Diyetisyenler, 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) kapsamında „Veri Sorumlusu” sıfatıyla hareket ederler. Danışanların boy, kilo, yağ oranı gibi fiziksel verilerinin yanı sıra kronik hastalıklar ve tahlil sonuçları gibi Özel Nitelikli Kişisel Verileri işleyen diyetisyenler için idari ve teknik tedbirler hayati önem taşır.
Bu rehber, diyetisyenlerin yasal uyum süreçlerini optimize ederek veriyi koruma maliyetini düşürmeyi ve hukuki riskleri minimize etmeyi amaçlar.
Diyetisyenler İçin Temel KVKK Yükümlülükleri
Diyetisyenlerin temel KVKK yükümlülükleri; veriyi hukuka uygun işlemek, danışanı bilgilendirmek, veri güvenliğini sağlamak ve veri saklama sürelerine uymaktır. Sağlık hizmeti sunan bir diyetisyen, danışanının vücut kitle indeksi (VKİ), beslenme alışkanlıkları ve tıbbi geçmişi gibi verileri işlerken 6698 sayılı Kanun’un 4. maddesindeki genel ilkelere (hukuka uygunluk, doğruluk, güncellik, amaçla sınırlılık) uymak zorundadır.
Veri sorumlusu olan diyetisyen, topladığı her veriyi hangi amaçla işlediğini netleştirmeli ve bu verileri korumak için gerekli tüm altyapıyı kurmalıdır.
Aydınlatma Yükümlülüğü
Aydınlatma yükümlülüğü, diyetisyenin danışanına verilerinin kim tarafından, hangi amaçla, hangi yöntemle işlendiğini ve danışanın haklarını şeffaf bir şekilde bildirmesidir. Bu bildirim, açık rıza alınmasından bağımsız olarak yerine getirilmesi gereken bir şarttır.
Bir aydınlatma metninde diyetisyenin unvanı, veri işleme amacı, verilerin kimlere (örneğin laboratuvarlar) aktarılabildiği ve 11. maddedeki „ilgili kişi hakları” açıkça yer almalıdır. Aydınlatma yapılmadan alınan hiçbir veri hukuka uygun kabul edilmez.
Açık Rıza Alınması
Açık rıza, danışanın belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıkladığı rıza beyanıdır. Diyetisyenler, „Sağlık Verisi” gibi özel nitelikli verileri işledikleri için kanunun 6. maddesi uyarınca açık rıza almakla yükümlüdür. Ancak, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi amacıyla, sır saklama yükümlülüğü altındaki diyetisyenler tarafından açık rıza olmaksızın da veri işlenebilir; yine de pazarlama amaçlı (örneğin başarı hikayesi paylaşımı, fotoğraf paylaşımı) veri kullanımı için mutlaka yazılı ve spesifik açık rıza şarttır.
Veri Güvenliği İçin Önlemler Ne Olmalı?
Veri güvenliği önlemleri, diyetisyenin işlediği verilerin yetkisiz kişilerin eline geçmesini engelleyecek idari ve teknik hamlelerin tamamıdır. KVKK 12. maddesi uyarınca veri sorumlusu, verilerin hukuka aykırı erişilmesini önlemek zorundadır.
Bu önlemler; çalışanların eğitilmesi, gizlilik sözleşmelerinin yapılması ve veri erişim yetkilerinin sınırlandırılması gibi idari adımlar ile yazılımsal korumaları kapsayan teknik adımlardan oluşur.
Diyetisyen Programıyla İşinizi Kolaylaştırın: Diyetisyen Randevu Programı
Dijital Veriler
Dijital veri güvenliği, bilgisayar, bulut sistemleri veya diyetisyen yazılımlarında tutulan verilerin şifrelenmesi ve siber saldırılara karşı korunmasıdır. Kullanılan bilgisayarlarda güncel antivirüs programları bulunmalı, veriler „AES-256” gibi güçlü şifreleme yöntemleriyle korunmalı ve güçlü parola politikaları (en az 8 karakter, sembol içerikli) uygulanmalıdır. Taşınabilir bellek (USB) kullanımı kısıtlanmalı, veriler düzenli olarak güvenli sunucularda yedeklenmelidir.
Fiziksel Veriler
Fiziksel veri güvenliği, kağıt formlar, analiz çıktıları ve danışan dosyalarının fiziksel olarak korunması sürecidir. Bu belgeler mutlaka kilitli dolaplarda saklanmalı, dolap anahtarı sadece yetkili personelde bulunmalıdır. Ofis dışına çıkarılması gereken belgeler için zimmet tutanağı tutulmalı ve imha süreçlerine kadar bu belgelerin yetkisiz üçüncü kişilerin (temizlik personeli, diğer danışanlar vb.) görüş alanına girmesi engellenmelidir.
