YÖNETMELİK
Sosyal Güvenlik Kurumu Başkanlığından:
SOSYAL GÜVENLİK KURUMU NEZDİNDEKİ VERİLERİN KORUNMASINA
VE İŞLENMESİNE İLİŞKİN YÖNETMELİK
BİRİNCİ BÖLÜM
Amaç, Kapsam, Dayanak ve Tanımlar
Amaç
MADDE 1 – (1) Bu Yönetmeliğin amacı; Kurumun 16/5/2006 tarihli ve 5502 sayılı Sosyal Güvenlik Kurumuna İlişkin Bazı Düzenlemeler Hakkında Kanun, 31/5/2006 tarihli ve 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu ve 15/7/2018 tarihli ve 30479 sayılı Resmî Gazete’de yayımlanan 4 sayılı Bakanlıklara Bağlı, İlgili, İlişkili Kurum ve Kuruluşlar ile Diğer Kurum ve Kuruluşların Teşkilatı Hakkında Cumhurbaşkanlığı Kararnamesinde belirtilen görev ve yetkileri kapsamında, tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde ettiği verilerin işlenmesinde uyulacak usul ve esasları belirlemektir.
Kapsam
MADDE 2 – (1) Bu Yönetmelik, Kurumun görev ve yetkileri kapsamında tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde ettiği verilerin işlenmesinde uyulacak usul ve esaslar doğrultusunda;
a) Kurum personelini,
b) Kişisel verileri işlenen gerçek kişileri,
c) Kişisel verilerin işlenmesine ait bilgi işlem sistemleri yazılım ve donanımı ile dosyalama sistemi gibi hizmetleri sunan gerçek ve tüzel kişileri,
ç) Kurumun faaliyetleri kapsamında mevzuat çerçevesinde kişisel verileri işleyen kamu kurum ve kuruluşları ile özel hukuk gerçek ve tüzel kişileri,
d) Kurum adına kişisel verileri işleyen gerçek veya tüzel kişileri,
e) Veri aktarımının yapıldığı kamu kurum ve kuruluşları ile özel hukuk gerçek ve tüzel kişilerini,
kapsar.
Dayanak
MADDE 3 – (1) Bu Yönetmelik, 16/5/2006 tarihli ve 5502 sayılı Sosyal Güvenlik Kurumuna İlişkin Bazı Düzenlemeler Hakkında Kanunun 35 inci maddesi ile 24/3/2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanununa dayanılarak hazırlanmıştır.
Tanımlar
MADDE 4 – (1) Bu Yönetmelikte geçen;
a) AFYDB: Kurum Aktüerya ve Fon Yönetimi Daire Başkanlığını,
b) Anonim hâle getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini,
c) Anonim veri: Anonim hale getirilen ve kimliği belirli veya belirlenebilir gerçek kişiyle ilişkilendirilemeyen veriyi,
ç) Başkan: Sosyal Güvenlik Kurumu Başkanını,
d) Birim: 4 sayılı Cumhurbaşkanlığı Kararnamesinin 413 üncü maddesinde belirtilen hizmet birimlerini,
e) Birim amiri: 4 sayılı Cumhurbaşkanlığı Kararnamesinin 413 üncü maddesinde belirtilen hizmet birimlerinin en üst amirini, taşra teşkilatında ise sosyal güvenlik il müdürlerini,
f) Genel sağlık sigortalısı: 5510 sayılı Kanunun 60 ıncı maddesinde sayılan kişileri,
g) Genel sağlık sigortası: Kişilerin öncelikle sağlıklarının korunmasını, sağlık riskleri ile karşılaşmaları halinde ise oluşan harcamaların finansmanını sağlayan sigortayı,
ğ) HSGM: Kurum Hizmet Sunumu Genel Müdürlüğünü,
h) İlgili kişi: Kişisel verisi işlenen gerçek kişiyi,
ı) İlgili kullanıcı: Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişileri,
i) Kişisel sağlık verisi: Kimliği belirli ya da belirlenebilir gerçek kişinin fiziksel ve ruhsal sağlığına ilişkin her türlü bilgi ile kişiye sunulan sağlık hizmetiyle ilgili bilgileri,
j) Kişisel veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi,
k) Kişisel verilerin işlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi,
l) Kişisel verilerin silinmesi: Kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesini,
m) Kişisel verilerin yok edilmesi: Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemini,
n) Kurul: Kişisel Verileri Koruma Kurulunu,
o) Kurum: Sosyal Güvenlik Kurumunu,
ö) MEDULA: Sağlık hizmeti kullanım verisi toplamak ve bu verilere dayanarak faturalama işlemini gerçekleştirmek amacıyla Kurum tarafından uygulanan ve işletilen elektronik bilgi sistemini,
p) Mevzuat birimi: Emeklilik Hizmetleri Genel Müdürlüğü, Sigorta Primleri Genel Müdürlüğü, Genel Sağlık Sigortası Genel Müdürlüğü, Rehberlik ve Teftiş Başkanlığı, Aktüerya ve Fon Yönetimi Daire Başkanlığı ile Strateji Geliştirme Başkanlığını,
r) Sağlık hizmeti: Genel sağlık sigortalısı ve bakmakla yükümlü olduğu kişilere 5510 sayılı Kanunun 63 üncü maddesi gereği finansmanı sağlanacak tıbbi ürün ve hizmetleri,
s) Sağlık hizmeti sunucusu: Sağlık hizmetini sunan ve/veya üreten; gerçek kişiler, kamu kurum ve kuruluşları ile özel hukuk tüzel kişilerini ve bunların tüzel kişiliği olmayan şubelerini,
ş) Sigortalı: Kısa ve/veya uzun vadeli sigorta kolları bakımından adına prim ödenmesi gereken veya kendi adına prim ödemesi gereken kişiyi,
t) Sosyal sigortalar: 5510 sayılı Kanunda tanımlanan kısa ve uzun vadeli sigorta kollarını,
u) Taşra birimi: Sosyal güvenlik il müdürlükleri ile sosyal güvenlik il müdürlüklerine bağlı sosyal güvenlik merkezlerini,
ü) Ticari sır niteliğindeki veri: Bir ticari işletme veya şirketin kendisine veya muvafakati çerçevesinde gerçek veya tüzel kişilere verilme durumları hariç olmak üzere; herkes tarafından bilinmeyen ve elde edilemeyen, başta rakipleri olmak üzere üçüncü kişilere ve kamuya açıklanması halinde ilgili ticari işletme veya şirketin zarar görme ihtimali bulunan ve ticari işletme veya şirketin ekonomik hayattaki başarı ve verimliliği için ticari önem atfettikleri veriyi,
v) Veri: Kurum nezdinde üretilen, işlenen veya arşivlenen her türlü bilgi ve belgeyi,
y) Veri işleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi,
z) Veri kayıt sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği Kurum veri kayıt sistemlerini,
aa) Veri paylaşım metodu: Talep edilen verilerin Kurum tarafından uygun bulunan Elektronik Belge Yönetimi Sistemi (EBYS) ortamında CD, DVD, sabit disk, taşınabilir bellek gibi elektronik-manyetik kayıt ortamlarında veya web servis, SFTP veya Kurumda kullanılan diğer yazılımlar gibi elektronik ortamlar üzerinden şifrelenerek paylaşım metotlarını,
bb) Veri sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi,
ifade eder.
İKİNCİ BÖLÜM
Kişisel Veriler, Kişisel Sağlık Verileri ile Ticari Sır Niteliğindeki Veriler
Kişisel veriler, kişisel sağlık verileri ile ticari sır niteliğindeki verilerin işlenmesi
MADDE 5 – (1) Kurum; 5502 sayılı Kanun, 5510 sayılı Kanun ve 4 sayılı Cumhurbaşkanlığı Kararnamesi ile kendisine verilen görevleri yerine getirmek amacıyla kişisel verilerin, kişisel sağlık verilerinin ve ticari sır niteliğindeki verilerin işlenmesinde aşağıdaki ilkelere uymak zorundadır:
a) Hukuka ve dürüstlük kurallarına uygun olma.
b) Doğru ve gerektiğinde güncel olma.
c) Belirli, açık ve meşru amaçlar için işlenme.
ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma.
d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.
(2) Kurumla sözleşmeli sağlık hizmeti sunucuları, Kurum adına işledikleri kişisel sağlık verilerini Kurum veri kayıt sistemine aktarmakla yükümlüdür.
(3) Sağlık hizmeti sunucuları, sözleşme kapsamında Kurum adına işledikleri kişisel sağlık verilerini, Kurum veri kayıt sistemi dışında hiçbir yere kopyalayamaz veya aktaramaz.
(4) Kurum adına kişisel verileri, kişisel sağlık verilerini ve ticari sır niteliğindeki verileri işleyen veya görevi gereği bu verilere erişen herkes, sır saklama yükümlülüğü altında olup veri gizliliğinin sağlanması amacıyla Kurum ve Kurul tarafından belirlenen önlemlere uymakla yükümlüdür.
(5) Kişisel verilerin, kişisel sağlık verilerinin ve ticari sır niteliğindeki verilerin işlenmesinde ayrıca Kurul tarafından yapılan düzenlemelere uyulması zorunludur. Ancak veri aktarımında 5502 sayılı Kanunun 35 inci maddesi hükmü saklıdır.
(6) Kişisel verilerin, kişisel sağlık verilerinin ve ticari sır niteliğindeki verilerin bulunduğu Kurum veri kayıt sistemine erişim izni verilebilmesi için, yetkilendirme dahilinde kullanıcı tanımlanması gerekir. Kullanıcı tanımlama ve yetkilendirmeye ilişkin her türlü işlem kayıt altına alınır ve bu kayıtlar muhafaza edilir. Yetkilendirme, kayıt altına alma ve verilerin muhafazasına ilişkin hususlar veri sorumlusu tarafından belirlenir.
Veri sorumlusunun görev ve yükümlülükleri
MADDE 6 – (1) Veri sorumlusu, bu Yönetmelik kapsamındaki verilerin hukuka aykırı olarak işlenmesini ve bu verilere, hukuka aykırı bir şekilde erişilmesini önlemek, bu verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.
(2) Veri sorumlusu, tedbirlerin alınması hususunda veri işleyenler ile birlikte müştereken sorumludur.
(3) Veri sorumlusu Kurul tarafından belirlenen düzenlemelerin uygulanmasını sağlamak amacıyla Kurumda gerekli denetimleri yapmak veya yaptırmak zorundadır.
