KİŞİSEL VERİLERİN İŞLENMESİ VE KORUNMASI POLİTİKASI

1. MADDE-GİRİŞ

1.1.Giriş

6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) ile kişisel verilerin işlenmesi konusunda başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlülüklerini korumak amacıyla kişisel veri işleyenlere önemli yükümlülükler getirilmiştir. Merkez adresi Muratpaşa Mah. Uluyol Cad. İstanbul Tower Plaza No:19 Ofis:23 Bayrampaşa İstanbul olan İstanbul Ticaret Sicili’nde kayıtlı Doktorumsun Sağlık ve Teknoloji Hizmetleri Medikal Organizasyon Dış Ticaret Limited Şirketi (“Şirket”) ilgili yükümlülükleri yerine getirmek ve veri işlemeye ilişkin tüm süreçlerini mevzuata uygun hale getirmek için titiz ve hassas bir yaklaşım sergilemektedir. Bu amaçla Şirket’in kişisel verileri işleme süreçleri Kanun ve ilgili mevzuat esas alınarak tüm boyutlarıyla işbu Kişisel Verilerin İşlenmesi ve Korunması Politikası (“Politika”) ile belirlenmiştir.

1.2. Amaç ve Kapsam

1.2.1. Amaç

Şirket’in kişisel veri işleme ve koruma faaliyetleri kapsamında aşağıda belirtilen veri kategorilerindeki kişileri ve çalışanlarını bilgilendirmek, benimsediği süreç, prensip ve ilkeler konusunda detaylı bir rehber oluşturmak ve Kanun ve ilgili mevzuattan doğan yükümlülüklerini yerine getirmek için geliştirdiği ve hayata geçirdiği uygulamaları ilgililerin bilgisine sunmak amacıyla bu Politika hazırlanmıştır.

1.2.2. Kapsam

Politika’ya konu veri sahibi ilgili veri konusu kişi grupları aşağıda detaylandırılmıştır. İşbu maddedeki çalışan, çalışan adayı, çalışan aile yakını, tedarikçi temsilcisi, müşteri ve ziyaretçi gibi Şirket’in kişisel verisini işlediği veri sahibi kategorilerindeki gerçek kişilerin kişisel verileri işbu Politika hükümleri çerçevesinde otomatik veya bir veri kayıt sisteminin bir parçası olarak otomatik olmayan yollarla işlenmekte ve korunmaktadır.

Veri Konusu Kişi Grubu  

“Çalışan”

Şirket ile hizmet akdi olan kişileri ifade eder.

“Çalışan Adayı”

Şirket ile hizmet akdi yapmak üzere Şirket tarafından değerlendirme sürecine alınan kişileri ifade eder.

“Çalışan Aile Yakını”

Şirket çalışanlarının eş, çocuk gibi aile yakınlarını ifade eder.

“Müşteri” (Uzman Üye, Kullanıcı Üye)

Şirket’in ürün ve/veya hizmetlerini sunduğu, sözlü veya yazılı sözleşmeler aracılığıyla müşteri olarak değerlendirdiği veya Şirket departmanlarının işlemleri doğrultusunda müşteri adayı olarak değerlendirilmek suretiyle verisi işlenen gerçek kişileri ifade eder.

“Ziyaretçiler”

Şirket’in faaliyet gösterdiği lokasyonları ve şirket e-ticaret sitesini ziyaret eden kişileri ifade eder.

“Üçüncü Kişiler”

Politika’da ayrı bir başlık altında tanımlanmamış olan ve Politika hükümlerine uygun olarak kişisel verisi işlenen kişileri ifade eder. 

1.3. Politika ve Yürürlükteki Hukuk

İşbu Politika Kanun ve ilgili mevzuat ile kişisel veri işleme hususunda getirilen yükümlülüklerin sistematik bir şekilde yerine getirilmesini sağlamayı amaçlar. Şirketimizin öncelik ve hassasiyeti “bireylerin T.C. Anayasası’ndan doğan kişisel verilerinin korunması hakkını koruma maksadıyla mevzuata uygun davranmak” olduğundan işbu Politika ve Yürürlükteki Hukuk hükümleri arasında bir çelişki olması durumunda Şirket’imiz Yürürlükteki Hukuk’un uygulanması için çalışacaktır.

1.4. Politika’nın Yürürlüğü ve Değişimi

İşbu Politika Şirket’in Kişisel Veri Koruma Komisyonu’nun titiz çalışmaları ve önderliğinde hazırlanmış olup yetkili organ tarafından onaylanarak yürürlüğe girmiştir. 

Kişisel Veri Koruma Komisyonu tarafından her 6 ayda bir denetlenecek ve gerekli ise ilgili güncel mevzuata uyumlu hale gelmesi için ilgili değişiklikler yapılacaktır. Bu değişiklikler Şirket’in yetkili organının onayı ile Website’de yayınlanacaktır. Talep halinde mevzuat sınırları ışığında ve Şirket’in inisiyatifinde olarak İlgili Kişiler’in bilgisine farklı mecralar üzerinden de sunulabilecektir.

