Политика защиты и обработки персональных данных

1. Политика направлена на законную обработку и защиту персональных данных.

Название ответственного за данные: Доцент д-р Ата Кан
Адрес ответственного за данные: İnönü, Nizamiye Cd. No:9 D:No:1, 34373 Şişli/İstanbul

Телефон ответственного за данные: 0536 576 66 66
Электронная почта ответственного за данные: atababay@yahoo.com
Веб-сайт ответственного за данные: https://dratacan.com/

Обеспечение законной обработки и защиты персональных данных имеет большое значение для ответственного за данные. Настоящая Политика обработки и защиты персональных данных подготовлена для обеспечения соответствия деятельности по обработке персональных данных Закону № 6698 о защите персональных данных, а также связанным с ним подзаконным актам, инструкциям и директивам, и для приведения компании в целом в соответствие с законодательством KVKK. Кроме того, Политика определяет принципы, процедуры и правила обработки, хранения и обеспечения безопасности персональных данных.

2. Определения

Явное согласие – согласие, данное свободно и явно на основе получения информации по конкретному вопросу.

Соответствующий пользователь – лица, обрабатывающие персональные данные в организации ответственного за данные или по полученному от него полномочию и инструкциям, за исключением лица или подразделения, отвечающего за техническое хранение, защиту и резервное копирование данных.

Уничтожение – удаление, уничтожение или анонимизация персональных данных.

Закон – Закон № 6698 о защите персональных данных от 24.03.2016.

Среда записи – любая среда, в которой обрабатываются персональные данные полностью или частично автоматически, либо как часть любой системы записи данных, автоматизированной или неавтоматизированной.

Персональные данные – любая информация о идентифицированном или идентифицируемом физическом лице.

Обработка персональных данных – любые действия с персональными данными, выполненные полностью или частично автоматически, либо неавтоматизированными способами как часть системы записи данных, включая получение, запись, хранение, сохранение, изменение, реорганизацию, раскрытие, передачу, приобретение, предоставление, классификацию или ограничение использования.

Удаление персональных данных – действия по обеспечению невозможности доступа и повторного использования персональных данных для соответствующих пользователей.

Искоренение персональных данных – действия по обеспечению того, чтобы персональные данные были полностью недоступны, не могли быть восстановлены и использованы повторно никем.

Совет – Совет по защите персональных данных.

Персональные данные специальной категории – данные о расе, этническом происхождении, политических взглядах, философских убеждениях, религии, секте или иных убеждениях, внешности и одежде, членстве в ассоциациях, фондах или профсоюзах, здоровье, сексуальной жизни, уголовных судимостях и мерах безопасности, а также биометрические и генетические данные.

Периодическое уничтожение – автоматическое проведение операций по удалению, уничтожению или анонимизации персональных данных через регулярные интервалы, указанные в политике хранения и уничтожения персональных данных, после того как все условия обработки персональных данных, установленные законом, перестают действовать.

Соответствующее лицо / владелец данных – физическое лицо, персональные данные которого обрабатываются.

Ответственный за данные – физическое или юридическое лицо, определяющее цели и средства обработки персональных данных и отвечающее за создание и управление системой записи данных.

3. Обработка персональных данных

3.1 Основные принципы обработки персональных данных
Персональные данные будут обрабатываться в соответствии с основными принципами, установленными в законе. В этом контексте персональные данные:

Будут обрабатываться законно и добросовестно.
Будет обеспечена точность и актуальность персональных данных по мере необходимости.
Будут обрабатываться для определённых, явных и законных целей.
Будут использоваться и раскрыватьcя только в пределах, необходимых для целей, для которых они были собраны, и в соответствии с законной целью обработки.
Будут храниться столько времени, сколько предусмотрено действующим законодательством или необходимо для достижения цели обработки.

3.2 Условия обработки персональных данных
Не относящиеся к специальной категории персональные данные могут обрабатываться при наличии хотя бы одного из нижеперечисленных юридических оснований или после получения явного согласия субъекта данных:

Явное указание в законах.
Необходимость обработки данных для исполнения договора между сторонами.
Необходимость обработки данных для выполнения юридических обязанностей ответственного за данные.
Необходимость обработки данных для установления, осуществления или защиты прав.
Необходимость обработки данных для законных интересов ответственного за данные при условии, что это не нарушает фундаментальные права и свободы субъекта данных.

