GİZLİLİK VE KİŞİSEL VERİLERİN KORUNMASI POLİTİKASI
Medicasimple, Kanun’un öngördüğü ilkeler kapsamında, kişisel verilerin işlenmesi, silinmesi, yok edilmesi, anonim hale getirilmesi, aktarılması, ilgili kişinin aydınlatılması ve veri güvenliğinin sağlanmasıyla ilgili Kanun’dan kaynaklı yükümlülüklerini yerine getirmektedir.
Kanun’a uygun bir şekilde düzenlenmiş olan işbu Gizlilik ve Kişisel Verilerin Korunması Politikası kişisel verisi işlenen gerçek kişilerin (“veri sahibi”) erişimine sunulmaktadır.
- GİZLİLİK VE KİŞİSEL VERİLERİN KORUNMASI POLİTİKASININ KAPSAM VE AMACI
İşbu Gizlilik ve Kişisel Verilerin Korunması Politikası, Medicasimple’ın;
- Kişisel verilerin toplandığı yöntemler ve hukuki sebepleri,
- Hangi kişi gruplarının kişisel verilerinin işlendiğini (Veri Sahibi Kategorizasyonu),
- Veri sahiplerinin hangi kategoride kişisel verilerinin işlendiği (Veri Kategorileri) ve örnek veri türleri,
- İlgili kişisel verilerin hangi amaçlarla kullanıldığı,
- Kişisel verilerin güvenliğini sağlamak amacıyla alınan teknik ve idari tedbirleri,
- Kişisel verilerin kimlere hangi amaçlarla aktarılabileceği,
- Kamu kurum ve kuruluşları ile resmi makamlar ile gerçekleştirilen kişisel veri paylaşımı,
- Kişisel verilerin saklanma süreleri,
- Profilleme ve segmentasyon
- Veri sahiplerinin kendi kişisel verileri üzerindeki haklarının neler olduğunu ve bu hakları nasıl kullanabileceklerini
ayrıntılı olarak belirtmektedir.
- KİŞİSEL VERİLERİ TOPLAMA YÖNTEMLERİ VE HUKUKİ SEBEPLERİ
Medicasimple, kişisel verileri e-posta, posta, çerezler, idari ve adli makamlardan gelen tebligatlar, SGK sistemi üzerinden online işlemler aracılığıyla, işitsel, elektronik veya yazılı olarak, mevzuatın gerektirdiği hallerde veri sahiplerinden bizzat toplamakta ve gerektiği yerde ilgili kişilerin açık rızalarını alarak, açık rıza alınmasının gerekmediği hallerde ise aydınlatma yükümlülüğünü yerine getirerek, her halükarda ölçülülük ve veri minimizasyonu ilkelerini gözeterek işlemektedir.
Medicasimple tarafından kişisel veriler, ilgili kişilerin açık rızası, kanunlarda açıkça öngörülmüş olma, fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olma, sözleşmenin kurulması ve ifasıyla doğrudan ilgili olma, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olma, ilgili kişinin kendisi tarafından alenileştirilmiş olma, bir hakkın tesisi, kullanılması veya korunması için veri işlenmesinin zorunlu olması ve veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması hukuki sebepleriyle işlenmektedir.
Medicasimple, yürütmekte olduğu faaliyetler çerçevesinde, özel nitelikli kişisel verileri, kural olarak veri sahibinin açık rızası alınmadığı takdirde işlememektedir. Sağlık ve cinsel hayata ilişkin veriler haricindeki özel nitelikli kişisel veriler, kanunlarda öngörülen hallerde veri sahibinin açık rızası alınmaksızın işlenmekte; sağlık ve cinsel hayata ilişkin özel nitelikli veriler ise kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla veri sahibinin açık rızası alınmadan işlenmektedir.
- İLGİLİ KİŞİ KATEGORİLERİ
Medicasimple, aşağıdaki kişi gruplarının kişisel verilerini işlemektedir.
