MEDLIFE SAĞLIK HİZMETLERİ A.Ş.

KİŞİSEL VERİ İŞLEME ENVANTERİ VE KİŞİSEL VERİLERİN KORUNMASI POLİTİKASI

İÇİNDEKİLER

GİRİŞ

1.POLİTİKANIN HAZIRLANMA AMACI VE KAPSAMI

2. TANIMLAR VE KISALTMALAR

3. KİŞİSEL VERİLERİN İŞLENMESİNDE GENEL İLKELER

3.1. Hukuka ve dürüstlük kuralına uygunluk

3.2. Doğruluk ve güncellik

3.3. Belirli, açık ve meşru amaçlarla işleme

3.4. Verileri işlendikleri amaç ile bağlantılı, sınırlı ve ölçülü olarak işleme

3.5. Mevzuat hükümleri ile öngörülen veya işlenme amacının gerektirdiği süre ile sınırlı olarak işleme

4. KİŞİSEL VERİLERİN İŞLENME ŞARTLARI

4.1.Kişisel Verilerin İşlenmesi Şartları

4.2.Özel Nitelikli Kişisel Verilerin İşlenmesi Şartları

5. KİŞİSEL VERİLERİN TOPLANMASI VE İŞLENMESİ YÖNTEMLERİ

5.1.Kişisel Veri Konusu Kişi Grupları 5.2.Veri Kategorizasyonu

5.3.Kişisel Veri Konusu Kişi Gruplarında Yer Alan Kişisel Veri Sahiplerinin Kişisel Verilerinin Toplanması Ve İşlenmesinin Amaçları

5.4.Veri Konusu Kişi Grupları İle Bu Kişilere Ait Veri Kategorilerinin İlişkilendirilmesi

6. KİŞİSEL VERİLERİN AKTARILMASI İLKELERİ 0.XẊŞİSEL VERİLERİN YURTDIŞINA AKTARILMASI 7.1.Kişisel Verilerin Yurtdışına Aktarılması

7.2. Özel Nitelikli Kişisel Verilerin Yurtdışına Aktarılması

0.XẊŞİSEL VERİLERİN SAKLANMASI

0.XẊŞİSEL VERİLERİN KORUNMASINA İLİŞKİN ALINAN TEDBİRLER

9.1. Teknik Tedbirler

9.2. İdari Tedbirler

9.3. Kişisel Verilerin Korunması Kapsamında Alınan Tedbirlerin Denetimi

10.VERİ SORUMLUSUNUN XXXXXXXXXX YÜKÜMLÜLÜĞÜ

11.MEDLIFE TIP MERKEZI’NIN BAŞVURULARA CEVAP VERMESI

11.1. Medlife Tıp Merkezi’nin Başvurulara Cevap Verme Usulü ve Süresi

11.2. Medlife Tıp Merkezi’nin Başvuruda Bulunan Kişisel Veri Sahibinden Talep Edebileceği Bilgiler

11.3. Medlife Tıp Merkezi’nin Kişisel Veri Sahibinin Başvurusunu Reddetme Hakkı

12. REVİZYON VE YÜRÜRLÜKTEN KALDIRMA

13. YÜRÜRLÜK

14. YÜRÜTME

15. EKLER

GİRİŞ

PANMED SAĞLIK HİZMETLERİ ANONİM ŞİRKETİ (Bundan böyle “Medlife Tıp Merkezi” veya “Hastane” olarak ifade edilecektir) Xxxxxxx Xxx. Xxxxxxx Xxxx. Xx:000X, Xxxxxx / XXXXX merkezinde yer almaktadır.

Medlife Tıp Merkezi 6698 sayılı Kişisel Verilerin Korunması Hakkında Kanun (bundan böyle ‘’KVK Kanunu’’ olarak ifade edilecektir) kapsamında veri sorumlusu tüzel kişidir.

Kişisel veri sahipleri, kişisel verileri aşağıda belirtilen amaçlar dâhilinde 6698 sayılı KVK Kanunu ve Medlife Tıp Merkezi’nin tabi olduğu sair mevzuat hükümleri gereğince kişisel verileri toplanan, işlenen ve aktarılan gerçek kişilerdir.

Medlife Tıp Merkezi, kişisel verilerin güvenliği hususuna azami hassasiyet göstermektedir. Bu bilinçle kişisel veri sahiplerinin kişisel verileri, 6698 sayılı KVK Kanunu, Kanun’un ikincil düzenlemelerini teşkil eden sair mevzuata uygun olarak işlenmekte ve saklanmaktadır.

1. POLİTİKANIN HAZIRLANMA AMACI VE KAPSAMI

İşbu Politika ile Medlife Tıp Merkezi tarafından KVK Kanunu’na uyum için aşağıda açıklanacak olan temel ilkeler çerçevesinde getirilecek düzenlemelerin Medlife Tıp Merkezi bünyesinde hissedarlar, yetkililer, çalışanlar ve iş ortakları tarafından etkin bir şekilde uygulanması amaçlanmaktadır.

İşbu Politika ile öngörülen temel düzenlemeler doğrultusunda Medlife Tıp Merkezi işleyişi içerisinde kişisel verilerin işlenmesi ve korunması bakımından her türlü idari ve teknik tedbir alınacak, gerekli iç prosedürler oluşturulacak, farkındalığın yükseltilmesi için gerekli tüm eğitimler yapılacaktır. Hissedarlar, yetkililer, çalışanlar ve iş ortaklarının KVKK süreçlerine uyumları için gerekli tüm tedbirler alınarak uygun ve etkin denetim mekanizmaları kurulacaktır.

İşbu Politika, tüm bu süreçlerde gözetilecek temel ilkeleri ve KVK Kanunu ile getirilen düzenlemeler uyarınca iç işleyişin yönlendirilmesi için Medlife Tıp Merkezi’nin yükümlülüklerini düzenlenmektedir. KVK Kanunu ve ilgili mevzuat çerçevesinde oluşturulacak iç prosedürler ile Medlife Tıp Merkezi’nin kişisel verilerin korunması hususunda gerçekleştireceği uyum faaliyetleri düzenlenecektir. Medlife Tıp Merkezi’nin tüm çalışanları görevlerini yerine getirirken işbu Politika ile getirilen düzenlemeler ile KVK Kanunu ve ilgili tüm diğer mevzuat hükümlerine uygun hareket etmekte yükümlüdür.

İşbu Politika’ya ve ilgili mevzuat hükümlerine uyulmaması halinde, mevzuat hükümleri ile öngörülen cezai ve hukuki sorumluluğun yanında, Medlife Tıp Merkezi’nde, olayın mahiyetine göre, iş hayatını düzenleyen mevzuat çerçevesinde akdin haklı nedenle feshine kadar gidebilecek olan yaptırımlar uygulanacaktır.

2. TANIMLAR VE KISALTMALAR

XXxXX XXXX: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı ifade eder.

İLGİLİ KULLANICI: Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişilerdir.

İMHA: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi.