3.3 Обработка персональных данных специальной категории
Порядок и правила обработки персональных данных специальной категории подробно изложены в Политике обработки персональных данных специальной категории, подготовленной и опубликованной нашей организацией.

Политику обработки персональных данных специальной категории можно найти на нашем веб-сайте:
https://dratacan.com/

3.4 Информирование субъекта персональных данных
Субъекты данных информируются в соответствии с законом. В этом контексте им предоставляется информация о:

Кто является ответственным за данные,
С какой целью будут обрабатываться персональные данные,
Кому данные могут быть переданы,
Каким способом они были собраны,
Юридическом основании обработки,
И об их правах, указанных ниже.

Права субъектов данных:

Узнать, обрабатываются ли персональные данные;
Запросить информацию о персональных данных, если они были обработаны;
Узнать цель обработки персональных данных и используется ли информация в соответствии с этой целью;
Знать третьих лиц, которым персональные данные были переданы внутри или за пределами страны;
Требовать исправления, если персональные данные обработаны неполно или неверно;
Требовать удаления или уничтожения персональных данных в соответствии с условиями, предусмотренными статьёй 7 закона;
Требовать уведомления третьих лиц о внесённых обновлениях или удалении персональных данных;
Возражать против автоматизированного анализа персональных данных, приводящего к результату, неблагоприятному для субъекта данных;
Требовать возмещения ущерба, если персональные данные обработаны незаконно и это привело к ущербу.

Для реализации вышеуказанных прав необходимо:

Подготовить форму запроса субъекта данных, доступную на нашем веб-сайте, полностью заполнить её и направить с подписью: лично, по почте, через нотариуса на адрес клиники или на зарегистрированный в системе электронный адрес с указанного e-mail.

Запросы, направленные вышеуказанным образом, будут обработаны в кратчайшие сроки, но не позднее 30 (тридцати) дней, бесплатно. Если выполнение запроса повлечёт дополнительные расходы, клиника взыщет плату в соответствии с тарифами, установленными Советом по защите персональных данных.

 

4. ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
   Персональные данные обрабатываются для целей, перечисленных ниже, на основании хотя бы одного из условий обработки персональных данных и специальных категорий персональных данных, указанных в статьях 5 и 6 Закона, с соблюдением основных принципов, установленных в статье 4 Закона:

Проведение процессов подачи заявлений кандидатами на работу;
Исполнение трудового договора и обязательств, вытекающих из законодательства, для сотрудников;
Управление дополнительными льготами и преимуществами сотрудников;
Обеспечение соответствия деятельности действующему законодательству;
Ведение финансовых и бухгалтерских операций;
Обеспечение безопасности физических помещений;
Отслеживание и выполнение юридических дел;
Ведение коммуникационной деятельности;
Ведение мероприятий по охране труда и техники безопасности;
Ведение процессов заключения договоров;
Отслеживание запросов и жалоб;
Обеспечение безопасности движимого имущества и ресурсов;
Предоставление информации уполномоченным лицам, учреждениям и организациям;
Проведение лечения и планирования, связанных со здоровьем рта и зубов;
Ведение рекламной деятельности;

Обработка данных ограничена целями, для которых они собираются.

5. СРОК ХРАНЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ И ИХ УНИЧТОЖЕНИЕ
   В соответствии с Законом и Положениями о стирании, уничтожении или обезличивании персональных данных, персональные данные хранятся на срок, необходимый для достижения цели их обработки, и в соответствии с требованиями применимого законодательства.

Прежде всего определяется, предусмотрен ли в соответствующем законодательстве срок хранения персональных данных; если срок установлен, данные хранятся до его окончания, если срок не установлен — хранятся в течение периода, необходимого для достижения цели обработки.

