1. ART UND ZWECK DER POLITIK
Diese Richtlinie zur Speicherung und Vernichtung personenbezogener Daten (im Folgenden als „Richtlinie“ bezeichnet), DOCTOR TORUN – TOLGA TORUN (im Folgenden als „Praxis“ bezeichnet) als Datenverantwortlicher, das Gesetz zum Schutz personenbezogener Daten Nr. 6698 („KVKK“) und andere Gesetze Es wurde vorbereitet, die von der Praxis anzuwendenden Verfahren und Grundsätze für die Löschung, Vernichtung und Anonymisierung von Daten festzulegen.
Diese Richtlinie gilt für alle Abteilungen, Mitarbeiter, potenziellen Mitarbeiter, Kunden und Dritte, die an allen Prozessen beteiligt sind, bei denen die Praxis personenbezogene Daten verarbeitet.
2. DEFINITIONEN
Ausdrückliche Einwilligung: Einwilligung zu einem bestimmten Thema, basierend auf einer informierten Einwilligung und im freien Willen ausgedrückt.
Anonymisierung: Es ist unmöglich, personenbezogene Daten in irgendeiner Weise einer identifizierten oder identifizierbaren natürlichen Person zuzuordnen, auch nicht durch den Abgleich mit anderen Daten.
ZUelektronische Medien: Umgebungen, in denen personenbezogene Daten mit elektronischen Geräten erstellt, gelesen, geändert und geschrieben werden können.
ZUNicht-elektronische Medien: Alle schriftlichen, gedruckten, visuellen usw. außer elektronischen Medien. andere Umgebungen. Dienstleister: Eine natürliche oder juristische Person, die Dienstleistungen im Rahmen eines bestimmten Vertrags mit der Datenschutzbehörde erbringt.
Ansprechpartner: Die reale Person, deren personenbezogene Daten verarbeitet werden.
Verwandter Benutzer: Personen, die personenbezogene Daten innerhalb der Organisation des Datenverantwortlichen oder im Rahmen der vom Datenverantwortlichen erhaltenen Befugnisse und Anweisungen verarbeiten, mit Ausnahme der Person oder Einheit, die für die technische Speicherung, den Schutz und die Sicherung der Daten verantwortlich ist.
Zerstörung: Löschung, Vernichtung oder Anonymisierung personenbezogener Daten.
KAnun: Gesetz zum Schutz personenbezogener Daten Nr. 6698.
Vorschriften: Löschung, Zerstörung oder Löschung personenbezogener Daten, veröffentlicht im Amtsblatt vom 28. Oktober 2017
Verordnung zur Anonymisierung.
KPersönliche Daten: Alle Informationen über eine identifizierte oder identifizierbare natürliche Person.
KInventar zur Verarbeitung personenbezogener Daten: Tätigkeiten zur Verarbeitung personenbezogener Daten, die von Datenverantwortlichen in Abhängigkeit von ihren Geschäftsprozessen durchgeführt werden; Das Inventar erstellen sie, indem sie die personenbezogenen Daten mit den Zwecken und dem Rechtsgrund für die Verarbeitung personenbezogener Daten, der Datenkategorie, dem übermittelten Empfängerkreis und der betroffenen Personengruppe in Verbindung bringen und die maximale Aufbewahrungsfrist angeben, die für die Zwecke, für die personenbezogene Daten bestimmt sind, erforderlich ist verarbeitet werden, welche personenbezogenen Daten ins Ausland übertragen werden sollen und welche Maßnahmen zur Datensicherheit getroffen wurden.
KVerarbeitung personenbezogener DatenBeschaffen, Aufzeichnen, Speichern, Bewahren, Ändern, Umordnen, Offenlegen, Übertragen, Übernehmen, Bereitstellen, Klassifizieren oder Verwenden personenbezogener Daten durch ganz oder teilweise automatische oder nichtautomatische Mittel, sofern dies Teil eines Datenaufzeichnungssystems ist auf Daten durchgeführt werden, wie z. B. das Sperren.