- Çalışan Adayı, Çalışan, Stajyer, Eski Çalışan,
- Çalışan Yakını,
- Hasta,
- Çevrimiçi Hasta,
- Hissedar/Ortak
- Ziyaretçi
- Veli/Vasi/Temsilci
- İş Ortağı / Tedarikçi Çalışanı
- Tedarikçi İmza Yetkilisi
- Referans
- Web sitesi ziyaretçisi
- KİŞİSEL VERİ KATEGORİLERİ VE ÖRNEK VERİ TÜRLERİ
Medicasimple tarafından, yukarıda belirtilen ilgili kişi gruplarının aşağıdaki tabloda belirtilen kişisel verileri işlenmektedir.
No
İlgili Kişi
Veri Kategorisi
Örnek Veri Türleri
1.
Çalışan Adayı/ Çalışan/ Eski Çalışan
Kimlik Bilgisi
Ad-Soyad, T.C. Kimlik Numarası, T.C. Kimlik Kartı Bilgileri (Seri No, Uyruk, Cinsiyet vb.), Doğum Tarihi, Doğum Yeri, Cinsiyet, Medeni Hali, Pasaport Numarası, Ehliyet Bilgileri, imza
İletişim Bilgisi
Adres, E-posta, Telefon/Cep Telefonu
Finansal Bilgi
Banka Hesap Bilgileri, Maaş Bilgisi, Borç Bakiyesi, IBAN Numarası, Ödeme Bilgileri, Kredi Kartı ve Banka Kartına İlişkin Bilgiler
Çalışma Bilgisi
İş Başlama/Bitiş Tarihi ve Saatleri, Departman, Unvan, Bordro Bilgileri, İzin Durumu
Özlük ve Meslek Bilgisi
Öğrenim Durumu, Mezuniyet Bilgisi, Askerlik Durumu, Geçmiş İş Deneyimi, İş Mülakatları ve Değerlendirmeler, Referanslar, İşe Giriş/Çıkış Kayıtları, Performans Değerlendirmeleri, AGİ Bilgileri, Sigorta Bilgileri, Emeklilik Bilgisi
Hukuki İşlem ve Uyum Bilgisi
Sözleşme, İcra ve Dava Dosya Bilgileri, Vekaletname
Özel Nitelikli Kişisel Veri
Adli Sicil Kaydı, Kan Grubu, Sağlık Raporu, Engellilik Durumu
Yan Haklar ve Menfaatler
Prim ve İkramiye Bilgileri, Yemek Kartı ve Araç Tahsil Bilgileri, Özel Sağlık Sigorta Bilgileri
Aile Bireyleri ve Yakın Bilgileri
Ad-Soyad, Yakınlık Derecesi, Meslek, Okul, Doğum Tarihi, Cep Telefonu, Cinsiyet
Görsel ve İşitsel Kayıtlar
Fotoğraf
Diğer
Log Kayıtları, Cihaz Mac Adresi
2.
Çalışan Yakını
Kimlik Bilgisi
Ad-Soyad, T.C. Kimlik Numarası, Doğum Tarihi
İletişim Bilgisi
Telefon/Cep Telefonu
Finansal Bilgi
Gelir Bilgisi
Özlük ve Meslek Bilgisi
Öğrenim bilgileri, çalıştığı yer, çalışma durumu
3.
Hasta
Kimlik Bilgisi
Ad-Soyad, T.C. Kimlik Numarası, T.C. Kimlik Kartı Bilgileri (Seri No, Uyruk, Cinsiyet vb.) Doğum Tarihi, Doğum Yeri, Cinsiyet, Medeni Hali, Yabancı olması halinde Pasaport Numarası, imza
İletişim Bilgisi
Adres (ev/iş), E-posta, Telefon/Cep Telefonu
Finansal Bilgi
Banka Hesap Bilgileri, Finansal Hareket Bilgileri, IBAN Numarası, Ödeme Bilgileri
Hukuki İşlem ve Uyum Bilgisi
Resmi Tutanaklar, Vekaletname
Özel Nitelikli Kişisel Veri
SGK tarafından finanse edilen hizmetler için, laboratuvar sonuçları, test ve tahlil sonuçları, muayene verileri, check-up bilgileri, reçete bilgileri dâhil ancak bu sayılanlarla sınırlı olmamak üzere sağlık verileri
İşlem Güvenliği Bilgisi
Çağrı Merkezi Kayıtları
Diğer
Özel Sağlık Sigortası ve Sosyal Güvenlik Bilgileri
4.
