سياسة حماية ومعالجة البيانات الشخصية

١. غرض ونطاق السياسة
إن معالجة البيانات الشخصية وحمايتها بما يتوافق مع القانون أمر ذو أهمية كبيرة لمسؤول البيانات:

• اسم/لقب مسؤول البيانات: الأستاذ الدكتور عطا جان

• عنوان مسؤول البيانات: İnönü, Nizamiye Cd. No:9 D:No:1, 34373 Şişli/İstanbul

• هاتف مسؤول البيانات: 0536 576 66 66

• البريد الإلكتروني لمسؤول البيانات: atababay@yahoo.com

• الموقع الإلكتروني لمسؤول البيانات: https://dratacan.com/

تم إعداد سياسة معالجة وحماية البيانات الشخصية هذه (“السياسة”) لضمان توافق أنشطة معالجة البيانات الشخصية مع قانون حماية البيانات الشخصية رقم 6698 واللوائح والتعاميم والتعليمات الصادرة في إطار هذا القانون، ولجعل الشركة متوافقة كليًا مع تشريعات حماية البيانات الشخصية. كما تحدد هذه السياسة المبادئ والقواعد والإجراءات المتعلقة بعمليات معالجة البيانات الشخصية وحفظها وضمان أمنها.

٢. التعريفات
من المصطلحات القانونية والفنية الواردة في هذه السياسة:

• الموافقة الصريحة: الموافقة المعلنة بإرادة حرة والمبنية على إطلاع مسبق والمتعلقة بموضوع محدد.

• المستخدم المعني: الأشخاص الذين يعالجون البيانات الشخصية داخل تنظيم مسؤول البيانات أو بناءً على تفويض وتعليمات منه، باستثناء الشخص أو الوحدة المسؤولة تقنيًا عن تخزين البيانات وحمايتها ونسخها احتياطيًا.

• الإتلاف: حذف البيانات الشخصية أو إتلافها أو جعلها مجهولة الهوية.

• القانون: قانون حماية البيانات الشخصية رقم 6698 بتاريخ 24.03.2016.

• بيئة التسجيل: أي بيئة تحتوي على البيانات الشخصية التي تتم معالجتها كليًا أو جزئيًا بوسائل آلية أو بوسائل غير آلية شريطة أن تكون جزءًا من نظام تسجيل بيانات.

• البيانات الشخصية: جميع المعلومات المتعلقة بشخص طبيعي محدد أو قابل للتحديد.

• معالجة البيانات الشخصية: أي عملية يتم تنفيذها على البيانات، مثل الحصول عليها كليًا أو جزئيًا بوسائل آلية أو غير آلية شريطة أن تكون جزءًا من نظام تسجيل بيانات، تسجيلها، تخزينها، حفظها، تعديلها، إعادة تنظيمها، الإفصاح عنها، نقلها، الاستحواذ عليها، جعلها متاحة، تصنيفها أو منع استخدامها.

• حذف البيانات الشخصية: جعل البيانات الشخصية غير قابلة للوصول أو الاستخدام من قبل المستخدمين المعنيين بأي شكل من الأشكال.

• إتلاف البيانات الشخصية: جعل البيانات الشخصية غير قابلة للوصول أو الاسترجاع أو الاستخدام من قبل أي شخص بأي شكل من الأشكال.

• المجلس: مجلس حماية البيانات الشخصية.

• البيانات الشخصية ذات الطبيعة الخاصة: البيانات المتعلقة بالعرق، الأصل العرقي، الرأي السياسي، المعتقد الفلسفي، الدين، المذهب أو غيره من المعتقدات، المظهر واللباس، العضوية في الجمعيات أو المؤسسات أو النقابات، الصحة، الحياة الجنسية، الإدانات الجنائية والتدابير الأمنية، بالإضافة إلى البيانات البيومترية والجينية.

• الإتلاف الدوري: عملية الحذف أو الإتلاف أو إخفاء الهوية التي يتم تنفيذها تلقائيًا على فترات متكررة وفقًا لسياسة حفظ وإتلاف البيانات الشخصية عند زوال جميع شروط معالجة البيانات الشخصية المنصوص عليها في القانون.

• الشخص المعني / صاحب البيانات: الشخص الطبيعي الذي تتم معالجة بياناته الشخصية.