KuRul: Ausschuss für den Schutz personenbezogener Daten
KAusschuss für den Schutz personenbezogener Daten: Der Ausschuss besteht aus relevanten Personen innerhalb des Unternehmens und wird vom Datenverantwortlichen geleitet. Er/sie ist befugt und verantwortlich, die erforderlichen Maßnahmen durchzuführen und die Prozesse zur Speicherung, Vernichtung und Verarbeitung personenbezogener Daten in Übereinstimmung mit dem Gesetz, der Richtlinie zur Speicherung und Vernichtung personenbezogener Daten und dem Verzeichnis personenbezogener Daten zu überwachen.
Besondere personenbezogene Daten: Daten über Rasse, ethnische Herkunft, politische Meinung, philosophische Überzeugung, Religion, Sekte oder andere Überzeugungen, Aussehen und Kleidung, Vereins-, Stiftungs- oder Gewerkschaftsmitgliedschaft, Gesundheit, Sexualleben, strafrechtliche Verurteilung und Sicherheitsmaßnahmen sowie biometrische und genetische Daten.
P.ZuRJodzerstörung: Der Vorgang der Löschung, Vernichtung oder Anonymisierung personenbezogener Daten, der in der Richtlinie zur Speicherung und Vernichtung personenbezogener Daten festgelegt ist und von Amts wegen in regelmäßigen Abständen durchgeführt wird, sofern alle im Gesetz festgelegten Bedingungen für die Verarbeitung personenbezogener Daten entfallen.
Registerinformationssystem für Datenverantwortliche: Das von der Präsidentschaft erstellte und verwaltete Informationssystem, das über das Internet zugänglich ist und das Datenverantwortliche bei der Anmeldung beim Register und anderen damit zusammenhängenden Transaktionen im Zusammenhang mit dem Register verwenden. Datenverantwortlicher: Als Datenverantwortlicher wird die natürliche oder juristische Person bezeichnet, die über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet und für die Einrichtung und Verwaltung des Datenerfassungssystems verantwortlich ist.
VERBIS: Registerinformationssystem für Datenverantwortliche
3. GRUNDSÄTZE
Die Praxis beachtet bei der Speicherung und Vernichtung personenbezogener Daten im Rahmen des Gesetzes und dieser Richtlinie die folgenden Grundsätze:
bewegt sich.
A) Bei der Speicherung, Löschung, Vernichtung und Anonymisierung personenbezogener Daten handeln wir in Übereinstimmung mit den in Artikel 4 des Gesetzes aufgeführten Grundsätzen, den im Rahmen von Artikel 12 des Gesetzes zu ergreifenden Maßnahmen, den einschlägigen Rechtsvorschriften, den Vorstandsbeschlüssen und dieser Richtlinie Text.
B) Alle Vorgänge im Zusammenhang mit der Löschung, Vernichtung und Anonymisierung personenbezogener Daten werden von der Praxis im Rahmen der Bestimmungen des Gesetzes, der einschlägigen Gesetzgebung und dieser Richtlinie aufgezeichnet und diese Aufzeichnungen werden gemäß Artikel 7/3 des Gesetzes 3 Jahre lang aufbewahrt Regelung unter Ausschluss sonstiger gesetzlicher Verpflichtungen.
C) Sofern der Vorstand keine gegenteilige Entscheidung trifft, entscheidet die Praxis über die geeignete Methode zur Löschung, Vernichtung oder Anonymisierung personenbezogener Daten.
D.) Wenn alle im Gesetz festgelegten Voraussetzungen für die Verarbeitung personenbezogener Daten entfallen, werden personenbezogene Daten von der Praxis oder auf Antrag der betreffenden Person gelöscht, vernichtet oder anonymisiert.
4. VORSICHTSMASSNAHMEN
Die Praxis stellt sicher, dass personenbezogene Daten sicher gespeichert werden und dass sie nicht unrechtmäßig verarbeitet oder abgerufen werden.
Sie ergreift alle erforderlichen technischen und administrativen Maßnahmen entsprechend den Merkmalen der betreffenden personenbezogenen Daten und der Umgebung, in der die Daten gespeichert und aufbewahrt werden, um dies zu verhindern.
4.1. Technische Maßnahmen
Die Praxis ergreift folgende geeignete technische Maßnahmen:
• Es verwendet sichere und mit der technologischen Entwicklung kompatible Systeme.
