Kamera Kullanma Talimatı

VERİ SAHİBİ BAŞVURULARININ ALINMASI, DEĞERLENDİRİLMESİ VE YANITLANMASI PROSEDÜRÜ

 

  1. Tanımlar

Kısaltma

Açıklama

Kanun

6698 Sayılı Kişisel Verilerin Korunması Kanunu

Prosedür

6698 Sayılı Kanun’a Göre Veri Sahibi Başvurularının Alınması, Değerlendirilmesi ve Yanıtlanması Prosedürü

Başvuru Formu

Veri Sahibi’nin Kanun m.13 uyarınca gerçekleştireceği başvurularda kullanılmak üzere Prosedür’ün eklerinde sunulan ya da bu ekler temel alınarak Şirket tarafından kaleme alınan form

Kurum

Kişisel Verileri Koruma Kurumu

Kurul

Kişisel Verileri Koruma Kurulu

Çalışanlar

Şirket Çalışanları

Şirket

Batıkent Bilgi Sağlık Hizmetleri Turizm İnşaat ve Ticaret A.Ş.

Veri İşleyen

Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel veri işleyen gerçek veya tüzel kişidir.  (Örnek: Çağrı merkezi, e-ticaret, müşteri iletişim formları, müşteri şikayetlerini kayıt altına alan kalite personelleri, bordro ve özlük işleri takip eden personel müdürlüğü,  ziyaretçi bilgileri alan kapı güvenlik personelleri, asistanlar gibi)

Veri Sahibi

Kişisel verisi işlenen gerçek kişi

Kişisel Veri

Kanun kapsamında bulunduğu sürece, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi

Veri Sorumlusu

Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan tüzel kişiliktir.

Kişisel Veri Koruma Sorumlusu(“KVKK Sorumlusu”)

Şirket içerisinde Veri Sorumlusu’nun ilgili Kanun maddeleri kapsamındaki görevlerine yerine getiren kişidir.

Veri Kategorizasyonu

Veri Envanteri içerisinde yer verilmiş olan veri sahibi, kişisel veri ve paylaşılan taraf bilgilerine ilişkin kategori bilgileri

Veri Envanteri

Şirket’in tüm veri işlediği dokümanlar, veri işleme süreçleri ve amaçlarının envanterinin tutulduğu envanter

Süreç

Veri Envanteri’nde yer alan her bir veri işleme faaliyeti

   
  1. Başvurunun Alınması
  2. Başvurunun Şekli

Kanunun 13’üncü maddesi, başvurunun “yazılı olarak veya Kurulun belirleyeceği diğer yöntemlerle” yapılacağını öngörmüştür. Kanunun 13’üncü maddesinin 1. Fıkrası ve 30356 sayılı ve 10.03.2018 tarihli Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ gereğince Türkçe ve yazılı olarak veya kayıtlı elektronik posta (KEP) adresi, güvenli elektronik imza, mobil imza ya da daha önce bildirilen ve sistemimizde kayıtlı bulunan elektronik posta adresini kullanmak suretiyle iletilebileceği düzenlenmiştir. Cevap vermeden önce kimlik doğrulama hakkımız saklıdır. Bu kapsamda yukarıda yöntemler aracılığı ile yazılı dilekçe veya başvuru formu aracılığı ile başvurular kabul edilir.

Yazılı olarak yapılacak başvurular, gerekli belgeler eklenerek veri sorumlusu olarak Şirketimizin İnönü, Batı Blv No:99 Batıkent Yenimahalle /Ankara adresine verilir.

E-posta yoluyla yapılacak başvurular kvkk@bilgihastanesi.com.tr e-posta adresine iletilir.

Talebinizin niteliğine göre bilgi ve belgelerin eksiksiz ve doğru olarak tarafımıza sağlanması gerekmektedir.

