ve sosyal sigorta hizmetlerinin izlenmesi, değerlendirilmesi, istatistik üretilmesi ve risk analizi yapılması,

f) Sağlık ve sosyal sigorta politikalarının belirlenmesi,

g) HSGM’de yazılım geliştirilmesi, sistem işletimi ve verilerin hazırlanması,

amacıyla bu işlemlerde görevlendirilen ve 5 inci maddenin altıncı fıkrası kapsamında kullanıcı tanımlaması ve yetkilendirmesi yapılan Kurum personeli tarafından erişilebilir.

(3) Kullanıcı tanımlaması ve yetkilendirmesi yapılan Kurum personeli, kişisel verilere, kişisel sağlık verilerine ve ticari sır niteliğindeki verilere;

a) Kurum veri kayıt sisteminde yer alan verilere şifre ile doğrudan erişim yetkisi verilmesi,

b) Kurumsal Raporlama ve İstatistik Sistemi, MEDULA gibi kişisel veriler, ticari sır niteliğindeki veriler ile kişisel sağlık verilerine ulaşılan uygulamalara şifre ile erişim yetkisinin verilmesi,

yoluyla erişebilir.

(4) Kullanıcı tanımlaması ve yetkilendirmesi yapılmaksızın Kurum personelinin görevi kapsamında talep ettiği kişisel verilere, kişisel sağlık verilerine ve ticari sır niteliğindeki verilere;

a) İlgili mevzuat biriminin onayı sonrasında HSGM tarafından uygun veri paylaşım metodu ile personelin bağlı olduğu ilgili birime iletilmesi,

b) Kurum personelinin görevi kapsamında talep ettiği kişisel veriler, kişisel sağlık verileri ve ticari sır niteliğindeki verilere birimi içerisinde hazırlanması ve iletilmesi,

yöntemiyle erişebilir.

(5) İkinci fıkranın (c) bendi kapsamında yapılan veri talepleri doğrudan HSGM’ye yapılır ve HSGM tarafından karşılanır. Üçüncü fıkranın (a) bendi kapsamında verilere erişim yetkileri, personelin görev yaptığı birim tarafından Başkanlık Makamından alınan onaya istinaden HSGM tarafından verilir. Üçüncü fıkranın (b) bendi kapsamında verilere erişim yetkileri, personelin görev yaptığı birimin talebine istinaden Kurumun yetkilendirme işlemleri çerçevesinde HSGM tarafından verilir. Dördüncü fıkranın (a) bendi kapsamında yapılacak veri talepleri ilgili birim tarafından doğrudan mevzuat birimine yapılır ve bu talepler hakkında 20 nci maddenin bir ila yedinci fıkrası hükümleri uygulanır.

(6) Verilere erişim yetkileri, personelin görev süresi ve kapsamı ile sınırlı olup, erişim yetkisinin sona ermesini gerektirecek bir durumun meydana gelmesi halinde yetkinin kaldırılması ile ilgili gerekli işlemler personelin görev yaptığı birim tarafından derhal yapılır.

(7) Personelin verilere erişim yetki düzeyleri, personelin görev süresi ve kapsamı ile yapılacak çalışmanın niteliğinin gerektirdiği erişim ihtiyacı dikkate alınarak talebi yapan ilgili birimce belirlenir ve bu talep ilgili mevzuat biriminden alınacak onay ile HSGM’ye iletilir.

Kurumun iş ve işlemlerinin yürütülmesine ilişkin hususlar

MADDE 8 – (1) Veri işleyenler tarafından hizmetin gereği olarak veri kayıt sistemlerinden yapılan sorgular, veri aktarımı olarak değerlendirilmez.

Genel sağlık sigortası ile sosyal sigortalara yönelik iş ve işlemlerin paydaşlar ile yürütülmesi

MADDE 9 – (1) Kuruma verilen görevlerin yerine getirilebilmesine yönelik iş ve işlemlerin diğer kamu kurum ve kuruluşları ile üniversite, enstitü, oda, dernek gibi paydaşlar ile birlikte gerçekleştirilmesi amacıyla;

a) Kurumca imzalanan işbirliği protokolü, hizmet alım sözleşmesi/protokolü kapsamındaki çalışmalarda,

b) Genel sağlık sigortası ile sosyal sigortalar uygulamalarına ilişkin iş ve işlemlerin yürütülmesine yönelik olarak oluşturulan komisyonlarda,

Kurum dışından görev alan kişilerin kişisel verilere, kişisel sağlık verilerine ve ticari sır niteliğindeki verilere erişimlerine izin verilmez. Bu kişilerin anonim verilere erişimleri, veri aktarımı olarak değerlendirilmez.

(2) Kurum, bu madde kapsamında görevlendirilen kişiler ile ilgili olarak, bu Yönetmelik ve 6698 sayılı Kanunun 12 nci maddesi kapsamında veri güvenliğine ilişkin teknik ve idari tedbirleri almak, ilgili mevzuat hükümlerine uygun hareket edilmesini sağlamak zorundadır.

Kişinin kendisine ait kişisel veriler ile kişisel sağlık verilerine ilişkin talepleri

MADDE 10 – (1) Herkes, Kuruma başvurarak kendisiyle ilgili kişisel verileri ile kişisel sağlık verilerinin;

a) İşlenip işlenmediğini öğrenme,

b) İşlenmişse buna ilişkin bilgi talep etme,

c) Silinmesini, yok edilmesini isteme,

ç) İşlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,

d) Yurt içinde veya yurt dışında aktarıldığı üçüncü kişileri bilme,

e) Eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,

f) İşlenenlerinin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,

g) Mevzuata aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme,

ğ) (c) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,

haklarına sahiptir.

(2) Kişilerin kişisel verileri ile kişisel sağlık verilerinin silinmesi veya yok edilmesi taleplerinde, kişisel verilerin işlenme şartlarının tamamının ortadan kalkıp kalkmadığı yönünde ilgili mevzuat birimince değerlendirme yapılarak silme, yok etme veya anonim hâle getirme işlemlerinden hangisinin uygulanacağına karar verilir. Uygulanan yöntem ve gerekçesi en geç 30 gün içinde ilgili mevzuat birimi tarafından ilgili kişiye yazılı olarak veya elektronik tebligat adresine bildirilir.

(3) Kurum, kişinin kişisel verileri ile kişisel sağlık verilerini;

a) Kişinin kendisine veya noter onaylı muvafakatiyle veya e-Devlet uygulaması üzerinden kimlik teyidi ile verilen izin ile diğer gerçek veya tüzel kişilere,

b) Mahkeme kararı ile kişinin sağlık verilerine erişim izninde yetkilendirilmiş kişilere,

c) Müvekkili tarafından verilen özel vekâletnamede avukatın kişisel veriler ile kişisel sağlık verilerini talep edebileceğine yer verilmiş olması şartıyla ilgili avukatına,

aktarabilir veya gerekçesini açıklayarak veri taleplerini reddedebilir.

(4) Kuruma yapılan talepler, talebin niteliğine göre en kısa sürede ve en geç 30 gün içinde ücretsiz olarak sonuçlandırılır. Ancak, işlemin ayrıca bir maliyeti gerektirmesi halinde, Kurulca bu konuda belirlenen tarifedeki ücret alınabilir.

(5) Bu madde kapsamındaki veri talepleri taşra birimine yapılır. Taşra birimi, yetkileri dahilinde Kurum veri kayıt sisteminden temin edemediği verileri 20 nci maddenin iki ila beşinci fıkrası hükümlerine göre temin edebilir.

Kurum veya kuruluşların kişisel veri ile ticari sır niteliğindeki veri talepleri

MADDE 11 – (1) Kurum, işlediği kişisel veri ile ticari sır niteliğinde olan verileri, ilgili kişinin noter onaylı muvafakati veya e-Devlet uygulaması üzerinden kimlik teyidi ile verilen izni ile ve kişiler adına vekâlet ile yetkilendirilenler tarafından, kişisel veri veya ticari sır niteliğindeki veriler hususunda yetkiyi içeren özel vekâletnamenin veya vasi atamaya ilişkin mahkeme kararının Kuruma ibraz edilmesi koşuluyla gerçek veya tüzel kişilere, ilgili mevzuat birim amirinin onayı ile aktarılabilir.

(2) Ancak, 5502 sayılı Kanunun 35 inci maddesi uyarınca 10/12/2003 tarihli ve 5018 sayılı Kamu Mali Yönetimi ve Kontrol Kanununun ekinde yer alan (I), (II), (III) ve (IV) sayılı cetvellerde yer alan kamu idareleri ile Türkiye Cumhuriyet Merkez Bankasının ilgili mevzuatında belirtilen görevleri yapabilmeleri için ihtiyaç duydukları kişisel sağlık verisi dışındaki kişisel veriler ile ticari sır niteliğinde olan veriler aktarılabilir.

(3) Kamu kurum veya kuruluşları tarafından yazılı veya elektronik ortamda talep edilen tek seferlik kişisel veriler ile ticari sır niteliğindeki veriler, ikinci fıkradaki şartları taşıdığının belirlenmesi halinde talep eden kamu kurum veya kuruluşlarının bulunduğu il müdürlüğünce karşılanır. İl müdürlüğü, yetkileri dahilinde Kurum veri kayıt sisteminden temin edemedikleri verileri, 20 nci maddenin bir ila dokuzuncu fıkrası hükümlerine göre temin ederek ilgili merciye teslim eder.

(4) Kamu kurum veya kuruluşları tarafından talep edilen sürekli nitelikteki kişisel veriler ile ticari sır niteliğindeki verilerin aktarılabilmesi için veri talebinde bulunanlar ile Kurum arasında ilgili mevzuat biriminin koordinasyonunda aktarımın usulünü ve diğer gerekli hususları belirleyen protokolün imzalanması zorunludur.

Sağlık Bakanlığının kişisel sağlık verisi talepleri

MADDE 12 – (1) Kurum, kişisel sağlık verilerini; kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, verilen sağlık hizmetlerinin uygunluğunun ve yerindeliğinin takibi ve finansmanının planlanması amacıyla talebi hâlinde Sağlık Bakanlığı ile paylaşır.

(2) Sağlık Bakanlığı tarafından yapılan veri taleplerinde, 20 nci maddenin bir ila dokuzuncu fıkrası hükümleri uygulanır.

Sözleşmeli sağlık hizmeti sunucularının sundukları hizmetlere ilişkin veri talepleri

MADDE 13 – (1) Sağlık hizmetlerinin sağlanmasına yönelik olarak Kurumla sözleşme yapmış sağlık hizmeti sunucularınca, Kurum adına işledikleri kişisel sağlık verilerinden mücbir sebep dolayısıyla Kuruma faturalandırılamayan hizmetlere ilişkin verilerin talep edilmesi durumunda bu talepler hakkında 20 nci maddenin bir ila dokuzuncu fıkrası hükümleri uygulanır.

Yargı makamları ve infaz mercilerinin veri talepleri

MADDE 14 – (1) Yargı makamları ve infaz mercileri tarafından talep edilen kişisel veri ile kişisel sağlık verisi talepleri taşra birimine yapılır. Taşra birimi, yetkileri dahilinde Kurum veri kayıt sisteminden temin edemedikleri verileri, HSGM’den temin ederek ilgili merciye teslim eder.

ÜÇÜNCÜ BÖLÜM
Anonim Veriler

Anonim verilerin aktarılması

MADDE 15 – (1) İlgili mevzuat birimleri tarafından belirlenen kişisel verilerin, kişisel sağlık verilerinin ve ticari sır niteliğindeki verilerin anonim hale getirilmesinde, ulusal ve uluslararası kabul görmüş istatistiki yöntemler uygulanır. Bu konuda Kurul tarafından yapılan düzenlemelerde yer alan hükümler uygulanır.

(2) Anonim veriler, bu Yönetmelik hükümlerine uygun olarak ve Kurum tarafından değerlendirilerek uygun görülmesi koşuluyla;

a) Sağlık ile sosyal sigorta alanında stratejilerin ve hedeflerin gerçekleştirilmesi,

b) Genel sağlık sigortası ile sosyal sigorta politika ve uygulamalarının geliştirilmesi,

c) Sağlık ve sosyal sigorta hizmetlerinin finansmanı, yönetimi ve planlanması,

ç) Kişi ve toplum sağlığının korunması ile koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetleri stratejilerinin oluşturulması,

d) Kurumsal önceliklerin gerçekleştirilmesi,

e) Sağlık ve sosyal sigorta istatistiklerinin hazırlanması,

f) Bilimsel ve akademik araştırma ve çalışmaların gerçekleştirilmesi,

g) Kamu alacaklarının takip ve tahsili,

ğ) Kamu kurum ve kuruluşlarının mevzuatla verilen görevlerinin yerine getirilmesinin sağlanması ile denetim görevlerinin gerçekleştirilebilmesi,

h) Kamu kurum ve kuruluşlarının faaliyetlerinde bürokrasinin azaltılması ve işlemlerin sadeleştirilmesi,

amacıyla aktarılabilir.

(3) Anonim veri talepleri;

a) Verilerin ayrı veya özel bir çalışma, araştırma, inceleme ya da analiz neticesinde oluşturulabilecek nitelikte olup olmadığı,

b) Verilerin anonim hale getirilme işlemlerinin karmaşıklığı,

c) Verilerin ticari sır niteliğinde olup olmadığı,

gibi ölçütlere göre aktarılabilir.

(4) Anonim veri aktarımı yapılan gerçek ve tüzel kişiler aktarılan verileri aktarım amacı ve Kurum bilgisi dışında kullanamazlar.

Araştırma, planlama ve istatistik amaçlı anonim veri talepleri

MADDE 16 – (1) Kamu idarelerinin, 11 inci maddenin ikinci fıkrası kapsamına girmeyen araştırma, planlama ve istatistik amaçlı anonim veri talepleri veya bilimsel araştırma yapan kamu personelinin, bilimsel derneklerin, kamu kurumu niteliğindeki meslek kuruluşlarının veya üniversitelerin araştırma, planlama ve istatistik amaçlı ihtiyaç duydukları anonim veriler aktarılabilir.