• Verwendet Sicherheitssysteme entsprechend den Umgebungen, in denen personenbezogene Daten gespeichert werden
• Der Zugriff auf die Umgebungen, in denen personenbezogene Daten gespeichert werden, ist eingeschränkt und nur autorisierten Personen ist der Zugriff auf diese Daten gestattet, beschränkt auf den Zweck der Speicherung personenbezogener Daten (Datenverantwortlicher und Ausschuss für den Schutz personenbezogener Daten sowie anderes vom Datenverantwortlichen bestimmtes Personal).
• Es verfügt über ausreichend Personal, um die Sicherheit der Umgebungen/Systeme zu gewährleisten, in denen personenbezogene Daten gespeichert werden.
• In Systemen, in denen personenbezogene Daten verarbeitet werden, kommen Maßnahmen zur Berechtigungsmatrix, Berechtigungskontrolle, Zugriffsprotokolle, Verschlüsselung, Firewall, Penetrationstests und Protokollaufzeichnungen zum Einsatz.
4.2. Verwaltungsmaßnahmen
Die Praxis ergreift folgende geeignete Verwaltungsmaßnahmen:
• Es werden Anstrengungen unternommen, um das Bewusstsein und die Sensibilisierung aller Praxismitarbeiter, die Zugang zu personenbezogenen Daten haben, für Informationssicherheit, personenbezogene Daten und Privatsphäre des Privatlebens zu schärfen.
• Um die Entwicklungen im Bereich des Schutzes personenbezogener Daten zu verfolgen und die erforderlichen Maßnahmen zu ergreifen, werden interne und externe Audits durchgeführt.
• Wenn personenbezogene Daten bei Bedarf an Dritte weitergegeben werden, werden die betreffenden Dritten verpflichtet, Protokolle zum Schutz personenbezogener Daten zu unterzeichnen, und es wird alle erforderliche Sorgfalt angewendet, um sicherzustellen, dass diese Dritten ihren Verpflichtungen aus diesen Protokollen nachkommen.
• Informations- und Einwilligungstexte wurden erstellt und von allen Eigentümern personenbezogener Daten unterzeichnet.
• Vertraulichkeitsverpflichtungen wurden erstellt und unterzeichnet.
• Das Verzeichnis der Verarbeitung personenbezogener Daten wurde erstellt.
• Diese Lagerungs- und Entsorgungsrichtlinie wurde erstellt und veröffentlicht.
• Die Richtlinie zu Datenschutzverletzungen wurde erstellt.
4.3. Interne Revision
Artikel 12 des Gesetzes besagt, dass die Bestimmungen des Gesetzes und dieser Richtlinie von der Einhaltung der Verpflichtungen zur Datensicherheit abhängig sind.
Interne Unternehmensprüfungen hinsichtlich der Umsetzung der Bestimmungen werden bei erforderlicher Aktualisierung sofort, in jedem Fall jedoch alle 6 Monate durchgeführt.
Diese Prüfungen werden vom Datenverantwortlichen und dem Ausschuss für den Schutz personenbezogener Daten durchgeführt. Wenn als Ergebnis dieser Prüfungen ein Mangel oder Mangel in Bezug auf Pflichten und/oder ein Verstoß gegen die gesetzlichen Bestimmungen festgestellt wird, wird dieser Mangel oder Mangel festgestellt wird sofort korrigiert.
Wenn festgestellt wird, dass personenbezogene Daten, für die die Praxis verantwortlich ist, während des Audits oder auf andere Weise von anderen auf illegale Weise erlangt wurden, wird diese Situation der betreffenden Partei und dem Personal Data Protection Board von der Praxis so schnell wie möglich mitgeteilt.
5. AUFNAHMEMEDIEN
Die Praxis verwendet mit dieser Richtlinie die folgenden Umgebungen, die personenbezogene Daten enthalten und
Stimmt der Aufnahme personenbezogener Daten in andere Medien zu, die im Rahmen der Richtlinie erscheinen können:
• Computer/Server/Systeme, die von der Praxis zugewiesen und/oder im Namen der Praxis genutzt werden
• Netzwerkgeräte
• Gemeinsam genutzte/nicht gemeinsam genutzte Festplattenlaufwerke, die zum Speichern von Daten im Netzwerk verwendet werden
• Cloud-Systeme
• Mobiltelefone und alle Lagerbereiche
• Papier
• Peripheriegeräte wie Drucker, Fingerabdruckleser
• Optische Datenträger
• Archiv
• Flash-Speicher
• Kameraaufnahmen
6. Vernichtung personenbezogener Daten
6.1. Gründe für Lagerung und Entsorgung
Falls alle in den Artikeln 5 und 6 des Gesetzes genannten Bedingungen für die Verarbeitung personenbezogener Daten entfallen,
Personenbezogene Daten werden von der Praxis von Amts wegen oder auf Antrag der betreffenden Person gelöscht, vernichtet oder anonymisiert.