Başvurularda Veri Sahibinin;

  1. a) Adı, soyadı ve başvuru yazılı ise imzası,
  2. b) Türkiye Cumhuriyeti vatandaşları için T.C. kimlik numarası, yabancı ise uyruğu, pasaport numarası veya varsa kimlik numarası,
  3. c) Tebligata esas yerleşim yeri veya iş yeri adresi,

ç) Varsa bildirime esas elektronik posta adresi, telefon ve faks numarası,

  1. d) Talep konusu,

bulunması zorunlu olup varsa konuya ilişkin bilgi ve belgelerin de başvuruya eklenmesi gerekmektedir.

  1. Başvurunun İçeriği

Başvuranın Kimliğinin Tespiti: Veri Sahibi taleplerinin değerlendirilebilmesi için öncelikle başvuruyu yapan kişinin, Şirket nezdinde işlenen kişisel verilerin sahibi olup olmadığı tespit edilir.

Başvuruyu işleme alabilmek ve doğru kişiye sonucu iletebilmek için başvuranın kimlik bilgileri (Veri Sahibi’nin adı, soyadı, TC Kimlik numarası, iş veya ikametgâh adresi) tespit edilir.

Elektronik ortamdan yapılan başvurularda yazılılık şartını sağlamak üzere, Veri Sahibi’nin başvurularında 5070 Sayılı Elektronik İmza Kanunu kapsamında düzenlenen güvenli elektronik imza kullanılmalıdır. Güvenli elektronik imzaya dayalı nitelikli elektronik sertifika ile de başvurucunun kimliği hukuken tespit edilebilecektir.

Şarta bağlı olan taleplerle ilgili bu şartın nasıl gerçekleştiği yolunda veri sahibinden (örneği başvuru formunda gösterildiği şekilde) ekstra bilgi istenmeli ve bu iddiasını kanıtlayacak vesikalar Kanun uyarınca geçerli olmayan kanallardan da (örn. Call center, internet sitesi v.b.) başvurular alınabilir. Bu kanallardan başvuru alındığı takdirde veri sahibi Prosedür uyarınca tasarlanan geçerli başvuru kanallarına yönlendirecek uyarı ve yönlendirme metinleri dizayn edilmelidir.

Prosedürde belirlenen yollarla alınmayan başvurular için

  • Eğer başvurucunun kimliği tespit edilmiş ve
  • Formla istenen bilgiler sağlanmış ise

bu tür yolarla yapılan başvurular da değerlendirmeye alınabilir.

Bu niteliği taşımayan başvurular da değerlendirilerek formda istenen bilgiler elde edilene kadar başvurucu ile iletişimde bulunulmalı; usule uyulmadığı gerekçesiyle başvurunun reddedildiği belirtilmelidir.

  1. Diğer Durumlar
  2. Vekil veya Yasal Temsilci Tarafından Yapılan Başvuru

Kanun’da Veri Sahibi’nin Veri Sorumlusu’na talepte bulunabileceği belirtilmiş olsa dahi başvuruyu Veri Sahibi’nin vekili veya kanuni temsilcinin yapmasını engelleyen bir kural bulunmamaktadır. Bu nedenle, bazı başvurular Veri Sahibi tarafından doğrudan yapılmayabilir.

Böyle bir durumda, başvuruda bulunan kişinin başvuruda bulunma yetkisinin varlığı kontrol edilmelidir. Örneğin başvuru, Veri Sahibi’nin avukatı tarafından gönderilebilir. Böyle bir durumda, avukatın yetkisini teyit etmek amacıyla avukattan vekaletname sureti talep edilmelidir.

Çocukların Kişisel Verilerini ilgilendiren talepler için başvuru yasal temsilci tarafından yapılabilecektir. Böyle bir durumda da mutlaka yasal temsilcinin yetkisini belirleyen belgelerin suretleri talep edilmelidir.

  1. Toplu Başvuru Yapılması

Toplu başvuru durumunda, başvuru yapan üçüncü kişi ile irtibata geçilerek öncelikle yetki durumu tespiti yapılır. Sonrasında talep yapılan her bir kişi için ayrı başvuru yapılması istenir. Gelen toplu başvuru değerlendirmeye alınmaz. Toplu başvuru yapan yetkili kişiye azami 10 iş günü içinde başvurunun usule uygun olmadığı gerekçesiyle başvurunun reddedildiği yazılı olarak bildirilir.

