Bu politika, Medisa Sigorta Anonim Şirketi (“Medisa Sigorta ”) tarafından ve/veya adına gerçekleştirilmekte olan kişisel veri, işleme saklama ve imha faaliyetlerine ilişkin iş ve işlemler sırasında, tüm Kişisel Verilerin (aşağıdaki tanımlara bakınız) gizli tutulmasını ve Türkiye’de yürürlükte bulunan 6698 sayılı Kişisel Verilerin Korunması Kanunu (Bundan böyle “KVKK” olarak anılacaktır.) ve hukuki dayanağını ondan alan ikincil mevzuat ile Kişisel Verileri Koruma Kurulu’nun almış olduğu kararlara (Hepsi birlikte bu doküman içerisinde “Veri Koruma Mevzuatı” olarak anılacaktır.) uyulmasını sağlamak amacıyla tasarlanmış ve çıkartılmış bulunmaktadır.
Bu Politika, kişisel verileri Medisa Sigorta tarafından ve/veya Medisa Sigorta adına tamamen veya kısmen otomatik olan veya herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenmekte olan tüm gerçek kişilere yönelik olarak gerçekleşecek kişisel veri işleme faaliyetlerini düzenlemek maksadıyla düzenlenmiştir ve Medisa Sigorta adına kişisel veri işleme faaliyetinde bulunan herkes bakımından uygulanmaktadır.
Acente: Medisa Sigorta ile bir sözleşmeye dayanarak muayyen bir yer veya bölge içinde daimî bir surette Medisa Sigorta ’ın nam ve hesabına sigorta sözleşmelerine aracılık etmeyi ve bunları Medisa Sigorta adına yapmayı meslek edinen, sözleşmenin akdinden önce hazırlık çalışmalarını yürüten ve sözleşmenin uygulanması ile tazminatın ödenmesinde yardımcı olan gerçek kişi.
Açık Rıza: Belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rıza
Broker: Sigorta veya reasürans sözleşmesi yaptırmak isteyenleri temsil ederek, bu sözleşmelerin yaptırılacağı şirketlerin seçiminde tamamen tarafsız ve bağımsız davranarak ve teminat almak isteyen kişilerin hak ve menfaatlerini gözeterek sözleşmelerin akdinden önceki hazırlık çalışmalarını yürütmeyi ve gerektiğinde sözleşmelerin uygulanmasında veya tazminatın tahsilinde yardımcı olmayı meslek edinen gerçek kişi.
Veri Yönetişimi: Veriyi, kurum içinde uçtan uca yönetmeyi sağlayan bir yöntemler bütünüdür. Veri Yönetişimi, politikalar, süreçler, standartlar, teknolojiler ve kişileri işin içine dahil ederek doğru, tutarlı ve zamanında karar verilmesini hedefler.
Çalışan: Bir iş Sözleşmesine dayanarak Medisa Sigorta ’ta istihdam edilen kişiler.
Çalışan adayı: Medisa Sigorta ’a iş başvurusunda bulunarak veya herhangi bir yolla özgeçmişini ve ilgili bilgilerini Medisa Sigorta ’a erişilebilir kılan gerçek kişiler.
Kişisel Veri: İsim, adres, telefon numarası, e-posta adresi veya benzeri kimlik bilgileri gibi Veri Süjesiyle ilgili her türlü bilgi anlamına gelir.
Kişisel verilerin işlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem.
Müşteriler/ Müşteri Adayları: Herhangi bir sözleşmesel ilişki olup olmadığına bakılmaksızın Medisa Sigorta tarafından yürütülen faaliyetler kapsamında iş ilişkileri dolayısıyla kişisel verileri elde edilen gerçek kişiler.
Özel Nitelikli Kişisel Veriler: Bir kişinin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri.
Üçüncü Kişiler: Politika’da tanımlanmamış olmasına rağmen işbu Politika çerçevesinde kişisel verileri işlenen tedarikçi, mağdur, aile bireyleri vb. dâhil fakat bunlarla sınırlı olmamak üzere diğer gerçek kişiler.
