3. ОБРАБОТКА СПЕЦИАЛЬНЫХ КАТЕГОРИЙ ПЕРСОНАЛЬНЫХ ДАННЫХ

3.1 Основные принципы обработки специальных категорий персональных данных
Специальные категории персональных данных обрабатываются с соблюдением положений Закона и настоящей Политики, при принятии всех необходимых административных и технических мер. В этом контексте специальные категории персональных данных:

• будут обрабатываться законно и добросовестно;

• будет обеспечиваться точность персональных данных и их актуализация при необходимости;

• будут обрабатываться для конкретных, явных и законных целей;

• будут использоваться и раскрывать только в объеме, необходимом для законной цели обработки, и в ограниченном объеме;

• будут сохраняться на срок, предусмотренный соответствующим законодательством или необходимый для целей обработки.

3.2 Обработка специальных категорий персональных данных
Персональные медицинские данные пациентов обрабатываются нашими врачами в соответствии со статьей 6/3 Закона о защите персональных данных (KVKK) для целей проведения медицинской диагностики, лечения и ухода, а также управления медицинскими услугами, при этом соблюдается обязанность по сохранению конфиденциальности. Эти специальные категории персональных медицинских данных обрабатываются персоналом, который проходит регулярное обучение по вопросам KVKK и работает на основе подписанного обязательства о конфиденциальности, в электронном и физическом виде.

Медицинские отчеты, полученные от персонала в соответствии с Законом о безопасности и охране труда, обрабатываются в соответствии с требованиями KVKK.

Данные о судимости и кадровые документы медицинских работников нашей организации обрабатываются на законных основаниях, прямо предусмотренных законодательством.

Судебные данные сотрудников, не оформляющих трудовую документацию, обрабатываются в физическом и электронном виде на основании их явного согласия.

Данные о внешнем виде и одежде медицинского персонала обрабатываются на законных основаниях, указанных в статье 6 Закона.

Данные о здоровье, судимости и мерах безопасности кандидатов на работу собираются с их явного согласия; данные кандидатов, чьи заявки отклонены, немедленно удаляются.

4. ЦЕЛИ ОБРАБОТКИ СПЕЦИАЛЬНЫХ КАТЕГОРИЙ ПЕРСОНАЛЬНЫХ ДАННЫХ
Учреждение обрабатывает персональные данные в соответствии с основными принципами статьи 4 Закона, опираясь на хотя бы одно из условий обработки специальных категорий персональных данных, указанных в статье 6 Закона, для следующих целей:

• Проведение процессов управления чрезвычайными ситуациями;

• Проведение процессов обработки заявок кандидатов на работу;

• Выполнение трудовых обязательств и требований законодательства в отношении сотрудников;

• Управление дополнительными льготами и правами сотрудников;

• Обеспечение законного проведения деятельности учреждения;

• Ведение и контроль юридических процессов;

• Планирование процессов управления человеческими ресурсами;

• Проведение мероприятий по охране труда и безопасности;

• Осуществление операционных процессов предоставления услуг;

• Проведение процессов хранения и архивирования;

• Осуществление процессов заключения и исполнения договоров;

• Обеспечение безопасности движимого имущества и ресурсов;

• Обеспечение безопасности операций лица, ответственного за данные;

• Предоставление информации уполномоченным лицам, учреждениям и организациям;

• Защита общественного здоровья, проведение медицинской диагностики, лечение и уход за пациентами.

5. ПЕРЕДАЧА СПЕЦИАЛЬНЫХ КАТЕГОРИЙ ПЕРСОНАЛЬНЫХ ДАННЫХ

5.1 Передача внутри страны
Персональные медицинские данные пациентов могут передаваться третьим лицам, указанным ниже:

• В случае юридического спора – по запросу, только необходимые персональные данные передаются судебным органам и адвокатам сторон;

• Идентификационные и медицинские данные – в систему E-Nabız в соответствии с Основным законом о медицинских услугах;

• Идентификационные, медицинские и страховые данные лиц, получающих услуги по частной страховке – страховым компаниям.

Персональные медицинские данные сотрудников передаются третьим лицам, указанным ниже:

• В случае юридического спора – по запросу, только необходимые персональные данные передаются судебным органам и адвокатам сторон;

• Идентификационные данные, контактная информация, медицинские данные, фотографии, дипломы и данные о судимости – в районное/областное управление здравоохранения для оформления трудового документа;

• Для целей архивирования – компании-разработчику программного обеспечения, используемого в компьютерных системах предприятия;

• Персональные медицинские данные, данные о судимости и мерах безопасности кандидатов на работу, полученные с их явного согласия, при отрицательном решении по заявке на работу немедленно удаляются и уничтожаются.

5.2 Передача за границу
Обрабатываемые специальные категории персональных данных за границу не передаются.