KANUN/KVKK KİŞİSEL VERİ: 6698 Sayılı Kişisel Verilerin Korunması Kanunu. Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.

KAYIT ORTAMI: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam.

KİŞİSEL VERİLERİN İŞLENMESİ: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.

KİŞİSEL VERİLERİN ANONİM HALE GETİRİLMESİ: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesi.

KİŞİSEL VERİLERİN SİLİNMESİ: Kişisel verilerin silinmesi; kişisel verilerin İlgili Kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi.

KİŞİSEL VERİLERİN YOK EDİLMESİ: Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemi.

KURUL: Kişisel Verileri Koruma Kurulu

ÖZEL NİTELİKLİ KİŞİSEL VERİ: Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri.

PERİYODİK İMHA: Kanun’da yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla re’sen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi.

VERİ SAHİBİ / İLGİLİ KİŞİ: Kişisel verisi işlenen gerçek kişi.

VERİ SORUMLUSU: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi.

YÖNETMELİK: Veri Sorumluları Sicili Hakkında Yönetmelik

KVK Kanunu kapsamında Medlife Tıp Merkezi veri sorumlusu sıfatını haiz olacak olup VERBİS sistemine kaydolacaktır. Yönetmelik’in 11’inci maddesinin 1’inci fıkrasında “Türkiye’de yerleşik olan tüzel kişilerin Kanun kapsamındaki veri sorumlusu Yükümlülükleri, ilgili mevzuat hükümlerine göre tüzel kişiliği temsil ve ilzama yetkili yetkili organ veya ilgili mevzuatta belirtilen kişi veya kişiler marifetiyle yerine getirilir. Tüzel kişiliği temsile yetkili organ Kanunun uygulanması bakımından yerine getirilecek Yükümlülükleri ile ilgili olarak bir veya birden fazla kişiye görevlendirebilir” şeklinde düzenleme yapılmıştır.

Yönetim Kurulu tarafından TTK’nın ilgili maddeleri uyarınca sınırları belirlenmiş olarak şirketin yönetim ve temsili verilen kişiler TTK, TBK ve TCK kapsamında kendi yetki sınırları dâhilinde gerçekleşen işlem ve eylemlerden sorumludur. Özellikle kollukta, savcılıklarda, kamu kurumlarında ve mahkemelerde şirketi temsil etme ile ifade vermeye yetkili olarak seçilmişlerdir.

0.XẊŞİSEL VERİLERİN İŞLENMESİNDE GENEL İLKELER

Medlife Tıp Merkezi, KVK Kanunu’nun 4. maddesi doğrultusunda işbu Politika kapsamında kalan kişisel verileri aşağıdaki ilkelere uygun işleyeceğini kabul etmektedir:

3.1. Hukuka ve dürüstlük kuralına uygunluk

Medlife Tıp Merkezi, veri sorumlusu sıfatı ile ve basiretli bir tacir olarak Anayasa ve KVK Kanunu başta olmak üzere yürürlükte olan ve yürürlüğe girecek olan tüm mevzuat hükümlerine uygun olarak ve Medeni Kanun’un 2. maddesi ile öngörülen dürüstlük kuralına uygun bir biçimde kişisel veri işleme faaliyetlerini yürüteceğini kabul etmektedir.

3.2. Doğruluk ve güncellik

Medlife Tıp Merkezi, kişisel verilerin işlenmesi faaliyetlerinde, tekniğin elverdiği ölçüde kişisel verilerin doğruluk ve güncelliğinin sağlanması için gerekli tüm tedbirleri almaktadır.

İlgili kişinin veri sorumlusu sıfatı ile Medlife Tıp Merkezi’ne bildireceği talepler ve Medlife Tıp Merkezi’nin bizzat gerekli göreceği durumlar doğrultusunda, hatalı veya güncel olmayan kişisel verilerin düzeltilmesi ve doğruluğunun denetlenmesi için Medlife Tıp Merkezi tarafından kurulan idari ve teknik mekanizmalar işletilecektir.

3.3. Belirli, açık ve meşru amaçlarla işleme

Medlife Tıp Merkezi tarafından kişisel veriler, ilgili mevzuat hükümlerinin gereklilikleri ile sunulan veya sunulacak olan hizmetlerle sınırlı olarak hukuka uygun biçimde işlenmekte olup kişisel verilerin işlenme amacı verilerin işlenmeye başlanmasından önce açık ve kesin olarak belirlenmektedir.

3.4. Verileri işlendikleri amaç ile bağlantılı, sınırlı ve ölçülü olarak işleme

Medlife Tıp Merkezi tarafından kişisel veriler işlenme amaçları ile bağlantılı ve sınırlı olarak ve bu amacın gerçekleşmesi için gerektiği ölçüde işlenmektedir. Bu kapsamda verilerin işlenme amacı ile ilgili olmayan ve ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınılması temel esastır.

3.5. Mevzuat hükümleri ile öngörülen veya işlenme amacının gerektirdiği süre ile sınırlı olarak işleme

Kişisel veriler, ilgili mevzuat hükümleri ile öngörülen süreler doğrultusunda veya verilerin işlenme amacının gerektirdiği süre boyunca muhafaza edilmektedir. Mevzuat hükümleri ile öngörülen sürenin sonunda veya verilerin işlenme amacının gerektirdiği sürenin sonunda kişisel veriler Medlife Tıp Merkezi tarafından silinmekte, yok edilmekte veya anonim hale getirilmektedir. Verilerin gerekli sürenin sonunda muhafaza edilmesinin önlenmesi için gerekli idari ve teknik tedbirler alınacaktır.

0.XẊŞİSEL VERİLERİN İŞLENME ŞARTLARI

KVK Kanunu ile kişisel verilerin işlenme koşulları düzenlenmiş olup, Medlife Tıp Merkezi tarafından kişisel veriler aşağıda belirtilen söz konusu koşullara uygun olarak işlenmektedir.

4.1.Kişisel Verilerin İşlenmesi Şartları

KVK Kanunu’nda sayılan istisnalar dışında, Medlife Tıp Merkezi ancak veri sahiplerinin açık rızasını temin etmek suretiyle kişisel veri işlemektedir.

Kanun’da sayılan aşağıdaki hallerin varlığı durumunda ise, veri sahibinin açık rızası olmasa dahi kişisel veriler işlenebilmektedir:

● Kanunlarda açıkça öngörülmesi,

● Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,

● Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.

● Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,

● Veri sahibinin kendisi tarafından alenileştirilmiş olması,

● Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,

● Veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

4.2.Özel Nitelikli Kişisel Verilerin İşlenmesi Şartları

Veri sahipleri açısından korunmasının çeşitli açılardan daha kritik önem teşkil ettiğine inanılan özel nitelikli kişisel verilerin işlenmesinde ise Medlife Tıp Merkezi tarafından özel hassasiyet gösterilmektedir. Bu kapsamda, Xxxxx tarafından belirlenen yeterli önlemlerin alınması şartıyla bu tür veriler, veri sahiplerinin açık rızası olmaksızın işlenmemektedir.

