Kişisel Veri Saklama, İşleme, İmha Politikası

 1.AMAÇ 

Bu politika, Medisa Sigorta Anonim Şirketi (“Medisa Sigorta ”) tarafından ve/veya adına gerçekleştirilmekte olan kişisel veri, işleme saklama ve imha faaliyetlerine ilişkin iş ve işlemler sırasında, tüm Kişisel Verilerin (aşağıdaki tanımlara bakınız) gizli tutulmasını ve Türkiye’de yürürlükte bulunan 6698 sayılı Kişisel Verilerin Korunması Kanunu (Bundan böyle “KVKK” olarak anılacaktır.) ve hukuki dayanağını ondan alan ikincil mevzuat ile Kişisel Verileri Koruma Kurulu’nun almış olduğu kararlara (Hepsi birlikte bu doküman içerisinde “Veri Koruma Mevzuatı” olarak anılacaktır.) uyulmasını sağlamak amacıyla tasarlanmış ve çıkartılmış bulunmaktadır.   

2.KAPSAM 

Bu Politika, kişisel verileri Medisa Sigorta  tarafından ve/veya Medisa Sigorta  adına tamamen veya kısmen otomatik olan veya herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenmekte olan tüm gerçek kişilere yönelik olarak gerçekleşecek kişisel veri işleme faaliyetlerini düzenlemek maksadıyla düzenlenmiştir ve Medisa Sigorta  adına kişisel veri işleme faaliyetinde bulunan herkes bakımından uygulanmaktadır. 

3.TANIMLAR 

Acente: Medisa Sigorta  ile bir sözleşmeye dayanarak muayyen bir yer veya bölge içinde daimî bir surette Medisa Sigorta ’ın nam ve hesabına sigorta sözleşmelerine aracılık etmeyi ve bunları Medisa Sigorta  adına yapmayı meslek edinen, sözleşmenin akdinden önce hazırlık çalışmalarını yürüten ve sözleşmenin uygulanması ile tazminatın ödenmesinde yardımcı olan gerçek kişi. 

Açık Rıza: Belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rıza 

Broker:Sigorta veya reasürans sözleşmesi yaptırmak isteyenleri temsil ederek, bu sözleşmelerin yaptırılacağı şirketlerin seçiminde tamamen tarafsız ve bağımsız davranarak ve teminat almak isteyen kişilerin hak ve menfaatlerini gözeterek sözleşmelerin akdinden önceki hazırlık çalışmalarını yürütmeyi ve gerektiğinde sözleşmelerin uygulanmasında veya tazminatın tahsilinde yardımcı olmayı meslek edinen gerçek kişi. 

Veri Yönetişimi:Veriyi, kurum içinde uçtan uca yönetmeyi sağlayan bir yöntemler bütünüdür. Veri Yönetişimi, politikalar, süreçler, standartlar, teknolojiler ve kişileri işin içine dahil ederek doğru, tutarlı ve zamanında karar verilmesini hedefler. 

Çalışan:Bir iş Sözleşmesine dayanarak Medisa Sigorta ’ta istihdam edilen kişiler. 

Çalışan adayı:Medisa Sigorta ’a iş başvurusunda bulunarak veya herhangi bir yolla özgeçmişini ve    ilgili bilgilerini Medisa Sigorta ’a erişilebilir kılan gerçek kişiler. 

Kişisel Veri:İsim, adres, telefon numarası, e-posta adresi veya benzeri kimlik bilgileri gibi Veri Süjesiyle ilgili her türlü bilgi anlamına gelir. 

Kişisel verilerin işlenmesi:Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem. 

Müşteriler/ Müşteri Adayları: Herhangi bir sözleşmesel ilişki olup olmadığına bakılmaksızın Medisa Sigorta  tarafından yürütülen faaliyetler kapsamında iş ilişkileri dolayısıyla kişisel verileri elde edilen gerçek kişiler. 

Özel Nitelikli Kişisel Veriler: Bir kişinin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri. 

Üçüncü Kişiler:Politika’da tanımlanmamış olmasına rağmen işbu Politika çerçevesinde kişisel verileri işlenen tedarikçi, mağdur, aile bireyleri vb. dâhil fakat bunlarla sınırlı olmamak üzere diğer gerçek kişiler. 

Veri İşleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel veri işleyen gerçek veya tüzel kişi. 

Veri Süjesi ya da İlgili Kişi: Verinin ait olduğu, kimliği belirlenmiş veya belirlenebilir bir gerçek kişi. 

Ziyaretçiler: Medisa Sigorta ’ın fiziksel tesislerine çeşitli amaçlarla girmiş olan veya internet sitelerini ziyaret eden gerçek kişiler. 

