Kişisel Verilerin Toplama, İşleme, Aktarma, Saklama, Güvenliği ve İmha Prosedürü

1. AMAÇ

6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) 7 Nisan 2016 tarihli ve 29677 sayılı Resmi Gazetede yayımlanmıştır. KVKK, kişisel verileri işlenen gerçek kişilerin Anayasa tarafından da korunan özel hayatın gizliliği de dahil olmak üzere gerçek kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülüklerini belirlemek için düzenlenmektedir.
Yedikule Surp Pırgiç Ermeni Hastanesi Vakfı İktisadi İşletmesi için Hastalarımız/hasta yakınlarımız, potansiyel hastalarımız, İktisadi İşletme Yönetim Kurulumuz, Yöneticilerimiz, çalışanlarımız, çalışan adaylarımız, stajyerlerimiz, ziyaretçilerimiz, tedarikçilerimiz, bağlı olduğumuz vakıf, işbirliği içinde olduğumuz kurumların çalışanları, hissedarları ve yetkilileri ve 3. kişiler kişisel verilerinin gizliliği ve güvenliği büyük önem taşımaktadır. Yedikule Surp Pırgiç Ermeni Hastanesi Vakfı İktisadi İşletmesi, KVKK yürürlüğünün çok öncesinde başlanan ve sürdürülmekte olan çalışmalarla, KVKK ’ya uyum için gerekliliklerin lâyıkıyla yerine getirilmesini ve uluslararası standartlarda bir veri koruma ve işleme iç hizmet esaslarının oluşturulmasını hedeflemektedir. İşbu esasların temel amacı, yukarıda sayılan kişiler başta olmak üzere, kişisel verileri Yedikule Surp Pırgiç Ermeni Hastanesi Vakfı İktisadi İşletmesi tarafından işlenen kişileri bilgilendirerek şeffaflığı sağlamaktır.

2. KAPSAM

Hastalarımız, hasta yakınlarımız, çalışanlarımız, tedarikçilerimiz, paydaşlar ve üçüncü kişiler de dahil olmak üzere Hastane tarafından işlenen tüm kişisel veriler bu Prosedürün kapsamındadır.
İşbu Prosedür, Yedikule Surp Pırgiç Ermeni Hastanesi Vakfı İktisadi İşletmesi ‘nin sahibi olduğu ya da hastane tarafından yönetilen, tüm kişisel verilerin işlenmesine yönelik faaliyetlerde uygulanmakta olup KVKK ve kişisel verilere ilişkin ilgili diğer mevzuat ve bu alandaki uluslararası standartlar gözetilerek ele alınmış ve hazırlanmıştır.

3. KISALTMALAR

  • KVKK: Kişisel Verilerin Korunması Kanunu
  • BGYS: Bilgi Güvenliği Yönetim Sistemi
  • SPEH: Yedikule Surp Pırgiç Ermeni Hastanesi Vakfı İktisadi İşletmesi

4. TANIMLAR

Açık Rıza: Belirli bir konuya ilişkin, bilgilendirilmeye ve özgür iradeye dayanan, tereddüde yer bırakmayacak açıklıkta, sadece o işlemle sınırlı olarak verilen onay.

Anonim Hale Getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.

Kişisel Veri Sahibi (İlgili Kişi): Kişisel verisi işlenen gerçek kişi Örneğin; Hastalar, hasta yakınları, tedarikçiler, ziyaretçiler, çalışanlar ve çalışan adaylarıdır.

Kişisel Veri: Gerçek bir kişinin kimliğini belirleyen veya kimliğini belirlenebilir kılan her türlü bilgidir. Örneğin; ad-soyad, TCKN, e-posta, adres, doğum tarihi ve yeri, sosyal güvenlik numarası, görüntüleri, kredi kartı numarası, banka hesap numarası vb.

Özel Nitelikli Kişisel Veri: Öğrenildiği takdirde Kişisel Veri Sahibi’nin mağdur olmasına veya ayrımcılığa maruz kalmasına neden olabilecek nitelikte bilgilerdir. (Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik veriler özel nitelikli verilerdir.) Dolayısıyla tüzel kişilere ilişkin bilgilerin işlenmesi Kanun kapsamında değildir.