Ancak, sağlık ve cinsel hayat ile ilgili veriler dışındaki özel nitelikli kişisel veriler, kanunlarda öngörülen hallerde veri sahibinin açık rızası olmaksızın da işlenebilmektedir. Bununla beraber, sağlık ve cinsel hayata ilişkin veriler ise yeterli önlemlerin alınması şartıyla ve aşağıda sayılan sebeplerin varlığı halinde açık rızası alınmaksızın işlenebilmektedir:

- Kamu sağlığının korunması,

● Koruyucu hekimlik,

● Tıbbî teşhis,

● Tedavi ve bakım hizmetlerinin yürütülmesi,

● Sağlık hizmetleri ile finansmanının planlanması ve yönetimi.

0.XẊŞİSEL VERİLERİN TOPLANMASI VE İŞLENMESİ YÖ NTEMLERİ

Medlife Tıp Merkezi, KVK Kanunu’na uygun olarak ve Xxxxxxxxxxx’xx 0’xxxx,0’xxx,0’uncu ve 10’uncu maddesi kapsamında düzenlenmesi ve aşağıda yer alan bilgileri içermesi zorunlu olan Kişisel Veri İşleme Envanteri’ne dayalı olarak gerçek kişilere ait kişisel verileri işlemektedir.

İşbu Politika’da ayrıca Kişisel Veri İşleme envanteri başlığına yer verilmemiş olsa da işbu başlık ve takip eden başlıklarda aşağıdaki bilgilerin yer alması halinde ilgili maddeler “Kişisel Veri İşleme Envanteri” hükmünde sayılacaktır.

1. Kişisel veri işleme amaçları,

2. Veri kategorisi

3. Verilerin aktarıldığı alıcı grubu veya alıcı grupları

4. Veri konusu kişi grupları

5. Veri kategorisi ile veri konusu kişi gruplarının ilişkilendirilmesi

6. Yabancı ülkelere aktarımı öngörülen kişisel veriler

7. Veri güvenliğine ilişkin alınan tedbirler

8. Kişisel verilerin işlendikleri amaçlar için gerekli olan azami süre

5.1.Kişisel Veri Konusu Kişi Grupları

MEDLIFE TIP MERKEZİ HİSSEDARLARI: Medlife Tıp Merkezi’nin hisselerine sahip olan gerçek kişiler. MEDLIFE TIP MERKEZİ YETKİLİLERİ: Medlife Tıp Merkezi’nin Yönetim Kurulu üyeleri ve diğer yetkili gerçek kişiler.

MEDLIFE TIP MERKEZİ KİRACI, TEDARİKÇİ VE TAŞERONLARI: Medlife Tıp Merkezi’nin bölümlerinde kira çerçevesinde faaliyetini kiracıların yetkili gerçek kişileri; Medlife Tıp Merkezi’nin faaliyetlerini yerine getirirken kullandığı tedarikçi ve taşeronların yetkili gerçek kişileri ve bu kişiler tarafından görevlendirilen çalışanlar.

ÇALIŞAN / STAJYER: Medlife Tıp Merkezi bünyesinde çalışan veya staj yapan gerçek kişiler.

5.2. Veri Kategorizasyonu

KİMLİK BİLGİSİ: Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; kişinin kimliğine dair bilgilerin bulunduğu verilerdir; ad-soyad, T.C. kimlik numarası, uyruk bilgisi, anne adı-baba adı, nüfusa kayıtlı olduğu yer ve diğer nüfus bilgileri, doğum yeri, doğum tarihi, cinsiyet, medeni durum gibi bilgileri içeren ehliyet, nüfus cüzdanı ve pasaport gibi belgeler ile vergi numarası, SGK numarası, imza bilgisi vb. bilgiler

İLETİŞİM BİLGİSİ: Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; telefon numarası, adres, e-mail adresi, faks numarası, IP adresi gibi bilgiler

AİLE BİREYLERİ VE YAKIN BİLGİSİ: Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; Medlife Tıp Merkezi tarafından yürütülen faaliyetler çerçevesinde, kişisel veri sahibinin aile bireyleri (ör. eş, xxxx, baba, çocuk), yakınları ve acil durumlarda ulaşılabilecek diğer kişiler hakkındaki bilgiler)

GÜVENLİK BİLGİSİ: Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; fiziksel mekâna girişte, fiziksel mekânın içerisinde kalış sırasında alınan kayıtlar ve belgelere ilişkin kişisel veriler; kamera kayıtları, taşıt plaka bilgileri, güvenlik noktasında alınan kayıtlar, telefon aramalarında alınan ses kayıtları vb.

FİNANSAL BİLGİ: Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; Medlife Tıp Merkezi’nin kişisel veri sahibi ile kurmuş olduğu hukuki ilişkinin tipine göre değişkenlik gösteren bilgi, belge ve kayıtlara ilişkin işlenen finansal kişisel veriler ile banka hesap numarası, banka hesap bilgileri,(IBAN no, hesap sahibi vb.) kredi kartı bilgisi vb. ve çalışanlara ilişkin finansal ve maaş detayları, bordrolar, prim hak edişleri, prim tutarları, icra takip dosyalarına ilişkin

dosya ve borç bilgileri, banka hesap cüzdanı, asgari geçim indirimi bilgisi, özel sağlık sigortası tutarı vb. bilgiler.

ÖZLÜK BİLGİSİ (PERFORMANS DEĞERLENDİRME VERİLERİ, KARİYER GELİŞİM VERİLERİ,

ÇALIŞMA VE İZİN GÜNLERİNE İLİŞKİN KAYITLAR): Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; Medlife Tıp Merkezi ile çalışma ilişkisi içerisinde olan gerçek kişilerin özlük haklarının oluşmasına temel olacak ve özlük dosyasında yer alması kanunen zorunlu tutulan bilgiler (Öğrenim durumu, sertifika ve diploma bilgileri, yabancı dil bilgileri, eğitim ve beceriler, CV, aldığı kurslar, İzin kıdem baz tarihi, izin kıdem ilave gün, izin grubu, çıkış/dönüş tarihi, gün, izine çıkış nedeni, izinde bulunacağı adres/telefon, pozisyon adı, departmanı ve birimi, unvanı, son işe giriş tarihi, işe giriş çıkış tarihleri, sigorta giriş/emeklilik, sosyal güvenlik no, esnek saatlerde çalışma durumu, seyahat durumu çalışma gün sayısı, çalıştığı projeler, aylık toplam mesai bilgisi, kıdem tazminatı baz tarih, kıdem tazminatı ilave gün, grevde geçen gün, çalışan internet erişim logları, giriş çıkış logları elde edilmesine yönelik işlenen her türlü kişisel veri ve çalışanın bulunduğu pozisyonda ilerleyebilmesi için gerekli olan performans, eğitim ve beceriler, hangi tarihte hangi eğitimi aldığı bilgisi, e-posta, imzalı katılım formu, müşteri ile görüşme kalite değerlendirme formu, aylık performansının değerlendirilmesi ve hedef gerçekleştirme durumu, aktivite) bilgileri.