Die in den Artikeln 5 und 6 des Gesetzes aufgeführten Gründe lauten wie folgt:
• Klar in den Gesetzen vorgesehen
• Es ist zum Schutz des Lebens oder der körperlichen Unversehrtheit der Person oder einer anderen Person erforderlich, die ihre Einwilligung wegen tatsächlicher Unmöglichkeit nicht ausdrücken kann oder deren Einwilligung keine Rechtswirksamkeit erlangt.
• Es ist erforderlich, personenbezogene Daten der Vertragsparteien zu verarbeiten, sofern diese in unmittelbarem Zusammenhang mit der Begründung oder Durchführung eines Vertrages stehen.
• Der Datenverantwortliche muss seiner gesetzlichen Verpflichtung nachkommen.
• Es wurde von der betroffenen Person öffentlich gemacht.
• Die Datenverarbeitung ist für die Begründung, Ausübung oder den Schutz eines Rechts zwingend erforderlich.
6.2. Zerstörungsmethoden
Die Praxis speichert die von ihr erhaltenen personenbezogenen Daten gemäß KVKK und den einschlägigen Rechtsvorschriften im Rahmen dieser Richtlinie.
Sollten jedoch die in den Gesetzen und Verordnungen aufgeführten Gründe für die Verarbeitung personenbezogener Daten wegfallen oder auf Antrag der betreffenden Person, die der Dateneigentümer ist, erfolgen, werden diese von Amts wegen mit den unten angegebenen Techniken gelöscht, vernichtet oder anonymisiert , innerhalb der durch das Gesetz, die einschlägigen Rechtsvorschriften und diese Richtlinie festgelegten Fristen. Die von der Praxis eingesetzten Lösch-, Vernichtungs- und Anonymisierungstechniken sind wie folgt:
6.2.1. Löschmethoden
• Löschmethoden für personenbezogene Daten, die in der Cloud und der lokalen digitalen Umgebung gespeichert sind, bestehen aus der sicheren Löschung aus der Software. Während Daten, die ganz oder teilweise automatisiert verarbeitet und in digitalen Umgebungen gespeichert werden, gelöscht werden, wird durch Methoden sichergestellt, dass den betreffenden Nutzern kein Zugriff und keine Weiterverwendung gewährt wird. Kurz gesagt, in der Cloud oder in der lokalen digitalen Umgebung gespeicherte personenbezogene Daten werden auf digitalen Befehl gelöscht, so dass sie nicht mehr wiederhergestellt werden können, und auf die auf diese Weise gelöschten Daten kann nicht erneut zugegriffen werden.
Wenn jedoch die Löschung personenbezogener Daten den Zugriff auf andere Daten verhindert und die Nutzung dieser Daten unmöglich macht, gelten personenbezogene Daten als gelöscht, wenn die folgenden Bedingungen erfüllt sind und die personenbezogenen Daten in einer Weise archiviert werden, mit der sie nicht in Verbindung gebracht werden können die Person.
• Die Methode zum Löschen personenbezogener Daten auf Papier ist das Schwärzen. Personenbezogene Daten in den gedruckten Medien werden im Blackout-Verfahren gelöscht. Das Schwärzen ist eine Methode zur Verhinderung einer zweckentfremdeten Nutzung, indem die personenbezogenen Daten auf dem betreffenden Dokument physisch ausgeschnitten und, wann immer möglich, aus dem Dokument entfernt werden. In Fällen, in denen dies nicht möglich ist, werden sie durch Verwendung von fester Tinte unsichtbar gemacht bzw. abgedeckt Es kann nicht rückgängig gemacht und nicht mit technologischen Lösungen gelesen werden.
6.2.2. Zerstörungsmethoden
Um in gedruckten Medien gespeicherte personenbezogene Daten zu vernichten, müssen diese mithilfe von Aktenvernichtungsmaschinen physisch vernichtet werden.