Kişisel Verilerin İşlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, saklanması, güncelleştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.

Veri Sorumlusu: SPEH veri tabanında kayıtlı olan kişisel verilerin, işleme amaçlarını ve vasıtalarını belirleyerek, veri kayıt sistemi kuran ve yönetilmesinden sorumlu olan Veri Sorumluları Sicili açıldığında veri sorumlusu kaydını gerçekleştiren, kayıtlı veri sorumlusu sıfatını haiz olan kişi veya kişilerdir.

Veri İşleyen: SPEH ‘in verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiler

5. İLGİLİ DOKÜMANLAR

İçerisinde kişisel veri içeren tüm doküman ve kayıtlar.

6. KONU

İş bu esaslarla SPEH bünyesinde bulunan Kişisel Verilerin toplanması, işlenmesi, aktarılması, saklanması, veri güvenliği, silinmesi, yok edilmesi ve anonimleştirilmesi, imhası tanımlanmaktadır.

6.1. KİŞİSEL VERİLERİN TOPLANMASI

İşlenen kişisel veriler, SPEH ‘ in hizmetlerinin türü ve niteliğine göre değişebilmektedir. Kişisel veriler otomatik ya da otomatik olmayan yöntemlerle, ofisler, danışma, internet sitesi, sosyal medya mecraları, iş ilişkisi içerisinde olduğu kurumlar, paydaşlar ve benzeri vasıtalarla sözlü, yazılı ya da elektronik olarak toplanabilmektedir.

SPEH’ e ait hizmetlerden yararlanıldığı müddetçe kişisel veriler işlenebilecek ve verilerin doğruluğu ve güncelliğini sağlamak amacıyla gerektiğinde güncellenebilecektir. Ayrıca, hizmetlerden yararlanmak amacıyla, SPEH’in Hastane binası, Hastane Kampüsü, fiziken veya internet sayfaları ve/veya sair sosyal ve dijital mecraları ziyaret edildiğinde veya SPEH ‘in düzenlediği etkinlik, seminer, organizasyon, eğitim gibi faaliyetlere katılım sağlandığında da kişisel veriler toplanıp, işlenebilecektir.

6.2. KİŞİSEL VERİLERİN İŞLENMESİ

SPEH, ticari ve iş stratejilerinin belirlenmesi, uygulanması ve insan kaynakları proseslerinin yürütülmesi amaçlarıyla ve kişisel verilerin elde edilmesi esnasında bildirilecek diğer sair amaçlarla, KVKK Madde 5 ve Madde 6’da belirtilen işleme şartlarına uygun şekilde gerçekleştirilecektir:

İşleme amaçları;

Aşağıda belirtilenlerle sınırlı olmamak üzere,

  • Hastane faaliyetlerini yürütmek,
  • Sözleşme kapsamında ve hizmet standartları çerçevesinde destek hizmeti sağlamak,
  • Hasta ve hasta yakınlarının tercih ve ihtiyaçlarını tespit etmek ve Hastanenin verdiği hizmetleri bu kapsamda şekillendirmek, güncellemek,
  • Yasal düzenlemelerin gerektirdiği veya zorunlu kıldığı şekilde, hukuki yükümlülüklerin yerine getirilmesini sağlamak,
  • Anket, promosyon ve sponsorluklar,
  • İş başvurularını değerlendirmek,
  • Hastane ile iş ilişkisinde bulanan kişiler ile irtibat sağlamak,
  • Yasal raporlama yapmak,
  • Faturalandırma,
  • SPEH özelinde bulunan ilgili tüm kurum ve kuruluşlar ile iletişimi sağlamak,
  • Kurumsal iletişimi sağlamak,
  • Kişiye özel uygun iş ilanı ve istihdam ile ilgili bilgileri sunmak,
  • Elektronik posta ile bülten göndermek ya da bildirimlerde bulunmaktır.