ÖZEL NİTELİKLİ KİŞİSEL VERİ: Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; KVK Kanunu’nun 6. maddesinde belirtilen veriler (ör. kan grubu da dâhil sağlık verileri, biyometrik veriler, din ve üye olunan dernek bilgisi gibi)

TALEP VE ŞİKAYET YÖNETİMİ BİLGİSİ: Kimliği belirli veya belirlenebilir bir gerçek kişiye ait olduğu açık olan; kısmen veya tamamen otomatik şekilde veya veri kayıt sisteminin bir parçası olarak otomatik olmayan şekilde işlenen; Medlife Tıp Merkezi’ne yöneltilmiş olan her türlü talep veya şikâyetin alınması ve değerlendirilmesine ilişkin kişisel veriler

5.3.Kişisel Veri Konusu Kişi Gruplarında Yer Alan Kişisel Veri Sahiplerinin Kişisel Verilerinin Toplanması ve İşlenmesinin Amaçları

Medlife Tıp Merkezi, hissedar ve yetkililerinin kişisel verilerini, Türk Ticaret Kanunu, Vergi Usul Kanunu, İş Kanunu ve ilgili sair mevzuattan kaynaklanan yasal yükümlülükleri çerçevesinde Giriş kısmında yazılı olan faaliyetlerin gerçekleştirilebilmesi amacıyla işlemektedir. İşbu kişisel veriler resmi kurumlarda Medlife Tıp Merkezi’ne ilişkin olarak tutulan kayıtlardan, şirket genel kurul ve yönetim kurulu toplantı tutanaklarından, şirketin kurumsal ve yönetim süreçlerine ilişkin tutulan evraklardan elde edilmektedir.

Medlife Tıp Merkezi, hastanenin bağımsız bölümlerinde kira sözleşmesi çerçevesinde faaliyetini sürdüren kiracıların yetkili gerçek kişilerine ait veri kategorisinde yer alan verilerini; taraflar arasında bulunan kira sözleşmesinin ifasının sağlanabilmesi, hastanenin genel güvenliğinin ve düzeninin sağlanmasında veri sorumlusunun üzerine düşen yükümlülük nedeniyle tüm kiracıların kurallara uygun davranmasının sağlanması ve sözleşmelerde yer alan yükümlülüklerin ihlali halinde sözleşmeye uygun ifanın sağlanabilmesi için ihtarnameler çekilebilmesi, icra ve dava yollarına başvurulabilmesi ve diğer tedbirlerin alınabilmesi amacıyla kaydeder.

Hastanede bulunan kiracıların kişisel verileri kira sözleşmesi, zeyilnameler, ek sözleşmeler, protokoller, mail yazışmaları, kiracıların kendileri tarafından verilen kartvizitler aracılığı ile elde edilmektedir.

Medlife Tıp Merkezi, hastanenin faaliyetlerinin yerine getirilmesinde yardımcı olan tedarikçi ve taşeronların yetkili gerçek kişilerinin ve bu tedarikçi ve taşeronlar tarafından görevlendirilen gerçek kişi çalışanlarının görevlerini yerine getirip getirmediğini kontrol etmek ve şirketin faaliyetlerinin düzenini sağlamak amacıyla kaydeder. Tedarikçi ve taşeronların kişisel verileri, kendileri ile kurulan iletişim sonucu yollanan ve alınan e- mailler, yapılan telefon görüşmeleri ile kartvizit ve internet sitesi bilgilerinin aktarılması yoluyla elde edilmektedir.

Medlife Tıp Merkezi, bünyesinde çalışan personellerin ve stajyerlerin kişisel verilerini, SGK kaydının yapılabilmesi için, yürürlükteki İş Kanunu ve İş Sağlığı ve Güvenliği Kanunu’nun uygulamaları kapsamında kişilerin personel özlük dosyasında bulunması zorunlu evrakların tamamlanması amacıyla talep etmekte ve işlemektedir. İşbu kişisel veriler, işe giriş ve iş başvurusu aşamasında açık rızaları ile ilettikleri öz geçmiş, iş başvuru formları, aday havuzu hizmetleri veren insan kaynakları yazılım programlarının (Xxxxxxx.xxx, LinkedIn gibi) sunduğu özgeçmiş görüntüleme yöntemleri, mülakat esnasında kendilerine sorulan ve rızaları ile yanıtladıkları sorulara verdikleri cevaplar aracılığıyla elde edilmektedir.

Medlife Tıp Merkezi, kendisine iş başvurusu yapan gerçek kişilerden kişisel verilerini, kişiyle işe alım sürecinde mülakat amaçlı iletişim kurmak ve mülakat sırasında kişinin nitelikleri ve deneyimleri ile işe alım yapılacak açık pozisyonun uyumlu olup olmadığını tespit etmek amacıyla talep etmekte ve işlemektedir. İşbu kişisel veriler, başvuru yapan kişilerin kendi açık rızaları ile öz geçmişlerini insan kaynakları departmanına yollamaları, mülakat esnasında kendi rızaları ile sorulan soruları yanıtlamaları ya da ilan yayınlama ve aday havuzu hizmetleri veren insan kaynakları yazılım programlarının (Xxxxxxx.xxx, LinkedIn gibi) sunduğu özgeçmiş görüntüleme yöntemleri ile elde edilmektedir.

Medlife Tıp Merkezi, işbirliği içerisinde olduğu iş ortaklarının çalışanları ve yetkili gerçek kişilerinin verilerini iş ortaklığının kurulma amaçları çerçevesinde kaydetmektedir. Mal ve hizmet tedarikçilerinden temin edilen ve alışveriş merkezinin ticari faaliyetlerini yerine getirmek için gerekli hizmetlerin Medlife Tıp Merkezi’nde sunulmasının sağlanması ve bunun denetlenmesi amacıyla bu kişilerin kişisel verilerini kaydeder. İşbu kişisel veriler imzalanan sözleşmeler, gönderilen faturalar, cihaz teslim tutanakları, mail yazışmaları, telefon ve sair yollarla kurulan iletişim ile kartvizitlerden elde edilmektedir.

Medlife Tıp Merkezi’nin faaliyet gösterdiği yerleşkeye gelen tüm ziyaretçilerin plaka bilgileri, şikâyet ve talep formunda yer alan bilgileri, kimlik bilgileri hastanenin faaliyet gösterdiği yerleşkenin güvenliğinin sağlanması amacıyla elde edilmektedir. Kişilerin talep ve şikâyetlerini iletmek için Call Center veya hastanenin ilgili departmanlarını araması halinde, hizmet kalitesinin sağlanması amacıyla kişilerin ses kayıtları işlenmektedir. Bankoda, danışmada veya Wİ-Fİ giriş ekranında kişiler tarafından sağlanan veriler, hizmet kalitesinin sağlanması, faaliyetlerin yerine getirilmesi ve güvenlik sebepleriyle işlenmektedir. Medlife Tıp Merkezi yerleşkesini her ne sebeple olursa olsun ziyaret eden kişilerin görüntüleri 7/24 güvenlik kamera görüntüsü yöntemleri ile elde edilmektedir.