2. MADDE – TANIMLAR

“Alıcı Grubu”

Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisini ifade eder.

“İlgili Kişi”

Kişisel verisi işlenen gerçek kişiyi ifade eder.

“Kişisel Veri”

Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade eder.

“Kişisel Verilerin İşlenmesi”

Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi ifade eder.

“Özel Nitelikli Kişisel Veriler”

Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verileri ifade eder.

“Veri Kategorisi” 

Kişisel verilerin ortak özelliklerine göre gruplandırıldığı veri konusu kişi grubu veya gruplarına ait kişisel veri sınıfını ifade eder.

“Veri Konusu Kişi Grubu”

Veri sorumlularının kişisel verilerini işledikleri ilgili kişi kategorisini ifade eder.

“Kullanıcı Üye”

Websitesine Uzman Üyeler’in içeriklerinden ve websitesi hizmetlerinden yararlanmak üzere üye olan kullanıcıları ifade eder.

“ Kurul”

Kişisel Verileri Koruma Kurulu’nu ifade eder.

“Talep Yönetim Prosedürü”

İlgili Kişi’nin Kanun’un 11. maddesinde tanınan Veri Sorumlusu’na başvuru hakkının ve Şirket’in başvuruya ilişkin cevap sürecinin detaylarını belirleyen rehber prosedürü ifade eder.

“Uzman Üye”

Website’ye estetisyen, doktor ve benzeri “sağlık” alanında uzman sıfatıyla üye olan kişileri ifade eder.

“Veri Sorumlusu”

Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan Şirket’i ifade eder.

 “Website”

Şirket’in çevrimiçi faaliyetlerini yürüttüğü doktorumsun.com sitesini ifade eder.


3. MADDE- KİŞİSEL VERİLERİN İŞLENMESİ

Şirket her veri konusu kişi grubunun kişisel verilerini işleme süreçlerini tasarlarken kişisel veriyle temas edildiği ilk andan kişisel verinin imha edildiği son ana kadar Kanun’da öngörülen hükümlere uygun davranmaktadır. İşbu Politika’nın ana amaçlarından biri ilgili kişileri Şirket’imizin kişisel verileri işleme ve koruma prensipleri hakkında şeffaf bir şekilde bilgilendirmektir. Politika’da benimsenen metodoloji “İlgili Kişi’nin kişisel verinin Şirket içi yolculuğunu baştan sona takip etmesi” hedefine dayanır. Bu sebeple İlgili Kişi işbu maddede sırasıyla aşağıdaki soruların cevaplarını bulacaktır.

i. Şirket hangi veri kategorilerinde kişisel veri işlemektedir? 

ii. Şirket hangi özel nitelikli kişisel verileri işlemektedir?

iii. Şirket’in İlgili Kişi’yi aydınlatma ve İlgili Kişi’nin Açık Rıza’sını alma süreçlerini nasıl yapılandırmıştır? Şirket’in Açık Rıza olmaksızın veri işlediği durumlar nelerdir?

iv. Şirket kişisel veri işlerken hangi ilkeleri benimsemektedir?

v. Şirket hangi amaçlarla kişisel veri işlemektedir?

vi. Şirket kişisel verileri hangi ortamlara kaydetmekte ve saklamaktadır?

vii. Şirket kişisel verileri yurtiçinde ve yurtdışında hangi alıcı gruplarına aktarmaktadır?

viii. Şirket’in işlediği kişisel veriler hakkında saklama ve imha politikası nedir?


3.1. Şirket Tarafından İşlenen Veri Kategorileri

Şirket Kanun’un 4. maddesindeki ilkeler ışığında ve Kanun’un 5. ve 6. maddesindeki şartlarla sınırlı olmak üzere Protokol’ün 3.5. maddesinde belirtilen amaçlar dâhilinde aşağıdaki veri kategorilerinde veri işlemektedir.

Veri Kategorisi

Kimlik 

Nüfus cüzdanı, ikametgah, ehliyet, pasaport, avukatlık kimliği, evlilik cüzdanı ve benzeri dokümanlarda yer alan, kimliği belirli veya belirlenebilir bir gerçek kişiye ait otomatik veya veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen ad-soyadı, T.C. kimlik numarası, uyruk bilgisi, anne baba adı, doğum yeri, doğum tarihi, cinsiyet, işyeri bilgisi, kan grubu, sicil no., vergi numarası, unvan, biyografi gibi bilgileri ifade eder.

İletişim 

Telefon, elektronik posta, faks numarası,  sosyal medya hesapları gibi kimliği belirli veya belirlenebilir bir gerçek kişiye ait otomatik veya veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen bilgileri ifade eder.