(2) İlgili mevzuat birimleri ile AFYDB’de görevli personel hariç, Kurum personelinin görevi kapsamında yapılacak çalışmalarda kullanılmak üzere, anonim veri talepleri, talep eden personelin bağlı bulunduğu birim amiri tarafından ilgisine göre ilgili mevzuat birim amirine yapılır.

(3) Kurum içi birimler tarafından Kurumsal Raporlama ve İstatistik Sisteminde bulunan istatistik amaçlı veriler talep edilemez.

(4) Bu madde kapsamındaki veri taleplerinde, 20 nci madde hükümleri uygulanır.

(5) Bu madde kapsamında sürekli veya elektronik ortamda yapılacak anonim veri aktarımı, ilgili mevzuat biriminin koordinasyonunda aktarımın usulü ve diğer gerekli hususları belirleyen bir protokol aracılığıyla yapılır.

Tüzel kişilere ait olan anonim verilerin tüzel kişinin kendisine veya diğer kişilere aktarımı

MADDE 17 – (1) Tüzel kişilerin, 5510 sayılı Kanunun 63 üncü maddesinin birinci fıkrasının (f) bendinde belirtilen sağlık hizmetlerinden ruhsat veya satış iznine sahip olduğu ürünlere ait veriler; Kurum tarafından uygun görülmesi halinde tüzel kişiyi temsile yetkili olanların noter onaylı muvafakatlerinin alınması kaydıyla 20 nci maddenin bir ila yedinci fıkrası hükümlerine göre gerçek veya tüzel kişilere aktarılabilir.

(2) Bu madde kapsamında aktarılacak veriler, sağlık hizmeti sunucularının doğrudan ya da dolaylı tanınmasına yol açamaz.

(3) Bu madde kapsamında veri aktarılabilmesi için veri talebinde bulunanlar ile Kurum arasında ilgili mevzuat biriminin koordinasyonu ile aktarımın usulü ve diğer gerekli hususları belirleyen sözleşme/protokol imzalanması zorunludur.

Anonim istatistik yayınları

MADDE 18 – (1) Anonim veriler ile ticari sır niteliğindeki verileri içeren Kurum istatistik bültenlerinin, istatistik yıllıklarının ve faaliyet raporlarının yayımlanması veri aktarımı olarak değerlendirilmez.

(2) Kurum tarafından kamuya açıklanmış istatistik bültenleri, istatistik yıllıkları, faaliyet raporları ve benzeri yayımlarında yer alan anonim verilerin Kurum dışına verilmesi veri aktarımı olarak değerlendirilmez.

Kurum personelinin tezleri

MADDE 19 – (1) Kurum personeli, Kurum mevzuatı gereği hazırlayacakları tezleri için anonim veri talebinde bulunabilir.

(2) Bu madde kapsamında yapılacak anonim veri taleplerinde, 20 nci maddenin birinci, üçüncü ve beşinci fıkraları uygulanır.

DÖRDÜNCÜ BÖLÜM
Genel Hükümler

Verilerin aktarım taleplerine ilişkin genel hükümler

MADDE 20 – (1) Veri aktarım talepleri, ilgili mevzuat birimine yazılı olarak yapılır. İlgili mevzuat birimi gerekli gördüğü durumlarda istenilen veriye ilişkin detaylı veri deseninin hazırlanmasını talep edebilir.

(2) 11 inci maddenin ikinci fıkrasında sayılan kamu kurum ve kuruluşlarının talep ettikleri kişisel sağlık verisi dışındaki kişisel veriler, anonim veriler ile ticari sır niteliğindeki verilerin aktarılabilmesi için talebe ilişkin hukuki dayanağın Kuruma yapılacak yazılı talepte belirtilmesi zorunludur.

(3) Veri taleplerinin değerlendirilmesi sürecinde ihtiyaç duyulması halinde ilgili mevzuat birimince ayrıca bilgi ve belge istenebilir.

(4) Veri taleplerinin kabul edilmesi halinde, veri erişimi ve gizliliğine ilişkin gerekli şartları içeren Protokol ilgili mevzuat biriminin koordinasyonunda veri talebinde bulunanlarca imzalanır.

(5) Veri talepleri, ilgili mevzuat birimi tarafından incelenerek veri formatı ve başlıkları belirlenmiş şekilde verilerin hazırlanması için HSGM’ye iletilir. İlgili mevzuat birimi tarafından veri paylaşımının uygun görülmediği durumlarda veri talebinde bulunanlara ilgili mevzuat birimince bilgi verilir.

(6) Aktarılmak üzere hazırlanan veriler, HSGM tarafından Kurumca belirlenecek format ile uygun veri paylaşım metodu kullanılarak paylaşılır. Paylaşılacak veri, talebi yapan gerçek veya tüzel kişiye yazılı olarak taahhütlü veya iadeli taahhütlü posta ile veya elden teslim edilebilir.

(7) Anonim verilerin kamu kurum ve kuruluşlarına teslimi, talepleri halinde şifrelenmiş dosya ile “gov.tr” uzantılı e-posta adreslerine yapılabilir.

(8) Telefonla veri iletilemez.

(9) Veri talebinde bulunanlar, işledikleri verilerin sonuçlarını Kurum tarafından kontrol edilebilir bir dosya formatında hazırlar ve oluşturulan sonuçlarda bu Yönetmelik hükümlerine aykırı olarak işlenen verilere yer verilemez.

(10) Veri talebinde bulunanların işledikleri verilerin veri işleme süreçlerindeki tüm sonuçlarının bu Yönetmeliğe aykırı biçimde aktarılması sonucunu doğuracak veri içerip içermediği ilgili birim tarafından kontrol edilir. Bu Yönetmelik hükümlerine aykırı olarak işlenen verileri içeren bölümlerin tespit edilmesi halinde sonuçların kullanılmasına izin verilmez.

(11) Veri talebinde bulunanların hatalı hesaplama sonucu elde ettiği bulgular sadece veri talebinde bulunanları bağlar.

(12) Veri talebinde bulunanlar, çalışmalarında elde ettikleri sonuçları yayımlarken kullandıkları Kurum verilerini kaynak göstermek zorundadır.

(13) Veri talebinde bulunanlar yayımladıkları rapor, makale ve benzeri çalışmalarının bir kopyasını, yayımlarından sonraki 30 gün içerisinde veriyi talep ettiği Kurumun ilgili birimine göndermekle yükümlüdür.

(14) Veri talebinde bulunanlar, aldıkları verileri taleplerinde ifade ettikleri amaç dışında farklı bir amaçla kullanamaz, çoğaltamaz, üçüncü kişilere veremez, satamaz veya devredemez.

Verilerin aktarıldığı kişi, kurum/kuruluşların sorumlulukları

MADDE 21 – (1) Verilere erişen Kurum personeli ile verilere erişen veya veri aktarımı yapılan kamu kurum ve kuruluşlarının personeli de dahil olmak üzere gerçek ve tüzel kişiler, sağlık hizmeti sunucularına ait bilgi işlem sistemlerinin yazılımını ve donanımını sağlayan gerçek ve tüzel kişiler;

a) Veri talebine uygun olarak yaptıkları çalışmaların, kişisel verilerin açıklanmasına imkân vermeyecek şekilde yürütülmesini sağlar; verilerin istenilen amaç dışında kullanılmaması ve paylaşılmaması için süre ile sınırlandırılmaksızın her türlü önlemi alırlar.

b) Kurum tarafından görüntülenmesi sağlanan ve aktarım yapılan veriler, kişisel verilerin gizliliği ilkesine bağlı kalmak şartıyla ilgili mevzuat, uluslararası anlaşmalar ve kamu hizmetinin gerektirdiği yükümlülüklere göre kullanılır. Aktarılan verilerin; yetkisi olmayan kişi, kurum ve kuruluşların eline geçmemesi için gerekli tüm tedbirler alınır.

(2) Bu Yönetmelik hükümlerine göre verilere erişen Kurum personeli dâhil olmak üzere veri aktarımı yapılan gerçek ve tüzel kişiler, sağlık hizmeti sunucularına ait bilgi işlem sistemlerinin yazılımını ve donanımını sağlayan gerçek ve tüzel kişiler;

a) Elde ettikleri verilerin gizliliğini korumak ve güvenliğini sağlamak, verileri yetkisiz kişilerin görmesini, öğrenmesini, eline geçirmesini ve amacı dışında kullanmasını önlemek amacıyla gerekli tedbirleri almak,

b) Verilerin aktarımı ve korunması hususunda mevzuatta yer alan hükümlere uymak,

zorundadır.

(3) Kişisel verilerin güvenliğinin sağlanmasına yönelik Kurul tarafından çıkarılan düzenlemelere uyulur.

Uygulanacak müeyyideler

MADDE 22 – (1) Kişisel verilerin korunması hususu ile ilgili hükümlere aykırı hareket edenler hakkında kabahatler bakımından, 6698 sayılı Kanunun 18 inci maddesi hükümlerinin uygulanmasını teminen durum Kurula bildirilir.

(2) Kurum tarafından kendilerine erişim yetkisi verilen kişilerden, kişisel verileri değiştiren veya bütünlüğünü bozanlar hakkında 5237 sayılı Kanunun ilgili maddeleri uyarınca suç duyurusunda bulunulur.

Verilerin korunmasına ilişkin Kurumca yürütülecek işlemler

MADDE 23 – (1) Kurum, Kurum veri kayıt sisteminde tuttuğu verilerin her türlü tehlikeye karşı güvenliğinin sağlanması amacıyla güvenlik önlemlerinin hazırlanmasını, uygulamaya konulmasını, güncellenmesini ve denetlenmesini sağlamakla yükümlüdür.

(2) Veri aktarım talebinde bulunan gerçek ve tüzel kişilerin Kurum veri kayıt sistemine doğrudan erişimine izin verilmez. Talep edilen verinin aktarımı sağlanır.

(3) HSGM, veri taleplerini karşılarken gerekli güvenlik önlemlerini alır. Kurum veri kayıt sistemine şifre ile erişimler, gerçek kişi (ad-soyad veya domain kullanıcı adı) kullanıcı şifreleri kullanılarak Kurumun belirlediği güvenlik önlem ve uygulamaları çerçevesinde yapılır. Erişimler, HSGM tarafından güvenlik önlemleri çerçevesinde kayıt altına alınır.

(4) Kurum veri kayıt sisteminde sadece test edilmiş ve onaylanmış Kurum uygulamaları aracılığı ile toplanan veriler esas alınır. Hatalar sonucu veya farklı nedenlerle verilerde değiştirilme, silinme, eklenme ihtiyacı oluşursa bu durum ilgili birim ile HSGM’deki yetkilendirilmiş kişiler ile tutanak altına alınmak suretiyle gerekli işlemler yapılır.

(5) Kurumca veriye erişim yetkisi verilmiş personelin Kurumdan ayrılması veya görev yeri değişikliği halinde yetkisiz kullanımın önlenebilmesi amacıyla erişim yetkileri ilgili birim tarafından resmi yazı ile HSGM’ye bildirilir. HSGM tarafından yetkilendirme sona erdirilmeden ayrılış işlemleri yapılamaz. Birim amirleri gerekli bildirim ve iptal etme işlemlerinin yerine getirilmesinden sorumludur. Personelin üzerinde çalıştığı veri ile ilgili sorumluluğu Kurumdan ayrıldıktan sonra da devam eder.

BEŞİNCİ BÖLÜM
Kurum Yazılımları ile Kurum Dışı Yazılımların Entegrasyonu, Entegrasyon Usulü

Kurum yazılımları ile kurum dışı yazılımların entegrasyonu

MADDE 24 – (1) Kurum ve Kurul tarafından belirlenen güvenlik tedbirlerine uyulmak kaydıyla dış paydaşların, Kuruma olan yükümlülüklerini yerine getirebilmek için yazılımlarının Kurum yazılımları ile entegrasyon taleplerini karara bağlamaya Kurum yetkilidir.

Entegrasyon usulü

MADDE 25 – (1) Yazılım entegrasyon ihtiyacı söz konusu olduğunda, Kurum dışı yazılım sahibi gerçek ya da tüzel kişiler HSGM’ye yazılı başvuruda bulunur.

ALTINCI BÖLÜM
Son Hükümler

Yürürlük

MADDE 26 – (1) Bu Yönetmelik yayımı tarihinde yürürlüğe girer.

Yürütme

MADDE 27 – (1) Bu Yönetmelik hükümlerini Sosyal Güvenlik Kurumu Başkanı yürütür.

 

BİRİNCİ BÖLÜM

Amaç, Kapsam, Dayanak ve Tanımlar

MADDE 1 – Amaç

(1) Bu Yönetmeliğin amacı, 24/3/2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanunu uyarınca Kurulun gözetiminde, Başkanlık tarafından kamuya açık olarak tutulacak olan Veri Sorumluları Sicilinin oluşturulması, idaresi ile Veri Sorumluları Siciline yapılması öngörülen kayıtlara ilişkin usul ve esasları belirlemek ve uygulanmasını sağlamaktır.

MADDE 2 – Kapsam

(1) Bu Yönetmelik, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek ve tüzel kişileri kapsar.

MADDE 3 – Dayanak

(1) Bu Yönetmelik, 6698 sayılı Kanunun 16 ncı maddesinin beşinci fıkrası ile 22 nci maddesinin birinci fıkrasının (d) ve (e) bentlerine dayanılarak hazırlanmıştır.

