GİZLİLİK POLİTİKASI

Web sitesinin ve Kariyermax CRM sisteminin işletmecisi:
Medical Invest Health Services Ltd. Şti.
Kartaltepe, Şakrak Sk. No: 1
34295 Küçükçekmece, İstanbul, Türkiye
E-posta: [email protected]

1. Verilere Genel Bakış

Genel Bilgilendirme

Aşağıdaki bilgiler, bu web sitesini ziyaret ettiğinizde veya Kariyermax CRM sistemini kullandığınızda kişisel verilerinizin nasıl işlendiğine dair genel bir bakış sunar. Kişisel veri, kimliği belirli veya belirlenebilir gerçek kişilere ilişkin tüm bilgilerdir.

Bu Web Sitesinde Veri Toplama

Verileriniz kısmen sizin tarafınızdan (örn. form doldurma) kısmen de web sitesine giriş yaptığınız anda teknik sistemler tarafından otomatik olarak toplanır (örn. IP adresi, tarayıcı bilgileri).

Verilerin Kullanım Amaçları

Bazı veriler web sitesinin teknik olarak sorunsuz çalışması için gereklidir. Diğer veriler kullanıcı davranışının analizinde kullanılabilir.

Kullanıcı Hakları

Kullanıcılar, aşağıdaki haklara sahiptir: (KVKK’nda genel manada madde 11’de düzenlenmiştir.)

  • Bilgi alma (KVKK madde 11/1-a :Herkes, veri sorumlusuna başvurarak kendisiyle ilgili; …a) Kişisel veri işlenip işlenmediğini öğrenme,… haklarına sahiptir)
  • Düzeltme (KVKK madde 11/1-d :Herkes, veri sorumlusuna başvurarak kendisiyle ilgili; …d) Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,,… haklarına sahiptir)
  • Silme (KVKK madde 11/1-e :Herkes, veri sorumlusuna başvurarak kendisiyle ilgili; …e) 7 nci maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme,,,… haklarına sahiptir)
  • İşlemenin sınırlandırılması
  • Veri taşınabilirliği
  • Onayı geri çekme (KVKK madde 5’de düzenlenen açık rıza olmaksızın verilerin işlenemeyeceği hükmüyle paralaleldir.)
  • Denetim makamına şikayette bulunma (KVKK madde 13-14-15-16)

Bu haklara ilişkin talepler için sorumlu birim ile iletişime geçilebilir.

2. Hosting

Bu web sitesi harici hizmet sağlayıcılar üzerinden barındırılmaktadır. Bu süreçte IP adresleri, log kayıtları, iletişim ve meta verileri gibi veriler işlenebilir.
İşleme dayanağı:

  • Sözleşme gereği (Art. 6/1-b GDPR) – (KVKK madde 5/2-c: Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.)
  • Meşru menfaat (Art. 6/1-f GDPR) - (KVKK madde 5/2-e: Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.)
  • Gerekli olduğu durumlarda açık rıza (Art. 6/1-a GDPR ve TTDSG §25) - (KVKK madde 5/1: Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez.)

Harici hizmet sağlayıcılar verileri yalnızca talimatlarımız doğrultusunda işler.

3. Genel Bilgilendirme ve Yasal Temel

Gizlilik

Medical Invest, kişisel verileri gizlilikle ve yasal gerekliliklere uygun olarak işler.

Sorumlu Birim

Medical Invest Health Services Ltd. Şti.
Kartaltepe, Şakrak Sk. No: 1
34295 Küçükçekmece, İstanbul

Saklama Süreleri

Kişisel veriler, işleme amacı ortadan kalkıncaya veya yasal saklama süreleri sona erinceye kadar saklanır. (KVKK madde 7 ve Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik)

İşleme için Hukuki Dayanaklar

İşlemeye dair temel hukuki dayanaklar:

  • Art. 6/1-a GDPR (açık rıza) – (KVKK madde 5/1: (1) Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez.)
  • Art. 6/1-b GDPR (sözleşme / ön sözleşme) – (KVKK madde 5/2-c: (2) Aşağıdaki şartlardan birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür: … c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması….).
  • Art. 6/1-c GDPR (hukuki yükümlülük) – (KVKK madde 5/2-a: (2) Aşağıdaki şartlardan birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür: … a) Kanunlarda açıkça öngörülmesi.….).
  • Art. 6/1-f GDPR (meşru menfaat) – (KVKK madde 5/2-e: (2) Aşağıdaki şartlardan birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür: … e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması..….).
  • Art. 9/2 GDPR (özel nitelikli veriler) - (KVKK madde 6’da düzenlenmiştir)
  • TTDSG §25 (çerez teknolojileri)

Kişisel Verilerin Alıcıları

Aşağıdaki taraflara veri aktarılabilir:

  • Hosting ve IT sağlayıcıları
  • Analiz araçları
  • Yetkili makamlar
  • Tanıma ve işe alım sürecine dahil iş ortakları
  • Bu politikada belirtilen diğer alıcılar

Onayın Geri Çekilmesi

Kullanıcılar verdikleri rızayı diledikleri zaman geri çekebilirler. Bu, geri çekme öncesindeki işlemleri etkilemez.