Özlük 

Öğrenim durumu, sertifika ve diploma bilgileri, yabancı dil bilgileri, eğitim ve beceriler, CV, aldığı kurslar, izin, kıdem baz tarihi, izin kıdem ilave gün, izin grubu, çıkış/dönüş tarihi, gün, izine çıkış nedeni, izinde bulunacağı adres/telefon, pozisyon adı, departmanı ve birimi unvanı, son işe giriş tarihi, işe giriş çıkış tarihleri, sigorta giriş/emeklilik, sosyal güvenlik no, esnek saatlerde çalışma durumu, seyahat durumu, çalışma gün sayısı, çalıştığı projeler, aylık toplam mesai bilgisi, kıdem tazminatı baz tarih, kıdem tazminatı ilave gün,grevde geçen gün, çalışan internet erişim logları, giriş çıkış logları elde edilmesine yönelik işlenen her türlü kişisel veri ve çalışanın bulunduğu pozisyonda ilerleyebilmesi için gerekli olan performans, eğitim ve beceriler, hangi tarihte hangi eğitimi aldığı bilgisi, e-posta,  imzalı katılım formu, müşteri ile görüşme kalite değerlendirme formu, aylık performansının değerlendirilmesi ve hedef gerçekleştirme durumu, aktivite bilgileri gibi kimliği belirli veya belirlenebilir bir gerçek kişiye ait otomatik veya veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen bilgileri ifade eder.

Hukuki İşlem 

Haciz ihbarnamesi ve benzeri mahkeme/icra daireleri evrakları gibi kimliği belirli veya belirlenebilir bir gerçek kişiye ait otomatik veya veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen bilgileri ifade eder.

Müşteri İşlem 

İrsaliye, fatura bilgileri ve sipariş bilgileri gibi kimliği belirli veya belirlenebilir bir gerçek kişiye ait otomatik veya veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen bilgileri ifade eder.

İşlem Güvenliği 

İnternet trafik verileri, ağ hareketleri, IP adresi, ziyaret verileri, zaman ve tarih bilgileri gibi kimliği belirli veya belirlenebilir bir gerçek kişiye ait otomatik veya veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen bilgileri ifade eder.

Finans 

Banka hesap numarası, banka hesap bilgileri,(IBAN no, hesap sahibi vb.) kredi kartı bilgisi, çalışanlara ilişkin finansal ve maaş detayları, bordrolar, prim hak edişleri,  prim tutarları, icra takip dosyalarına ilişkin dosya ve borç bilgileri, banka hesap cüzdanı, asgari geçim indirimi bilgisi, özel sağlık sigortası tutarı gibi kimliği belirli veya belirlenebilir bir gerçek kişiye ait otomatik veya veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen bilgileri ifade eder.

Mesleki Deneyim 

Çalışanın, Uzman Üyeler’in eski çalıştığı yerler ve edindiği mesleki sertifikalar gibi kimliği belirli veya belirlenebilir bir gerçek kişiye ait otomatik veya veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen bilgileri ifade eder.

Pazarlama 

Çerez teknolojisi ile edinilen kullanıcı davranışları gibi kimliği belirli veya belirlenebilir bir gerçek kişiye ait otomatik veya veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen bilgileri ifade eder.

Görsel ve İşitsel Kayıtlar 

Fotoğraf, ses ve görüntü kayıtları gibi kimliği belirli veya belirlenebilir bir gerçek kişiye ait otomatik veya veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen bilgileri ifade eder.

Diğer Bilgiler 

Aile bireylerinin kimlik ve iletişim bilgileri, performans değerlendirme, çalışana tahsis edilen taşınır bilgileri, özelleştirilmiş ürünler için gerekli bilgiler gibi kimliği belirli veya belirlenebilir bir gerçek kişiye ait otomatik veya veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen bilgileri ifade eder.

3.2. Şirket Tarafından İşlenen Özel Nitelikli Kişisel Veriler

Kanun’un 6. Maddesinde, işlenmesi toplumda ayrımcılığa sebep olma riski bulunması sebebiyle özel muameleye tabi tutulan Veri Kategorileri belirlenmiştir ve bu Veri Kategorileri Özel Nitelikli Kişisel Veriler olarak adlandırılmıştır. Şirket Özel Nitelikli Kişisel Verileri ancak zorunlu hallerde ve mümkün olduğunca en dar kapsamlı olacak şekilde işlemeye gayret göstermektedir. 

Şirket işlediği Özel Nitelikli Kişisel Verilerin korunması için gerekli tüm idari ve teknik tedbirleri alır. Kişisel Veri Koruma Komisyonu yönetiminde yaptığı düzenli denetimler ile alınan idari ve teknik tedbirlerin etkin ve güvenilir şekilde icrasını temin eder.

Sağlık ve cinsel hayata ilişkin Özel Nitelikli Kişisel Veriler;

i. Kanunlarda işlenmesi açıkça öngörülmüş olması; veya 

ii. İlgili Kişi’nin sağlığına ve cinsel hayatına ilişkin Özel Nitelikli Kişisel Veriler açısından ise kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenmesi halinde,

ilgili Kişi’nin açık rızası olmaksızın işlenebilir.

Şirket’te işlenen özel nitelikli kişisel veriler saklama koşulları bakımından da daha hassas bir muameleye tabi tutulur. Bu kapsamda edinilen veriler ayrı dosyalarda ve kilitli dolaplarda tutulmak ve kısıtlı sayıda ve yetkili çalışanın erişimine açık olmak suretiyle saklanmaktadır.