MADDE 4 – Tanımlar

(1) Bu Yönetmelikte geçen;

  • a) Alıcı grubu: Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisini,
  • b) Başkan: Kişisel Verileri Koruma Kurumu Başkanını,
  • c) Başkanlık: Kişisel Verileri Koruma Kurumu Başkanlığını,
  • ç) (Değişik:RG-28/4/2019-30758)İrtibat kişisi: Türkiye’de yerleşik olan gerçek ve tüzel kişiler için veri sorumlusu tarafından, Türkiye’de yerleşik olmayan gerçek ve tüzel kişiler için de veri sorumlusu temsilcisi tarafından, Kanun ve bu Kanuna dayalı olarak çıkarılacak ikincil düzenlemeler kapsamındaki yükümlülükleriyle ilgili olarak, Kurum ile iletişimi sağlamak amacıyla Sicile kayıt esnasında bildirilen gerçek kişiyi,
  • d) Kanun: 6698 sayılı Kişisel Verilerin Korunması Kanununu,
  • e) Kayıt: Kayıt yükümlülüğü altında bulunan veri sorumlularının Yönetmelik ile belirlenen usul ve esaslara uygun olarak yaptığı bildirimi,
  • f) Kayıt yükümlülüğü: Yönetmelik uyarınca gerçekleştirilmesi gereken kayıt ile ilgili yükümlülüğü,
  • g) Kayıtlı elektronik posta (KEP) adresi: Elektronik iletilerin, gönderimi ve teslimatı da dâhil olmak üzere kullanımına ilişkin olarak hukuki delil sağlayan, elektronik postanın nitelikli şeklini,
  • ğ) Kişisel veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi,
  • h) (Değişik:RG-28/4/2019-30758) Kişisel veri işleme envanteri: Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel veri işleme faaliyetlerini; kişisel veri işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanteri,
  • ı) Kişisel veri saklama ve imha politikası: Veri sorumlularının, kişisel verilerin işlendikleri amaç için gerekli olan azami süreyi belirleme işlemi ile silme, yok etme ve anonim hale getirme işlemi için dayanak yaptıkları politikayı,
  • i) Kişisel verilerin işlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi,
  • j) Kurul: Kişisel Verileri Koruma Kurulunu,
  • k) Kurum: Kurul ve Başkanlıktan oluşan Kişisel Verileri Koruma Kurumunu,
  • l) Sicil: Başkanlık tarafından tutulan Veri Sorumluları Sicilini,
  • m) Veri kategorisi: Kişisel verilerin ortak özelliklerine göre gruplandırıldığı veri konusu kişi grubu veya gruplarına ait kişisel veri sınıfını,
  • n) Veri konusu kişi grubu: Veri sorumlularının kişisel verilerini işledikleri ilgili kişi kategorisini,
  • o) Veri sorumluları sicil bilgi sistemi (VERBİS): Veri sorumlularının Sicile başvuruda ve Sicile ilişkin ilgili diğer işlemlerde kullanacakları, internet üzerinden erişilebilen, Başkanlık tarafından oluşturulan ve yönetilen bilişim sistemini,
  • ö) Veri sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi,
  • p) (Değişik:RG-28/4/2019-30758)Veri sorumlusu temsilcisi: Türkiye’de yerleşik olmayan veri sorumlularını bu Yönetmeliğin 11 inci maddesinin üçüncü fıkrasında belirtilen konularda asgari temsile yetkili Türkiye’de yerleşik tüzel kişi ya da Türkiye Cumhuriyeti vatandaşı gerçek kişiyi,

ifade eder.

(2) Bu Yönetmelikte yer almayan tanımlar için Kanundaki tanımlar uygulanır.

İKİNCİ BÖLÜM

Sicilin Oluşturulması, İdaresi, Gözetimi ve Sicile Erişim

MADDE 5 – İlke, usul ve esaslar

(1) Sicilin oluşturulması, idaresi ve gözetimi hususunda aşağıdaki ilke, usul ve esaslara uyulur:

  • a) Veri sorumluları, kişisel veri işlemeye başlamadan önce Sicile kaydolmak zorundadır.
  • b) Türkiye’de yerleşik olmayan veri sorumluları, veri işlemeye başlamadan önce veri sorumlusu temsilcisi marifetiyle Sicile kaydolmak zorundadır.
  • c) Sicil kamuya açık biçimde tutulur. Kurul, kamuya açıklık ilkesinin sağlanması şartıyla, bu ilkenin kapsamı ve istisnalarını belirleme yetkisini haizdir.
  • ç) (Değişik:RG-28/4/2019-30758) Sicile kayıtla yükümlü olan veri sorumluları, Kişisel Veri İşleme Envanteri hazırlamakla yükümlüdür. Sicil başvurularında Sicile açıklanacak bilgiler Kişisel Veri İşleme Envanterine dayalı olarak hazırlanır.
  • d) Kanunun 10 uncu maddesinde veri sorumluları için belirtilen aydınlatma yükümlülüğünde, Kanunun 13 üncü maddesinde belirtilen ilgili kişi başvurularının yanıtlanmasında ve ilgili kişiler tarafından açıklanacak açık rızanın kapsamının belirlenmesinde kişisel veri işleme envanterine dayalı olarak Sicile sunulan ve Sicilde yayınlanan bilgiler esas alınır.
  • e) Veri sorumluları, Sicile sunulan ve Sicilde yayınlanan bilgilerin eksiksiz, doğru, güncel ve hukuka uygun olmasından sorumludur. Veri sorumlularının Sicile kaydolması Kanun kapsamındaki diğer yükümlülüklerini ortadan kaldırmaz.
  • f) Kanunun 28 inci maddesinde belirtilen durumlar saklı kalmak kaydıyla Yönetmeliğin 16 ncı maddesinde belirtilen objektif kriterlere dayalı olarak belirli şartları taşıyan veri sorumlularının Kurul tarafından Sicile kayıtla yükümlü tutulmaması; bu veri sorumlularının Kanun kapsamındaki yükümlülüklerini ortadan kaldırmaz.
  • g) Sicile ilişkin işlemler, veri sorumluları tarafından VERBİS üzerinden gerçekleştirilir.
  • ğ) (Değişik:RG-28/4/2019-30758) Veri sorumluları tarafından Sicile sunulan ve Sicilde yayınlanan kişisel verilerin işlendikleri amaç için gerekli olan azami muhafaza edilme süresi; Kanunun 7 nci maddesinde belirtilen veri sorumlularının silme, yok etme veya anonim hale getirme yükümlülüklerinin yerine getirilmesinde esas alınır.

MADDE 6 – Sicilin oluşturulması, idaresi ve gözetimi

(1) Sicil, Başkanlık tarafından oluşturulur. Başkanlık, Sicilin oluşturulması, idaresi, güncel biçimde tutulması ve muhafaza edilmesi amacıyla; VERBİS’in kurulması ve işletilmesi için gerekli teknik ve idari tedbirleri alır.

(2) Sicilin oluşturulmasından ve idaresinden sorumlu hizmet birimi, Veri Yönetimi Dairesi Başkanlığıdır.

(3) Sicilin gözetimi Kurul tarafından gerçekleştirilir. Veri Yönetimi Dairesi Başkanlığı tarafından üç aylık dönemler halinde hazırlanan ve kapsamı Kurul tarafından belirlenecek olan faaliyet raporu Kurula sunulur.

MADDE 7 – Sicile erişim

(1) Başkanlık, Sicilde yer alan güncel bilgileri Kurul kararları uyarınca belirlenecek uygun yöntemlerle kamuya açıklar.

(2) Veri sorumluları sicilinde yer alan bilgilerden aşağıdakiler kamuya açıklanır:

  • a) (Değişik:RG-28/4/2019-30758) Veri sorumlusu, varsa veri sorumlusu temsilcisi, adresi ve alınmış olması halinde KEP adresi,
  • b) Kişisel verilerin hangi amaçlarla işlenebileceği,
  • c) Veri konusu kişi grubu ve grupları ile bu kişilere ait veri kategorileri,
  • ç) Kişisel verilerin aktarılabileceği alıcı ve alıcı grupları,
  • d) Yabancı ülkelere aktarımı öngörülen kişisel veriler,
  • e) Sicile kayıt tarihi ile kaydın sona erdiği tarih,
  • f) Kişisel veri güvenliğine ilişkin alınan tedbirler,
  • g) Kişisel verilerin işlendikleri amaç için gerekli olan azami süre.

ÜÇÜNCÜ BÖLÜM

Kayıt Yükümlülüğünün Başlangıcı, VERBİS’e Girilecek Bilgiler, Kayıt Başvurusu, Kaydın Yenilenmesi ve Silinmesi

MADDE 8 – Kayıt yükümlülüğünün başlangıcı

(1) Veri sorumluları, kişisel veri işlemeye başlamadan önce Sicile kayıt yükümlülüklerini yerine getirmek zorundadır.

(2) Kayıt yükümlülüğü altında bulunmayan, sonradan kayıt yükümlüsü haline gelen veri sorumluları, yükümlülük altına girmelerini müteakip otuz gün içerisinde Sicile kaydolurlar.

(3) Kayıt yükümlülüğü altında bulunan veri sorumluları, herhangi bir fiili, teknik ya da hukuki imkânsızlık nedeniyle kayıt yükümlülüklerinin yerine getirilememesi halinde, bu imkânsızlığın ortaya çıktığı tarihten itibaren en geç 7 iş günü içerisinde Kuruma yazılı olarak başvurmak ve gerekçesini belirtmek şartıyla, kayıt yükümlülüklerini yerine getirmek için Kurumdan ek süre talep edebilirler. Kurum, bir defaya mahsus olmak ve her halde otuz günü geçmemek üzere ek süre verebilir.

MADDE 9 – Kayıt yükümlülüğü kapsamında iletilecek bilgiler

(1) Sicile yapılan kayıt başvurusu aşağıdaki bilgileri içerir:

  • a) Veri sorumlusu, varsa veri sorumlusu temsilcisi ve irtibat kişisine ait kimlik ve adres bilgilerine ilişkin Kurul tarafından belirlenecek başvuru formunda yer alan bilgiler,
  • b) Kişisel verilerin hangi amaçla işleneceği,
  • c) Veri konusu kişi grubu ve grupları ile bu kişilere ait veri kategorileri hakkındaki açıklamalar,
  • ç) Kişisel verilerin aktarılabileceği alıcı veya alıcı grupları,
  • d) Yabancı ülkelere aktarımı öngörülen kişisel veriler,
  • e) Kanunun 12 nci maddesinde öngörülen ve Kurul tarafından belirlenen kriterlere göre alınan tedbirler,
  • f) Kişisel verilerin mevzuatta öngörülen veya işlendikleri amaç için gerekli olan azami muhafaza edilme süresi.

(2) Veri sorumluları tarafından birinci fıkranın (b), (c), (ç) ve (d) bentleri uyarınca Sicile açıklanacak bilgiler; Kişisel Veri İşleme Envanterine dayalı olarak VERBİS’te belirtilen başlıklar kullanılarak VERBİS üzerinden Sicile iletilir.

(3) Veri sorumluları tarafından birinci fıkranın (e) bendi uyarınca Sicile açıklanacak bilgiler; Kanunun 12 nci maddesinde belirtilen hususları kapsayacak şekilde VERBİS’te belirtilen başlıklar kullanılarak VERBİS üzerinden Sicile iletilir.

(4) Veri sorumluları tarafından birinci fıkranın (f) bendi uyarınca Sicile açıklanacak kişisel verilerin mevzuatta öngörülen veya işlendikleri amaç için gerekli olan azami muhafaza edilme süresine ilişkin bilgiler veri kategorileri ile eşleştirilerek Sicile bildirilir. Veri sorumlusu tarafından Sicile bildirilen veri kategorilerinin işleme amaçları ve bu amaçlara dayalı olarak işlenmeleri için gerekli olan azami muhafaza edilme süreleri ile mevzuatta öngörülen süreler farklı olabilir. Bu durumda mevzuatta azami muhafaza edilme süresi öngörülmüşse öngörülen bu süre yoksa bunlardan en uzun süre esas alınarak bu veri kategorisi için Sicile bildirim yapılır. Kişisel verilerin işlendikleri amaç için gerekli olan azami muhafaza edilme süresi belirlenirken;

  • a) İlgili veri kategorisinin işlenme amacı kapsamında veri sorumlusunun faaliyet gösterdiği sektörde genel teamül gereği kabul edilen süre,
  • b) İlgili veri kategorisinde yer alan kişisel verinin işlenmesini gerekli kılan ve ilgili kişiyle tesis edilen hukuki ilişkinin devam edeceği süre,
  • c) İlgili veri kategorisinin işlenme amacına bağlı olarak veri sorumlusunun elde edeceği meşru menfaatin hukuka ve dürüstlük kurallarına uygun olarak geçerli olacağı süre,
  • ç) İlgili veri kategorisinin işlenme amacına bağlı olarak saklanmasının yaratacağı risk, maliyet ve sorumlulukların hukuken devam edeceği süre,
  • d) Belirlenecek azami sürenin ilgili veri kategorisinin doğru ve gerektiğinde güncel tutulmasına elverişli olup olmadığı,
  • e) Veri sorumlusunun hukuki yükümlülüğü gereği ilgili veri kategorisinde yer alan kişisel verileri saklamak zorunda olduğu süre,
  • f) Veri sorumlusu tarafından, ilgili veri kategorisinde yer alan kişisel veriye bağlı bir hakkın ileri sürülmesi için belirlenen zamanaşımı süresi,

dikkate alınır.

(5) Veri sorumluları, kişisel verilerin işlendikleri amaç için gerekli olan azami sürenin belirlenmesi, bu sürelerin kişisel veri işleme envanterinde belirtilen bilgilerle uyumu ve azami sürenin aşılıp aşılmadığının takibi için kişisel veri saklama ve imha politikası hazırlayarak, bu politikanın uygulanmasını temin ederler.

(6) VERBİS içerisinde belirtilen başlıkların ve içeriklerinin, veri sorumlusunun gerçekleştirdiği faaliyetleri ve Sicile iletmesi gereken bilgileri tam olarak kapsamaması durumunda; veri sorumlusu bu bilgileri ayrıca VERBİS içerisinde bu amaca ilişkin ayrılan “Diğer” başlıklı bölümlere girerek Sicile bildirimini tamamlar.

MADDE 10 – Kayıt başvurusu

(1) Veri sorumluları, 9 uncu maddede belirtilen bilgileri VERBİS’e yüklemek suretiyle kayıt yükümlülüğünü yerine getirmiş sayılır.

(2) Kurum tarafından 8 inci maddenin üçüncü fıkrasında belirtildiği üzere kendilerine ek süre verilmiş olan veri sorumluları, bu süre tamamlanmadan kayıt başvurusunu tamamlamak zorundadır.

