Ana Sayfa
SARP KARAGULLE LIMITED
Veri İşleme Sözleşmesi
Son güncelleme: 28 Ağustos 2025

Yasal Belgeler

İletişim

KİŞİSEL VERİ İŞLEME SÖZLEŞMESİ

SARP KARAGULLE LIMITED Klinik Karar Destek Sistemi

Son Güncelleme: 28 Ağustos 2025

Yürürlük Tarihi: 28 Ağustos 2025

1. TARAFLAR

Veri Sorumlusu (Sağlık Kuruluşu):

Unvanı: [Sağlık kuruluşu adı]

Adresi: [Adres]

Yasal Temsilci: [Yetkili kişi]

E-posta: [İletişim e-postası]

Veri İşleyen (SARP KARAGULLE LIMITED):

Unvanı: SARP KARAGULLE LIMITED

Company Number: 15871573

Adresi: 71-75 Shelton Street, Covent Garden, London, United Kingdom, WC2H 9JQ

Yasal Temsilci: Sarp Karagulle

E-posta: contact@sarpkaragulleltd.com

2. TANIMLAR

Bu sözleşmede kullanılan terimler 6698 sayılı Kişisel Verilerin Korunması Kanunu'ndaki tanımları ile aynı anlamda kullanılmıştır:

  • **Kişisel Veri:** Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi
  • **Özel Nitelikli Kişisel Veri:** Sağlık ve cinsel yaşam verileri dahil hassas kişisel veriler
  • **Veri Sorumlusu:** Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen kişi
  • **Veri İşleyen:** Veri sorumlusunun verdiği yetkiye dayanarak kişisel verileri işleyen kişi

3. SÖZLEŞMENİN KONUSU VE AMACI

Bu sözleşme, SARP KARAGULLE LIMITED Klinik Karar Destek Sistemi (KKDS) kullanımı sırasında hasta kişisel verilerinin işlenmesi konusunda tarafların hak ve yükümlülüklerini düzenlemektedir.

İşleme Amacı: Sinüzoidal Obstrüksiyon Sendromu (SOS) tanı ve şiddet değerlendirmesi için klinik karar desteği sağlama

4. İŞLENECEK KİŞİSEL VERİLER

4.1 Hasta Kişisel Verileri

Kimlik Bilgileri:

  • Ad, soyad
  • Doğum tarihi
  • Cinsiyet
  • Hasta kimlik numarası (opsiyonel)

    • Özel Nitelikli Kişisel Veriler (Sağlık Verileri):

  • Transplantasyon bilgileri
  • Risk faktörleri (yaş, BMI, komorbidite)
  • Laboratuvar sonuçları (ALT, AST, Bilirubin, Trombosit)
  • Klinik bulgular
  • Tanı kodları ve değerlendirme sonuçları
  • EASIX skorları
  • Tedavi geçmişi

    • 4.2 İşlem Kayıtları

  • Hasta kayıt oluşturma tarihleri
  • Veri güncelleme kayıtları
  • Sistem kullanım logları
  • Rapor oluşturma kayıtları

    • 5. VERİ İŞLEME YETKİSİ VE SINIRLARI

    5.1 İşleme Yetkisi

    Veri İşleyen, yalnızca bu sözleşmede belirtilen amaçlar doğrultusunda ve Veri Sorumlusunun talimatları çerçevesinde kişisel veri işleme yetkisine sahiptir.

    5.2 İşleme Sınırları

  • Sadece KKDS hizmeti kapsamında işleme
  • Belirtilen amaçlar dışında kullanmama
  • Üçüncü kişilerle paylaşmama
  • Ticari amaçla kullanmama

    • 5.3 Alt İşleyen Kullanımı

    Veri İşleyen, yazılı izin olmaksızın alt işleyen kullanamaz. Alt işleyen kullanımında bu sözleşme hükümlerinin uygulanması gereklidir.