Art. 21 GDPR Uyarınca İtiraz Hakkı

Kullanıcılar, Art. 6/1-e veya 6/1-f temelli işleme faaliyetlerine her zaman itiraz edebilir.

Şikayet Hakkı

Kullanıcılar, kendi ülkelerindeki veya Almanya’daki ilgili denetim makamına şikayette bulunabilir. (KVKK madde 14 vd.)

Veri Taşınabilirliği

Kullanıcılar verilerini makine tarafından okunabilir bir formatta alabilir veya başka bir sorumluya aktarılmasını talep edebilir.

SSL/TLS Şifreleme

Web sitesindeki veri aktarımları SSL/TLS protokolü ile korunmaktadır. (KVKK madde 12)

4. Web Sitesinde Veri Toplama

Çerezler

Çerezler, kullanıcı deneyimini ve teknik işlevleri sağlamak amacıyla kullanılır.
Hukuki dayanak:

  • Teknik zorunluluk için Art. 6/1-f GDPR
  • Açık rıza gerektiren durumlarda Art. 6/1-a GDPR ve TTDSG §25

Sunucu Log Kayıtları

Otomatik olarak işlenen veriler:

  • Tarayıcı türü ve sürümü
  • İşletim sistemi
  • Yönlendiren sayfa
  • Sunucu isteği zamanı
  • IP adresi

İletişim Formları

Form üzerinden iletilen veriler yalnızca talebin işlenmesi amacıyla kullanılır.
Hukuki dayanak:

  • Art. 6/1-b GDPR (sözleşmesel durumlarda) – (KVKK madde 5/2-c: (2) Aşağıdaki şartlardan birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür: … c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması….).
  • Art. 6/1-f GDPR (meşru menfaat) – (KVKK madde 5/2-e: (2) Aşağıdaki şartlardan birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür: … e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması..….).

E-posta, Telefon veya WhatsApp

İletilen tüm veriler yalnızca talebin işlenmesi amacıyla saklanır.

5. Analiz Araçları ve Reklam

Aşağıdaki hizmetler kullanıcı rızası ile kullanılabilir: 5 – 1

  • Google Analytics
  • Google Ads
  • Google Tag Manager
  • Facebook / Meta Pixel
  • DoubleClick
  • Google Conversion Tracking

Verilerin ABD’ye aktarımı, Avrupa Komisyonu’nun Standart Sözleşme Maddelerine (SCC) dayanır. (KVKK madde 9: Kişisel verilerin aktarılması)

6. Kendi Hizmetlerimiz

Erişilebilirlik araçları (örn. Eye-Able) yalnızca kullanıcı rızası ile veya teknik gereklilik durumunda çalışır.

Veri Gizliliği Açıklamasına Ek – Yapay Zekâ Sistemlerinin (Chatbotlar, Sesli Botlar, Otomasyonlar) Kullanımı

Yapay Zekâ Destekli Sistemlerin Kullanımı (Sesli Botlar, Chatbotlar, Otomasyon Yazılımları)

Bu web sitesinde iletişim, destek ve hizmet süreçlerinde çeşitli yapay zekâ (YZ) destekli sistemler kullanıyoruz. Bu sistemlere:
YZ sohbet botları (web sitesinde veya mesajlaşma uygulamaları üzerinden otomatik metin iletişimi),
YZ sesli botları / YZ telefon asistanları (gelen ve giden çağrılar için otomatik konuşma sistemleri),
Otomatik yanıt ve bilgi sistemleri (örn. e-posta otomasyonu, randevu organizasyonu, başvuru bilgileri) dahildir .
Bu sistemler süreçlerimizi desteklemek, dahili işlemleri otomatikleştirmek, genel soruları yanıtlamak, gerektiğinde başvuru sahiplerini ön değerlendirmeden geçirmek ve çalışanlarımızı desteklemek amacıyla kullanılmaktadır.

