Medmodern bir Promedis Group şirketidir.
Promedis Group markası, 30 yıla yakın süredir Türk sağlık sektöründe önemli bir yere sahip olan Pi Medikal’in deneyim ve tecrübelerinden beslenip, bu deneyimi yaratıcı teknoloji ve yaklaşımlar ile birleştirerek sağlık sektörüne yeni bir bakış açısı kazandırmak üzere kurulmuştur. Türkiye’deki çok uluslu firmalara efektif bir çözüm ortağı olabilmek, aynı zamanda Türkiye’de faaliyet göstermeyen büyük firmaların da temsilciliğini yapıp, hizmet kalitesini üst düzeyde tutarak sağlık sektöründe bölgedeki önemli oyunculardan biri olma gayesiyle yola çıkmıştır.
Promedis Group; proje planlama, medikal cihaz planlama, alım ve kurulum, medikal gaz sistemleri tasarım ve uygulama, proje yönetimi ve tamamlayıcı danışmalık hizmetleriyle profesyonel, güvenilir ve gelişmelere hızla adapte olabilen proje ortağınızdır. Bununla beraber Promedis, dünya çapında isim yapmış, kendi alanında lider üretici ve servis sağlayıcı firmalarla yıllardır süre gelen ortaklıklarından edindiği tecrübelerine ek olarak yeni stratejik, değeri yüksek temsilciliklerle de ürün yelpazesini geliştirmektedir.
Ürün yelpazesine Koreli dünya devi Samsung’un ultrasonografi ve dijital röntgen, Ziehm C Kollu Skopi ve Koelis MR füzyon prostat biyopsi sistemlerini de ekleyen Promedis Group, alanında uzman Midmark, Leisegang, Promotal, Gimmi, Acutronic, Schaerer Medical, Guldmann ve Novak M gibi temsilcilikleriyle beraber kaliteli ve geniş bir ürün yelpazesi ile hizmet vermektedir.
Promedis Group İstanbul, Ankara, İzmir ofisleri ve 80’e yakın çalışanı ile son 30 senedir yaptığı gibi müşterilerinin proje, satış, satış sonrası teknik servis hizmetleri ve eğitim konularında tercih ettiği çözüm ortağı olmaya devam etmekte ve hem Türkiye hem de bölgede pazarın bilinen, güvenilen ve tercih edilen en büyük çözüm ortaklarından biri olma yolunda hızlı ve emin adımlarla ilerlemektedir.
“Tercih ettiğiniz çözüm ortağınız”
Promedis olarak, başarının müşterilerimizin bize duyduğu güven ile doğru orantılı olduğuna inanıyoruz. Bunun için her gün “tercih ettiğiniz çözüm ortağınız” olarak planlama, yatırım ve sonrasında yatırımınızın korunması amacı ile sizinle omuz omuza verip uzun vadeli değer yaratmak için çalışıyoruz.
MEDMODERN ÇEREZ POLİTİKASI
ÇEREZ (“COOKİE”) NEDİR?
Çerezler, ziyaret ettiğiniz internet siteleri tarafından tarayıcılar aracılığıyla bilgisayarınıza (ya da akıllı telefon veya tablet gibi diğer cihazlarınıza) kaydedilen ve genelde harf ve rakamlardan oluşan çok küçük metin dosyalarıdır. Çerezler, ziyaretçilere ilişkin isim, cinsiyet veya adres gibi kişisel verileri içermezler.
Çerezler, ziyaret ettiğiniz web sitesini yöneten sunucular tarafından oluşturulurlar. Böylelikle ziyaretçi aynı siteyi ziyaret ettiğinde sunucu bunu anlayabilir. Çerezler, web sitesi sahiplerine aynı ziyaretçinin siteyi yeniden ziyaret ettiğini gösteren kimlik kartlarına benzetilebilir.
MEDMODERN ÇEREZLERİ NASIL KULLANILMAKTADIR?
Medmodern çerezleri;
· Yaptığınız tercihleri hatırlamak ve web sitesi/mobil uygulama/mobil sitesi kullanımınızı kişiselleştirmek için kullanır. Bu kullanım:
o Parolanızı kaydeden ve web sitesi/mobil uygulama/mobil sitesi oturumunuzun sürekli açık kalmasını sağlayan, böylece her ziyaretinizde birden fazla kez parola girme zahmetinden kurtaran çerezleri ve
o Web sitesine/mobil uygulamaya/mobil sitesine daha sonraki ziyaretlerinizde sizi hatırlayan ve tanıyan çerezleri içerir.
· Medmodern tarafından işletilen elektronik ticaret platformlarına nereden ve hangi cihazlardan bağlandığınız, web sitesi/mobil uygulama/mobil sitesi üzerinde hangi içeriği görüntülediğiniz ve ziyaretinizin süresi gibi web sitesini/mobil uygulamayı/mobil sitesini nasıl kullandığınızın tespiti de dahil olmak üzere; web sitesini/mobil uygulamayı/mobil siteyi nasıl kullandığınızı belirlemek için kullanır.
· İlgi alanlarınıza ve size daha uygun içerik ve reklamları sunmak için, diğer bir ifade ile hedeflenmiş reklam/tanıtım amacıyla kullanır. Medmodern çerezler yoluyla elde edilen bilgileri sizlere ait diğer kişisel verilerle eşleştirerek; size daha uygun içerikleri, kişiye özel kampanya ve ürünleri sunar ve daha önceden istemediğinizi belirttiğiniz içerik veya fırsatları bir daha sunmaz.
· Site’nin çalışması için gerekli temel fonksiyonları gerçekleştirmek. Örneğin, Site üyelerinin, üyelik bilgileriyle giriş yapabilmesi.
· Site’yi analiz etmek ve Site’nin performansını arttırmak. Örneğin, Site’yi ziyaret edenlerin sayısının tespit edilmesi ve buna göre performans ayarlarının yapılması ya da ziyaretçilerin aradıklarını bulmalarının kolaylaştırılması.
· Site’nin işlevselliğini arttırmak ve kullanım kolaylığı sağlamak. Örneğin, Site’yi ziyaret eden ziyaretçinin daha sonraki ziyaretinde kullanıcı adı bilgisinin ya da arama sorgularının hatırlanması veya Site üzerinden üçüncü taraf sosyal medya faaliyetlerine bağlantı sağlamak.
· Kişiselleştirme, hedefleme ve reklamcılık faaliyeti gerçekleştirmek. Örneğin, ziyaretçilerin görüntüledikleri sayfa ve ürünler üzerinden ziyaretçilerin ilgi alanlarıyla ilgili reklam gösterilmesi.
MEDMODERN ÜÇÜNCÜ TARAF ÇEREZLERİNİ REKLAM VE YENİDEN HEDEFLEME İÇİN NASIL KULLANMAKTADIR?
Medmodern çerezleri ayrıca; arama motorlarını, Medmodern tarafından işletilen elektronik ticaret platformlarının web sitesini, mobil uygulamasını veya mobil sitesi ve/veya Medmodern’in reklam verdiği web sitelerini ziyaret ettiğinizde ilginizi çekebileceğini düşündüğü reklamları size sunabilmek için “reklam teknolojisini” devreye sokmak amacıyla kullanabilir. Reklam teknolojisi, size özel reklamlar sunabilmek için web sitesine/mobil uygulamaya/mobil sitesine ve Medmodern’in reklam verdiği web sitelerine/mobil/mobil sitesi uygulamalarına yaptığınız önceki ziyaretlerle ilgili bilgileri kullanır. Bu reklamları sunarken, Medmodern’in sizi tanıyabilmesi amacıyla tarayıcınıza benzersiz bir üçüncü taraf çerezi yerleştirilebilir.
Medmodern ayrıca Google, Inc. ("Google") tarafından sağlanan bir web analizi hizmeti olan Google Analytics kullanmaktadır. Google Analytics, çerezleri ziyaretçilerin web sitesini/mobil uygulamayı/mobil sitesini nasıl kullandıklarını istatistiki bilgiler/raporlar ile analiz etmek amacıyla kullanır. Google Analytics kullanımı hakkında daha fazla bilgi için (reddetme seçenekleri dahil), şu adresi ziyaret edebilirsiniz: https://www.google.com/intl/tr/policies/privacy/#infocollect
Bunun yanı sıra ilginizi çekebilecek reklamları sosyal medya platformlarında da sunabilmek ve özel hedef kitle oluşturmak amacıyla kişisel verilerinizden e-posta adresiniz bu platformlar ile paylaşılmaktadır. E-posta adresiniz, bu platformların sunduğu güvenli kanallar ve ortamlar üzerinden aktarılmaktadır. Sosyal medya platformları, e-posta adresinizi hashleyerek, yalnızca eşleştirme işlemi için kullanmaktadır. E-Posta adresiniz üçüncü taraflarla veya diğer reklam verenlerle paylaşılmaz ve eşleştirme işlemi tamamlandıktan sonra mümkün olan en kısa sürede sosyal medya platformlarının sistemlerinden silinir.
