تتولى شركة Medlife24 Sağlık Teknolojileri Ltd. Şti. ("Medlife24" أو "نحن") تشغيل المنصة المتاحة على medlife24.com ("المنصة"). تصف سياسة الخصوصية هذه فئات البيانات الشخصية التي نعالجها، والأغراض التي نعالجها من أجلها، والحقوق المتاحة للأفراد الذين نحتفظ ببياناتهم.
تسري هذه السياسة على: (أولاً) العيادات وممثليها المفوضين الذين يسجلون حسابات على المنصة ("مستخدمو العيادات")، و(ثانياً) الزوار الذين يصلون إلى المنصة دون تسجيل ("الزوار"). تحمل المصطلحات المحددة الواردة في شروط الاستخدام الخاصة بنا المعنى ذاته هنا.
1. هوية المتحكم في البيانات
المتحكم في البيانات المسؤول عن معالجة البيانات الشخصية الموصوفة في هذه السياسة هو:
Medlife24 Sağlık Teknolojileri Ltd. Şti.
المقر المسجل: Inönü Mah. 234 Sok. No: 30 — 45200 Akhisar/Manisa
رقم السجل التجاري: 123456
للتواصل: privacy@medlife24.com
بالنسبة للمسائل الخاضعة للائحة الأوروبية العامة لحماية البيانات (اللائحة (EU) 2016/679، "GDPR")، يُوجَّه المراسلات إلى جهة الاتصال المذكورة أعلاه.
2. فئات البيانات الشخصية المعالَجة
نعالج الفئات التالية من البيانات الشخصية:
2.1 بيانات مستخدمي العيادات
- بيانات التعريف: الاسم الكامل، والمنصب داخل العيادة، والصورة (عند تقديمها طوعاً)
- بيانات الاتصال: عنوان البريد الإلكتروني التجاري، ورقم الهاتف التجاري، والعنوان التجاري
- بيانات الحساب: بيانات اعتماد المصادقة المشفَّرة، وتاريخ إنشاء الحساب، وطوابع وقت تسجيل الدخول
- البيانات التشغيلية للعيادة: اسم الكيان القانوني، وأرقام التسجيل، ومراجع الاعتماد (بما في ذلك أرقام تسجيل USHAŞ)، وعروض الخدمات، ومعلومات الأسعار، وصور مرافق العيادة
2.2 بيانات الزوار
- البيانات التقنية: عنوان IP، ونوع المتصفح وإصداره، ونظام التشغيل، ومعرّفات الجهاز، وعنوان URL المُحيل
- بيانات الاستخدام: الصفحات التي تم الوصول إليها، ومدة الجلسة، وأنماط التصفح، واستعلامات البحث المُدخَلة على المنصة
- بيانات ملفات تعريف الارتباط: كما هو موضح تفصيلياً في سياسة ملفات تعريف الارتباط الخاصة بنا
2.3 بيانات حساب المريض
عند تسجيل المريض لحساب على المنصة، نقوم بجمع وتخزين الفئات التالية من بيانات الأسماء، وكل منها يخدم غرضاً محدداً ومحدوداً:
- الاسم الكامل — الاسم القانوني للمريض كما أُدخل عند التسجيل. يُخزَّن للوفاء بالتزامات الإفصاح بموجب المادة 10 من KVKK. لا يمكن الوصول إليه إلا لمسؤولي المنصة؛ ولا يُعرض علناً أبداً.
- اسم العرض — اسم يختاره المريض للاستخدام داخل لوحة التحكم الخاصة به بعد المصادقة. يظهر للمريض المسجَّل الدخول فقط؛ ولا يكون مرئياً للمستخدمين الآخرين أو الزوار غير المسجَّلين.
- الاسم المستعار — معرِّف عام فريد يختاره المريض. يُعرض إلى جانب أي مراجعات يرسلها المريض. مرئي لجميع زوار المنصة.
يعكس الفصل بين هذه الحقول الثلاثة مبدأ تحديد الغرض بموجب المادة 5(1)(b) من GDPR والمادة 4(2) من KVKK: تُعالَج كل نقطة بيانات فقط بالقدر الضروري لغرضها المحدد.