Çevrimiçi Hasta
Kimlik Bilgisi
Ad-Soyad, T.C. Kimlik Numarası, Doğum Yılı
İletişim Bilgisi
E-posta, Cep Telefonu
Müşteri Bilgisi
Ürüne İlişkin Şikayet ve Talep Bilgileri, Müşteri Talimat ve Kayıtları
İşlem Güvenliği Bilgisi
Log kayıtları, Cihaz Mac Adresi
5.
Hissedar/Ortak
Kimlik Bilgisi
Ad-Soyad, T.C. Kimlik Numarası, Ana Adı Baba Adı T.C. Kimlik Kartı Bilgileri (Seri No, Tabiyet, Cinsiyet vb.) Doğum Tarihi, Doğum Yeri, imza
İletişim Bilgisi
Adres (ev/iş), Telefon/Cep Telefonu
Finansal Bilgi
Malvarlığı bilgileri
6.
Ziyaretçi
İşlem Güvenliği Bilgisi
Log kayıtları, Cihaz Mac Adresi ( Şirket İnternetine bağlanmak istemesi halinde )
Diğer
CCTV
7.
Veli/Vasi/Temsilci
Kimlik Bilgisi
Ad-Soyad, T.C. Kimlik Numarası, imza
İletişim Bilgisi
Adres bilgileri, Telefon No
8.
İş Ortağı / Tedarikçi Çalışanı
Kimlik Bilgisi
Ad-Soyad, T.C. Kimlik Numarası, imza
İletişim Bilgisi
Adres, E-posta, Telefon/Cep Telefonu
9.
Tedarikçi İmza Yetkilisi
Finansal Bilgi
Banka Hesap Bilgileri, Finansal Hareket Bilgileri, IBAN Numarası, Ödeme Bilgileri, Teminat Mektubu Nüshaları/Fotokopileri
Hukuki İşlem ve Uyum Bilgisi
İmza Sirküleri, İmza Beyannamesi, Faaliyet Bilgisi, Vekaletname
10.
Referans
Kimlik Bilgisi
Ad-Soyad
İletişim Bilgisi
E-posta, Telefon/Cep Telefonu
Özlük ve Meslek Bilgisi
Meslek, Bağlı Bulunduğu Kurum veya Şirket
11.
Web sitesi ziyaretçisi
İşlem Güvenliği Bilgisi
Çerez kayıtları, Log kayıtları, Cihaz Mac Adresi
- KİŞİSEL VERİLERİN KULLANIM AMAÇLARI
Kişisel veriler, Medicasimple tarafından aşağıdaki amaçlar ile kullanılmaktadır:
- Kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi,
- 3359 s. Sağlık Hizmetleri Temel Kanunu, 5510 s. Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu, 663 s. Sağlık Bakanlığı ve Bağlı Kuruluşlarının Teşkilat ve Görevleri Hakkında Kanun Hükmünde Kararname, Özel Hastaneler Yönetmeliği, Kişisel Sağlık Verileri Hakkında Yönetmelik, Yataklı Sağlık Tesislerinde Yoğun Bakım Hizmetlerinin Uygulama Usul ve Esasları Hakkında Tebliğ, Yataklı Sağlık Tesislerinde Acil Servis Hizmetlerinin Uygulama Usul ve Esasları Hakkında Tebliğ başta olmak üzere ilgili diğer düzenlemelerde yer alan hukuki yükümlülüklerin yerine getirilmesi,
- Şirket tarafından yürütülen ticari faaliyetlerin gerçekleştirilmesi için ilgili iş birimleri tarafından gerekli çalışmaların yapılması ve buna bağlı iş süreçlerinin yürütülmesi,
- İşyeri güvenliğinin sağlanması,
- Şirketimiz ile anlaşmalı kurumlarla müşterilerimizin ilişkisinin teyit edilmesi,
- Çağrı Merkezi ve web sitesi aracılığı ile randevu alınmasına imkân tanınması ve randevular hakkında bilgilendirme yapılması,