MADDE 11 – Veri sorumlusu, veri sorumlusu temsilcisi ve irtibat kişisinin yükümlülükleri

(1) Tüzel kişilerde veri sorumlusu tüzel kişiliğin kendisidir. Türkiye’de yerleşik olan tüzel kişilerin Kanun kapsamındaki veri sorumlusu yükümlülükleri, ilgili mevzuat hükümlerine göre tüzel kişiliği temsil ve ilzama yetkili organ veya ilgili mevzuatta belirtilen kişi veya kişiler marifetiyle yerine getirilir. Tüzel kişiliği temsile yetkili organ, Kanunun uygulanması bakımından yerine getirilecek yükümlülükler ile ilgili olarak bir veya birden fazla kişiyi görevlendirebilir. Bu görevlendirme Kanun hükümleri uyarınca tüzel kişiliğin sorumluluğunu ortadan kaldırmaz.

(2) Türkiye’de yerleşik olmayan veri sorumlusunun, veri sorumlusu temsilcisi atanmasına ilişkin yetkili organı veya kişisi tarafından alınacak kararın tasdikli örneği, kayıt başvurusu sırasında veri sorumlusu temsilcisi tarafından Kuruma sunulur.

(3) Veri sorumlusu temsilcisi atama kararı, asgari olarak aşağıda belirtilen hususları kapsayacak şekilde düzenlenir:

  • a) Kurum tarafından yapılan tebligat veya yazışmaları veri sorumlusu adına tebellüğ veya kabul etme,
  • b) Kurum tarafından veri sorumlusuna yöneltilen talepleri veri sorumlusuna iletme, veri sorumlusundan gelecek cevabı Kuruma iletme,
  • c) Kurul tarafından başkaca bir esasın belirlenmemiş olması halinde; ilgili kişilerin Kanunun 13 üncü maddesinin birinci fıkrası uyarınca veri sorumlusuna yönelteceği başvuruları veri sorumlusu adına alma ve veri sorumlusuna iletme,
  • ç) Kurul tarafından başkaca bir esasın belirlenmemiş olması halinde; ilgili kişilere Kanunun 13 üncü maddesinin üçüncü fıkrası uyarınca veri sorumlusunun cevabını iletme,
  • d) Veri sorumlusu adına Sicile ilişkin iş ve işlemleri yapma.

(4) (Değişik:RG-28/4/2019-30758)Türkiye’de yerleşik olan veri sorumluları ile Türkiye’de yerleşik olmayan veri sorumluları adına veri sorumlusu temsilcileri, Sicile kayıt sırasında irtibat kişisi bilgilerini Sicile işlerler. İrtibat kişisi veri sorumlusunu Kanun ve Yönetmelik hükümlerine göre temsile yetkili değildir.

(5)(Değişik:RG-28/4/2019-30758)Kamu kurum ve kuruluşlarında irtibat kişisi, koordinasyonu sağlayacak üst düzey yönetici tarafından Kurum ile iletişimi sağlamak amacıyla belirlenerek Sicile kaydı yapılan daire başkanı veya üstü yöneticidir.

MADDE 12 – İletişimin sağlanması

(1) Kanunun uygulanmasıyla ilgili olarak Kurum tarafından veri sorumlusuyla kurulacak her türlü iletişim;

  • a) Türkiye’de yerleşik tüzel kişiler için, Sicile bildirilen kimlik, adres veya KEP adresi bilgileri üzerinden ilgili tüzel kişi,
  • b) Türkiye’de yerleşik gerçek kişiler için, Sicile bildirilen kimlik, adres veya KEP adresi bilgileri üzerinden ilgili gerçek kişi,
  • c) Türkiye’de yerleşik olmayan veri sorumluları için, Sicile bildirilen veri sorumlusu temsilcisi,

vasıtasıyla gerçekleştirilir.

MADDE 13 – Kayıt bilgilerinde değişiklikler

(1) (Değişik:RG-28/4/2019-30758)Veri sorumluları, Sicilde kayıtlı bilgilerde değişiklik olması halinde meydana gelen değişiklikleri, değişikliğin meydana geldiği tarihten itibaren yedi gün içerisinde VERBİS üzerinden Kuruma bildirir.

MADDE 14 – Sicil kaydının silinmesi

(1) Veri sorumlusu, sicil kaydının silinmesine ilişkin olarak VERBİS üzerinden Kuruma başvurur.

(2) Kayıt yükümlüğünü gerektiren faaliyet sona erer ya da ortadan kalkarsa, sicil kaydı silinir. Bu kayıtlar, istendiğinde erişilebilir olmakla birlikte üzerinde herhangi bir değişiklik yapılamayacak şekilde tutulur.

(3) Sicil kaydının silinmesi veri sorumlusunun Sicile kayıtlı olduğu dönemdeki yükümlülüklerini ortadan kaldırmaz.

DÖRDÜNCÜ BÖLÜM

Kayıt Yükümlülüğünün İstisnaları

MADDE 15 – İstisna uygulanacak haller

(1) Aşağıda belirtilen kişisel veri işleme faaliyetleri bakımından veri sorumlusunun bu faaliyetleri Sicile kayıt etmesi ve bildirmesi yükümlülüğü yoktur:

  • a) Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması.
  • b) İlgili kişinin kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi.
  • c) Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması.
  • ç) Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması.

MADDE 16 – İstisna kriterleri

(1) Kurul, aşağıdaki kriterleri göz önünde bulundurarak kayıt yükümlülüğüne istisna getirebilir:

  • a) Kişisel verinin niteliği.
  • b) Kişisel verinin sayısı.
  • c) Kişisel verinin işlenme amacı.
  • ç) Kişisel verinin işlendiği faaliyet alanı.
  • d) Kişisel verinin üçüncü kişilere aktarılma durumu.
  • e) Kişisel veri işleme faaliyetinin kanunlardan kaynaklanması.
  • f) Kişisel verilerin muhafaza edilmesi süresi.
  • g) Veri konusu kişi grubu veya veri kategorileri.
  • ğ) (Ek:RG-28/4/2019-30758)Veri sorumlusunun yıllık çalışan sayısı veya yıllık mali bilanço toplamı bilgisi.

(2) Kurul, birinci fıkrada sayılan kriterler çerçevesinde belirlenen istisnaların kapsamı ile uygulama usul ve esaslarını belirlemek amacıyla karar alma yetkisini haizdir. Kurul bu kararlarını uygun yöntemlerle yayımlayarak kamuya duyurur.

BEŞİNCİ BÖLÜM

Çeşitli ve Son Hükümler

MADDE 17 – İdari yaptırım

(1) Veri sorumluları siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında Kanunun 18 inci maddesinin birinci fıkrasının (ç) bendinde yer alan idari para cezası uygulanır.

(2) Veri sorumluları siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edilmesi eyleminin, kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşları bünyesinde işlenmesi hâlinde, Kurulun yapacağı bildirim üzerine, ilgili kamu kurum ve kuruluşunda görev yapan memurlar ve diğer kamu görevlileri ile kamu kurumu niteliğindeki meslek kuruluşlarında görev yapanlar hakkında disiplin hükümlerine göre işlem yapılır ve sonucu Kurula bildirilir.

MADDE 18 – Tereddütlerin giderilmesi

(1) Bu Yönetmeliğin uygulanması sırasında doğacak tereddütleri ve uygulamaya ilişkin aksaklıkları gidermeye ve uygulamayı yönlendirmeye, ilke ve standartları belirlemeye ve uygulama birliğini sağlayacak gerekli düzenlemeleri yapmaya, bu hususta gerekli her türlü bilgi ve belgeyi istemeye, bu Yönetmelikte yer almayan konularda ilgili mevzuat hükümleri çerçevesinde karar vermeye Kurul yetkilidir.

MADDE 19 – Yürürlük

(1) Bu Yönetmelik 1/1/2018 tarihinde yürürlüğe girer.

MADDE 20 – Yürütme

(1) Bu Yönetmelik hükümlerini Başkan yürütür.

 Yönetmeliğin Yayımlandığı Resmî Gazete’nin
TarihiSayısı
30/12/201730286
Yönetmelikte Değişiklik Yapan Yönetmeliklerin Yayımlandığı Resmî Gazetelerin
TarihiSayısı
1.28/4/201930758
2.  

BİRİNCİ BÖLÜM

Amaç, Kapsam, Dayanak ve Tanımlar

MADDE 1 – Amaç

(1) Bu Yönetmeliğin amacı, tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesine ilişkin usul ve esasları belirlemektir.

MADDE 2 – Kapsam

(1) Bu Yönetmelik hükümleri; 24/3/2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanununun 7 nci maddesi uyarınca veri sorumluları hakkında uygulanır.

MADDE 3 – Dayanak

(1) Bu Yönetmelik, 6698 sayılı Kanunun 7 nci maddesinin üçüncü fıkrası ile 22 nci maddesinin birinci fıkrasının (e) bendine dayanılarak hazırlanmıştır.

MADDE 4 – Tanımlar

(1) Bu Yönetmeliğin uygulanmasında;

  • a) Alıcı grubu: Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisini,
  • b) İlgili kullanıcı: Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişileri,
  • c) İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesini,
  • ç) Kanun: 24/3/2016 tarihli ve 6698 Sayılı Kişisel Verilerin Korunması Kanununu,
  • d) Kayıt ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortamı,
  • e) (Değişik:RG-28/4/2019-30758) Kişisel veri işleme envanteri: Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel veri işleme faaliyetlerini; kişisel veri işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanteri,
  • f) Kişisel veri saklama ve imha politikası: Veri sorumlularının, kişisel verilerin işlendikleri amaç için gerekli olan azami süreyi belirleme işlemi ile silme, yok etme ve anonim hâle getirme işlemi için dayanak yaptıkları politikayı,
  • g) Kurul: Kişisel Verileri Koruma Kurulunu,
  • ğ) Periyodik imha: Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hâle getirme işlemini,
  • h) Sicil: Kişisel Verileri Koruma Kurumu Başkanlığı tarafından tutulan veri sorumluları sicilini,
  • ı) Veri kayıt sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini,
  • i) Veri sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi,

ifade eder.

(2) Bu Yönetmelikte yer almayan tanımlar için Kanundaki tanımlar geçerlidir.

İKİNCİ BÖLÜM

Kişisel Veri Saklama ve İmha Politikası

MADDE 5 – Kişisel veri saklama ve imha politikasına ilişkin esaslar

(1) Kanunun 16 ncı maddesi gereğince Veri Sorumluları Siciline kayıt olmakla yükümlü olan veri sorumluları, kişisel veri işleme envanterine uygun olarak kişisel veri saklama ve imha politikası hazırlamakla yükümlüdür.

(2) Kişisel veri saklama ve imha politikası hazırlanmış olması; kişisel verilerin Kanuna ve Yönetmeliğe uygun biçimde saklandığı, silindiği, yok edildiği veya anonim hâle getirildiği anlamına gelmez.

(3) Kişisel veri saklama ve imha politikası hazırlama yükümlülüğü altında bulunmayan veri sorumlularının, Kanun ve bu Yönetmelik uyarınca kişisel verileri saklama, silme, yok etme veya anonim hâle getirme yükümlülükleri devam eder.

MADDE 6 – Kişisel veri saklama ve imha politikasının kapsamı

(1) Kişisel veri saklama ve imha politikası asgari olarak;

  • a) Kişisel veri saklama ve imha politikasının hazırlanma amacına,
  • b) Kişisel veri saklama ve imha politikası ile düzenlenen kayıt ortamlarına,
  • c) Kişisel veri saklama ve imha politikasında yer verilen hukuki ve teknik terimlerin tanımlarına,
  • ç) Kişisel verilerin saklanmasını ve imhasını gerektiren hukuki, teknik ya da diğer sebeplere ilişkin açıklamaya,
  • d) Kişisel verilerin güvenli bir şekilde saklanması ile hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi için alınmış teknik ve idari tedbirlere,
  • e) Kişisel verilerin hukuka uygun olarak imha edilmesi için alınmış teknik ve idari tedbirlere,
  • f) Kişisel verileri saklama ve imha süreçlerinde yer alanların unvanlarına, birimlerine ve görev tanımlarına,
  • g) Saklama ve imha sürelerini gösteren tabloya,
  • ğ) Periyodik imha sürelerine,
  • h) Mevcut kişisel veri saklama ve imha politikasında güncelleme yapılmış ise söz konusu değişikliğe,

ilişkin bilgileri kapsar.

ÜÇÜNCÜ BÖLÜM

Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim hâle Getirilmesi

MADDE 7 – İlkeler

(1) Kanunun 5 inci ve 6 ncı maddelerinde yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması hâl inde, kişisel verilerin veri sorumlusu tarafından resen veya ilgili kişinin talebi üzerine silinmesi, yok edilmesi veya anonim hâle getirilmesi gerekir.

(2) Kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesinde Kanunun 4 üncü maddesindeki genel ilkeler ile 12 nci maddesi kapsamında alınması gereken teknik ve idari tedbirlere, ilgili mevzuat hükümlerine, Kurul kararlarına ve kişisel veri saklama ve imha politikasına uygun hareket edilmesi zorunludur.

(3) Kişisel verilerin silinmesi, yok edilmesi ve anonim hâle getirilmesiyle ilgili yapılan bütün işlemler kayıt altına alınır ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az üç yıl süreyle saklanır.

(4) (Değişik:RG-28/4/2019-30758) Veri sorumlusu, kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesi işlemiyle ilgili uyguladığı yöntemleri ilgili politika ve prosedürlerinde açıklamakla yükümlüdür.

(5) Veri sorumlusu, Kurul tarafından aksine bir karar alınmadıkça, kişisel verileri resen silme, yok etme veya anonim hâle getirme yöntemlerinden uygun olanını seçer. İlgili kişinin talebi hâl inde uygun yöntemi gerekçesini açıklayarak seçer.

MADDE 8 – Kişisel verilerin silinmesi

(1)Kişisel verilerin silinmesi, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hâle getirilmesi işlemidir.

(2) Veri sorumlusu, silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması için gerekli her türlü teknik ve idari tedbirleri almakla yükümlüdür.

MADDE 9 – Kişisel verilerin yok edilmesi

(1) Kişisel verilerin yok edilmesi, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hâle getirilmesi işlemidir.

(2) Veri sorumlusu, kişisel verilerin yok edilmesiyle ilgili gerekli her türlü teknik ve idari tedbirleri almakla yükümlüdür.

MADDE 10 – Kişisel verilerin anonim hâle getirilmesi

(1) Kişisel verilerin anonim hâle getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesidir.

