Yıllık çalışan sayısı 50’den az ve yıllık mali bilançosu 25 milyon TL’ den az olup ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek ve tüzel kişi veri sorumlularının Veri Sorumluları Siciline (VERBİS) 31.12.2021 tarihine kadar kaydının ve bildirim faaliyetinin yapılması gerekmekteydi. Verbis’e kayıt yükümlülüğünü gerçekleştirmeyen ve Kişisel Verilerin Korunmasına Kanunu’na uyum sürecini henüz yerine getirmeyen sizleri bilgilendirmek ve yanınızda olduğumuzu bildirmek isteriz.
Bu kapsamda aşağıda sayılan sağlık kurum / kuruluşları;
- Eczaneler,
- Doktorlar,
- Diş Poliklinikleri,
- Tıp Merkezleri,
- Dal Merkezleri,
- Diyaliz merkezleri
- Özelleşmiş tedavi merkezleri veya diyetisyenler,
- Tanı, tetkik ve görüntüleme merkezleri,
- Optisyenlik müesseseleri,
- Tıbbi cihaz ve malzeme tedarikçileri,
- Kaplıcalar,
- Beşeri tıbbi ürün/ürün sunan ve/veya üretenler,
- Laboratuvarlar,
- Sağlık hizmet sunumu bakımından sınıflandırılmayan diğer sağlık hizmeti sunucuları,
VERBİS NEDİR, NASIL BİLDİRİM YAPILIR ?
VERBİS, yukarıda sayılan kuruluşların faaliyetleri gereğince almış oldukları kişisel verilerini ne kadar süreyle sakladığını, hangi amaçla işlendiğini, kimlere aktarıldığını, alınan teknik ve idari önlemleri kapsayan, bu bilgileri Kişisel Verileri Koruma Kanunu’na uygun biçimde kuruma bildirdikleri kurum kayıt uygulamasıdır.
Verbisin aşamaları:
Bu kapsamda aşağıda sayılan sağlık kurum / kuruluşları;
- 1.Sağlık kurum/kuruluşları gerçek/tüzel kişi bilgilerinin bildirilmesi
- 2.İrtibat kişisinin atanması
- 3.Sicil kaydının oluşturulması
Yukarıda sayılan aşamalarla VERBİS yükümlülüğü yerine gelmiş olmamaktadır. Bu aşamalardan sonra kurumunuzun çalışma düzeninin bu kanuna göre revize edilmesi ve sicil kaydının oluşturulması gerekmektedir.
VERBİS, 6698 Kişisel Verileri Koruma Kanunu kapsamındaki yükümlülüklerin sonu değil aksine bir başlangıcıdır. Sağlık kurumlarının yükümlülükleri sadece VERBİS’e kayıttan ibaret değildir. 6698 sayılı Kişisel Verileri Koruma Kanununda diğer yükümlülükleriniz yer almaktadır. Her türlü yükümlülüklerin yerine getirilmesini sağlamak için uzman kadromuzla beraber her zaman yanınızdayız.
ŞİMDİ NE YAPMALIYIM?
6698 sayılı Kişisel Verileri Koruma Kanunu’na göre kişisel verilerin korunmasına yönelik güvenliği sağlama yükümlülüğü sizlere aittir. Sizlerin bu yükümlülüğü Kişisel Verileri Koruma Kurumu tarafından belirlenen yönetmelik, karar ve rehberler vb. alt düzenlemeler ışığında bütüncül bir sistem kurarak yerine getirilmelidir. Sistem, Sağlık kurum/kuruluşlarımızın tedarik-üretim-müşteri ilişkilerinde, özellikle insan kaynakları, üretim, satış pazarlama, bilgi işlem departmanları başta olmak üzere bütün iş süreçleri üzerinde oluşturulmalı.