Şirket tarafından işlenen Özel Nitelikli Kişisel Veri kategorileri aşağıdaki gibidir.

Özel Nitelikli Kişisel Veri Kategorileri

Dernek Üyeliği 

Kişinin üye olduğu dernekleri belirten, kimliği belirli veya belirlenebilir bir gerçek kişiye ait otomatik veya veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen bilgileri ifade eder.

Vakıf Üyeliği 

Kişiyi üye olduğu vakıf üyeliklerini belirten kimliği belirli veya belirlenebilir bir gerçek kişiye ait otomatik veya veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen bilgileri ifade eder.

Sendika Üyeliği 

Kişinin üye olduğu sendikayı belirten kimliği belirli veya belirlenebilir bir gerçek kişiye ait otomatik veya veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen bilgileri ifade eder.

Sağlık Bilgileri 

Sağlık raporu, maluliyet raporu gibi belgelerde kişinin sağlık durumunu belirten kimliği belirli veya belirlenebilir bir gerçek kişiye ait otomatik veya veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen bilgileri ifade eder.

Kullanıcı Üyeler için ise Websitesi üzerinden aldıkları muayene randevularını ifade eder.

3.3. İlgili Kişinin Aydınlatılması ve Açık Rızasının Alınması

3.3.1. Kişisel Verileri Elde Etme Yöntemleri

Şirket aşağıdaki yöntemler aracılığıyla kişisel verileri elde eder.

3.3.2. Aydınlatma 

Şirket kişisel verileri elde ederken Kanun’un 10. Maddesine uygun şekilde aydınlatma yükümlülüğünü yerine getirir. Şirket kişisel verilerin elde edilmesi sırasında İlgili Kişilere;  asgari olarak kimliği, kişisel verilerin hangi amaçla işlendiği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi, İlgili Kişi’ye Kanun’un 11. Maddesi kapsamında sayılan diğer hakları konusunda bilgi verir. 

Kişisel verinin elde ediliş biçimine uygun olarak aydınlatma yükümlülüğünü sözlü, yazılı, ses kaydı, çağrı merkezi gibi fiziksel veya elektronik ortamda yerine getirebilir.

Şirket İlgili Kişi’nin kişisel verisini alırken kişisel veri işleme faaliyetinin Açık Rıza şartına dayalı olarak gerçekleştirdiği durumlarda, aydınlatma yükümlülüğünü yerine getirir ve Açık Rıza’yı ayrıca alır.

3.3.3. Açık Rıza

Şirket, açık rıza alma zorunluluğu bulunmayan istisnai haller saklı kalmak üzere kişisel verilerinin işlenmesi hakkında İlgili Kişi’nin tamamen özgür iradesi ile rızasını aldıktan sonra kişisel veri işlemeye başlar. Açık rıza madde 3.3.2. kapsamında yapılan aydınlatma sırasında belirtilen kişisel veri işlenme amaçları ve kişisel veriler işlenirken benimsenen ilkelerle sınırlı olarak ilgili veri kategorilerinde İlgili Kişi’nin kişisel verilerinin işlenmesine dayanır. Şirket, kişisel veri işleme faaliyetinin işbu açık rızada verilen onay ile sınırlı olacağının bilincindedir. İlgili veri kategorileri hakkında veri işleme amaçlarını değiştirmek, arttırmak istemesi durumunda bunun için de İlgili Kişi’yi aydınlatacağını ve ayrı bir açık rıza alacağını beyan ve taahhüt etmektedir.

3.3.4. Açık Rıza Bulunmaksızın Kişisel Veri İşlenebilecek Durumlar

Aşağıdaki durumlarda kişisel veriler İlgili Kişi’nin açık rızası bulunmaksızın Şirket tarafından işlenebilecektir. 

i) Kanunlarda açıkça öngörülmesi:  Kişisel veri işlenmesi ile ilgili mevzuatta bir hükmün bulunması ve bu hükme dayanarak veri işlenmesi halinde açık rıza aranmaz. İş Kanunu gereğince çalışana ait özlük bilgilerinin tutulması, Vergi Usul Kanunu gereği fatura üzerinde ad soyad bilgisine yer verilmesi bu duruma örnek olarak verilebilir.

ii) Fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması: Şirket bir fiili imkansızlık hali oluşması durumunda, rızasını alamadığı veya rızasına hukuki geçerlilik bağlanmayan İlgili Kişi’nin verilerini kendisi veya başkasının hayatı ve beden bütünlüğünü korumak için işleme hakkına sahiptir. Bilincini kaybeden bir kişinin hayatını korumak amacıyla ad soyad, kan grubu, telefon numarası gibi kişisel verileri işlemek bu duruma örnek olarak verilebilir.

iii) Bir sözleşmenin kurulması veya ifasıyla doğrudan ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması: Şirket taraf olduğu sözleşmelerin kurulması ve ifasını gerçekleştirmek için karşı tarafa ait kişisel verileri açık rıza almaksızın işleme hakkına sahiptir. Ödeme ve teslim yükümlülüğü olan bir sözleşmede gerçek kişi muhatabın adres ve hesap bilgilerini işlemesi bu duruma örnek olarak verilebilir.