4.SORUMLULAR 

Medisa Sigorta  dahilindeki tüm iş birimleri, çalışanlar, Medisa Sigorta  adına veri işleme faaliyetinde bulunan kişiler işbu Politika kapsamında belirtilmiş olan teknik ve idari tedbirlerin gereği gibi uygulanması, veri işleme faaliyeti yürüten kişilerin, çalışanların, acentelerin, iş ortaklarının eğitimi ve farkındalığının artması, takibi gibi sürekli denetimi ile kişisel verilerin hukuka uygun şekilde işlenmesini teminen tüm veri işleme ortamlarında veri güvenliğini sağlamaya dönük olarak teknik ve idari tedbirlerin uygulanmasına destek verir ve sorumlu birimlerle işbirliği içinde çalışır. 

Kişisel verilerin saklama ve imha süreçlerinde görev alanların görev yapmakta olduğu hususlar şu şekilde oluşmuştur; 

  • a)   Bu Politikayı ve bu Politikada yapılan tüm revizyon ve değişiklikleri incelemek ve onaylamak Veri Yönetişim Komitesi’nin sorumluluğundadır. Veri Yönetişim Komitesi aynı zamanda Politikayı geliştirmek ve gerekli eğitimleri vermek ile Politikanın yorumlanması konusunda Medisa Sigorta  adına veri işleyenlere kılavuzluk etmekle görevlidir. Veri Yönetişim Komitesi ayrıca bu Politikaya uyulup uyulmadığını denetler ve uyulması için gerekli desteği verir. 
  • b)   Veri Yönetişim Komitesi işbu Politikanın 6.9 maddesinde yer alan periyodik imha süreçlerinin kontrolünden, belirtilen verilerin ilgili muhafaza süreleri boyunca muhafaza edilmesinden, bu sürelerin takibinden ve muhafaza süresi dolan verilerin imha edilmesinden sorumludur. 
  • c)    Veri Yönetişim Komitesi’nin takibinden sorumlu olduğu Medisa Sigorta  periyodik imha süreci 3 ay olarak belirlenmiştir. Hukuk Müşavirliği’nin görevi, Politikayı ve Politikada yapılan tüm değişiklikleri incelemek, onaylamak ve Veri Koruma Mevzuatıyla uyumlu hukuki tavsiyelerde bulunmaktır. 
  • d)   Genel Müdür ve Hukuk Müşavirliği’nin desteğiyle yürüteceği görev, Politikadan sapma ve istisna taleplerini incelemek ve onaylamaktır. 

Medisa Sigorta  KİŞİSEL VERİ SAKLAMA VE İŞLEME FAALİYETLERİ 

İlgili kişilere ait kişisel veriler, iş faaliyetleri sırasında, detayları Medisa Sigorta  Kişisel Verilerin Korunması ve İşlenmesi Yönetmeliği’nde belirtilmiş olan Kişisel Verileri işbu Politika’da ve Medisa Sigorta  Kişisel Verilerin Korunması ve İşlenmesi Yönetmeliği’nde öngörülmüş usullerle toplamakta, işlemekte ve saklamakta ve imha etmektedir. 

Bu kapsamda saklama ve imhaya ilişkin detaylı açıklamalara aşağıda sırasıyla yer verilmiştir. 

5.1 Saklamaya İlişkin Açıklamalar 

KVKK’nın 3.(üçüncü) maddesinde “kişisel verilerin işlenmesi” kavramı tanımlanmış 4.(dördüncü) maddesinde işlenen kişisel verinin “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli süre kadar muhafaza edilmesi” gerektiği belirtilmiş, 5(beş) ve 6.(altıncı) maddelerde ise “kişisel verilerin işleme şartları” sayılmıştır. 

Buna göre, kişisel veriler, Medisa Sigorta  iş faaliyetleri çerçevesinde ilgili mevzuatta öngörülen veya işleme amaçlarına uygun ve işbu Politikanın 6.9 maddesinde belirtilmiş olan sürelerde saklanır.

5.1.1 Saklamayı Gerektiren Hukuki Sebepler 

Medisa Sigorta , iş faaliyetleri çerçevesinde işlenen kişisel verileri ilgili mevzuatta öngörülen sürelere uygun olarak muhafaza eder. Bu kapsamda kişisel veriler; 

  • 6098 Sayılı Türk Borçlar Kanunu 
  • 5510 Sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu 
  • 5651 Sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun 
  • 6361 Sayılı İş Sağlığı ve Güvenliği Kanunu 
  • 6102 Sayılı Ticaret Kanunu 
  • 4857 Sayılı İş Kanunu 
  • 6502 Sayılı Tüketicinin Korunması Hakkında Kanun 
  • İşyeri Bina ve Eklentilerinde Alınacak Sağlık ve Güvenlik Önlemlerine İlişkin Yönetmelik 

Bu kanunlar uyarınca, yürürlükte olan ikincil düzenlemeler ve bunlarla sınırlı olmamak üzere Medisa Sigorta  uyması gereken mevzuat ve idari düzenlemeler uyarınca öngörülen saklama süreleri boyunca kişisel veriler saklanmakta ve işlenmektedir. 