Veri İşleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel veri işleyen gerçek veya tüzel kişi.
Veri Süjesi ya da İlgili Kişi: Verinin ait olduğu, kimliği belirlenmiş veya belirlenebilir bir gerçek kişi.
Ziyaretçiler: Medisa Sigorta ’ın fiziksel tesislerine çeşitli amaçlarla girmiş olan veya internet sitelerini ziyaret eden gerçek kişiler.
Medisa Sigorta dahilindeki tüm iş birimleri, çalışanlar, Medisa Sigorta adına veri işleme faaliyetinde bulunan kişiler işbu Politika kapsamında belirtilmiş olan teknik ve idari tedbirlerin gereği gibi uygulanması, veri işleme faaliyeti yürüten kişilerin, çalışanların, acentelerin, iş ortaklarının eğitimi ve farkındalığının artması, takibi gibi sürekli denetimi ile kişisel verilerin hukuka uygun şekilde işlenmesini teminen tüm veri işleme ortamlarında veri güvenliğini sağlamaya dönük olarak teknik ve idari tedbirlerin uygulanmasına destek verir ve sorumlu birimlerle işbirliği içinde çalışır.
Kişisel verilerin saklama ve imha süreçlerinde görev alanların görev yapmakta olduğu hususlar şu şekilde oluşmuştur;
İlgili kişilere ait kişisel veriler, iş faaliyetleri sırasında, detayları Medisa Sigorta Kişisel Verilerin Korunması ve İşlenmesi Yönetmeliği’nde belirtilmiş olan Kişisel Verileri işbu Politika’da ve Medisa Sigorta Kişisel Verilerin Korunması ve İşlenmesi Yönetmeliği’nde öngörülmüş usullerle toplamakta, işlemekte ve saklamakta ve imha etmektedir.
Bu kapsamda saklama ve imhaya ilişkin detaylı açıklamalara aşağıda sırasıyla yer verilmiştir.
KVKK’nın 3.(üçüncü) maddesinde “kişisel verilerin işlenmesi” kavramı tanımlanmış 4.(dördüncü) maddesinde işlenen kişisel verinin “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli süre kadar muhafaza edilmesi” gerektiği belirtilmiş, 5(beş) ve 6.(altıncı) maddelerde ise “kişisel verilerin işleme şartları” sayılmıştır.
Buna göre, kişisel veriler, Medisa Sigorta iş faaliyetleri çerçevesinde ilgili mevzuatta öngörülen veya işleme amaçlarına uygun ve işbu Politikanın 6.9 maddesinde belirtilmiş olan sürelerde saklanır.
Medisa Sigorta , iş faaliyetleri çerçevesinde işlenen kişisel verileri ilgili mevzuatta öngörülen sürelere uygun olarak muhafaza eder. Bu kapsamda kişisel veriler;
Bu kanunlar uyarınca, yürürlükte olan ikincil düzenlemeler ve bunlarla sınırlı olmamak üzere Medisa Sigorta uyması gereken mevzuat ve idari düzenlemeler uyarınca öngörülen saklama süreleri boyunca kişisel veriler saklanmakta ve işlenmektedir.
5.1.2 Saklamayı Gerektiren İşleme Amaçları
Kişisel veriler Medisa Sigorta Kişisel Verilerin Korunması ve İşlenmesi Yönetmeliği’nde detaylandırılmış bulunan ve aşağıda sıralanmış amaçlarla saklanmaktadır:
Kişisel veriler;
Kişisel veriler Medisa Sigorta tarafından Tablo 1’de listelenen ortamlarda hukuka uygun olarak ve güvenli bir şekilde saklanır.