- Özel nitelikli kişisel verilerin güvenliğinin sağlanması, bu verilere yetkisiz üçüncü kişilerce erişimin ve suistimalin önlenmesi,
- Şirket Faaliyetlerinin Şirket Prosedürleri ve/veya İlgili Mevzuata Uygun Olarak Yürütülmesinin Temini İçin Gerekli Operasyonel Faaliyetlerinin Planlanması ve İcrası
- İş Sürekliliğinin Sağlanması Faaliyetlerinin Planlanması ve/veya İcrası
- İnsan Kaynakları Süreçlerinin Yürütülmesi
- Acil Durum Yönetimi Süreçlerinin Yürütülmesi
- Çalışan Adayı / Stajyer / Öğrenci Seçme Ve Yerleştirme Süreçlerinin Yürütülmesi
- Çalışanlar İçin İş Akdi Ve Mevzuattan Kaynaklı Yükümlülüklerin Yerine Getirilmesi
- Çalışanlar İçin Yan Haklar Ve Menfaatleri Süreçlerinin Yürütülmesi
- Erişim Yetkilerinin Yürütülmesi
- Görevlendirme Süreçlerinin Yürütülmesi
- İletişim Faaliyetlerinin Yürütülmesi
- İş Faaliyetlerinin Yürütülmesi / Denetimi
- İş Sağlığı / Güvenliği Faaliyetlerinin Yürütülmesi
- Mal / Hizmet Satın Alım Süreçlerinin Yürütülmesi
- Müşteri İlişkileri Yönetimi Süreçlerinin Yürütülmesi
- Saklama Ve Arşiv Faaliyetlerinin Yürütülmesi
- Sözleşme Süreçlerinin Yürütülmesi
- Talep / Şikayetlerin Takibi
- Ücret Politikasının Yürütülmesi
- Yabancı Personel Çalışma Ve Oturma İzni İşlemleri
- Yönetim Faaliyetlerinin Yürütülmesi
- Tedarik Zinciri Yönetimi Süreçlerinin Planlanması ve İcrası
- Bilgi Güvenliği Süreçlerinin Planlanması, Denetimi ve İcrası
- Denetim/Etik Faaliyetlerinin Yürütülmesi
- Eğitim Faaliyetlerinin Yürütülmesi
- Şirketin Hukuk, Finans ve Muhasebe İşlerinin Takibi ve Yürütülmesi
- İş Ortakları ve/veya Tedarikçilerle Olan İlişkilerin Yönetimi
- Ürün ve/veya Hizmetlerin Satış Süreçlerinin Planlanması ve İcrası
- Satış Sonrası Destek Hizmetleri Aktivitelerinin Planlanması ve/veya İcrası
- Müşteri İlişkileri Yönetimi Süreçlerinin Planlanması ve İcrası, Müşteri Talep ve/veya Şikayetlerinin Takibi, Müşteri Memnuniyeti Aktivitelerinin Planlanması ve/veya İcrası
- Yetkili Kuruluşlara Kanuni Yükümlülük Gereği Bilgi Verilmesi,
- İlçe ve il sağlık müdürlüklerinin talimatları doğrultusunda Ulusal Sağlık Sistemi (USS)’ne tedavi içeriği ile kısıtlı özel nitelikli kişisel verilerin işlenmesi
- Şirket Denetim Faaliyetlerinin Planlanması ve İcrası,
- Şirketin, Şirket Yerleşkelerinin, Tesislerinin, Operasyonlarının, Demirbaşlarının, Kaynaklarının ve Taşınırlarının Güvenliğinin Temini
- Ziyaretçi Kayıtlarının Oluşturulması
- KİŞİSEL VERİLERİN AKTARILDIĞI KAMU KURUM VE KURULUŞLARI İLE RESMİ MAKAMLAR VE AKTARIM AMAÇLARI
No
Veri Sahibi
Kişisel Veriler Kiminle ve Hangi Amaçla Paylaşılıyor?