(2) Kişisel verilerin anonim hâle getirilmiş olması için; kişisel verilerin, veri sorumlusu, alıcı veya alıcı grupları tarafından geri döndürme ve verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hâle getirilmesi gerekir.

(3) Veri sorumlusu, kişisel verilerin anonim hâle getirilmesiyle ilgili gerekli her türlü teknik ve idari tedbirleri almakla yükümlüdür.

MADDE 11 – Kişisel verileri resen silme, yok etme veya anonim hâle getirme süreleri

(1) Kişisel veri saklama ve imha politikası hazırlamış olan veri sorumlusu, kişisel verileri silme, yok etme veya anonim hâle getirme yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde, kişisel verileri siler, yok eder veya anonim hâle getirir.

(2) Periyodik imhanın gerçekleştirileceği zaman aralığı, veri sorumlusu tarafından kişisel veri saklama ve imha politikasında belirlenir. Bu süre her hâl de altı ayı geçemez.

(3) Kişisel veri saklama ve imha politikası hazırlama yükümlülüğü olmayan veri sorumlusu, kişisel verileri silme, yok etme veya anonim hâle getirme yükümlülüğünün ortaya çıktığı tarihi takip eden üç ay içinde, kişisel verileri siler, yok eder veya anonim hâle getirir.

(4) Kurul, telafisi güç veya imkansız zararların doğması ve açıkça hukuka aykırılık olması hâl inde, bu maddede belirlenen süreleri kısaltabilir.

MADDE 12 – Kişisel verileri ilgili kişinin talep etmesi durumunda silme ve yok etme süreleri

(1) (Değişik:RG-28/4/2019-30758) İlgili kişi, Kanunun 11 inci ve 13 üncü maddelerine istinaden veri sorumlusuna başvurarak kendisine ait kişisel verilerin silinmesini veya yok edilmesini talep ettiğinde;

  • a) Kişisel verileri işleme şartlarının tamamı ortadan kalkmışsa; veri sorumlusu talebe konu kişisel verileri siler, yok eder veya anonim hâle getirir. Veri sorumlusu, ilgili kişinin talebini en geç otuz gün içinde sonuçlandırır ve ilgili kişiye bilgi verir.
  • b) Kişisel verileri işleme şartlarının tamamı ortadan kalkmış ve talebe konu olan kişisel veriler üçüncü kişilere aktarılmışsa veri sorumlusu bu durumu üçüncü kişiye bildirir; üçüncü kişi nezdinde bu Yönetmelik kapsamında gerekli işlemlerin yapılmasını temin eder.
  • c) Kişisel verileri işleme şartlarının tamamı ortadan kalkmamışsa, bu talep veri sorumlusunca Kanunun 13 üncü maddesinin üçüncü fıkrası uyarınca gerekçesi açıklanarak reddedilebilir ve ret cevabı ilgili kişiye en geç otuz gün içinde yazılı olarak ya da elektronik ortamda bildirilir.

DÖRDÜNCÜ BÖLÜM

Çeşitli ve Son Hükümler

MADDE 13 – Tereddütlerin giderilmesi

(1) Bu Yönetmeliğin uygulanması sırasında doğacak tereddütleri ve uygulamaya ilişkin aksaklıkları gidermeye ve uygulamayı yönlendirmeye, ilke ve standartları belirlemeye ve uygulama birliğini sağlayacak gerekli düzenlemeleri yapmaya, bu hususta gerekli her türlü bilgi ve belgeyi istemeye, bu Yönetmelikte yer almayan konularda ilgili mevzuat hükümleri çerçevesinde karar vermeye Kurul yetkilidir.

MADDE 14 – Yürürlük

(1) Bu Yönetmelik 1/1/2018 tarihinde yürürlüğe girer.

MADDE 15 – Yürütme

(1) Bu Yönetmelik hükümlerini Başkan yürütür.

 Yönetmeliğin Yayımlandığı Resmî Gazete’nin
TarihiSayısı
28/10/201730224
Yönetmelikte Değişiklik Yapan Yönetmeliklerin Yayımlandığı Resmî Gazetelerin
TarihiSayısı
1.28/4/201930758
2.  
Bakanlar Kurulu Kararının Tarihi17/1/2018No2018/11296
Dayandığı Kanunun Tarihi24/3/2016No6698
Yayımlandığı Resmî Gazetenin Tarihi26/4/2018No30403
Yayımlandığı Düsturun Tertibi5Cilt59

BİRİNCİ BÖLÜM

Amaç, Kapsam, Dayanak ve Tanımlar

MADDE 1 – Amaç ve kapsam

(1) Bu Yönetmeliğin amacı; Kişisel Verileri Koruma Kurumunun teşkilat yapısı, hizmet birimlerinin görev, yetki ve sorumlulukları ile çalışma usul ve esaslarını belirlemektir.

MADDE 2 – Dayanak

(1) Bu Yönetmelik 24/3/2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanununun 25 inci maddesinin beşinci fıkrasına dayanılarak hazırlanmıştır.

MADDE 3 – Tanımlar

(1) Bu Yönetmeliğin uygulanmasında;

  • a) Başkan: Kişisel Verileri Koruma Kurumu Başkanını,
  • b) Kanun: 24/3/2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanununu,
  • c) Kurul: Kişisel Verileri Koruma Kurulunu,
  • ç) Kurum: Kişisel Verileri Koruma Kurumunu,
  • d) Üye: Kişisel Verileri Koruma Kurulu üyesini,

ifade eder.

İKİNCİ BÖLÜM

Kişisel Verileri Koruma Kurumu

MADDE 4 – Kurum

(1) Kurum, Kurul ile Başkanlık teşkilatından oluşur.

(2) Kurum hizmet birimleri daire başkanlıkları şeklinde teşkilatlanır.

(3) Kurum, Başbakanlık ile ilişkilidir. Kurumun merkezi Ankara’dadır.

(4) Kurum, ilgili mevzuatta kendisine tahsis edilen mali kaynaklarını, görev ve yetkilerinin gerektirdiği ölçüde, kendi bütçesinde belirlenen usul ve esaslar dahilinde serbestçe kullanır.

MADDE 5 – Kurumun görevleri

(1) Kurumun görev ve yetkileri şunlardır:

  • a) Görev alanı itibarıyla, uygulamaları ve mevzuattaki gelişmeleri takip etmek, değerlendirme ve önerilerde bulunmak, araştırma ve incelemeler yapmak veya yaptırmak.
  • b) İhtiyaç duyulması hâlinde, görev alanına giren konularda kamu kurum ve kuruluşları, sivil toplum kuruluşları, meslek örgütleri veya üniversitelerle işbirliği yapmak.
  • c)Kişisel verilerle ilgili uluslararası gelişmeleri izlemek ve değerlendirmek, görev alanına giren konularda uluslararası kuruluşlarla işbirliği yapmak, toplantılara katılmak.
  • ç) Yıllık faaliyet raporunu Cumhurbaşkanlığına, Türkiye Büyük Millet Meclisi İnsan Haklarını İnceleme Komisyonuna ve Başbakanlığa sunmak.
  • d) Kanunlarla verilen diğer görevleri yerine getirmek.

ÜÇÜNCÜ BÖLÜM

Kişisel Verileri Koruma Kurulu

MADDE 6 – Kurul

(1) Kurul, Kurumun karar organıdır. Kurul; biri Başkan, biri İkinci Başkan olmak üzere dokuz üyeden oluşur. Kurul, üyeleri arasından Başkan ve İkinci Başkanı seçer.

MADDE 7 – Kurulun görev ve yetkileri

(1) Kurulun görev ve yetkileri şunlardır:

  • a) Kişisel verilerin, temel hak ve özgürlüklere uygun şekilde işlenmesini sağlamak.
  • b) Kişisel verilerle ilgili haklarının ihlal edildiğini ileri sürenlerin şikâyetlerini karara bağlamak.
  • c) Şikâyet üzerine veya ihlal iddiasını öğrenmesi durumunda resen görev alanına giren konularda kişisel verilerin kanunlara uygun olarak işlenip işlenmediğini incelemek ve gerektiğinde bu konuda geçici önlemler almak.
  • ç) Veri güvenliğine ilişkin yükümlülükleri belirlemek amacıyla düzenleyici işlem yapmak.
  • d) Özel nitelikli kişisel verilerin işlenmesi için alınması gereken yeterli önlemleri belirlemek.
  • e) Veri Sorumluları Sicilinin tutulmasını sağlamak.
  • f) Kişisel verilerin silinmesine, yok edilmesine veya anonim hale getirilmesine ilişkin usul ve esasları belirlemek.
  • g) Kurulun görev alanı ile Kurumun işleyişine ilişkin konularda gerekli düzenleyici işlemleri yapmak.
  • ğ) Veri sorumlusunun ve temsilcisinin görev, yetki ve sorumluluklarına ilişkin düzenleyici işlem yapmak.
  • h) Yurtdışına veri aktarılabilmesi için yeterli korumaya sahip olan ve olmayan ülkeleri belirleyip ilan etmek.
  • ı) Kişisel verilerin korunması, işlenmesi ve güvenliği ile ilgili sektörel uygulama esaslarını belirlemek ve akreditasyon, sertifikasyon, eğitim ile rehberlik konularında usul ve esasları belirlemek.
  • i) Kişisel verilerin korunması konusunda kurum ve kuruluşları bilgilendirmek ve kamuoyuna yönelik farkındalık faaliyetleri gerçekleştirmek.
  • j) Üniversiteler ve ilgili diğer yurtiçi ve yurtdışı kurum ve kuruluşlarla işbirliği ve koordinasyon çalışmaları yürütmek.
  • k) Kanunda öngörülen idari yaptırımlara karar vermek.
  • l) Diğer kurum ve kuruluşlarca hazırlanan ve kişisel verilere ilişkin hüküm içeren mevzuat taslakları hakkında görüş bildirmek.
  • m) Kurumun; stratejik planını karara bağlamak, amaç ve hedeflerini, hizmet kalite standartlarını ve performans kriterlerini belirlemek.
  • n) Kurumun stratejik planı ile amaç ve hedeflerine uygun olarak hazırlanan bütçe teklifini görüşmek ve karara bağlamak.
  • o) Kurumun performansı, mali durumu, yıllık faaliyetleri ve ihtiyaç duyulan konular hakkında hazırlanan rapor taslaklarını onaylamak ve yayımlamak.
  • ö) Taşınmaz alımı, satımı ve kiralanması konularındaki önerileri görüşüp karara bağlamak.
  • p) Kanunlarla verilen diğer görevleri yerine getirmek.

DÖRDÜNCÜ BÖLÜM

Başkanlık Teşkilatı

MADDE 8 – Başkanlık

(1) Başkanlık; Başkana bağlı Başkan Yardımcısı ve hizmet birimlerinden oluşur.

MADDE 9 – Başkan

(1) Başkan, Kurul üyeleri arasından Kurul tarafından seçilir.

(2) Başkan, Kurul ve Kurumun başkanı sıfatıyla Kurumun en üst amiri olup Kurum hizmetlerini mevzuata, Kurumun amaç ve politikalarına, stratejik planına, performans ölçütlerine ve hizmet kalite standartlarına uygun olarak düzenler, yürütür ve hizmet birimleri arasında koordinasyonu sağlar.

(3) Başkan, Kurumun genel yönetim ve temsilinden sorumludur. Bu sorumluluk, Kurum çalışmalarının düzenlenmesi, yürütülmesi, denetlenmesi, değerlendirilmesi ve gerektiğinde kamuoyuna duyurulması görev ve yetkilerini kapsar.

(4) Başkanın görev ve yetkileri şunlardır:

  • a) Kurul toplantılarını idare etmek.
  • b) Kurul kararlarının tebliğini ve Kurulca gerekli görülenlerin kamuoyuna duyurulmasını sağlamak ve uygulanmalarını izlemek.
  • c) Başkan Yardımcısını, daire başkanlarını ve Kurum personelini atamak.
  • ç) Hizmet birimlerinden gelen önerilere son şeklini vererek Kurula sunmak.
  • d) Stratejik planın uygulanmasını sağlamak, hizmet kalite standartları doğrultusunda insan kaynakları ve çalışma politikalarını oluşturmak.
  • e) Belirlenen stratejilere, yıllık amaç ve hedeflere uygun olarak Kurumun yıllık bütçesi ile mali tablolarını hazırlamak.
  • f) Kurul ve hizmet birimlerinin uyumlu, verimli, disiplinli ve düzenli bir biçimde çalışması amacıyla koordinasyonu sağlamak.
  • g) Kurumun diğer kuruluşlarla ilişkilerini yürütmek.
  • ğ) Kurum Başkanı adına imzaya yetkili personelin görev ve yetki alanını belirlemek.
  • h) Kurumun yönetim ve işleyişine ilişkin diğer görevleri yerine getirmek.
MADDE 10 – Başkana vekâlet

(1) Kurul, üyelerden birini İkinci Başkan olarak seçer. Başkanın yokluğunda İkinci Başkan, onun da bulunmadığı hallerde Başkan tarafından belirlenen bir üye Başkana vekâlet eder.

MADDE 11 – Başkan Yardımcısı

(1) Başkan Yardımcısı, Başkanlığa ilişkin görevlerinde Başkana yardımcı olmak, ilgili mevzuat ve Kurul kararlarıyla verilen görevlerin yerine getirilmesini sağlamak, hizmet birimleri arasında uyum ve işbirliğini temin etmek ve Başkan tarafından verilen diğer görevleri yerine getirmekle yükümlüdür.

(2) Başkan Yardımcısının; en az dört yıllık yükseköğretim kurumu mezunu ve on yıl süreyle kamu hizmetinde bulunmuş olması gerekir.

MADDE 12- Hizmet birimleri yöneticileri

(1) Hizmet birimleri yöneticileri, Başkan tarafından atanır.

(2) Daire başkanlarının; en az dört yıllık yükseköğretim kurumu mezunu ve on yıl süreyle kamu hizmetinde bulunmuş olması gerekir.

(3) Hizmet birimleri yöneticileri; kanun, yönetmelik, ilgili diğer mevzuat ve Kurul kararlarıyla birime verilen görevleri yerine getirmek, personeli arasında uyum, işbirliği ve işbölümünü temin etmek ve Başkan tarafından verilen diğer görevleri yapmakla yükümlüdürler.