Örneğin; Facebook, (a) kişisel veriniz Facebook sistemlerinde bulunduğu sürece verilerin güvenliğini ve bütünlüğünü korumak ve (b) Facebook sistemlerinde bulunan kişisel verinize yanlışlıkla veya yetkisiz olarak erişilmesine ve verinizin yanlışlıkla veya yetkisiz olarak kullanılmasına, değiştirilmesine veya ifşa edilmesine karşı korumak için geliştirilen teknik ve fiziksel güvenlik önlemlerini de içerecek şekilde, özel hedef kitlenizi (“özel hedef kitleniz”) oluşturan hash yöntemiyle şifrelenen e-posta adresinizin ve Facebook Kullanıcı Kimliği koleksiyonunun gizliliğini ve güvenliğini sağlayacaktır. Ayrıca, izniniz olmadan veya yasalar gerektirmediği sürece, Facebook üçüncü taraflara veya diğer reklam verenlere özel hedef kitleniz için erişim veya bilgi vermez, özel hedef kitle bilgilerinizi kullanıcılarımız hakkındaki bilgilere eklemez veya ilgi alanına dayalı profiller oluşturmaz ya da özel hedef kitlenizi size hizmet sunmanın haricinde kullanmaz. Facebook özel hedef kitleler koşulları için https://www.facebook.com/ads/manage/customaudiences/tos.php?_=_ adresini, Facebook Gizlilik İlkeleri için https://www.facebook.com/privacy/explanation adresini ziyaret edebilirsiniz.
Mobil uygulamada ise çerez yerine, Google ve Criteo SDK’sı (Software Development Kit) kullanılmaktadır.
ÇEREZ YÖNETİMİ
İnternet tarayıcınızın çeşidine göre aşağıdaki adımları izleyerek, çerezler hakkında bilgi edinip, izin verme veya reddetme hakkınızı kullanabilirsiniz:
· Google Chrome: Browser’ınızın “adres bölümünde” yer alan, “kilit işareti” veya “i” harfini tıklayarak, “Cookie” sekmesinden çerezlere izin verebilir veya bloke edebilirsiniz.
· İnternet Explorer: Browser’ınızın sağ üst köşesinde yer alan “Tool” veya “Araçlar” Bölümünden “Güvenlik” sekmesini tıklayın ve “izin ver” veya “izin verme” şeklinde çerez yönetimizi gerçekleştirin.
· Mozilla Firefox: Browser’ınızın sağ üst köşesinde yer alan “menüyü aç” sekmesini tıklayınız. “Seçenekler” görselini tıklayarak “Gizlilik ve Güvenlik” butonunu kullanarak çerez yönetiminizi yapınız.
· Diğer browserlar için de (opera, microsoft edge gibi), ilgili browser’ın yardım veya destek sayfalarını inceleyebilirsiniz.
· Safari: Telefonunuzun “Ayarlar” bölümünden “safari” sekmesini seçip, “Gizlilik ve Güvenlik” Bölümünden tüm çerez yönetiminizi sağlayabilirsiniz.
· Yukarıdaki seçeneklerin yanısıra; tüm çerezler hakkında bilgi sahibi olmak ve çerez yönetimi için: https://www.allaboutcookies.org, https://www.youronlinechoices.eu/ adresini ziyaret edebilirsiniz, veya "Privacy Badger" uygulamasını kullanabilirsiniz (https://www.eff.org/tr/privacybadger)
· Mobil uygulamalarda çerez veya SDK yönetimi için cihazınızın Gizlilik veya Ayarlar Bölümünde yer alan yönlendirmeleri takip edebilir veya Lumen Privacy Monitor’ü (https://haystack.mobi) telefonunuza indirerek kullanabilirsiniz.
Kalıcı çerezleri veya oturum çerezlerini reddederseniz, web sitesini, mobil uygulamayı ve mobil sitesini kullanmaya devam edebilirsiniz fakat web sitesinin, mobil uygulamanın ve mobil sitesinin tüm işlevlerine erişemeyebilirsiniz veya erişiminiz sınırlı olabilir. Mobil uygulamada söz konusu durum değişkenlik gösterebilmektedir.
ÇEREZ ÇEŞİTLERİ
Kullanım süresine göre çerez çeşitleri: Medmodern tarafından işletilen elektronik ticaret platformlarının web sitesinde, mobil uygulamasında ve mobil sitesinde kullanım sürelerine göre, oturum çerezleri ve kalıcı çerezler kullanmaktadır. Oturum çerezi, tarayıcınızı kapattığınızda sona erer. Kalıcı çerez ise sabit diskinizde uzun bir süre veya süresiz olarak kalır.
Çerezin sahibi veya çerezi yerleştiren tarafa göre çerez çeşitleri: Medmodern tarafından işletilen elektronik ticaret platformlarının web sitesinde, mobil uygulamasında ve mobil sitesinde yerleştiren tarafa göre “Medmodern çerezleri (first party cookie)” ve “üçüncü taraf (third party cookie) çerezler” kullanılmaktadır. Medmodern çerezleri, Medmodern tarafından oluşturulurken, üçüncü taraf çerezleri ise işbirliği yaptığımız üçüncü taraf firmalar tarafından yönetilmektedir.
Kullanım amaçlarına göre çerez çeşitleri: Medmodern tarafından işletilen elektronik ticaret platformlarının web sitesinde, mobil uygulamasında ve mobil sitesinde kullanım amacına göre; teknik çerezler, doğrulama çerezleri, hedefleme/reklam çerezleri, kişiselleştirme çerezleri ve analitik çerezler kullanılmaktadır. Medmodern bu çerezleri kullanarak; Üyelerini birbirinden ayıran özellikleri belirleyerek, tercih ve beğenilerine uygun kampanya ve reklam yapmak amacıyla Üyeleri büyük gruplara ayırarak, ortalama harcama tutarı, yaş, cinsiyet, alışveriş yapılan kategoriler, mobil kullanım oranı gibi harcama alışkanlıklarını tespit etmeye yönelik istatistiksel çalışmalar yapmaktadır.
Oturum Çerezleri
Oturum çerezleri ziyaretçilerimizin Site’yi ziyaretleri süresince kullanılan, tarayıcı kapatıldıktan sonra silinen geçici çerezlerdir.
Bu tür çerezlerin kullanılmasının temel amacı ziyaretiniz süresince Site’nin düzgün bir biçimde çalışmasını sağlamaktır.
Örneğin; birden fazla sayfadan oluşan çevrimiçi formları doldurmanızın sağlanmaktadır.
Kalıcı Çerezler
Kalıcı çerezler Site’nin işlevselliğini artırmak, ziyaretçilerimize daha hızlı ve iyi bir hizmet sunmak amacıyla kullanılan çerez türleridir. Bu tür çerezler ziyaretçi tercihlerini hatırlamak için kullanılır ve tarayıcılar vasıtasıyla kullanılan cihazda depolanır.
Kalıcı çerezlerin bazı türleri Site’yi kullanım amacınız gibi hususlar göz önünde bulundurarak sizlere özel öneriler sunulması için kullanılabilmektedir.
Kalıcı çerezler sayesinde Site, aynı cihazla tekrardan ziyaret etmeniz durumunda, cihazınızda Site tarafından oluşturulmuş bir çerez olup olmadığı kontrol edilir ve var ise, sizin siteyi daha önce ziyaret ettiğiniz anlaşılır ve size iletilecek içerik bu doğrultuda belirlenir ve böylelikle sizlere daha iyi bir hizmet sunulur.
Teknik Çerezler
Teknik çerezler ile Site’nin çalışması sağlanmakta, internet sitesinin çalışmayan sayfaları ve alanları tespit edilmektedir.
Doğrulama Çerezleri
Ziyaretçilerin şifrelerini kullanarak Site’ye giriş yapmaları durumunda, bu tür çerezler ile, ziyaretçinin Site’de ziyaret ettiği her bir sayfada site kullanıcısı olduğu belirlenerek, kullanıcının her sayfada şifresini yeniden girmesi önlenir.