iv) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması: Şirket, hukuki yükümlülüklerini yerine getirebilmek amacıyla açık rıza olmaksızın kişisel veri işleme hakkına sahiptir. Şirket’in çalışanlarına ücretlerini ödemesi için çalışan hesap bilgilerini işlemesi bu duruma örnek olarak verilebilir.

v) İlgili kişinin kendisi tarafından alenileştirilmiş olması: Şirket, İlgili Kişi’nin ifşa edip alenileştirdiği bilgileri ifşa amacı sınırında kalmak şartıyla kişisel veri işleme hakkına sahiptir. Şirket’in kendisine tanıtım ve reklam yapılması için iletişim bilgisi bırakan müşterisinin iletişim bilgisini yalnızca bu amaçla işlemesi bu duruma örnek olarak verilebilir.

vi) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin  zorunlu olması:  Şirket bir hakkın tesisi, kullanımı veya korunması için İlgili Kişi’nin açık rızası olmaksızın kişisel veri işleme hakkına sahiptir. Eski bir çalışanı hakkında tarafına haciz ihbarnamesi gönderilen Şirket’in kişinin Şirket’te ile hizmet akdinin sona erdiğini bildirmesi bu duruma örnek olarak verilebilir.

vii) İlgili Kişi’nin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması: Şirket meşru menfaatleri için zorunlu olması halinde İlgili Kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla veri işleme hakkına sahiptir. Şirket’in işyeri güvenliğini sağlamak için çalışanların kişisel verilerini işlemesinin zorunlu olması halleri bu duruma örnek olarak verilebilir.

viii) Özel nitelikli kişisel veriler: Özel nitelikli kişisel verilerin açık rıza bulunmaksızın işlenmesine ilişkin benimsenen hükümler madde 3.2.’ de yer almaktadır.

3.4. Kişisel Veri İşlemeye İlişkin İlkeler

Şirket her veri konusu kişi grubunun kişisel verilerini işleme süreçlerini tasarlarken kişisel veriyle temas edildiği ilk andan kişisel verinin imha edildiği son ana kadar hukuka ve dürüstlük kurallarına uygun davranır. Kişisel verilerin doğruluğunu ve güncelliğini sağlamak için gerekli tedbirleri alır. Kişisel verileri muğlaklığa yer vermeksizin belirli, açık ve meşru amaçlara dayanarak işler. Kişisel verileri ilgili mevzuatta öngörülen veya işledikleri amaç için gerekli olan süre ile sınırlı olarak muhafaza eder. Şirket Kanun ve ilgili mevzuata uygun şekilde süreç tasarımı yaparken her veri kategorisini bu ilkeler doğrultusunda değerlendirir. Aşağıda bu ilkelerin detaylı açıklamalarına yer verilmiştir.

3.4.1. Kişisel Veri İşleme Faaliyetinin Hukuka ve Dürüstlük Kurallarına Uygun Olması

Şirket, kişisel verileri işlerken Kanun’a ve diğer mevzuatta öngörülen hükümlere uygun şekilde hareket eder. Bununla birlikte kişisel verileri işlerken dürüstlük kuralları sınırları içerisinde kalır ve kişisel verileri işleme amacını aşan işleme faaliyetinde bulunmaz. Her zaman meşru amaçlar sınırları çerçevesinde İlgili Kişi’yi haksızlığa uğratmaktan kaçınacak bir tutum sergilemek suretiyle hareket eder.

3.4.2. Elde Edilen Kişisel Verilerin Doğru ve Gerektiğinde Güncel Olmasını Sağlama

Şirket, işbu Politika’ya uygun olarak işlediği kişisel verinin, ifade ettiği konuya ilişkin güvenilir, doğru ve güncel bilgiler vermesini sağlamaya yönelik önlemleri alır. Bu önlemler Şirket tarafından her veri konusu kişi grubu ve veri kategorisi için özel olarak değerlendirilir ve gerektiğinde bilgi doğruluğu ve güncelliğini sağlamaya yönelik sistemler kurulur. 

3.4.3. Elde Edilen Kişisel Verinin Belirli, Açık ve Meşru Amaçlar İçin İşlenmesi

Şirket, hiçbir belirsizliğe yer bırakmaksızın işlediği kişisel verileri hangi amaçlarla işlediğini belirler ve İlgili Kişi’den bu amaçlar kapsamında açık rıza alır. Açık ve belirli olan bu amaçlar Şirket’in ürün ve hizmetleriyle bağlantılıdır ve bu ürün ve hizmetlerin gerektirdiği kadar olacak şekilde belirlenmiştir. Bu amaçlar veri işleme faaliyetine başlamadan önce belirlenir ve İlgili Kişi amaçlar hakkında aydınlatılır.