2.4 بيانات المراسلات
المراسلات بينك وبين Medlife24 (بما في ذلك طلبات الدعم والشكاوى والاستفسارات المُقدَّمة عبر نماذج المنصة أو البريد الإلكتروني)، إلى جانب أي مرفقات.
لا نعالج السجلات الطبية للمرضى، أو التاريخ السريري، أو معلومات الوصفات الطبية، أو أي بيانات صحية أخرى للمرضى. المنصة عبارة عن خدمة إدراج؛ وتجري التفاعلات السريرية بشكل مباشر بين المرضى والعيادات خارج المنصة.
3. الأسس القانونية للمعالجة
نعالج البيانات الشخصية على الأسس القانونية الموضحة أدناه.
| نشاط المعالجة | الأساس القانوني (GDPR المادة 6) | الأساس المعادل (KVKK المادة 5) |
|---|---|---|
| تقديم خدمات الحساب | تنفيذ العقد (6(1)(b)) | التنفيذ الصريح للعقد (5(2)(c)) |
| التحقق من تسجيل العيادة | الالتزام القانوني (6(1)(c)) | الامتثال للالتزام القانوني (5(2)(ç)) |
| تحليلات المنصة | المصالح المشروعة (6(1)(f)) | المصالح المشروعة (5(2)(f)) |
| الاتصالات التسويقية (عند الموافقة) | الموافقة (6(1)(a)) | الموافقة الصريحة (5(1)) |
| الوقاية من الاحتيال وأمان المنصة | المصالح المشروعة (6(1)(f)) | المصالح المشروعة (5(2)(f)) |
حيثما نعتمد على المصالح المشروعة، أجرينا تقييم موازنة وخلصنا إلى أن تلك المصالح لا تتغلب عليها مصالح صاحب البيانات أو حقوقه أو حرياته. يتوفر ملخص هذه التقييمات عند الطلب.
4. أغراض المعالجة
تُعالَج البيانات الشخصية للأغراض التالية:
- إنشاء حسابات مستخدمي العيادات وإدارتها؛
- عرض قوائم العيادات على الأجزاء العامة من المنصة؛
- التحقق من استيفاء مستخدمي العيادات لمعايير الأهلية المنصوص عليها في شروط الاستخدام الخاصة بنا، بما في ذلك التحقق من سجلات USHAŞ المتاحة للعموم؛
- معالجة مدفوعات الاشتراك وإدارة علاقات الفوترة (تُعالَج بيانات بطاقات الدفع بواسطة iyzico Ödeme Hizmetleri A.Ş. ولا تحتفظ بها Medlife24)؛
- الرد على طلبات الدعم وإدارة الشكاوى؛
- الكشف عن الاحتيال وحوادث الأمان وانتهاكات شروط الاستخدام ومنعها ومعالجتها؛
- إنتاج تحليلات مجمَّعة وغير محددة الهوية بشأن استخدام المنصة؛
- الامتثال للالتزامات القانونية بموجب القانون التركي، بما في ذلك الالتزامات الناشئة عن قانون حماية البيانات الشخصية رقم 6698 ("KVKK") والتشريعات التجارية والضريبية المعمول بها.
5. الإفصاح عن البيانات الشخصية
نُفصح عن البيانات الشخصية فقط كما هو موضح أدناه.