6.2.1. Hukuka ve dürüstlük kurallarına uygun işleme

SPEH, KVKK’nın 4. maddesi uyarınca kişisel verileri hukuka ve dürüstlük kuralına uygun olarak işler, veri sahiplerine karşı “şeffaflık” ilkesini benimser ve kişisel veri sahiplerine kendi bilgilerinin kullanımı hakkında bilgilendirmede bulunur. Bilgilendirmede, açıklık ve dürüstlük esas alınır, toplanan kişisel verilerin işlenme ve kullanım amacı hakkında net bilgi verilir ve veriler bu çerçevede işlenir.

6.2.2. Kişisel verilerin doğru ve gerektiğinde güncel olmasını sağlama

SPEH, işlediği kişisel verilerin doğru ve güncel olmasını sağlar. Bu sebeple kişisel verilerin doğru ve güncel tutulması açısından meydana gelen güncelleştirmeler ilgili birimlerce gerçekleştirilir.

6.2.3. Belirli, açık ve meşru amaçlarla işleme

SPEH, kişisel verileri meşru ve hukuka uygun sebeplerle toplar ve işler. SPEH, kişisel verileri, yürütmekte oldukları faaliyet/süreçlerle bağlantılı olarak, makul çerçevede ve gerekli olduğu ölçüde işler.

6.2.4. Kişisel verilerin işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması

SPEH, işleme amacı ile ilgili olmayan veya ihtiyaç duyulmayan kişisel verileri işlemekten kaçınır. Bu çerçevede, veri işleme faaliyetinin en aza indirilmesi esastır.

6.2.5. Kanuni düzenlemeler tarafından öngörülen ve ticari meşru menfaatlerimiz süresince kişisel verilerin saklanması

SPEH, işlediği kişisel verileri, yalnızca ilgili mevzuat ve kanunlarda öngörülen veya mevzuatta bir süre öngörülmemiş ise kişisel veri işleme amacının gerektirdiği süre kadar muhafaza eder.
Ancak veri sorumlusunun meşru menfaatinin olduğu durumlarda, işlenme amacının ve ilgili kanunlarda belirtilen sürelerin de sona ermesine rağmen veri sahiplerinin temel hak ve özgürlüklerine zarar vermemek kaydıyla kişisel veriler, Borçlar Kanunu’nda düzenlenen genel zaman aşımı süresinin (on yıl) sona ermesine kadar saklanabilecektir.

Bahsi geçen zaman aşımı süresinin sona ermesinin ardından kişisel veriler, yukarıda belirtilen Kayıtların Kontrolü prosedürüne göre silinecek, yok edilecek yahut anonim hale getirilecektir.

6.2.6. Özel nitelikli kişisel verilerin işlenmesi

Özel nitelikli kişisel veriler kanunlarda öngörülen ve SPEH ‘in öngördüğü idari ve teknik tedbirler alınarak ve açık rıza var ise veya mevzuatın zorunlu kıldığı hallerde işlenir.
Sağlık ve cinsel hayata ilişkin özel nitelikli kişisel veriler, kamu sağlığının korunması, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenebilmekte olduğundan, SPEH tarafından hasta ve çalışanların verisi dışında işlenmez. Hastalara ve çalışanlara ait bu tür veriler ise kanunlarda öngörülen kişilerce işlenebilir.

6.3. KİŞİSEL VERİLERİN AKTARILMASI

6.3.1. Kişisel verilerin yurt içine aktarımı

Kişisel veriler, işbu düzenlemede belirtilen amaçların yerine getirilmesine yönelik olarak, kanunen yetkili kamu kurumları ve kuruluşlarına, kanunen yetkili özel hukuk kişilerine, SPEH ‘in tedarikçiden dış kaynaklı olarak temin ettiği ve ticari faaliyetlerini yerine getirmek için gerekli hizmetlerin sunulmasını sağlamak amacıyla sınırlı olarak SPEH tedarikçilerine, hizmet alınan kişilere veya diğer üçüncü kişilere ve/veya yurtdışına, KVKK Kanunu Madde 8 ve Madde 9’da belirtilen kişisel veri işleme şartları ve amaçları çerçevesinde gerekli güvenlik önlemleri alınarak aktarılabilecektir.