5.4.Veri Konusu Kişi Grupları İle Bu Kişilere Ait Veri Kategorilerinin İlişkilendirilmesi

KİMLİK BİLGİSİ: Şirket hissedarları, yönetim kurulu üyeleri, icra kurulu üyeleri, çalışanları, stajyerleri, yetkilileri, taşeron ve tedarikçiler, kiracılar, hizmet sunucular, hizmet sunma teklifinde bulunanlar, çalışma veya staj başvurusu yapanlar, ziyaretçi ve hastalar, hastanenin sunmakta olduğu herhangi bir hizmetten yararlanan veya yararlanma talebi ile başvuran tüm kişiler, şirketin işbirliği içinde olduğu kurum ve kuruluşlarda çalışanlar ile bunların aile ve yakınları

İLETİŞİM BİLGİSİ: Şirket hissedarları, yönetim kurulu üyeleri, icra kurulu üyeleri, çalışanları, stajyerleri, yetkilileri, taşeron ve tedarikçiler, kiracılar, hizmet sunucular, hizmet sunma teklifinde bulunanlar, çalışma veya staj başvurusu yapanlar, ziyaretçi ve hastalar, hastanenin sunmakta olduğu herhangi bir hizmetten yararlanan veya yararlanma talebi ile başvuran tüm kişiler, şirketin işbirliği içinde olduğu kurum ve kuruluşlarda çalışanlar ile bunların aile ve yakınları

AİLE BİREYLERİ VE YAKIN BİLGİSİ: Şirket hissedarları, yönetim kurulu üyeleri, icra kurulu üyeleri, çalışanları, stajyerleri, yetkilileri, taşeron ve tedarikçiler, kiracılar, hizmet sunucular, hizmet sunma teklifinde bulunanlar, çalışma veya staj başvurusu yapanlar, ziyaretçi ve hastalar, hastanenin sunmakta

olduğu herhangi bir hizmetten yararlanan veya yararlanma talebi ile başvuran tüm kişiler, şirketin işbirliği içinde olduğu kurum ve kuruluşlarda çalışanlar ile bunların aile ve yakınları

GÜVENLİK BİLGİSİ: Şirket hissedarları, yönetim kurulu üyeleri, icra kurulu üyeleri, çalışanları, stajyerleri, yetkilileri, taşeron ve tedarikçiler, kiracılar, hizmet sunucular, hizmet sunma teklifinde bulunanlar, çalışma veya staj başvurusu yapanlar, ziyaretçi ve hastalar, hastanenin sunmakta olduğu herhangi bir hizmetten yararlanan veya yararlanma talebi ile başvuran tüm kişiler, şirketin işbirliği içinde olduğu kurum ve kuruluşlarda çalışanlar ile bunların aile ve yakınları

FİNANSAL BİLGİ: Şirket hissedarları, yönetim kurulu üyeleri, icra kurulu üyeleri, çalışanları, stajyerleri, yetkilileri, taşeron ve tedarikçiler, kiracılar, hizmet sunucular, hizmet sunma teklifinde bulunanlar, çalışma veya staj başvurusu yapanlar, ziyaretçi ve hastalar, hastanenin sunmakta olduğu herhangi bir hizmetten yararlanan veya yararlanma talebi ile başvuran tüm kişiler, şirketin işbirliği içinde olduğu kurum ve kuruluşlarda çalışanlar ile bunların aile ve yakınları

ÖZLÜK BİLGİSİ (PERFORMANS DEĞERLENDİRME VERİLERİ, KARİYER GELİŞİM VERİLERİ,

ÇALIŞMA VE İZİN GÜNLERİNE İLİŞKİN KAYITLAR): Şirket hissedarları, yönetim kurulu üyeleri, icra kurulu üyeleri, çalışanları, stajyerleri, yetkilileri, taşeron ve tedarikçiler, kiracılar, hizmet sunucular, şirketin işbirliği içinde olduğu kurum ve kuruluşlarda çalışanlar

ÖZEL NİTELİKLİ KİŞİSEL VERİ: Şirket hissedarları, yönetim kurulu üyeleri, icra kurulu üyeleri, çalışanları, stajyerleri, yetkilileri, taşeron ve tedarikçiler, kiracılar, hizmet sunucular, hizmet sunma teklifinde bulunanlar, çalışma veya staj başvurusu yapanlar, ziyaretçi ve hastalar, hastanenin sunmakta olduğu herhangi bir hizmetten yararlanan veya yararlanma talebi ile başvuran tüm kişiler, şirketin işbirliği içinde olduğu kurum ve kuruluşlarda çalışanlar ile bunların aile ve yakınları

TALEP VE ŞİKÂYET YÖNETİMİ BİLGİSİ: Hastanenin sunmakta olduğu hizmet ve faaliyetleri ile ilgili talep veya şikâyette bulunan kişiler, hastanenin sunmakta olduğu hizmetlerden yararlanan veya yararlanmak isteyenler

6. KİŞİSEL VERİLERİN AKTARILMASI İLKELERİ:

Medlife Tıp Merkezi veri sahiplerinin kişisel verilerini, 6698 sayılı KVK Kanunu’nun 5. ve 6. maddelerinde belirtilen kişisel veri işleme şartları kapsamında ve işbu Politika’da belirtilmiş amaçlarla sınırlı olarak, KVK Kanunu’nun 8. ve 9. maddelerine uygun olmak suretiyle 3. kişi ve kurumlara aktarabilecektir.

Aktarımda bulunulan yukarıda belirtilen kişilerin kapsamı ve veri aktarım amaçları aşağıda belirtilmektedir. Bu kişi ve Kurumlar;

1. Medlife Tıp Merkezi bağlı kurum ve kuruluşları ile iş ortakları,

2. Medlife Tıp Merkezi tedarikçi/kiracı/ taşeronları

3. Medlife Tıp Merkezi hissedarları,

4. Medlife Tıp Merkezi yetkilileri,

5. Hukuken bilgi almaya yetkili kamu kurum ve kuruluşları,

6. Hukuken bilgi almaya yetkili özel hukuk tüzel kişileridir.

VERİ AKTARIMI YAPILABİLECEK ALICI GRUPLARI

ALICI GRUPLARININ TANIMI

AKTARIM AMACI

BAĞLI KURUM VE KURULUŞLAR İLE İŞ ORTAKLARI

Medlife Tıp Merkezi faaliyetlerini yerine getirirken birlikte proje yürütülen, hizmet alınan, ortaklık kurulan kurum ve

kuruluşlar ile Medlife Tıp Merkezi’nin

ilişkili şirketleri (ör. Özel sağlık sigortaları, aracı ve asistan firmalar vb.)