  1. Başvuru Ücreti

Kanun’da Veri Sorumlusu’nun kendisine iletilen talebi cevabın on sayfayı geçmediği hallerde ücretsiz olarak sonuçlandırması öngörülmüştür. Ancak, işlemin on sayfayı geçtiği hallerde Kurul on sayfanın üzerindeki her sayfa için 1 Türk Lirası işlem ücreti alınacağını öngörmüş olup başvuruya verilecek cevabın CD, flash bellek gibi bir kayıt ortamında verilmesi halinde Veri Sahibi kişi veya kişilerden talep edilecek olan ücret, kayıt ortamının maliyetini geçmeyecektir.

  • Başvuru Değerlendirme Süreci

Veri Sahibi tarafından yapılan başvurularda yer alan taleplerde sunulması gereken arasında eksik bilgi olabilir, üçüncü kişilere ait bilgilere yer verilebilir veya çeşitli sebeplerle başvurunun reddedilmesi gerekebilir. Bu itibarla, tüm bu olasılıkların Şirket tarafından değerlendirilmesi gerekmektedir.

Üçüncü kişilere ait kişisel verileri paylaşmadan bilgi edinme talebinin yanıtlanması mümkün olmayan durumlarda aşağıdaki üç adımlı değerlendirme süreci uygulanabilecektir:

  1. Bilgi edinme talebinin, üçüncü kişiye ait kişisel verileri paylaşmadan yanıtlanması mümkün mü? (ör: 3. Kişiye ait bilginin üstünün kapatılması veya silinmesi gibi)
  2. Üçüncü kişi kendisi hakkında kişisel veri paylaşılmasına açık rıza vermiş midir?
  3. Üçüncü kişinin açık rızası alınamıyor ise, açık rıza alınmadan kişisel veri paylaşılması makul müdür?

Öncelikle, Kişisel Verisi açıklanmak durumunda kalınan Veri Sahibi’nden açık rıza alınması yoluna başvurulur.

Üçüncü kişi verilerinin paylaşılmasına rıza vermiyorsa, üçüncü kişinin bilgileri tamamen ayıklanarak başvuru yanıtlanır.

Eğer Kişisel Veri’si açıklanacak üçüncü kişi Verisi Sahibi’ne ulaşmak mümkün değilse, üçüncü kişi kişisel verisi içeren bilginin paylaşılması konusunda hassas davranılmalıdır. Gerekli olması halinde, üçüncü kişi Kişisel Veri’si içeren bilgiler de paylaşılabilecektir.

Başvuruların Değerlendirme Süreleri

Veri Sahibi taleplerinin Şirket tarafından en kısa sürede ve en geç başvuru tarihinden itibaren 30 gün içerisinde değerlendirilerek sonuçlandırılması gerekmektedir.

Başvuruların zamanında cevaplandırılabilmesi için Şirket içerisinde taleplerin işlenmesine ilişkin prosedürler geliştirilir. Bu prosedürlerde asgari olarak aşağıdaki sürelerin öngörülmesi gerekmektedir:

  1. Bir başvuru geldikten sonra, ilgili departmanlara başvuruya ilişkin bilgilerin ve taleplerin gönderilmesi için azami 3 günlük süre
  2. Gönderilen departmanların gelen talebe ilişkin yanıt vermesi için azami 1 hafta süre

 