Tablo 1: Kişisel veri saklama ortamları
Elektronik ortamlar | Elektronik olmayan ortamlar |
a) Sigortacılık uygulamaları yazılımı (a) OLTP system (b) DWH (c) CRM (d) Veri Bilimi uygulamaları (e) Big Data b) Veri depolama alanları 1. Veri tabanı 2. Doküman yönetim sistemi 3. Mail ortamı 4. File Server- Ortak folder | (1) Veri depolama alanları Manuel veri kayıt ortamları (a) Formlar, (b) Belgeler |
Kişisel verilerin bu Politikaya ve Medisa Sigorta Kişisel Verilerin Korunması ve İşlenmesi Yönetmeliği’ne uygun olarak işlenebilmesi ve kullanılabilmesi için, Veri Süjesine işleme faaliyetlerine dair aydınlatma yapılması, Kişisel Verilerin işlenmesi konusunda izin istenmesi ve Veri Süjesinin açık rızasının alınması gerekir.
Bu amaçla, Hukuk Müşavirliği’nin tarafından onaylanan onam formlarını ve aydınlatma metinleri kullanılmalıdır.
Ancak aşağıda sayılan istisnalardan birinin söz konusu olması halinde Veri Süjesinden açık rıza alma şartı uygulanmamalıdır:
Veri Sorumlusu olarak işbu Politikanın 6.4 maddesinde anıldığı şekilde Kişisel Verilerin işlenmesi için her zaman Veri Süjesinden açık rıza alınması şartı bulunmasa dahi, Medisa Sigorta ’ın her zaman Veri Süjelerine aşağıdaki konularda bilgi verme yükümlülüğü bulunmaktadır:
Aydınlatma yükümlülüğü Ek-1 Kişisel Verilerin Korunması Aydınlatma Metnini kullanmak suretiyle yapılabilir.
Medisa Sigorta zaman zaman iş süreçlerinin yürütülmesi, iletişim sağlanması amaçlarıyla tedarikçilerinin yetkililerinin kişisel verilerine ihtiyaç duyabilir. Bu durumda sözü edilen tedarikçi çalışanlarına karşı Medisa Sigorta ’ın aydınlatma yükümlülüğünün yerine getirilmesini teminen ilgili Medisa Sigorta yetkililerinin Ek-2 Tedarikçilere Veri Gizliliği Bildirimi gönderilmesi mümkündür.
İş kanunları ve mevzuatından doğan belirli hakların kullanılması veya belirli yükümlülüklerin yerine getirilmesi amaçlarıyla gerekli olmadıkça ve Veri Koruma Mevzuatı başta olmak üzere yürürlükteki sair mevzuat gereğince izin ve yetki verilen durumlar haricinde, Özel Nitelikli Kişisel Veriler işlenmeden önce bu verileri işlemek için ilgili kişinin açık izin ve rızasını mutlaka ve daima almak gerekir.
Çalışanlara ait Özel Nitelikli Kişisel Veriler de dahil olmak üzere Kişisel Verilerin İş Kanunu ve diğer ilgili mevzuat uyarınca yahut Medisa Sigorta tarafından belirlenen başka amaçlarla işlenebilmesi için, halihazırda Medisa Sigorta çalışanı bulunan kişilere Ek-3 Medisa Sigorta Çalışanlarının Kişisel Verilerinin İşlenmesine İlişkin Aydınlatma Metni ve Medisa Sigorta Sigorta A.Ş.. Çalışanı Kişisel Verilerin Korunması ve İşlenmesi Açık Rıza Metninin imzalatılması suretiyle aydınlatma ve açık rıza temini yükümlüğünün yerine getirilmesi gerekmektedir.
Müşterilerin kişisel verilerini doğrudan veya dolaylı olarak pazarlama yapmak maksadıyla toplanması ve işlenmesi için, kişisel verilerin toplanmasından önce Veri Süjesi müşterinin açık rızasının alınmış olması gerekir. Bunun haricinde Veri Süjelerine ticari iletişim kurulması rızasından vazgeçme imkanlarının hem alınacak rıza sırasında hem de her iletişimde sağlanması gerekir.