• مسؤول البيانات: الشخص الطبيعي أو الاعتباري الذي يحدد أغراض ووسائل معالجة البيانات الشخصية، والمسؤول عن إنشاء وإدارة نظام تسجيل البيانات.

• ٣. معالجة البيانات الشخصية

  ٣.١ المبادئ الأساسية المتبعة في معالجة البيانات الشخصية
  ستتم معالجة البيانات الشخصية وفقًا للمبادئ الأساسية المنصوص عليها في القانون. وفي هذا الإطار:

  • تتم المعالجة بما يتوافق مع القانون وقواعد حسن النية.

  • تُحفظ البيانات الشخصية صحيحة ويتم تحديثها عند الحاجة.

  • تتم المعالجة لأغراض محددة وواضحة ومشروعة.

  • تُستخدم البيانات وتُفصح في حدود الغرض القانوني المرتبط بها وبطريقة متناسبة ومحدودة.

  • تُحفظ البيانات للمدة التي يقتضيها القانون أو الغرض الذي تمت معالجتها من أجله.

  ٣.٢ شروط معالجة البيانات الشخصية
  يمكن معالجة البيانات الشخصية غير الخاصة في حال تحقق واحد على الأقل من الأسباب القانونية التالية أو عند الحصول على موافقة صريحة من الشخص المعني:

  • النص الصريح في القوانين.

  • ضرورة معالجة بيانات الأطراف من أجل تنفيذ العقد.

  • لزومها للوفاء بالالتزامات القانونية لمسؤول البيانات.

  • ضرورة المعالجة من أجل إثبات حق أو استخدامه أو حمايته.

  • في حال عدم الإضرار بالحقوق والحريات الأساسية للشخص المعني، يمكن معالجة البيانات إذا كان ذلك ضروريًا للمصالح المشروعة لمسؤول البيانات.

  ٣.٣ معالجة البيانات الشخصية ذات الطبيعة الخاصة
  تُوضح القواعد والإجراءات الواجب اتباعها عند معالجة البيانات الشخصية ذات الطبيعة الخاصة بشكل مفصل في “سياسة معالجة البيانات الشخصية ذات الطبيعة الخاصة” التي أعدتها مؤسستنا ونشرتها.

  يمكنكم الوصول إلى سياسة معالجة البيانات الشخصية ذات الطبيعة الخاصة من خلال موقعنا الإلكتروني:
  https://dratacan.com/

  ٣.٤ توعية صاحب البيانات الشخصية (الشخص المعني)
  يتم توعية الأشخاص المعنيين وفقًا للقانون. وفي هذا الإطار، يتم إبلاغهم بهوية مسؤول البيانات، والأغراض التي ستُعالج البيانات الشخصية من أجلها، والجهات التي ستُنقل إليها، وطريقة جمعها وأساسها القانوني، بالإضافة إلى حقوقهم المبينة أدناه.

  حقوق الأشخاص المعنيين:

  • معرفة ما إذا كانت بياناتهم الشخصية قد عُولجت.

  • طلب معلومات إذا تمت معالجة بياناتهم الشخصية.

  • معرفة الغرض من معالجة البيانات الشخصية وما إذا كانت قد استُخدمت بما يتوافق مع الغرض.

  • معرفة الأطراف الثالثة داخل البلاد أو خارجها التي نُقلت إليها البيانات الشخصية.

  • طلب تصحيح البيانات الشخصية إذا كانت ناقصة أو غير صحيحة.

  • طلب حذف أو إتلاف البيانات الشخصية وفقًا للشروط المنصوص عليها في المادة ٧ من القانون.

  • طلب إبلاغ الأطراف الثالثة التي نُقلت إليها البيانات في حال تصحيح أو حذف أو إتلاف البيانات.

  • الاعتراض على ظهور نتيجة ضد الشخص نفسه نتيجة تحليل البيانات المعالجة حصريًا بواسطة أنظمة آلية.

  • المطالبة بالتعويض عن الضرر إذا تعرض للضرر بسبب معالجة البيانات الشخصية بشكل مخالف للقانون.

  لممارسة الحقوق المذكورة أعلاه:

  • من خلال عيادتنا الواقعة في العنوان المذكور أعلاه.