(4) Kişisel verileri, kişisel sağlık verileri ile ticari sır niteliğindeki verileri işleyen kişiler, bu verilere erişen kişiler ve veri sorumluları; öğrendikleri kişisel verileri, kişisel sağlık verilerini ve ticari sır niteliğindeki verileri 6698 sayılı Kanun ve 5502 sayılı Kanun ile bu Yönetmelik hükümlerine aykırı olarak başkasına açıklayamaz ve işleme amacı dışında kullanamazlar. Bu yükümlülük görevden ayrılmalarından sonra da devam eder.
(5) Bu Yönetmelik kapsamında işlenen verilerin kanuni olmayan yollarla başkaları tarafından elde edildiğinin tespiti hâlinde veri sorumlusu, bu durumu gecikmeksizin ve en geç 72 saat içinde Kurula, söz konusu veri ihlalinden etkilenen kişilerin belirlenmesini müteakip ilgili kişilere de makul olan en kısa süre içerisinde bildirir.
(6) Bu Yönetmelik kapsamında kişisel veri işleyen veri sorumluları Kurul tarafından çıkarılacak düzenlemelere uymakla yükümlüdür.
Kişisel veriler, kişisel sağlık verileri ile ticari sır niteliğindeki verilere erişimler
MADDE 7 – (1) Kuruma verilen görevlerin yerine getirilebilmesi için kullanıcı tanımlaması ve yetkilendirmesi yapılan Kurum personelinin kişisel verilere, kişisel sağlık verilerine ve ticari sır niteliğindeki verilere erişimleri; üçüncü kişilere verilmemek, açıklanmamak ve veri güvenliğine ilişkin Kurum ve Kurul tarafından belirlenen yükümlülüklere uyulmak kaydıyla veri aktarımı olarak değerlendirilmez.
(2) Bu Yönetmelik kapsamındaki kişisel verilere;
a) Sağlık hizmetlerine ilişkin fatura bedellerinin incelenmesi ve ödenmesi,
b) Kurumun alacaklarının takip ve tahsili,
c) Denetim, teftiş ve kontrol,
ç) Verilerin işlenmesi,
d) Kurum mevzuatında yer alan sağlık ve sosyal sigorta hizmetlerine ilişkin kontrol parametrelerinin Kurum veri kayıt sistemine aktarılması ve takibi,
e) Sağlık ve sosyal sigorta hizmetlerinin izlenmesi, değerlendirilmesi, istatistik üretilmesi ve risk analizi yapılması,
f) Sağlık ve sosyal sigorta politikalarının belirlenmesi,
g) HSGM’de yazılım geliştirilmesi, sistem işletimi ve verilerin hazırlanması,
amacıyla bu işlemlerde görevlendirilen ve 5 inci maddenin altıncı fıkrası kapsamında kullanıcı tanımlaması ve yetkilendirmesi yapılan Kurum personeli tarafından erişilebilir.
(3) Kullanıcı tanımlaması ve yetkilendirmesi yapılan Kurum personeli, kişisel verilere, kişisel sağlık verilerine ve ticari sır niteliğindeki verilere;
a) Kurum veri kayıt sisteminde yer alan verilere şifre ile doğrudan erişim yetkisi verilmesi,
b) Kurumsal Raporlama ve İstatistik Sistemi, MEDULA gibi kişisel veriler, ticari sır niteliğindeki veriler ile kişisel sağlık verilerine ulaşılan uygulamalara şifre ile erişim yetkisinin verilmesi,
yoluyla erişebilir.
(4) Kullanıcı tanımlaması ve yetkilendirmesi yapılmaksızın Kurum personelinin görevi kapsamında talep ettiği kişisel verilere, kişisel sağlık verilerine ve ticari sır niteliğindeki verilere;
a) İlgili mevzuat biriminin onayı sonrasında HSGM tarafından uygun veri paylaşım metodu ile personelin bağlı olduğu ilgili birime iletilmesi,
b) Kurum personelinin görevi kapsamında talep ettiği kişisel veriler, kişisel sağlık verileri ve ticari sır niteliğindeki verilere birimi içerisinde hazırlanması ve iletilmesi,
yöntemiyle erişebilir.
(5) İkinci fıkranın (c) bendi kapsamında yapılan veri talepleri doğrudan HSGM’ye yapılır ve HSGM tarafından karşılanır. Üçüncü fıkranın (a) bendi kapsamında verilere erişim yetkileri, personelin görev yaptığı birim tarafından Başkanlık Makamından alınan onaya istinaden HSGM tarafından verilir. Üçüncü fıkranın (b) bendi kapsamında verilere erişim yetkileri, personelin görev yaptığı birimin talebine istinaden Kurumun yetkilendirme işlemleri çerçevesinde HSGM tarafından verilir. Dördüncü fıkranın (a) bendi kapsamında yapılacak veri talepleri ilgili birim tarafından doğrudan mevzuat birimine yapılır ve bu talepler hakkında 20 nci maddenin bir ila yedinci fıkrası hükümleri uygulanır.
(6) Verilere erişim yetkileri, personelin görev süresi ve kapsamı ile sınırlı olup, erişim yetkisinin sona ermesini gerektirecek bir durumun meydana gelmesi halinde yetkinin kaldırılması ile ilgili gerekli işlemler personelin görev yaptığı birim tarafından derhal yapılır.
(7) Personelin verilere erişim yetki düzeyleri, personelin görev süresi ve kapsamı ile yapılacak çalışmanın niteliğinin gerektirdiği erişim ihtiyacı dikkate alınarak talebi yapan ilgili birimce belirlenir ve bu talep ilgili mevzuat biriminden alınacak onay ile HSGM’ye iletilir.
Kurumun iş ve işlemlerinin yürütülmesine ilişkin hususlar
MADDE 8 – (1) Veri işleyenler tarafından hizmetin gereği olarak veri kayıt sistemlerinden yapılan sorgular, veri aktarımı olarak değerlendirilmez.
Genel sağlık sigortası ile sosyal sigortalara yönelik iş ve işlemlerin paydaşlar ile yürütülmesi
MADDE 9 – (1) Kuruma verilen görevlerin yerine getirilebilmesine yönelik iş ve işlemlerin diğer kamu kurum ve kuruluşları ile üniversite, enstitü, oda, dernek gibi paydaşlar ile birlikte gerçekleştirilmesi amacıyla;
a) Kurumca imzalanan işbirliği protokolü, hizmet alım sözleşmesi/protokolü kapsamındaki çalışmalarda,
b) Genel sağlık sigortası ile sosyal sigortalar uygulamalarına ilişkin iş ve işlemlerin yürütülmesine yönelik olarak oluşturulan komisyonlarda,
Kurum dışından görev alan kişilerin kişisel verilere, kişisel sağlık verilerine ve ticari sır niteliğindeki verilere erişimlerine izin verilmez. Bu kişilerin anonim verilere erişimleri, veri aktarımı olarak değerlendirilmez.
(2) Kurum, bu madde kapsamında görevlendirilen kişiler ile ilgili olarak, bu Yönetmelik ve 6698 sayılı Kanunun 12 nci maddesi kapsamında veri güvenliğine ilişkin teknik ve idari tedbirleri almak, ilgili mevzuat hükümlerine uygun hareket edilmesini sağlamak zorundadır.
Kişinin kendisine ait kişisel veriler ile kişisel sağlık verilerine ilişkin talepleri
MADDE 10 – (1) Herkes, Kuruma başvurarak kendisiyle ilgili kişisel verileri ile kişisel sağlık verilerinin;
a) İşlenip işlenmediğini öğrenme,
b) İşlenmişse buna ilişkin bilgi talep etme,
c) Silinmesini, yok edilmesini isteme,
ç) İşlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
d) Yurt içinde veya yurt dışında aktarıldığı üçüncü kişileri bilme,
e) Eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
f) İşlenenlerinin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
g) Mevzuata aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme,
ğ) (c) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
haklarına sahiptir.
(2) Kişilerin kişisel verileri ile kişisel sağlık verilerinin silinmesi veya yok edilmesi taleplerinde, kişisel verilerin işlenme şartlarının tamamının ortadan kalkıp kalkmadığı yönünde ilgili mevzuat birimince değerlendirme yapılarak silme, yok etme veya anonim hâle getirme işlemlerinden hangisinin uygulanacağına karar verilir. Uygulanan yöntem ve gerekçesi en geç 30 gün içinde ilgili mevzuat birimi tarafından ilgili kişiye yazılı olarak veya elektronik tebligat adresine bildirilir.
(3) Kurum, kişinin kişisel verileri ile kişisel sağlık verilerini;
a) Kişinin kendisine veya noter onaylı muvafakatiyle veya e-Devlet uygulaması üzerinden kimlik teyidi ile verilen izin ile diğer gerçek veya tüzel kişilere,
b) Mahkeme kararı ile kişinin sağlık verilerine erişim izninde yetkilendirilmiş kişilere,
c) Müvekkili tarafından verilen özel vekâletnamede avukatın kişisel veriler ile kişisel sağlık verilerini talep edebileceğine yer verilmiş olması şartıyla ilgili avukatına,
aktarabilir veya gerekçesini açıklayarak veri taleplerini reddedebilir.
(4) Kuruma yapılan talepler, talebin niteliğine göre en kısa sürede ve en geç 30 gün içinde ücretsiz olarak sonuçlandırılır. Ancak, işlemin ayrıca bir maliyeti gerektirmesi halinde, Kurulca bu konuda belirlenen tarifedeki ücret alınabilir.
(5) Bu madde kapsamındaki veri talepleri taşra birimine yapılır. Taşra birimi, yetkileri dahilinde Kurum veri kayıt sisteminden temin edemediği verileri 20 nci maddenin iki ila beşinci fıkrası hükümlerine göre temin edebilir.
Kurum veya kuruluşların kişisel veri ile ticari sır niteliğindeki veri talepleri
MADDE 11 – (1) Kurum, işlediği kişisel veri ile ticari sır niteliğinde olan verileri, ilgili kişinin noter onaylı muvafakati veya e-Devlet uygulaması üzerinden kimlik teyidi ile verilen izni ile ve kişiler adına vekâlet ile yetkilendirilenler tarafından, kişisel veri veya ticari sır niteliğindeki veriler hususunda yetkiyi içeren özel vekâletnamenin veya vasi atamaya ilişkin mahkeme kararının Kuruma ibraz edilmesi koşuluyla gerçek veya tüzel kişilere, ilgili mevzuat birim amirinin onayı ile aktarılabilir.
