Açık Rıza Beyanı
HIWELL, hiwellapp.com veya Hiwell tarafından geliştirilen diğer uygulama ve
platformlar (“Platform”) vasıtasıyla sunduğu hizmetler kapsamında danışan sıfatıyla
kullanıcısına, verilen terapi hizmetinden en yüksek düzeyde verim almak amacıyla,
kullanıcıyı doğru psikoloğa yönlendirmek ve psikoloğun danışanını tanıyıp ona uygun
terapi yaklaşımı sergileyebilmesi için kullanıcıdan, gerekli gördüğü durumlarda,
Platform’a kayıt esnasında veya terapi sırasında sağlık verisi isteyebilmektedir.
HIWELL, ana iştigal konusu olarak Özel Nitelikli Kişisel Veri işlemekle iştigal etmemekte, yalnızca hizmetlerinin gerektirdiği takdirde özel nitelikli kişisel veri işlemektedir.
HIWELL tarafından yukarıda yer alan amaçla sınırlı olacak şekilde kullanıcılarından temin edilen sağlık verisi, 6698 sayılı Kanun uyarınca “özel nitelikli kişisel veri” kapsamında kabul edilmiştir.
HIWELL, başta 6698 sayılı Kanun ve “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler” ile Kişisel Verileri Koruma Kurulu’nun 31.01.2018 tarih ve 2018/10 sayılı Karar olmak üzere kullanıcıların özel nitelikli kişisel verilerinin işlenmesi ve alınması gereken önlemlerin belirlenmesi bakımından konuya ayrıca hassasiyet göstermektedir.
HIWELL bu kapsamda, 1. Özel nitelikli kişisel verilerin işlenmesi süreçlerinde yer alan HIWELL çalışanlarına yönelik:
(i) Kanun ve buna bağlı yönetmelikler ile özel nitelikli kişisel veri güvenliği konularında düzenli olarak eğitimler vermekte,
(ii) bu kişilerle gizlilik sözleşmeleri yapmakta,
(iii) yetki kapsamları ve sürelerini net olarak tanımlamakta ve periyodik olarak yetki kontrollerinin gerçekleştirmekte,
(iv) görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkilerini derhal kaldırılmakta, bu kişiye tahsis edilen envanteri derhal iade almaktadır.
2. HIWELL, özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, elektronik ortam ise:
(i) verilerin kriptografik yöntemler kullanılarak muhafaza edilmesini,
(ii) kriptografik anahtarların güvenli ve farklı ortamlarda tutulmasını,
(iii) veriler üzerinde gerçekleştirilen tüm hareketlerin işlem kayıtlarının güvenli olarak loglanmasını,
(iv) verilerin bulunduğu ortamlara ait güvenlik güncellemelerinin sürekli takip edilmesini, gerekli güvenlik testlerinin düzenli olarak yapılması/yaptırılması, test sonuçlarının kayıt altına alınmasını,
(v) verilere bir yazılım aracılığı ile erişiliyorsa bu yazılıma ait kullanıcı yetkilendirmelerinin yapılmasını, bu yazılımların güvenlik testlerinin düzenli olarak yapılması/yaptırılması, test sonuçlarının kayıt altına alınmasını,
(vi) verilere uzaktan erişim gerekiyorsa en az iki kademeli kimlik doğrulama sisteminin sağlanmasını temin etmektedir.
3. Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, fiziksel ortam ise HIWELL:
(i) özel nitelikli kişisel verilerin bulunduğu ortamın niteliğine göre yeterli güvenlik önlemlerinin (elektrik kaçağı, yangın, su baskını, hırsızlık vb. durumlara karşı) alındığından emin olmakta,
(ii) bu ortamların fiziksel güvenliğinin sağlayarak yetkisiz giriş çıkışların engellenmesini sağlamaktadır.
4. HIWELL tarafından, özel nitelikli kişisel veriler aktarılması halinde,
(i) verilerin e-posta yoluyla aktarılması gerekiyorsa şifreli olarak kurumsal e-posta adresiyle veya Kayıtlı Elektronik Posta (KEP) hesabı kullanılarak aktarılmakta,
(ii) taşınabilir Bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerekiyorsa kriptografik yöntemlerle şifrelenmekte ve kriptografik anahtar farklı ortamda tutulmakta,
(iii) farklı fiziksel ortamlardaki sunucular arasında aktarma gerçekleştiriliyorsa, sunucular arasında VPN kurularak veya sFTP yöntemiyle veri aktarımı gerçekleştirilmekte,
(iv) verilerin kağıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemlerin alınmaktave evrak “gizlilik dereceli belgeler” formatında gönderilmektedir.
5. Yukarıda belirtilen önlemlerin yanı sıra Kişisel Verileri Koruma Kurumunun internet sitesinde yayımlanan Kişisel Veri Güvenliği Rehberinde belirtilen uygun güvenlik düzeyini temin etmeye yönelik teknik ve idari tedbirler de HIWELL tarafından düzenli olarak kontrol edilmekte, sistemlerimiz ve uygulamalarımız buna göre güncellenmektedir.