Сроки хранения персональных данных для каждой категории персональных данных определяются отдельно и представлены в виде таблицы ниже. После окончания указанных сроков данные уничтожаются в рамках шестимесячного периодического процесса или, в случае обращения субъекта данных, не позднее тридцати дней с использованием установленных методов уничтожения.

Сроки хранения персональных данных:

ОБРАБАТЫВАЕМЫЕ ДАННЫЕ КАТЕГОРИЯ СУБЪЕКТА ДАННЫХ СРОК ХРАНЕНИЯ
Идентификационные данные
Сотрудник: после окончания активного трудового отношения – 15 лет
Кандидат на работу: в случае отрицательного результата заявки не хранится
Пациент: после окончания лечения – 20 лет
Сопровождающее лицо: в течение предоставления услуги
Внешние физические лица: после окончания предоставления услуги – 10 лет

Контактные данные
Сотрудник: после окончания активного трудового отношения – 15 лет
Кандидат на работу: в случае отрицательного результата заявки не хранится
Пациент: после окончания лечения – 20 лет
Сопровождающее лицо: в течение предоставления услуги
Внешние физические лица: после окончания предоставления услуги – 10 лет

Личные медицинские данные
Сотрудник: после окончания активного трудового отношения – 15 лет
Кандидат на работу: в случае отрицательного результата заявки не хранится
Пациент: после окончания лечения – 20 лет

Данные о судимости и мерах безопасности
Сотрудник: после окончания активного трудового отношения – 15 лет
Кандидат на работу: в случае отрицательного результата заявки не хранится

Кадровые данные
Сотрудник: после окончания активного трудового отношения – 10 лет
Кандидат на работу: в случае отрицательного результата заявки не хранится

Юридические действия
Сотрудник и Пациент: после завершения юридического процесса – 10 лет

Безопасность операций
Сотрудник и Пациент: 2 года

Операции с клиентами
Пациент: 20 лет
Внешние физические лица: после окончания предоставления услуги – 10 лет

Финансы
Пациент: 20 лет
Сотрудник: 10 лет

Записи с камер видеонаблюдения
Для всех категорий лиц: 2 месяца

Профессиональный опыт
Сотрудник: после окончания активного трудового отношения – 10 лет
Кандидат на работу: в случае отрицательного результата заявки не хранится

Визуальные и аудиозаписи
Сотрудник: после окончания активного трудового отношения – 15 лет
Пациент: после окончания лечения – 20 лет
Кандидат на работу: в случае отрицательного результата заявки не хранится

---

6. ПЕРЕДАЧА ЛИЧНЫХ ДАННЫХ

6.1 Передача личных данных внутри страны
Обрабатываемые личные данные могут быть переданы третьим лицам, указанным ниже.

Личные данные сотрудников нашей организации:

• В случае юридического спора по запросу — ограниченно требуемыми личными данными — судебным органам и адвокатам сторон

• Идентификационные и контактные данные — для отслеживания юридических обязательств — уполномоченному финансовому консультанту

• Идентификационные и финансовые данные — для выплаты заработной платы — в согласованный банк

• Идентификационные, контактные, медицинские данные, фото, диплом и данные о судимости — для подачи заявления на справку о трудовой деятельности — в районное/областное управление здравоохранения

• Идентификационные и должностные данные — в Систему учета медицинского персонала при Министерстве здравоохранения

• Идентификационные данные — для подачи уведомления о приеме на работу — в Социальное страховое управление

• Идентификационные и финансовые данные — для налоговой декларации — в налоговую инспекцию

• Идентификационные и семейные данные — для расчета минимального налогового вычета — в налоговую инспекцию

• Для архивирования — в компанию-разработчика программного обеспечения для учета рабочего времени

Личные данные пациентов, получающих услуги:

• В случае юридического спора по запросу — ограниченно требуемыми личными данными — судебным органам и адвокатам сторон

• Личные данные о личности, здоровье и страховании пациентов, получающих услуги по частной страховке, — частным страховым компаниям

• Идентификационные, контактные, медицинские данные и данные сопровождающего лица — в медицинское учреждение, куда направляется пациент

• В соответствии с Положением о частных больницах, для архивирования медицинских карт — в компанию-разработчика программного обеспечения для учета пациентов