  1. Örnek Değerlendirme Süreçleri
  2. Kanun m. 11/1 (a), (b), (c), (ç) uyarınca gelen başvurular
  3. Gelen başvuru KVK Sorumlusu tarafından kaydedilerek incelemeye alınır.
  4. Kişinin kimlik bilgileri kontrol edilerek başvuru yapmaya yetkili olup olmadığı tespit edilir.
  • Başvuru Formu’nda yer alan bilgilerden hareketle Veri Envanteri’ndeki ilgili “Süreç” tespit edilir. İlgili “Süreç” tespit edilirken Veri Envanteri’ndeki Veri Kategorizasyonu ile Başvuru Formu’nda verilen bilgiler karşılaştırılır. Veri Kategorizasyonu ve Veri Sahibi Kategorizasyonu’ndan ilgili kategorilerde bulunan Süreç’lere sorgu indirgenir. Bu süreçte yer alan veri işleme amaçları ve paylaşılan taraflar bilgileri cevabın oluşturulmasında kullanılır.
  1. Veri Envanteri üzerinden yapılan incelemenin yanı sıra başvuru formunda yer alan Veri Sahibi bilgileri Şirket veri tabanları üzerinde aratılarak gerçek test uygulanır. Gerçek test sonuçları ile iii. adımında belirtilen Veri Envanteri adımları karşılaştırılır, gerçek test sonucunda Veri Envanteri’nde yer almama ihtimali bulunan veriler tespit edilmesi durumunda Veri Envanteri güncellenerek iii. adımındaki sorgu tekrarlanır.
  2. Eğer ilgili süreçlerde ve gerçekleştirilen gerçek testte Veri Sahibi’nin başvuru formunda belirttiği kişisel verilere rastlanmıyorsa «Başvuru sahibi ile ilgili kişisel veri kaydı yoktur; başvuru sahibi hakkında kişisel veri işlenmemektedir cevabı», KVK Sorumlusu bu doğrultuda başvuruyu cevaplar.
  3. Eğer ilgili süreçlerde ve gerçekleştirilen gerçek testte Veri Sahibi’nin başvuru formunda belirttiği kişisel verilere rastlanıyorsa; Veri Sahibi’nin talebi doğrultusunda, iii. başlıklı adımda belirtilen şekilde Veri Envanteri’nde yer alan veri işleme amacı, paylaşılan taraf ve paylaşma amacı bilgilerinden uygun olanlarına cevap metni içerisinde yer verilir.
  • Yukarıda anılan aşamalarda, yapılan işlemler, işlem ve zaman olguları, oluşan olay kayıtları, evraklar ve sorgu sonuçları KVK Sorumlusu tarafından kayıt altına alınır ve bu konuda oluşturulan elektronik dizinde saklanır.
  1. Kanun m. 11/1 (d) uyarınca gelen başvurular
  2. Yukarıda yer alan 1. (i) ve (ii) numaralı adımlar izlenir.
  3. Veri Sahibi’nin ya da temsilcisinin sağladığı Kişisel Veriler ve bunları tevsik eden belgeler, Şirket kayıtlarında yer alan bilgilerle bilgiler karşılaştırılır ve talep kapsamında hatalı ya da eksik olduğu belirtilen bilgiler incelenir.
  • Eğer sağlanan Kişisel Veri’ler ve tevsik edici belgelerdeki bilgiler MERNİS ve Adres Kayıt Sistemi gibi yerlerdeki bilgilerle de uyuşuyorsa kayıtların düzeltilmesi notu alınır. Gerekli düzeltmenin yapılması için veri tabanından sorumlu olan birime konu iletilir.
  1. Bu aşamada “Başvurunuzun incelenerek başvurunuzda belirttiğiniz bilgi ve belgelere dayalı olarak kişisel verileriniz güncelleştirilmiştir” notu veya muadili bir ileti KVK Sorumlusu’na gönderilir.
  2. Yukarıda yer alan 1. (vi) numaralı adım izlenir.
  3. Kanun m. 11/1 (e) uyarınca gelen başvurular
  4. Yukarıda yer alan 1 (i) (ii) ve (iii) numaralı adımlar izlenir.
  5. Veri Envanteri’nde hangi Süreç’lerde yasal zorunluluk nedeniyle saklama ve işleme yapılması gerektiği tespit edilir.
  • Eğer yasal zorunluluk nedeniyle saklama ve işleme zorunluluğu yok ise «Talebiniz üzere Şirketimiz nezdindeki kişisel verileriniz silinmiş ve/veya anonimleştirilmiştir» cevabı hazırlanarak KVK Sorumlusu tarafından gönderilir ve paralelde kişisel verilerin silinmesi ve anonimleştirilmesi işlemi başlatılır.