  • أو عبر تعبئة “نموذج طلب صاحب البيانات” المتاح في موقعنا الإلكتروني المذكور أعلاه بشكل كامل، وتقديمه موقعًا بتوقيع أصلي باليد أو عبر البريد أو عن طريق كاتب العدل إلى عنوان العيادة، أو عبر إرسال النموذج من خلال عنوان البريد الإلكتروني المسجل مسبقًا لدينا والمبلّغ لنا مسبقًا إلى البريد الإلكتروني المذكور أعلاه.

  سيتم الرد على الطلبات المقدمة بالطريقة المذكورة أعلاه في أقصر وقت ممكن وبحد أقصى خلال ٣٠ يومًا مجانًا. ومع ذلك، إذا ترتب على موضوع طلبكم تكاليف إضافية، فسيتم تحصيل الرسوم المحددة في التعرفة الموضوعة من قبل مجلس حماية البيانات الشخصية من قبل العيادة.

• ٤. أغراض معالجة البيانات الشخصية
  تُعالج البيانات الشخصية بما يتوافق مع المبادئ الأساسية المنصوص عليها في المادة ٤ من القانون، واستنادًا إلى واحد على الأقل من شروط معالجة البيانات الشخصية والبيانات ذات الطبيعة الخاصة المنصوص عليها في المادتين ٥ و٦ من القانون، وذلك للأغراض التالية:

  • إدارة عمليات التقديم للمرشحين للوظائف

  • الوفاء بالالتزامات التعاقدية والتشريعية تجاه الموظفين

  • إدارة عمليات المزايا والحقوق الثانوية للموظفين

  • تنفيذ الأنشطة بما يتوافق مع التشريعات

  • إدارة الأعمال المالية والمحاسبية

  • ضمان أمن الأماكن المادية

  • متابعة وتنفيذ الإجراءات القانونية

  • إدارة أنشطة التواصل

  • تنفيذ أنشطة الصحة والسلامة المهنية

  • إدارة العمليات التعاقدية

  • متابعة الطلبات والشكاوى

  • ضمان أمن المنقولات والموارد

  • تزويد الأشخاص والهيئات والمؤسسات المخولة بالمعلومات

  • تنفيذ خطط وعلاجات صحة الفم والأسنان

  • تنفيذ الأنشطة الترويجية

  ٥. مدة حفظ وإتلاف البيانات الشخصية
  تُحفظ البيانات الشخصية وفقًا لأحكام القانون واللائحة المتعلقة بحذف البيانات الشخصية أو إتلافها أو جعلها مجهولة الهوية، وذلك للمدة اللازمة للغرض الذي تمت معالجتها من أجله، والمدة المنصوص عليها في التشريعات ذات الصلة بالنشاط المعني.

  يُحدد أولًا ما إذا كانت هناك مدة منصوص عليها في التشريعات لحفظ البيانات الشخصية، فإذا وُجدت مدة محددة في التشريعات تُحفظ البيانات حتى انتهاء هذه المدة، وإذا لم تُحدد مدة قانونية تُحفظ البيانات للمدة اللازمة للغرض الذي تمت معالجتها من أجله.

  وبما يتوافق مع هذه المعايير، يتم تحديد فترات الحفظ لكل فئة من البيانات الشخصية على حدة كما هو موضح في الجدول أدناه. ويتم إتلاف البيانات الشخصية بانتهاء هذه الفترات، إما خلال فترة الإتلاف الدورية البالغة ستة أشهر أو خلال ثلاثين يومًا كحد أقصى عند طلب الشخص المعني، باستخدام طرق الإتلاف المحددة.

  فترات حفظ البيانات الشخصية:

  • بيانات الهوية
    الموظف: ١٥ سنة بعد انتهاء علاقة التوظيف النشطة
    المرشح للوظيفة: لا تُحفظ إذا كان طلب التوظيف مرفوضًا
    المريض: ٢٠ سنة بعد انتهاء العلاج
    المرافق: طوال فترة الخدمة
    مقدمو الخدمات الخارجيون (الأشخاص الطبيعيون): ١٠ سنوات بعد انتهاء الخدمة

