Öncü yaklaşımlar, yenilikli çözümler 0850 888 6297 uludagbilisim@uludagbilisim.com

T.C. Sağlık Bakanlığı Sağlık Bilgi Sistemleri Genel Müdürlüğü Kişisel Sağlık Verileri Taraflar

"(...) Veri sorumlusunun tespiti için aşağıdaki hususlara kimin karar verdiği belirleyici olmakta, bu kapsamda söz konusu kriterlerin çoğunu gerçekleştirenler, veri sorumlusu olarak değerlendirilmektedir.

- Kişisel verilerin toplanması ve toplama yöntemi,
- Toplanacak kişisel veri türleri,
- Hangi bireylerin kişisel verilerinin toplanacağı,
- Kişisel verinin işlenmesine ve kimin işleyeceğine karar verme,
- İşleme faaliyetinin temel unsurlarına karar verme (hangi kişisel verilerin toplanacağı, toplanan verilerin hangi amaçlarla kullanılacağı ve ne şekilde işleneceği, verilerin ne kadar süreyle saklanacağı, veri saklama politikasının ne şekilde olacağı, verilere kimlerin erişme yetkisi olacağı, alıcıların kim olacağı gibi hususlar işlemenin temel unsurlarına örnek olarak gösterilebilir)
- Toplanan verilerin paylaşılıp paylaşılmayacağı, paylaşılacaksa kiminle paylaşılacağı,
- Kişisel verilerin işlenmesinde üst düzeyde, herhangi bir emir ve talimat almadan karar verebilme,
- İlgili kişilerle doğrudan muhatap olma,
- Kendi adına veri işleme faaliyetini yürütecek bir veri işleyen atama,
- İşleme faaliyetinden menfaat sağlama (...)

Özellikle bazı teknik konularda veri sorumlusunun menfaatlerine bağlı kalmak ve talimatlarına uymak koşuluyla, veri işleyen de bazı konularda karar verme yetkisini haiz olabilir. Diğer taraftan, veri işleyenin tespiti için genel itibariyle;

- Kişisel veri işlemek için başkasından talimat alınması,
- Kişisel verilerin kişilerden toplanması sürecinde karar verme yetkisine sahip olmamak,
- Kişisel verilerin kullanım amaçlarının belirlenmemesi,
- Verilerin ne şekilde ifşa olabileceğine, kimlerin bu verilere erişebileceğine karar verme yetkisine sahip olmamak,
- Veri saklama sürecine karar verme yetkisine sahip olmamak,
- Veri işlemenin sonuçlarından sorumlu olmaması,
- Veri sorumlusu ile yapılacak sözleşme gibi yasal bağlayıcılığı olan anlaşmalar çerçevesinde veri sorumlusunun verdiği yetkiler çerçevesinde kişisel verilerin işlenmesine yönelik birtakım karar verme mekanizmalarının söz konusu olup olmadığı

hususları değerlendirilmek suretiyle yukarıda sayılanların çoğunun bulunması halinde veri işleme faaliyetini gerçekleştiren veri işleyen olarak kabul edilecektir (...)"

denilmektedir.

Güncelleme Tarihi: 28 Temmuz 2021