Otomatik Olarak Üretilen İçerikler – Bağlayıcılık Konusunda Bilgilendirme

Yapay zekâ sistemlerinin sunduğu yanıtların, bilgilerin, tavsiyelerin veya önerilerin tamamen otomatik olarak üretildiğini açıkça belirtiriz. Özenli bir yapılandırmaya rağmen şu durumlar ortaya çıkabilir:
Hatalar,
Gerçeğe aykırı bilgiler,
Yanlış anlaşılabilir ifadeler,
Eksik bilgiler.
Otomatik üretilen bu içerikler bağlayıcı değildir.
Kullanıcılar, aldıkları bilgilerin doğruluğunu, güncelliğini ve eksiksizliğini bağımsız olarak kontrol etmekle yükümlüdür.
Hukuken bağlayıcı açıklamalar, teklifler, taahhütler veya sözleşme içerikleri yalnızca:
Yazılı anlaşmalarla,
Yetkili çalışanlarımız tarafından hazırlanarak
Açıkça onaylanarak oluşturulur.
YZ tarafından otomatik üretilen yanıtlar herhangi bir yasal hak doğurmaz, bireysel danışmanlığın yerini tutmaz ve sözleşme niteliği taşımaz.

Yapay Zekâ Sistemleri Tarafından Kişisel Verilerin İşlenmesi

YZ sistemlerinin kullanımı sırasında — etkileşim türüne bağlı olarak — aşağıdaki veriler işlenebilir:
İletişim içerikleri (metin veya ses),
Teknik olarak gerekli veriler (IP adresi, cihaz, tarayıcı, zaman damgası),
Gönüllü olarak iletilen iletişim bilgileri (isim, telefon numarası, e-posta),
Sesli botlarda görüşme verileri (transkripsiyonlar, ses kayıtları, meta veriler).
İşleme, DSGVO Madde 6 ve KVKK madde 5 uyarınca gerçekleşir. KVKK madde 5, DSGVO madde 6 ve kaynak Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR) paralelinde hüküm ihdas etmekte olup;
“(1) Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez. (DSGVO madde 6/1-a bendi ile paralel düzenlemedir.)
(2) Aşağıdaki şartlardan birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür:
a) Kanunlarda açıkça öngörülmesi.
b) Fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması. (DSGVO madde 6/1-b bendi ile paralel düzenlemedir.)
ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
d) İlgili kişinin kendisi tarafından alenileştirilmiş olması.
e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.” (DSGVO madde 6/1-f bendi ile paralel düzenlemedir.)
Saklama süreleri, silme süreçleri ve kullanıcı hakları hakkında ek bilgileri veri gizliliği açıklamasının ilgili bölümlerinde bulabilirsiniz.

Harici YZ Hizmet Sağlayıcılarının Kullanımı

YZ destekli sistemlerimizi gerçekleştirmek için süreçlere bağlı olarak harici hizmet sağlayıcıları kullanıyoruz. Bunlar özellikle:
OpenAI (örn. ChatGPT, Assistants API)

→ Türkçe Gizlilik Politikası: https://openai.com/tr-TR/policies/row-privacy-policy/

Anthropic (örn. Claude)

→ İngilizce Gizlilik Politikası: https://privacy.claude.com/en/

Google (örn. Gemini)

→ Google Gizlilik Politikası (TR):

https://support.google.com/gemini/answer/13594961?hl=tr

Veri sağlayıcılarla — gerektiği durumlarda — DSGVO Madde 28 uyarınca Veri İşleme Sözleşmeleri (AVV) yapılmıştır.
Bazı sağlayıcılarda veriler üçüncü ülkelere (örn. ABD) aktarılabilir. Bu aktarımlar şu temellere dayanır:
EU-US Data Privacy Framework,
AB Standart Sözleşme Maddeleri (SCC) — DSGVO Madde 46,
Hizmet sağlayıcıların ek güvenlik önlemleri.
Bu kapsamda gerek KVKK madde 9 ve 12 gerek DSGVO madde 28 ve 46 gerek ise sair ilgili mevzuat gereği, taraf, verilerinin veri işleme sözleşmesine konu edilmesine ve verilerin üçüncü ülkelere veri aktarımı hususuna açıkça muvafakat etmektedir.

Verilerin YZ Model Eğitimi İçin Kullanılmaması

YZ sistemlerimizi, iletilen içeriklerin kamuya açık YZ modellerinin eğitimi için kullanılmamasını sağlayacak şekilde yapılandırıyoruz.
Bazı hizmet sağlayıcılar kötüye kullanım tespiti veya güvenlik amacıyla belirli verileri zorunlu olarak işleyebilir; bu işlemler ilgili sağlayıcının gizlilik politikalarına uygun olarak yapılır.