Iş ortaklığı, ilişkili şirketler veya bağlı kurum ve kuruluşların faaliyet

amaçları ile ilintili ve sınırlı olarak

TEDARİKÇİ / KİRACI / TAŞERONLARI

Medlife Tıp Merkezi ticari ve medikal faaliyetlerini yürütürken şirketin emir ve talimatlarına uygun olarak sözleşme temelli yahut sözleşme olmaksızın münferit olarak şirkete hizmet sunan taraflar, tedarikçileri;

Medlife Tıp Merkezi’nde sözleşme temelli olarak bağımsız bölümlerde ticari faaliyet sürdüren taraflar, kiracıları;

Güven faaliyetlerini getirirken üçüncü kişi, firma ya da kuruluşlar

tedarikçiyi

Medlife Tıp Merkezi’nin tedarikçi, kiracı ve taşeronlardan sağladığı

hizmetleri yerine getirmesi ile ilintili ve sınırlı olarak

HİSSEDARLARI

Medlife Tıp Merkezi hissedarları gerçek kişiler

Ilgili mevzuat hükümlerine göre Medlife Tıp Merkezi’nin ticari ve medikal faaliyetlerine ilişkin stratejilerin tasarlanması, en üst düzeyde yönetiminin sağlanması ve denetim amaçlarıyla sınırlı olarak

YETKİLİLERİ

Medlife Tıp Merkezi yönetim kurulu üyeleri ve diğer yetkili gerçek kişiler

HUKUKEN BİLGİ ALMAYA YETKİLİ KAMU KURUM / KURULUŞLARI

Ilgili mevzuat hükümlerine göre Medlife Tıp Merkezi’nden bilgi ve belge almaya yetkili kamu hukuk kurum ve kuruluşları (Ör. Sosyal Güvenlik Kurumu vb.)

Ilgili kamu kurum ve kuruluşlarının hukuki yetkisi dâhilinde talep ettiği amaçlarla sınırlı olarak.

HUKUKEN BİLGİ ALMAYA YETKİLİ

ÖZEL HUKUK TÜZEL

KİŞİLERİ

Ilgili mevzuat hükümlerine göre Medlife Tıp Merkezi’nden bilgi ve belge almaya yetkili özel hukuk kişileri

Ilgili özel hukuk kişilerinin hukuki yetkisi dâhilinde talep ettiği amaçla sınırlı olarak.

0.XẊŞİSEL VERİLERİN YURTDIŞINA AKTARILMASI

Medlife Tıp Merkezi, KVK Kurulu tarafından yeterli korumaya sahip olduğu ilan edilen yabancı ülkelere (“Yeterli Korumaya Sahip Yabancı Ülke”) veya yeterli korumanın bulunmaması durumunda, Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt ettiği ve KVK Kurulu’nun izninin bulunduğu yabancı ülkelere (“Yeterli Korumayı Taahhüt Eden Veri Sorumlusunun Bulunduğu Yabancı Ülke”) kişisel verileri aktarabilmektedir.

Medlife Tıp Merkezi bu doğrultuda KVK Kanunu’nun 9. Maddesinde öngörülen düzenlemelere uygun hareket etmektedir.

7.1 Kişisel Verilerin Yurtdışına Aktarılması

Medlife Tıp Merkezi meşru ve hukuka uygun kişisel veri işleme amaçları doğrultusunda kişisel veri sahibinin açık rızası var ise veya kişisel veri sahibinin açık rızası yok ise aşağıdaki hallerden birinin varlığı durumunda kişisel verileri Yeterli Korumaya Sahip veya Yeterli Korumayı Taahhüt Eden Veri Sorumlusunun Bulunduğu Yabancı Ülkelere aktarabilmektedir:

● Kanunlarda kişisel verinin aktarılacağına ilişkin açık bir düzenleme var ise,

● Kişisel veri sahibinin veya başkasının hayatı veya beden bütünlüğünün korunması için zorunlu ise ve kişisel veri sahibi fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda ise veya rızasına hukuki geçerlilik tanınmıyorsa;

● Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olmak kaydıyla sözleşmenin taraflarına ait kişisel verinin aktarılması gerekli ise,

● Medlife Tıp Merkezi’nin hukuki yükümlülüğünü yerine getirmesi için kişisel veri aktarımı zorunlu ise,

● Kişisel veriler, kişisel veri sahibi tarafından alenileştirilmiş ise,

● Kişisel veri aktarımı bir hakkın tesisi, kullanılması veya korunması için zorunlu ise,

● Kişisel veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, Medlife Tıp Merkezi’nin meşru menfaatleri için kişisel veri aktarımı zorunlu ise.

7.2. Özel Nitelikli Kişisel Verilerin Yurtdışına Aktarılması

Medlife Tıp Merkezi gerekli özeni göstererek, gerekli güvenlik tedbirlerini alarak ve KVK Kurulu tarafından öngörülen yeterli önlemleri alarak; meşru ve hukuka uygun kişisel veri işleme amaçları doğrultusunda kişisel veri sahibinin özel nitelikli verilerini aşağıdaki durumlarda Yeterli Korumaya Sahip veya Yeterli Korumayı Taahhüt Eden Veri Sorumlusunun Bulunduğu Yabancı Ülkelere aktarabilmektedir.

● Kişisel veri sahibinin açık rızası var ise veya

● Kişisel veri sahibinin açık rızası yok ise;

o Kişisel veri sahibinin sağlığı ve cinsel hayatı dışındaki özel nitelikli kişisel verileri (ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verilerdir), kanunlarda öngörülen hallerde,

o Kişiselverisahibininsağlığınavecinselhayatınailişkinözelniteliklikişisel verileri ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenmesi kapsamında.

Medlife Tıp Merkezi’nin elde etmiş olduğu kişisel veriler kural olarak yurtdışı ile paylaşılmamaktadır. Yabancı uyruklu kişilerin, Türk uyruklu olup da yurt dışında yaşayanların veya yabancı ülkede kurulu şirketler aracılığıyla Medlife Tıp Merkezi’ne gelen kişilerin kişisel verileri ilgili kamu kurumu, sigorta şirketi veya aracı kurum ve kuruluşlar ile paylaşılabilmektedir.

8. KİŞİSEL VERİLERİN SAKLANMASI

Elde ettiğimiz kişisel veriler, Medlife Tıp Merkezi’nin medikal ve ticari faaliyetlerini yerine getirebilmesi amacıyla, uygun süre zarfında fiziksel veya elektronik ortamda güvenli bir şekilde saklanmaktadır.

Söz konusu faaliyetler kapsamında, Medlife Tıp Merkezi tarafından kişisel verilerin korunmasına ilişkin olarak KVK Kanunu başta olmak üzere, ilgili tüm mevzuatta öngörülen yükümlülüklere uygun hareket edilmektedir.

İlgili mevzuatlar uyarınca, kişisel verilerin daha uzun süre saklanmasına cevaz verilen veya zorunlu tutulan haller müstesna olmak kaydıyla, kişisel verilerin işlenme amaçlarının sona ermesi durumunda, kişisel veriler re’sen Medlife Tıp Merkezi tarafından veya ilgililerin talebi üzerine silinecek, yok edilecek veya anonim hale getirilecektir.