6.3.2. Kişisel verilerin yurt dışına aktarımı

SPEH tarafından kişisel veriler; KVK Kurulu tarafından yeterli korumaya sahip olduğu ilan edilen yabancı ülkelere (“Yeterli Korumaya Sahip Yabancı Ülke”) veya yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt ettiği ve KVK Kurulu’nun izninin bulunduğu yabancı ülkelere (“Yeterli Korumayı Taahhüt Eden Veri Sorumlusunun Bulunduğu Yabancı Ülke”) aktarılabilecektir. SPEH, bu doğrultuda KVK Kanunu’nun 9. maddesinde öngörülen düzenlemelere uygun hareket edecektir.

6.3.3. Kişisel verilerin hukuka uygun olarak aktarılmasına ilişkin alınan tedbirler

6.3.3.1. Teknik tedbirler

  • Kişisel verilerin mevzuata uygun olarak işlenmesi ve saklanması için hastane içi teknik organizasyonu yapmak,
  • Kişisel verilerin saklanacağı veri tabanlarının güvenliğini sağlamak için teknik altyapıyı oluşturmak,
  • Oluşturulan teknik alt yapının süreçlerini takip etmek ve denetimlerini yapmak,
  • Teknik tedbirleri periyodik olarak güncellemek ve yenilemek,
  • Riskli durumlar için koruma sistemleri, güvenlik duvarı ve benzeri yazılımsal veya donanımsal güvenlik ürünleri kullanmakta ve teknolojik gelişmelere uygun güvenlik sistemleri kurmak,
  • Teknik konularda uzman çalışanlar istihdam etmek.
  • 27001 Bilgi Güvenliği Yönetim Sistemini uygulamak

6.3.3.2. İdari tedbirler

Çalışanların kişisel verilerinin hukuka uygun bir şekilde korunması ve işlenmesine ilişkin bilgilendirmek ve gerekli eğitimlerin vermek, Çalışanlar ile yapılan sözleşmelerde ve/veya Hastane uygulamalarında, Çalışanlar tarafından kişisel verilerin hukuka aykırı olarak işlenmesi durumlarında alınacak tedbirleri kayıt altına almak, Veri işleyenler kişisel verilerin işlenmesi faaliyetlerini denetlemek.

6.4. KİŞİSEL VERİLERİN SAKLANMASI

6.4.1. SPEH Kişisel verilerin ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar ve kişisel verileri mevzuatta öngörülen saklama süreleri saklı kalmak kaydıyla, kişisel verilerin işleme amacının gerektirdiği süre boyunca saklamaktadır.
Kişisel verileri birden fazla amaç ile işlediği hallerde, verinin işleme amaçlarının ortadan kalkması veya İlgili Kişi'nin talebi üzerine verilerin silinmesine mevzuatta bir engel olmaması durumunda SPEH tarafından mevzuat hükümlerine uygun şekilde silinmekte, yok edilmekte veya anonimleştirilerek saklanmaktadır.

Kişisel verilerin işlenme amacı sona ermiş; ilgili mevzuat ve kurumun belirlediği saklama sürelerinin de sonuna gelinmişse; kişisel veriler yalnızca olası hukuki uyuşmazlıklarda delil teşkil etmesi veya kişisel veriye bağlı ilgili hakkın ileri sürülebilmesi veya savunmanın tesis edilmesi amacıyla saklanabilmektedir. Buradaki sürelerin tesisinde bahsi geçen hakkın ileri sürülebilmesine yönelik zaman aşımı süreleri ile zaman aşımı sürelerinin geçmesine rağmen daha önce aynı konularda hastaneye yöneltilen taleplerdeki örnekler esas alınarak saklama süreleri belirlenmektedir. Bu durumda saklanan kişisel verilere herhangi bir başka amaçla erişilmemekte ve ancak ilgili hukuki uyuşmazlıkta kullanılması gerektiği zaman ilgili kişisel verilere erişim sağlanmaktadır. Burada da bahsi geçen süre sona erdikten sonra kişisel veriler silinmekte, yok edilmekte veya anonim hale getirilmektedir.