(2) Ancak, 5502 sayılı Kanunun 35 inci maddesi uyarınca 10/12/2003 tarihli ve 5018 sayılı Kamu Mali Yönetimi ve Kontrol Kanununun ekinde yer alan (I), (II), (III) ve (IV) sayılı cetvellerde yer alan kamu idareleri ile Türkiye Cumhuriyet Merkez Bankasının ilgili mevzuatında belirtilen görevleri yapabilmeleri için ihtiyaç duydukları kişisel sağlık verisi dışındaki kişisel veriler ile ticari sır niteliğinde olan veriler aktarılabilir.
(3) Kamu kurum veya kuruluşları tarafından yazılı veya elektronik ortamda talep edilen tek seferlik kişisel veriler ile ticari sır niteliğindeki veriler, ikinci fıkradaki şartları taşıdığının belirlenmesi halinde talep eden kamu kurum veya kuruluşlarının bulunduğu il müdürlüğünce karşılanır. İl müdürlüğü, yetkileri dahilinde Kurum veri kayıt sisteminden temin edemedikleri verileri, 20 nci maddenin bir ila dokuzuncu fıkrası hükümlerine göre temin ederek ilgili merciye teslim eder.
(4) Kamu kurum veya kuruluşları tarafından talep edilen sürekli nitelikteki kişisel veriler ile ticari sır niteliğindeki verilerin aktarılabilmesi için veri talebinde bulunanlar ile Kurum arasında ilgili mevzuat biriminin koordinasyonunda aktarımın usulünü ve diğer gerekli hususları belirleyen protokolün imzalanması zorunludur.
Sağlık Bakanlığının kişisel sağlık verisi talepleri
MADDE 12 – (1) Kurum, kişisel sağlık verilerini; kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, verilen sağlık hizmetlerinin uygunluğunun ve yerindeliğinin takibi ve finansmanının planlanması amacıyla talebi hâlinde Sağlık Bakanlığı ile paylaşır.
(2) Sağlık Bakanlığı tarafından yapılan veri taleplerinde, 20 nci maddenin bir ila dokuzuncu fıkrası hükümleri uygulanır.
Sözleşmeli sağlık hizmeti sunucularının sundukları hizmetlere ilişkin veri talepleri
MADDE 13 – (1) Sağlık hizmetlerinin sağlanmasına yönelik olarak Kurumla sözleşme yapmış sağlık hizmeti sunucularınca, Kurum adına işledikleri kişisel sağlık verilerinden mücbir sebep dolayısıyla Kuruma faturalandırılamayan hizmetlere ilişkin verilerin talep edilmesi durumunda bu talepler hakkında 20 nci maddenin bir ila dokuzuncu fıkrası hükümleri uygulanır.
Yargı makamları ve infaz mercilerinin veri talepleri
MADDE 14 – (1) Yargı makamları ve infaz mercileri tarafından talep edilen kişisel veri ile kişisel sağlık verisi talepleri taşra birimine yapılır. Taşra birimi, yetkileri dahilinde Kurum veri kayıt sisteminden temin edemedikleri verileri, HSGM’den temin ederek ilgili merciye teslim eder.
ÜÇÜNCÜ BÖLÜM
Anonim Veriler
Anonim verilerin aktarılması
MADDE 15 – (1) İlgili mevzuat birimleri tarafından belirlenen kişisel verilerin, kişisel sağlık verilerinin ve ticari sır niteliğindeki verilerin anonim hale getirilmesinde, ulusal ve uluslararası kabul görmüş istatistiki yöntemler uygulanır. Bu konuda Kurul tarafından yapılan düzenlemelerde yer alan hükümler uygulanır.
(2) Anonim veriler, bu Yönetmelik hükümlerine uygun olarak ve Kurum tarafından değerlendirilerek uygun görülmesi koşuluyla;
a) Sağlık ile sosyal sigorta alanında stratejilerin ve hedeflerin gerçekleştirilmesi,
b) Genel sağlık sigortası ile sosyal sigorta politika ve uygulamalarının geliştirilmesi,
c) Sağlık ve sosyal sigorta hizmetlerinin finansmanı, yönetimi ve planlanması,
ç) Kişi ve toplum sağlığının korunması ile koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetleri stratejilerinin oluşturulması,
d) Kurumsal önceliklerin gerçekleştirilmesi,
e) Sağlık ve sosyal sigorta istatistiklerinin hazırlanması,
f) Bilimsel ve akademik araştırma ve çalışmaların gerçekleştirilmesi,
g) Kamu alacaklarının takip ve tahsili,
ğ) Kamu kurum ve kuruluşlarının mevzuatla verilen görevlerinin yerine getirilmesinin sağlanması ile denetim görevlerinin gerçekleştirilebilmesi,
h) Kamu kurum ve kuruluşlarının faaliyetlerinde bürokrasinin azaltılması ve işlemlerin sadeleştirilmesi,
amacıyla aktarılabilir.
(3) Anonim veri talepleri;
a) Verilerin ayrı veya özel bir çalışma, araştırma, inceleme ya da analiz neticesinde oluşturulabilecek nitelikte olup olmadığı,
b) Verilerin anonim hale getirilme işlemlerinin karmaşıklığı,
c) Verilerin ticari sır niteliğinde olup olmadığı,
gibi ölçütlere göre aktarılabilir.
(4) Anonim veri aktarımı yapılan gerçek ve tüzel kişiler aktarılan verileri aktarım amacı ve Kurum bilgisi dışında kullanamazlar.
Araştırma, planlama ve istatistik amaçlı anonim veri talepleri
MADDE 16 – (1) Kamu idarelerinin, 11 inci maddenin ikinci fıkrası kapsamına girmeyen araştırma, planlama ve istatistik amaçlı anonim veri talepleri veya bilimsel araştırma yapan kamu personelinin, bilimsel derneklerin, kamu kurumu niteliğindeki meslek kuruluşlarının veya üniversitelerin araştırma, planlama ve istatistik amaçlı ihtiyaç duydukları anonim veriler aktarılabilir.
(2) İlgili mevzuat birimleri ile AFYDB’de görevli personel hariç, Kurum personelinin görevi kapsamında yapılacak çalışmalarda kullanılmak üzere, anonim veri talepleri, talep eden personelin bağlı bulunduğu birim amiri tarafından ilgisine göre ilgili mevzuat birim amirine yapılır.
(3) Kurum içi birimler tarafından Kurumsal Raporlama ve İstatistik Sisteminde bulunan istatistik amaçlı veriler talep edilemez.
(4) Bu madde kapsamındaki veri taleplerinde, 20 nci madde hükümleri uygulanır.
(5) Bu madde kapsamında sürekli veya elektronik ortamda yapılacak anonim veri aktarımı, ilgili mevzuat biriminin koordinasyonunda aktarımın usulü ve diğer gerekli hususları belirleyen bir protokol aracılığıyla yapılır.
Tüzel kişilere ait olan anonim verilerin tüzel kişinin kendisine veya diğer kişilere aktarımı
MADDE 17 – (1) Tüzel kişilerin, 5510 sayılı Kanunun 63 üncü maddesinin birinci fıkrasının (f) bendinde belirtilen sağlık hizmetlerinden ruhsat veya satış iznine sahip olduğu ürünlere ait veriler; Kurum tarafından uygun görülmesi halinde tüzel kişiyi temsile yetkili olanların noter onaylı muvafakatlerinin alınması kaydıyla 20 nci maddenin bir ila yedinci fıkrası hükümlerine göre gerçek veya tüzel kişilere aktarılabilir.
(2) Bu madde kapsamında aktarılacak veriler, sağlık hizmeti sunucularının doğrudan ya da dolaylı tanınmasına yol açamaz.
(3) Bu madde kapsamında veri aktarılabilmesi için veri talebinde bulunanlar ile Kurum arasında ilgili mevzuat biriminin koordinasyonu ile aktarımın usulü ve diğer gerekli hususları belirleyen sözleşme/protokol imzalanması zorunludur.
Anonim istatistik yayınları
MADDE 18 – (1) Anonim veriler ile ticari sır niteliğindeki verileri içeren Kurum istatistik bültenlerinin, istatistik yıllıklarının ve faaliyet raporlarının yayımlanması veri aktarımı olarak değerlendirilmez.
(2) Kurum tarafından kamuya açıklanmış istatistik bültenleri, istatistik yıllıkları, faaliyet raporları ve benzeri yayımlarında yer alan anonim verilerin Kurum dışına verilmesi veri aktarımı olarak değerlendirilmez.
Kurum personelinin tezleri
MADDE 19 – (1) Kurum personeli, Kurum mevzuatı gereği hazırlayacakları tezleri için anonim veri talebinde bulunabilir.
(2) Bu madde kapsamında yapılacak anonim veri taleplerinde, 20 nci maddenin birinci, üçüncü ve beşinci fıkraları uygulanır.
DÖRDÜNCÜ BÖLÜM
Genel Hükümler
Verilerin aktarım taleplerine ilişkin genel hükümler
MADDE 20 – (1) Veri aktarım talepleri, ilgili mevzuat birimine yazılı olarak yapılır. İlgili mevzuat birimi gerekli gördüğü durumlarda istenilen veriye ilişkin detaylı veri deseninin hazırlanmasını talep edebilir.
(2) 11 inci maddenin ikinci fıkrasında sayılan kamu kurum ve kuruluşlarının talep ettikleri kişisel sağlık verisi dışındaki kişisel veriler, anonim veriler ile ticari sır niteliğindeki verilerin aktarılabilmesi için talebe ilişkin hukuki dayanağın Kuruma yapılacak yazılı talepte belirtilmesi zorunludur.
(3) Veri taleplerinin değerlendirilmesi sürecinde ihtiyaç duyulması halinde ilgili mevzuat birimince ayrıca bilgi ve belge istenebilir.
(4) Veri taleplerinin kabul edilmesi halinde, veri erişimi ve gizliliğine ilişkin gerekli şartları içeren Protokol ilgili mevzuat biriminin koordinasyonunda veri talebinde bulunanlarca imzalanır.
(5) Veri talepleri, ilgili mevzuat birimi tarafından incelenerek veri formatı ve başlıkları belirlenmiş şekilde verilerin hazırlanması için HSGM’ye iletilir. İlgili mevzuat birimi tarafından veri paylaşımının uygun görülmediği durumlarda veri talebinde bulunanlara ilgili mevzuat birimince bilgi verilir.
(6) Aktarılmak üzere hazırlanan veriler, HSGM tarafından Kurumca belirlenecek format ile uygun veri paylaşım metodu kullanılarak paylaşılır. Paylaşılacak veri, talebi yapan gerçek veya tüzel kişiye yazılı olarak taahhütlü veya iadeli taahhütlü posta ile veya elden teslim edilebilir.
(7) Anonim verilerin kamu kurum ve kuruluşlarına teslimi, talepleri halinde şifrelenmiş dosya ile “gov.tr” uzantılı e-posta adreslerine yapılabilir.