3.4.4. Kişisel Verilerin İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olması

Şirket, belirlemiş olduğu belirli, açık ve meşru amaçların gerçekleştirilmesine yönelik ve yalnızca bununla sınırlı olmak üzere veri işlemektedir. Belirlenen işbu amaçlara hizmet etmeyen bir kişisel veri işleme faaliyetinin Kanun’a aykırı olacağının bilincindedir ve bu bilinç ve hassasiyetle ölçülü veri işlemeye özen gösterir.

3.4.5. İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç İçin Gerekli Olan Süre Kadar Muhafaza Edilme

Şirket işlediği kişisel verileri ilgili mevzuatta bir süre sınırı verilmişse bu sürelere uygun olarak tutar. İlgili mevzuatta bu tür bir süre öngörülmemişse amaç için gerekli olan süre kadar muhafaza edilecektir. Şirket, ileride kullanılabileceği düşüncesiyle amacı gerçekleşmiş ve amaç için gerekli süreleri doldurmuş kişisel verileri Kişisel Veri Saklama ve İmha Politikası’na uygun olarak imha eder. 


3.5. Şirket’in Kişisel Veri İşleme Amaçları

Şirket Kanun’un 4. maddesindeki ilkeler ışığında ve Kanun’un 5. ve 6. maddesindeki şartlarla sınırlı olmak üzere aşağıdaki amaçlar dâhilinde veri işlemektedir;

Acil durum yönetimi süreçlerinin yürütülmesi,

Bilgi güvenliği süreçlerinin yürütülmesi,

Çalışan adayı, stajyer ve öğrenci seçme ve yerleştirme süreçlerinin yürütülmesi,

Çalışan adaylarının başvuru süreçlerinin yürütülmesi,

Çalışan memnuniyeti ve bağlılığı süreçlerinin yürütülmesi,

Çalışanlar için iş akdi ve mevzuattan kaynaklı yükümlülüklerin yerine getirilmesi,

Çalışanlar için yan haklar ve menfaatleri süreçlerinin yürütülmesi,

Denetim ve etik faaliyetlerinin yürütülmesi,

Eğitim faaliyetlerinin yürütülmesi,

Erişim yetkilerinin yürütülmesi,

Faaliyetlerin mevzuata uygun yürütülmesi,

Finans ve muhasebe işlerinin yürütülmesi,

Firma, ürün ve hizmetlere bağlılık süreçlerinin yürütülmesi,

Görevlendirme süreçlerinin yürütülmesi,

Hukuk işlerinin takibi ve yürütülmesi,

İç denetim, soruşturma ve istihbarat faaliyetlerinin yürütülmesi,

İletişim faaliyetlerinin yürütülmesi,

İnsan kaynakları süreçlerinin planlanması,

İş faaliyetlerinin yürütülmesi ve denetimi,

İş sağlığı ve güvenliği faaliyetlerinin yürütülmesi,

İş süreçlerinin iyileştirilmesine yönelik önerilerin alınması ve değerlendirilmesi,

İş sürekliliğinin sağlanması faaliyetlerinin yürütülmesi,

Mal ve hizmet satış süreçlerinin yürütülmesi,

Müşteri ilişkileri yönetimi süreçlerinin yürütülmesi,

Müşteri memnuniyetine yönelik aktivitelerin yürütülmesi,

Organizasyon ve etkinlik yönetimi,

Pazarlama analiz çalışmalarının yürütülmesi,

Reklam, kampanya ve promosyon süreçlerinin yürütülmesi,

Risk yönetimi süreçlerinin yürütülmesi,

Saklama ve arşiv faaliyetlerinin yürütülmesi,

Sözleşme süreçlerinin yürütülmesi,

Stratejik planlama faaliyetlerinin yürütülmesi,

Talep ve şikâyetlerin takibi,

Ücret politikasının yürütülmesi,

Ürün ve hizmetlerin pazarlama süreçlerinin yürütülmesi,

Veri sorumlusu operasyonlarının güvenliğinin temini,

Yabancı personel çalışma ve oturma izni işlemleri,

Yatırım süreçlerinin yürütülmesi,

Yetenek / kariyer gelişimi faaliyetlerinin yürütülmesi,

Yetkili kişi, kurum ve kuruluşlara bilgi verilmesi,

Yönetim faaliyetlerinin yürütülmesi,

Ziyaretçi kayıtlarının oluşturulması ve takibi.


3.6. Kişisel Verilerin Kaydedildiği ve Saklandığı Ortamlar

Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam kayıt ortamı kapsamına girer.

Şirket tarafından toplanan kişisel veriler, verinin niteliği, işlenme amaçları ve kullanım sıklığı gibi esaslara bağlı olarak çeşitli ortamlara kaydedilebilmektedir. Şirket kişisel verileri ilgili mevzuata uygun olarak ve uluslararası veri güvenliği prensipleri çerçevesinde elektronik ve fiziksel ortamlarda güvenli bir şekilde saklanmaktadır. 