6.4.2. Kişisel verilerin saklanmasına ilişkin alınan tedbirler

6.4.2.1. Teknik tedbirler

  • Kişisel verilerin silinmesi, yok edilmesi ve anonimleştirilmesi için teknik alt yapılar ve bunlara ilişkin denetim mekanizmaları oluşturmak, (ISO 27001)
  • Kişisel verilerin güvenli şekilde saklanması için gerekli tedbirleri almak,
  • Teknik uzmanlığı olan çalışanlar istihdam etmek,
  • Oluşabilecek risklere karşı iş sürekliliği ve acil durum planları oluşturup bunların uygulanmasına ilişkin sistemler geliştirmek, (BGYS Ekibi kontrolünde)
  • Kişisel verilerin saklama alanlarına ilişkin teknolojik gelişmeler uyarınca güvenlik sistemleri kurmak.

6.4.2.2. İdari tedbirler

Kişisel verilerin saklanması ile ilgili teknik ve idari riskler hakkında çalışanları bilgilendirerek farkındalık yaratmak,
Kişisel verilerin saklanması için üçüncü kişilerle işbirliği yapılması durumunda kişisel verilerin aktarıldığı şirketler ile yapılan sözleşmelere; kişisel verilerin aktarıldığı kişilerin, aktarılan kişisel verilerin korunması ve güvenli saklanması amacıyla gerekli güvenlik tedbirlerinin alınmasına ilişkin düzenlemelere yer vermek.

6.5. KİŞİSEL VERİLERİN GÜVENLİĞİ

6.5.1. SPEH, kişisel verilerin güvenlik tedbirleri;

Hukuka aykırı işlenmesini önlemek,
Hukuka aykırı erişimini önlemek,
Hukuka uygun olarak saklanmasını sağlamak,
için teknolojik olanaklar ve uygulama maliyetlerine göre gereken idari ve teknik tedbirleri almaktadır.

6.5.2. Kişisel verilerin hukuka aykırı işlenmesini önlemek için alınan idari tedbirler

  • Çalışanları kişisel verilerin hukuka uygun olarak işlenmesi hakkında eğitmek ve bilgilendirmek,
  • SPEH ‘in yürüttüğü faaliyetleri detaylı olarak tüm iş birimleri özelinde değerlendirmek, söz konusu değerlendirme sonucunda ilgili birimlerin gerçekleştirdiği ticari faaliyetler özelinde kişisel verileri işlemek,
  • Kişisel verilerin işlenmesi amacıyla üçüncü kişilerle işbirliği yapıldığı hallerde kişisel verileri işleyen şirketler ile yapılan sözleşmelerde; kişisel verileri işleyen kişilerin gerekli güvenlik tedbirlerinin almasına ilişkin düzenlemelere yer vermek,
  • Kişisel verilerin hukuka aykırı olarak ifşa edilmesi veya veri sızıntısı olması halinde KVK Kurul'una durumu bildirerek bu hususta mevzuat tarafından öngörülen incelemeleri yapmak, “Disiplin Prosedürü” ne ve Disiplin Kurulu kararına uygun hareket etmek.

6.5.3. Kişisel verilere hukuka aykırı erişimi engellemek için alınan teknik tedbirler

  • Teknik uzmanlığı olan çalışanlar istihdam etmek,
  • Teknik tedbirleri periyodik olarak güncellemek ve yenilemek,
  • Şirket içerisinde erişim yetkilendirme prosedürleri oluşturmak,
  • Şirket içerisinde kullanılmakta olan veri kayıt sistemlerini mevzuata uygun şekilde oluşturmak ve periyodik olarak denetimlerini yapmak,
  • Çalışanları kişisel verilere erişim, yetkilendirme hususlarında eğitmek ve bilgilendirmek,
  • Kişisel verilere hukuka aykırı erişimi engellemeyi sağlamak üzere teknolojik gelişmeler dahilinde güvenlik sistemleri kurmak.

6.6. KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VE ANONİMLEŞTİRİLMESİ - İMHA

İlgili kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması durumunda Surp Pırgiç Ermeni Hastanesi, kendi kararına istinaden veya kişisel veri sahibinin talebi üzerine kişisel verileri siler, yok eder veya anonim hâle getirir.
KVKK’nın 28. maddesine uygun olarak; anonim hale getirilmiş olan kişisel veriler araştırma, planlama ve istatistik gibi amaçlarla işlenebilir. Bu tür işlemeler KVKK kapsamı dışında olup, kişisel veri sahibinin açık rızası aranmayacaktır.