BEŞİNCİ BÖLÜM

Hizmet Birimleri ve Görevleri

MADDE 13 – Hizmet birimleri

(1) Kurumun hizmet birimleri şunlardır:

  • a) Veri Yönetimi Dairesi Başkanlığı.
  • b) İnceleme Dairesi Başkanlığı.
  • c) Hukuk İşleri Dairesi Başkanlığı.
  • ç) Veri Güvenliği ve Bilgi Sistemleri Dairesi Başkanlığı.
  • d) Rehberlik, Araştırma ve Kurumsal İletişim Dairesi Başkanlığı.
  • e) İnsan Kaynakları ve Destek Hizmetleri Dairesi Başkanlığı.
  • f) Strateji Geliştirme Dairesi Başkanlığı.
MADDE 14 – Veri Yönetimi Dairesi Başkanlığı

(1) Veri Yönetimi Dairesi Başkanlığının görevleri şunlardır:

  • a) Kişisel verilerin işlenmesine ilişkin usul ve esasların belirlenmesi ile ilgili çalışmaları yürütmek.
  • b) Veri sorumlusunun, temsilcisinin ve irtibat kişisinin görev, yetki ve sorumluluklarına ilişkin iş ve işlemleri yürütmek.
  • c) Veri Sorumluları Sicili ile ilgili iş ve işlemleri yürütmek.
  • ç) Veri sorumluları ile ilgili her türlü bilgilendirici çalışmalar yürütmek.
  • d) Veri sorumlusu siciline kayıt zorunluluğu istisnalarıyla ilgili işleri yürütmek.
  • e) Veri sorumluları siciline kayıt ve bildirim yükümlülüklerini yerine getirmeyen, gerçek ve tüzel kişilerle ilgili iş ve işlemleri yürütmek.
  • f) Aydınlatma yükümlülüğünü yerine getirmeyenler hakkındaki iş ve işlemleri yürütmek.
  • g) Veri sorumluları sicil kayıt modülü ile ilgili iş ve işlemleri Veri Güvenliği ve Bilgi Sistemleri Dairesi Başkanlığı ile birlikte yürütmek.
  • ğ) Veri silme, yok etme ve anonimleştirme usulleri ile ilgili çalışmaları yürütmek.
  • h) Başkan tarafından verilen diğer görevleri yapmak.
MADDE 15 – İnceleme Dairesi Başkanlığı

(1) İnceleme Dairesi Başkanlığının görevleri şunlardır:

  • a) Veri sorumlusuna başvuru ve Kurula yapılan şikâyete ilişkin iş ve işlemleri yürütmek.
  • b) Kurula yapılan şikâyetlerle ilgili ön inceleme ve esas incelemeleri yapmak.
  • c) Şikâyet üzerine veya resen incelemeyle ilgili iş ve işlemleri yürütmek.
  • ç) Şikâyet başvuru ve takip sistemiyle ilgili iş ve işlemleri Veri Güvenliği ve Bilgi Sistemleri Dairesi Başkanlığıyla birlikte yürütmek.
  • d) Kurul tarafından verilen kararları yerine getirmeyenler hakkındaki iş ve işlemleri yürütmek.
  • e) Başkan tarafından gündeme alınması uygun görülen konuları içeren Kurul toplantı gündemini hazırlamak, gündemi ve gündemdeki konulara ilişkin takrirleri Kurul üyelerine dağıtmak.
  • f) Talep edilmesi halinde Kurul toplantılarının kaydını tutmak ve muhafaza etmek.
  • g) Kurul tarafından alınan kararları imzaya açmak, imzaların tamamlanmasını müteakip kararları ilgili birimlere göndermek.
  • ğ) Kurul tarafından talep edilen kişilerin toplantıya katılımlarını temin etmek.
  • h) Kurul toplantılarında alınan kararları tutanağa geçirmek, tutanak ve varsa eklerinin her sayfasını toplantıya katılan üyelere imzalatmak.
  • ı) Kurula ait yazışmaları yapmak, karar ve yazışmalara ilişkin arşiv oluşturmak ve bunları muhafaza etmek.
  • i) Kurumun internet sitesinde yayımlanması istenen Kurul kararlarının yayımlanmasını sağlamak.
  • j) Başkan tarafından verilen diğer görevleri yapmak.
MADDE 16 – Hukuk İşleri Dairesi Başkanlığı

(1) Hukuk İşleri Dairesi Başkanlığının görevleri şunlardır:

  • a) Kurumun taraf olduğu dava ve icra takiplerinde, Kurumu temsil etmek, bunları takip etmek, sonuçlandırılmasını sağlamak, gerektiğinde serbest çalışan avukatlar ve/veya avukatlık ortaklıklarıyla avukatlık sözleşmeleri akdedilmesine ilişkin işlemleri yürütmek.
  • b) Kurumun görevlerine ilişkin hukuki konularda; adlî ve idari yargı mercileri, hakemler, icra daireleri, komisyonlar ve ilgili kamu kurum ve kuruluşları ile milletlerarası tahkim mahkemeleri nezdinde Kurumu temsil etmek.
  • c) Dava veya icra takibinden veya kanun yoluna müracaattan vazgeçilmesine ilişkin işlemler ile dava veya icraya intikal etmiş uyuşmazlıkların sulh yoluyla çözümlenmesine veya davanın kabulüne ilişkin işlemleri yürütmek.
  • ç) Başkan veya Kurul tarafından intikal ettirilen konularda hukuki görüş bildirmek ve hukuki yollara başvurulmasına ilişkin değerlendirme yapmak.
  • d) Kurumun birimleri tarafından tereddüt edilen hukuki konularda görüş talebinde bulunulması halinde, sorulan hususlarla ilgili mevzuat ve genel hukuk kuralları çerçevesinde konu ile ilgili hukuki görüşü ilgili birime bildirmek.
  • e) Kurumun görev alanı ile ilgili olarak diğer kamu kurum ve kuruluşları veya Kurumun hizmet birimleri tarafından hazırlanan mevzuat taslakları hakkında hukuki görüş bildirmek.
  • f) Konusuna münhasıran özel ihtisas gerektiren istisnai durumlarda, uzman kişi ve kuruluşlardan hukuki görüş alınmasına ilişkin işlemleri yürütmek.
  • g) Kişisel verilerin yurtdışına aktarılmasında yeterli korumanın bulunduğu ülkelerin belirlenmesine ilişkin işlemleri yürütmek.
  • ğ) Başkan tarafından verilen diğer görevleri yapmak.
MADDE 17 – Veri Güvenliği ve Bilgi Sistemleri Dairesi Başkanlığı

(1) Veri Güvenliği ve Bilgi Sistemleri Dairesi Başkanlığının görevleri şunlardır:

  • a) Veri güvenliği ile ilgili iş ve işlemleri yürütmek.
  • b) Kişisel verilerin korunmasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü tedbirin alınması hususundaki işlemleri yürütmek.
  • c) Kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi durumlarına ilişkin alınması gereken tedbirlerle ilgili işlemleri yürütmek.
  • ç) Özel nitelikli kişisel verilerin işlenmesi için alınması gereken önlemleri belirlemekle ilgili çalışmaları yürütmek.
  • d) Veri güvenliğine ilişkin yükümlülüklerini yerine getirmeyenlerle ilgili iş ve işlemleri yürütmek.
  • e) Veri aktarımına ilişkin alınması gereken güvenlik önlemlerini belirlemek.
  • f) Kurum birimlerinin bilgi işlem ve otomasyon ihtiyacını karşılamak ve işletimini sağlamak, Kurumun bilgi işlem hizmetlerini yürütmek.
  • g) Kurum projelerinin Kurumun bilişim altyapısına uygun olarak ilgili daire başkanlıklarıyla birlikte tasarlanmasını ve uygulanmasını sağlamak, teknolojik gelişmeleri takip etmek, bilgi ve veri güvenliği konusunun gerektirdiği önlemleri almak, politikaları ve ilkeleri belirlemek, kamu bilişim standartlarına uygun çözümler üretmek.
  • ğ) Kurumun mevcut bilişim altyapısının kurulumu, bakımı, ikmali, geliştirilmesi ve güncellenmesi ile ilgili işleri yürütmek, haberleşme güvenliğini sağlamak ve bu konularda görev üstlenen personelin bilgi teknolojilerindeki gelişmelere paralel olarak düzenli şekilde hizmet içi eğitim almalarını sağlamak.
  • h) Kurumun internet sayfaları, elektronik imza ve elektronik belge gibi uygulamalar ile ilgili teknik çalışmalar yapmak.
  • ı) Kurumun siber güvenliğinin sağlanmasına yönelik çalışmalar yapmak.
  • i) Kurum hizmetleriyle ilgili bilgileri toplamak ve ilgili birimlerle işbirliği içinde veri tabanları oluşturmak.
  • j) Başkan tarafından verilen diğer görevleri yapmak.
MADDE 18 – Rehberlik, Araştırma ve Kurumsal İletişim Dairesi Başkanlığı

(1) Rehberlik, Araştırma ve Kurumsal İletişim Dairesi Başkanlığının görevleri şunlardır:

  • a) Kişisel verilerin korunması ile ilgili standartların belirlenmesi, yetkilendirme ve sertifika işlemlerini yürütmek.
  • b) Kurumun görev alanına giren konularda faaliyet gösteren kamu kurum ve kuruluşları, gerçek ve tüzel kişiler ile gönüllü kuruluşlara faaliyetlerinde yol gösterecek plan ve programlar oluşturmak ve rehberlik etmek.
  • c) Kurumun, görev alanı ile ilgili ihtiyaç duyacağı konularda araştırma ve proje yapmak, yaptırmak, gerektiğinde ihtisas komisyonları oluşturulmasını önererek komisyon çalışmalarından elde edilecek sonuçları Kurula sunmak.
  • ç) Görev alanına giren konularda ulusal ve uluslararası kurum ve kuruluşlar, üniversiteler ve sivil toplum kuruluşları ile işbirliği yapmak; bunlarla ortak çalışma, araştırma, eğitim programları düzenlemek.
  • d) Kurumun eğitim faaliyetleri ile ilgili dokümantasyon, yayın ve arşiv hizmetleri ile Kurumun kütüphanecilik hizmetlerini yürütmek.
  • e) Kamu kurumları ve özel kuruluşlarla ilişkileri sağlamak, geliştirmek ve yürütmek.
  • f) Kurumun ulusal ve uluslararası düzeyde işbirliği geliştirmesi ve Kurumun tanıtılmasına ilişkin işleri yürütmek.
  • g) Kurumun yurtiçi ve yurtdışı görev ve faaliyetlerini raporlamak ve arşivlemek
  • .
  • ğ) Kurumsal amaçlar ve politikalar doğrultusunda Kurumun iletişim stratejisinin oluşturulması ve yürütülmesini sağlamak, bu amaç ve politikalar doğrultusunda Kurumun basın ve yayın kuruluşlarıyla ilişkilerini yürütmek.
  • h) Kurum faaliyetleri konusunda kamuoyunun bilgilendirilmesi amacıyla basın açıklaması, bülten, haber ve duyurular hazırlamak.
  • ı) Kurumun görev alanına giren konular hakkında basında ve sosyal medyada yer alan haber, yazı ve programları takip ederek bunların arşivini oluşturmak, ilgili birimleri bilgilendirmek, gerektiğinde medya analiz raporları hazırlamak veya hazırlatmak, Kurumu ilgilendiren haberlerin ilgili birimlere ve tüm personele duyurulmasını sağlamak.
  • i) 9/10/2003 tarihli ve 4982 sayılı Bilgi Edinme Hakkı Kanunu kapsamında yapılacak başvurular ile bu nitelikteki diğer başvuruların sonuçlandırılmasına ilişkin işlemlerin koordinasyonunu sağlamak.
  • j) Başkan tarafından verilen diğer görevleri yapmak.
MADDE 19 – İnsan Kaynakları ve Destek Hizmetleri Dairesi Başkanlığı

(1) İnsan Kaynakları ve Destek Hizmetleri Dairesi Başkanlığının görevleri şunlardır:

  • a) Kurumun insan kaynakları politikasını belirlemek, personelin kariyer ve eğitim planlarını hazırlamak ve uygulamak.
  • b) Personel ihtiyaçlarını tespit etmek, insan kaynaklarının etkin ve verimli şekilde kullanılmasını sağlamak, Kuruma ait kadroların dağıtım ve tahsis işlemlerini yapmak.
  • c) Kurum personelinin nitelikleri ve yeterliklerinin belirlenmesi ve geliştirilmesine yönelik politikaları oluşturmak, bu amaçla ilgili birim, kurum ve kuruluşlarla işbirliği yapmak.
  • ç) Kurumun hizmet içi eğitim planını hazırlamak ve eğitim programları düzenlemek.
  • d) Genel evrak işlemlerini yürütmek.
  • e) Başkan, üyelerin ve Kurum personelinin mali ve sosyal haklarının tahakkuk ettirilerek ödenmesini sağlamak; atama, nakil, performans, terfi, özlük, emeklilik, mal bildirimi ve benzeri işlemlerini yürütmek.
  • f) Uzman yardımcılarının uzman olabilmeleri için hazırlanması gereken tezler ve gireceği sınavlar ile ilgili iş ve işlemleri yürütmek.
  • g) 10/12/2003 tarihli ve 5018 sayılı Kamu Malî Yönetimi ve Kontrol Kanunu çerçevesinde Kurumun ihtiyacı olan her türlü satın alma, kiralama, bakım, onarım, yapım, arşiv, sağlık, sosyal ve benzeri hizmetleri yürütmek.
  • ğ) Kuruma ait taşınır ve taşınmazların kayıtlarını tutmak.
  • h) Başkan tarafından verilen diğer görevleri yapmak.
MADDE 20 – Strateji Geliştirme Dairesi Başkanlığı

(1) Strateji Geliştirme Dairesi Başkanlığının görevleri şunlardır:

  • a) 5018 sayılı Kanun, 22/12/2005 tarihli ve 5436 sayılı Kamu Mali Yönetimi ve Kontrol Kanunu ile Bazı Kanun ve Kanun Hükmünde Kararnamelerde Değişiklik Yapılması Hakkında Kanunun 15 inci maddesi ve diğer mevzuatla strateji geliştirme ve mali hizmetler birimlerine verilen görevleri yapmak.
  • b) Kurumun; stratejik planını hazırlamak, amaç ve hedeflerini, hizmet kalite standartlarını ve performans kriterlerini belirlemek.
  • c) Kurumun stratejik planı ile amaç ve hedeflerine uygun olarak bütçe teklifini hazırlamak.
  • ç) Kurumun performansı, mali durumu, yıllık faaliyetleri ve ihtiyaç duyulan konular hakkında rapor hazırlamak.
  • d) Kurumun mali raporlarını ve kesin hesabını hazırlamak.
  • e) Kurumun bütçesine, yıllık iş planına, gelir-gider kesin hesaplarına, yıllık raporuna ve sair raporlarına ilişkin işlemleri yapmak, gerekli hallerde bütçe kalemleri arasında aktarma yapılmasına ilişkin çalışmaları yürütmek.
  • f) Bir önceki malî yıla ait, konsolide edilmiş gelir tablolarını, bilançoları ve yıllık faaliyetleri esas alan kapsamlı malî tabloları içeren yıllık raporu hazırlamak ve en geç bir sonraki yılın nisan ayının sonuna kadar bilgi için ilgili yerlere gönderilmesine ilişkin çalışmaları ve bütçenin ibrası ile ilgili işlemleri yapmak.
  • g) Kurum gelirlerinin tahsili ve takibine ilişkin işlemleri yürütmek, Kurumun nakit varlığını yönetmek ve muhafaza etmek.
  • ğ) Kurum harcamalarının, onaylı bütçe çerçevesinde ve harcama usul ve esaslarına uygun olarak gerçekleştirilmesini sağlamak.
  • h) Kurumun hesap planları ve muhasebe kayıtlarıyla ilgili işlemleri yürütmek.
  • ı) Kurumun görev kapsamına giren işlerle ilgili istatistiki bilgileri tutmak, yayınlamak.
  • i) Mali konularla ilgili mevzuatın uygulanmasını sağlamak.
  • j) Başkan tarafından verilen diğer görevleri yapmak.

