SBÜ

GİZLİLİK VE KİŞİSEL VERİLERİN KORUNMASI İLKELERİ

1. AMAÇ VE KAPSAM

İşbu Gizlilik ve Kişisel Verilerin Korunması İlkeleri (bundan sonra “İlkeler” olarak anılacaktır), Sağlık Bilimleri Üniversitesi (bundan sonra “Kurum” olarak anılacaktır) kişisel verilerin korunmasına ilişkin benimsediği ilkeleri belirlemekte ve tüm ilgili kişi gruplarını 6698 sayılı Kişisel Verilerin Korunması Kanunu (bundan sonra “6698 sayılı KVKK” olarak anılacaktır) kapsamında bilgilendirmeyi hedeflemektedir.

 

2. KİŞİSEL VERİLERİNİN İŞLENMESİNE İLİŞKİN İLKELER

Kurum olarak Veri Sorumlusu sıfatı ile aşağıdaki ilkeler çerçevesinde kişisel verilerinizi işlemekteyiz.

1. Hukuka ve Dürüstlük Kuralına Uygun İşleme

Kişisel verilerinizin işlenmesinde hukuksal düzenlemelerle getirilen ilkeler ile genel güven ve dürüstlük kuralına uygun hareket edilmektedir. Bu ilke uyarınca özellikle, kişisel veri işleme amaçlarımıza ulaşmaya çalışırken çıkarlarınızı ve makul beklentilerinizi de dikkate almakta, haklarımızı kötüye kullanmamakta ve veri işleme faaliyetlerimizde şeffaflık prensibine uygun hareket etmekteyiz.

2. Kişisel Verilerin Doğru ve Gerektiğinde Güncel Olmasını Sağlama

Kişisel verilerin doğruluğunun ve güncelliğinin önemini vurgulayan bu ilke doğrultusunda meşru menfaatleriniz dikkate alınarak, işlenen verilerin doğru ve güncel olması için dönemsel kontrol ve güncellemeler yapılmakta ve bu doğrultuda gerekli tedbirler alınmaktadır. Bu kapsamda kişisel verilerin doğruluğunu kontrol etme ve gerekli düzeltmeleri yapmaya yönelik sistemler Kurum bünyesinde oluşturulmaktadır. Ayrıca, kişisel verilerin toplandığı kaynakların doğruluğu kontrol edilmekte ve kişisel verilerin doğru olmamasından kaynaklı talepler göz önünde bulundurulmaktadır. Dolayısıyla, bu ilke 6698 sayılı KVKK uyarınca sahip olduğunuz kişisel verilerin düzeltilmesini talep etme hakkı ile de uyumlu olarak uygulanmaktadır.

3. Belirli, Açık ve Meşru Amaçlarla İşleme

Kişisel verileriniz açık, belirli ve meşru veri işleme amaçlarına dayalı olarak işlenmektedir. Bu bağlamda, kişisel veri işleme faaliyetlerimizin, ilgili kişilerce açık bir şekilde anlaşılabilir olmasını sağlamakta, hangi amaçlara ve hukuki işleme şartlarına dayandığını işbu İlkeler’in 3. maddesi ile tespit ve açıkça ifade etmekteyiz.

4. İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma

Kişisel verileriniz, öngörülen amaç/amaçların gerçekleştirilebilmesi için ölçülü, amaçla ilintili ve sınırlı biçimde işlenmekte ve amacın gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınılmaktadır. Yine bu ilke kapsamında mevcutta olmayan ve sonradan gerçekleşmesi düşünülen amaçlarla kişisel veri toplanmamakta veya işlenmemektedir.

5. İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç İçin Gerekli Olan Süre Kadar Muhafaza Etme

Kişisel verileriniz ancak ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmektedir. Bu konuda Kurum, ilgili idari ve teknik tedbirleri almakta ve uygulamaktayız. Bu kapsamda, öncelikle ilgili mevzuatta kişisel verilerin saklanması için bir süre öngörülüp öngörülmediği tespit edilmekte, bir süre belirlenmişse bu süreye uygun davranılmakta, bir süre belirlenmemişse kişisel veriler işlendikleri amaç için gerekli olan süre kadar saklanmaktadır. İlgili süreçlerin gerekliliğinin ortadan kalkması halinde kişisel verilerinizin ilgisiz departmanlar tarafından erişilmesi 6698 sayılı KVKK’da belirtilen silme eylemi kapsamında engellenir. Sürenin bitimi veya işlenmesini gerektiren sebeplerin ortadan kalkması halinde, daha uzun süre işlenmelerine izin veren hukuki bir sebep bulunmaması halinde, kişisel verileriniz kişisel verilerin korunması mevzuatına uygun şekilde yok edilmekte veya anonim hale getirilmektedir.