5.1.2 Saklamayı Gerektiren İşleme Amaçları 

Kişisel veriler Medisa Sigorta  Kişisel Verilerin Korunması ve İşlenmesi Yönetmeliği’nde detaylandırılmış bulunan ve aşağıda sıralanmış amaçlarla saklanmaktadır: 

  • Kurum güvenliğini sağlamak,
  • İstatiksel çalışmalar yapabilmek,
  • Reklam ve kampanya süreçlerinin yürütülmesi,
  • Satış ve pazarlama süreçlerinin yürütülmesi,
  • İnsan kaynakları süreçlerini yürütmek,
  • İmzalanan sigorta sözleşmeleri kapsamında iş ve işlemlerin ifası kapsamında destek hizmet sağlayıcılarına ilişkin süreçlerin yürütülmesi, sigorta tazminatlarının hesaplanması, sigortalı ve lehtara ödemelerin ve rücu takiplerinin yapılması,
  • Prim ödemelerinin tahsilatına ilişkin işlemlerin yapılması,
  • Tedarikçilerle ilgili süreçlerin yürütülmesi,
  • Acentelik başvurusu ve acentelik sözleşmeleri kapsamında ilgili süreçlerin yürütülmesi,
  • Poliçe teklifi oluşturulması, poliçelerin düzenlenmesi, poliçe yenileme tekliflerinin sunulması ve poliçe iptal işlemlerinin gerçekleştirilmesi,
  • Medisa Sigorta  ile iş ilişkisi bulunan gerçek/tüzel kişilerle irtibat sağlamak,
  • Finans ve muhasebe işlerinin yürütülmesi,
  • Yasal raporlamalar yapmak,
  • Çağrı merkezleri ile ilgili süreçleri yönetmek,
  • Risk değerlendirme süreçlerinin yönetilmesi,
  • İleride doğabilecek hukuki uyuşmazlıklarda delil olarak ispat yükümlülüğü,
  • Sigorta sözleşmesinin kurulması ve sözleşmenin devamı sırasında gerekli hizmetlerin verilmesi için iş ortaklığı yapılmakta olunan gerçek kişi brokerlar, acenteler ve aktüerlerle Medisa Sigorta  arasındaki sözleşmelerin kurulması ve hizmetlerin karşılıklı olarak ifa edilmesi,
  • Asistans hizmetlerinin verilmesi,
  • Sigorta tazminatlarının hesaplanması, sigortalı veya lehtara ödenmesi,
  • Reasürans ve koasürans süreçlerinin yürütülmesi,
  • Sigorta şirketleri ve üçüncü kişilere rücu taleplerinin yapılması ve bu taleplerin takibi,
  • Sigorta şirketleri ve üçüncü kişiler tarafından iletilen rücu taleplerinin değerlendirilmesi ve cevaplandırılması,
  • Ziyaretçi kayıtlarının oluşturulması ve takibi,
  • Müşteri talep ve şikâyetlerinin değerlendirilmesi,
  • Müşteri memnuniyet anket ve görüşmelerinin yapılması,
  • Pazarlama, reklam ve kampanya süreçlerinin yürütülmesi,
  • Hukuki iş ve işlemlerin yürütülmesi ve takibi,
  • Yetkili kurum ve kuruluşlara ilgili mevzuattan doğan yükümlülüklere istinaden bilgi verilmesi,
  • Faaliyetlerin Medisa Sigorta  prosedürleri ve ilgili mevzuata uygun olarak yürütülmesinin sağlanması için gerekli iç denetim faaliyetlerinin planlanması ve yürütülmesi,
  • Şirketler hukukundan doğan süreçlerin gerçekleştirilmesi,
  • Sigortacılık Mevzuatı uyarınca risk değerlendirme süreçlerinin yönetilmesi

5.2 İmhayı Gerektiren Sebepler 

Kişisel veriler; 

  • İşlenmesine esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası,
  • İşlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,
  • Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin açık rızasını geri alması,
  • Kanunun 11’inci maddesi gereği ilgili kişinin hakları çerçevesinde kişisel verilerinin silinmesi ve yok edilmesine ilişkin yaptığı başvurunun Medisa Sigorta 
  • tarafından kabul edilmesi,
  • Medisa Sigorta ’ın, ilgili kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabın yetersiz bulunması veya KVKK’da öngörülen süre içinde cevap vermemesi hallerinde; Kişisel Verileri Koruma Kurulu’na şikâyette bulunması ve bu talebin Kişisel Verileri Koruma Kurulu tarafından uygun bulunması,
  • Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olması ve kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması durumlarında, Medisa Sigorta  tarafından ilgili kişinin talebi üzerine ya da resen silinir, yok edilir veya anonim hale getirilir.

