KİŞİSEL VERİLERİN İŞLENMESİ VE KORUNMASI POLİTİKASI
I. GİRİŞ
A. Amaç ve Kapsam
Medoffice Sağlık Endüstri Anonim Şirketi (“Medoffice” veya “Şirket”) olarak müşterilerimiz, çalışanlarımız, ziyaretçilerimiz ve iş ortaklarımız da dahil olmak üzere, faaliyetlerimiz sırasında temasta bulunduğumuz tüm gerçek kişilerin, Anayasal bir hak olan kişisel verilerinin korunmasına ve 6698 sayılı Kişisel Verilerin Korunması Kanunu’nda (“KVKK”) yer alan düzenlemelere uyum sağlanmasına azami önem vermekteyiz.
Bu doğrultuda, Veri Sorumlusu sıfatıyla, kişisel verilerin hukuka aykırı olarak işlenmesini, bu verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla, gerekli her türlü teknik ve idari tedbirleri almaktayız.
İşbu Kişisel Verilerin İşlenmesi ve Korunması Politikası (“Politika”) ile, kişisel verilerin işlenmesi, aktarılması, korunması, saklanması ve imhasına yönelik sistemlerimiz ile temel ilkelerimiz hakkında sizleri bilgilendirmeyi amaçlamaktayız.
İşbu Politika, kişisel verilerin ve özel nitelikli kişisel verilerin otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenmesi için kullanılan tüm fiziksel ve elektronik veri kayıt sistem ve ortamlarını kapsar.
B. Tanımlar
| Terim |
Açıklama |
| Açık Rıza |
Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızadır. |
| Anayasa |
2709 sayılı Türkiye Cumhuriyeti Anayasası’dır. |
| İlgili Kişi |
Kişisel verisi işlenen gerçek kişidir. |
| İmha |
Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesidir. |
| Kişisel Veri |
Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgidir. |
| Kişisel Verileri İşleme Envanteri |
Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanterdir. |
| Kişisel Verilerin Anonim Hale Getirilmesi |
Kişisel verilerin, başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir. |
| Kişisel Verilerin Silinmesi |
Kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. |
| Kişisel Verilerin Yok Edilmesi |
Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılmaz hale getirilmesi işlemidir. |
| KVK Kurulu |
Kişisel Verileri Koruma Kurulu’dur. |
| KVKK |
6698 sayılı Kişisel Verilerin Korunması Kanunu’dur. |
| Medoffice |
Medoffice Sağlık Endüstri Anonim Şirketi’dir. |
| Özel Nitelikli Kişisel Veri |
Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileridir. |
| Periyodik İmha |
KVKK’da yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri, Şirketimizin saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla resen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemidir. |
| Politika |
Medoffice Kişisel Verilerin İşlenmesi ve Korunması Politikası’dır. |
| Ürün veya Hizmet Alan Kişi |
Medoffice’ten ürün satın alan veya hizmet alan, bu amaçla Şirket ile sözleşme ilişkisi kuran gerçek kişidir. |
| Veri İşleyen |
Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişidir. |
| Veri Kayıt Sistemi |
Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemidir. |
| Veri Sorumlusu |
Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir. |
II. KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN GENEL İLKELER
Medoffice, Anayasa’nın 20. maddesine ve KVKK’nın 4. maddesine uygun olarak, kişisel verilerin işlenmesi konusunda; hukuka ve dürüstlük kurallarına uygun, doğru ve gerektiğinde güncel; belirli, açık ve meşru amaçlar güderek; amaçla bağlantılı, sınırlı ve ölçülü bir biçimde kişisel veri işleme faaliyetinde bulunmaktadır. Bu ilkeler doğrultusunda:
- Hukuka ve Dürüstlük Kuralına Uygun İşleme: Kişisel verileriniz, kanunlara ve hukukun genel ilkelerine uygun olarak, şeffaf bir şekilde işlenmektedir.
- Doğru ve Gerektiğinde Güncel Olma: İşlenen kişisel verilerinizin doğru ve güncel olması için makul tedbirler alınmakta ve İlgili Kişilere verilerini güncelleme imkânı tanınmaktadır.