ALTINCI BÖLÜM

Kurum Personeli

MADDE 21 – Unvan ve sayıları

(1) Toplam kadro sayısını geçmemek üzere 13/12/1983 tarihli ve 190 sayılı Genel Kadro ve Usulü Hakkında Kanun Hükmünde Kararnamenin eki cetvellerde yer alan kadro unvanlarıyla sınırlı olmak kaydıyla unvan ve derece değişikliği yapma, yeni unvan ekleme ve boş kadroların iptali Kurul kararıyla yapılır.

(2) Personelin, hizmet birimleri itibarıyla dağılımını yapmaya Başkan yetkilidir.

MADDE 22 – Personel istihdamı

(1) Kurum personeli Başkan tarafından atanır.

(2) Başkana danışmanlık hizmeti vermek ve Başkan tarafından verilen diğer görevleri yapmak amacıyla ihtiyaca göre sayıları toplam onu geçmemek üzere başkanlık müşaviri atanabilir. Başkanlık müşaviri kadrolarına Kurumdan atanacakların en az daire başkanı veya Kurul üyesi olarak görev yapmış olmaları; Kurum dışından atanacakların kamuda en az on yıllık mesleki tecrübeye veya doktora derecesinde akademik unvana sahip olmaları gerekir.

(3) Başkanın programını düzenlemek ve yürütmek, resmi ve özel yazışmalarını yapmak, Başkan ve üyelerin toplantı ve organizasyonlarda temsilini sağlamak üzere Başkan tarafından bir Özel Kalem Müdürü atanır.

YEDİNCİ BÖLÜM

Çeşitli ve Son Hükümler

MADDE 23 – Kurum içi denetim

(1) Kurum içi denetim, inceleme ve soruşturma işlemleri, Başkan tarafından görevlendirilecek yetkililer tarafından yerine getirilir. Bu işlem ve sonuçlardan Kurulun görev ve yetki alanına giren hususların Kurulun bilgisine sunulması zorunludur.

MADDE 24 – Düzenleme yetkisi

(1) Bu Yönetmelikte yer almayan ya da açıklık bulunmayan konularda ilgili mevzuat hükümleri çerçevesinde karar vermeye, uygulamayı düzenlemeye ve yönlendirmeye Kurul yetkilidir.

MADDE 25 – Yürürlük

(1) Bu Yönetmelik yayımı tarihinde yürürlüğe girer.

MADDE 26 – Yürütme

(1) Bu Yönetmelik hükümlerini Başkan yürütür.

BİRİNCİ BÖLÜM

Amaç, Kapsam, Dayanak ve Tanımlar

MADDE 1 – Amaç

(1) Bu Yönetmeliğin amacı; 24/3/2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanunu hükümleri kapsamında, Sağlık Bakanlığının merkez ve taşra teşkilatı birimleri ile bunlara bağlı olarak faaliyet göstermekte olan sağlık hizmeti sunucuları ile bağlı ve ilgili kuruluşları tarafından yürütülen süreç ve uygulamalarda uyulacak usul ve esasları düzenlemektir.

MADDE 2 – Kapsam

(1) Bu Yönetmelik, kişisel sağlık verisi işleyen özel hukuk gerçek ve tüzel kişileri ile kamu hukuku tüzel kişilerinin, Sağlık Bakanlığı tarafından yürütülmekte olan süreç ve uygulamalara ilişkin faaliyetlerini kapsar.

MADDE 3 – Dayanak

(1) Bu Yönetmelik, 7/5/1987 tarihli ve 3359 sayılı Sağlık Hizmetleri Temel Kanunu ile 10/7/2018 tarihli ve 1 sayılı Cumhurbaşkanlığı Teşkilatı Hakkında Cumhurbaşkanlığı Kararnamesinin 378 inci maddesinin altıncı fıkrası ve 508 inci maddesine dayanılarak hazırlanmıştır.

MADDE 4 – Tanımlar

(1) Bu Yönetmelikte geçen;

  • a) Açık veri: Ücretsiz olarak veya hazırlanma maliyetini geçmeyecek şekilde internet üzerinden herkesin erişimine sunulan, üzerinde herhangi bir fikri mülkiyet hakkı bulunmayan ve herhangi bir amaçla serbestçe kullanılabilen, makineler tarafından okunabilen ve böylelikle diğer veriler ve sistemlerle birlikte çalışabilen, anonim hale getirilmiş veriyi,
  • b) Açık sağlık verisi: Açık veri haline getirilen sağlık verisini,
  • c) Anonim hale getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini,
  • ç) Bakanlık: Sağlık Bakanlığını,
  • d) e-Nabız: İlgili kişilerin sağlık verilerine kendilerinin, hekimlerin veya yetki verdikleri üçüncü kişilerin erişimini sağlayan, e-Devlet uygulamalarına uygun olarak Bakanlıkça kurulan sistemi,
  • e) Genel Müdürlük: Sağlık Bilgi Sistemleri Genel Müdürlüğünü,
  • f) İlgili kişi: Kişisel verisi işlenen gerçek kişiyi,
  • g) İlgili kullanıcı: Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişileri,
  • ğ) KamuNET: Kamu kurum ve kuruluşları arasındaki veri iletişiminin sağlanması, bu veri iletişiminin internete kapalı, fiziksel ve siber saldırılara karşı daha güvenli sanal bir ağ üzerinden yapılması, siber güvenlik risklerinin minimize edilmesi, mevcut ve kurulacak olan güvenli kapalı devre çözümlere standart sağlanması, ortak uygulamalar için uygun alt yapının tesis edilmesi amaçlarıyla Ulaştırma ve Altyapı Bakanlığı tarafından geliştirilen projeyi,
  • h) Kanun: 24/3/2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanununu,
  • ı) Kimliksizleştirme: Kişisel verilerin; kimliği belirli veya belirlenebilir gerçek kişiyle ilişkilendirilememesi için teknik ve idari tedbirlerin alınması şartıyla ve farklı bir ortamda muhafaza edilen diğer verilerle bir araya getirilmeksizin ilgili kişiyle ilişkilendirilemeyecek şekilde işlenmesini,
  • i) Kişisel veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi,
  • j) Kişisel sağlık verisi: Kimliği belirli ya da belirlenebilir gerçek kişinin fiziksel ve ruhsal sağlığına ilişkin her türlü bilgi ile kişiye sunulan sağlık hizmetiyle ilgili bilgileri,
  • k) Kişisel verilerin imha edilmesi: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesini,
  • l) Kişisel verilerin işlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi sağlık verileri üzerinde gerçekleştirilen her türlü işlemi,
  • m) Kişisel verilerin silinmesi: Kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hâle getirilmesi işlemini,
  • n) Kişisel verilerin yok edilmesi: Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hâle getirilmesi işlemini,
  • o) Kurul: Kişisel Verileri Koruma Kurulunu,
  • ö) Kurum: Kişisel Verileri Koruma Kurumunu,
  • p) Maskeleme: Kişisel verilerin belirli alanlarının, kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek şekilde silinmesi, üstlerinin çizilmesi, boyanması ve yıldızlanması gibi işlemleri,
  • r) Merkezi sağlık veri sistemi: Bakanlık tarafından oluşturulan kişisel sağlık verilerinin toplandığı veri sistemini,
  • s) Sağlık hizmeti sunucusu: Sağlık hizmetini sunan veya üreten gerçek kişiler ile kamu hukuku ve özel hukuk tüzel kişilerini,
  • ş) Veri sorumlusu: Kişisel sağlık verilerinin işlenme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi,

ifade eder.

(2) Bu Yönetmelikte yer almayan tanımlar için Kanundaki tanımlar ile Kurum tarafından yapılan ikincil düzenlemelerde yer verilen tanımlar geçerlidir.

İKİNCİ BÖLÜM

Genel İlke ve Esaslar

MADDE 5 – Genel ilke ve esaslar

(1) Kişisel verilerin işlenmesinde Kanunun 4 üncü maddesinde yer alan genel ilkeler başta olmak üzere, Kanunda yer alan bütün esaslara riayet edilir.

(2) Herkesin sağlık durumunun takip edilebilmesi ve sağlık hizmetlerinin daha etkin ve hızlı şekilde yürütülmesi maksadıyla, Bakanlık ile bağlı ve ilgili kuruluşlarınca gerekli kayıt ve bildirim sistemi kurulur. Bu sistem, e-Devlet uygulamalarına uygun olarak elektronik ortamda da oluşturulabilir. Bu amaçla Bakanlık tarafından, bağlı ve ilgili kuruluşları da kapsayacak şekilde ülke çapında bilişim sistemleri kurulabilir.

(3) Hiç kimse, sağlık hizmeti sunumu için gerekli olan durumlar haricinde geçmiş sağlık verilerinin dökümünü sunmaya veya göstermeye zorlanamaz.

(4) Sağlık hizmeti sunucuları tarafından; banko, gişe ve masa gibi bölümlerde yetkisi olmayan kişilerin yer almasını önleyecek ve aynı anda yakın konumda hizmet alanların birbirlerine ait kişisel verileri duymalarını, görmelerini, öğrenmelerini veya ele geçirmelerini engelleyecek nitelikte gerekli fiziki, teknik ve idari tedbirler alınır.

(5) Sağlık hizmeti sunucuları, tahlil ve tetkik sonuçları gibi hastaya ait kişisel sağlık verilerini içeren basılı materyal üzerinde gerekli kısmî kimliksizleştirme veya maskeleme tedbirlerini uygular ve söz konusu materyalin yetkisiz kişilerin eline geçmesi hâlinde kime ait olduğunun tespit edilmesini zorlaştıracak diğer tedbirleri alır.

(6) Herkes, veri sorumlusuna başvurarak kendisiyle ilgili olarak Kanunun 11 inci maddesinde yer alan hakları kullanabilir.

(7) Veri sorumlusuna başvuruda, Kanunun 13 üncü maddesi ile Kurum tarafından hazırlanarak 10/3/2018 tarihli ve 30356 sayılı Resmî Gazete’de yayımlanan Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ hükümlerine riayet edilir.

(8) Aydınlatma yükümlülüğünün yerine getirilmesinde, Kanunun 10 uncu maddesi ile Kurum tarafından hazırlanarak 10/3/2018 tarihli ve 30356 sayılı Resmî Gazete’de yayımlanan Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ hükümlerine riayet edilir.

ÜÇÜNCÜ BÖLÜM

Kişisel Sağlık Verilerine Erişim

MADDE 6 – Sağlık personelinin verilere erişimi

(1) Sağlık hizmeti sunumunda görevli kişiler; ilgili kişinin sağlık verilerine ancak, verilecek olan sağlık hizmetinin gereği ile sınırlı olmak kaydıyla erişebilir.

(2) e-Nabız hesabı bulunan kişilerin sağlık verilerine, kendi gizlilik tercihleri çerçevesinde erişim sağlanır. İlgili kişiler, gizlilik tercihleri ve sonuçları konusunda ayrıntılı şekilde bilgilendirilir. Gizlilik tercihi ve geçmiş sağlık verilerinin görüntülenememesi nedeniyle sağlık hizmeti sunumunda meydana gelebilecek aksaklık ve zararlardan Bakanlık sorumlu olmaz.

(3) e-Nabız hesabı bulunmayan kişilerin sağlık verilerine ise Kanunun 6 ncı maddesinin üçüncü fıkrasında yer alan istisnai amaçlarla sınırlı olmak üzere ancak;

  • a) Kişinin kayıtlı olduğu aile hekimi tarafından herhangi bir süre sınırı olmaksızın,
  • b) Kişinin sağlık hizmeti almak üzere randevu aldığı hekim tarafından, randevunun alındığı gün ile sınırlı olmak kaydıyla ve alınan sağlık hizmeti ile doğrudan bağlantılı işlemler sonlanana kadar,
  • c) Kişinin sağlık hizmeti almak üzere giriş yaptığı sağlık hizmeti sunucusunda görev yapan hekimler tarafından, yirmi dört saat süre ile sınırlı olmak kaydıyla,
  • ç) Hastanın yatışının yapıldığı sağlık hizmeti sunucusunda görev yapan hekimler tarafından, hasta sağlık hizmeti sunucusundan taburcu olana kadar,

erişilebilir.