(8) Telefonla veri iletilemez.
(9) Veri talebinde bulunanlar, işledikleri verilerin sonuçlarını Kurum tarafından kontrol edilebilir bir dosya formatında hazırlar ve oluşturulan sonuçlarda bu Yönetmelik hükümlerine aykırı olarak işlenen verilere yer verilemez.
(10) Veri talebinde bulunanların işledikleri verilerin veri işleme süreçlerindeki tüm sonuçlarının bu Yönetmeliğe aykırı biçimde aktarılması sonucunu doğuracak veri içerip içermediği ilgili birim tarafından kontrol edilir. Bu Yönetmelik hükümlerine aykırı olarak işlenen verileri içeren bölümlerin tespit edilmesi halinde sonuçların kullanılmasına izin verilmez.
(11) Veri talebinde bulunanların hatalı hesaplama sonucu elde ettiği bulgular sadece veri talebinde bulunanları bağlar.
(12) Veri talebinde bulunanlar, çalışmalarında elde ettikleri sonuçları yayımlarken kullandıkları Kurum verilerini kaynak göstermek zorundadır.
(13) Veri talebinde bulunanlar yayımladıkları rapor, makale ve benzeri çalışmalarının bir kopyasını, yayımlarından sonraki 30 gün içerisinde veriyi talep ettiği Kurumun ilgili birimine göndermekle yükümlüdür.
(14) Veri talebinde bulunanlar, aldıkları verileri taleplerinde ifade ettikleri amaç dışında farklı bir amaçla kullanamaz, çoğaltamaz, üçüncü kişilere veremez, satamaz veya devredemez.
Verilerin aktarıldığı kişi, kurum/kuruluşların sorumlulukları
MADDE 21 – (1) Verilere erişen Kurum personeli ile verilere erişen veya veri aktarımı yapılan kamu kurum ve kuruluşlarının personeli de dahil olmak üzere gerçek ve tüzel kişiler, sağlık hizmeti sunucularına ait bilgi işlem sistemlerinin yazılımını ve donanımını sağlayan gerçek ve tüzel kişiler;
a) Veri talebine uygun olarak yaptıkları çalışmaların, kişisel verilerin açıklanmasına imkân vermeyecek şekilde yürütülmesini sağlar; verilerin istenilen amaç dışında kullanılmaması ve paylaşılmaması için süre ile sınırlandırılmaksızın her türlü önlemi alırlar.
b) Kurum tarafından görüntülenmesi sağlanan ve aktarım yapılan veriler, kişisel verilerin gizliliği ilkesine bağlı kalmak şartıyla ilgili mevzuat, uluslararası anlaşmalar ve kamu hizmetinin gerektirdiği yükümlülüklere göre kullanılır. Aktarılan verilerin; yetkisi olmayan kişi, kurum ve kuruluşların eline geçmemesi için gerekli tüm tedbirler alınır.
(2) Bu Yönetmelik hükümlerine göre verilere erişen Kurum personeli dâhil olmak üzere veri aktarımı yapılan gerçek ve tüzel kişiler, sağlık hizmeti sunucularına ait bilgi işlem sistemlerinin yazılımını ve donanımını sağlayan gerçek ve tüzel kişiler;
a) Elde ettikleri verilerin gizliliğini korumak ve güvenliğini sağlamak, verileri yetkisiz kişilerin görmesini, öğrenmesini, eline geçirmesini ve amacı dışında kullanmasını önlemek amacıyla gerekli tedbirleri almak,
b) Verilerin aktarımı ve korunması hususunda mevzuatta yer alan hükümlere uymak,
zorundadır.
(3) Kişisel verilerin güvenliğinin sağlanmasına yönelik Kurul tarafından çıkarılan düzenlemelere uyulur.
Uygulanacak müeyyideler
MADDE 22 – (1) Kişisel verilerin korunması hususu ile ilgili hükümlere aykırı hareket edenler hakkında kabahatler bakımından, 6698 sayılı Kanunun 18 inci maddesi hükümlerinin uygulanmasını teminen durum Kurula bildirilir.
(2) Kurum tarafından kendilerine erişim yetkisi verilen kişilerden, kişisel verileri değiştiren veya bütünlüğünü bozanlar hakkında 5237 sayılı Kanunun ilgili maddeleri uyarınca suç duyurusunda bulunulur.
Verilerin korunmasına ilişkin Kurumca yürütülecek işlemler
MADDE 23 – (1) Kurum, Kurum veri kayıt sisteminde tuttuğu verilerin her türlü tehlikeye karşı güvenliğinin sağlanması amacıyla güvenlik önlemlerinin hazırlanmasını, uygulamaya konulmasını, güncellenmesini ve denetlenmesini sağlamakla yükümlüdür.
(2) Veri aktarım talebinde bulunan gerçek ve tüzel kişilerin Kurum veri kayıt sistemine doğrudan erişimine izin verilmez. Talep edilen verinin aktarımı sağlanır.
(3) HSGM, veri taleplerini karşılarken gerekli güvenlik önlemlerini alır. Kurum veri kayıt sistemine şifre ile erişimler, gerçek kişi (ad-soyad veya domain kullanıcı adı) kullanıcı şifreleri kullanılarak Kurumun belirlediği güvenlik önlem ve uygulamaları çerçevesinde yapılır. Erişimler, HSGM tarafından güvenlik önlemleri çerçevesinde kayıt altına alınır.
(4) Kurum veri kayıt sisteminde sadece test edilmiş ve onaylanmış Kurum uygulamaları aracılığı ile toplanan veriler esas alınır. Hatalar sonucu veya farklı nedenlerle verilerde değiştirilme, silinme, eklenme ihtiyacı oluşursa bu durum ilgili birim ile HSGM’deki yetkilendirilmiş kişiler ile tutanak altına alınmak suretiyle gerekli işlemler yapılır.
(5) Kurumca veriye erişim yetkisi verilmiş personelin Kurumdan ayrılması veya görev yeri değişikliği halinde yetkisiz kullanımın önlenebilmesi amacıyla erişim yetkileri ilgili birim tarafından resmi yazı ile HSGM’ye bildirilir. HSGM tarafından yetkilendirme sona erdirilmeden ayrılış işlemleri yapılamaz. Birim amirleri gerekli bildirim ve iptal etme işlemlerinin yerine getirilmesinden sorumludur. Personelin üzerinde çalıştığı veri ile ilgili sorumluluğu Kurumdan ayrıldıktan sonra da devam eder.
BEŞİNCİ BÖLÜM
Kurum Yazılımları ile Kurum Dışı Yazılımların Entegrasyonu, Entegrasyon Usulü
Kurum yazılımları ile kurum dışı yazılımların entegrasyonu
MADDE 24 – (1) Kurum ve Kurul tarafından belirlenen güvenlik tedbirlerine uyulmak kaydıyla dış paydaşların, Kuruma olan yükümlülüklerini yerine getirebilmek için yazılımlarının Kurum yazılımları ile entegrasyon taleplerini karara bağlamaya Kurum yetkilidir.
Entegrasyon usulü
MADDE 25 – (1) Yazılım entegrasyon ihtiyacı söz konusu olduğunda, Kurum dışı yazılım sahibi gerçek ya da tüzel kişiler HSGM’ye yazılı başvuruda bulunur.
ALTINCI BÖLÜM
Son Hükümler
Yürürlük
MADDE 26 – (1) Bu Yönetmelik yayımı tarihinde yürürlüğe girer.
Yürütme
MADDE 27 – (1) Bu Yönetmelik hükümlerini Sosyal Güvenlik Kurumu Başkanı yürütür.
MADDE 1 – Amaç
(1) Bu Yönetmeliğin amacı, 24/3/2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanunu uyarınca Kurulun gözetiminde, Başkanlık tarafından kamuya açık olarak tutulacak olan Veri Sorumluları Sicilinin oluşturulması, idaresi ile Veri Sorumluları Siciline yapılması öngörülen kayıtlara ilişkin usul ve esasları belirlemek ve uygulanmasını sağlamaktır.
MADDE 2 – Kapsam
(1) Bu Yönetmelik, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek ve tüzel kişileri kapsar.
MADDE 3 – Dayanak
(1) Bu Yönetmelik, 6698 sayılı Kanunun 16 ncı maddesinin beşinci fıkrası ile 22 nci maddesinin birinci fıkrasının (d) ve (e) bentlerine dayanılarak hazırlanmıştır.
MADDE 4 – Tanımlar
(1) Bu Yönetmelikte geçen;
ifade eder.
(2) Bu Yönetmelikte yer almayan tanımlar için Kanundaki tanımlar uygulanır.
MADDE 5 – İlke, usul ve esaslar
(1) Sicilin oluşturulması, idaresi ve gözetimi hususunda aşağıdaki ilke, usul ve esaslara uyulur:
MADDE 6 – Sicilin oluşturulması, idaresi ve gözetimi
(1) Sicil, Başkanlık tarafından oluşturulur. Başkanlık, Sicilin oluşturulması, idaresi, güncel biçimde tutulması ve muhafaza edilmesi amacıyla; VERBİS’in kurulması ve işletilmesi için gerekli teknik ve idari tedbirleri alır.
(2) Sicilin oluşturulmasından ve idaresinden sorumlu hizmet birimi, Veri Yönetimi Dairesi Başkanlığıdır.
(3) Sicilin gözetimi Kurul tarafından gerçekleştirilir. Veri Yönetimi Dairesi Başkanlığı tarafından üç aylık dönemler halinde hazırlanan ve kapsamı Kurul tarafından belirlenecek olan faaliyet raporu Kurula sunulur.
MADDE 7 – Sicile erişim
(1) Başkanlık, Sicilde yer alan güncel bilgileri Kurul kararları uyarınca belirlenecek uygun yöntemlerle kamuya açıklar.
(2) Veri sorumluları sicilinde yer alan bilgilerden aşağıdakiler kamuya açıklanır:
MADDE 8 – Kayıt yükümlülüğünün başlangıcı
(1) Veri sorumluları, kişisel veri işlemeye başlamadan önce Sicile kayıt yükümlülüklerini yerine getirmek zorundadır.
(2) Kayıt yükümlülüğü altında bulunmayan, sonradan kayıt yükümlüsü haline gelen veri sorumluları, yükümlülük altına girmelerini müteakip otuz gün içerisinde Sicile kaydolurlar.
