KVKK (Kişisel Verilerin Korunması Kanunu)

KVKK KİŞİSEL VERİLERİN KORUNMASI KANUNU AYDINLATMA METNİ (GENEL)

İşbu politika, EDB TURIZM ORGANIZASYON VE DANISMANLIK HIZ LTD STI’nin ve markası Flymeditrust’ın (bundan böyle ” EDB LTD STI ” olarak anılacaktır) veri işleme faaliyetlerinin genel çerçevesini belirlemektedir.

Veri Sorumlusu: “EDB LTD STI” / (Flymeditrust)

Adres: [Akat Mah. Yıldırım Oğuz Göker Sk. No:2/4 İstanbul/Beşiktaş]
E-posta: info@flymeditrust.com

1. Kapsam, Amaç ve Kullanıcılar 

Bu metin; web sitemiz ve mobil uygulamalarımız, canlı destekçağrı merkezi, e‑posta, telefon, sms, sosyal medya hesaplarımız dâhil tüm çevrimiçi/çevrimdışı mesajlaşma/sohbet kanalları ve diğer temas noktaları üzerinden Flymeditrust ile iletişime geçen herkesin (çalışan/aday, tedarikçi/iş ortağı, sağlık turizmi hizmeti talep eden kişi, turizm hizmeti alan kişi, ziyaretçiler ve burada açıkça sayılmamış diğer gerçek/tüzel kişiler) kişisel verilerinin işlenmesine ilişkin KVKK kapsamındaki aydınlatmadır. Şirketimiz; yalnızca aracılık niteliğinde Uluslararası Sağlık Turizmi Aracılık faaliyetini ve TÜRSAB A Grubu Turizm Acentaları yetkisinde olan tüm hizmetleri yürütür. Sağlık hizmetinin kendisi, sözleşmeli sağlık tesisi/kuruluş veya hekim tarafından sunulur.Ayrıca EDB LTD STI, faaliyet gösterdiği ülkelerde kişisel verilerin korunmasına ilişkin geçerli mevzuata uygun hareket etmeyi amaçlar ve gerekli teknik/idari tedbirleri alır. Bu Politika; kişisel verilerin işlenmesine ilişkin temel ilkeleri ve iş birimleri/çalışanların sorumluluklarını belirler. Bu Politika, EDB LTD STI ile onun adına veri işleyen üçüncü taraflar için de bilgi niteliğinde geçerlidir. Bu belgenin kullanıcıları, kalıcı veya geçici tüm çalışanlar ve EDB LTD STI adına çalışan tüm yüklenicilerdir.

Çocuklar İçin Bilgilendirme : Çevrimiçi ortamda çocukların korunması önemlidir; ebeveyn/velilerin çocukların internet kullanımına eşlik etmesini ve gözetimine önemle vurgu yapmak isteriz. Çocuklara ait kişisel veriler yalnızca veli/vasinin açık rızasıyla ve zorunlu asgari ölçüde işlenir; pazarlama amacıyla işlenmez. EDB LTD STI ve markaları çocuklardan bilerek kişisel veri talep etmez/toplamaz. Yanlışlıkla iletilen çocuk verileri fark edildikten sonra en kısa sürede imha edilir; veli/vasinin talepleri 30 gün içinde sonuçlandırılır.

GDPR/UK GDPR Uygulama Notu: KVKK bu metnin ana dayanağıdır. AB/AEA veya Birleşik Krallık’ta veya Diğer koşullara tabi olan  farklı Ülkelerde veya bölgelerde bulunan tüm ilgili kişi ve tüzel kişilere mal/hizmet sunulması ya da bu bölgelerde çerezler vasıtasıyla tüm izlemeler, davranış izleme vb.. söz konusu olduğunda, vatandaşlıktan/pasaporttan bağımsız olarak KVKK talimatları ya da KVKK ilgili maddeleri talimatları doğrultusunda gerektiği hallerde GDPR/UK GDPR veya Diğer koşullara tabi olan farklı Ülkeler veya Bölgelerin kuralları ayrıca da uygulanabilir. Çok dilli sayfalarımızda ayrıntılar, ilgili dilde yayımlanan politikalar ve 3. Taraf ile alakalı politikalar metinlerinde yer alacaktır.

1.1. Verisi İşlenen Kişi Grupları

Aşağıdaki liste, rakip metindeki 13 başlık seviyesi gözetilerek, kendi özgün yapımız korunarak genişletilmiştir: (Örnekleme amaçlıdır, hizmete göre değişebilir.)