Sağlık kurum/kuruluşları, en başta “Kişisel Veri İşleme Envanteri” ile “KVKK Politikası”, “İmha Politikası” hazırlaması, anılan politika belgelerinde kişisel verileri koruyacak idari ve teknik önlemlere ilişkin prosedürler belirlenmeli. Kişisel veri işleme hallerine bağlı, her duruma özel aydınlatma yükümlülüğü yerine getirilmeli ve gereken hallerde uygun açık rıza beyanları alınmalı. Kişisel verilerin paylaşılmasını gerektiren sözleşmelere gizlilik ve korunmaya ilişkin hükümler eklenmeli. Her şeyden önce Sağlık kurum/kuruluşları çalışanlarında bu yönde farkındalığı arttırmak, bilinci oluşturmak, kültür haline getirmek için gerekli eğitimler verilmeli, denetimler yapılmalıdır.
Sağlık kurum/kuruluşlarının kâğıt ortamında tutulan arşiv, sistem ağı, web, e posta bilgi yönetim altyapıları güvenlik politikaları ile güçlendirilmelidir. Yetkisiz veri ulaşımını engelleyecek koruma mekanizmaları kurulmalı, veri sızıntısı gerçekleşmesi durumuna karşı, müdahale planı oluşturulmalıdır.
Sağlık kurum/kuruluşları bu sistemi özel bir çalışma (proje) yürüterek kurabilir. Proje dönemini yönetmek için, KVKK uyum çalışma grubu oluşturmalı, tüm bu işler bu grup tarafından yerine getirilmelidir. İkişer aylık dönemlerle altı ay sürecek proje:
İkişer aylık dönemlerle altı ay sürecek proje:
- 1.Dokümanların hazırlanması
- 2.Belirlenen prosedürlerin denenmesi
- 3.Eğitim
- 4.Denetleme
olmak üzere dört aşamada gerçekleştirilmelidir.
PROJE SONRASI UYGULAMA NASIL OLUYOR ?
Proje döneminde kurulan sistemin sonrasında nasıl işletileceği konusu, merak edilen sorular arasındadır. Sistemin işletilmesi;
- 1.Kurulan sistem proje dönemine ilişkin kişisel verileri esas aldığından, sonrasında kişisel verilerde meydana gelen değişiklikler üzerine, değişiklikler politika ve aydınlatma belgelerine yansıtarak versiyon yükseltilmeli.
- 2.İlgili kişilere (çalışan, müşteri, tedarikçi vd.) aydınlatma yapılmalı ve gereken durumlarda açık rızaları alınmalı.
- 3.İdari ve teknik alınan önlemler sürekli uygulanmalı ve denetimlerle geliştirilmelidir. Tüm bu işlemler “çalışma grubu/sorumlusu” ndan dönüştürülen “komite/görevli” tarafından yerine getirilmeli.
- 4.VERBİS’ e bildirilmeli.
Bu yükümlülükleri yerine getirmeyenler hakkında 2021 yılı için aşağıdaki idari para cezaları, ayrıca kişisel verileri hukuka aykırı işleyenler ise 1 yıldan 3 yıla kadar hapis cezaları öngörülmektedir.
Aydınlatma Yükümlülüğüne Aykırılık:
9.834.-TL- 196.686.-TL
Veri Güvenliğine İlişkin Aykırılık:
29.503.-TL- 1.966.862.-TL
Kurul Tarafından Verilen Kararlara Aykırılık:
49.172.-TL- 1.966.862.-TL
VERBİS’ e Kayıt ve Bildirim Aykırılık:
39.337.-TL – 1.966.862.-TL
HER ZAMAN SİZİN YANINIZDAYIZ
Özel uzmanlık gerektiren bu çalışmalarda Sağlık kurum/kuruluşlarımıza uzman kadromuzla beraber danışmanlık hizmeti vermekteyiz. Sizler için VERBİS kaydınızı oluşturmakta, ilgili dokümanlarınızı hazırlamakta, eğitim modülüyle bilinçlendirme sağlamakta, risk analizi yaparak sağlık kuruluşumuzun ihtiyacına göre idari ve teknik önlemler sunmakta ve tüm çalışanlara Kişisel Verileri Koruma Kanunu uygulamasının eğitimini vermekteyiz.