  • بيانات الاتصال
    الموظف: ١٥ سنة بعد انتهاء علاقة التوظيف النشطة
    المرشح للوظيفة: لا تُحفظ إذا كان طلب التوظيف مرفوضًا
    المريض: ٢٠ سنة بعد انتهاء العلاج
    المرافق: طوال فترة الخدمة
    مقدمو الخدمات الخارجيون (الأشخاص الطبيعيون): ١٠ سنوات بعد انتهاء الخدمة

  • البيانات الصحية الشخصية
    الموظف: ١٥ سنة بعد انتهاء علاقة التوظيف النشطة
    المرشح للوظيفة: لا تُحفظ إذا كان طلب التوظيف مرفوضًا
    المريض: ٢٠ سنة بعد انتهاء العلاج

  • بيانات الإدانة الجنائية والتدابير الأمنية
    الموظف: ١٥ سنة بعد انتهاء علاقة التوظيف النشطة
    المرشح للوظيفة: لا تُحفظ إذا كان طلب التوظيف مرفوضًا

  • السجلات الوظيفية
    الموظف: ١٠ سنوات بعد انتهاء علاقة التوظيف النشطة
    المرشح للوظيفة: لا تُحفظ إذا كان طلب التوظيف مرفوضًا

  • الإجراءات القانونية
    الموظف والمريض: ١٠ سنوات بعد انتهاء العملية القانونية

  • أمن المعاملات
    الموظف والمريض: سنتان

  • معاملات العملاء
    المريض: ٢٠ سنة
    مقدمو الخدمات الخارجيون (الأشخاص الطبيعيون): ١٠ سنوات بعد انتهاء الخدمة

  • البيانات المالية
    المريض: ٢٠ سنة
    الموظف: ١٠ سنوات

  • تسجيلات الكاميرات
    لجميع فئات الأشخاص: شهران

  • الخبرة المهنية
    الموظف: ١٠ سنوات بعد انتهاء علاقة التوظيف النشطة
    المرشح للوظيفة: لا تُحفظ إذا كان طلب التوظيف مرفوضًا

  • التسجيلات المرئية والسمعية
    الموظف: ١٥ سنة بعد انتهاء علاقة التوظيف النشطة
    المريض: ٢٠ سنة بعد انتهاء العلاج
    المرشح للوظيفة: لا تُحفظ إذا كان طلب التوظيف مرفوضًا

  ٦. نقل البيانات الشخصية

• ٦.١ نقل البيانات الشخصية داخل الدولة
  يمكن نقل البيانات الشخصية المعالجة إلى الأطراف الثالثة المبينة أدناه:

  البيانات الشخصية الخاصة بالموظفين العاملين لدينا:

  • في حال وجود نزاع قانوني، تُنقل إلى السلطات القضائية ومحامي الأطراف ضمن حدود البيانات المطلوبة فقط.

  • معلومات الهوية والاتصال تُنقل إلى المحاسب المالي المخوّل من أجل متابعة الالتزامات القانونية.

  • معلومات الهوية والبيانات المالية تُنقل إلى البنك المتعاقد معه من أجل دفع الرواتب.

  • معلومات الهوية والاتصال والصحة والصور الفوتوغرافية والشهادات الجامعية وسجل العقوبات تُنقل إلى مديرية الصحة في المقاطعة/الولاية من أجل طلب وثيقة عمل الموظف.

  • معلومات الهوية والمسمى الوظيفي تُنقل إلى نظام متابعة العاملين الصحيين التابع لوزارة الصحة.

  • معلومات الهوية تُنقل إلى مؤسسة الضمان الاجتماعي لأغراض بيان الدخول في العمل.

  • معلومات الهوية والبيانات المالية تُنقل إلى مصلحة الضرائب من أجل التصريح الضريبي.

  • معلومات الهوية والبيانات العائلية تُنقل إلى مصلحة الضرائب من أجل خصم الحد الأدنى للمعيشة.

  • لأغراض الأرشفة، تُنقل إلى شركة البرمجيات المطورة لبرامج الكمبيوتر المستخدمة في مكان العمل.

  البيانات الشخصية الخاصة بالمرضى المستفيدين من الخدمات:

  • في حال وجود نزاع قانوني، تُنقل إلى السلطات القضائية ومحامي الأطراف ضمن حدود البيانات المطلوبة فقط.

  • معلومات الهوية والصحة والتأمين للأشخاص المستفيدين من خدمات التأمين الخاص تُنقل إلى شركات التأمين الخاصة.