  • Sağlık turizmi hizmeti talep eden kişi (hasta adayı/misafir)
  • Hasta yakını ve refakatçiler 
  • Teşhis/tedavi/sağlık turizmi aracılık hizmetinin gereği olarak iletişim kurulan gerçek veya tüzel kişiler
  • Turizm hizmeti alan kişi/rezervasyon sahibi ve birlikte seyahat edenler 
  • Tedarikçiler, hizmet sağlayıcılar, iş ortakları ve çalışanları 
  • Yasal müşavirler, avukatlar ve danışmanlarımız ve danışman firmalarımızın çalışanları. 
  • Tüm veri sahiplerinin kanuni temsilcileri, ebeveynler, veli ve vasiler 
  • Hukuki süreçlerde taraf olan kişiler ve yasal temsilcileri 
  • Şirketimizle doğrudan bağı olmayan ancak iletişime geçen üçüncü kişiler (Yeni Eklendi)
  • Her türlü ticari faaliyetlerimizin tarafları ve işbirliği yapılan/yapılacak kişi veya kurumlar 
  • Ziyaretçiler 
  • Kamu kurumları nezdinde muhatap olan yetkili kişiler
  • Çalışanlar, çalışan adayları ve stajyerler

2. Referans Dokümanlar

  • KVKK No.6698 ve ikincil mevzuat
  • GDPR 2016/679 (AB’de bulunan kişiler için)
  • Uluslararası Sağlık Turizmi ve Turistin Sağlığı Hakkında Yönetmelik (RG 26.04.2025/32882) 
  • Kişisel Veri Envanteri & VERBİS kaydı, Saklama-İmha Politikası, Bilgi Güvenliği Politikası, İhlal Bildirim Prosedürü
  • 4857 sayılı İş Kanunu ve 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu 

3. Tanımlar

  • Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.
  • Veri Sahibi (İlgili Kişi): Kişisel verisi işlenen gerçek kişi.
  • Veri İşleme: Kişisel veriler üzerinde gerçekleştirilen her türlü işlem.
  • Veri Sorumlusu: Kişisel verilerin işleme amaç ve vasıtalarını belirleyen gerçek veya tüzel kişi.
  • Veri İşleyen: Veri sorumlusunun yetkilendirmesiyle onun adına kişisel verileri işleyen gerçek veya tüzel kişi.
  • Alıcı: Kişisel verilerin aktarıldığı gerçek veya tüzel kişi.
  • Üçüncü Taraf: Veri sahibi, veri sorumlusu ve veri işleyen dışındaki kişiler.
  • Onay (Açık Rıza): Belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rıza.
  • Kişisel Veri İhlali: Kişisel verilerin hukuka aykırı olarak elde edilmesi, ifşa edilmesi veya erişime açılması.
  • Genetik Veri: Kalıtsal veya edinilmiş genetik özelliklere ilişkin veriler.
  • Biyometrik Veri: Fiziksel, fizyolojik veya davranışsal özelliklere ilişkin teknik işlemlerden elde edilen veriler.
  • Sağlıkla İlgili Veri: KVKK, GDPR, Söz Konusu Diğer Ülke veya Bölgeler ve T.C. Sağlık Bakanlığı Sağlık Turizmi Yönetmeliği uyarınca, sağlık turizmi aracı kuruluş faaliyetleri kapsamında verilen hizmet için gerekli olduğu ölçüde; fiziksel veya ruhsal sağlık durumu, sağlık hizmetlerinden yararlanma geçmişi gibi veriler.

4. Veri İşleme İlkeleri

Hukuka uygunluk/şeffaflık; amaç sınırlaması ve minimizasyon; doğruluk ve güncellik; saklama sınırlaması; bütünlük ve gizlilik (teknik-idari tedbirler).

5. Veri Toplama Yöntemleri ve Veri Kaynakları 

5.1. Veri Toplama Yöntemleri

  • Web sitesi/uygulama (çerezler ve benzeri teknolojiler – tercihe bağlı çerezler için açık rıza; ayrıntı için Çerez Aydınlatma Metni ve Tercih Merkezine yönlendirilir)
  • Çağrı merkezi (ses kayıtları dâhil)
  • Mesajlaşma kanalları (örn. e-posta, WhatsApp ve benzeri uygulamalar)
  • Formlar/sözleşmeler/rezervasyon süreçleri (elektronik ve/veya fiziki)
  • Yüz yüze operasyon (karşılama, tercüme, transfer koordinasyonu vb.)
  • Tedarik kanalları (yalnızca hizmetin ifası için gerekli veri alanları)