(4) Üçüncü fıkrada yer alan erişim kuralları, Bakanlığın sağlık hizmeti sunumu ihtiyaçlarına göre ve Kanunun 6 ncı maddesinin üçüncü fıkrası kapsamında Genel Müdürlük tarafından yeniden değerlendirilebilir. Böyle bir durumda aydınlatma yükümlülüğü kapsamında gereklilikler sağlanır.

(5) Geçmiş sağlık verilerinin herhangi bir kimse tarafından erişilmesini istemeyen kişilere ilgili gizlilik tercihi e-Nabız üzerinden sunulur. Bu gizlilik tercihini kullanan kişilerin geçmiş sağlık verilerine ancak kişinin kendisi tarafından beyan edilen telefon numarasına gönderilecek olan kodun hekim ile paylaşılması ve hekim tarafından sisteme girilmesi halinde erişilebilir.

(6) Mahremiyet düzeyi daha yüksek olan, başkaları tarafından görülmesi ve bilinmesi halinde kişilerin sosyal hayatını ve ruh sağlığını olumsuz etkileme riski taşıyan kişisel sağlık verileri Bakanlıkça belirlenir ve sağlık personelinin bu verilere erişimine ölçülü kısıtlar getirilebilir.

MADDE 7 – Bakanlık birimlerinin verilere erişimi

(1) Sağlık hizmeti sunucuları tarafından merkezi sağlık veri sistemine kimliksizleştirilerek gönderilen sağlık verilerini, ilişkisel veri tabanı aracılığı ile ait oldukları kişilerle eşleştirmeye yetkili kişileri Bakanlığın birim amirleri ayrı ayrı belirler ve Genel Müdürlükten bu kişilerin yetkilendirilmesini talep eder. Her birimin amiri, kendi biriminden en fazla üç kişinin yetkilendirilmesini talep edebilir.

(2) Birim amirinin talebi üzerine Genel Müdürlükçe yetkilendirilen kullanıcılar bu yetkiyi, yalnızca sağlık hizmetleri ile finansmanının planlanması ve yönetimi ile denetleme ve düzenleme görevleri kapsamında, kişisel veri koruma mevzuatı ilkelerine uygun olarak kullanabilirler.

(3) Sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacının sınırları, yasal ve idari düzenlemelerde ilgili birime verilen görevler üzerinden belirlenir.

MADDE 8 – Çocukların sağlık verilerine erişim

(1) Ebeveynler, çocuklarına ilişkin sağlık kayıtlarına herhangi bir onaya ihtiyaç duyulmaksızın e-Nabız üzerinden erişebilir. Ayırt etme gücüne sahip çocuklar, sağlık geçmişlerine ebeveynlerinin erişimini e-Nabız üzerinden izne tabi tutabilir.

(2) Anne ve babanın boşanması hâlinde velâyet hakkı üzerinde bırakılmayan taraf, çocuk ile velinin faydası gözetilmek suretiyle kişisel verilerin korunması mevzuatına uygun şekilde ve Genel Müdürlükçe belirlenen sınırlar çerçevesinde çocuğa ilişkin sağlık verilerine erişebilir.

MADDE 9 – Sağlık verilerine hasta yakınlarının erişimi

(1) Kişisel sağlık verilerinin hasta yakınları ile paylaşımında, Kanun ilkelerine aykırılık teşkil etmeyecek şekilde, 1/8/1998 tarihli ve 23420 sayılı Resmî Gazete’de yayımlanan Hasta Hakları Yönetmeliğinin 18 inci maddesinin üçüncü fıkrasına uygun hareket edilir.

MADDE 10 – Sağlık verilerine avukatların erişimi

(1) Avukatlar, müvekkilinin sağlık verilerini genel vekâletname ile talep edemezler. Müvekkiline ait sağlık verilerinin avukata aktarılması için düzenlenmiş olan vekâletnamede, ilgili kişinin özel nitelikli kişisel verilerinin işlenmesi ve aktarılmasına ilişkin açık rızasını gösteren özel bir hüküm bulunması gerekir.

MADDE 11 – Ölünün sağlık verilerine erişim

(1) Ölmüş bir kimsenin sağlık verilerini almaya, veraset ilamını ibraz etmek suretiyle murisin yasal mirasçıları münferit olarak yetkilidir.

(2) Ölmüş bir kimsenin sağlık verileri, en az 20 yıl süre ile saklanır.

DÖRDÜNCÜ BÖLÜM

Kişisel Sağlık Verilerinin Gizlenmesi, Düzeltilmesi, İmha Edilmesi ve Aktarılması

MADDE 12 – Kişisel sağlık verilerinin gizlenmesi

(1) Hakkında gizlilik kararı verilen kişilere ait verilerin gizlenmesi için yargı makamları tarafından gönderilen müzekkerenin gereği il sağlık müdürlüğü tarafından yerine getirilir. İl sağlık müdürlüğü tarafından tesis edilen işlem doğrudan Kimlik Paylaşım Sistemine de yansır. Gizlilik kararlarının sadece görevi gereği bilmesi gereken kişiler tarafından bilinmesini sağlamak üzere gerekli her türlü teknik ve idari tedbirler alınır.

MADDE 13 – Kişisel sağlık verilerinin düzeltilmesi

(1) İlgili kişi, kendisi hakkında sehven oluşturulan sağlık verilerinin düzeltilmesi hususunda sağlık verisinin oluşturulduğu sağlık hizmeti sunucusunun bağlı bulunduğu il sağlık müdürlüğüne başvurur. İl sağlık müdürlüğü, ilgili sağlık hizmeti sunucusunda yapacağı araştırma neticesinde sağlık verisinin sehven oluşturulduğu bilgisine ulaşırsa resmi yazı ile Genel Müdürlüğe başvurur ve sehven oluşturulan sağlık verisinin düzeltilmesini ister.

(2) Genel Müdürlük tarafından tesis edilecek işlem, sağlık hizmeti sunucusunun kendi veri tabanında da gerçekleştirilir.

(3) Genel Müdürlük, sağlık hizmeti sunucuları tarafından oluşturulan sağlık verilerinin kendileri tarafından düzeltilebileceği tarihi belirler ve bu tarihi ihtiyaca göre günceller. Genel Müdürlükçe belirlenen bu tarihten sonra oluşturulan sağlık verileri ilgili sağlık hizmeti sunucusu tarafından; bu tarihten önce oluşturulan sağlık verileri ise ilgili il sağlık müdürlüğünün talebi üzerine Genel Müdürlükçe düzeltilir.

MADDE 14 – Kişisel sağlık verilerinin imha edilmesi

(1) Kişisel verilerin imha edilmesinde, Kanunun 7 nci maddesi ile Kurum tarafından hazırlanarak 28/10/2017 tarihli ve 30224 sayılı Resmî Gazete’de yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik hükümlerine riayet edilir.

MADDE 15 – Kişisel sağlık verilerinin aktarılması

(1) Kişisel sağlık verilerinin yurtiçinde aktarımında Kanunun 8 inci maddesine, yurtdışına aktarımında ise Kanunun 9 uncu maddesine riayet edilir.

(2) Kişisel sağlık verilerinin, Kanunun 8 inci maddesinin ikinci fıkrasının (b) bendi ile üçüncü fıkrası ve 28 inci maddesi kapsamında kamu kurum ve kuruluşlarına aktarılması için protokol düzenlenir. Düzenlenen protokolde, kişisel veri koruma mevzuatının genel ilkeleri ile veri güvenliğine ilişkin hükümlere ve protokol kapsamında hangi verilerin aktarılacağına yer verilir. Verilerin aktarımı, teknik altyapının uygun olması hâlinde KamuNET üzerinden gerçekleştirilir.

(3) Kişisel sağlık verilerinin aktarımı talepleri, talep edilen sağlık verilerinin ilgili olduğu Bakanlık birimi tarafından Kanun ve ilgili diğer mevzuat açısından değerlendirilir, değerlendirme sonucuna göre Genel Müdürlükçe işlem tesis edilir.

BEŞİNCİ BÖLÜM

Bilimsel Amaçlarla İşleme ve Açık Sağlık Verisi

MADDE 16 – Bilimsel amaçlarla işleme

(1) Kanunun 28 inci maddesinin birinci fıkrasının (b) bendi kapsamında veri sorumlusu tarafından anonim hâle getirilen kişisel sağlık verileri ile bilimsel çalışma yapılabilir.

(2) Kanunun 28 inci maddesinin birinci fıkrasının (c) bendi kapsamında kişisel sağlık verileri, ilgili kişilerin özel hayatın gizliliğini veya kişilik haklarını ihlâl etmemek ya da suç teşkil etmemek kaydıyla alınacak teknik ve idari tedbirler çerçevesinde, bilimsel amaçlarla işlenebilir.

MADDE 17 – Açık sağlık verisi

(1) Genel Müdürlük tarafından, Bakanlığın merkez ve taşra teşkilatı ile bağlı ve ilgili kuruluşlarında kullanılan sistemlerde yer alan verilerin, veri mahremiyeti ile veri güvenliğine ilişkin düzenlemeler göz önünde bulundurularak, sağlık sisteminde şeffaflığı ve hesap verilebilirliği temin etmek, sağlık hizmeti sunumuna ilişkin politika ve stratejilere yön vermek, sağlık alanında yapılacak bilimsel araştırmalara destek olmak ve sağlığa ilişkin ürün ve hizmetlerin geliştirilmesini sağlamak amaçlarıyla, bu konuya özel olarak tahsis edilen bir internet sitesi üzerinden herkesin erişimine açılmasına ilişkin usûl ve esaslar Bakanlıkça belirlenir.

ALTINCI BÖLÜM

Veri Güvenliği

MADDE 18 – Veri güvenliğine ilişkin yükümlülükler

(1) Kanunun 12 nci maddesinde yer alan veri güvenliğine ilişkin yükümlülüklere riayet edilir. Teknik ve idari tedbirlerin alınmasında, Kurum tarafından hazırlanan Kişisel Veri Güvenliği Rehberi esas alınır.

(2) İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde veri sorumlusu tarafından Kurula yapılacak bildirimde Kanun hükümleri ile Kurulun bu hususa ilişkin düzenleyici işlemleri esas alınır.

MADDE 19 – Bilgi güvenliği

(1) Bakanlık merkez birimleri ve taşra teşkilatı ile bağlı ve ilgili kuruluşlarda yürütülen bilgi güvenliği süreçleri, Genel Müdürlük tarafından hazırlanan Bilgi Güvenliği Politikaları Yönergesi ile belirlenir.

MADDE 20 – Yeterli önlemler

(1) Özel nitelikli kişisel verilerin işlenmesinde ayrıca, Kanunun 6 ncı maddesinin dördüncü fıkrası ile 22 nci maddesinin birinci fıkrasının (ç) bendi uyarınca Kişisel Verileri Koruma Kurulu tarafından yapılan ikincil düzenlemelerde yer alan yeterli önlemlere riayet edilir.

YEDİNCİ BÖLÜM

Çeşitli ve Son Hükümler

MADDE 21 – Yaptırım

(1) Bu Yönetmelikle korunan kişisel verilere ilişkin suçlar ve kabahatler bakımından Kanunun 17 nci ve 18 inci maddelerine göre işlem yapılır.

(2) Bu Yönetmelik gereklerini yerine getirmeyen kamu görevlileri için bağlı oldukları disiplin amirliğine bildirim yapılır ve varsa yetkileri iptal edilir. Gerçek kişiler ve özel hukuk tüzel kişileri hakkında ilgili mevzuata göre işlem yapılır.

(3) Merkezi sağlık veri sistemine Bakanlıkça belirlenen usul ve esaslara uygun bir şekilde veri gönderimi yapmayan sağlık hizmeti sunucularına, 3359 sayılı Sağlık Hizmetleri Temel Kanununun Ek 11 inci maddesinin üçüncü fıkrasına göre işlem tesis edilir.

MADDE 22 – Hüküm bulunmayan hâller

(1) Kişisel sağlık verilerinin işlenmesi ile ilgili olarak bu Yönetmelikte hüküm bulunmayan hâllerde; Kanun ve ilgili ikincil düzenlemeler uygulanır.

MADDE 23 – Yürürlükten kaldırılan yönetmelik

(1) 20/10/2016 tarihli ve 29863 sayılı Resmî Gazete’de yayımlanan Kişisel Sağlık Verilerinin İşlenmesi ve Mahremiyetinin Sağlanması Hakkında Yönetmelik yürürlükten kaldırılmıştır.

MADDE 24 – Yürürlük

(1) Bu Yönetmelik yayımı tarihinde yürürlüğe girer.

MADDE 25 – Yürütme

(1) Bu Yönetmelik hükümlerini Sağlık Bakanı yürütür.

    2003’den Beri Sektördeyiz nesil teknoloji ofis Nesil Teknoloji Arge Binası Nesil Teknoloji Anonim Şirketi 15 yılı aşkın süredir uluslararası standartlarda, kaliteli, yenilikçi ve çözüm odaklı hizmet veren bir teknoloji şirketidir. Farklı sektörlerde 1000’den fazla kuruma hizmet veren Nesil, Türkiye’nin önde gelen şirketleri arasında yer alan 40 farklı sektöre birçok referans proje sunmaktadır. Kamu, Kamu Kuruluşları ve Özel sektörlerine hizmet veren firmamız, TSE ve ISO sertifikalarına sahip olmakla beraber bu standartlar çerçevesinde fark yaratmayı seven ve mükemmeliyetçi iş anlayışına sahip personelleri ile Profesyonel hizmet vermektedir.

    ADRES

    Ankara Ofis Adres
    Cevizlidere Mahallesi 1256. Cadde No: 10/A Balgat, Çankaya/Ankara

    İstanbul Ofis Adres
    Oruçreis, Tekstilkent Cd Tekstilkent Plaza D:B Blok, 34235 Esenler/İstanbul

    Antalya Ofis Adres
    Fener, Tekelioğlu Cd. No:55 D:Kat 2, 07160 Muratpaşa/Antalya

    TELEFON

    Ankara
    0312 911 46 40

    İstanbul
    0212 975 00 97
    0216 232 24 33
    İzmir
    0232 423 45 33

    Adana
    0322 259 01 33

    Antalya
    0242 782 45 33

    Muğla
    0252 440 01 33

    EMAIL

    bilgi@kvkk.com.tc