مزودو الخدمات (معالجو البيانات). نستعين بالمعالجين التاليين، وكل منهم يعمل بموجب اتفاقية معالجة بيانات مكتوبة ويعالج البيانات وفقاً لتعليماتنا الموثقة حصراً:
- Supabase Inc. (البنية التحتية لقواعد البيانات والمصادقة) — مستضافة في منطقة فرانكفورت (EU)
- Vercel Inc. (استضافة التطبيقات وتوصيل المحتوى) — تجري المعالجة بموجب البنود التعاقدية القياسية للاتحاد الأوروبي
- Resend, Inc. (تسليم البريد الإلكتروني التعاملي)
- iyzico Ödeme Hizmetleri A.Ş. (معالجة مدفوعات الاشتراك) — تعمل بوصفها متحكماً مستقلاً في بيانات بطاقات الدفع
- Google Ireland Ltd. (مصادقة Google OAuth) — تجري المعالجة بموجب البنود التعاقدية القياسية للاتحاد الأوروبي
- Cloudflare, Inc. (حماية البوتات عبر Turnstile، ونظام DNS) — تجري المعالجة بموجب البنود التعاقدية القياسية للاتحاد الأوروبي
الإفصاح القانوني. يجوز لنا الإفصاح عن البيانات الشخصية حيثما كان مطلوباً ذلك بموجب القانون التركي، أو بأمر صادر عن محكمة تركية أو سلطة إدارية مختصة، أو حيثما كان الإفصاح ضرورياً لممارسة المطالبات القانونية أو الدفاع عنها.
معاملات الشركات. في حالة الاندماج أو الاستحواذ أو إعادة الهيكلة أو بيع كل أعمالنا أو جزء منها، قد تُنقل البيانات الشخصية إلى الطرف المقابل ذي الصلة. سيُخطَر الأفراد المتضررون وفقاً للقانون المعمول به.
لا نبيع البيانات الشخصية. لا نشارك البيانات الشخصية مع شبكات الإعلانات. لا نمارس أي نوع من أنواع الاتجار بالبيانات.
6. نقل البيانات الدولي
تُعالَج البيانات الشخصية أساساً داخل المنطقة الاقتصادية الأوروبية. حيثما تحدث عمليات نقل إلى معالجين خارج المنطقة الاقتصادية الأوروبية، نعتمد على:
- البنود التعاقدية القياسية للمفوضية الأوروبية (القرار 2021/914)؛
- قرارات الكفاءة الصادرة عن المفوضية الأوروبية، عند الاقتضاء؛ أو
- أي آلية نقل أخرى معترف بها بموجب المادة 46 من GDPR.
بالنسبة لعمليات النقل الخاضعة لـ KVKK، نعتمد على المادة 9 من KVKK وأي موافقة صريحة يتم الحصول عليها عند الاقتضاء.
7. الاحتفاظ
نحتفظ بالبيانات الشخصية للفترات المحددة أدناه، وبعدها يُحذف أو يُجهَّل البيانات:
| فئة البيانات | فترة الاحتفاظ |
|---|---|
| بيانات الحساب النشط (مستخدمو العيادات وحسابات المرضى) | مدة الحساب، بالإضافة إلى 30 يوماً |
| بيانات الحساب غير النشط | 12 شهراً بعد آخر تسجيل دخول، ثم يُحذف إلا إذا كان مطلوباً الاحتفاظ به |
| سجلات الفوترة والضرائب | 10 سنوات (وفقاً لقانون الإجراءات الضريبية التركي رقم 213) |
| مراسلات الدعم | 3 سنوات من تاريخ الحل |
| سجلات الخادم | 90 يوماً |
| بيانات التحليلات | مجمَّعة؛ لا يُحتفظ بها على مستوى الأفراد |
حيثما يستلزم التزام قانوني الاحتفاظ بسجلات معينة لفترة أطول، نحتفظ فقط بالبيانات الضرورية للوفاء بذلك الالتزام.
8. حقوق أصحاب البيانات
بموجب GDPR، يتمتع الأفراد المقيمون في المنطقة الاقتصادية الأوروبية بالحقوق التالية:
- حق الوصول إلى البيانات الشخصية التي نحتفظ بها عنهم (المادة 15)؛
- حق تصحيح البيانات غير الدقيقة أو غير المكتملة (المادة 16)؛
- حق المحو ("الحق في النسيان") في ظروف محددة (المادة 17)؛
- حق تقييد المعالجة في ظروف محددة (المادة 18)؛
- حق نقل البيانات فيما يتعلق بالبيانات التي قدمها صاحب البيانات (المادة 20)؛
- حق الاعتراض على المعالجة المُنفَّذة على أساس المصالح المشروعة (المادة 21)؛
- حق عدم الخضوع للقرارات المستندة حصراً إلى المعالجة الآلية التي تُنتج آثاراً قانونية (المادة 22)؛ و
- حق تقديم شكوى إلى سلطة رقابية.