5.2. Veri Kaynakları 

  • Otomatik toplanan veriler: cihaz bilgileri, kullanım verileri, log kayıtları, çerez verileri (tercihe bağlı olanlar için rıza alınır).
  • Kullanıcı tarafından sağlanan veriler: web formları, çağrı merkezi ve mesajlaşma üzerinden paylaşılan bilgiler, yüklenen belgeler/dosyalar.
  • Diğer kaynaklar: yalnızca aracılık amacıyla sınırlı olmak üzere; sözleşmeli sağlık tesisi/hekimlerden randevu/operasyon bilgileri; konaklama/ulaşım/ödeme sağlayıcılarından rezervasyon/tahsilat bilgileri; BT/çağrı merkezi hizmet sağlayıcılarından teknik/operasyonel kayıtlar.
  • Yetkili kamu kurumları ve platformları: Mevzuat gereğince zorunlu hallerde, T.C. Sağlık Bakanlığı ilgili birimleri ve ilgili bakanlıkların talimatları kapsamında doğrulama/denetim amaçlı zorunlu ölçüde bilgi temini/teyidi. İşbu halde EDB LTD STI, bilgi aktarım, temin ve teyidi sürecinde aracılık sıfatıyla hareket eder.
  • Çerezler: Çerezler yoluyla toplanan verilere ilişkin ayrıntılar ayrı Çerez Aydınlatma Metninde yer alır.

6. Hukuki Sebepler

  • Genel kişisel veriler (kimlik, iletişim, işlem, rezervasyon, ödeme, çağrı kaydı vb.) şu hukuki sebeplere dayanılarak işlenir.
  • Sözleşmenin kurulması/ifası (KVKK m.5/2-c): tekliflendirme, rezervasyon/biletleme, konaklama/ulaşım/transfer işlemleri, çağrı merkezi desteği, iade/iptal süreçleri.
  • Hukuki yükümlülük (KVKK m.5/2-ç): faturalama, muhasebe, saklama, çalışanların SGK bildirimi ve yetkili mercilere bilgi verilmesi.
  • Mevzuat ve denetim yükümlülükleri: C. Sağlık Bakanlığı ilgili amir birimleri ile Türkiye Cumhuriyeti’nin uluslararası sağlık alanındaki anlaşmaları kapsamında ilgili Bakanlıkların veya amir birimlerin talimatları uyarınca hak sahipliği/geri ödeme/doğrulama ve denetim taleplerinin karşılanması. 
  • Meşru menfaat (KVKK m.5/2-f): dolandırıcılık ve kötüye kullanımın önlenmesi, güvenlik, hizmet kalitesi ve iyileştirme çalışmaları; menfaat–hak dengesi gözetilerek.
  • Açık rıza (KVKK m.5/1): elektronik ticari ileti, tercihe bağlı pazarlama/analitik/profil bazlı işlemler.
  • T.C. Sağlık Bakanlığı’nın Sağlık Turizmi Mevzuatı kapsamında, aracı kuruluş olarak yetkilendirildiğimiz hallerde; ilgili mevzuat ve yetkilendirme şartlarının gerektirdiği ölçüde, yalnızca amacın gerektirdiği kişisel veriler işlenir.

6.1. Özel Nitelikli Kişisel Veriler – Sağlık Verileri

  • Esas dayanak: Açık rıza. Aracılık kapsamında; ön değerlendirme, uygun tesis/hekim yönlendirmesi, randevu, tercüme/lojistik koordinasyonu ve sözleşmeli sağlık kuruluşuna aktarım gibi işlemler açık rızanız ile yürütülür.
  • Acil ve hayatî hallerde ölçülülük ilkesine bağlı kalarak işlem yapılabilir.
  • KVKK m.6/3 açıklaması: Açık rıza aranmaksızın işleme istisnası, sır saklama yükümlüsü sağlık meslek mensupları/sağlık hizmet sunucuları ve yetkili kurum/kuruluşlar içindir. Aracı kuruluş olarak genel kuralımız açık rızadır; m.6/3 yalnızca işlemin fiilen sağlık hizmet sunucusu tarafından yürütüldüğü kısımlarda gündeme gelir.
  • Kanun veya yönetmeliklerde belirtilmiş denetim/teftiş talepleri: Yetkili kurumların talepleri hukuki yükümlülük kapsamında karşılanır; sağlık verilerinin işlenmesi/aktarımı yalnızca zorunlu asgari veri ile ve mevzuatın öngördüğü sınırlar içinde gerçekleştirilir. 
  • Rıza yöntemleri: Özel nitelikli kişisel verilerin işlenmesi için açık rıza; durumun gereğine göre elektronik ortamda (dijital form/elektronik onay) veya fiziki/ıslak imzalı yöntemlerle alınır ve ispat amacıyla uygun süreyle saklanır.