(3) Kayıt yükümlülüğü altında bulunan veri sorumluları, herhangi bir fiili, teknik ya da hukuki imkânsızlık nedeniyle kayıt yükümlülüklerinin yerine getirilememesi halinde, bu imkânsızlığın ortaya çıktığı tarihten itibaren en geç 7 iş günü içerisinde Kuruma yazılı olarak başvurmak ve gerekçesini belirtmek şartıyla, kayıt yükümlülüklerini yerine getirmek için Kurumdan ek süre talep edebilirler. Kurum, bir defaya mahsus olmak ve her halde otuz günü geçmemek üzere ek süre verebilir.
MADDE 9 – Kayıt yükümlülüğü kapsamında iletilecek bilgiler
(1) Sicile yapılan kayıt başvurusu aşağıdaki bilgileri içerir:
(2) Veri sorumluları tarafından birinci fıkranın (b), (c), (ç) ve (d) bentleri uyarınca Sicile açıklanacak bilgiler; Kişisel Veri İşleme Envanterine dayalı olarak VERBİS’te belirtilen başlıklar kullanılarak VERBİS üzerinden Sicile iletilir.
(3) Veri sorumluları tarafından birinci fıkranın (e) bendi uyarınca Sicile açıklanacak bilgiler; Kanunun 12 nci maddesinde belirtilen hususları kapsayacak şekilde VERBİS’te belirtilen başlıklar kullanılarak VERBİS üzerinden Sicile iletilir.
(4) Veri sorumluları tarafından birinci fıkranın (f) bendi uyarınca Sicile açıklanacak kişisel verilerin mevzuatta öngörülen veya işlendikleri amaç için gerekli olan azami muhafaza edilme süresine ilişkin bilgiler veri kategorileri ile eşleştirilerek Sicile bildirilir. Veri sorumlusu tarafından Sicile bildirilen veri kategorilerinin işleme amaçları ve bu amaçlara dayalı olarak işlenmeleri için gerekli olan azami muhafaza edilme süreleri ile mevzuatta öngörülen süreler farklı olabilir. Bu durumda mevzuatta azami muhafaza edilme süresi öngörülmüşse öngörülen bu süre yoksa bunlardan en uzun süre esas alınarak bu veri kategorisi için Sicile bildirim yapılır. Kişisel verilerin işlendikleri amaç için gerekli olan azami muhafaza edilme süresi belirlenirken;
dikkate alınır.
(5) Veri sorumluları, kişisel verilerin işlendikleri amaç için gerekli olan azami sürenin belirlenmesi, bu sürelerin kişisel veri işleme envanterinde belirtilen bilgilerle uyumu ve azami sürenin aşılıp aşılmadığının takibi için kişisel veri saklama ve imha politikası hazırlayarak, bu politikanın uygulanmasını temin ederler.
(6) VERBİS içerisinde belirtilen başlıkların ve içeriklerinin, veri sorumlusunun gerçekleştirdiği faaliyetleri ve Sicile iletmesi gereken bilgileri tam olarak kapsamaması durumunda; veri sorumlusu bu bilgileri ayrıca VERBİS içerisinde bu amaca ilişkin ayrılan “Diğer” başlıklı bölümlere girerek Sicile bildirimini tamamlar.
MADDE 10 – Kayıt başvurusu
(1) Veri sorumluları, 9 uncu maddede belirtilen bilgileri VERBİS’e yüklemek suretiyle kayıt yükümlülüğünü yerine getirmiş sayılır.
(2) Kurum tarafından 8 inci maddenin üçüncü fıkrasında belirtildiği üzere kendilerine ek süre verilmiş olan veri sorumluları, bu süre tamamlanmadan kayıt başvurusunu tamamlamak zorundadır.
MADDE 11 – Veri sorumlusu, veri sorumlusu temsilcisi ve irtibat kişisinin yükümlülükleri
(1) Tüzel kişilerde veri sorumlusu tüzel kişiliğin kendisidir. Türkiye’de yerleşik olan tüzel kişilerin Kanun kapsamındaki veri sorumlusu yükümlülükleri, ilgili mevzuat hükümlerine göre tüzel kişiliği temsil ve ilzama yetkili organ veya ilgili mevzuatta belirtilen kişi veya kişiler marifetiyle yerine getirilir. Tüzel kişiliği temsile yetkili organ, Kanunun uygulanması bakımından yerine getirilecek yükümlülükler ile ilgili olarak bir veya birden fazla kişiyi görevlendirebilir. Bu görevlendirme Kanun hükümleri uyarınca tüzel kişiliğin sorumluluğunu ortadan kaldırmaz.
(2) Türkiye’de yerleşik olmayan veri sorumlusunun, veri sorumlusu temsilcisi atanmasına ilişkin yetkili organı veya kişisi tarafından alınacak kararın tasdikli örneği, kayıt başvurusu sırasında veri sorumlusu temsilcisi tarafından Kuruma sunulur.
(3) Veri sorumlusu temsilcisi atama kararı, asgari olarak aşağıda belirtilen hususları kapsayacak şekilde düzenlenir:
(4) (Değişik:RG-28/4/2019-30758)Türkiye’de yerleşik olan veri sorumluları ile Türkiye’de yerleşik olmayan veri sorumluları adına veri sorumlusu temsilcileri, Sicile kayıt sırasında irtibat kişisi bilgilerini Sicile işlerler. İrtibat kişisi veri sorumlusunu Kanun ve Yönetmelik hükümlerine göre temsile yetkili değildir.
(5)(Değişik:RG-28/4/2019-30758)Kamu kurum ve kuruluşlarında irtibat kişisi, koordinasyonu sağlayacak üst düzey yönetici tarafından Kurum ile iletişimi sağlamak amacıyla belirlenerek Sicile kaydı yapılan daire başkanı veya üstü yöneticidir.
MADDE 12 – İletişimin sağlanması
(1) Kanunun uygulanmasıyla ilgili olarak Kurum tarafından veri sorumlusuyla kurulacak her türlü iletişim;
vasıtasıyla gerçekleştirilir.
MADDE 13 – Kayıt bilgilerinde değişiklikler
(1) (Değişik:RG-28/4/2019-30758)Veri sorumluları, Sicilde kayıtlı bilgilerde değişiklik olması halinde meydana gelen değişiklikleri, değişikliğin meydana geldiği tarihten itibaren yedi gün içerisinde VERBİS üzerinden Kuruma bildirir.
MADDE 14 – Sicil kaydının silinmesi
(1) Veri sorumlusu, sicil kaydının silinmesine ilişkin olarak VERBİS üzerinden Kuruma başvurur.
(2) Kayıt yükümlüğünü gerektiren faaliyet sona erer ya da ortadan kalkarsa, sicil kaydı silinir. Bu kayıtlar, istendiğinde erişilebilir olmakla birlikte üzerinde herhangi bir değişiklik yapılamayacak şekilde tutulur.
(3) Sicil kaydının silinmesi veri sorumlusunun Sicile kayıtlı olduğu dönemdeki yükümlülüklerini ortadan kaldırmaz.
MADDE 15 – İstisna uygulanacak haller
(1) Aşağıda belirtilen kişisel veri işleme faaliyetleri bakımından veri sorumlusunun bu faaliyetleri Sicile kayıt etmesi ve bildirmesi yükümlülüğü yoktur:
MADDE 16 – İstisna kriterleri
(1) Kurul, aşağıdaki kriterleri göz önünde bulundurarak kayıt yükümlülüğüne istisna getirebilir:
(2) Kurul, birinci fıkrada sayılan kriterler çerçevesinde belirlenen istisnaların kapsamı ile uygulama usul ve esaslarını belirlemek amacıyla karar alma yetkisini haizdir. Kurul bu kararlarını uygun yöntemlerle yayımlayarak kamuya duyurur.
MADDE 17 – İdari yaptırım
(1) Veri sorumluları siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında Kanunun 18 inci maddesinin birinci fıkrasının (ç) bendinde yer alan idari para cezası uygulanır.
(2) Veri sorumluları siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edilmesi eyleminin, kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşları bünyesinde işlenmesi hâlinde, Kurulun yapacağı bildirim üzerine, ilgili kamu kurum ve kuruluşunda görev yapan memurlar ve diğer kamu görevlileri ile kamu kurumu niteliğindeki meslek kuruluşlarında görev yapanlar hakkında disiplin hükümlerine göre işlem yapılır ve sonucu Kurula bildirilir.
MADDE 18 – Tereddütlerin giderilmesi
(1) Bu Yönetmeliğin uygulanması sırasında doğacak tereddütleri ve uygulamaya ilişkin aksaklıkları gidermeye ve uygulamayı yönlendirmeye, ilke ve standartları belirlemeye ve uygulama birliğini sağlayacak gerekli düzenlemeleri yapmaya, bu hususta gerekli her türlü bilgi ve belgeyi istemeye, bu Yönetmelikte yer almayan konularda ilgili mevzuat hükümleri çerçevesinde karar vermeye Kurul yetkilidir.
MADDE 19 – Yürürlük
(1) Bu Yönetmelik 1/1/2018 tarihinde yürürlüğe girer.
MADDE 20 – Yürütme
(1) Bu Yönetmelik hükümlerini Başkan yürütür.
Yönetmeliğin Yayımlandığı Resmî Gazete’nin | ||
---|---|---|
Tarihi | Sayısı | |
30/12/2017 | 30286 | |
Yönetmelikte Değişiklik Yapan Yönetmeliklerin Yayımlandığı Resmî Gazetelerin | ||
Tarihi | Sayısı | |
1. | 28/4/2019 | 30758 |
2. |
(1) Bu Yönetmeliğin amacı, tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesine ilişkin usul ve esasları belirlemektir.
MADDE 2 – Kapsam(1) Bu Yönetmelik hükümleri; 24/3/2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanununun 7 nci maddesi uyarınca veri sorumluları hakkında uygulanır.
MADDE 3 – Dayanak(1) Bu Yönetmelik, 6698 sayılı Kanunun 7 nci maddesinin üçüncü fıkrası ile 22 nci maddesinin birinci fıkrasının (e) bendine dayanılarak hazırlanmıştır.
MADDE 4 – Tanımlar(1) Bu Yönetmeliğin uygulanmasında;
ifade eder.
(2) Bu Yönetmelikte yer almayan tanımlar için Kanundaki tanımlar geçerlidir.
(1) Kanunun 16 ncı maddesi gereğince Veri Sorumluları Siciline kayıt olmakla yükümlü olan veri sorumluları, kişisel veri işleme envanterine uygun olarak kişisel veri saklama ve imha politikası hazırlamakla yükümlüdür.
(2) Kişisel veri saklama ve imha politikası hazırlanmış olması; kişisel verilerin Kanuna ve Yönetmeliğe uygun biçimde saklandığı, silindiği, yok edildiği veya anonim hâle getirildiği anlamına gelmez.