- Belirli, Açık ve Meşru Amaçlar İçin İşleme: Veri işleme faaliyetlerimizin amaçları net bir şekilde belirlenmekte ve bu amaçlar dışında veri işlenmemektedir.
- İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma: Yalnızca belirlenen amaçların gerçekleştirilmesi için gerekli olan kişisel veriler işlenmekte, amaçla ilgili olmayan verilerin toplanmasından kaçınılmaktadır.
- İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç İçin Gerekli Olan Süre Kadar Muhafaza Etme: Kişisel veriler, kanunlarda öngörülen veya işleme amacının gerektirdiği süre sonunda silinmekte, yok edilmekte veya anonim hale getirilmektedir.
III. KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN HUKUKİ SEBEPLER
Medoffice tarafından kişisel verileriniz, KVKK’nın 5. maddesinde yer alan aşağıdaki veri işleme şartlarından en az birinin varlığı halinde işlenmektedir:
- İlgili Kişi’nin Açık Rızasının Olması: Diğer işleme şartlarının bulunmadığı durumlarda (örneğin, ticari elektronik ileti gönderimi) kişisel verileriniz, özgür iradenizle verdiğiniz açık rızanıza dayalı olarak işlenmektedir.
- Kanunlarda Açıkça Öngörülmesi: Vergi mevzuatı, e-ticaret mevzuatı gibi yasal düzenlemeler gereği kişisel verileriniz işlenebilmektedir.
- Fiili İmkânsızlık Sebebiyle Rızanın Alınamaması: Hayati tehlike gibi durumlarda, rızasını açıklayamayacak durumda olan kişinin kendisinin veya bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması halinde veriler işlenebilir.
- Bir Sözleşmenin Kurulması veya İfasıyla Doğrudan İlgili Olması: Web sitemiz veya diğer kanallar üzerinden bir ürün satın almanız veya teklif istemeniz durumunda, bu talebinizi karşılamak ve satış sözleşmesini ifa etmek amacıyla kişisel verileriniz (kimlik, iletişim, sipariş bilgileri vb.) açık rızanız aranmaksızın işlenmektedir.
- Veri Sorumlusunun Hukuki Yükümlülüğünü Yerine Getirmesi: Fatura düzenlemek, yasal bildirimlerde bulunmak gibi hukuki yükümlülüklerimizi yerine getirmek için veri işlenmesi zorunlu ise verileriniz işlenir.
- İlgili Kişi’nin Kişisel Verilerini Alenileştirmiş Olması: Tarafınızca kamuoyuna açıklanmış olan veriler, alenileştirme amacıyla sınırlı olarak işlenebilir.
- Bir Hakkın Tesisi, Kullanılması veya Korunması İçin Veri İşlemenin Zorunlu Olması: Olası bir uyuşmazlık durumunda ispat yükümlülüğümüzü yerine getirmek gibi amaçlarla verileriniz işlenebilir.
- Veri Sorumlusunun Meşru Menfaatleri İçin Veri İşlemenin Zorunlu Olması: Temel hak ve özgürlüklerinize zarar vermemek kaydıyla, hizmet kalitemizi artırmak, sahtekarlığı önlemek gibi meşru menfaatlerimiz doğrultusunda verileriniz işlenebilir.