6.6.1. Kişisel Verilerin Silinmesi ve Yok Edilmesi Teknikleri;

6.6.1.1. Fiziksel Olarak Yok Etme (Physical Destruction)

Kişisel veriler herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla da işlenebilmektedir. Bu tür veriler silinirken/yok edilirken kişisel verinin sonradan kullanılamayacak biçimde fiziksel olarak yok edilmesi sistemi uygulanmaktadır.

6.6.1.2. Yazılımdan Güvenli Olarak Silme (Secure Deletion Softare)

Tamamen veya kısmen otomatik olan yollarla işlenen ve dijital ortamlarda muhafaza edilen veriler silinirken/yok edilirken; bir daha kurtarılamayacak biçimde verinin ilgili yazılımdan silinmesine ilişkin yöntemler kullanılır.

6.6.1.3. Uzman Tarafından Güvenli Olarak Silme (Sending to a Specialist for Secure Deletion)

SPEH, bazı durumlarda kendisi adına kişisel verileri silmesi için bir uzman ile anlaşabilir. Bu durumda, kişisel veriler bu konuda uzman olan kişi tarafından bir daha kurtarılamayacak biçimde güvenli olarak silinir/yok edilir.

6.6.2. Kişisel Verileri Anonim Hale Getirme Teknikleri

6.6.2.1. Maskeleme (Masking)

Veri maskeleme ile kişisel verinin temel belirleyici bilgisini veri seti içerisinden çıkartılarak kişisel verinin anonim hale getirilmesi yöntemidir.

6.6.2.2. Toplulaştırma (Aggregation)

Veri toplulaştırma yöntemi ile birçok veri toplulaştırılmakta ve kişisel veriler herhangi bir kişiyle ilişkilendirilemeyecek hale getirilmektedir.

6.6.2.3. Veri Türetme (Data Derivation)

Veri türetme yöntemi ile kişisel verinin içeriğinden daha genel bir içerik oluşturulmakta ve kişisel verinin herhangi bir kişiyle ilişkilendirilemeyecek hale getirilmesi sağlanmaktadır.

6.6.2.4. Veri Karma (Data Shuffling, Permutation)

Veri karma yöntemi ile kişisel veri seti içindeki değerlerinin karıştırılarak değerler ile kişiler arasındaki bağın kopartılması sağlanmaktadır.

6.7. KİŞİSEL VERİ SAHİBİNİN HAKLARI

  • Kişisel Veri Sahibi, KVKK Madde 11 uyarınca:
  • Kişisel veri işlenip işlenmediğini öğrenme,
  • Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
  • Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
  • Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
  • Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
  • Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
  • KVK Kanunu ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
  • İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
  • Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme,
  • haklarına sahiptir.

6.7.1. Kişisel verilere ilişkin hakların kullanılması

Kişisel Veri Sahipleri, KVKK’nın uygulanmasıyla ve KVKK madde 11 kapsamındaki yukarıda sayılan haklarına ait taleplerini www.surppirgic.com adresinde bulunan veri sahibi başvuru formunun ıslak imzalı bir nüshasını Yedikule SPEH ‘in iletişim adreslerine, posta, e-posta yahut iadeli taahhütlü mektup vasıtasıyla veya KVK Kurulunun belirleyeceği diğer yöntemlerle iletmelidir.

6.7.2. Başvurunun değerlendirilmesi

6.7.2.1. Başvurunun cevaplandırılma süresi

Kişisel verilere ilişkin talepler, niteliğine göre en kısa sürede ve her halükarda en geç 30 (otuz) gün içinde ücretsiz olarak karşılanacaktır.
Başvuru sırasında veya başvuru değerlendirilirken ek bilgi ve belge talep edilmesi söz konusu olabilecektir.

6.7.2.2. Başvuruyu reddetme hakkı

  • Kişisel veriler ile ilgili başvurular;
  • Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi,
  • Kişisel verilerin özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi,
  • Kişisel Veri Sahibi tarafından alenileştiren kişisel verilerin işlenmesi,
  • Başvurunun haklı bir nedene dayanmaması,
  • Başvurunun ilgili mevzuata aykırı bir istem içermesi,
  • Başvuru usulüne uyulmaması,
  • hallerinde SPEH tarafından gerekçelendirilmek suretiyle reddedilir.