Es muss zerstört werden, damit es nicht zusammengebracht werden kann.
Folgende Methoden können zur Vernichtung personenbezogener Daten in digitalen und Cloud-Umgebungen eingesetzt werden: Physische Zerstörung: Bei dieser Methode handelt es sich um eine physische Zerstörung, beispielsweise durch Schmelzen, Verbrennen oder Pulverisieren des optischen und magnetischen Datenträgers, der personenbezogene Daten enthält. Durch das Schmelzen, Verbrennen, Pulverisieren oder Durchlaufen einer Metallmühle der betreffenden Medien werden personenbezogene Daten unzugänglich.
Entmagnetisierung: Dabei handelt es sich um eine Methode, die Daten auf magnetischen Medien unleserlich zu verfälschen, indem sie stärkeren Magnetfeldern ausgesetzt und durch spezielle Geräte geleitet werden. Wenn diese Methode jedoch fehlschlägt und die Daten auf dem Medium noch lesbar sind, kann das Medium physisch zerstört werden und der Zerstörungsprozess ist abgeschlossen.
Überschreiben: Bei dieser Methode handelt es sich um eine Datenvernichtungsmethode, die es unmöglich macht, alte Daten zu lesen und wiederherzustellen, indem zufällige Daten, die aus Nullen und Einsen bestehen, mit einer speziellen Software mindestens sieben Mal auf magnetische Medien und wiederbeschreibbare optische Medien geschrieben werden.
Sicheres Löschen aus der Software: Bei dieser Methode werden personenbezogene Daten mit einem digitalen Befehl gelöscht, so dass sie nicht mehr wiederhergestellt werden können.
6.2.3. Anonymisierung
Anonymisierung bedeutet, dass personenbezogene Daten auch durch den Abgleich mit anderen Daten in keiner Weise spezifisch oder identifizierbar sind.
Es macht es unmöglich, es einer realen Person zuzuordnen.
Die Verfahren und Grundsätze bezüglich der Techniken der Praxis zur Anonymisierung personenbezogener Daten sind nachstehend aufgeführt:
• Nach der Zusammenführung der mit der Methode der Extraktion von Variablen und deskriptiven Daten gesammelten Daten wird der vorhandene Datensatz anonymisiert, indem die „stark deskriptiven“ Variablen aus dem erstellten Datensatz entfernt werden. Beispielsweise kann eine Anonymisierung dadurch erreicht werden, dass stark beschreibende Datengruppen aus der Umgebung, in der personenbezogene Daten gespeichert sind (Dokumente, Tabellen usw.), entfernt werden.
• Bei der Methode des regionalen Verbergens handelt es sich um den Prozess des Löschens potenziell eindeutiger Informationen über die außergewöhnlichen Daten in der Datentabelle, wobei die personenbezogenen Daten insgesamt anonym sind.
• Mit der Unter- und Obergrenzen-Kodierungsmethode werden die Bereiche für eine bestimmte Variable definiert und kategorisiert. Beispielsweise beträgt die Anzahl der Arbeitsjahre des an einem Arbeitsplatz beschäftigten Personals weniger als 5 Jahre und 5 bis 5 Jahre.
Es kann durch die Kombination „sehr erfahren“, „erfahren“ oder „unerfahren“ anonymisiert werden, je nachdem, ob es zwischen 10 Jahren und mehr als 10 Jahren liegt.
• Dabei handelt es sich um den Prozess, bei dem personenbezogene Daten vieler Personen mithilfe der Generalisierungsmethode zusammengeführt, charakteristische Informationen entfernt und in statistische Daten umgewandelt werden.
• Bei der Daten-Hashing- und Korruptionsmethode werden direkte oder indirekte Identifikatoren in personenbezogenen Daten mit anderen Werten verglichen oder verfälscht, wodurch ihre Beziehung zur betreffenden Person unterbrochen wird und sie ihre identifizierenden Eigenschaften verlieren.
6.3. Speicherfristen
Die Praxis muss die gesetzlichen Aufbewahrungs- und Vernichtungsfristen einhalten, die im Verzeichnis der personenbezogenen Daten, in dieser Richtlinie und in den einschlägigen Rechtsvorschriften festgelegt sind.