Hedefleme/Reklam Çerezleri
Site’de kullanıcılara sunulan reklamları özelleştirmek ve zaten görüntülenmiş reklamların tekrar gösterilmesini engellemek için kullanılan çerez türleridir.
Kişiselleştirme Çerezleri
Kullanıcıların tercihlerini farklı Site sayfalarını ziyarette de hatırlamak için kullanılan çerezlerdir. Örneğin, seçmiş olduğunuz dil tercihinizin hatırlanması.
Analitik Çerezler
Analitik çerezler ile Site’yi ziyaret edenlerin sayıları, Site’de görüntülenen sayfaların tespiti, Site ziyaret saatleri, Site sayfaları kaydırma hareketleri gibi analitik sonuçların üretimini sağlayan çerezlerdir.
Gizlilik ve Kişisel Verilerin Korunması Politikası
Medmodern Tıbbi Cihazlar Pazarlama İnşaat Sanayi Ve Ticaret A.Ş. (“Medmodern” veya “Şirket”) olarak, 6698 Sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) olarak anılacaktır.
Medmodern, Kanun’un öngördüğü ilkeler kapsamında, kişisel verilerin işlenmesi, silinmesi, yok edilmesi, anonim hale getirilmesi, aktarılması, ilgili kişinin aydınlatılması ve veri güvenliğinin sağlanmasıyla ilgili Kanun’dan kaynaklı yükümlülüklerini yerine getirmektedir.
Kanun’a uygun bir şekilde düzenlenmiş olan işbu Gizlilik ve Kişisel Verilerin Korunması Politikası kişisel verisi işlenen gerçek kişilerin (“veri sahibi”) erişimine sunulmaktadır.
1. Gizlilik ve Kişisel Verilerin Korunması Politikasının Kapsam ve Amacı
İşbu Gizlilik ve Kişisel Verilerin Korunması Politikası, Medmodern’in;
· Kişisel verilerin toplandığı yöntemler ve hukuki sebepleri,
· Hangi kişi gruplarının kişisel verilerinin işlendiğini (Veri Sahibi Kategorizasyonu),
· Veri sahiplerinin hangi kategoride kişisel verilerinin işlendiği (Veri Kategorileri) ve örnek veri türleri,
· İlgili kişisel verilerin hangi amaçlarla kullanıldığı,
· Kişisel verilerin güvenliğini sağlamak amacıyla alınan teknik ve idari tedbirleri,
· Kişisel verilerin kimlere hangi amaçlarla aktarılabileceği,
· Kamu kurum ve kuruluşları ile resmi makamlar ile gerçekleştirilen kişisel veri paylaşımı,
· Kişisel verilerin saklanma süreleri,
· Profilleme ve segmentasyon
· Veri sahiplerinin kendi kişisel verileri üzerindeki haklarının neler olduğunu ve bu hakları nasıl kullanabileceklerini
ayrıntılı olarak belirtmektedir.
a. Kişisel Verileri Toplama Yöntemleri ve Hukuki Sebepleri
Medmodern, kişisel verileri işyerleri, çağrı merkezi, web siteleri, sosyal medya hesapları, e-posta, posta, call center, CCTV, çerezler, faks, idari ve adli makamlardan gelen tebligatlar ve sair iletişim kanalları aracılığıyla işitsel, elektronik veya yazılı olarak, Kanun’da belirtilen kişisel veri işleme şartlarına uygun olarak ve işbu Gizlilik ve Kişisel Verilerin Korunması Politikası’nda belirtilen hukuki sebepler doğrultusunda toplamaktadır.
b. Veri Sahibi Kategorizasyonu
Medmodern, kişisel verilerini işlediği veri sahiplerini aşağıdaki şekilde gruplamakta olup, bu kişi gruplarının işbu politikada belirtilen süreç ve hukuki nedenler ışığında genişlemesi söz konusu olabilecektir.
i. Müşteri/Potansiyel Müşteri
ii. Tedarikçi/Potansiyel Tedarikçi
iii. İş Ortağı /Potansiyel İş Ortağı
Yukarıda yer alan veri sahibi kategorilerine yapılan atıflar, bu kategoride bulunan veri sahiplerinin veya tüzel kişilerin çalışanlarını, yetkililerini ve hissedarlarını da kapsamaktadır.
c. Veri Kategorileri ve Örnek Veri Türleri
No
Veri Sahibi
Veri Kategorisi
Veri Türleri
1.
Müşteri / İş Ortağı / Tedarikçi
Kimlik Bilgisi
Nüfus Cüzdanı Bilgisi (ad/soyad, cinsiyet, T.C. kimlik numarası, doğum tarihi, doğum yeri, medeni hali vb.); Ehliyet Bilgisi (ehliyet sınıfı, veriliş tarihi); Pasaport Bilgisi (pasaport no. vb.)
İletişim Bilgisi
Adres (ev/iş), E-posta, Telefon/Cep Telefonu
Finansal Bilgi
Banka Hesap Bilgileri, Borç Bakiyesi, IBAN Numarası, Ödeme Bilgileri
Müşteri
İş Ortağı
Tedarikçi
Bilgisi
Müşteri Numarası, Ticari İlişki Başlangıç/Bitiş Tarihi ve Nedeni, Talepler, Memnuniyet Bilgileri, Ürüne İlişkin Şikayet ve Talep Bilgileri, İş Sağlığı ve Güvenliği (İSG) Ekipman Tutanakları
Özlük ve Meslek Bilgisi
Mevcut Çalışmakta Olduğu İşyeri ve Pozisyon, Eğitim Durumu, Sektör Bilgisi, İşe Giriş Belgesi, İş Sağlığı ve Güvenliği (İSG) Eğitim Belgesi, Bağlı Bulunduğu Organizasyon
Hukuki İşlem ve Uyum Bilgisi
Resmi Tutanaklar, İmza Sirküleri, Faaliyet Bilgisi, Vekaletname
İşlem Güvenliği Bilgisi
Call Center Kayıtları, Kredi Kart Numarası, Kredi Kartı Son Kullanma Tarihi
Aile Bireyleri ve Yakın Bilgileri
Ad-Soyad, Yakınlık Derecesi, Meslek, Okul, Doğum Tarihi, Cep Telefonu
Ticari Bilgi
Faaliyet Alanı ve Operasyon Kapasitesi, Hizmet/Ürün Tercihleri, Yapılan Görüşme ve Toplantı Kayıtları, Analizler, Yorumlar, Talep ve Şikayetler
Diğer
Araç Model ve Plaka Bilgisi, CCTV
2.