6.7.3. Başvurunun değerlendirilme usulü

Cevaplandırma süresinin başlayabilmesi için yapılan taleplerin yazılı ve ıslak imzalı, noter vasıtasıyla tebligat veya kayıtlı elektronik posta (KEP) üzerinden gönderilmesi veya KVK Kurulu'nun belirlediği diğer yöntemlerle başvuranın kimliğinin belgelendirilmiş kayıtlarla gönderilmesi gerekmektedir.

Talep kabul edilir ise ilgili işlem uygulanır ve yazılı veya elektronik ortamda bildirim yapılır. Talebin reddi halinde ise, gerekçesi açıklanarak yazılı veya elektronik ortamda başvuru sahibine bildirilir.

6.7.4. Kişisel Verileri Koruma Kurulu'na olan şikayet hakkı

Başvurunun reddedilmesi, verilen cevabı yetersiz bulunması veya süresinde cevap verilmemesi hallerinde; başvuru sahibinin cevabı öğrendiği tarihten itibaren 30 (otuz) gün ve her halde başvuru tarihinden itibaren 60 (altmış) gün içerisinde KVK Kurulu'na şikayette bulunma hakkı bulunmaktadır.

7. KİŞİSEL VERİLERİN TOPLAMA, İŞLEME, AKTARMA, SAKLAMA, GÜVENLİĞİ ve İMHA ESASLARININ YÜRÜTME SORUMLULUĞU

Bu esaslar, Yedikule SPEH, Vakıf Avukatı, Bilgi Teknolojileri, Kalite, İnsan Kaynakları ve diğer ilgili departmanlar tarafından takip edilir, bu departmanlar tarafından gelen yeni taleplere istinaden revizyon Kalite Yönetim Direktörü tarafından yapılır, Entegre Yönetim Sistemi Temsilcisi ( Başhekim Yardımcısı ) onayına sunularak, onay sonrası yayınlanır.
Kişisel verilerin SPEH adına başka bir gerçek veya tüzel kişi tarafından işlenmesi halinde veri sorumlusu olarak SPEH ile veri işleyen kişiler müştereken sorumlu olurlar.
SPEH; veri sorumlusu olarak, kendisi ile kişisel verilerini paylaşan ilgili kişilere sağladıkları güvenin; bağlı olunan vakıf , hizmet sağlayıcı, tedarikçi ve yüklenicileri tarafından da aynı şekilde sürdürülmesinin sağlanması için periyodik olarak, veri işleyenlerin ilgili mevzuat hükümlerine uygunluğunu denetler.

8. UYGULAMA YETKİLİSİ ve YAYINLANMASI

Esasların tamamının veya belirli maddelerinin güncellenmesi durumunda, güncellemeler yayımlandıkları tarihte yürürlüğe girer. Son güncel hali ile www.surppirgic.com sitesinde yayımlanır ve kişisel veri sahiplerinin talebi üzerine ilgili kişilerin erişimine sunulur.
KVKK ve ilgili diğer mevzuat hükümleri ile işbu esaslar arasında uyumsuzluk olması halinde, öncelikle KVKK ve ilgili diğer mevzuat hükümleri uygulanacaktır.
İşbu esaslar en az yılda bir kez gözden geçirilir ve ihtiyaç halinde güncellenir.

9. PROSEDÜRÜN ONAYLANMASI

Kalite Yönetim Direktörü tarafından oluşturulan esaslar Entegre Yönetim Sistemi Temsilcisi ( Başhekim Yardımcısı ) onayı ile yayını tarihinde yürürlüğe girer. İşbu esaslar basılı kağıt ve elektronik ortamda olmak üzere iki farklı ortamda saklanır.

Hekiminize Danışın

Bu alan zorunludur.
Bu alan zorunludur.
Bu alan zorunludur.
Bu alan zorunludur.
Bu alan zorunludur.
Bu alan zorunludur.
Bu alan zorunludur.
Bu alan zorunludur.