Личные данные, полученные от внешних физических лиц, предоставляющих услуги:

• В случае юридического спора по запросу — судебным органам и адвокатам сторон

• По требованию закона — уполномоченному финансовому консультанту

• Для платежей — в согласованный банк

• Для архивирования — в компанию-разработчика программного обеспечения для учета рабочего времени

Личные данные, полученные от других групп лиц:

• В случае юридического спора по запросу — могут быть переданы судебным органам и адвокатам сторон

---

7. ЗАЩИТА ЛИЧНЫХ ДАННЫХ

Наша организация, как указано в статье 12 Закона:

• предотвращает незаконную обработку личных данных,

• предотвращает незаконный доступ к личным данным,

• принимает необходимые технические и административные меры для обеспечения соответствующего уровня безопасности хранения личных данных и осуществляет контроль за выполнением этих мер или поручает их осуществление.

7.1 Меры по защите личных данных

1. Административные меры

• Для сотрудников существуют дисциплинарные положения, включающие правила безопасности данных.

• Для сотрудников проводятся периодические обучения и мероприятия по повышению осведомленности о безопасности данных.

• Разработаны и внедрены корпоративные политики по вопросам доступа, информационной безопасности, использования, хранения и уничтожения данных.

• Заключаются соглашения о конфиденциальности.

• Подписанные контракты включают положения о безопасности данных.

• Для личных данных, передаваемых на бумажных носителях, принимаются дополнительные меры безопасности, и соответствующие документы отправляются в формате секретных документов.

• Определены политика и процедуры по обеспечению безопасности личных данных.

• Проблемы с безопасностью личных данных быстро сообщаются.

• Осуществляется контроль за безопасностью личных данных.

• При входе и выходе в физические среды с личными данными принимаются необходимые меры безопасности.

• Обеспечивается защита физических сред с личными данными от внешних рисков (пожар, наводнение и т.д.).

• Обеспечивается безопасность сред, содержащих личные данные.

• Личные данные минимизируются по возможности.

• Проводятся периодические и/или случайные внутренние аудиты.

• Разработаны и применяются протоколы и процедуры по обеспечению безопасности особо чувствительных личных данных.

• Если особо чувствительные личные данные отправляются по электронной почте, они обязательно шифруются и отправляются через KEP или корпоративный почтовый аккаунт.

• Пользователи с доступом к особо чувствительным личным данным имеют чётко определённые полномочия и сроки доступа.

• При смене должности или увольнении сотрудника возвращается инвентарь, выделенный ему.

• Составлен реестр личных данных.

• Периодически выполняются операции по удалению, уничтожению или анонимизации данных.

 

1.2 Технические меры

• Обеспечивается безопасность сети и приложений.

• Принимаются меры безопасности в рамках поставки, разработки и обслуживания информационных технологий.

• Для сотрудников создана матрица полномочий.

• Журналы доступа ведутся регулярно.

• Полномочия сотрудников, изменивших должность или покинувших организацию, в данной области удаляются.

• Используются актуальные антивирусные системы.

• Используются брандмауэры (firewall).

• Применяется система управления учетными записями пользователей и контроля полномочий, также осуществляется её мониторинг.

• Журналы ведутся без вмешательства пользователей.

• Для особо чувствительных личных данных используются безопасное шифрование / криптографические ключи, которые управляются разными подразделениями.

• Приняты меры кибербезопасности, их выполнение постоянно отслеживается.

• Особо чувствительные личные данные, передаваемые на переносных носителях, CD, DVD, шифруются при передаче.

• Сотрудники, имеющие доступ к особо чувствительным личным данным, периодически проходят проверку полномочий.

• Постоянно отслеживаются обновления безопасности сред, где находятся данные, регулярно проводятся или заказываются тесты безопасности, а результаты фиксируются.

• Регулярно проводятся тесты безопасности программного обеспечения, через которое осуществляется доступ к особо чувствительным личным данным, и результаты фиксируются.

• При удаленном доступе к особо чувствительным личным данным используется двухфакторная аутентификация.

• Если передача личных медицинских данных осуществляется между серверами в разных физических средах, она производится через VPN или с помощью метода sFTP.