Müşteri / Potansiyel Müşteri
(Pazarlama ve Profilleme)
Kimlik Bilgisi
Ad-Soyad, T.C. Kimlik Numarası
İletişim Bilgisi
E-posta adresi, telefon numarası
CV ve Meslek Bilgisi
Çalıştığı kurum/pozisyon, eğitim durumu bilgisi
Ticari Bilgi
Faaliyet Alanı ve Operasyon Kapasitesi, Hizmet/Ürün Tercihleri, Yapılan Görüşme ve Toplantı Kayıtları, Analizler, Yorumlar, Talep ve şikayetler
Diğer
CCTV
d. Kişisel Verilerin Hangi Amaçlarla Kullanıldığı
Kişisel veriler, Medmodern tarafından aşağıdaki amaçlar ile kullanılmaktadır;
· Şirket tarafından yürütülen ticari faaliyetlerin gerçekleştirilmesi için ilgili iş birimleri tarafından gerekli çalışmaların yapılması ve buna bağlı iş süreçlerinin yürütülmesi
· İş Faaliyetlerinin Etkinlik/Verimlilik ve/veya Yerindelik Analizlerinin Gerçekleştirilmesi Faaliyetlerinin Planlanması ve/veya İcrası
· İş Sürekliğinin Sağlanması Faaliyetlerinin Planlanması ve/veya İcrası
· Lojistik Faaliyetlerinin Planlanması ve İcrası
· Acil Durum Süreçlerinin Yürütülmesi
· Kurumsal İletişim Faaliyetlerinin Planlanması ve İcrası
· Tedarik Zinciri Yönetimi Süreçlerinin Planlanması ve İcrası
· Bilgi Güvenliği Süreçlerinin Planlanması, Denetimi ve İcrası
· Şirket Finans ve Muhasebe İşlerinin Takibi
· Şirket Operasyon Süreçlerinin Planlanması ve İcrası
· Şirket Dışı ve İçi Eğitim Faaliyetlerinin Planlanması ve İcrası
· İş Ortakları ve/veya Tedarikçilerle Olan İlişkilerin Yönetimi
· Ürün ve/veya Hizmetlerin Satış Süreçlerinin Planlanması ve İcrası
· Satış Sonrası Destek Hizmetleri Aktivitelerinin Planlanması ve/veya İcrası
· Müşteri İlişkileri Yönetimi Süreçlerinin Planlanması ve İcrası
· Müşteri Talep ve/veya Şikayetlerinin Takibi
· Ürün ve Hizmetlerin Satış ve Pazarlaması İçin Pazar Araştırması Faaliyetlerinin Planlanması ve İcrası
· Ürün ve Hizmetler hakkında güncel bilgileri paylaşmak ve Şirket pazarlama ve tebrik yayınlarının paylaşılması
· Ürün ve/veya Hizmetlerin Pazarlama Süreçlerinin Planlanması ve İcrası
· Müşteri Memnuniyeti Aktivitelerinin Planlanması ve/veya İcrası
· Hukuk İşlerinin Takibi ve Hukuki Sorumlulukların Yerine Getirilmesi
· Şirket Faaliyetlerinin Şirket Prosedürleri ve/veya İlgili Mevzuata Uygun Olarak Yürütülmesinin Temini İçin Gerekli Operasyonel Faaliyetlerinin Planlanması ve İcrası
· Yetkili Kuruluşlara Mevzuattan Kaynaklı Bilgi Verilmesi
· Şirket Denetim Faaliyetlerinin Planlanması ve İcrası
· Şirket Yerleşkeleri ve/veya Tesislerinin Güvenliğinin Temini
· Şirket Operasyonlarının Güvenliğinin Temini
· Şirket Yerleşkelerinin ve Taşınırlarının Temini
· Şirket Demirbaşlarının ve/veya Kaynaklarının Güvenliğinin Temini
· Ziyaretçi Kayıtlarının Oluşturulması
e. Kişisel Verilerin Güvenliğini Sağlamak Amacıyla Alınan Teknik ve İdari Tedbirler
Medmodern, kişisel verilerinizin gizliliği, bütünlüğü ve güvenliğinin sağlanması için gerekli teknik ve idari her türlü tedbiri almayı ve gerekli özeni göstermeyi taahhüt etmektedir. Bu kapsamda, kişisel verilerin hatalı kullanımını, hukuka aykırı olarak işlenmesini, verilere yetkisiz erişimi, verilerin ifşa edilmesini, değiştirilmesini veya imha edilmesini engellemek için gerekli önlemleri alır.
Medmodern işlediği kişisel verilere hukuka aykırı erişimin engellenmesi, bu verilerin hukuka aykırı işlenmesinin önlenmesi ve kişisel verilerin muhafazasının sağlanmasına ilişkin olarak aşağıdaki teknik ve idari tedbirleri almaktadır:
Anti-Virüs
Medmodern’in bilgi teknolojileri altyapısında bulunan tüm PC ve sunucularda periyodik olarak güncellenen anti-virüs uygulaması yüklüdür.
Firewall
Medmodern sunucularını barındıran Data Center ve Felaket Kurtarma Merkezleri periyodik olarak güncellenen yazılım yüklü firewalllarca korunmakta olup, ilgili yeni nesil firewalllar tüm personellerin internet bağlantılarını kontrol etmekte ve bu kontrol sırasında virüs ve benzeri tehditlere karşı koruma sağlamaktadır.
VPN
İşyerleri sunucu sistemlerine IP-SEC VPN ile bağlanmakta olup, 2 nokta arasındaki trafik şifreli bir şekilde iletilmektedir.
Tedarikçiler de Medmodern sunucu ya da sistemlerine Firewalllar üzerinde tanımlı bulunan SSL-VPN aracılığı ile erişim sağlayabilmektedirler. Her bir tedarikçi için ayrı SSL-VPN tanımı yapılmış olup, yapılan tanımlama ile tedarikçi sadece kullanması gereken ya da yetkilendirmesi yapılan sistemlere erişim sağlamaktadır.
Kullanıcı Tanımlamaları ve Need to Know
Medmodern ve çalışanlarının Medmodern sistemlerine olan yetkileri sadece iş tanımları ile gerekli olduğu ölçüde sınırlandırılmış olup, herhangi bir yetki ve görev değişikliği söz konusu olması durumunda sistemsel yetkileri de ivedi olarak güncellenmektedir.
Bilgi güvenliği Tehdit ve Olay Yönetimi
Medmodern sunucularında ve Firewallarında oluşan olaylar “Bilgi Güvenliği Tehdit ve Olay Yönetimi” sistemine aktarılmaktadır. Bu sistem güvenlik tehdidi oluştuğunda sorumlu personelleri uyarmakta ve ivedi bir şekilde tehdide cevap verilmesi imkanı sağlamaktadır.
Clean Table & Clean Desk
Medmodern] iç kuralları uyarınca çalışanları “clean table & clean desk” prensibine uymakla yükümlüdür.
Kağıt ortamdaki kişisel verilerin mutlaka kilitli dolaplarda muhafaza edilmesini ve sadece yetkili kişiler tarafından erişilmesini sağlar.
Medmodern’in gerekli bilgi güvenliği önlemlerini almasına karşın, Medmodern tarafından işletilen platformlara veya Medmodern sistemine yapılan saldırılar sonucunda kişisel verilerin zarar görmesi veya yetkisiz üçüncü kişilerin eline geçmesi durumunda, Medmodern bu durumu derhal sizlere ve Kişisel Verileri Koruma Kurulu’na bildirir ve gerekli önlemleri alır.
f. Kişisel Verilerin Kimlere ve Hangi Amaçla Aktarılabileceği
Medmodern kişisel verileri yalnızca işbu Gizlilik ve Kişisel Verilerin Korunması Politikası’nda belirtilen amaçlar doğrultusunda ve Kanun’un 8. ve 9. Maddelerine uygun olarak üçüncü kişilere ve hissedarına aktarmaktadır.
Bu kapsamda gerçekleştirilen kişisel veri aktarımları, ilgili üçüncü tarafın sunduğu güvenli ortam ve kanallar aracılığıyla gerçekleşmektedir. Üçüncü taraflardan alınan hizmetin içeriği ve kapsamına bağlı olarak; veri sahibi kişisel verilerinin aktarımına gerek olmayan tüm hallerde Pseudonymous data (takma adlı veri) kullanılarak aktarım yapılmaktadır.
Yukarıda belirttiğimiz yurt içi ve yurt dışı aktarıma konu kişisel veriler, güvenliklerini sağlayacak teknik tedbirlerin yanı sıra; hukuki ilişkinin karşı tarafının veri sorumlusu veya veri işleyen olması dikkate alınarak sözleşmelerimizde yer verilen Kanun uyumlu hükümler sayesinde hukuksal olarak da korunmaktadır.
No
Veri Sahibi
Kişisel Veriler Kiminle ve Hangi Amaçla Paylaşılıyor?
1.
Müşteri / Potansiyel Müşteri
ETK izinleri olan müşterilere ticari veya işyeri açılışı/kapanışı gibi organizasyonel konuların bildirilmesi için SMS gönderilmesi amacıyla SMS Tedarikçisi ile iletişim bilgilerinin paylaşılması; Müşteriye e-faturasının elektronik olarak gönderilmesi için e-fatura tedarikçisi ile fatura bilgilerinin paylaşılması; Müşteri talep ve şikayetlerinin çözümü amacıyla kişisel verilerin Call Center ile paylaşılması; Tüketicilerin Tüketici Hakem Heyetine başvurması durumunda savunma dilekçesi hazırlanması amacıyla kişisel verilerin avukat ile paylaşılması; Satın alınan ürünün adına teslim edileceği kişi bilgisinin kargo şirketi ile paylaşılması; ürünlerin tedarik edilebilmesi amacıyla kişisel verilerin tedarikçi ile anonim olarak paylaşılması; toplantı, kongre ve fuar gibi ticari içerikli etkinliklere katılım sağlamanız ihtimalinde ilgili organizasyon kuruluş ile kişisel verilerinizin paylaşılması; Raporlama ve istatistiki çalışmalar kapsamında Müşteri kişisel verilerinin Medmodern hissedarı ile paylaşılması; Fiziki ve elektronik müşteri verilerinin saklanması amacıyla yurtiçinde ve yurtdışında bulunan tedarikçiler ile paylaşılması; ve Web sitesi kullanım tercihleri ve gezinti geçmişi, segmentasyon yapılması ve Müşteri ile beğeni ve tercihleri doğrultusunda iletişime geçilmesi amacıyla üçüncü taraflarla paylaşılması gibi süreçler söz konusudur.