1.
Çalışan/Eski Çalışan/Çalışan Yakını
Yasal bildirimlerin gerçekleştirilmesi amacı ile kişisel verilerin SGK ile paylaşılması, AGİ faaliyetleri kapsamında çalışan yakını bilgilerinin yetkili kurumlarla paylaşılması vb. süreçler söz konusudur.
2.
Hasta
Kanuni yükümlülük gereği SGK; Sağlık Bakanlığı, Bakanlığa bağlı alt birimler ve aile hekimliği merkezleri; Nüfus Genel Müdürlüğü; Adli Makamlar; Vergi denetimleri sırasında fatura ve tahsilat makbuzlarının Maliye Bakanlığı temsilcileri ile paylaşılması söz konusudur.
4.
Ziyaretçi / Çevrimiçi Ziyaretçi
Hukuki yükümlülükler kapsamında (suçla mücadele, devlet ve kamu güvenliğinin tehdidi ve benzeri ancak bununla sınırlı olmamak üzere Şirketin yasal veya idari olarak bildirim veya bilgi verme yükümlülüğünün mevcut olduğu durumlarda) yasal olarak bu bilgileri talep etmeye yetkili olan kamu kurum ve kuruluşları ile paylaşılması; log kayıtlarının resmî kurumlar ile paylaşılması; kamera kayıtlarının talep edilmesi durumunda savcılık ve mahkeme gibi resmi kurumlar ile paylaşılması söz konusudur.
5.
İş, Çözüm Ortağı / Tedarikçi
Muhasebe tarafından yapılması gereken yasal bildirimlerin gerçekleştirilmesi amacıyla ilgili kamu kurumları ve noterler ile kişisel verilerin paylaşılması; Vergi denetimleri sırasında fatura ve tahsilat makbuzlarının Maliye Bakanlığı temsilcileri ile paylaşılması; mevcut ticari ilişkiden kaynaklı ödeme yükümlülüğünün yerine getirilebilmesi amacıyla finansal verilerin banka ile paylaşılması vb. süreçler söz konusudur.
- KİŞİSEL VERİLERİN AKTARILDIĞI ÖZEL HUKUK GERÇEK/TÜZEL KİŞİLERİ VE AKTARIM AMAÇLARI
Medicasimple, kişisel verileri yalnızca işbu Politika’da belirtilen amaçlar doğrultusunda, 3359 s. Sağlık Hizmetleri Temel Kanunu, 5510 s. Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu, 663 s. Sağlık Bakanlığı ve Bağlı Kuruluşlarının Teşkilat ve Görevleri Hakkında Kanun Hükmünde Kararname, Özel Hastaneler Yönetmeliği, Kişisel Sağlık Verileri Hakkında Yönetmelik hükümleri ve Kanun’un 8. ve 9. maddelerine uygun olarak üçüncü kişilere ve kurumlara aktarmaktadır.
Aktarıma konu olan kişisel veriler, gerekli teknik ve idari tedbirler alınarak, ilgili üçüncü kişinin sunduğu güvenli ortam ve kanallar aracılığıyla gerçekleşmektedir. Dahası aktarım yapılan üçüncü kişiler ile ek protokoller imza edilerek aktarılan kişisel veriler hukuki olarak da korunmaktadır.
Bu kapsamda aşağıdaki tabloda belirtildiği şekilde kişisel veri aktarımları gerçekleştirilmektedir.
No
Veri Sahibi
Kişisel Veriler Kiminle ve Hangi Amaçla Paylaşılıyor?