5.3 Kayıt Ortamları 

Kişisel veriler Medisa Sigorta  tarafından Tablo 1’de listelenen ortamlarda hukuka uygun olarak ve güvenli bir şekilde saklanır. 

Tablo 1: Kişisel veri saklama ortamları 

Elektronik ortamlar Elektronik olmayan ortamlar 
a)     Sigortacılık uygulamaları yazılımı (a) OLTP system (b) DWH (c) CRM (d) Veri Bilimi uygulamaları (e) Big Data b)     Veri depolama alanları 1.     Veri tabanı 2.     Doküman yönetim sistemi 3.     Mail ortamı 4.     File Server- Ortak folder   (1)   Veri depolama alanları Manuel veri kayıt ortamları (a)   Formlar, (b)   Belgeler             

5.4 Kişisel Veri İşleme Koşulları 

Kişisel verilerin bu Politikaya ve Medisa Sigorta  Kişisel Verilerin Korunması ve İşlenmesi Yönetmeliği’ne uygun olarak işlenebilmesi ve kullanılabilmesi için, Veri Süjesine işleme faaliyetlerine dair aydınlatma yapılması, Kişisel Verilerin işlenmesi konusunda izin istenmesi veVeri Süjesinin açık rızasının alınması gerekir. 

Bu amaçla, Hukuk Müşavirliği’nin tarafından onaylanan onam formlarını ve aydınlatma metinleri kullanılmalıdır. 

Ancak aşağıda sayılan istisnalardan birinin söz konusu olması halinde Veri Süjesinden açık rıza alma şartı uygulanmamalıdır: 

  • a)    Kanunlarda açıkça öngörülmesi. 
  • b)    Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması. 
  • c)  Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması. 
  • d)    Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması. 
  • e)    İlgili kişinin kendisi tarafından alenileştirilmiş olması. 
  • f)     Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması. 
  • g)    İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması. 
5.4.1      Veri Sorumlusu Olarak Medisa Sigorta ’ın Aydınlatma Yükümlülüğü 

Veri Sorumlusu olarak işbu Politikanın 6.4 maddesinde anıldığı şekilde Kişisel Verilerin işlenmesi için her zaman Veri Süjesinden açık rıza alınması şartı bulunmasa dahi, Medisa Sigorta ’ın her zaman Veri Süjelerine aşağıdaki konularda bilgi verme yükümlülüğü bulunmaktadır: 

  • Veri Sorumlusunun ve varsa temsilcisinin kimliği,
  • Kişisel verilerin hangi amaçla işleneceği,
  • İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
  • Kişisel veri toplamanın yöntemi ve hukuki sebebi,
  • İşbu Politika’nın 6.6 maddesinde sayılmış Veri Süjesinin diğer hakları.

Aydınlatma yükümlülüğü Ek-1 Kişisel Verilerin Korunması Aydınlatma Metnini kullanmak suretiyle yapılabilir. 

Medisa Sigorta  zaman zaman iş süreçlerinin yürütülmesi, iletişim sağlanması amaçlarıyla tedarikçilerinin yetkililerinin kişisel verilerine ihtiyaç duyabilir. Bu durumda sözü edilen tedarikçi çalışanlarına karşı Medisa Sigorta ’ın aydınlatma yükümlülüğünün yerine getirilmesini teminen ilgili Medisa Sigorta  yetkililerinin Ek-2 Tedarikçilere Veri Gizliliği Bildirimi gönderilmesi mümkündür. 

5.4.2      Özel Nitelikli Kişisel Verilerin işlenmesinde Uyulacak Kurallar: 

İş kanunları ve mevzuatından doğan belirli hakların kullanılması veya belirli yükümlülüklerin yerine getirilmesi amaçlarıyla gerekli olmadıkça ve Veri Koruma Mevzuatı başta olmak üzere yürürlükteki sair mevzuat gereğince izin ve yetki verilen durumlar haricinde, Özel Nitelikli Kişisel Veriler işlenmeden önce bu verileri işlemek için ilgili kişinin açık izin ve rızasını mutlaka ve daima almak gerekir. 