  1. Eğer yasal zorunluluk nedeniyle işleme ve saklama zorunluluğu var ise “Yapmış olduğunuz başvuru neticesinde gerekli incelemeler yapılarak […] kişisel veri işleme faaliyetlerinin kişisel veri işlemeye temel olan hukuki amacın ortadan kalkmasından dolayı gerçekleştirilmediğini tespit ettiğimizi bildirmek isteriz. Bu çerçevede ilgili iş birimlerimizin de hukuki amacı ortadan kalkan veri işleme faaliyetinde bulunmaması için gerekli tedbirler alınmıştır. Bununla birlikte kişisel verileriniz Şirketimiz kanuni yükümlükleri çerçevesinde […] Amaçlarla ilgili mevzuatlarda öngörülen sürelerle işlenmek, saklanmak ve talep vukuunda açıklanmak zorunda olup; ancak bu yükümlülüğünü ortaya koyan mevzuatlar kapsamında yetkili kurum ve kuruşlardan gelen resmi taleplerin yanıtlanması ve/veya şirketimizin kanuni yükümlülükleri yerine getirmek amacıyla işlenecektir. Bu nedenle bahsi geçen amaçlar çerçevesinde kişisel verilerinizin işlenmesi kanuni yükümlülüğümüz olduğundan dolayı kişisel verilerinizin silinmesi veya anonimleştirilmesi talebinizi yerine getiremediğimizi ancak yukarıda belirttiğimiz şekilde sadece bu amaçlarla işleneceğini bildirmek isteriz” notu veya muadili bir ileti KVK Sorumlusu tarafından gönderilir.
  2. Yukarıda yer alan 1. (vi) numaralı adım izlenir.
  3. Kanun m. 11/1 (f) uyarınca gelen başvurular
  4. Yukarıda yer alan 1 (i) (ii) (iii) ve (iv) numaralı adımlar izlenir.
  5. İndirgenen süreçlerde Süreç Kartı’nın paylaşılan kişiler bölümünden kategorik halde paylaşılan kişiler tespit edilir.
  • Eğer silme veya anonimleştirme talebi kabul görmüşse; ilgili üçüncü kişilerden bu talebin yerine getirilmesi talep edilir. Paralelde veri sahibine iletilmek üzere «Uygun bulunan silme veya anonimleştirme talebinize istinaden kişisel verilerinizin aktarıldığı kişilerdeki kişisel verileriniz silinmiş veya anonimleştirilmiştir» cevabı veya muadili bir cevap hazırlanarak KVK Sorumlusu tarafından gönderilir.
  1. Yukarıda yer alan 1. (vi) numaralı adım izlenir.
  2. Kanun m. 11/1 (g) uyarınca gelen başvurular
  3. Yukarıda yer alan 1. (i) ve (ii) numaralı adımlar izlenir.
  4. Veri Sahibi’nin ya da temsilcisinin sağladığı bilgi ve belgelerle, münhasıran otomatik sistemler vasıtasıyla gerçekleştirilen ve Veri Sahibi’nin aleyhine sonuç doğurduğu iddia ettiği süreç incelemeye alınır.
  • Yapılan inceleme neticesinde otomatik Süreç’te ve bu Süreç içerisinde işlenen Kişisel Veri’lerde herhangi bir eksiklik ve hata olmadığı tespit ediliyorsa «Yapılan incelemeler neticesinde; Şirketimiz nezdindeki kişisel verileriniz kullanılarak oluşturulan raporlarda bir eksiklik ve yanlışlık tespit edilmemiş olduğunuzdan itirazınız reddedilmiştir.» cevabı veya muadili bir cevap hazırlanarak KVK Sorumlusu tarafından gönderilir.
  1. Eğer kişinin sağladığı bilgiler mevcut değerlendirme sürecindeki verilerde; dolayısıyla otomatik olarak oluşturulan sonuçta bir değişiklik yaratıyor ve kişi lehine bir sonuç yaratıyorsa bu sonuç cevap yapılarak, kişinin itirazının değişen sonuca göre kayıt altına alındığı ve sistemlerin bu şekilde güncellendiği bilgisi hazırlanarak KVK Sorumlusu tarafından gönderilir.
  2. Yukarıda yer alan 1. (vi) numaralı adım izlenir.
  3. Kanun m. 11/1 (ğ) uyarınca gelen başvurular
  4. Yukarıda yer alan 1. (i) ve (ii) numaralı adımlar izlenir.
  5. Veri Sahibi’nin ya da temsilcisinin sağladığı bilgiler ışığında zarar talebi, hukuk ve ilgili birimlerin katılımıyla incelemeye alınır.
  • Bu inceleme neticesinde ortaya çıkan sonuç ve cevap tanzim edilerek KVK Sorumlusu tarafından gönderilir.
  1. Yukarıda yer alan 1. (vi) numaralı adım izlenir.