3. KİŞİSEL VERİLERİNİN İŞLENMESİ ŞARTLARI

Kişisel verileriniz, 6698 sayılı KVKK’nın kapsamında kişisel ve özel nitelikli kişisel verileriniz aşağıda öngörülen şartlar çerçevesinde işlenebilmektedir.

1. Kanunlarda Açıkça Öngörülmesi

Temel kural kişisel verilerin ilgili kişilerin açık rızası olmadan işlenememesi olup, bu istisnaya göre kanunlarda açıkça kişisel veri işlenmesi öngörüldüğü hallerde, kişisel verileriniz işlenebilecektir.

2. Fiili İmkânsızlık Sebebiyle İlgilinin Açık Rızasının Alınamaması

Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda olan veya rızasına geçerlilik tanınamayacak olan ilgili kişinin kendisinin ya da başka bir kişinin hayatı veya beden bütünlüğünü korumak için kişisel verisinin işlenmesinin zorunlu olması halinde kişisel verileriniz işlenebilecektir.

3. Sözleşmenin Kurulması veya İfasıyla Doğrudan İlgi Olması

Sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması halinde kişisel verileriniz işlenebilecektir.

4. Kurum’un Hukuki Yükümlülüğünü Yerine Getirmesi

Kurum’un bağlı bulunduğu ve sorumlu olduğu mevzuat, sözleşme ve benzeri hukuki yükümlülüklerini yerine getirmek için işlemenin zorunlu olması halinde kişisel verileriniz işlenebilecektir.

5. Kişisel Verilerin Alenileştirilmesi

Kişisel verileriniz tarafınızca alenileştirilmiş, yani sizin tarafınızdan kamuoyu ile paylaşılmış olması halinde, alenileştirmenin amacıyla bağlantılı ve ölçülü olarak işlenebilecektir.

6. Bir Hakkın Tesisi veya Korunması için Veri İşlemenin Zorunlu Olması

Kurum’un sahip olduğu hukuki ve ticari haklara ilişkin süreçlerin yürütülmesi ve yönetilmesi kapsamında söz konusu hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması halinde kişisel verileriniz işlenebilecektir.

7. Meşru Menfaate Dayalı Olarak Verilerin İşlenmesi

Kurum’un meşru menfaatleri için veri işlemenin gerekli olması halinde kişisel verileriniz işlenebilecektir. Kurumumuzun söz konusu işleme şartına bağlı olarak veri işlemesi gerekmesi durumunda sizlerin temel hak ve özgürlüklerini de gözeterek değerlendirme yapmakta ve değerlendirme sonucuna göre karar vermektedir.

8. Açık Rızaya Dayalı Olarak İşlenmesi

Kişisel verilerin açık rızaya dayanılarak işlenmesi asıl kural olmakla birlikte, işbu maddede belirtilen diğer şartların varlığı halinde ilgili kişilerin açık rızasına dayanılmamaktadır. Aksi halde, hakkın kötüye kullanılmasından bahsedilebilecektir. Bu bağlamda kişisel verileriniz, işbu İlkelerde belirtilen şartlardan herhangi birine dayalı olarak işlenmediği durumlarda, açık rızanıza dayalı olarak işlenmektedir.

9. Özel Nitelikli Kişisel Verilerin İşlenmesi

Özel nitelikli kişisel veriler, 6698 sayılı KVKK’nın 6. Maddesi uyarınca ancak aşağıdaki koşullar dâhilinde işlenmektedir;

1. İlgili kişinin açık rızasının olması,
2. Kanunlarda açıkça öngörülmesi,
3. Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin, kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,

ç) İlgili kişinin alenileştirdiği kişisel verilere ilişkin ve alenileştirme iradesine uygun olması,

4. Bir hakkın tesisi, kullanılması veya korunması için zorunlu olması,
5. Sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlarca, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması, yönetimi ve finansmanı amacıyla gerekli olması,
6. İstihdam, iş sağlığı ve güvenliği, sosyal güvenlik, sosyal hizmetler ve sosyal yardım alanlarındaki hukuki yükümlülüklerin yerine getirilmesi için zorunlu olması,
7. Siyasi, felsefi, dini veya sendikal amaçlarla kurulan vakıf, dernek ve diğer kâr amacı gütmeyen kuruluş ya da oluşumların, tâbi oldukları mevzuata ve amaçlarına uygun olmak, faaliyet alanlarıyla sınırlı olmak ve üçüncü kişilere açıklanmamak kaydıyla; mevcut veya eski üyelerine ve mensuplarına veyahut bu kuruluş ve oluşumlarla düzenli olarak temasta olan kişilere yönelik olması.

4. KİŞİSEL VERİLERİN AKTARIMI

Kişisel ve özel nitelikli verileriniz; işbu İlkelerin 2. maddesi kapsamında yurt içindeki iş ortaklarımıza, kamu kurum ve kuruluşlarına ve benzerlerine veya yurtdışındaki iş ortaklarımıza aktarılabilmektedir. Söz konusu aktarımlar gerçekleştirilirken 6698 sayılı KVKK’nın 8. ve 9. maddelerine uyumluluk gözetilmektedir. Gerekli olması durumunda açık rızanız alınmakta ve aktarım bu çerçevede sağlanmaktadır.