IV. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN ŞARTLAR
Medoffice, faaliyet alanı gereği özel nitelikli kişisel veri işlemeyi kural olarak hedeflememektedir. Ancak, bir ürünün kullanımı veya iadesi gibi süreçlerde dolaylı olarak veya kanuni zorunluluklar gereği bu tür verilerle karşılaşılması durumunda, KVK Kurulu tarafından belirlenen ilave idari ve teknik tedbirler alınarak ve KVKK Madde 6’da belirtilen aşağıdaki şartlardan birinin varlığı halinde işleme yapılabilir:
- İlgili kişinin açık rızasının olması,
- Kanunlarda açıkça öngörülmesi,
- Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin, kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
- İlgili kişinin alenileştirdiği kişisel verilere ilişkin ve alenileştirme iradesine uygun olması,
- Bir hakkın tesisi, kullanılması veya korunması için zorunlu olması,
- Sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlarca, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması, yönetimi ve finansmanı amacıyla gerekli olması,
- İstihdam, iş sağlığı ve güvenliği, sosyal güvenlik, sosyal hizmetler ve sosyal yardım alanlarındaki hukuki yükümlülüklerin yerine getirilmesi için zorunlu olması,
- Siyasi, felsefi, dini veya sendikal amaçlarla kurulan vakıf, dernek ve diğer kâr amacı gütmeyen kuruluş ya da oluşumların, tâbi oldukları mevzuata ve amaçlarına uygun olmak, faaliyet alanlarıyla sınırlı olmak ve üçüncü kişilere açıklanmamak kaydıyla; mevcut veya eski üyelerine ve mensuplarına veyahut bu kuruluş ve oluşumlarla düzenli olarak temasta olan kişilere yönelik olması halinde mümkündür.
V. MEDOFFICE TARAFINDAN İŞLENEN KİŞİSEL VERİ KATEGORİLERİ
Medoffice tarafından, işbu Politika’da belirtilen amaçlar ve şartlar çerçevesinde, faaliyetin niteliğine göre aşağıdaki veri kategorileri işlenmektedir:
| Veri Kategorisi |
Örnek Veriler |
| Kimlik Bilgisi |
Ad, soyad, T.C. Kimlik Numarası |
| İletişim Bilgisi |
Adres, e-posta adresi, telefon numarası |
| Finansal Bilgi |
Fatura bilgileri, banka hesap bilgileri, kredi kartı bilgileri (maskelenmiş şekilde) |
| Müşteri İşlem Bilgisi |
Sipariş bilgisi, talep/şikayet bilgisi, sepet bilgileri |
| Fiziksel Mekân Güvenliği |
Ziyaretçi giriş-çıkış kayıtları, kamera kayıtları |
| İşlem Güvenliği |
IP adresi, şifre ve parola bilgileri, çerez bilgileri |
| Pazarlama Bilgisi |
Alışveriş geçmişi, anket cevapları, kampanya bilgileri |
| Hukuki İşlem Bilgisi |
Adli makamlarla yazışmalar, dava/icra dosyası bilgileri |
| Özlük Bilgisi |
(Sadece çalışanlar için) Bordro bilgileri, SGK bilgileri |
| Görsel ve İşitsel Kayıtlar |
(Gerekli hallerde) Fotoğraf, video kayıtları |
VI. KİŞİSEL VERİLERİN AKTARILMASI
Medoffice, hukuka uygun veri işleme amaçları doğrultusunda ve gerekli güvenlik önlemlerini alarak, İlgili Kişi’nin kişisel verilerini KVKK’nın Yurt İçi Aktarım ve Yurt Dışı Aktarım ilgili maddelerine uygun olarak üçüncü kişilere aktarabilmektedir.
A. Yurt İçi Aktarım
Kişisel verileriniz, yukarıda III. bölümde sayılan hukuki sebeplerden birinin varlığı halinde; mal/hizmet satış ve teslimat süreçlerinin yürütülmesi, yasal yükümlülüklerin yerine getirilmesi gibi amaçlarla aşağıda belirtilen alıcı gruplarına aktarılabilir:
- Tedarikçiler (Kargo firmaları, ödeme hizmeti sağlayıcıları, e-posta gönderim hizmeti sunan firmalar vb.)
- İş Ortakları
- Hissedarlar ve Grup Şirketleri
- Kanunen Yetkili Kamu Kurum ve Kuruluşları (Mahkemeler, vergi daireleri vb.)
B. Yurt Dışı Aktarım
Kişisel veriler, KVKK Madde 9'da belirtilen güncel şartlara uygun olarak, ancak aşağıdaki hallerden birinin varlığı durumunda yurt dışına aktarılabilir:
- Aktarım yapılacak ülke hakkında yeterlilik kararı bulunması.