 

  1. IV. Başvuruların Yanıtlanması

Tüm başvurular, KVK Sorumlusu tarafından yanıtlanır.

30 Gün İçinde Cevap Verilmesi: Şirket çalışan tarafından yapılan başvuruda yer alan talepleri inceler. Talebin niteliğine göre Şirket, en kısa sürede veya her halde en geç otuz (30) gün içinde talebi yerine getirmekle yükümlüdür. Bu süre içerisinde herhangi bir cevabın verilmemesi halinde başvuru sahibi Kurul’a şikâyette bulunabilecektir.

Şirket Cevabında Bulunması Gereken Bilgiler:

  • Veri sorumlusunun başvuruya veya temsilcisine ait bilgileri,
  • Başvuru sahibinin; adı ve soyadını, Türkiye Cumhuriyeti vatandaşları için T.C. kimlik numarasını, yabancılar için uyruğunu, pasaport numarasını veya varsa kimlik numarasını, tebligata esas yerleşim yeri veya iş yeri adresini, varsa bildirime esas elektronik posta adresini, telefon ve faks numarasını,
  • Talep konusunu,
  • Talebin Alınma tarihi
  • Taleple ilgili ekstra bilgi ve belge talep edilmiş ise; bu taleplerin tarihi ve ilgili cevapların alınması tarihi
  • Taleple ilgili yapılan işlemler
  • Taleplere Karşı Şirketin Cevapları
  • Talep Yanıtlama Tarihi
  • Yetkili İmza

Noter kanalıyla yapılan başvurulara verilen yanıtlar: Cevap, Şirket antetli kağıda basılarak Şirket’in Kişisel Verilerin Korunması ve İşlenmesi Politikası kapsamında yetki olarak atadığı kişi tarafından iki nüsha imzalanır. Cevap posta yoluyla başvuru sahibine iletilmek üzere muhaberata verilir.

Elektronik imza ile verilen yanıtlar: Cevap Şirket antetli ve elektronik imzalı olarak Şirket’in Kişisel Verilerin Korunması ve İşlenmesi Politikası kapsamında yetkili olarak atadığı kişi tarafından güvenli elektronik imza kullanılarak imzalanır. Cevap başvuru sahibinin elektronik posta hesabına gönderilir.

İlgili başvuruyla ilişkin oluşan olay kayıtları, evraklar ve sonuçları bu konuda oluşturulan elektronik dizinde saklanır. Yazılı gönderi kaydının da arşivde kopyası saklanır.

 

Bizden Haberler

  Azerbaycan Halk Cumhuriyeti'nin kuruluşunun 100. yılı dolayısıyla düzenlenen resepsiyon   Enerji Bir-Sen ile Hastanemiz arasında sağlık protokolü imzalandı   Çocuk Sağlığı ve Hastalıkları Polikliniği Güncel Çalışma Saatleri
  Tümünü Görüntüle