(3) Kişisel veri saklama ve imha politikası hazırlama yükümlülüğü altında bulunmayan veri sorumlularının, Kanun ve bu Yönetmelik uyarınca kişisel verileri saklama, silme, yok etme veya anonim hâle getirme yükümlülükleri devam eder.
MADDE 6 – Kişisel veri saklama ve imha politikasının kapsamı(1) Kişisel veri saklama ve imha politikası asgari olarak;
ilişkin bilgileri kapsar.
(1) Kanunun 5 inci ve 6 ncı maddelerinde yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması hâl inde, kişisel verilerin veri sorumlusu tarafından resen veya ilgili kişinin talebi üzerine silinmesi, yok edilmesi veya anonim hâle getirilmesi gerekir.
(2) Kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesinde Kanunun 4 üncü maddesindeki genel ilkeler ile 12 nci maddesi kapsamında alınması gereken teknik ve idari tedbirlere, ilgili mevzuat hükümlerine, Kurul kararlarına ve kişisel veri saklama ve imha politikasına uygun hareket edilmesi zorunludur.
(3) Kişisel verilerin silinmesi, yok edilmesi ve anonim hâle getirilmesiyle ilgili yapılan bütün işlemler kayıt altına alınır ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az üç yıl süreyle saklanır.
(4) (Değişik:RG-28/4/2019-30758) Veri sorumlusu, kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesi işlemiyle ilgili uyguladığı yöntemleri ilgili politika ve prosedürlerinde açıklamakla yükümlüdür.
(5) Veri sorumlusu, Kurul tarafından aksine bir karar alınmadıkça, kişisel verileri resen silme, yok etme veya anonim hâle getirme yöntemlerinden uygun olanını seçer. İlgili kişinin talebi hâl inde uygun yöntemi gerekçesini açıklayarak seçer.
MADDE 8 – Kişisel verilerin silinmesi(1)Kişisel verilerin silinmesi, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hâle getirilmesi işlemidir.
(2) Veri sorumlusu, silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması için gerekli her türlü teknik ve idari tedbirleri almakla yükümlüdür.
MADDE 9 – Kişisel verilerin yok edilmesi(1) Kişisel verilerin yok edilmesi, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hâle getirilmesi işlemidir.
(2) Veri sorumlusu, kişisel verilerin yok edilmesiyle ilgili gerekli her türlü teknik ve idari tedbirleri almakla yükümlüdür.
MADDE 10 – Kişisel verilerin anonim hâle getirilmesi(1) Kişisel verilerin anonim hâle getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesidir.
(2) Kişisel verilerin anonim hâle getirilmiş olması için; kişisel verilerin, veri sorumlusu, alıcı veya alıcı grupları tarafından geri döndürme ve verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hâle getirilmesi gerekir.
(3) Veri sorumlusu, kişisel verilerin anonim hâle getirilmesiyle ilgili gerekli her türlü teknik ve idari tedbirleri almakla yükümlüdür.
MADDE 11 – Kişisel verileri resen silme, yok etme veya anonim hâle getirme süreleri(1) Kişisel veri saklama ve imha politikası hazırlamış olan veri sorumlusu, kişisel verileri silme, yok etme veya anonim hâle getirme yükümlülüğünün ortaya çıktığı tarihi takip eden ilk periyodik imha işleminde, kişisel verileri siler, yok eder veya anonim hâle getirir.
(2) Periyodik imhanın gerçekleştirileceği zaman aralığı, veri sorumlusu tarafından kişisel veri saklama ve imha politikasında belirlenir. Bu süre her hâl de altı ayı geçemez.
(3) Kişisel veri saklama ve imha politikası hazırlama yükümlülüğü olmayan veri sorumlusu, kişisel verileri silme, yok etme veya anonim hâle getirme yükümlülüğünün ortaya çıktığı tarihi takip eden üç ay içinde, kişisel verileri siler, yok eder veya anonim hâle getirir.
(4) Kurul, telafisi güç veya imkansız zararların doğması ve açıkça hukuka aykırılık olması hâl inde, bu maddede belirlenen süreleri kısaltabilir.
MADDE 12 – Kişisel verileri ilgili kişinin talep etmesi durumunda silme ve yok etme süreleri(1) (Değişik:RG-28/4/2019-30758) İlgili kişi, Kanunun 11 inci ve 13 üncü maddelerine istinaden veri sorumlusuna başvurarak kendisine ait kişisel verilerin silinmesini veya yok edilmesini talep ettiğinde;
(1) Bu Yönetmeliğin uygulanması sırasında doğacak tereddütleri ve uygulamaya ilişkin aksaklıkları gidermeye ve uygulamayı yönlendirmeye, ilke ve standartları belirlemeye ve uygulama birliğini sağlayacak gerekli düzenlemeleri yapmaya, bu hususta gerekli her türlü bilgi ve belgeyi istemeye, bu Yönetmelikte yer almayan konularda ilgili mevzuat hükümleri çerçevesinde karar vermeye Kurul yetkilidir.
MADDE 14 – Yürürlük(1) Bu Yönetmelik 1/1/2018 tarihinde yürürlüğe girer.
MADDE 15 – Yürütme(1) Bu Yönetmelik hükümlerini Başkan yürütür.
Yönetmeliğin Yayımlandığı Resmî Gazete’nin | ||
---|---|---|
Tarihi | Sayısı | |
28/10/2017 | 30224 | |
Yönetmelikte Değişiklik Yapan Yönetmeliklerin Yayımlandığı Resmî Gazetelerin | ||
Tarihi | Sayısı | |
1. | 28/4/2019 | 30758 |
2. |
Bakanlar Kurulu Kararının Tarihi | 17/1/2018 | No | 2018/11296 |
---|---|---|---|
Dayandığı Kanunun Tarihi | 24/3/2016 | No | 6698 |
Yayımlandığı Resmî Gazetenin Tarihi | 26/4/2018 | No | 30403 |
Yayımlandığı Düsturun Tertibi | 5 | Cilt | 59 |
(1) Bu Yönetmeliğin amacı; Kişisel Verileri Koruma Kurumunun teşkilat yapısı, hizmet birimlerinin görev, yetki ve sorumlulukları ile çalışma usul ve esaslarını belirlemektir.
MADDE 2 – Dayanak(1) Bu Yönetmelik 24/3/2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanununun 25 inci maddesinin beşinci fıkrasına dayanılarak hazırlanmıştır.
MADDE 3 – Tanımlar(1) Bu Yönetmeliğin uygulanmasında;
ifade eder.
(1) Kurum, Kurul ile Başkanlık teşkilatından oluşur.
(2) Kurum hizmet birimleri daire başkanlıkları şeklinde teşkilatlanır.
(3) Kurum, Başbakanlık ile ilişkilidir. Kurumun merkezi Ankara’dadır.
(4) Kurum, ilgili mevzuatta kendisine tahsis edilen mali kaynaklarını, görev ve yetkilerinin gerektirdiği ölçüde, kendi bütçesinde belirlenen usul ve esaslar dahilinde serbestçe kullanır.
MADDE 5 – Kurumun görevleri(1) Kurumun görev ve yetkileri şunlardır:
(1) Kurul, Kurumun karar organıdır. Kurul; biri Başkan, biri İkinci Başkan olmak üzere dokuz üyeden oluşur. Kurul, üyeleri arasından Başkan ve İkinci Başkanı seçer.
MADDE 7 – Kurulun görev ve yetkileri(1) Kurulun görev ve yetkileri şunlardır:
(1) Başkanlık; Başkana bağlı Başkan Yardımcısı ve hizmet birimlerinden oluşur.
MADDE 9 – Başkan(1) Başkan, Kurul üyeleri arasından Kurul tarafından seçilir.
(2) Başkan, Kurul ve Kurumun başkanı sıfatıyla Kurumun en üst amiri olup Kurum hizmetlerini mevzuata, Kurumun amaç ve politikalarına, stratejik planına, performans ölçütlerine ve hizmet kalite standartlarına uygun olarak düzenler, yürütür ve hizmet birimleri arasında koordinasyonu sağlar.
(3) Başkan, Kurumun genel yönetim ve temsilinden sorumludur. Bu sorumluluk, Kurum çalışmalarının düzenlenmesi, yürütülmesi, denetlenmesi, değerlendirilmesi ve gerektiğinde kamuoyuna duyurulması görev ve yetkilerini kapsar.
(4) Başkanın görev ve yetkileri şunlardır:
(1) Kurul, üyelerden birini İkinci Başkan olarak seçer. Başkanın yokluğunda İkinci Başkan, onun da bulunmadığı hallerde Başkan tarafından belirlenen bir üye Başkana vekâlet eder.
MADDE 11 – Başkan Yardımcısı(1) Başkan Yardımcısı, Başkanlığa ilişkin görevlerinde Başkana yardımcı olmak, ilgili mevzuat ve Kurul kararlarıyla verilen görevlerin yerine getirilmesini sağlamak, hizmet birimleri arasında uyum ve işbirliğini temin etmek ve Başkan tarafından verilen diğer görevleri yerine getirmekle yükümlüdür.
(2) Başkan Yardımcısının; en az dört yıllık yükseköğretim kurumu mezunu ve on yıl süreyle kamu hizmetinde bulunmuş olması gerekir.
MADDE 12- Hizmet birimleri yöneticileri(1) Hizmet birimleri yöneticileri, Başkan tarafından atanır.
(2) Daire başkanlarının; en az dört yıllık yükseköğretim kurumu mezunu ve on yıl süreyle kamu hizmetinde bulunmuş olması gerekir.
(3) Hizmet birimleri yöneticileri; kanun, yönetmelik, ilgili diğer mevzuat ve Kurul kararlarıyla birime verilen görevleri yerine getirmek, personeli arasında uyum, işbirliği ve işbölümünü temin etmek ve Başkan tarafından verilen diğer görevleri yapmakla yükümlüdürler.
(1) Kurumun hizmet birimleri şunlardır:
(1) Veri Yönetimi Dairesi Başkanlığının görevleri şunlardır:
(1) İnceleme Dairesi Başkanlığının görevleri şunlardır:
(1) Hukuk İşleri Dairesi Başkanlığının görevleri şunlardır:
(1) Veri Güvenliği ve Bilgi Sistemleri Dairesi Başkanlığının görevleri şunlardır:
(1) Rehberlik, Araştırma ve Kurumsal İletişim Dairesi Başkanlığının görevleri şunlardır:
(1) İnsan Kaynakları ve Destek Hizmetleri Dairesi Başkanlığının görevleri şunlardır:
(1) Strateji Geliştirme Dairesi Başkanlığının görevleri şunlardır:
(1) Toplam kadro sayısını geçmemek üzere 13/12/1983 tarihli ve 190 sayılı Genel Kadro ve Usulü Hakkında Kanun Hükmünde Kararnamenin eki cetvellerde yer alan kadro unvanlarıyla sınırlı olmak kaydıyla unvan ve derece değişikliği yapma, yeni unvan ekleme ve boş kadroların iptali Kurul kararıyla yapılır.