5.4.3      Çalışanların Kişisel Verilerinin İşlenmesinde Uyulacak Kurallar 

Çalışanlara ait Özel Nitelikli Kişisel Veriler de dahil olmak üzere Kişisel Verilerin İş Kanunu ve diğer ilgili mevzuat uyarınca yahut Medisa Sigorta  tarafından belirlenen başka amaçlarla işlenebilmesi için, halihazırda Medisa Sigorta  çalışanı bulunan kişilere Ek-3 Medisa Sigorta  Çalışanlarının Kişisel Verilerinin İşlenmesine İlişkin Aydınlatma Metni ve Medisa Sigorta  Sigorta A.Ş.. Çalışanı Kişisel Verilerin Korunması ve İşlenmesi Açık Rıza Metninin imzalatılması suretiyle aydınlatma ve açık rıza temini yükümlüğünün yerine getirilmesi gerekmektedir. 

5.4.4         Müşterilere Ait Kişisel Verilerin Pazarlama Amaçlarıyla İşlenmesi ve Kullanılmasında Uyulacak Esaslar 

Müşterilerin kişisel verilerini doğrudan veya dolaylı olarak pazarlama yapmak maksadıyla toplanması ve işlenmesi için, kişisel verilerin toplanmasından önce Veri Süjesi müşterinin açık rızasının alınmış olması gerekir. Bunun haricinde Veri Süjelerine ticari iletişim kurulması rızasından vazgeçme imkanlarının hem alınacak rıza sırasında hem de her iletişimde sağlanması gerekir. 

5.4.5        Görevi Gereği Kişisel Veri İşleyen Çalışanların Özel Olarak Dikkat Etmesi Beklenen Hususlar 

Görevlerinin bir gereği olarak ve görevleri esnasında, Medisa Sigorta  adına Kişisel Verileri işleyen kişilerin, Politika’da yer alan hususların yanı sıra aşağıda sayılan hususları gözetmeleri beklenmektedir: 

  • Kişisel Verilerin Veri Koruma Mevzuatına uygun bir şekilde, meşru yollarla ve adil bir biçimde işlenmesi gerekir.
  • Kişisel Verilerin sadece izin verilen ve açıklanan yasal amaçlar için işlenmesi gerekir.
  • Veri Süjesine açıklamayan veya meşru olmayan bir amaç için kesinlikle veri işlenmemesi ve saklanmaması gereklidir.
  • Kişisel Verilerin işlenme amacı için yeterli olması, bu amaçla ilişkili ve bağlantılı olması ve işlenme amacına kıyasla aşırı miktarda veya sayıda olmaması gerekir.
  • Kişisel Verilerin doğru ve gerçek olması ve gerektiğinde güncellenmesi gerekir.
  • Herhangi bir amaçla işlenen ve kullanılan Kişisel Verilerin bu amaç için gerekli olan süreden daha uzun bir süreyle tutulmaması ve saklanmaması gerekir.
5.4.6        Görevi Gereği Özel Nitelikli Kişisel Veri İşleyen Çalışanların Uyması Gereken Kurallar 

Görevlerinin bir gereği olarak ve görevleri esnasında Medisa Sigorta  adına Özel Nitelikli Kişisel Veri işlemekte olan çalışanların işbu Politikanın diğer maddeleri ve 6.4 maddede sözü edilen hususları gözetmeleri gerekmektedir. 

5.4.7      Kişisel Verilerin Transferi ve Devri Gerçekleştirirken Uyulması Gereken Kurallar 

Kişisel veriler ancak 6.4 maddede sayılan istisnalardan birinin mevcut olması halinde ilgili kişinin açık rızası olmaksızın yurtiçindeki üçüncü kişilere aktarılabilir. Kişisel Verilerin yurt dışına aktarılabilmesi için ise Veri Koruma Mevzuatı uyarınca öngörülen şartlar yerine getirilmeli ve gerekli hallerde ilgili kişinin açık izin ve rızası alınmalıdır. Bu kapsamda: 

  • a)   Kişisel Veriler, Veri Koruma Mevzuatının uyarınca belirlenen koşullar haricinde herhangi bir üçüncü kişiye transfer edilmeyecektir. 
  • b)   Kişisel Veriler, İlgili Kişinin açık rızası bulunmadıkça, Kişisel Verileri Koruma Kurulu tarafından belirlenecek ve ilan edilecek olan ‘Yeterli Korumanın Bulunduğu Ülkeler’ dışında bir ülkeye transfer edilmeyecektir. 
  • c)    Kişisel Veriler, bahsi geçen ‘Yeterli Korumanın Bulunduğu Ülkeler’ dışındaki bir ülkeye, ancak ve sadece ilgili Veri Süjesi tarafından bu transfere açık izin ve rızası verildiği takdirde transfer edilebilecektir. 