1. Hasta / Çevrimiçi Hasta
Tıbbi teşhis ve tedavi için iş birliği içerisinde olduğumuz yurt içinde bulunan laboratuvarlar, tıp merkezleri, ambulans, tıbbi cihaz ve sağlık hizmeti sunan kurumlar ile paylaşılması; Hem müşterinin hem Şirketimizin haklarının yerine getirilmesi amacıyla müşterinin ilişkili olduğu özel sigorta şirketleri ile paylaşılması; müşterilerimizin tahlil sonuçlarına ulaşabilmesi amacıyla SMS Tedarikçisi ile iletişim bilgilerinin paylaşılması; Hasta Hakları Yönetmeliği’nin 18/3 maddesi uyarınca yetki vermiş olduğunuz yakınınız ile; veraset ilamını ibraz etmek sureyle murisin yasal mirasçıları ile; Müşteriye ait faturanın yazılı ortamda hazırlanması veya e-faturasının hazırlanarak elektronik olarak gönderilmesi için fatura/e-fatura entegratörü ile fatura bilgilerinin paylaşılması; Hukuki, finansal ve operasyonel süreçlerin yürütülmesi amacıyla çalışmakta olduğumuz avukatlar ve YMM’ler dahil olmak üzere danışmanlık aldığımız üçüncü kişiler ile paylaşılması amacı ile Medicasimple hissedarları ile paylaşılmaktadır.
2. İş Çözüm Ortağı / Tedarikçi
Fiziki ve elektronik ortamdaki iş çözüm ortağı / tedarikçi verilerinin saklanması ve Şirket’in haklarının korunması, ticari faaliyetlerin yürütülmesi ve sürekliliğin sağlanması amaçlarıyla, saklama ve kayıt hizmeti veya hukuk ya da muhasebe hizmeti veren çözüm ortakları ile paylaşılmaktadır.
- KİŞİSEL VERİLERİN GÜVENLİĞİNİ SAĞLAMAK AMACIYLA ALINAN TEKNİK VE İDARİ TEDBİRLER
Medicasimple, kişisel verilerinizin gizliliği, bütünlüğü ve güvenliğinin sağlanması için gerekli özeni göstermekte ve gerekli teknik ve idari tedbirleri almaktadır. Bu kapsamda, kişisel verilerin hatalı kullanımını, hukuka aykırı olarak işlenmesini, kişisel verilere yetkisiz erişimi, verilerin ifşa edilmesini, değiştirilmesini veya imha edilmesini engellemek için aşağıda belirtilen önlemleri alır.
Anti-Virüs: Medicasimple’ın bilgi teknolojileri altyapısında bulunan tüm bilgisayar ve sunucularda periyodik olarak güncellenen anti-virüs uygulaması yüklüdür.
Firewall: Medicasimple sunucularını barındıran Veri Merkezi periyodik olarak güncellenen yazılım yüklü Firewall tarafından korunmaktadır. Yeni nesil firewalllar tüm personellerin internet bağlantılarını kontrol etmekte ve bu kontrol sırasında virüs ve benzeri tehditlere karşı koruma sağlamaktadır.
VPN: Tedarikçiler, Medicasimple sunucu ya da sistemlerine Firewall üzerinde tanımlı bulunan SSL-VPN aracılığı ile erişim sağlayabilmektedirler. Her bir tedarikçi için ayrı SSL-VPN tanımı yapılmış olup, yapılan tanımlama ile tedarikçi sadece kullanması gereken ya da yetkilendirmesi yapılan sistemlere erişim sağlamaktadır.
Kullanıcı Tanımlamaları ve Yetki Matrisi: Medicasimple çalışanlarının, Medicasimple sistemlerindeki yetkileri sadece iş tanımları ile gerekli olduğu ölçüde sınırlandırılmış olup, herhangi bir yetki ve görev değişikliği söz konusu olması durumunda yetkiler derhal sonlandırılmaktadır yahut yeni görev çerçevesinde değiştirilmektedir.
Bilgi güvenliği Tehdit ve Olay Yönetimi: Medicasimple sunucularında ve Firewallarında meydana gelen ihlaller veya tespit edilen riskler derhal Bilgi Teknolojileri departmanına bildirilmektedir. Bu departman, güvenlik tehdidi oluştuğunda ivedi bir şekilde tehdide cevap vermekte ve kişisel verilerin güvenliğini temin etmektedir.