7. Veri İşleme Amaçları

  • Sağlık turizmi aracılık: ön değerlendirme, uygun tesis/hekimle eşleştirme, randevu/planlama, tercüman/lojistik koordinasyonu, evrak ve bilgi akışının yönetimi.
  • Turizm hizmetleri: uçak bileti, konaklama, transfer, tur/etkinlik ve paket tur, organizasyonlar, operasyon; bilet/voucher vb.. yetkili olunan tüm Turizm Hizmetleri işlemleri.
  • Müşteri ilişkileri: talep/şikâyet/itiraz yönetimi, memnuniyet çalışmaları, destek süreçleri.
  • Finans/operasyon: faturalama, mutabakat, denetim, risk ve uygunluk; ödeme/ön ödeme süreçlerinde, EDB LTD STI ve Sağlık Turizmi, Turizm Hizmetlerinin sağlayıcı taraf ve tedarikçilerine ait olan ödeme arayüzleri, güvenli ödeme bağlantıları. diğer tüm ödeme yöntemlerinin kullanımı süreçleri.
  • Güvenlik ve kötüye kullanımın önlenmesi; hukuki süreçlerin tesisi/kullanımı/korunması.

8. Verilerin Aktarılması

Alıcı/Alıcı grupları (amaçla sınırlı ve ölçülü):

  • Sözleşmeli sağlık hizmeti sunucuları (hastane/şehir hastanesi/özel hastane/vakıf hastanesi/tıp merkezi/poliklinik/hekim) – ön değerlendirme, randevu, yönlendirme ve tedavi sürecinin koordinasyonu için zorunlu veriler.
  • Tercümanlık/refakat hizmeti sağlayıcıları – iletişim ve süreç koordinasyonu için gerekli veriler.
  • Konaklama/Ulaşım/Lojistik/Organizasyon/Aktiviteler/Transfer sağlayıcıları (otel, havayolu, deniz ve karayolu, transfer, organizasyon, yeme içme, aktivite ve diğer tedarikçi firmaları) – rezervasyon/biletleme vb.. tüm Turizm Hizmetleri için zorunlu veriler.
  • Ödeme kuruluşları/bankalar/ödeme hizmet sağlayıcıları (PSP)tahsilat, iade ve faturalama için zorunlu veriler. (Yeni Eklendi)
  • BT/altyapı/hosting ve çağrı merkezi tedarikçileriyalnızca hizmet sunumu için gerekli teknik veriler.
  • Avukatlar ve danışmanlarhakların tesisi, kullanılması veya korunmasıyla sınırlı.
  • Yetkili kişi, kurum ve kuruluşlar (T.C. Sağlık Bakanlığı ilgili birimleri, SGK ve gerekli hâllerde ilgili Bakanlıklar/amir kurumlar dâhil)mevzuatın öngördüğü doğrulama/denetim/hak sahipliği/geri ödeme hallerinde zorunlu veriler. 
  • Yetkili vize acentaları – *talep halinde ve açık rızanız üzerine yalnızca medikal vize sürecine destek (ör. randevu/davet yazısı, tedavi planı teyidi) için asgari veri iletilir; kural olarak vize başvuru verileri tarafımızca aktarılmaz.
  • Çerez yoluyla aktarım olabilir; eşit seçenek ilkesi ve Çerez Politikasına bakınız.
  • Vize süreçleri hakkında açıklama: Vize hizmeti doğrudan tarafımızca sunulmaz; talep halinde yetkili vize acentasına yönlendirme yapılır. İlgili kişinin açık rızasıyla ve asgari veri ilkesi gözetilerek yalnızca medikal vize destek belgelerinin (örn. randevu/davet yazısı, tedavi planı teyidi) yetkili vize acentasına iletilmesi talep edilirse, aktarım yurt içi sınırlar içinde gerçekleştirilir.

Not : Özel sigorta şirketlerine veri aktarımı, talep üzerine ve poliçe işlemleriyle sınırlı olarak yapılabilir; sağlık verisi gerekiyorsa açık rıza alınabilir veya doğrudan yetkili sigorta firmasına yönlendirme yapılabilir (veri işlenmeden). Sigorta aracılığı kapsamı değiştiği takdirde, aydınlatma güncellenecektir.