Kişisel verilerin söz konusu yöntemler vasıtasıyla silinmesi durumunda, bu veriler tekrar hiçbir şekilde kullanılamayacak ve geri getirilemeyecek şekilde imha edilecektir.

Ancak veri sorumlusunun meşru menfaatinin olduğu durumlarda, işlenme amacının ve ilgili kanunlarda belirtilen sürelerin de sona ermesine rağmen veri sahiplerinin temel hak ve özgürlüklerine zarar vermemek kaydıyla kişisel veriler, Borçlar Kanunu’nda veya Medlife Tıp Merkezi’ni ilgilendiren sair mevzuatta belirlenen zamanaşımı süreleri dolana kadar saklanabilecektir. Bahsi geçen zamanaşımı süresinin sona ermesinin ardından kişisel veriler silinecek, yok edilecek yahut anonim hale getirilecektir.

9. KİŞİSEL VERİLERİN KORUNMASINA İLİŞKİN ALINAN TEDBİRLER

Medlife Tıp Merkezi, KVK Kanunu’nda belirlenen şartlara uygun olarak, işlemekte olduğu kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, verilere hukuka aykırı olarak erişilmesini önlemek ve verilerin muhafazasını sağlamak için uygun güvenlik düzeyini sağlamaya yönelik gerekli teknik ve idari tedbirleri almakta, bu kapsamda gerekli denetimleri yapmak veya yaptırmaktadır.

İşlenen kişisel verilerin teknik ve idari tüm tedbirler alınmış olmasına rağmen, kanuni olmayan yollarla üçüncü kişiler tarafından ele geçirilmesi durumunda, Medlife Tıp Merkezi bu durumu mümkün olan en kısa süre içerisinde ilgili birimlere haber verir.

9.1.Teknik Tedbirler:

● Teknolojideki gelişmelere uygun teknik önlemler alınmakta, alınan önlemler periyodik olarak güncellenmekte ve yenilenmektedir.

● İş birimi bazında belirlenen hukuksal uyum gerekliliklerine uygun olarak erişim ve yetkilendirme teknik çözümleri devreye alınmaktadır.

● Erişim yetkileri sınırlandırılmakta yetkiler düzenli olarak gözden geçirilmektedir.

● Alınan teknik önlemler periyodik olarak kontrol edilmekte, risk teşkil eden hususlar yeniden değerlendirilerek gerekli teknolojik çözüm üretilmektedir.

● Virüs koruma sistemleri ve güvenlik duvarlarını içeren yazılımlar ve donanımlar kurulmaktadır.

● Teknik konularda bilgili personel istihdam edilmekte ve sistem zafiyetlerinin kontrolü sağlanmaktadır.

● Kişisel verilerin toplandığı uygulamalardaki güvenlik açıklarını saptamak için düzenli olarak güvenlik taramalarından geçirilmektedir. Bulunan açıkların kapatılması sağlanmaktadır

● Kişisel verilerin geri dönüştürülemeyecek ve denetim izi bırakmayacak şekilde yok edilmesi sağlanmaktadır.

9.2.İdari Tedbirler:

● Çalışanlar, kişisel verilere hukuka aykırı erişimi engellemek için alınacak teknik tedbirler konusunda eğitilmektedir.

● Çalışanlara Hukuk Müşaviri tarafından KVK Kanunu hakkında eğitim verilmektedir.

● İş birimi bazında kişisel veri işlenmesi hukuksal uyum gerekliliklerine uygun olarak Medlife Tıp Merkezi içinde kişisel verilere erişim ve yetkilendirme süreçleri tasarlanmakta ve uygulanmaktadır.

● Medlife Tıp Merkezi, personeli ile arasındaki ilişkiyi düzenleyen ve kişisel veri içeren her türlü belgeye kişisel verilerin hukuka uygun olarak işlenmesi için KVK Kanunu ile öngörülen yükümlülüklere uygun hareket edilmesi gerektiği, kişisel verilerin ifşa edilmemesi gerektiği, kişisel verilerin hukuka aykırı olarak kullanılmaması gerektiği ve kişisel verilere ilişkin gizlilik yükümlülüğünün Medlife Tıp Merkezi ile olan iş akdinin sona ermesinden sonra dahi devam ettiği yönünde kayıtlar eklemiş olup personelin bu yükümlülüklere uymaması iş akdinin feshine varabilecek yaptırımların uygulanmasını gerektirmekte ve Medlife Tıp Merkezi Davranış İlkeleri Yönergesi’nde özel olarak düzenlenmektedir.

● Çalışanlar, öğrendikleri kişisel verileri KVK Kanunu hükümlerine aykırı olarak başkasına açıklayamayacağı ve işleme amacı dışında kullanamayacağı ve bu yükümlülüğün görevden ayrılmalarından sonra da devam edeceği konusunda bilgilendirilmekte ve bu doğrultuda kendilerinden gerekli taahhütler alınmaktadır.

● Medlife Tıp Merkezi tarafından kişisel verilerin hukuka uygun olarak aktarıldığı kişiler ile akdedilen sözleşmelere; kişisel verilerin aktarıldığı kişilerin, kişisel verilerin korunması amacıyla gerekli güvenlik tedbirlerini alacağına ve kendi kuruluşlarında bu tedbirlere uyulmasını sağlayacağına ilişkin hükümler eklenmektedir.

● Medlife Tıp Merkezi, işlenen kişisel verilerin hukuka aykırı yollarla başkaları tarafından elde edilmesi hâlinde, bu durumu en kısa sürede ilgilisine ve Kurul’a bildirir.

● Medlife Tıp Merkezi kişisel verilerin işlenmesi hakkında bilgili ve deneyimli personel istihdam eder ve personeline kişisel verilerin korunması mevzuatı ve veri güvenliği kapsamında gerekli eğitimleri verir.

● Medlife Tıp Merkezi, kendi tüzel kişiliği nezdinde Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapar ve yaptırır. Denetimler sonucunda ortaya çıkan gizlilik ve güvenlik zafiyetlerini giderir.

● Medlife Tıp Merkezi, kişisel verileri aktardığı üçüncü şahısların da işbu Politika ve KVK Kanunu hükümleri doğrultusunda verileri hukuka uygun olarak işleme ve muhafaza etme ve verilere hukuka uygun olarak erişme yükümlülüklerini yerine getirmesinden KVK Kanunu’nun 12. maddesi uyarınca sorumludur. Bu nedenle Medlife Tıp Merkezi, üçüncü kişilere veri aktarılırken yapılacak sözleşmeler ve her türlü düzenlemede bu şartların sağlanmasını ve kendisine denetim yapma yetkisi verilmesini içeren taahhütler almalıdır. Yine Medlife Tıp Merkezi tüm personelini kişisel verilerin üçüncü şahıslara aktarılması süreçlerinden doğan sorumluluklar yönünden özel olarak bilgilendirmelidir.

9.3. Kişisel Verilerin Korunması Konusunda Alınan Tedbirlerin Denetimi:

KVK Kanunu kapsamında Medlife Tıp Merkezi veri sorumlusu sıfatını haiz olacak olup VERBİS sistemine kayıt olacaktır.