- Yeterlilik kararı bulunmamakla birlikte, taraflarca ilgili uygun güvencelerden birinin (Standart Sözleşme, Taahhütname, Bağlayıcı Şirket Kuralları) sağlanması ve Kurul’dan izin alınması.
- Yukarıdaki şartların sağlanamadığı arızi hallerde, kanunda sayılan istisnai durumlardan birinin varlığı (örneğin, sözleşmenin ifası için zorunlu olması) veya İlgili Kişi’nin açık rızasının alınması.
VII. KİŞİSEL VERİLERİN KORUNMASINA İLİŞKİN HUSUSLAR
Medoffice, KVKK’nın 12. maddesine uygun olarak, işlemekte olduğu kişisel verilerin güvenliğini sağlamak için uygun düzeyde her türlü teknik ve idari tedbiri almaktadır. Bu kapsamda; yetki matrisleri, erişim logları, siber güvenlik önlemleri (güvenlik duvarı, antivirüs vb.), şifreleme, gizlilik taahhütnameleri, veri güvenliği eğitimleri gibi yöntemler uygulanmaktadır.
VIII. KİŞİSEL VERİLERİN SAKLANMASI VE İMHASI
Kişisel veriler, işlendikleri amaç için gerekli olan süre ve ilgili mevzuatta öngörülen asgari sürelere uygun olarak muhafaza edilmektedir.
IX. İLGİLİ KİŞİ’NİN AYDINLATILMASI
Medoffice, KVKK’nın 10. maddesine uygun olarak, kişisel verilerin elde edilmesi sırasında İlgili Kişileri; veri sorumlusunun kimliği, veri işleme amaçları, hukuki sebebi, toplama yöntemi, aktarım alıcıları ve kanuni hakları konusunda aydınlatır.
X. İLGİLİ KİŞİNİN HAKLARI VE BU HAKLARIN KULLANILMASI
KVKK’nın 11. maddesi uyarınca aşağıdaki haklara sahipsiniz:
- Kişisel verilerinizin işlenip işlenmediğini öğrenme,
- İşlenmişse buna ilişkin bilgi talep etme,
- İşlenme amacını ve amacına uygun kullanılıp kullanılmadığını öğrenme,
- Yurt içinde veya yurt dışında aktarıldığı üçüncü kişileri bilme,
- Eksik veya yanlış işlenmişse düzeltilmesini isteme,
- KVKK Madde 7 çerçevesinde silinmesini veya yok edilmesini isteme,
- Düzeltme, silme veya yok etme işlemlerinin, verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
- Otomatik sistemler vasıtasıyla analiz edilmesi suretiyle aleyhinize bir sonucun ortaya çıkmasına itiraz etme,
- Kanuna aykırı işleme sebebiyle zarara uğramanız hâlinde zararın giderilmesini talep etme.
Bu haklarınıza ilişkin taleplerinizi, "Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ"e uygun olarak, Şirket’e ait web sitesinde yer alan Başvuru Formu’nu doldurarak veya kendi hazırlayacağınız bir dilekçe ile yazılı olarak veya Kayıtlı Elektronik Posta (KEP), güvenli elektronik imza, mobil imza ya da sistemimizde kayıtlı bulunan elektronik posta adresinizi kullanmak suretiyle Şirketimize iletebilirsiniz.
XI. BAŞVURULARA CEVAP VERİLMESİ
Talebiniz, niteliğine göre en kısa sürede ve en geç 30 (otuz) gün içinde sonuçlandırılacaktır. Şirketimiz başvuruyu kabul edebilir veya gerekçesini açıklayarak reddedebilir ve cevabını yazılı olarak veya elektronik ortamda tarafınıza bildirir.
XII. POLİTİKANIN YÜRÜRLÜĞÜ
İşbu Politika, Şirketimizin www.med-cover.com internet sitesinde yayımlandığı tarihte yürürlüğe girer. Politikada değişiklik yapılması durumunda, güncellenen metin yine aynı adreste yayımlandığı an itibarıyla yürürlük kazanacaktır.