• Для личных данных, хранящихся в цифровой среде, периодически выполняются операции по удалению, уничтожению или анонимизации.

---

7.2 Меры в случае утечки данных

• В случае незаконного получения третьими лицами личных данных, обрабатываемых нашей клиникой/кабинетом, организация уведомит владельца данных и Комитет в кратчайшие сроки после обнаружения утечки.

• После определения лиц, пострадавших от указанной утечки, организация направит соответствующим лицам уведомление в разумно кратчайшие сроки на контактный адрес лица.

В уведомлении о нарушении для соответствующего лица будут указаны:

• Время происшествия утечки,

• Какие личные данные были затронуты утечкой,

• Возможные последствия утечки,

• Принятые или рекомендуемые меры по снижению последствий утечки,

• Имя и контактные данные лица, через которое соответствующее лицо может получить информацию о нарушении.

 

 

8. ПРАВА ВЛАДЕЛЬЦЕВ ЛИЧНЫХ ДАННЫХ И ИСПОЛЬЗОВАНИЕ ЭТИХ ПРАВ

8.1 Права владельца личных данных
Владельцы личных данных обладают следующими правами:

• Узнавать, обрабатываются ли их личные данные,

• Запрашивать информацию, если их личные данные обрабатываются,

• Узнавать цель обработки личных данных и используются ли данные в соответствии с этой целью,

• Знать третьих лиц, которым личные данные передаются внутри страны или за рубежом,

• Требовать исправления личных данных в случае их неполной или неправильной обработки и требовать уведомления третьих лиц, которым были переданы личные данные, о проведенной корректировке,

• Требовать удаления или уничтожения личных данных, если причины для их обработки перестали существовать, даже если обработка осуществлялась в соответствии с законом и другими соответствующими нормативными актами, и требовать уведомления третьих лиц, которым были переданы личные данные, о проведенной операции,

• Возражать против возникновения результата, неблагоприятного для себя, при анализе обработанных данных исключительно с помощью автоматических систем,

• Требовать возмещения ущерба в случае причинения вреда вследствие незаконной обработки личных данных.

8.2 Использование прав владельца личных данных
Владельцы личных данных могут использовать свои права, указанные выше,

• заполнив форму запроса владельца данных, доступную в нашей клинике по указанному адресу,

• на нашем веб-сайте https://dratacan.com/
  и направив её с подписью лично, по почте или через нотариуса на адрес указанного выше ответственного за данные, чтобы воспользоваться правами, перечисленными выше и в статье 11 Закона.

8.3 Ответ на обращения
В случае подачи владельцем личных данных запроса о правах, указанных выше и в статье 11 Закона, клиника в соответствии с процедурой рассмотрит запрос и, в зависимости от его характера, предоставит результат бесплатно в кратчайшие сроки, но не позднее 30 (тридцати) дней. Если выполнение операции требует дополнительных затрат, может взиматься плата согласно тарифу, установленному Комитетом.

---

9. КООРДИНАЦИЯ ПРОЦЕССОВ ЗАЩИТЫ И ОБРАБОТКИ ЛИЧНЫХ ДАННЫХ
Координацию процессов защиты и обработки личных данных осуществляет ответственный за данные или уполномоченный им сотрудник.

---

10. ОБНОВЛЕНИЯ В ПОЛИТИКЕ
Наша клиника оставляет за собой право вносить изменения в настоящую Политику обработки и защиты личных данных в связи с изменениями законодательства, решениями Комитета или в соответствии с развитием отрасли и информационных технологий. Все внесенные изменения немедленно фиксируются в тексте, а пояснения к изменениям добавляются в таблицу обновлений, приведённую ниже.

Таблица обновлений

• Политика обработки и защиты личных данных вступила в силу.

---

11. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
Настоящая Политика хранения и уничтожения личных данных подготовлена ответственным за данные и:

• размещена в соответствующих местах внутри организации,

• опубликована на нашем веб-сайте https://dratacan.com/
  и доведена до сведения соответствующих лиц.

Kisisel-Verileri-Koruma-Ve-Isleme-Politikasi