Sızma Testi: Periyodik olarak Medicasimple sistemindeki sunuculara, bilgisayarlarına sızma testi manuel olarak tedarikçi bir firma tarafından yapılmaktadır. Bu test sonucunda oluşan güvenlik açıkları kapatılarak, ilgili güvenlik açıklarının kapatıldığına dair doğrulama testi yapılmaktadır. Ayrıca Bilgi Güvenliği Tehdit ve Olay Yönetimi sistemi tarafından da otomatik olarak sızma testi yapılmaktadır.
Çalışanlara Eğitim Verilmesi ve Farkındalığın Arttırılması: Medicasimple çalışanlarının çeşitli bilgi güvenliği ihlallerine karşı farkındalıklarını artırmak ve bilgi ihlali olaylarında insan faktörünün etkisini en aza indirmek için çalışanlara düzenli aralıklarla bilgi güvenliği hususunda hatırlatmalar yapılarak eğitimler verilmektedir. Medicasimple sistem kullanıcılarının farkındalığını artırmak için düzenli olarak kullanıcılara phishing e-mailleri gönderilmektedir. Çıkan sonuçlara göre kullanıcılara gerekirse tekrar hatırlatma ve uyarı yapılmaktadır.
Temiz Masa Prensibi: Medicasimple şirket iç kuralları uyarınca çalışanlar temiz masa prensibine uymakla yükümlüdür.
Çevrimiçi Koruma: Şirket web sitemizde kişisel verilerin alındığı tüm alanlar SSL ile korunmaktadır.
Fiziki Güvenlik: Kağıt ortamındaki kişisel verilerin mutlaka kilitli dolaplarda muhafaza edilmesini ve sadece yetkili kişiler tarafından erişilmesini sağlamaktayız.
Çerezler: Hizmet alınan üçüncü taraflara ait çerezler aracılığıyla işlenen kişisel veriler, üyelik sona erdiği takdirde üçüncü taraflara ait sistemlerden silinmektedir.
İhlal Bildirimi: Medicasimple’ın gerekli teknik ve idari bilgi güvenliği tedbirlerini almasına rağmen, Medicasimple tarafından işletilen online platformlara veya Medicasimple sistemine yapılan saldırılar sonucunda kişisel verilerin zarar görmesi veya yetkisiz üçüncü kişilerin eline geçmesi durumunda, Medicasimple durumu derhal sizlere ve Kişisel Verileri Koruma Kurulu’na bildirir ve ihlalin sonuçlarını en aza indirmek için gerekli önlemleri alır.
- KİŞİSEL VERİLERİN SAKLANMA SÜRELERİ VE İMHA KOŞULLARI
Medicasimple, işlediği kişisel verileri ilgili mevzuatta öngörülen veya işleme amacının gerektirdiği süreler boyunca Kanun ile uyumlu olarak muhafaza eder. Bu süreler aşağıdaki tabloda belirtilmiştir:
Kişisel Veri Türü
Saklama Süresi
Hukuki Dayanağı
Hastalara İlişkin Kişisel Veriler
Hukuki ilişkinin sona ermesinden itibaren 10 yıl;
6102 Sayılı Kanun, 6098 Sayılı Kanun, 213 Sayılı Kanun, 6502 Sayılı Kanun
Hastalara Ait Hasta Kayıt ve Tedavi Süreçlerine İlişkin Özel Nitelikli Kişisel Veriler
Tedavi sürecinin tamamlanma-sından itibaren hasta kayıtları 20 yıl, adli kayıtlar 30 yıl
Özel Hastaneler Yönetmeliği
Hastalara Ait Laboratuvar ve Kan Transfüzyonu Verileri
Tedavi sürecinin tamamlanma-sından itibaren fiziki olarak 30 yıl, elektronik kayıtlar süresiz
Tıbbi Laboratuvarlar Yönetmeliği, Kan ve Kan Ürünleri Yönetmeliği
İş Çözüm Ortağı / Tedarikçilere İlişkin Kişisel Veriler
Hukuki ilişkinin sona ermesinden itibaren 10 yıl
6102 Sayılı Kanun, 6098 Sayılı Kanun ve 213 Sayılı Kanun
İş Başvurusu Sırasında Alınan CV ve Özlük Bilgileri
İş başvurusunun yapıldığı tarihten itibaren 2 yıl
Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması, Şirket’in meşru menfaatleri, gerekli durumlarda açık rıza
Personele Ait Kişisel Veriler (Kimlik, İletişim, Özlük Bilgileri, Hukuki İşlem Verileri, Mesleki Deneyim, Görsel ve İşitsel Kayıtlar, Fiziksel Mekân Güvenliği)