2.
İş Çözüm Ortağı / Tedarikçi
Medmodern işyerlerinde yapılacak herhangi bir çalışma söz konusu olduğunda kimlik verilerinin fiziki ve elektronik iş çözüm ortağı / tedarikçi verilerinin saklanması amacıyla tedarikçiler ile paylaşılması; toplantı, kongre ve fuar gibi ticari içerikli etkinliklere katılım sağlamanız ihtimalinde ilgili organizasyon kuruluş ile kişisel verilerinizin paylaşılması; operasyonel süreçlerin yürütülmesi amacı ile müşterilerle veya diğer ilgili 3. kişilerle paylaşılması; iş sağlığı ve güvenliği kontrollerinin yapılabilmesi için ilgili tedarikçi ile paylaşılması; şirket kayıtlarının saklanabilmesi için kullanılan dijital sistemler sunan yurtiçinde ve yurtdışında bulunan 3. kişiler ile paylaşılması gibi süreçler söz konusudur.
g. Kamu Kurum ve Kuruluşları ile Resmi Makamlar ile Gerçekleştirilen Kişisel Veri Paylaşımı
No
Veri Sahibi
Kişisel Veriler Kiminle ve Hangi Amaçla Paylaşılıyor?
1.
Müşteri /
Potansiyel Müşteri
SGK ve Sağlık Bakanlığı denetimi sırasında müşteri kişisel verilerinin SGK ile paylaşılması; işyerlerinde gerçekleştirilen hukuka aykırı durumların savcılık gibi ilgili resmî kurumlara bildirilmesi; yürütülen yargılamalarda delil olarak Mahkeme ve şirket avukatlarıyla paylaşılması ve Vergi denetimleri sırasında fatura ve tahsilat makbuzlarının Maliye Bakanlığı temsilcileri ile paylaşılması gibi süreçler söz konusudur.
2.
İş Çözüm Ortağı / Tedarikçi
İş Çözüm Ortağı / Tedarikçiler ile gerçekleştirilen ilişkiler kapsamında açılan cari kartların Ticaret Sicil Müdürlükleri ve noter ile paylaşılması; Muhasebe tarafından yapılması gereken yasal bildirimlerin gerçekleştirilmesi amacıyla ilgili kamu kurumları ve noterler ile kişisel verilerin paylaşılması; Vergi denetimleri sırasında fatura ve tahsilat makbuzlarının Maliye Bakanlığı temsilcileri ile paylaşılması; ve Mevcut ticari ilişkiden kaynaklı ödeme yükümlülüğünün yerine getirilebilmesi amacıyla finansal verilerin banka ile paylaşılması gibi süreçler söz konusudur.
h. Kişisel Verilerin Saklanma Süreleri
Medmodern işlediği kişisel verileri ilgili mevzuatta öngörülen veya işleme amacının gerektirdiği süreler boyunca Kanun ile uyumlu olarak muhafaza eder. Kişisel Verilerin Saklanması ve İmhası Politikası’nda https://www.medmodern.com.tr/hakkimizda bu süreler yaklaşık olarak aşağıdaki gibidir:
Veri Tipi
Saklama Süresi
Hukuki Dayanağı
Müşterilere İlişkin Kişisel Veriler
Hukuki ilişkinin sona ermesinden itibaren 10 yıl; 6563 Kanun ve ilgili ikincil mevzuat uyarınca 3 yıl
6563 Sayılı Kanun, 6102 Sayılı Kanun, 6098 Sayılı Kanun, 213 Sayılı Kanun, 6502 Sayılı Kanun,
İş Çözüm Ortağı / Tedarikçilere İlişkin Kişisel Veriler
Hukuki ilişkinin sona ermesinden itibaren 10 yıl
6102 Sayılı Kanun, 6098 Sayılı Kanun ve 213 Sayılı Kanun
Potansiyel Müşterilere İlişkin Kişisel Veriler
5 yıl
Geriye Dönük Olarak Analiz Yapılması
Ziyaretçilere İlişkin Kişisel Veriler (Kamera Kayıtları)
90 gün
Güvenliğin Sağlanması
Çevrimiçi Ziyaretçilere İlişkin Kişisel Veriler
2 yıl
5651 Sayılı Kanun
Muhasebe ve Finansal İşlemlere İlişkin Tüm Kayıtlar
10 yıl
6098 Sayılı Kanun
Ticari İçerikli İletişimler (Reklam, Haber vb.) İçin Toplanmış Olan Kişisel Verileri
5 yıl, Sözleşmesel ilişki kurulmuş ise sözleşmesel ilişkinin sona ermesinden itibaren 5 yıl
Ticari İletişim ve Ticari Elektronik İletiler Hakkında Yönetmelik
Kişiye Özel Teklif, Reklam ve Tanıtım Yapılması Amacı ile Toplanmış Olan Kişisel Veriler
5 yıl, Sözleşmesel ilişki kurulmuş ise sözleşmesel ilişkinin sona ermesinden itibaren 5 yıl
Ticari İletişim ve Ticari Elektronik İletiler Hakkında Yönetmelik
i. Profilleme ve Segmentasyon
Medmodern, Müşteri ve Potansiyel Müşterilerine ilişkin olarak işlediği kişisel verileri kullanarak;
i. Ticari elektronik ileti izni veren Müşteri ve Potansiyel Müşteriye ilişkin olarak, Müşteri ve Potansiyel Müşterinin beğeni ve tercihlerine göre içerik hazırlanması, reklam, tanıtım, indirim yapılabilmesi amacıyla profilleme ve segmentasyon yapmaktadır.
ii. Ticari elektronik ileti onayı vermemiş olan Müşteri ve Potansiyel Müşterileri bakımından da profilleme ve segmentasyon yapılarak;
Müşterilerin ve Potansiyel Müşterilerin tercihleri, şikayet ve önerileri kapsamında ürünlerin iyileştirilmesi (en çok ve en az tercih edilen ürünlerin belirlenerek ürün kataloğunun güncellenmesi),
Müşterilerin ve Potansiyel Müşterilerin ürün tercihlerinin analiz edilmesi sonucu oluşturulan özel modeller ile, bir ürünü alma potansiyeli yüksek müşterilere özel kampanyalar düzenlenmesi,
Ürünlerin tercih edilirliğinin arttırılmasına ilişkin çalışmalar yapılması,
· Haber bültenleri, reklam materyalleri ve yeni ürünler/hizmetler hakkındaki diğer iletişimlerin ve mevcut ürünler/servisler hakkındaki güncellemelerin/haberlerin gönderilmesi ve müşteri memnuniyeti dahil olmak üzere anketlerin gerçekleştirilmesi.
j. Veri Sahiplerinin Kişisel Verileri Üzerindeki Haklarının Neler Olduğunu ve Bu Hakları Nasıl Kullanabilecekleri
Veri sahiplerinin Kanun Madde 11 uyarınca sahip olduğu haklar aşağıda belirtilmiştir:
(1) Kişisel veri işlenip işlenmediğini öğrenme,
(2) Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
(3) Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
(4) Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
(5) Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
(6) KVK Kanunu 7. maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme,
(7) (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
(8) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
(9) Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme.
Kişisel verileriniz üzerindeki haklarınızı kullanmak amacıyla; Medmodern Web Sitesi’nden erişebileceğiniz “İletişim Formu”, ve Medmodern resmi e-mail adresi info@Medmodern.com.tr ve resmi telefon hattı olan 02164998728 numarası üzerinden gerekli değişiklik, güncelleme ve/veya silme gibi işlemleri ve ilgili talepleri gerçekleştirebilirsiniz.
2. Kişisel Verilerin Silinmesi, Yok Edilmesi ve Anonimleştirilmesi Şartları
Medmodern, iş süreçleri kapsamında fiziki, elektronik, Web Sitesi, E-mail gibi kanallardan toplayarak işlediği kişisel verileri, Kanun Madde 7, 17 ve Türk Ceza Kanunu Madde 138 uyarınca ilgili kanunların öngördüğü süreler ve/veya işleme amacının gerekli kıldığı süreler boyunca saklamaktadır. Bu sürelerin sona ermesi durumunda ise Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik hükümleri ve Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Rehberi uyarınca silecek, yok edecek veya anonim hale getirecektir.
Medmodern tarafından kişisel verilerin silinmesi, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemini ifade etmektedir.
Medmodern tarafından kişisel verilerin yok edilmesi, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemini ifade etmektedir.
Medmodern tarafından kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesini ifade etmektedir.