Die darin enthaltenen physischen und digitalen Daten werden regelmäßig vernichtet. Die Praxis löscht, vernichtet oder anonymisiert personenbezogene Daten im ersten regelmäßigen Vernichtungsprozess nach dem Datum, an dem die Verpflichtung zur Löschung, Vernichtung oder Anonymisierung der personenbezogenen Daten, für die sie gemäß dem Verzeichnis der personenbezogenen Daten, dem Gesetz, den einschlägigen Rechtsvorschriften und diesem verantwortlich ist, erfüllt wurde Politik entsteht.
6.4. Zerstörungsperioden
Löschung der personenbezogenen Daten, für die die Praxis gemäß dem Personendatenverzeichnis, dem Gesetz, den einschlägigen Rechtsvorschriften und dieser Richtlinie verantwortlich ist,
Sie löscht, vernichtet oder anonymisiert personenbezogene Daten im regelmäßigen Vernichtungsprozess nach dem Datum, an dem die Verpflichtung zur Vernichtung oder Anonymisierung entsteht.
Die betroffene Person, deren personenbezogene Daten verarbeitet werden, kann gemäß Artikel 13 des Gesetzes bei der Praxis die Löschung ihrer personenbezogenen Daten beantragen.
oder seine Vernichtung verlangen.
Wenn die betreffende Person einen solchen Antrag stellt und alle Voraussetzungen für die Verarbeitung personenbezogener Daten beseitigt sind, wird die Praxis diese innerhalb von 30 Tagen nach Eingang des Antrags unter Angabe des Grundes mit der geeigneten Vernichtungsmethode löschen, vernichten oder anonymisieren. Wenn jedoch nicht alle Voraussetzungen für die Verarbeitung personenbezogener Daten beseitigt sind, kann dieser Antrag von der Praxis unter Angabe der Gründe gemäß Artikel 13 Absatz 3 des Gesetzes abgelehnt werden, und die Ablehnungsantwort wird an den Betroffenen weitergeleitet Person spätestens innerhalb von 30 Tagen.
wird Sie schriftlich oder elektronisch benachrichtigen.
Die Praxis löscht, vernichtet oder anonymisiert personenbezogene Daten, deren Verarbeitungsbedingungen durch einen in dieser Richtlinie festgelegten Prozess beseitigt wurden, der von Amts wegen in wiederkehrenden Abständen durchgeführt wird. Periodische Zerstörungsprozesse beginnen erstmals am 14. FEBRUAR 2024 und wiederholen sich alle 6 (sechs) Monate.
7. DATENSCHUTZRICHTLINIE
Die Praxis verwendet personenbezogene Daten im Rahmen ihrer Betriebszwecke und für den zur Erfüllung dieses Zwecks erforderlichen Zeit- und Arbeitsaufwand.
Es speichert die personenbezogenen Daten mit der Praxis während der Fortführung der Geschäftsbeziehung mit seinem Partner/Lieferanten/Berater/Prüfer oder einem Dritten und/oder begrenzt auf den in der Gesetzgebung festgelegten Zeitraum und kann die personenbezogenen Daten gegebenenfalls an Dritte weitergeben Sie nutzt zur Erfüllung des jeweiligen Zweckversprechens die Dienste von Drittanbietern
Darin heißt es, dass sie dafür sorgen wird, dass die betreffenden Dritten die Bestimmungen des Gesetzes einhalten.
Die Praxis ist verpflichtet, im Einklang mit den Gesetzen und Vorschriften technische und administrative Maßnahmen zu ergreifen, um den unbefugten Zugriff auf personenbezogene Daten durch ihr Personal oder Dritte sowie die Nutzung personenbezogener Daten für andere Zwecke als die Übermittlung zu verhindern.
8) DURCHSETZUNG
Diese Richtlinie tritt mit dem Datum der Veröffentlichung in Kraft.
Im Rahmen der Praxis werden personenbezogene Daten gespeichert, um die notwendigen Maßnahmen zur Einhaltung des Gesetzes zu überwachen und zu verwalten.
Der Schutzausschuss wurde gegründet.
Auszuwählende Mitarbeiter sind Büromanagement, Ärzte, Buchhaltungs- und Finanzabteilung sowie Personalabteilung
Sie besteht aus mindestens zwei (2) Personen.