(2) Personelin, hizmet birimleri itibarıyla dağılımını yapmaya Başkan yetkilidir.
MADDE 22 – Personel istihdamı(1) Kurum personeli Başkan tarafından atanır.
(2) Başkana danışmanlık hizmeti vermek ve Başkan tarafından verilen diğer görevleri yapmak amacıyla ihtiyaca göre sayıları toplam onu geçmemek üzere başkanlık müşaviri atanabilir. Başkanlık müşaviri kadrolarına Kurumdan atanacakların en az daire başkanı veya Kurul üyesi olarak görev yapmış olmaları; Kurum dışından atanacakların kamuda en az on yıllık mesleki tecrübeye veya doktora derecesinde akademik unvana sahip olmaları gerekir.
(3) Başkanın programını düzenlemek ve yürütmek, resmi ve özel yazışmalarını yapmak, Başkan ve üyelerin toplantı ve organizasyonlarda temsilini sağlamak üzere Başkan tarafından bir Özel Kalem Müdürü atanır.
(1) Kurum içi denetim, inceleme ve soruşturma işlemleri, Başkan tarafından görevlendirilecek yetkililer tarafından yerine getirilir. Bu işlem ve sonuçlardan Kurulun görev ve yetki alanına giren hususların Kurulun bilgisine sunulması zorunludur.
MADDE 24 – Düzenleme yetkisi(1) Bu Yönetmelikte yer almayan ya da açıklık bulunmayan konularda ilgili mevzuat hükümleri çerçevesinde karar vermeye, uygulamayı düzenlemeye ve yönlendirmeye Kurul yetkilidir.
MADDE 25 – Yürürlük(1) Bu Yönetmelik yayımı tarihinde yürürlüğe girer.
MADDE 26 – Yürütme(1) Bu Yönetmelik hükümlerini Başkan yürütür.
MADDE 1 – Amaç
(1) Bu Yönetmeliğin amacı; 24/3/2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanunu hükümleri kapsamında, Sağlık Bakanlığının merkez ve taşra teşkilatı birimleri ile bunlara bağlı olarak faaliyet göstermekte olan sağlık hizmeti sunucuları ile bağlı ve ilgili kuruluşları tarafından yürütülen süreç ve uygulamalarda uyulacak usul ve esasları düzenlemektir.
MADDE 2 – Kapsam
(1) Bu Yönetmelik, kişisel sağlık verisi işleyen özel hukuk gerçek ve tüzel kişileri ile kamu hukuku tüzel kişilerinin, Sağlık Bakanlığı tarafından yürütülmekte olan süreç ve uygulamalara ilişkin faaliyetlerini kapsar.
MADDE 3 – Dayanak
(1) Bu Yönetmelik, 7/5/1987 tarihli ve 3359 sayılı Sağlık Hizmetleri Temel Kanunu ile 10/7/2018 tarihli ve 1 sayılı Cumhurbaşkanlığı Teşkilatı Hakkında Cumhurbaşkanlığı Kararnamesinin 378 inci maddesinin altıncı fıkrası ve 508 inci maddesine dayanılarak hazırlanmıştır.
MADDE 4 – Tanımlar
(1) Bu Yönetmelikte geçen;
ifade eder.
(2) Bu Yönetmelikte yer almayan tanımlar için Kanundaki tanımlar ile Kurum tarafından yapılan ikincil düzenlemelerde yer verilen tanımlar geçerlidir.
MADDE 5 – Genel ilke ve esaslar
(1) Kişisel verilerin işlenmesinde Kanunun 4 üncü maddesinde yer alan genel ilkeler başta olmak üzere, Kanunda yer alan bütün esaslara riayet edilir.
(2) Herkesin sağlık durumunun takip edilebilmesi ve sağlık hizmetlerinin daha etkin ve hızlı şekilde yürütülmesi maksadıyla, Bakanlık ile bağlı ve ilgili kuruluşlarınca gerekli kayıt ve bildirim sistemi kurulur. Bu sistem, e-Devlet uygulamalarına uygun olarak elektronik ortamda da oluşturulabilir. Bu amaçla Bakanlık tarafından, bağlı ve ilgili kuruluşları da kapsayacak şekilde ülke çapında bilişim sistemleri kurulabilir.
(3) Hiç kimse, sağlık hizmeti sunumu için gerekli olan durumlar haricinde geçmiş sağlık verilerinin dökümünü sunmaya veya göstermeye zorlanamaz.
(4) Sağlık hizmeti sunucuları tarafından; banko, gişe ve masa gibi bölümlerde yetkisi olmayan kişilerin yer almasını önleyecek ve aynı anda yakın konumda hizmet alanların birbirlerine ait kişisel verileri duymalarını, görmelerini, öğrenmelerini veya ele geçirmelerini engelleyecek nitelikte gerekli fiziki, teknik ve idari tedbirler alınır.
(5) Sağlık hizmeti sunucuları, tahlil ve tetkik sonuçları gibi hastaya ait kişisel sağlık verilerini içeren basılı materyal üzerinde gerekli kısmî kimliksizleştirme veya maskeleme tedbirlerini uygular ve söz konusu materyalin yetkisiz kişilerin eline geçmesi hâlinde kime ait olduğunun tespit edilmesini zorlaştıracak diğer tedbirleri alır.
(6) Herkes, veri sorumlusuna başvurarak kendisiyle ilgili olarak Kanunun 11 inci maddesinde yer alan hakları kullanabilir.
(7) Veri sorumlusuna başvuruda, Kanunun 13 üncü maddesi ile Kurum tarafından hazırlanarak 10/3/2018 tarihli ve 30356 sayılı Resmî Gazete’de yayımlanan Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ hükümlerine riayet edilir.
(8) Aydınlatma yükümlülüğünün yerine getirilmesinde, Kanunun 10 uncu maddesi ile Kurum tarafından hazırlanarak 10/3/2018 tarihli ve 30356 sayılı Resmî Gazete’de yayımlanan Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ hükümlerine riayet edilir.
MADDE 6 – Sağlık personelinin verilere erişimi
(1) Sağlık hizmeti sunumunda görevli kişiler; ilgili kişinin sağlık verilerine ancak, verilecek olan sağlık hizmetinin gereği ile sınırlı olmak kaydıyla erişebilir.
(2) e-Nabız hesabı bulunan kişilerin sağlık verilerine, kendi gizlilik tercihleri çerçevesinde erişim sağlanır. İlgili kişiler, gizlilik tercihleri ve sonuçları konusunda ayrıntılı şekilde bilgilendirilir. Gizlilik tercihi ve geçmiş sağlık verilerinin görüntülenememesi nedeniyle sağlık hizmeti sunumunda meydana gelebilecek aksaklık ve zararlardan Bakanlık sorumlu olmaz.
(3) e-Nabız hesabı bulunmayan kişilerin sağlık verilerine ise Kanunun 6 ncı maddesinin üçüncü fıkrasında yer alan istisnai amaçlarla sınırlı olmak üzere ancak;
erişilebilir.
(4) Üçüncü fıkrada yer alan erişim kuralları, Bakanlığın sağlık hizmeti sunumu ihtiyaçlarına göre ve Kanunun 6 ncı maddesinin üçüncü fıkrası kapsamında Genel Müdürlük tarafından yeniden değerlendirilebilir. Böyle bir durumda aydınlatma yükümlülüğü kapsamında gereklilikler sağlanır.
(5) Geçmiş sağlık verilerinin herhangi bir kimse tarafından erişilmesini istemeyen kişilere ilgili gizlilik tercihi e-Nabız üzerinden sunulur. Bu gizlilik tercihini kullanan kişilerin geçmiş sağlık verilerine ancak kişinin kendisi tarafından beyan edilen telefon numarasına gönderilecek olan kodun hekim ile paylaşılması ve hekim tarafından sisteme girilmesi halinde erişilebilir.
(6) Mahremiyet düzeyi daha yüksek olan, başkaları tarafından görülmesi ve bilinmesi halinde kişilerin sosyal hayatını ve ruh sağlığını olumsuz etkileme riski taşıyan kişisel sağlık verileri Bakanlıkça belirlenir ve sağlık personelinin bu verilere erişimine ölçülü kısıtlar getirilebilir.
MADDE 7 – Bakanlık birimlerinin verilere erişimi
(1) Sağlık hizmeti sunucuları tarafından merkezi sağlık veri sistemine kimliksizleştirilerek gönderilen sağlık verilerini, ilişkisel veri tabanı aracılığı ile ait oldukları kişilerle eşleştirmeye yetkili kişileri Bakanlığın birim amirleri ayrı ayrı belirler ve Genel Müdürlükten bu kişilerin yetkilendirilmesini talep eder. Her birimin amiri, kendi biriminden en fazla üç kişinin yetkilendirilmesini talep edebilir.
(2) Birim amirinin talebi üzerine Genel Müdürlükçe yetkilendirilen kullanıcılar bu yetkiyi, yalnızca sağlık hizmetleri ile finansmanının planlanması ve yönetimi ile denetleme ve düzenleme görevleri kapsamında, kişisel veri koruma mevzuatı ilkelerine uygun olarak kullanabilirler.
(3) Sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacının sınırları, yasal ve idari düzenlemelerde ilgili birime verilen görevler üzerinden belirlenir.
MADDE 8 – Çocukların sağlık verilerine erişim
(1) Ebeveynler, çocuklarına ilişkin sağlık kayıtlarına herhangi bir onaya ihtiyaç duyulmaksızın e-Nabız üzerinden erişebilir. Ayırt etme gücüne sahip çocuklar, sağlık geçmişlerine ebeveynlerinin erişimini e-Nabız üzerinden izne tabi tutabilir.
(2) Anne ve babanın boşanması hâlinde velâyet hakkı üzerinde bırakılmayan taraf, çocuk ile velinin faydası gözetilmek suretiyle kişisel verilerin korunması mevzuatına uygun şekilde ve Genel Müdürlükçe belirlenen sınırlar çerçevesinde çocuğa ilişkin sağlık verilerine erişebilir.
