Page 45 - MEDIHUB- 01
P. 45
www.medihubmagazine.com 45 / 2025
Ê Siyasi, felsefi, dini veya sendikal amaç- Kişisel verilerin işlenmesini uçtan uca dü- Ê Kişisel veri güvenliğine yönelik teknik
larla kurulan vakıf, dernek ve diğer kâr zenleyen bu Kanun’a göre veri sorumlusu tedbirleri almalıdır.
amacı gütmeyen kuruluş ya da oluşum- sıfatıyla sağlık turizmi acentesi Kanun’a Ê Kişisel verilerin yurt dışı aktarımı söz
ların, tâbi oldukları mevzuata ve amaç- uyum sürecinde temel olarak şu süreçleri konusu ise bununla ilgili Bağlayıcı Şir-
larına uygun olmak, faaliyet alanlarıyla tamamlamalıdır: ket Kuralları veya Standart Sözleşme
sınırlı olmak ve üçüncü kişilere açık- KVKK 2016 Ê Şirketin veri koruma politika ve prose- yükümlülükleri yerine getirilmeli, ikisi
lanmamak kaydıyla; mevcut veya eski yılında dürlerini hazırlayıp yürürlüğe koymalı, de sağlanamıyorsa açık rıza süreçleri
üyelerine ve mensuplarına veyahut bu yürürlüğe girmiş Ê Kişisel veri işleme süreçlerini tüm yö- yerine getirilmelidir.
kuruluş ve oluşumlarla düzenli olarak ve 2024 yılında nüyle gösteren bir kişisel veri işleme
temasta olan kişilere yönelik olması, da Kanun’da envanteri çıkarmalı, Yukarıda ve yanda bahsettiğimiz gibi KVKK
halinde mümkündür. değişiklikler Ê VERBİS kayıt ve bildirimini tamamlamalı, 2016 yılında yürürlüğe girmiş ve 2024 yılın-
Ê Özel nitelikli kişisel verilerin işlenmesin- yapılmıştır. Ê Aydınlatma metni ve gerekli durumlar- da da Kanun’da değişiklikler yapılmıştır. Yine
de, ayrıca Kurul tarafından belirlenen da açık rıza metinleri hazırlamalı ve ilgili aynı Kanun kapsamında Kanun’un uygu-
yeterli önlemlerin alınması şarttır. süreçlerde bunların imza süreçlerini lanmasından sorumlu organ Kişisel Verileri
tamamlamalı, Koruma Kurulu’dur. Kanun’da yapılan deği-
Bu tanımlamalar ve ana kurallardan sonra Ê Şirket çalışanları ile kişisel verilerin gizli- şiklikler ve Kurul’un vermiş olduğu kararlar,
Kanun, veri sorumlusunun -yani sağlık tu- liğine yönelik sözleşmeler hazırlanmalı, kişisel veri koruma pratiğimizi GDPR’a her
rizmi acentesinin- yükümlülüklerini düzen- Ê Şirket dışında veri aktardığı üçüncü geçen gün daha çok yaklaştırmıştır. Bu se-
lemiş ve yükümlülüğe aykırı davranışların kişilerle (veri işleyenlerle) kişisel veri- beple aslında KVKK yükümlülüklerine uyum
yaptırımlarını da göstermiştir. Bu yükümlü- lerin gizliliğine yönelik taahhütnameler süreci, GDPR yükümlülüklerinin neredeyse
lüklere genel itibariyle göz atmak gerekirse: hazırlamalı, büyük bir oranını karşılar niteliğe kavuş-
muştur. Gelinen noktada GDPR bakımından
ele alınacak genel farklılıklar esasen Veri
YÜKÜMLÜLÜK YÜKÜMLÜLÜK İÇERİĞİ YAPTIRIM Koruma Etki Değerlendirmesi (DPIA) ile Veri
Aydınlatma Yüküm- Kişisel verilerin elde edilmesi sırasında veri sorumlusu 68.083-1.362.021 TL Koruma Görevlisi (DPO) ataması süreçleri