Alternatif İletişim Seçenekleri

YZ sistemlerinin kullanımı gönüllüdür.
Dilediğiniz zaman klasik alternatif iletişim kanallarını kullanabilirsiniz (örn. telefon, e-posta, iletişim formu, yüz yüze görüşme).

ADAYLAR İÇİN VERİ İŞLEME BİLGİLENDİRMESİ (GDPR Madde 13/14)

1. Sorumlu Birim

Medical Invest Health Services Ltd. Şti. İstanbul

2. İşlenen Veri Türleri

  • Ad, soyad, doğum tarihi
  • İletişim bilgileri
  • Diplomalar ve eğitim belgeleri
  • Dil sertifikaları
  • Pasaport ve kimlik belgeleri
  • Referanslar ve iş deneyimi belgeleri
  • Mülakat ve değerlendirme bilgileri
  • Süreç durumu
  • Yazışmalar, mesajlar

3. İşleme Amaçları

  • Aday değerlendirme ve eşleştirme
  • Mülakat organizasyonu
  • Tanıma ve vize süreçlerinin yürütülmesi
  • İletişim
  • Kalite kontrol ve süreç izleme
  • Yasal yükümlülüklerin yerine getirilmesi

4. Hukuki Dayanaklar

  • Art. 6/1-b GDPR ) – (KVKK madde 5/2-c: (2) Aşağıdaki şartlardan birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür: … c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması….).
  • Art. 6/1-f GDPR ) – (KVKK madde 5/2-e: (2) Aşağıdaki şartlardan birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür: … e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması..….).
  • Art. 6/1-a GDPR - (KVKK madde 5/1: Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez.
  • Art. 9/2 GDPR (özel nitelikli veriler) – (KVKK madde 6: Özel nitelikli kişisel verilerin işlenme şartları)

5. Veri Aktarımları

İşveren/Eğitim Kurumlarına
Yalnızca eşleşme onayı sonrasında
Yalnızca amaçla sınırlı

Makamlara
Gerekli olması halinde:
Tanıma kurumları
Valilikler / Eyalet kurumları
Yabancılar daireleri
Konsolosluklar

Hizmet Sağlayıcılara
Yalnızca veri işleme sözleşmesi (AVV) ile

6. Saklama Süreleri (Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik Madde 11-12

  • Aktif süreçte: tam saklama
  • Süreç sonrası: 6 ay – 10 yıl arası, hukuki temele göre
  • Talep üzerine silme (yasal olarak mümkünse)

7. Aday Hakları

Adaylar şu haklara sahiptir:

  • Bilgi alma
  • Düzeltme
  • Silme
  • İşlemeyi kısıtlama
  • Veri taşınabilirliği
  • Rıza geri çekme
  • Şikayet

8. Veri Güvenliği

  • TLS şifreleme
  • ISO sertifikalı sunucular
  • Rol bazlı erişim kontrolü
  • Penetrasyon testleri

9. Türkiye’ye Veri Aktarımı

Veriler Medical Invest tarafından işlenmektedir.
Uluslararası aktarım hukuki temeli:

  • Standart Sözleşme Maddeleri (SCC)
  • Teknik ve organizasyonel güvenlik önlemleri

KURUMLAR/İŞVERENLER İÇİN VERİ İŞLEME BİLGİLENDİRMESİ (GDPR Madde 13/14)

1. Sorumlu Birim

Medical Invest Health Services Ltd. Şti. İstanbul

2. İşlenen Veri Türleri

  • İlgili kişi adı ve iletişim bilgileri
  • Kurum bilgileri
  • Mülakat randevuları
  • Değerlendirmeler
  • İç süreç notları
  • Sistem ve log verileri

3. İşleme Amaçları

  • Eşleştirme sürecinin yürütülmesi
  • Adaylarla iletişim
  • Kurum değerlendirme ve yönlendirme
  • Süreç yönetimi
  • Yasal yükümlülükler

4. Hukuki Dayanaklar

  • Art. 6/1-b GDPR
  • Art. 6/1-f GDPR
  • Art. 6/1-a GDPR

5. Veri Aktarımı

  • Adaylara, yalnızca süreç gereği
  • Makamlara, zorunlu durumlarda
  • Hizmet sağlayıcılara, AVV kapsamında

6. Saklama Süreleri

İş ilişkisi boyunca saklama; süreç sonrasında yasal gerekliliklere göre silme yapılır.

7. Kurum Hakları

Bilgi alma, düzeltme, silme, kısıtlama, rıza geri çekme, şikayet hakkı.

8. Veri Güvenliği

  • Şifreleme
  • Erişim kontrolü
  • Teknik güvenlik sistemleri