5.5 Teknik ve İdari Tedbirler 

Kişisel verilerin güvenli bir şekilde saklanması, hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi ile kişisel verilerin hukuka uygun olarak imha edilmesi için Kişisel Verilerin Korunması Kanunu’nu uyarınca ve Kişisel Verileri Koruma Kurulu tarafından belirlenerek ilan edilen yeterli önlemler çerçevesinde olmak üzere Medisa Sigorta  tarafından teknik ve idari tedbirler alınmaktadır. 

5.5.1      Teknik Tedbirler 

Medisa Sigorta  tarafından işlenmekte olan kişisel veriler bakımından alınan teknik tedbirler aşağıda sayılmıştır: 

  • Ağ güvenliği ve uygulama güvenliği sağlanmaktadır.
  • Ağ yoluyla kişisel veri aktarımlarında kapalı sistem ağ kullanılmaktadır.
  • Anahtar yönetimi uygulanmaktadır.
  • Bilgi teknolojileri sistemleri tedarik, geliştirme ve bakım kapsamındaki güvenlik önlemleri alınmaktadır.
  • Bulutta depolanan kişisel verilerin güvenliği sağlanmaktadır.
  • Erişim logları düzenli olarak tutulmaktadır.
  • Gerektiğinde veri maskeleme önlemi uygulanmaktadır.
  • Güncel antivirüs sistemleri kullanılmaktadır.
  • Güvenlik duvarları kullanılmaktadır.
  • Kullanıcı hesap yönetimi ve yetki kontrol sistemi uygulanmakta olup bunların takibi de yapılmaktadır.
  • Log kayıtları kullanıcı müdahalesi olmayacak şekilde tutulmaktadır.
  • Mevcut risk ve tehditler belirlenmiştir.
  • Özel nitelikli kişisel veriler elektronik posta yoluyla gönderilecekse mutlaka şifreli olarak ve KEP veya kurumsal posta hesabı kullanılarak gönderilmektedir.
  • Özel nitelikli kişisel veriler için güncel şifreleme/kriptografik anahtarlar kullanılmakta ve farklı birimlerce yönetilmektedir.
  • Saldırı tespit ve önleme sistemleri kullanılmaktadır.
  • Sızma testi uygulanmaktadır.
  • Siber güvenlik önlemleri alınmış olup uygulaması sürekli takip edilmektedir.
  • Şifreleme yapılmaktadır.
  • Verilere uzaktan erişim gerekiyorsa iki kademeli kimlik doğrulama mekanizması uygulanmaktadır.
  • Farklı fiziksel ortamlardaki sunucular arasındaki veri aktarımı gerçekleştirilirken, sunucular arasında VPN kurularak veya SFTP yöntemiyle veri aktarımı yapılmaktadır.
  • Taşınabilir bellek, CD, DVD ortamından aktarılan özel nitelikli kişisel veriler şifrelenerek aktarılmaktadır.
  • Veri kaybı önleme yazılımları kullanılmaktadır.
  • Veri sınıflandırma yazılımları kullanılmaktadır.
5.5.2 İdari Tedbirler

Medisa Sigorta  tarafından işlenmekte olan kişisel verilere ilişkin olarak alınan idari tedbirler aşağıda sayılmıştır: 

  • Çalışanlar için veri güvenliği hükümleri içeren disiplin düzenlemeleri mevcuttur.
  • Çalışanlar için veri güvenliği konusunda belli aralıklarla eğitim ve farkındalık çalışmaları yapılmaktadır.
  • Calışanlar için yetki matrisi oluşturulmuştur.
  • Gizlilik taahhütnameleri yapılmaktadır.
  • Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır.
  • İmzalanan sözleşmeler veri güvenliği hükümleri içermektedir.
  • Kâğıt yolu ile aktarılan kişisel veriler için ekstra güvenlik tedbirleri alınmakta ve ilgili evrak gizlilik dereceli belge formatında gönderilmektedir.
  • Kişisel veri güvenliği politika ve prosedürleri belirlenmiştir.
  • Kişisel veri güvenliği sorunları hızlı bir şekilde raporlanmaktadır.
  • Kişisel veri güvenliğinin takibi yapılmaktadır.
  • Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmaktadır.
  • Kişisel veri içeren fiziksel ortamların dış risklere (yangın, sel vb.) karşı güvenliği sağlanmaktadır.
  • Kişisel veri içeren ortamların güvenliği sağlanmaktadır.
  • Kişisel veriler mümkün olduğunca azaltılmaktadır.
  • Kişisel veriler yedeklenmekte ve yedeklenen kişisel verilerin güvenliği de sağlanmaktadır.
  • Kurum içi periyodik ve / veya rastgele denetimler yapılmakta ve yaptırılmaktadır.
  • Mevcut risk ve tehditler belirlenmiştir.
  • Özel nitelikli kişisel veri güvenliğine yönelik protokol ve prosedürler belirlenmiş ve uygulanmaktadır.
  • Veri işleyen hizmet sağlayıcılarının veri güvenliği konusunda belli aralıklarla denetimi sağlanmaktadır.
  • Veri işleyen hizmet sağlayıcılarının veri güvenliği konusunda farkındalığı sağlanmaktadır.