Medmodern, Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik uyarınca hazırladığı Kişisel Verilerin Saklanması ve İmhası Politikası kapsamında silme, yok etme ve anonim hale getirmeye ilişkin yöntemleri ve aldığı teknik ve idari tedbirleri ayrıntılı olarak açıklamaktadır. Kişisel Verilerin Saklanması ve İmhası Politikası’na https://www.medmodern.com.tr/hakkimizda linki üzerinden erişebilirsiniz. Bu Politika’da ayrıca Yönetmeliğin öngördüğü periyodik imhanın gerçekleştirileceği zaman aralığı 6 ay olarak belirlenmiştir.
3. Gizlilik ve Kişisel Verilerin Korunması Politikası’nda Yapılacak Değişiklikler
Medmodern, işbu Gizlilik ve Kişisel Verilerin Korunması Politikası’nda her zaman değişiklik yapabilir. Bu değişiklikler, değiştirilmiş yeni Gizlilik ve Kişisel Verilerin Korunması Politikası’nın yayınlanmasıyla birlikte derhal geçerlilik kazanır. İşbu Gizlilik ve Kişisel Verilerin Korunması Politikası’ndaki değişikliklerden haberdar olmanız için, sizlere gerekli bilgilendirme yapılacaktır.
MEDMODERN KİŞİSEL VERİLERİN SAKLANMASI VE İMHASI POLİTİKASI
I. Amaç
İşbu Kişisel Verilerin Saklanması ve İmhası Politikasının (“Politika”) amacı; Medmodern Tıbbi Cihazlar Pazarlama İnşaat Sanayi Ve Ticaret A.Ş. Medmodern(“Medmodern’’ veya “Şirket”) tarafından işlenen kişisel verilerin işlenme sürelerinin belirlenmesi ve işleme süresi ve/veya işleme amacı ortadan kalkan kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin kriter ve yöntemlerin ortaya konulmasıdır.
İşbu Politika’da 28 Ekim 2017 tarihinde yürürlüğe giren Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi hakkındaki Yönetmeliğin 6’ncı maddesinde yer alan veri güvenliğini sağlamak için alınmış teknik ve idari tedbirlere de yer verilmektedir. 30 Aralık 2017 tarihli Veri Sorumluları Sicili Hakkında Yönetmelik hükümleri ile Kişisel Verilerin Silinmesi, Yok Edilmesi ve Anonim Hale Getirilmesi Rehberi de bu çerçevede dikkate alınmıştır.
II. Kapsam
İşbu Politika; 6698 Sayılı Kişisel Verilerin Korunması Kanununun 7’nci maddesi uyarınca “veri sorumlusu” sıfatıyla Medmodern’in tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollar ile işlediği, elektronik ve/veya kağıt ortamda yer alan ve işleme şartları sona ermiş tüm kişisel verileri silinmesi, yok edilmesi veya anonim hale getirilmesi işlemlerini kapsamaktadır.
III. Kişisel verilerin saklanmasını ve imhasını gerektiren hukuki, teknik ya da diğer sebeplere ilişkin açıklama
Medmodern; bünyesindeki çeşitli departmanlar tarafından iş tanımları doğrultusunda yürütülen iş süreçleri ve bu süreçlere bağlı faaliyetleri gerçekleştirebilmek amacıyla çalışan, çalışan adayı, çalışan yakını, iş ortağı, tedarikçi, ziyaretçi, çevrimiçi ziyaretçilerine ait kişisel verileri işlemektedir. Bu kişisel verileri mevzuatta öngörülen veya ilgili departman tarafından kişisel veri işleme amacı çerçevesinde belirlenen süreler boyunca saklamaktadır. Tüm bu akış Kişisel Veri İşleme Envanterinde yer almaktadır. İlgili saklama süreleri sona erdiğinde ise, işbu Politika’da belirlenen silme, yok etme veya anonim hale getirme yöntemleri ile işleme amacı ortadan kalkan kişisel veriler imha edilmektedir.
IV. Kişisel verilerin güvenli bir şekilde saklanması ile hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi için alınmış teknik ve idari tedbirler
Medmodern, kişisel verilerinizin gizliliği, bütünlüğü ve güvenliğinin sağlanması için gerekli teknik ve idari her türlü tedbiri almayı ve gerekli özeni göstermeyi taahhüt etmektedir. Bu kapsamda, kişisel verilerin hatalı kullanımını, hukuka aykırı olarak işlenmesini, verilere yetkisiz erişimi, verilerin ifşa edilmesini, değiştirilmesini veya imha edilmesini engellemek için gerekli önlemleri alır.
Medmodern işlediği kişisel verilere hukuka aykırı erişimin engellenmesi, bu verilerin hukuka aykırı işlenmesinin önlenmesi ve kişisel verilerin muhafazasının sağlanmasına ilişkin olarak aşağıdaki teknik ve idari tedbirleri almaktadır:
Anti-Virüs
Medmodern’in bilgi teknolojileri altyapısında bulunan tüm PC ve Sunucularda periyodik olarak güncellenen anti-virüs uygulaması yüklüdür.
Firewall
Medmodern sunucularını barındıran Data Center ve Felaket Kurtarma Merkezleri periyodik olarak güncellenen yazılım yüklü firewalllarca korunmakta olup, ilgili yeni nesil firewalllar tüm personellerin internet bağlantılarını kontrol etmekte ve bu kontrol sırasında virüs ve benzeri tehditlere karşı koruma sağlamaktadır.
VPN
İşyerleri sunucu sistemlerine IP-SEC VPN ile bağlanmakta olup, 2 nokta arasındaki trafik şifreli bir şekilde iletilmektedir.
Tedarikçiler de Medmodern sunucu ya da sistemlerine Firewalllar üzerinde tanımlı bulunan SSL-VPN aracılığı ile erişim sağlayabilmektedirler. Her bir tedarikçi için ayrı SSL-VPN tanımı yapılmış olup, yapılan tanımlama ile tedarikçi sadece kullanması gereken ya da yetkilendirmesi yapılan sistemlere erişim sağlamaktadır.
Kullanıcı Tanımlamaları ve Need to Know
Medmodern ve çalışanlarının Medmodern sistemlerine olan yetkileri sadece iş tanımları ile gerekli olduğu ölçüde sınırlandırılmış olup, herhangi bir yetki ve görev değişikliği söz konusu olması durumunda sistemsel yetkileri de ivedi olarak güncellenmektedir.
Bilgi güvenliği Tehdit ve Olay Yönetimi
Medmodern sunucularında ve Firewallarında oluşan olaylar “Bilgi Güvenliği Tehdit ve Olay Yönetimi” sistemine aktarılmaktadır. Bu sistem güvenlik tehdidi oluştuğunda sorumlu personelleri uyarmakta ve ivedi bir şekilde tehdide cevap verilmesi imkanı sağlamaktadır.
Clean Table & Clean Desk
Medmodern iç kuralları uyarınca çalışanları “clean table & clean desk” prensibine uymakla yükümlüdür.
Kağıt ortamdaki kişisel verilerin mutlaka kilitli dolaplarda muhafaza edilmesini ve sadece yetkili kişiler tarafından erişilmesini sağlar.
Medmodern’in gerekli bilgi güvenliği önlemlerini almasına karşın, Medmodern tarafından işletilen platformlara veya Medmodern sistemine yapılan saldırılar sonucunda kişisel verilerin zarar görmesi veya yetkisiz üçüncü kişilerin eline geçmesi durumunda, Medmodern bu durumu derhal sizlere ve Kişisel Verileri Koruma Kurulu’na bildirir ve gerekli önlemleri alır.
V. Kişisel verilerin hukuka uygun olarak imha edilmesi için alınmış teknik ve idari tedbirler
Medmodern, işlediği kişisel verilerin hukuka uygun olarak imha edilmesini sağlamak amacıyla Medmodern nezdinde bu işten sorumlu bir birim (“Teknik Birim”) oluşturmuştur. Teknik Birim; kişisel verilerin silinmesini, sadece ilgili kullanıcılar tarafından kişisel verinin işlenebileceği, ilgisi olmayan diğer tüm bölümler için verinin işlenemeyeceği şekilde sağlar. Elektronik ortamdaki kişisel veriler için gerekli olduğu ölçüde maskeleme yöntemleri kullanılır. Kağıt ortamdaki kişisel veriler için silme işlemi, silinmesi gereken kişisel verilerin karartılması şeklinde gerçekleştirilir.