Elektronik ortamlar:

Yazılım, bulut, merkezi sunucu, taşınabilir medya, veri tabanı gibi ortamlar

Fiziksel ortamlar:

Kilitli veya kilitsiz dolaplar, arşiv, kâğıt, ağ cihazı, flash tabanlı ortamlar, manyetik bant, manyetik disk, mobil telefon, optik disk, yazıcı, kapı geçiş/güvenlik sistemi gibi çevresel sistemler

Şirket, kişisel verileri belirli ve meşru amaçlarla, Kanun’da ve Politika’da detaylandırılan ilkeler ışığında ve Kanun’da öngörülen saklama süresi hususlarına uygun şekilde işlemekte ve saklamaktadır. 

3.7. Kişisel Verilerin Aktarılması

Şirket, benimsediği ve Kanun’daki hükümlerle sınırlı olmak üzere belirlediği amaçlar kapsamında kişisel verileri yurtiçinde ve yurtdışında bazı alıcı gruplarına belli amaçlarla aktarabilmektedir.  


3.7.1. Yurtiçinde kişisel veri aktarımı

Şirket yurt içinde kişisel veri aktarımı yaparken aşağıdaki koşullara uygun davranmaktadır.

i. İlgili Kişi’nin açık rızası var ise yurtiçinde kişisel veri aktarımı yapabilmektedir. 

ii. Kişisel veriler İlgili Kişi’nin açık rızası bulunmaksızın mevzuatta kişisel verinin aktarılacağına ilişkin açık bir düzenleme var ise aktarılabilmektedir.  

iii. Kişisel veriler İlgili Kişi’nin açık rızası bulunmaksızın kişisel veri sahibinin veya başkasının hayatı veya beden bütünlüğünün korunması için zorunlu ise ve kişisel veri sahibi fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda ise veya rızasına hukuki geçerlilik tanınmıyorsa üçüncü kişilere aktarılabilir.

iv. İlgili Kişi’nin açık rızası bulunmaksızın bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olmak kaydıyla sözleşmenin taraflarına ait kişisel verinin aktarılması gerekli ise kişisel veriler üçüncü kişilere aktarılabilir.

v. İlgili Kişi’nin açık rızası bulunmaksızın Şirket’in hukuki yükümlülüğünü yerine getirmesi için kişisel veri aktarımı zorunlu ise kişisel veriler üçüncü kişilere aktarılabilir. 

vi. Kişisel veriler İlgili Kişi’nin açık rızası bulunmaksızın kişisel veri sahibi tarafından alenileştirilmiş ise alenileştirme amacıyla sınırlı olarak üçüncü kişilere aktarılabilir.

vii. İlgili Kişi’nin açık rızası bulunmaksızın kişisel veri aktarımı bir hakkın tesisi, kullanılması veya korunması için zorunlu ise kişisel veriler üçüncü kişilere aktarılabilir.

viii. Kişisel veriler İlgili Kişi’nin açık rızası bulunmaksızın İlgili Kişi’nin temel hak ve özgürlüklerine zarar vermemek kaydıyla, Şirketin meşru menfaatleri için kişisel veri aktarımı zorunlu ise üçüncü kişilere aktarılabilir.

3.7.2.Yurtdışına Kişisel Veri Aktarımı

Şirket işlediği kişisel verileri, ancak İlgili Kişi’nin Açık Rızası olması durumunda yurt dışına aktarır.

a) Şirket’in açık rıza olmaksızın da İlgili Kişiler’in kişisel verilerini yurtdışına aktarımı söz konusu olabilir. Kişisel verinin aktarılacağı ülke veya ülkelerin (a) Kurul tarafından yeterli korumaya sahip olduğu ilan edilen ülkelerden biri olması veya (b) Kurulca ilan edilen ülkelerden biri değilse ilgili yabancı ülkedeki veri sorumlularından yeterli korumayı sağlayan yazılı bir taahhüt almak suretiyle Kurul’dan izin alınmış olması durumlarında aşağıdaki koşullardan bir veya birkaçının mevcut olması halinde açık rıza alınmaksızın kişisel veriler yurtdışına aktarılabilir.

i. Mevzuatta kişisel verinin aktarılacağına ilişkin açık bir düzenleme var ise yurtdışına aktarılabilmektedir.

ii. Kişisel veri sahibinin veya başkasının hayatı veya beden bütünlüğünün korunması için zorunlu ise ve kişisel veri sahibi fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda ise veya rızasına hukuki geçerlilik tanınmıyorsa yurtdışına aktarılabilir.

iii. İlgili Kişi’nin açık rızası bulunmaksızın bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olmak kaydıyla sözleşmenin taraflarına ait kişisel verinin aktarılması gerekli ise kişisel veriler yurtdışına aktarılabilir.

iv. Şirket’in hukuki yükümlülüğünü yerine getirmesi için kişisel veri aktarımı zorunlu ise kişisel veriler yurtdışına aktarılabilir.

v. Kişisel veri sahibi tarafından alenileştirilmiş ise alenileştirme amacıyla sınırlı olarak yurtdışına aktarılabilir.

vi. Kişisel veri aktarımı bir hakkın tesisi, kullanılması veya korunması için zorunlu ise kişisel veriler yurtdışına aktarılabilir.