  • معلومات الهوية والاتصال والصحة وبيانات المرافق تُنقل إلى المؤسسة الصحية التي سيُحوّل إليها المريض في حال وجود إحالة.

  • بموجب لائحة المستشفيات الخاصة، تُنقل إلى شركة البرمجيات المطورة لبرنامج تسجيل المرضى من أجل أرشفة ملفات المرضى.

  البيانات الشخصية الخاصة بمقدمي الخدمات الأفراد:

  • في حال وجود نزاع قانوني، تُنقل إلى السلطات القضائية ومحامي الأطراف.

  • للمحاسب المالي المخوّل بموجب الالتزامات القانونية.

  • للبنك المتعاقد معه من أجل المدفوعات.

  • لشركة البرمجيات المطورة لبرامج الكمبيوتر في مكان العمل من أجل الأرشفة.

  البيانات الشخصية الخاصة بمجموعات الأشخاص الأخرى:

  • في حال وجود نزاع قانوني، تُنقل إلى السلطات القضائية ومحامي الأطراف.

  • ٧. حماية البيانات الشخصية
    كما ورد في المادة ١٢ من القانون، تتعهد مؤسستنا بما يلي:

    • منع المعالجة غير القانونية للبيانات الشخصية.

    • منع الوصول غير القانوني إلى البيانات الشخصية.

    • ضمان حفظ البيانات الشخصية.

    ولهذا الغرض، يتم اتخاذ التدابير التقنية والإدارية اللازمة لضمان مستوى مناسب من الأمان، كما يتم إجراء أو تكليف بإجراء عمليات تدقيق للتأكد من تطبيق هذه التدابير.

    ٧.١ التدابير المتخذة لحماية البيانات الشخصية

    ١.١ التدابير الإدارية

    • وجود لوائح انضباطية للموظفين تتضمن أحكامًا خاصة بأمن البيانات.

    • تنفيذ تدريبات ودراسات توعية دورية للموظفين حول أمن البيانات.

    • إعداد سياسات مؤسسية وتنفيذها بخصوص الوصول وأمن المعلومات والاستخدام والحفظ والإتلاف.

    • توقيع تعهدات بالسرية.

    • إدراج أحكام أمن البيانات ضمن العقود الموقعة.

    • اتخاذ تدابير أمنية إضافية للبيانات الشخصية المنقولة ورقيًا، وإرسال المستندات بتنسيق “سري”.

    • تحديد سياسات وإجراءات لأمن البيانات الشخصية.

    • الإبلاغ السريع عن مشكلات أمن البيانات الشخصية.

    • متابعة أمن البيانات الشخصية.

    • اتخاذ التدابير الأمنية اللازمة للدخول والخروج من البيئات المادية التي تحتوي على بيانات شخصية.

    • حماية البيئات المادية التي تحتوي على بيانات شخصية ضد المخاطر الخارجية (مثل الحريق والفيضان).

    • تأمين البيئات التي تحتوي على بيانات شخصية.

    • تقليل البيانات الشخصية إلى الحد الأدنى الممكن.

    • إجراء أو تكليف بإجراء عمليات تدقيق دورية أو عشوائية داخل المؤسسة.

    • تحديد وتنفيذ بروتوكولات وإجراءات خاصة بأمن البيانات الشخصية ذات الطبيعة الخاصة.

    • إرسال البيانات الشخصية ذات الطبيعة الخاصة عبر البريد الإلكتروني بشكل مشفّر وباستخدام KEP أو الحساب المؤسسي فقط.

    • تحديد صلاحيات ونطاقات وأزمنة وصول المستخدمين المخوّلين بالوصول إلى البيانات الشخصية ذات الطبيعة الخاصة بشكل واضح.

    • استعادة العهدة المخصصة للموظفين الذين تغيّرت مهامهم أو تركوا العمل.

    • إعداد جرد للبيانات الشخصية.

    • تنفيذ عمليات الحذف أو الإتلاف أو إخفاء الهوية بشكل دوري.

    ١.٢ التدابير التقنية

    • يتم توفير أمان الشبكة وأمان التطبيقات.

    • تُتخذ التدابير الأمنية ضمن نطاق شراء وتطوير وصيانة أنظمة تكنولوجيا المعلومات.