Özlük Bilgileri personelin yaşamı boyunca, diğer veriler hukuki ilişkinin sona ermesinden itibaren 10 yıl, kamera kayıtları 6 ay
4857 Sayılı Kanun, 6698 s. Kanun uyarınca Medicasimple’nun meşru menfaatleri
Personele Ait Özel Nitelikli Kişisel Veriler (Ceza Mahkumiyeti ve Sağlık Verileri)
Sağlık Verileri 15 yıl, Ceza Mahkumiyeti hukuki ilişkinin sona ermesinden itibaren 10 yıl
6331 Sayılı Kanun başta olmak üzere kanunlarda öngörülme ve gerekli durumlarda açık rıza
Çağrı Merkezi Ses Kayıtları
3 yıl
6098 s. Kanun
Ziyaretçilere İlişkin Kişisel Veriler (Kamera Kayıtları)
1 hafta
İlgili Mevzuat Gereği ve Fiziki Güvenliğin Sağlanması
Çevrimiçi Ziyaretçilere İlişkin Kişisel Veriler
2 yıl
5651 Sayılı Kanun
Muhasebe ve Finansal İşlemlere İlişkin Tüm Kayıtlar
10 yıl
4857 Sayılı Kanun, 6098 Sayılı Kanun
Medicasimple, iş süreçleri kapsamında fiziki, elektronik, web sitesi, e-posta gibi kanallardan toplayarak işlediği kişisel verileri, Kanun’un 7. ve 17. maddeleri ve Türk Ceza Kanunu Madde 138 uyarınca, ilgili kanunların veya ikincil mevzuatın öngördüğü süreler ve/veya işleme amacının gerekli kıldığı süreler boyunca saklamaktadır. Bu sürelerin sona ermesi durumunda ise Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik hükümleri ve Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Rehberi uyarınca silmekte, yok etmekte veya anonim hale getirmektedir. Medicasimple tarafından periyodik imha süresi 6 ay olarak belirlenmiştir.
Medicasimple tarafından kişisel verilerin silinmesi, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemini; kişisel verilerin yok edilmesi, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemini ifade etmektedir. Kişisel verilerin anonim hale getirilmesi ise, bu verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesini ifade etmektedir.
Medicasimple, Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik uyarınca hazırladığı Kişisel Verilerin Saklanması ve İmhası Politikası kapsamında silme, yok etme ve anonim hale getirmeye ilişkin yöntemleri ve aldığı teknik ve idari tedbirleri ayrıntılı olarak açıklamaktadır.
- VERİ SAHİPLERİNİN HAKLARI VE BU HAKLARIN KULLANIMI
Kişisel veri sahibi ilgili kişiler, Kanun’un 11. maddesi uyarınca aşağıda sayılan haklara sahiptir:
- Kişisel verilerinin işlenip işlenmediğini öğrenme,
- Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
- Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
- Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
- Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
- Kişisel verilerin silinmesini veya yok edilmesini isteme,
- Kişisel verilerinin düzeltilmesi, silinmesi ya da yol edilmesi halinde bu durumun kişisel verilerinin aktarıldığı üçüncü kişilere bildirilmesini isteme,
- İşlenen kişisel verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
- Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme.
Kişisel verileriniz üzerindeki haklarınızı kullanmak amacıyla; WEB/KVKK internet sitesinden erişebileceğiniz “Başvuru Formu”nu doldurup;
- YM adresine bizzat getirebilir,
- Belirtilen adrese, ıslak imzalı olarak noter kanalıyla gönderebilir,
- KEP adresine güvenli elektronik ya da mobil imzalı olarak, kayıtlı elektronik posta adresi veya sistemimizde kayıtlı elektronik e-posta adresiniz aracılığıyla iletebilirsiniz.