vii. Kişisel veriler İlgili Kişi’nin açık rızası bulunmaksızın İlgili Kişi’nin temel hak ve özgürlüklerine zarar vermemek kaydıyla, Şirket’in meşru menfaatleri için kişisel veri aktarımı zorunlu ise üçüncü kişilere aktarılabilir.

b) Özel Nitelikli Kişisel Veriler’i; Şirket işbu Politika’da yer verdiği ilke ve amaçlar ışığında, idari ve teknik tedbirleri uygulamak suretiyle ve Kurul’un aldığı özel tedbirlere uyarak İlgili Kişi’nin Açık Rızasını alarak yurtdışına aktarabilir. Şirket’in İlgili Kişi’nin Açık Rızası’nı almaksızın dahi yurtdışına Özel Nitelikli Kişisel Verileri aktarabilmesi için kişisel verinin aktarılacağı ülke veya ülkelerin (a) Kurul tarafından yeterli korumaya sahip olduğu ilan edilen ülkelerden biri olması veya (b) Kurulca ilan edilen ülkelerden biri değilse ilgili yabancı ülkedeki veri sorumlularından yeterli korumayı sağlayan yazılı bir taahhüt almak suretiyle Kurul’dan izin alınmış olması, ve (c) aşağıdaki koşullardan bir veya birkaçının mevcudiyeti gerekir.

i. Sağlık ve cinsel hayat dışındaki Özel Nitelikli Kişisel Veriler: Şirket mevzuatta açıkça öngörülmesi halinde veri sahibinin açık rızasını almaksızın sağlık ve cinsel hayat dışındaki Özel Nitelikli Kişisel Verileri işleyebilecektir.

ii. Sağlık ve cinsel hayata ilişkin Özel Nitelikli Kişisel Veriler: kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından açık rıza aranmaksızın işlenebilecektir.

3.8. Kişisel Verileri Saklama ve İmha Politikası

Şirket kişisel verileri ilgili mevzuatta öngörülmüşse öngörülen süre ile sınırlı olarak saklamaktadır. Saklanan kişisel veri ile ilgili mevzuatta herhangi bir saklama süresi öngörülmemiş olması halinde Şirket, kişisel veri işleme amacına ve ticari teamüllere uygun makul saklama süreleri belirler ve bu sürelerde kişisel verileri saklar. İşbu maddede bahsedilen saklama sürelerinin dolması halinde kişisel veriler Şirket tarafından silinir, yok edilir veya anonim hale getirilir.

4. İLGİLİ KİŞİ’NİN HAKLARI

4.1. İlgili Kişinin Hakları

İlgili Kişi aşağıdaki hususlarda EK 1’deki başvuru formunu kullanarak kişisel verileri konusunda Şirket’e başvurma hakkına sahiptir;

i. Kişisel veri işlenip işlenmediğini öğrenme, 

ii. Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,

iii. Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,

iv. Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,

v. Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,

vi. Kişisel verilerin silinmesini veya yok edilmesini isteme,

vii. Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesine ve/veya kişisel verilerin silinmesine veya yok edilmesine ilişkin işlemlerin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,

viii. İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,

ix. Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme.

4.2. Şirket’in Talep Yönetimi

Şirket, İlgili Kişi’nin Kanun’da ve ilgili mevzuatta düzenlenen haklarını korumak ve bu hususta kendi yükümlülüklerini yerine getirmek adına Prosedür hazırlamıştır. Şirket işbu Prosedür’e uygun olarak İlgili Kişi’nin kişisel verileri ile ilgili Şirket’e başvurmak suretiyle talep ettiği bilgileri ücretsiz olarak en geç otuz gün içerisinde olmak üzere en kısa sürede temin etmek için azami gayreti gösterir. İşlemin ayrıca bir maliyeti gerektirmesi hâlinde, Kurulca belirlenen tarifedeki ücret İlgili Kişi’den alınabilir. Şirket talebi inceleme neticesinde talebi kabul eder veya gerekçesini açıklayarak reddeder ve cevabını İlgili Kişi’ye yazılı olarak veya elektronik ortamda bildirir. Başvuruda yer alan talebin kabul edilmesi hâlinde Şirket talebin gereğini yerine getirir. Başvurunun Şirket hatasından kaynaklanması hâlinde alınan ücret İlgili Kişi’ye iade edilir.

İlgili Kişiler haklarını, EK 1’deki başvuru formunu doldurup, ıslak imzalı olarak, noter, KEP veya elektronik posta aracılığıyla Muratpaşa Mah. Uluyol Cad. İstanbul Tower Plaza Ofis: 23 Bayrampaşa İstanbul olan adresine göndermek veya aynı adrese bizzat ya da vekili aracılığıyla elden ulaştırmak veya iletisim@doktorumsun.comelektronik posta adresine göndermek suretiyle kullanabilir.

Kimliğini ispat eden belgelerin, varsa talebi destekleyici belgelerin, İlgili Kişi’nin bu hakkını vekili aracılığıyla kullanmak istemesi durumunda, bu konuda özel yetkiyi içeren vekaletname suretinin formun ekinde iletilmesi gerekmektedir.