Kullanıcılar, HIWELL tarafından sunulan hizmetin etkinleştirilmesi amacıyla 6698 sayılı Kanun uyarınca özel nitelikli kişisel veri kapsamında kabul edilen, sağlık verilerinin HIWELL tarafından işlenmesine aşağıda “kabul et” butonuna tıklanması suretiyle işbu gizlilik politikasının kabulü ile açıkça ve özgür iradeleri ile rıza gösterdiklerini kabul ederler.
HIWELL, ana iştigal konusu olarak Özel Nitelikli Kişisel Veri işlemekle iştigal etmemekte, yalnızca hizmetlerinin gerektirdiği takdirde özel nitelikli kişisel veri işlemektedir.
HIWELL tarafından yukarıda yer alan amaçla sınırlı olacak şekilde kullanıcılarından temin edilen sağlık verisi, 6698 sayılı Kanun uyarınca “özel nitelikli kişisel veri” kapsamında kabul edilmiştir.
HIWELL, başta 6698 sayılı Kanun ve “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler” ile Kişisel Verileri Koruma Kurulu’nun 31.01.2018 tarih ve 2018/10 sayılı Karar olmak üzere kullanıcıların özel nitelikli kişisel verilerinin işlenmesi ve alınması gereken önlemlerin belirlenmesi bakımından konuya ayrıca hassasiyet göstermektedir.
HIWELL bu kapsamda, 1. Özel nitelikli kişisel verilerin işlenmesi süreçlerinde yer alan HIWELL çalışanlarına yönelik:
(i) Kanun ve buna bağlı yönetmelikler ile özel nitelikli kişisel veri güvenliği konularında düzenli olarak eğitimler vermekte,
(ii) bu kişilerle gizlilik sözleşmeleri yapmakta,
(iii) yetki kapsamları ve sürelerini net olarak tanımlamakta ve periyodik olarak yetki kontrollerinin gerçekleştirmekte,
(iv) görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkilerini derhal kaldırılmakta, bu kişiye tahsis edilen envanteri derhal iade almaktadır.
2. HIWELL, özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, elektronik ortam ise:
(i) verilerin kriptografik yöntemler kullanılarak muhafaza edilmesini,
(ii) kriptografik anahtarların güvenli ve farklı ortamlarda tutulmasını,
(iii) veriler üzerinde gerçekleştirilen tüm hareketlerin işlem kayıtlarının güvenli olarak loglanmasını,
(iv) verilerin bulunduğu ortamlara ait güvenlik güncellemelerinin sürekli takip edilmesini, gerekli güvenlik testlerinin düzenli olarak yapılması/yaptırılması, test sonuçlarının kayıt altına alınmasını,
(v) verilere bir yazılım aracılığı ile erişiliyorsa bu yazılıma ait kullanıcı yetkilendirmelerinin yapılmasını, bu yazılımların güvenlik testlerinin düzenli olarak yapılması/yaptırılması, test sonuçlarının kayıt altına alınmasını,
(vi) verilere uzaktan erişim gerekiyorsa en az iki kademeli kimlik doğrulama sisteminin sağlanmasını temin etmektedir.
3. Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği ortamlar, fiziksel ortam ise HIWELL:
(i) özel nitelikli kişisel verilerin bulunduğu ortamın niteliğine göre yeterli güvenlik önlemlerinin (elektrik kaçağı, yangın, su baskını, hırsızlık vb. durumlara karşı) alındığından emin olmakta,
(ii) bu ortamların fiziksel güvenliğinin sağlayarak yetkisiz giriş çıkışların engellenmesini sağlamaktadır.
4. HIWELL tarafından, özel nitelikli kişisel veriler aktarılması halinde,
(i) verilerin e-posta yoluyla aktarılması gerekiyorsa şifreli olarak kurumsal e-posta adresiyle veya Kayıtlı Elektronik Posta (KEP) hesabı kullanılarak aktarılmakta,
(ii) taşınabilir Bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerekiyorsa kriptografik yöntemlerle şifrelenmekte ve kriptografik anahtar farklı ortamda tutulmakta,
(iii) farklı fiziksel ortamlardaki sunucular arasında aktarma gerçekleştiriliyorsa, sunucular arasında VPN kurularak veya sFTP yöntemiyle veri aktarımı gerçekleştirilmekte,
(iv) verilerin kağıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemlerin alınmaktave evrak “gizlilik dereceli belgeler” formatında gönderilmektedir.
5. Yukarıda belirtilen önlemlerin yanı sıra Kişisel Verileri Koruma Kurumunun internet sitesinde yayımlanan Kişisel Veri Güvenliği Rehberinde belirtilen uygun güvenlik düzeyini temin etmeye yönelik teknik ve idari tedbirler de HIWELL tarafından düzenli olarak kontrol edilmekte, sistemlerimiz ve uygulamalarımız buna göre güncellenmektedir.
Kullanıcılar, HIWELL tarafından sunulan hizmetin etkinleştirilmesi amacıyla 6698 sayılı Kanun uyarınca özel nitelikli kişisel veri kapsamında kabul edilen, sağlık verilerinin HIWELL tarafından işlenmesine aşağıda “kabul et” butonuna tıklanması suretiyle işbu gizlilik politikasının kabulü ile açıkça ve özgür iradeleri ile rıza gösterdiklerini kabul ederler.