5.1. Kişisel Verilerin Silinmesi
Kişisel verilerin silinmesi, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Veri sorumlusu, silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması için gerekli her türlü teknik ve idari tedbirleri almakla yükümlüdür.
5.1.1. Kişisel Verilerin Silinmesi Süreci
Kişisel verilerin silinmesi işleminde izlenmesi gereken süreç aşağıdaki gibidir:
· Silme işlemine konu teşkil edecek kişisel verilerin belirlenmesi
· Erişim yetki ve kontrol matrisi ya da benzer bir sistem kullanarak her bir kişisel veri için ilgili kullanıcıların tespit edilmesi
· İlgili kullanıcıların erişim, geri getirme, tekrar kullanma gibi yetkilerinin ve yöntemlerinin tespit edilmesi
· İlgili kullanıcıların kişisel veriler kapsamında erişim, geri getirme, tekrar kullanma yetki ve yöntemlerinin kapatılması ve ortadan kaldırılması
5.1.2. Kişisel Verilerin Silinmesi Yöntemleri
a) Hizmet Olarak Uygulama Türü Bulut Çözümleri
Bulut sisteminde veriler silme komutu verilerek ve ilgili kullanıcının bulut sistemi üzerinde silinmiş verileri geri getirme yetkisinin olmadığına dikkat edilerek silinmektedir.
b) Kağıt Ortamında Bulunan Kişisel Veriler
Kağıt ortamında bulunan kişisel veriler karartma yöntemi kullanılarak silinmektedir.
c) Merkezi Sunucuda Yer Alan Ofis Dosyaları
Kişisel verileri içeren dosyanın işletim sistemindeki silme komutu ile silinmekte veya dosya ya da dosyanın bulunduğu dizin üzerinde ilgili kullanıcının erişim hakları kaldırılmaktadır. Anılan işlem gerçekleştirilirken ilgili kullanıcının aynı zamanda sistem yöneticisi olmadığına dikkat edilmektedir.
d) Taşınabilir Medyada Bulunan Kişisel Veriler
Flash tabanlı saklama ortamlarındaki kişisel veriler şifreli olarak saklanmakta ve uygun yazılımlar kullanılarak silinmektedir.
e) Veri Tabanları
Kişisel verilerin bulunduğu ilgili satırların veri tabanı komutları ile silinmektedir. Anılan işlem gerçekleştirilirken ilgili kullanıcının aynı zamanda veri tabanı yöneticisi olmadığına dikkat edilmektedir.
İşleme amacı tamamen ortadan kalkan kağıt ve elektronik ortamdaki kişisel veriler Kişisel Verileri Koruma Kurumu tarafından yayımlanan Kişisel Verilerin Silinmesi, Yok edilmesi veya Anonim Hale Getirilmesi Rehberine uygun olarak yok edilmekte veya yine bu Rehber’de öngörülen yöntemlerle anonim hale getirilmektedir. Teknik Birim tarafından gerçekleştirilen tüm silme, yok etme veya anonim hale getirme işlemleri elektronik ortamda zaman damgası ile loglanarak kayıt altına alınmaktadır. Kağıt ortamdaki kişisel veriler bakımından ise bu işlemlerin gerçekleştirildiğine ilişkin tutanak düzenlenmekte ve Teknik Birim tarafından muhafaza edilmektedir. Elektronik ve kağıt ortamdaki kişisel verilere ilişkin silme, yok etme veya anonim hale getirmeye ilişkin kayıtlar üç yıl süre ile saklanmaktadır. Medmodern; kişisel verileri saklama süreleri boyunca sadece ilgili departmanların bu verilere erişimini sağlayacak şekilde “silme” yöntemini kullanır. Saklama sürelerinin bitmesi ve kişisel verinin saklanmasını gerektirecek herhangi bir başka amacın mevcut olmaması halinde ise anonim hale getirme yöntemini kullanır.
5.2. Kişisel Verilerin Yok Edilmesi
Kişisel verilerin yok edilmesi, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Medmodern, kişisel verilerin yok edilmesiyle ilgili gerekli her türlü teknik ve idari tedbirleri almakla yükümlüdür.
5.2.1. Kişisel Verilerin Yok Edilmesi Yöntemleri
Kişisel verilerin yok edilmesi için, verilerin bulunduğu tüm kopyaların tespit edilmesi ve verilerin bulunduğu sistemlerin türüne göre aşağıda yer verilen yöntemlerden bir ya da birkaçının kullanılmasıyla tek tek yok edilmesi gerekir.
a) Yerel Sistemler
Söz konusu sistemler üzerindeki verilerin yok edilmesi için aşağıdaki yöntemlerden bir ya da birkaçı kullanılabilir.
· Fiziksel Yok Etme: Optik medya ve manyetik medyanın eritilmesi, yakılması veya toz haline getirilmesi gibi fiziksel olarak yok edilmesi işlemidir. Optik veya manyetik medyayı eritmek, yakmak, toz haline getirmek ya da bir metal öğütücüden geçirmek gibi işlemlerle verilerin erişilmez kılınması sağlanır. Katı hal diskler bakımından üzerine yazma ya da de-manyetize etme işlemi başarılı olmazsa, bu medyanın da fiziksel olarak yok edilmesi gerçekleştirilmektedir.
· Üzerine Yazma: Manyetik medya ve yeniden yazılabilir optik medya üzerine en yaz yedi kez 0 ve 1’lerden oluşan rastgele veriler yazarak eski verinin kurtarılmasının önüne geçilmesi işlemidir. Bu işlem özel yazılımlar kullanılarak yapılmaktadır.
b) Çevresel Sistemler: Ortam türüne bağlı olarak kullanılabilecek yok etme yöntemleri aşağıda yer almaktadır:
· Ağ cihazları (switch, router vb.): Söz konusu cihazların içindeki saklama ortamları sabittir. Ürünlerin, çoğu zaman silme komutuna sahiptir ama yok etme özelliği bulunmamaktadır. (a)’da belirtilen uygun yöntemlerin bir ya da birkaçı kullanılmak suretiyle yok edilmesi gerekir.
· Flash tabanlı ortamlar: Flash tabanlı sabit disklerin ATA (SATA, SSD, PATA vb.), SCSI (SCSI Express vb.) arayüzüne sahip olanları, destekleniyorsa komutunu kullanmak, desteklenmiyorsa üreticinin önerdiği yok etme yöntemini kullanmak ya da (a)’da belirtilen uygun yöntemlerin bir ya da birkaçı kullanılmak suretiyle yok edilmesi gerekir.
· Mobil telefonlar (Sim kart ve sabit hafıza alanları): Taşınabilir akıllı telefonlardaki sabit hafıza alanlarında silme komutu bulunmakta, ancak çoğunda yok etme komutu bulunmamaktadır. (a)’da belirtilen uygun yöntemlerin bir ya da birkaçı kullanılmak suretiyle yok edilmesi gerekir.
· Veri kayıt ortamı çıkartılabilir olan yazıcı gibi çevre birimleri: Tüm veri kayıt ortamlarının söküldü doğrulanarak özelliğine göre (a)’da belirtilen uygun yöntemlerin bir ya da birkaçı kullanılmak suretiyle yok edilmesi gerekir.
· Veri kayıt ortamı sabit olan yazıcı, gibi çevre birimleri: Söz konusu sistemlerin çoğunda silme komutu bulunmakta, ancak yok etme komutu bulunmamaktadır. (a)’da belirtilen uygun yöntemlerin bir ya da birkaçı kullanılmak suretiyle yok edilmesi gerekir.
c) Kağıt Ortamlar
Söz konusu ortamlardaki kişisel veriler, kalıcı ve fiziksel olarak ortam üzerine yazılığı olduğundan ana ortamın yok edilmesi gerekir. Bu işlem gerçekleştirilirken ortamı kağıt imha veya kırpma makinaları ile anlaşılmaz boyutta, mümkünse yatay ve dikey olarak, geri birleştirilemeyecek şekilde küçük parçalara bölmek gerekir.
Orijinal kağıt formattan, tarama yoluyla elektronik ortama aktarılan kişisel verilerin ise bulundukları elektronik ortama göre (a)’da belirtilen uygun yöntemlerin bir ya da birkaçı kullanılmak suretiyle yok edilmesi gerekir.
d) Bulut Ortamı
Söz konusu sistemlerde yer alan kişisel verilerin depolanması ve kullanımı sırasında, kriptografik yöntemlerle şifrelenmesi ve kişisel veriler için mümkün olan yerlerde, özellikle hizmet alınan her bir bulut çözümü için ayrı ayrı şifreleme anahtarları kullanılması gerekmektedir. Bulut bilişim hizmet ilişkisi sona erdiğinde, kişisel verileri kullanılır hala getirmek için gerekli şifreleme anahtarlarının tüm kopyalarının yok edilmesi gerekir.