بموجب KVKK، يتمتع الأفراد المقيمون في تركيا بالحقوق المنصوص عليها في المادة 11 من ذلك القانون، كما هو موضح بمزيد من التفصيل في بيان امتثال KVKK الخاص بنا.
لممارسة أي حق موضح في هذا القسم، تواصل مع privacy@medlife24.com. سنؤكد استلام الطلب خلال 7 أيام تقويمية ونرد بشكل جوهري خلال 30 يوماً تقويمياً. في حالة الطلبات الأكثر تعقيداً أو حيثما تلقينا طلبات متعددة من الشخص ذاته، يجوز لنا تمديد هذه المدة بـ 60 يوماً تقويمياً إضافية مع إشعار.
قد نطلب معلومات معقولة للتحقق من هوية مقدم الطلب قبل معالجة الطلب.
9. التدابير الأمنية
قمنا بتطبيق تدابير تقنية وتنظيمية مصممة لحماية البيانات الشخصية من الوصول غير المصرح به والتعديل والإفصاح والإتلاف. وتشمل هذه التدابير:
- تشفير البيانات أثناء النقل (TLS 1.3) وأثناء التخزين (AES-256)؛
- ضوابط الوصول المستندة إلى الأدوار ومبدأ الامتياز الأدنى؛
- المصادقة متعددة العوامل للوصول الإداري؛
- اختبار أمني منتظم للبنية التحتية للمنصة؛
- إجراءات الاستجابة للحوادث الموثقة؛
- التزامات أمنية تعاقدية مفروضة على معالجينا.
لا يوجد نظام أمني محصَّن تماماً. في حالة وقوع اختراق للبيانات الشخصية من المرجح أن يشكل خطراً على حقوق وحريات الأشخاص الطبيعيين، سنُخطر السلطة الرقابية المختصة خلال 72 ساعة من علمنا بالاختراق، وفقاً للمادة 33 من GDPR. حيثما كان الاختراق من المرجح أن يُفضي إلى مخاطر عالية، سيُخطَر الأفراد المتضررون دون تأخير لا مبرر له.
10. ملفات تعريف الارتباط والتقنيات المماثلة
تستخدم المنصة ملفات تعريف الارتباط والتقنيات المماثلة. تتوفر معلومات تفصيلية حول كل فئة من فئات ملفات تعريف الارتباط، بما في ذلك تحديد المزود والغرض وفترة الاحتفاظ، في سياسة ملفات تعريف الارتباط الخاصة بنا.
11. التعديلات على هذه السياسة
قد تُعدَّل هذه السياسة من وقت لآخر. حيثما تؤثر التعديلات بشكل جوهري على حقوق أصحاب البيانات، سنوفر إشعاراً بالبريد الإلكتروني لمستخدمي العيادات المسجَّلين قبل 30 يوماً تقويمياً على الأقل من دخول التعديلات حيز التنفيذ. تدخل التعديلات غير الجوهرية (بما في ذلك تصحيح الأخطاء المطبعية وتوضيح الأحكام القائمة) حيز التنفيذ فور نشرها.
يُشير تاريخ "آخر تحديث" في أعلى هذه السياسة إلى وقت إجراء آخر مراجعة.
12. التواصل
للاستفسارات المتعلقة بسياسة الخصوصية هذه أو لممارسة أي حق موضح في القسم 8، تواصل مع:
البريد الإلكتروني: privacy@medlife24.com
العنوان البريدي: Medlife24 Sağlık Teknolojileri Ltd. Şti., Inönü Mah. 234 Sok. No: 30, 45200 Akhisar/Manisa, Türkiye
يمكن أيضاً توجيه الشكاوى المتعلقة بمعالجتنا للبيانات الشخصية إلى:
- هيئة حماية البيانات الشخصية التركية (Kişisel Verileri Koruma Kurumu) على kvkk.gov.tr
- السلطة الرقابية المختصة في دولة الإقامة (للأفراد المقيمين في المنطقة الاقتصادية الأوروبية)