8.1. Yurt Dışına Aktarım

Hizmetin doğası gereği (yurt dışındaki kullanıcılarla iletişim, bulut/iletişim altyapıları, yurt dışı rezervasyon sistemleri) yurt dışına aktarım söz konusu olabilir. Bu hallerde:

  • Yeterlilik kararı bulunan ülkelere aktarım veya uygun güvenceler (standart sözleşmeler, bağlayıcı şirket kuralları vb.) sağlanır.
  • Uygun güvence sağlanamadığı durumlarda açık rızanız alınır; alıcı/alıcı grubu, ülke ve veri kategorileri aydınlatılır.
  • Çerez yoluyla yurtdışına aktarım olabilir; eşit seçenek ilkesi ve Lütfen Çerez Politikasına bakınız”
  • Açık Rızanızın bulunduğu hallerde.

9. Saklama Süreleri ve İmha

Verileriniz, ilgili amaç ve mevzuat süreleri ile sınırlı olarak saklanır; süre dolduğunda silme, yok etme veya anonimleştirme yollarından uygun olanı uygulanır. Süreler Kişisel Veri Envanteri ve Saklama–İmha Politikası ile uyumludur.

10. Güvenlik Tedbirleri

Kişisel verilerin gizliliği, bütünlüğü ve erişilebilirliği için uygun idari ve teknik tedbirler uygulanır ve süreçler düzenli olarak gözden geçirilir. Özel nitelikli veriler (ör. sağlık verisi) için ek koruma önlemleri (erişim kısıtlama, asgari veri ilkesi ve mümkün olan hâllerde şifreleme) uygulanır. Veriler, saklama süreleri dolduğunda silinir, yok edilir veya anonimleştirilir. Olası bir kişisel veri ihlali durumunda mevzuat uyarınca (72 saat Kurul; ilgili kişilere en kısa sürede vb..) bildirim yükümlülükleri yerine getirilir.

11. İlgili Kişi Hakları ve Başvuru

KVKK m.11 kapsamındaki haklarınız:

  • Kişisel verinizin işlenip işlenmediğini öğrenme,
  • İşleme faaliyetlerine ilişkin bilgi talep etme,
  • Amacına uygun kullanılıp kullanılmadığını öğrenme,
  • Yurt içinde veya yurt dışında aktarıldığı alıcı/alıcı gruplarını bilme,
  • Verinin eksik/yanlış işlenmiş olması hâlinde düzeltilmesini isteme,
  • KVKK ve ilgili mevzuata uygun olarak silinmesini/yok edilmesini/anonimleştirilmesini isteme,
  • Bu işlemlerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
  • İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle aleyhinize bir sonucun ortaya çıkmasına itiraz etme,
  • Kanuna aykırı işleme sebebiyle zarar doğarsa tazminat talep etme.

Başvuru yolları:

  • E-posta: info@flymeditrust.com
  • Süre/Ücret: Başvurular 30 gün içinde sonuçlandırılır; ek maliyet doğarsa Tebliğ uyarınca makul ücret/ücretler talep edilebilir.

11.1. Unutulma Hakkı – Silme/Yok Etme/Anonimleştirme

Talebinizi info@flymeditrust.com adresine iletebilirsiniz. EDB LTD STI, veri sorumlusu olduğu hallerde, talebin gereğini yerine getirmek üzere verilerin aktarıldığı üçüncü kişileri uygun araçlarla bilgilendirir.

11.2. Başvuru Hakkı Kapsamı Dışında Kalan Haller

KVKK m.28 uyarınca; resmi istatistik/anonimleme, ifade özgürlüğü/sanat/tarih/edebiyat/bilim, önleyici–koruyucu–istihbari faaliyetler ve milli savunma, güvenlik, kamu güvenliği ve düzeni, tüm yargı süreçleri ve Milli Güvenliğinin söz konusu olduğu durumlarda ilgili Kanun/Yönetmelik/Mevzuat veya Amir Kurumun resmi talebi gibi hallerde  haklar sınırlandırılabilir.

12. Güncellemeler 

Mevzuat ve hizmetlerimizdeki değişiklikler doğrultusunda bu metin güncellenebilir; güncel sürüm web sitemizde yayımlanır. Aydınlatma amacı değiştiğinde, değişiklikten önce ayrıca bilgilendirme yapılır.