· Yukarıdaki ortamlara ek olarak arızalanan ya da bakıma gönderilen cihazlarda yer alan kişisel verilerin yok edilmesi işlemi ise aşağıdaki şekilde gerçekleştirilir.
· İlgili cihazların bakım, onarım işlemi için üretici, satıcı, servis gibi üçüncü kurumlara aktarılmadan önce içinde yer alan kişisel verilerin (a)’da belirtilen uygun yöntemlerin bir ya da birkaçı kullanılmak suretiyle yok edilmesi,
· Yok etmenin mümkün ya da uygun olmadığı durumlarda, veri saklama ortamının sökülerek saklanması, arızalı diğer parçaların üretici, satıcı, servis gibi üçüncü kurumlara gönderilmesi,
· Dışarıdan bakım, onarım gibi amaçlarla gelen personelin, kişisel verileri kopyalayarak kurum dışına çıkartmasının engellenmesi için gerekli önlemlerin alınması, gerekir.
5.3. Kişisel Verilerin Anonim Hale Getirilmesi
Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.
Kişisel verilerin anonim hale getirilmiş olması için, kişisel verilerin, veri sorumlusu veya alıcı grupları tarafından geri döndürülmesi ve/veya verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekir.
Veri sorumlusu, kişisel verilerin anonim hale getirilmesi için gerekli her türlü teknik ve idari tedbirleri almakla yükümlüdür. Kişisel verilerin anonim hale getirilmesi, kişisel veri saklama ve imha politikasında belirtilen esaslara uygun olarak aşağıdaki yöntemlerle gerçekleştirilir.
(i) Değişkenleri çıkartma
Değişkenlerden birinin veya birkaçının tablodan bütünüyle silinerek çıkartılmasıyla sağlanan bir anonim hale getirme yöntemidir. Böyle bir durumda tablodaki bütün sütun tamamıyla kaldırılmaktadır.
(ii) Kayıtları çıkartma
Bu yöntemde, diğer kayıtlarla ortak bir değer taşımayan ve veri kümesine dair fikri olan kişilerin kolayca tahmin yürütebileceği veri kümesinde yer alan tekillik ihtiva eden bir satırın çıkartılması ile anonimlik kuvvetlendirilir ve veri kümesine dair varsayımlar üretebilme ihtimali düşürülür.
(iii) Bölgesel Gizleme
Bölgesel gizleme yönteminde amaç veri kümesini daha güvenli hale getirmek ve tahmin edilebilirlik riskini azaltmaktır. Belli bir kayda ait değerlerin yarattığı kombinasyon çok az görülebilir bir durum yaratıyorsa ve bu durum o kişinin ilgili toplulukta ayırt edilebilir hale gelmesine yüksek olasılıkla sebep olabilecekse istisnai durumu yaratan değer “bilinmiyor” olarak değiştirilmektedir.
(iii) Genelleştirme
İlgili kişisel veriyi özel bir değerden daha genel bir değere çevirme işlemidir. Sonuç olarak elde edilen yeni değerler gerçek bir kişiye erişmeyi imkansız hale getiren bir gruba ait toplam değerler veya istatistikleri gösterir.
(iv) Gürültü Ekleme
Bu yöntem ile, seçilen bir değişkende belirlenen ölçüde bozulmalar sağlamak için standart ekleme ve çıkartmalar yapılır. Bozulma her değerde eşit ölçüde uygulanır.
VI. Kişisel verileri saklama ve imha süreçlerinde yer alanların unvanları, birimleri ve görev tanımları
Medmodern; Kişisel Verilerin Saklanması ve İmhası Politikası kapsamında saklama ve imha süreçlerine ilişkin olarak aşağıdaki unvan, birim ve görev tanımlarına sahip kişileri görevlendirir:
a) Medmodern bünyesinde kişisel veri işleyen tüm departmanların “veri sahipleri”. Veri sahipleri gerek kendi departmanlarının kişisel veri işleme envanterinin güncelliğinin sağlanması gerek kişisel veri saklama ve imha süreçlerinin takibi için bölümünde çalışan bir başka kişiyi görevlendirebilir.
b) Teknik Birim.
VII. Saklama ve imha süreleri tablosu
Saklama ve imha süreleri tablosunda her bir departman bazında hazırlanmış Kişisel Veri İşleme Envanteri’nde yer verilmekte olup, yaşayan bir doküman olan ve ilgili departmanlarca zaman zaman güncellenecek Envanter’in takibi Teknik Birim tarafından yapılarak aynı Birim tarafından muhafaza edilmektedir.
VIII. Periyodik imha süresi
Medmodern, saklama süresi sona eren ve kişisel verinin saklanmasını gerektirecek başka herhangi bir veri işleme amacı mevcut olmayan kişisel verileri, saklama süresinin sona ermesini takiben 6 ay içerisinde anonim hale getirir.
IX. İlgili Kişinin talep etmesi durumunda kişisel verilerin silme ve yok etme süreleri
İlgili kişi, Medmodern’e başvurarak kendisine ait kişisel verilerin silinmesini veya yok edilmesini talep ettiğinde;
a) Kişisel verileri işleme şartlarının tamamı ortadan kalkmışsa; Medmodern, talebe konu kişisel verileri siler, yok eder veya anonim hale getirir. Medmodern, ilgili kişilerin silme veya yok etme taleplerini en geç “otuz gün” içinde sonuçlandırır.
b) Kişisel verileri işleme şartlarının tamamı ortadan kalkmış ve talebe konu olan kişisel veriler üçüncü kişilere aktarılmışsa; Medmodern bu durumu üçüncü kişiye bildirerek söz konusu kişisel verilerin silinmesi veya yok edilmesini talep eder.
Kişisel verileri işleme şartlarının tamamı ortadan kalkmamışsa, bu talep Medmodern tarafından Kişisel Verilerin Korunması Kanunu’nun 13’üncü maddesinin üçüncü fıkrası uyarınca gerekçesi açıklanarak reddedilebilir ve ret cevabı ilgili kişiye en geç “otuz gün” içinde yazılı olarak ya da elektronik ortamda bildirilir.
X. Kişisel Verilerin Saklanması ve İmhası Politikasında yapılacak Güncellemeler
Medmodern işbu politikada yapılacak güncellemeleri Genel Müdür onayına sunduktan sonra revize edilen maddeler, revizyon ve onay tarihi ile birlikte yayımlar.
XI. İlgili Dokümanlar
Kurumsal Bilgi Güvenliği Politikası
MedmodernGizlilik ve Kişisel Verilerin Korunması Politikası
Kişisel Veri İşleme Envanteri
İşbu Politika’da yapılan değişiklikler aşağıdaki tabloda yer almaktadır.
DÖKÜMAN TARİHÇESİ
Versiyon
Yayın Tarihi
Değişikliğin Tanımı
SAKLAMA VE İMHA SÜRELERİ TABLOSU
Veri Tipi
Saklama Süresi
İmha Süresi
Müşterilere İlişkin Kişisel Veriler
Hukuki ilişki sona erdikten itibaren 10 yıl; 6563 Kanun ve ilgili ikincil mevzuat uyarınca 3 yıl
6 ay
İş Çözüm Ortağı / Tedarikçilere İlişkin Kişisel Veriler
Hukuki ilişki sona erdikten itibaren 10 yıl
6 ay
İş Başvurusu Sırasında Alınan CV ve Özlük Bilgileri
2 yıl
6 ay
Potansiyel Müşterilere İlişkin Kişisel Veriler
5 yıl
6 ay
Çevrimiçi Ziyaretçilere İlişkin Kişisel Veriler
2 yıl
6 ay
Muhasebe ve Finansal İşlemlere İlişkin Tüm Kayıtlar
10 yıl
6 ay
Ticari İçerikli İletişimler (Reklam, Haber vb.) İçin Toplanmış Olan Kişisel Verileri
5 yıl, Sözleşmesel ilişki kurulmuş ise sözleşmesel ilişkinin sona ermesinden itibaren 5 yıl
6 ay
Kişiye Özel Teklif, Reklam ve Tanıtım Yapılması Amacı ile Toplanmış Olan Kişisel Veriler
5 yıl, Sözleşmesel ilişki kurulmuş ise sözleşmesel ilişkinin sona ermesinden itibaren 5 yıl
6 ay