5. KİŞİSEL VERİLERİN GÜVENLİĞİ

Kurum, kişisel verilerin güvenliğini sağlamak, hukuka aykırı olarak işlenmesini önlemek adına, yetkisiz erişim risklerini, kaza ile veri kayıplarını, verilerin kasti silinmesini veya verilerin zarar görmesini engelleyecek makul her türlü idari ve teknik tedbirleri almaktadır.

Kişisel verilere, erişim yetkisi bulunan kişilerden başkalarının erişmesini engellemek adına gereken makul ölçüde her türlü teknik ve fiziki önlemler alınır. Bu kapsamda özellikle yetkilendirme sistemi, kişilerin ve sistemlerin gereğinden fazla kişisel veriye erişmesinin mümkün olmayacağı şekilde kurgulanmaktadır.

Kurum, kendi kurum veya kuruluşunda, 6698 sayılı KVKK hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmakta ve yaptırmaktadır.

Alınan önlemler aşağıdaki gibidir.

• Ağ güvenliği ve uygulama güvenliği sağlanmaktadır.
• Ağ yoluyla kişisel veri aktarımlarında kapalı sistem ağ kullanılmaktadır.
• Çalışanlar için veri güvenliği hükümleri içeren disiplin düzenlemeleri mevcuttur.
• Çalışanlar için veri güvenliği konusunda belli aralıklarla eğitim ve farkındalık çalışmaları yapılmaktadır.
• Çalışanlar için yetki matrisi oluşturulmuştur.
• Erişim logları düzenli olarak tutulmaktadır.
• Erişim, bilgi güvenliği, kullanım, saklama ve imha konularında kurumsal politikalar hazırlanmış ve uygulamaya başlanmıştır.
• Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır.
• Güncel anti-virüs sistemleri kullanılmaktadır.
• Güvenlik duvarları kullanılmaktadır.
• Kağıt yoluyla aktarılan kişisel veriler için ekstra güvenlik tedbirleri alınmakta ve ilgili evrak gizlilik dereceli belge formatında gönderilmektedir.
• Kişisel veri güvenliği politika ve prosedürleri belirlenmiştir.
• Kişisel veri güvenliğinin takibi yapılmaktadır.
• Kişisel veri içeren ortamların güvenliği sağlanmaktadır.
• Kişisel veriler mümkün olduğunca azaltılmaktadır.
• Kişisel veriler yedeklenmekte ve yedeklenen kişisel verilerin güvenliği de sağlanmaktadır.
• Log kayıtları kullanıcı müdahalesi olmayacak şekilde tutulmaktadır.
• Mevcut risk ve tehditler belirlenmiştir.
• Özel nitelikli kişisel veri güvenliğine yönelik protokol ve prosedürler belirlenmiş ve uygulanmaktadır.
• Saldırı tespit ve önleme sistemleri kullanılmaktadır.
• Sızma testi uygulanmaktadır.
• Taşınabilir bellek, CD, DVD ortamında aktarılan özel nitelikli kişiler veriler şifrelenerek aktarılmaktadır.
• Veri kaybı önleme yazılımları kullanılmaktadır.

6. İLGİLİ KİŞİNİN HAKLARI, BAŞVURU USUL VE ESASLARI

İlgili kişi olarak, 6698 sayılı Kanun 11. maddede yer alan haklarınıza ilişkin bir talebiniz olması durumunda taleplerinizi web sayfamızdan temin edebileceğiniz Kişisel Verilerin Korunmasına İlişkin Başvuru Formu’nu doldurarak veya Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ ile öngörülen asgari koşulları sağlayan başvurunuz ile aşağıdaki yöntemlerle tarafımıza iletebilirsiniz. Yapacağınız başvuruyu Kurum olarak, talebinizin niteliğine göre en kısa sürede ve en geç otuz gün içerisinde ücretsiz olarak sonuçlandıracağız. Ancak, işlemin ayrıca bir maliyeti gerektirmesi hâlinde, Kurum tarafından Kişisel Verileri Koruma Kurulunca belirlenen tarifedeki ücret alınacaktır. Tarafımıza başvurmanız üzerine başvurunuzun reddedilmesi, cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hallerinde bizi bu konuda bilgilendirebilirsiniz ayrıca ilgili kişi olarak, cevabımızı öğrendiğiniz tarihten itibaren otuz ve her halde usulüne uygun başvurunuzu gerçekleştirdiğiniz tarihten itibaren altmış gün içinde ülkenizde bulunan yetkili veri koruma otoritesine başvuru hakkınız bulunmaktadır.