MADDE 9 – Sağlık verilerine hasta yakınlarının erişimi
(1) Kişisel sağlık verilerinin hasta yakınları ile paylaşımında, Kanun ilkelerine aykırılık teşkil etmeyecek şekilde, 1/8/1998 tarihli ve 23420 sayılı Resmî Gazete’de yayımlanan Hasta Hakları Yönetmeliğinin 18 inci maddesinin üçüncü fıkrasına uygun hareket edilir.
MADDE 10 – Sağlık verilerine avukatların erişimi
(1) Avukatlar, müvekkilinin sağlık verilerini genel vekâletname ile talep edemezler. Müvekkiline ait sağlık verilerinin avukata aktarılması için düzenlenmiş olan vekâletnamede, ilgili kişinin özel nitelikli kişisel verilerinin işlenmesi ve aktarılmasına ilişkin açık rızasını gösteren özel bir hüküm bulunması gerekir.
MADDE 11 – Ölünün sağlık verilerine erişim
(1) Ölmüş bir kimsenin sağlık verilerini almaya, veraset ilamını ibraz etmek suretiyle murisin yasal mirasçıları münferit olarak yetkilidir.
(2) Ölmüş bir kimsenin sağlık verileri, en az 20 yıl süre ile saklanır.
MADDE 12 – Kişisel sağlık verilerinin gizlenmesi
(1) Hakkında gizlilik kararı verilen kişilere ait verilerin gizlenmesi için yargı makamları tarafından gönderilen müzekkerenin gereği il sağlık müdürlüğü tarafından yerine getirilir. İl sağlık müdürlüğü tarafından tesis edilen işlem doğrudan Kimlik Paylaşım Sistemine de yansır. Gizlilik kararlarının sadece görevi gereği bilmesi gereken kişiler tarafından bilinmesini sağlamak üzere gerekli her türlü teknik ve idari tedbirler alınır.
MADDE 13 – Kişisel sağlık verilerinin düzeltilmesi
(1) İlgili kişi, kendisi hakkında sehven oluşturulan sağlık verilerinin düzeltilmesi hususunda sağlık verisinin oluşturulduğu sağlık hizmeti sunucusunun bağlı bulunduğu il sağlık müdürlüğüne başvurur. İl sağlık müdürlüğü, ilgili sağlık hizmeti sunucusunda yapacağı araştırma neticesinde sağlık verisinin sehven oluşturulduğu bilgisine ulaşırsa resmi yazı ile Genel Müdürlüğe başvurur ve sehven oluşturulan sağlık verisinin düzeltilmesini ister.
(2) Genel Müdürlük tarafından tesis edilecek işlem, sağlık hizmeti sunucusunun kendi veri tabanında da gerçekleştirilir.
(3) Genel Müdürlük, sağlık hizmeti sunucuları tarafından oluşturulan sağlık verilerinin kendileri tarafından düzeltilebileceği tarihi belirler ve bu tarihi ihtiyaca göre günceller. Genel Müdürlükçe belirlenen bu tarihten sonra oluşturulan sağlık verileri ilgili sağlık hizmeti sunucusu tarafından; bu tarihten önce oluşturulan sağlık verileri ise ilgili il sağlık müdürlüğünün talebi üzerine Genel Müdürlükçe düzeltilir.
MADDE 14 – Kişisel sağlık verilerinin imha edilmesi
(1) Kişisel verilerin imha edilmesinde, Kanunun 7 nci maddesi ile Kurum tarafından hazırlanarak 28/10/2017 tarihli ve 30224 sayılı Resmî Gazete’de yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik hükümlerine riayet edilir.
MADDE 15 – Kişisel sağlık verilerinin aktarılması
(1) Kişisel sağlık verilerinin yurtiçinde aktarımında Kanunun 8 inci maddesine, yurtdışına aktarımında ise Kanunun 9 uncu maddesine riayet edilir.
(2) Kişisel sağlık verilerinin, Kanunun 8 inci maddesinin ikinci fıkrasının (b) bendi ile üçüncü fıkrası ve 28 inci maddesi kapsamında kamu kurum ve kuruluşlarına aktarılması için protokol düzenlenir. Düzenlenen protokolde, kişisel veri koruma mevzuatının genel ilkeleri ile veri güvenliğine ilişkin hükümlere ve protokol kapsamında hangi verilerin aktarılacağına yer verilir. Verilerin aktarımı, teknik altyapının uygun olması hâlinde KamuNET üzerinden gerçekleştirilir.
(3) Kişisel sağlık verilerinin aktarımı talepleri, talep edilen sağlık verilerinin ilgili olduğu Bakanlık birimi tarafından Kanun ve ilgili diğer mevzuat açısından değerlendirilir, değerlendirme sonucuna göre Genel Müdürlükçe işlem tesis edilir.
MADDE 16 – Bilimsel amaçlarla işleme
(1) Kanunun 28 inci maddesinin birinci fıkrasının (b) bendi kapsamında veri sorumlusu tarafından anonim hâle getirilen kişisel sağlık verileri ile bilimsel çalışma yapılabilir.
(2) Kanunun 28 inci maddesinin birinci fıkrasının (c) bendi kapsamında kişisel sağlık verileri, ilgili kişilerin özel hayatın gizliliğini veya kişilik haklarını ihlâl etmemek ya da suç teşkil etmemek kaydıyla alınacak teknik ve idari tedbirler çerçevesinde, bilimsel amaçlarla işlenebilir.
MADDE 17 – Açık sağlık verisi
(1) Genel Müdürlük tarafından, Bakanlığın merkez ve taşra teşkilatı ile bağlı ve ilgili kuruluşlarında kullanılan sistemlerde yer alan verilerin, veri mahremiyeti ile veri güvenliğine ilişkin düzenlemeler göz önünde bulundurularak, sağlık sisteminde şeffaflığı ve hesap verilebilirliği temin etmek, sağlık hizmeti sunumuna ilişkin politika ve stratejilere yön vermek, sağlık alanında yapılacak bilimsel araştırmalara destek olmak ve sağlığa ilişkin ürün ve hizmetlerin geliştirilmesini sağlamak amaçlarıyla, bu konuya özel olarak tahsis edilen bir internet sitesi üzerinden herkesin erişimine açılmasına ilişkin usûl ve esaslar Bakanlıkça belirlenir.
MADDE 18 – Veri güvenliğine ilişkin yükümlülükler
(1) Kanunun 12 nci maddesinde yer alan veri güvenliğine ilişkin yükümlülüklere riayet edilir. Teknik ve idari tedbirlerin alınmasında, Kurum tarafından hazırlanan Kişisel Veri Güvenliği Rehberi esas alınır.
(2) İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde veri sorumlusu tarafından Kurula yapılacak bildirimde Kanun hükümleri ile Kurulun bu hususa ilişkin düzenleyici işlemleri esas alınır.
MADDE 19 – Bilgi güvenliği
(1) Bakanlık merkez birimleri ve taşra teşkilatı ile bağlı ve ilgili kuruluşlarda yürütülen bilgi güvenliği süreçleri, Genel Müdürlük tarafından hazırlanan Bilgi Güvenliği Politikaları Yönergesi ile belirlenir.
MADDE 20 – Yeterli önlemler
(1) Özel nitelikli kişisel verilerin işlenmesinde ayrıca, Kanunun 6 ncı maddesinin dördüncü fıkrası ile 22 nci maddesinin birinci fıkrasının (ç) bendi uyarınca Kişisel Verileri Koruma Kurulu tarafından yapılan ikincil düzenlemelerde yer alan yeterli önlemlere riayet edilir.
MADDE 21 – Yaptırım
(1) Bu Yönetmelikle korunan kişisel verilere ilişkin suçlar ve kabahatler bakımından Kanunun 17 nci ve 18 inci maddelerine göre işlem yapılır.
(2) Bu Yönetmelik gereklerini yerine getirmeyen kamu görevlileri için bağlı oldukları disiplin amirliğine bildirim yapılır ve varsa yetkileri iptal edilir. Gerçek kişiler ve özel hukuk tüzel kişileri hakkında ilgili mevzuata göre işlem yapılır.
(3) Merkezi sağlık veri sistemine Bakanlıkça belirlenen usul ve esaslara uygun bir şekilde veri gönderimi yapmayan sağlık hizmeti sunucularına, 3359 sayılı Sağlık Hizmetleri Temel Kanununun Ek 11 inci maddesinin üçüncü fıkrasına göre işlem tesis edilir.
MADDE 22 – Hüküm bulunmayan hâller
(1) Kişisel sağlık verilerinin işlenmesi ile ilgili olarak bu Yönetmelikte hüküm bulunmayan hâllerde; Kanun ve ilgili ikincil düzenlemeler uygulanır.
MADDE 23 – Yürürlükten kaldırılan yönetmelik
(1) 20/10/2016 tarihli ve 29863 sayılı Resmî Gazete’de yayımlanan Kişisel Sağlık Verilerinin İşlenmesi ve Mahremiyetinin Sağlanması Hakkında Yönetmelik yürürlükten kaldırılmıştır.
MADDE 24 – Yürürlük
(1) Bu Yönetmelik yayımı tarihinde yürürlüğe girer.
MADDE 25 – Yürütme
(1) Bu Yönetmelik hükümlerini Sağlık Bakanı yürütür.
2003’den Beri Sektördeyiz nesil teknoloji ofis Nesil Teknoloji Arge Binası Nesil Teknoloji Anonim Şirketi 15 yılı aşkın süredir uluslararası standartlarda, kaliteli, yenilikçi ve çözüm odaklı hizmet veren bir teknoloji şirketidir. Farklı sektörlerde 1000’den fazla kuruma hizmet veren Nesil, Türkiye’nin önde gelen şirketleri arasında yer alan 40 farklı sektöre birçok referans proje sunmaktadır. Kamu, Kamu Kuruluşları ve Özel sektörlerine hizmet veren firmamız, TSE ve ISO sertifikalarına sahip olmakla beraber bu standartlar çerçevesinde fark yaratmayı seven ve mükemmeliyetçi iş anlayışına sahip personelleri ile Profesyonel hizmet vermektedir.
Ankara Ofis Adres
Cevizlidere Mahallesi 1256. Cadde No: 10/A Balgat, Çankaya/Ankara
İstanbul Ofis Adres
Oruçreis, Tekstilkent Cd Tekstilkent Plaza D:B Blok, 34235 Esenler/İstanbul
Antalya Ofis Adres
Fener, Tekelioğlu Cd. No:55 D:Kat 2, 07160 Muratpaşa/Antalya
Ankara
0312 911 46 40
İstanbul
0212 975 00 97
0216 232 24 33
İzmir
0232 423 45 33
Adana
0322 259 01 33
Antalya
0242 782 45 33
Muğla
0252 440 01 33
bilgi@kvkk.com.tc