    6. VERİ GÜVENLİĞİ ÖNLEMLERİ

    6.1 Teknik Önlemler

    Şifreleme:

  • Hasta isimleri: AES-256-CBC algoritması
  • Veri aktarımı: TLS 1.3 encryption
  • Veritabanı: Transparent Data Encryption (TDE)

    • Erişim Kontrolü:

  • Çok faktörlü kimlik doğrulama
  • Rol tabanlı yetki yönetimi
  • Oturum güvenliği ve zaman aşımı
  • IP kısıtlaması (gerektiğinde)

    • Altyapı Güvenliği:

  • Firewall ve IDS/IPS sistemleri
  • Düzenli güvenlik yamaları
  • Anti-malware koruması
  • Log monitoring ve SIEM

    • 6.2 İdari Önlemler

    Personel Güvenliği:

  • Gizlilik sözleşmeleri (NDA)
  • Güvenlik eğitimleri
  • Erişim yetki yönetimi
  • Düzenli denetimler

    • Süreç Güvenliği:

  • Veri işleme prosedürleri
  • Olay müdahale planları
  • Yedekleme stratejileri
  • Güvenlik politikaları

    • 6.3 Fiziksel Önlemler

  • Güvenli veri merkezi
  • Erişim kartı sistemleri
  • 7/24 güvenlik monitörü
  • Çevresel kontrollar (yangın, sel, vb.)

    • 7. VERİ SAKLAMA VE İMHA

    7.1 Saklama Süreleri

  • **Aktif Hasta Verileri:** Hekimin belirlediği süre
  • **Arşiv Verileri:** Yasal saklama süreleri (min. 10 yıl)
  • **Log Kayıtları:** 2 yıl
  • **Yedekler:** Otomatik silme döngüsü

    • 7.2 Veri İmhası

  • Sözleşme sona erdiğinde 90 gün içinde
  • Güvenli silme yöntemleri (DoD 5220.22-M)
  • Yedeklerden de tamamen silme
  • İmha belgelerinin düzenlenmesi

    • 8. VERİ SAHİBİ HAKLARI

    8.1 Hakları Kolaylaştırma

    Veri İşleyen, Veri Sorumlusunun veri sahibi haklarını yerine getirmesine yardımcı olmakla yükümlüdür:

    • Bilgi talep etme hakkı
    • Erişim hakkı
    • Düzeltme hakkı
    • Silme hakkı
    • İşlemeye itiraz hakkı
    • Veri taşınabilirliği hakkı

    8.2 Başvuru Süreci

  • Başvurular 72 saat içinde Veri Sorumlusuna iletilir
  • Teknik destek sağlanır
  • Gerekli veriler hazırlanır

    • 9. VERİ İHLALİ YÖNETİMİ

    9.1 Bildirim Yükümlülüğü

    Veri güvenliği ihlali durumunda:

  • 24 saat içinde Veri Sorumlusuna bildirim
  • İhlal detaylarının dokümantasyonu
  • Alınan önlemlerin raporlanması
  • Sürekli bilgilendirme

    • 9.2 İhlal Müdahale Süreci

    1. **Tespit ve Değerlendirme** (0-4 saat)

    2. **Acil Müdahale** (0-24 saat)

    3. **Bildirim** (24-72 saat)

    4. **İyileştirme** (7-30 gün)

    5. **Raporlama** (30 gün)

    10. DENETİM VE UYGUNLUK

    10.1 Denetim Hakları

    Veri Sorumlusu:

  • Yılda en az bir kez denetim yapabilir
  • Uygunluk belgelerini talep edebilir
  • Güvenlik testleri yapabilir
  • Üçüncü parti denetim yapabilir

    • 10.2 Uygunluk Sertifikaları

  • ISO 27001 Bilgi Güvenliği
  • ISO 27799 Sağlıkta Bilgi Güvenliği
  • SOC 2 Type II raporu
  • Penetrasyon test raporları

    • 11. SORUMLULUK VE GÜVENLİK

    11.1 Veri İşleyen Sorumluluğu

    Veri İşleyen, kendi kusuru nedeniyle oluşan zararlardan sorumludur:

  • Güvenlik önlemlerinin uygulanması
  • Veri ihlallerinin önlenmesi
  • Teknik altyapının korunması

    • 11.2 Sorumluluk Sınırları

  • Dolaylı zararlar hariç
  • Mücbir sebep durumları hariç
  • Veri Sorumlusunun kusuru hariç
  • Hizmet ücretsiz sağlandığından, tazminat sorumluluğu sınırlıdır

    • 12. SÖZLEŞME YÖNETİMİ

    12.1 İletişim Kanalları

    Veri Sorumlusu İletişim:

  • KVKK Sorumlusu: [İsim, e-posta, telefon]
  • Teknik Sorumlu: [İsim, e-posta, telefon]

    • Veri İşleyen İletişim:

  • DPO (Data Protection Officer): contact@sarpkaragulleltd.com
  • Güvenlik Sorumlusu: contact@sarpkaragulleltd.com
  • 7/24 Acil Hat: contact@sarpkaragulleltd.com

    • 12.2 Raporlama Dönemleri

  • **Aylık:** Güvenlik durumu raporu
  • **Üç Aylık:** Uygunluk değerlendirmesi
  • **Yıllık:** Kapsamlı denetim raporu

    • 13. SÖZLEŞME DEĞİŞİKLİKLERİ

    13.1 Değişiklik Koşulları

  • Yazılı anlaşma gereklidir
  • Yasal değişikliklere uyum
  • 30 gün önceden bildirim

    • 13.2 Otomatik Güncellemeler

  • Mevzuat değişiklikleri
  • Güvenlik standartları güncellemeleri
  • Endüstri en iyi uygulamaları

    • 14. SÖZLEŞME SONA ERMESİ

    14.1 Sona Erme Sebepleri

  • Sistemin kullanımının durdurulması
  • Önemli güvenlik ihlali
  • KVKK ihlali
  • Hizmetin sonlandırılması

    • 14.2 Sona Erme Sonuçları

  • Veri iade/imha süreci
  • Erişim iptal işlemleri
  • Son durum raporlaması
  • Geçiş desteği (gerektiğinde)

    • 15. UYUŞMAZLIK ÇÖZÜMÜ

    15.1 Çözüm Mekanizması

    1. **Doğrudan Görüşme** (15 gün)

    2. **Arabuluculuk** (30 gün)

    3. **Tahkim** (isteğe bağlı)

    4. **Mahkeme**

    15.2 Yetkili Mahkeme

    İstanbul (Anadolu) Adliyesi yetkilidir.

    16. ÇEŞİTLİ HÜKÜMLER

    16.1 Mevzuat Uyumu

    Bu sözleşme aşağıdaki mevzuata tabidir:

  • KVKK ve ilgili mevzuat
  • Sağlık mevzuatı
  • Bilişim mevzuatı
  • AB GDPR (uygulanabilir olduğu ölçüde)

    • 16.2 Gizlilik

    Bu sözleşme ve ticari bilgiler gizlidir.

    16.3 Kısmi Geçersizlik

    Herhangi bir hükmün geçersizliği diğerlerini etkilemez.

    17. YÜRÜRLÜK

    Bu anlaşma, sistemin kullanımı ile otomatik olarak yürürlüğe girer ve kabul edilmiş sayılır.

    EKLER

    EK-1: Teknik Güvenlik Önlemleri Detayı

    EK-2: Veri Kategorileri ve İşleme Süreleri

    EK-3: Alt İşleyen Listesi (varsa)

    EK-4: Olay Müdahale Prosedürleri

    EK-5: Denetim Kontrol Listesi

    SARP KARAGULLE LIMITED

    Klinik Karar Destek Sistemi
    71-75 Shelton Street, Covent Garden
    London, United Kingdom, WC2H 9JQ
    Company Number: 15871573
    © 2025 Tüm hakları saklıdır