5.6 Veri Süjelerinin Hakları

Medisa Sigorta  tarafından kişisel verileri işlenmekte olan veri süjeleri Medisa Sigorta ’a başvurarak kendisi ile ilgili; 

  • a)   Kişisel veri işlenip işlenmediğini öğrenme, 
  • b)   Kişisel verileri işlenmişse buna ilişkin bilgi talep etme, 
  • c)   Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme, 
  • d)   Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme, 
  • e)   Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme, 
  • f)    Veri Koruma Mevzuatında öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme, 
  • g)   (e) ve (f) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme, 
  • h)   İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme, 
  • i)    Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme, haklarına sahiptir. 

Kişisel Verilerin doğrudan, pazarlama çabalarının bir parçası olarak toplandığı durumlarda, Veri Süjesi, kendisine ait Kişisel Verilerin üçüncü şahıslara verilmesine veya pazarlama amaçlarıyla kullanılmasına itiraz etme hakkına ya da Kişisel Verileri üçüncü şahıslara verilmeden veya pazarlama amaçlarıyla kullanılmadan önce durumun kendisine bildirilmesini talep etme hakkına sahiptir. 

İlgili kişilerin bu başvurularının, değerlendirilmesinin ve yanıtlanmasının Medisa Sigorta  Başvuru Yanıtlama Politikası içinde anıldığı şekilde gerçekleşmesi gerekmektedir. 

5.7 Güvenlik Koşulları 

Medisa Sigorta  Kişisel Verileri kazayla veya yasadışı bir şekilde imha olma, kaybolma, tahrif edilme, yetkisiz ifşa veya yetkisiz erişim risklerine (Güvenlik Olayı) karşı koruma amacıyla aşağıdaki de dahil tüm makul güvenlik önlemlerini alır; 

  • Kişisel Verilere erişimi, sadece görevlerinin ifası esnasında bu bilgilere erişmesi zorunlu olan kişilerle sınırlı tutmak.
  • Uygunsa, şifre korumalı elektronik dosyaları kullanmak.
  • Kişisel Verileri içeren dosyaları düzenli saklamak ve bu dosyalara fiziksel erişimi gerektiği gibi ve uygun şekilde kısıtlamak.
  • Çalışanın kişisel Verilere yetkisiz erişim veya Kişisel Verilerin usulsüz kullanımı gibi olay ve durumlardan haberdar olduğunda bunları derhal âmirine ve bilgi güvenliğine bildirmek.
  • Kişisel Verileri ilk belirtilen amacı dışında bir amaçla kullanmadan önce ilgili Veri Süjesinden Veri Koruma Mevzuatı uyarınca açık rıza almak ve işleme konusuyla ilgili aydınlatma yükümlülüğünü yerine getirmek.

Kişisel Verileri korumak için sağlanan güvenlik koşulları ve alınan teknik tedbirler periyodik olarak Veri Yönetişim Komitesi tarafından incelenmekte ve değerlendirilmektedir. Böylelikle kişisel verilerin korunması için ilave güvenlik tedbirlerine veya prosedürlerine ihtiyaç olup olmadığı tespit edilir. 

Herhangi bir Güvenlik Olayının oluşması halinde Medisa Sigorta  tarafından izlenmesi gereken adımlar “Olay Yönetimi Prosedürü” ekinde yer alan Siber Güvenlik Olayı Müdahale Planında belirtilmiştir. 

5.8 Kişisel Verileri İmha Teknikleri

İlgili mevzuatta öngörülen süre ya da işlendikleri amaç için gerekli olan saklama süresinin sonunda kişisel veriler, Medisa Sigorta  tarafından re’sen (periyodik imha süreleri) veya ilgili kişinin başvurusu üzerine yine ilgili mevzuat hükümlerine uygun olarak aşağıda belirtilen tekniklerle imha edilir. 