    • تم إعداد مصفوفة صلاحيات للموظفين.

    • تُسجل سجلات الوصول بشكل منتظم.

    • تُلغى صلاحيات الموظفين الذين تغيّرت مهامهم أو تركوا العمل.

    • تُستخدم أنظمة حديثة لمكافحة الفيروسات.

    • تُستخدم جدران الحماية.

    • يُطبق نظام إدارة حسابات المستخدمين والتحكم في الصلاحيات ويتم تتبعه بشكل مستمر.

    • تُسجل سجلات الدخول والخروج (Log) بطريقة تمنع أي تدخل من المستخدمين.

    • تُستخدم مفاتيح تشفير / مفاتيح تشفيرية آمنة للبيانات الشخصية ذات الطبيعة الخاصة وتدار من قبل وحدات مختلفة.

    • تم اتخاذ تدابير الأمن السيبراني ويُتابع تطبيقها بشكل مستمر.

    • تُشفّر البيانات الشخصية ذات الطبيعة الخاصة عند نقلها عبر وسائط التخزين المحمولة مثل USB أو CD أو DVD.

    • تُجرى فحوصات دورية لصلاحيات الموظفين المخوّلين بالوصول إلى البيانات الشخصية ذات الطبيعة الخاصة.

    • تتم متابعة تحديثات الأمان الخاصة بالبيئات التي توجد فيها البيانات بشكل مستمر، كما تُنفذ أو يُكلف بتنفيذ اختبارات الأمان بشكل منتظم، وتُسجل نتائج هذه الاختبارات.

    • تُجرى اختبارات أمان منتظمة على البرمجيات التي يُستخدم من خلالها الوصول إلى البيانات الشخصية ذات الطبيعة الخاصة وتُسجل نتائجها.

    • يُستخدم نظام تحقق ثنائي المراحل عند الوصول عن بُعد إلى البيانات الشخصية ذات الطبيعة الخاصة.

    • عند نقل البيانات الصحية الشخصية بين الخوادم الموجودة في بيئات مادية مختلفة، يتم النقل عبر VPN بين الخوادم أو باستخدام بروتوكولات sFTP.

    • بالنسبة للبيانات الشخصية المخزنة في البيئات الرقمية، يتم تنفيذ عمليات الحذف أو الإتلاف أو إخفاء الهوية بشكل دوري.

    • ٨.٣ الرد على الطلبات
      في حال قيام صاحب البيانات بتقديم طلبه المتعلق بالحقوق المذكورة أعلاه والواردة في المادة ١١ من القانون إلى عيادتنا وفقًا للأصول ستقوم العيادة بإنهاء الطلب مجانًا في أقصر وقت ممكن وخلال مدة أقصاها ٣٠ يومًا بحسب طبيعة الطلب. غير أنه إذا استلزم الإجراء تكاليف إضافية فسيتم تحصيل رسم وفقًا للتعرفة التي يحددها المجلس.

      ٩. تنسيق عمليات حماية ومعالجة البيانات الشخصية
      يقوم مسؤول البيانات أو الموظف المخوّل منه بتنسيق عمليات حماية ومعالجة البيانات الشخصية.

      ١٠. التحديثات التي أُدخلت على السياسة
      تحتفظ عيادتنا بحقها في إجراء تعديلات على سياسة معالجة وحماية البيانات الشخصية هذه بسبب تغيّر التشريعات أو وفقًا لقرارات المجلس أو استنادًا إلى التطورات في القطاع أو في مجال تقنية المعلومات. وتُدرج التغييرات التي يتم إجراؤها في النص فورًا كما تُضاف الشروحات المتعلقة بهذه التغييرات إلى جدول التحديثات أدناه.

      جدول التحديثات

      تم اعتماد سياسة معالجة وحماية البيانات الشخصية ودخلت حيّز التنفيذ.

      ١١. الأحكام الختامية
      تم إعداد سياسة حفظ وإتلاف البيانات الشخصية هذه من قبل مسؤول البيانات وأُعلن عنها للأشخاص المعنيين من خلال:

      • وضعها في الأماكن المناسبة داخل المؤسسة

      • نشرها على موقعنا الإلكتروني https://dratacan.com/

      • Kisisel-Verileri-Koruma-Ve-Isleme-Politikasi