Yönetmelik’in 11’inci maddesinin 1’inci fıkrasında “Türkiye’de yerleşik olan tüzel kişilerin Kanun kapsamındaki veri sorumlusu yükümlülükleri, ilgili mevzuat hükümlerine göre tüzel kişiliği temsil ve ilzama yetkili yetkili organ veya ilgili mevzuatta belirtilen kişi veya kişiler marifetiyle yerine getirilir. Tüzel kişiliği temsile yetkili organ Kanunun uygulanması bakımından yerine getirilecek yükümlülükler ile ilgili olarak bir veya birden fazla kişiye görevlendirebilir” şeklinde düzenleme yapılmıştır.

Yönetim kurulu tarafından TTK’nın ilgili maddeleri uyarınca sınırları belirlenmiş olarak şirketin yönetim ve temsili verilen kişiler TTK, BK ve TCK kapsamında kendi yetki sınırları dâhilinde gerçekleşen işlem ve eylemlerden sorumludur.

Özellikle kollukta, savcılıklarda, kamu kurumlarında ve mahkemelerde şirketi temsil etme ile ifade vermeye yetkili olarak seçilmişlerdir.

Her bir departmanın Direktörü, departmanlardaki İlgili Kullanıcı’ların Kanun ve Yönetmelik çerçevesinde hazırlanan işbu Politika ve İmha Politikası’na uygun davranıp davranmadığını denetlemek ve Yönetim Kurulu ile İcra Kurulu’na raporlamakla yükümlü olacaktır. Karar alınmasını gerektiren durumlarda Xxxxx Müşavirliği’nin görüşü alındıktan Yönetim Kurulu’nun karar almasını müteakip alınan karar uygulamaya konulacaktır.

10.VERİ SORUMLUSUNUN AYDINLATMA YÜ KÜ MLÜ LÜ Ğ Ü

Medlife Tıp Merkezi, KVK Kanunu’nun 10. maddesine uygun olarak kişisel veri sahibinin haklarını kendisine bildirmekte, bu hakların nasıl kullanılacağı konusunda kişisel veri sahibine yol göstermektedir.

Medlife Tıp Merkezi, kişisel veri sahiplerinin haklarının değerlendirilmesi ve kişisel veri sahiplerine gereken bilgilendirmenin yapılması için KVK Kanunu’nun 13. maddesine uygun olarak gerekli kanalları, iç işleyişi, idari ve teknik düzenlemeleri yürütmektedir.

KVK Kanunu’nun 10. maddesi kapsamında, veri sahiplerinin, kişisel verilerin elde edilmesinden önce yahut en geç elde edilmesi sırasında aydınlatılması gerekmektedir. Söz konusu aydınlatma yükümlülüğü çerçevesinde veri sahiplerine iletilmesi gereken bilgiler şunlardır:

1.Veri sorumlusunun ve varsa temsilcisinin kimliği, 2.Kişisel verilerin hangi amaçla işleneceği,

3.İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, 4.Kişisel veri toplamanın yöntemi ve

hukuki sebebi,

5.KVK Kanunu’nun 11. maddesinde sayılan diğer haklar.

Medlife Tıp Merkezi, aydınlatma yükümlülüğünü yerine getirmek amacıyla, süreç ve verileri işlenen kişiler bazında, yukarıda belirtilen KVK Kanunu hükmü kapsamında veri sahiplerine sunulmak üzere aydınlatma beyanları hazırlamıştır.

Aydınlatma beyanlarının veri sahiplerine sunulmasının ardından, Medlife Tıp Merkezi’nin faaliyetlerini yürütebilmesi için veri sahibinin açık rızasının alınmasını gerektiren veri işleme faaliyetleri ve veri kategorileri için de xxxxx xxxx beyanları hazırlanmıştır.

Öte yandan, KVK Kanunu’nun 28(1) maddesi çerçevesinde sayılan durumlarda Medlife Tıp Merkezi’nin aydınlatma yükümlülüğü bulunmamaktadır.

11. MEDLIFE TIP MERKEZİ’NİN BAŞVURULARA CEVAP VERMESİ

11.1. Medlife Tıp Merkezi’nin Başvurulara Cevap Verme Usulü ve Süresi

Kişisel veri sahibinin usule uygun olarak talebini Medlife Tıp Merkezi’ne iletmesi durumunda Medlife Tıp Merkezi talebin niteliğine göre en geç otuz gün içinde ilgili talebi ücretsiz olarak sonuçlandıracaktır.

Ancak, KVK Kurulunca bir ücret öngörülmesi hâlinde, Medlife Tıp Merkezi tarafından başvuru sahibinden KVK Kurulunca belirlenen tarifedeki ücret alınacaktır.

11.2. Medlife Tıp Merkezi’nin Başvuruda Bulunan Kişisel Veri Sahibinden Talep Edebileceği Bilgiler

Medlife Tıp Merkezi, başvuruda bulunan kişinin kişisel veri sahibi olup olmadığını tespit etmek adına ilgili kişiden bilgi talep edebilir. Kişisel veri sahibinin başvurusunda yer alan hususları netleştirmek adına, kişisel veri sahibine başvurusu ile ilgili soru yöneltebilir.

11.3. Medlife Tıp Merkezi’nin Kişisel Veri Sahibinin Başvurusunu Reddetme Hakkı

Medlife Tıp Merkezi aşağıda yer alan hallerde başvuruda bulunan kişinin başvurusunu, gerekçesini açıklayarak reddedebilir:

(1) Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi.

(2) Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi.

(3) Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi.

(4) Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi.

(5) Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması.

(6) Kişisel veri sahibi tarafından kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi.

(7) Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması.

(8) Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması.

(9) Kişisel veri sahibinin talebinin diğer kişilerin hak ve özgürlüklerini engelleme ihtimali olması

(10) Orantısız çaba gerektiren taleplerde bulunulmuş olması

(11) Talep edilen bilginin kamuya açık bir bilgi olması.

12. REVİZYON VE YÜRÜRLÜKTEN KALDIRMA

İşbu Politika’nın revizyon edilmesi veya yürürlükten kaldırılması halinde Politika’nın revizyon edilmiş hali veya yeni politika örneği ilgili yerlerde ilan edilecektir.

13. YÜRÜRLÜK

İşbu Politika 01.12.2021 tarihinde yürürlüğe girer.

14. YÜRÜTME

İşbu Politika’nın yürütülmesinden veri sorumlusu ve veri sorumlusunun yükümlülüklerini yerine getirmekle yükümlü olan Medlife Tıp Merkezi’nin yönetim kurulunun KVK Kanunu ve Veri Koruma Kurulu düzenlemeleri kapsamındaki tüm iş ve işlemlerin takibinden ve koordinasyonundan sorumlu olmak üzere tüm departman Direktörleri sorumludur.

Document Metadata

Table of Contents

MEDLIFE SAĞLIK HİZMETLERİ A.Ş.

Document Metadata