5.8.1    Kişisel Verilerin Silinmesi 

Kişisel veriler Tablo-1’de verilen yöntemlerle silinir. 

Tablo 1: Kişisel Verilerin Silinmesi 

Veri Kayıt Ortamı Açıklama 
Sistemlerde Yer Alan Kişisel Veriler Sistemlerde yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler için sistem yöneticisi tarafından ilgili kullanıcıların erişim yetkisi kaldırılarak silme işlemi yapılır. 
Elektronik Ortamda Yer Alan Kişisel Veriler Elektronik ortamda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, veri tabanı yöneticisi hariç diğer ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. 
Fiziksel Ortamda Yer Alan Kişisel Veriler Fiziksel ortamda tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler için ilgili kullanıcılar hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. Ayrıca, üzeri okunamayacak şekilde çizilerek/boyanarak/silinerek karartma işlemi de uygulanır. 
Taşınabilir Medyada Bulunan Kişisel Veriler Flash tabanlı saklama ortamlarında tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler, sistem yöneticisi tarafından şifrelenerek ve erişim yetkisi sadece sistem yöneticisine verilerek şifreleme anahtarlarıyla güvenli ortamlarda saklanır. 
5.8.2 Kişisel Verilerin Yok Edilmesi

Tablo 2: Kişisel Verilerin Yok edilmesi 

Veri Kayıt OrtamıAçıklama
Fiziksel Ortamda Yer Alan Kişisel Veriler Kâğıt ortamında yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, kâğıt kırpma makinelerinde geri döndürülemeyecek şekilde yok edilir. 
Optik / Manyetik Medyada Yer Alan Kişisel Veriler Optik medya ve manyetik medyada yer alan kişisel verilerden saklanmasını gerektiren süre sona erenlerin eritilmesi, yakılması veya toz haline getirilmesi gibi fiziksel olarak yok edilmesi işlemi uygulanır. Ayrıca, manyetik medya özel bir cihazdan geçirilerek yüksek değerde manyetik alana maruz bırakılması suretiyle üzerindeki veriler okunamaz hale getirilir. 
5.8.3    Kişisel Verilerin Anonim Hale Getirilmesi 

Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir. Kişisel verilerin anonim hale getirilmiş olması için; kişisel verilerin, veri sorumlusu veya üçüncü kişiler tarafından geri döndürülmesi ve/veya verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekir. 

Teknik tedbirler kapsamında alınan teknolojik araç ile sistematik şekilde ve belirli kural setleri dahilinde anonim hale getirme yapılmaktadır. 

5.9 Veri Türlerine Göre Saklanma ve İmha Süreleri 

Aşağıdaki tabloda belirtilen verilerin ilgili muhafaza süreleri boyunca muhafaza edilmesinden, Veri Yönetişim Komitesi sorumludur. 

Veri Yönetişim Komitesi’nin takibinden sorumlu olduğu Medisa Sigorta  periyodik imha süresi 6 ay olarak belirlenmiştir. Veri Yönetişim Komitesi bu sürelere uygun olarak imhaların gerçekleştirilmesinden ve muhafaza süresi dolan kişisel verilerin imhasına ilişkin gerekli hatırlatmaları yapmak bakımından görevli ve yetkilidir. 

Tablo 3: Kişisel veri saklama ve imha süreleri 

VERİ TÜRÜ MUHAFAZA SÜRESİ İMHA SÜRESİ 
Müşteri Kayıtları Sözleşmesel ilişkinin sona ermesini takip eden 15 yıl boyunca  Saklama süresinin bitimini takip eden ilk periyodik imha süresinde 
Çalışanlara Ait Özlük ve Adli Sicil Bilgileri İşten ayrılmalarını takip eden 15 yıl boyunca Saklama süresinin bitimini takip eden ilk periyodik imha süresinde 
Çalışan Adaylarına İlişkin Kayıtlar Başvuruyu takip eden 2 yıl boyunca Saklama süresinin bitimini takip eden ilk periyodik imha süresinde 
İş Ortaklarına ve Çalışanlarına İlişkin Kayıtlar İş ilişkisinin sona ermesini takip eden 15 yıl boyunca Saklama süresinin bitimini takip eden ilk periyodik imha süresinde 
Muhasebe ve Finans Kayıtları 15 yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde 
Şirket İçi Belge ve Kayıtlar 15 yıl Saklama süresinin bitimini takip eden ilk periyodik imha süresinde 
Ses ve Görüntü Kayıtları 6 ay Saklama süresinin bitimini takip eden ilk periyodik imha süresinde