Görevlerinin bir gereği olarak ve görevleri esnasında, Medisa Sigorta adına Kişisel Verileri işleyen kişilerin, Politika’da yer alan hususların yanı sıra aşağıda sayılan hususları gözetmeleri beklenmektedir:
Görevlerinin bir gereği olarak ve görevleri esnasında Medisa Sigorta adına Özel Nitelikli Kişisel Veri işlemekte olan çalışanların işbu Politikanın diğer maddeleri ve 6.4 maddede sözü edilen hususları gözetmeleri gerekmektedir.
Kişisel veriler ancak 6.4 maddede sayılan istisnalardan birinin mevcut olması halinde ilgili kişinin açık rızası olmaksızın yurtiçindeki üçüncü kişilere aktarılabilir. Kişisel Verilerin yurt dışına aktarılabilmesi için ise Veri Koruma Mevzuatı uyarınca öngörülen şartlar yerine getirilmeli ve gerekli hallerde ilgili kişinin açık izin ve rızası alınmalıdır. Bu kapsamda:
Kişisel verilerin güvenli bir şekilde saklanması, hukuka aykırı olarak işlenmesi ve erişilmesinin önlenmesi ile kişisel verilerin hukuka uygun olarak imha edilmesi için Kişisel Verilerin Korunması Kanunu’nu uyarınca ve Kişisel Verileri Koruma Kurulu tarafından belirlenerek ilan edilen yeterli önlemler çerçevesinde olmak üzere Medisa Sigorta tarafından teknik ve idari tedbirler alınmaktadır.
Medisa Sigorta tarafından işlenmekte olan kişisel veriler bakımından alınan teknik tedbirler aşağıda sayılmıştır:
Medisa Sigorta tarafından işlenmekte olan kişisel verilere ilişkin olarak alınan idari tedbirler aşağıda sayılmıştır:
Medisa Sigorta tarafından kişisel verileri işlenmekte olan veri süjeleri Medisa Sigorta ’a başvurarak kendisi ile ilgili;
Kişisel Verilerin doğrudan, pazarlama çabalarının bir parçası olarak toplandığı durumlarda, Veri Süjesi, kendisine ait Kişisel Verilerin üçüncü şahıslara verilmesine veya pazarlama amaçlarıyla kullanılmasına itiraz etme hakkına ya da Kişisel Verileri üçüncü şahıslara verilmeden veya pazarlama amaçlarıyla kullanılmadan önce durumun kendisine bildirilmesini talep etme hakkına sahiptir.
İlgili kişilerin bu başvurularının, değerlendirilmesinin ve yanıtlanmasının Medisa Sigorta Başvuru Yanıtlama Politikası içinde anıldığı şekilde gerçekleşmesi gerekmektedir.
Medisa Sigorta Kişisel Verileri kazayla veya yasadışı bir şekilde imha olma, kaybolma, tahrif edilme, yetkisiz ifşa veya yetkisiz erişim risklerine (Güvenlik Olayı) karşı koruma amacıyla aşağıdaki de dahil tüm makul güvenlik önlemlerini alır;
Kişisel Verileri korumak için sağlanan güvenlik koşulları ve alınan teknik tedbirler periyodik olarak Veri Yönetişim Komitesi tarafından incelenmekte ve değerlendirilmektedir. Böylelikle kişisel verilerin korunması için ilave güvenlik tedbirlerine veya prosedürlerine ihtiyaç olup olmadığı tespit edilir.
Herhangi bir Güvenlik Olayının oluşması halinde Medisa Sigorta tarafından izlenmesi gereken adımlar “Olay Yönetimi Prosedürü” ekinde yer alan Siber Güvenlik Olayı Müdahale Planında belirtilmiştir.
İlgili mevzuatta öngörülen süre ya da işlendikleri amaç için gerekli olan saklama süresinin sonunda kişisel veriler, Medisa Sigorta tarafından re’sen (periyodik imha süreleri) veya ilgili kişinin başvurusu üzerine yine ilgili mevzuat hükümlerine uygun olarak aşağıda belirtilen tekniklerle imha edilir.