lülüğü veya yetkilendirdiği kişi, ilgili kişilere; olarak gösterilebilir. Yükümlülüklere uyum-
Veri sorumlusunun ve varsa temsilcisinin kimliği, (m.18) lu davranmayan sağlık turizmi acentelerinin
Kişisel verilerin hangi amaçla işleneceği, GDPR kapsamında karşılaşacağı para ceza-
İşlenen kişisel verilerin kimlere ve hangi amaçla ları birinci kategori ve ikinci kategori olarak
aktarılabileceği, ayrılabilir. Birinci kategori cezalarda ihlalin
Kişisel veri toplamanın yöntemi ve hukuki sebebi, niteliğine göre sağlık turizmi acentesinin
11 inci maddede sayılan diğer hakları, konusunda bilgi yıllık global cirosunun %2'sine veya 10 mil-
vermekle yükümlüdür. yon Euro'ya kadar (hangisi daha yüksekse)
(m.10) para cezası verilebilir. İkinci kategori ceza-
Veri Güvenliğine İliş- Veri sorumlusu; 204.285-13.620.402 TL lar ise daha ciddi ihlaller için öngörülmüş
kin Yükümlülükler a) Kişisel verilerin hukuka aykırı olarak işlenmesini olup sağlık turizmi acentesinin yıllık global
önlemek, (m.18) cirosunun %4'üne veya 20 milyon Euro'ya
b) Kişisel verilere hukuka aykırı olarak erişilmesini kadar (hangisi daha yüksekse) para cezası
önlemek, uygulanabilir. Bu iki temel kanun dışında
c) Kişisel verilerin muhafazasını sağlamak, kişisel verilerin hukuka aykırı işlenmesinin
amacıyla uygun güvenlik düzeyini temin etmeye yö- ceza kanunlarına göre suç teşkil edeceği ve
nelik gerekli her türlü teknik ve idari tedbirleri almak ayrıca hukuk mahkemeleri karşısında mad-
zorundadır. di manevi tazminat taleplerine de sebebiyet
(m.12) vereceği gözden kaçırılmamalıdır.
Bu sebeple sağlık turizmi acenteleri yüksek
Kurul Kararlarının Şikâyet üzerine veya resen yapılan inceleme sonucun- 340.476-13.620.402 TL para cezalarından, suç teşkil eden fiiller-
Yerine Getirilmesi da, ihlalin varlığının anlaşılması hâlinde Kurul, tespit den ve maddi manevi tazminat talebine
Yükümlülüğü ettiği hukuka aykırılıkların veri sorumlusu tarafından (m.18) sebebiyet verebilecek fiillerden kaçınmak;
giderilmesine karar vererek ilgililere tebliğ eder. Bu hasta güvenliğini sağlamak ve ticari itibarını
karar, tebliğden itibaren gecikmeksizin ve en geç otuz korumak amacıyla KVKK ve GDPR yükümlü-
gün içinde yerine getirilir. lüklerini analiz edip gerekli uyum süreçlerini
(m.15) derhal başlatmalıdır.
VERBİS’e Kayıt ve Bil- Ana faaliyet konusu özel nitelikli kişisel veri işleme 272.380- 13.620.402 TL
dirim Yükümlülüğü olanlar ile yıllık çalışan sayısı 50’den çok veya yıllık
mali bilanço toplamı 100 milyon Türk lirasından çok (m.18)
olan gerçek veya tüzel kişi veri sorumluları kamuya
açık Veri Sorumluları Sicil Bilgi sistemine kayıt olmakla
yükümlüdür. (m.16)
Standart Sözleşme Yurt dışı kişisel veri aktarımı için standart sözleşme, 71.965-1.439.300 TL
Bildirim Yükümlü- imzalanmasından itibaren beş iş günü içinde veri so-
lüğü rumlusu veya veri işleyen tarafından Kuruma bildirilir. (m.18)
(m.9/5)