İletişim
İletişim süreçlerinde veri güvenliği, WhatsApp, E-posta veya SMS yoluyla yapılan paylaşımların uçtan uca şifreli ve güvenli kanallardan yürütülmesini kapsar. Sağlık verilerinin (tahlil sonuçları gibi) güvensiz e-posta ağları üzerinden gönderilmesi risk teşkil eder; bu nedenle kurumsal ve şifreli e-posta sistemleri tercih edilmelidir. WhatsApp gibi platformlar üzerinden veri paylaşımı yapılacaksa, danışandan bu platformun kullanımı için ayrı bir risk onayı alınması önerilir.
Veri İmha Politikası
Veri imha politikası, saklama süresi dolan veya işleme amacı ortadan kalkan verilerin sistemden geri dönülemez şekilde silinmesi, yok edilmesi veya anonim hale getirilmesidir. Diyetisyenler, kişisel verileri saklama süreleri bittiğinde (genellikle hukuki zamanaşımı süreleri sonunda) ilk periyodik imha döneminde bu verileri temizlemelidir.
Kağıt veriler kağıt imha makinelerinde kıyılmalı, dijital veriler ise üzerine yazma (overwriting) veya manyetik bozma gibi tekniklerle yok edilmelidir.
VERBİS Kaydı
VERBİS (Veri Sorumluları Sicil Bilgi Sistemi) kaydı, belirli kriterleri karşılayan veri sorumlularının kamuya açık bir sicile kaydolma yükümlülüğüdür. Yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 100 milyon TL’nin (güncel rakamları kontrol ediniz) altında olan, ancak ana faaliyet konusu „Özel Nitelikli Kişisel Veri İşlemek” olan diyetisyenler, Kurul’un belirlediği istisnalar kapsamında değilse kayıt olmak zorundadır.
Ancak mevcut istisna kararları, muayenehane bazlı çalışan hekimler ve diyetisyenler için belirli şartlarda muafiyet tanıyabilmektedir; bu durumun güncel Kurul kararlarıyla teyit edilmesi gerekir.
Hemen Keşfedin: Diyetisyenler İçin Gelir Gider Takibi
Gizlilik ve İhlal Yönetimi
Gizlilik ve ihlal yönetimi, verilerin sızması durumunda 72 saat içinde Kişisel Verileri Koruma Kurulu’na ve ilgili kişilere bildirim yapılmasını içeren acil durum planıdır. Diyetisyen, bir siber saldırı veya dosya hırsızlığı yaşandığında durumu vakit kaybetmeden raporlamalıdır. İhlal yönetimi kapsamında, ihlalin boyutu, hangi verilerin sızdığı ve alınan önlemler şeffaf bir şekilde dökümante edilmelidir.
İşlenen Temel Veriler Nelerdir?
Diyetisyenler, sundukları beslenme danışmanlığı hizmetinin doğası gereği oldukça geniş bir veri setini işlerler. Bu veriler „Genel Veriler” ve „Özel Nitelikli Veriler” olarak ikiye ayrılır.
1. Kimlik ve İletişim Verileri
Danışanın adı-soyadı, T.C. kimlik numarası, doğum tarihi gibi temel kimlik bilgileri ile telefon numarası, e-posta adresi ve ikametgah adresi bu kategoriye girer. Bu veriler fatura kesilmesi, randevu hatırlatılması ve iletişim kurulması için %100 gereklidir.
2. Sağlık ve Genetik Verileri (Özel Nitelikli)
Diyetisyenlik pratiğinin merkezinde yer alan verilerdir.
- Antropometrik Veriler: Boy, kilo, vücut yağ/kas oranı, bel çevresi ölçümleri.
- Tıbbi Geçmiş: Kronik hastalıklar (diyabet, hipertansiyon vb.), kullanılan ilaçlar, alerjiler ve gıda intoleransları.
- Laboratuvar Bulguları: Kan tahlilleri, hormon panelleri, idrar analizleri.
- Yaşam Tarzı Bilgileri: Alkol ve sigara kullanımı, uyku düzeni, fiziksel aktivite düzeyi.
3. Görsel Veriler
„Öncesi/Sonrası” fotoğrafları diyetisyenlikte yaygın olarak kullanılır. Bu fotoğraflar kişinin fiziksel özelliklerini doğrudan yansıttığı için biyometrik veri riski taşır ve bu verilerin sosyal medyada paylaşımı ancak çok kapsamlı ve özel bir açık rıza ile mümkündür.
4. Finansal Veriler
Ödeme yöntemi, banka hesap bilgileri veya kredi kartı slip bilgileri gibi mali kayıtlar, muhasebe süreçleri ve vergi kanunlarına uyum için işlenir.
