Sosyal Güvenlik Kurumu Nezdindeki Verilerin Korunmasına ve İşlenmesine İlişkin Yönetmelik Resmi Gazete’ de Yayımlanmıştır.
Sosyal Güvenlik Kurumu Nezdindeki Verilerin Korunmasına ve İşlenmesine İlişkin Yönetmelik (“Yönetmelik”) 19 Şubat 2022 tarihli Resmi Gazete’de yayımlanarak yürürlüğe girmiştir.
Yönetmelik kapsamında Sosyal Güvenlik Kurumu’nun (“Kurum”) tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde ettiği verilerin işlenmesinde uyması gereken usul ve esaslar belirlenmiş olup, sağlık hizmeti sunan ve/veya üreten gerçek kişiler, kamu kurumları ve kuruluşları, özel hukuk tüzel kişileri ve bunların tüzel kişiliği olmayan şubeleri (“Sağlık Hizmeti Sunucuları”) bakımından öne çıkan hususlar genel itibariyle aşağıdaki gibidir:
- Kurum’la sözleşmeli Sağlık Hizmeti Sunucuları, Kurum adına işledikleri kişisel sağlık verilerini Kurum veri kayıt sistemine aktarmakla yükümlüdür.
- Sağlık Hizmeti Sunucuları, sözleşme kapsamında Kurum adına işledikleri kişisel sağlık verilerini, Kurum veri kayıt sistemi dışında hiçbir yere kopyalayamaz veya aktaramaz.
- Kişisel verileri, kişisel sağlık verilerini ve ticari sır niteliğindeki verileri Kurum adına işleyen veya görevi gereği bu verilere erişen herkes sır saklama yükümlülüğü altında olup, veri gizliliğinin sağlanması amacıyla Kurum ve Kişisel Verileri Koruma Kurulu tarafından belirlenen önlemlere uymakla yükümlüdür.
- Kişisel verilerin, kişisel sağlık verilerinin ve ticari sır niteliğindeki verilerin işlenmesinde ayrıca Kişisel Verileri Koruma Kurulu tarafından yapılan düzenlemelere uyulması zorunlu olup, veri aktarımında 5502 sayılı Sosyal Güvenlik Kurumuna İlişkin Bazı Düzenlemeler Hakkında Kanun’un 35’inci maddesi hükmü saklıdır.
- Kişisel verilerin, kişisel sağlık verilerinin ve ticari sır niteliğindeki verilerin bulunduğu Kurum veri kayıt sistemine erişim izni verilebilmesi için yetkilendirme dahilinde kullanıcı tanımlanması gerekir. Kullanıcı tanımlamaya ve yetkilendirmeye ilişkin her türlü işlem kayıt altına alınır ve bu kayıtlar muhafaza edilir. Yetkilendirme, kayıt altına alma ve verilerin muhafazasına ilişkin hususlar veri sorumlusu tarafından belirlenir.
- Kullanıcı tanımlaması ve yetkilendirmesi yapılan Kurum personelinin kişisel verilere, kişisel sağlık verilerine ve ticari sır niteliğindeki verilere erişimleri; üçüncü kişilere verilmemek, açıklanmamak ve veri güvenliğine ilişkin Kurum ve Kişisel Verileri Koruma Kurulu tarafından belirlenen yükümlülüklere uyulmak kaydıyla veri aktarımı olarak değerlendirilmez.
- Veri işleyenler tarafından hizmetin gereği olarak Kurum veri kayıt sistemlerinden yapılan sorgular, veri aktarımı olarak değerlendirilmez.
- Kurum personeli, verilere erişen veya veri aktarımı yapılan gerçek ve tüzel kişiler ve Sağlık Hizmeti Sunucuları’na ait bilgi işlem sistemlerinin yazılımını ve donanımını sağlayan gerçek ve tüzel kişiler tarafından (i) veri talebine uygun olarak yapılan çalışmaların kişisel verilerin açıklanmasına imkan vermeyecek şekilde yürütülmesi sağlanır ve verilerin istenilen amaç dışında kullanılmaması ve paylaşılmaması için süre ile sınırlandırılmaksızın her türlü önlem alınır, (ii) Kurum tarafından görüntülenmesi sağlanan ve aktarımı yapılan veriler, kişisel verilerin gizliliği ilkesine bağlı kalmak şartıyla ilgili mevzuata, uluslararası anlaşmalara ve kamu hizmetinin gerektirdiği yükümlülüklere göre kullanılır ve (iii) aktarılan verilerin yetkisi olmayan kişilerin, kurumların ve kuruluşların eline geçmemesi için gerekli tüm tedbirler alınır.
- Kurum personeli dâhil olmak üzere veri aktarımı yapılan gerçek ve tüzel kişiler ile Sağlık Hizmeti Sunucuları’na ait bilgi işlem sistemlerinin yazılımını ve donanımını sağlayan gerçek ve tüzel kişiler (i) elde ettikleri verilerin gizliliğini korumak ve güvenliğini sağlamak, (ii) verilerin yetkisiz kişiler tarafından görülmesini, öğrenilmesini, ele geçirilmesini ve amacı dışında kullanılmasını önlemek amacıyla gerekli tedbirleri almak ve (iii) verilerin aktarımı ve korunması hususunda mevzuatta yer alan hükümlere uymak zorundadır.
#Yönetmeliğin tamamını görüntülemek için tıklayınız.#