Kişisel veriler Tablo-1’de verilen yöntemlerle silinir.
Tablo 1: Kişisel Verilerin Silinmesi
Veri Kayıt Ortamı | Açıklama |
Sistemlerde Yer Alan Kişisel Veriler | Sistemlerde yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler için sistem yöneticisi tarafından ilgili kullanıcıların erişim yetkisi kaldırılarak silme işlemi yapılır. |
Elektronik Ortamda Yer Alan Kişisel Veriler | Elektronik ortamda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, veri tabanı yöneticisi hariç diğer ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. |
Fiziksel Ortamda Yer Alan Kişisel Veriler | Fiziksel ortamda tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler için ilgili kullanıcılar hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. Ayrıca, üzeri okunamayacak şekilde çizilerek/boyanarak/silinerek karartma işlemi de uygulanır. |
Taşınabilir Medyada Bulunan Kişisel Veriler | Flash tabanlı saklama ortamlarında tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler, sistem yöneticisi tarafından şifrelenerek ve erişim yetkisi sadece sistem yöneticisine verilerek şifreleme anahtarlarıyla güvenli ortamlarda saklanır. |
Tablo 2: Kişisel Verilerin Yok edilmesi
Veri Kayıt Ortamı | Açıklama |
Fiziksel Ortamda Yer Alan Kişisel Veriler | Kâğıt ortamında yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, kâğıt kırpma makinelerinde geri döndürülemeyecek şekilde yok edilir. |
Optik / Manyetik Medyada Yer Alan Kişisel Veriler | Optik medya ve manyetik medyada yer alan kişisel verilerden saklanmasını gerektiren süre sona erenlerin eritilmesi, yakılması veya toz haline getirilmesi gibi fiziksel olarak yok edilmesi işlemi uygulanır. Ayrıca, manyetik medya özel bir cihazdan geçirilerek yüksek değerde manyetik alana maruz bırakılması suretiyle üzerindeki veriler okunamaz hale getirilir. |
Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir. Kişisel verilerin anonim hale getirilmiş olması için; kişisel verilerin, veri sorumlusu veya üçüncü kişiler tarafından geri döndürülmesi ve/veya verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekir.
Teknik tedbirler kapsamında alınan teknolojik araç ile sistematik şekilde ve belirli kural setleri dahilinde anonim hale getirme yapılmaktadır.
Aşağıdaki tabloda belirtilen verilerin ilgili muhafaza süreleri boyunca muhafaza edilmesinden, Veri Yönetişim Komitesi sorumludur.
Veri Yönetişim Komitesi’nin takibinden sorumlu olduğu Medisa Sigorta periyodik imha süresi 6 ay olarak belirlenmiştir. Veri Yönetişim Komitesi bu sürelere uygun olarak imhaların gerçekleştirilmesinden ve muhafaza süresi dolan kişisel verilerin imhasına ilişkin gerekli hatırlatmaları yapmak bakımından görevli ve yetkilidir.
Tablo 3: Kişisel veri saklama ve imha süreleri
VERİ TÜRÜ | MUHAFAZA SÜRESİ | İMHA SÜRESİ |
Müşteri Kayıtları | Sözleşmesel ilişkinin sona ermesini takip eden 15 yıl boyunca | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Çalışanlara Ait Özlük ve Adli Sicil Bilgileri | İşten ayrılmalarını takip eden 15 yıl boyunca | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Çalışan Adaylarına İlişkin Kayıtlar | Başvuruyu takip eden 2 yıl boyunca | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
İş Ortaklarına ve Çalışanlarına İlişkin Kayıtlar | İş ilişkisinin sona ermesini takip eden 15 yıl boyunca | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Muhasebe ve Finans Kayıtları | 15 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Şirket İçi Belge ve Kayıtlar | 15 yıl | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |
Ses ve Görüntü Kayıtları | 6 ay | Saklama süresinin bitimini takip eden ilk periyodik imha süresinde |