6. МЕРЫ ПО ЗАЩИТЕ СПЕЦИАЛЬНЫХ КАТЕГОРИЙ ПЕРСОНАЛЬНЫХ ДАННЫХ

6.1 Принятые меры безопасности

1. Учреждение разработало отдельную систематизированную, управляемую и устойчивую политику и процедуры по обеспечению безопасности специальных категорий персональных данных.

2. Для сотрудников, участвующих в процессах обработки специальных категорий персональных данных:

   a) Проводятся регулярные тренинги по Закону и связанным нормативным актам, а также по безопасности специальных категорий персональных данных;
   b) Заключаются соглашения о конфиденциальности;
   c) Для пользователей с доступом к данным четко определены полномочия и сроки действия;
   d) Периодически проводятся проверки полномочий;
   e) При смене должности или увольнении сотрудников их полномочия немедленно аннулируются; инвентарь, выделенный уволенному сотруднику, возвращается.

3. Если специальные категории персональных данных обрабатываются, хранятся и/или к ним осуществляется доступ в электронных средах:

• Постоянно отслеживаются обновления безопасности соответствующих сред;

• Регулярно проводятся тесты безопасности, а их результаты фиксируются.

4. Если специальные категории персональных данных обрабатываются, хранятся и/или к ним осуществляется доступ в физической среде:

   a) В зависимости от характера среды принимаются достаточные меры безопасности (защита от электрического пробоя, пожара, наводнения, кражи и т.д.);
   b) Обеспечена физическая безопасность среды, предотвращен несанкционированный доступ.

5. Если специальные категории персональных данных подлежат передаче:

   a) При необходимости передачи данных по электронной почте – данные передаются зашифрованными через корпоративный почтовый ящик или через систему зарегистрированной электронной почты (KEP);
   b) При необходимости передачи данных на бумажном носителе – принимаются меры для предотвращения кражи, потери или несанкционированного просмотра документов; документы отправляются в формате «секретные документы».

Также принимаются административные и технические меры безопасности.

Административные меры

• Подготовлены и внедрены корпоративные политики по доступу, информационной безопасности, использованию, хранению и уничтожению данных.

• Подписанные договоры содержат положения о безопасности данных.

• Персональные данные минимизируются по возможности.

• Проводятся периодические и/или выборочные внутренние аудиты организации.

• Выполняется анализ рисков с составлением отчетов.

• Положения Закона о защите персональных данных (KVKK) включаются в тексты трудовых договоров, правил дисциплины и др.

• Обеспечивается мониторинг безопасности персональных данных.

• С получателями, которым передаются данные, заключаются соглашения о конфиденциальности.

• Составлен Реестр обработки персональных данных.

• Периодически выполняются операции удаления, уничтожения или анонимизации данных.

Технические меры

• Обеспечивается безопасность сети и приложений.

• Приняты меры безопасности в рамках поставки, разработки и обслуживания ИТ-систем.

• Используются актуальные антивирусные системы.

• Применяются межсетевые экраны (firewalls).

• Реализуется система управления учетными записями пользователей и контроля полномочий, осуществляется мониторинг этих систем.

7. ПРАВА СУБЪЕКТОВ ДАННЫХ И ИСПОЛЬЗОВАНИЕ ЭТИХ ПРАВ

7.2 Права субъектов данных

• Узнавать, обрабатываются ли их персональные данные.

• Если данные обрабатываются – запрашивать информацию об этом.

• Узнавать цель обработки персональных данных и используются ли они в соответствии с этой целью.

• Требовать исправления персональных данных в случае их неполной или неправильной обработки, а также уведомления третьих лиц, которым данные были переданы, о внесенных исправлениях.

• Требовать удаления или уничтожения персональных данных, если причины их обработки больше не актуальны, даже если данные обрабатывались в соответствии с законом, с уведомлением третьих лиц, которым данные были переданы.

• Возражать против автоматического анализа обработанных данных, если это приводит к неблагоприятному результату для субъекта данных.

• Требовать возмещения ущерба в случае незаконной обработки персональных данных.

7.3 Использование прав субъекта данных

Субъекты персональных данных могут реализовать свои права следующим образом:

• Получив Форму запроса субъекта данных в нашем клиническом учреждении по вышеуказанному адресу или через наш веб-сайт.

• Заполнив форму и подписав её собственноручно, отправить её:

  • лично или почтой на адрес вышеуказанного Ответственного за обработку данных,

  • через нотариуса,

  • или с электронной подписью с заранее зарегистрированного адреса электронной почты на указанный выше адрес электронной почты.

7.4 Ответ на обращения

В случае получения запроса субъекта данных в соответствии с процедурой, касающегося прав, указанных в статье 11 Закона, мы:

• Рассмотрим запрос в кратчайшие сроки, но не позднее 30 (тридцати) дней,

• Результат обработки запроса будет предоставлен бесплатно.

• В случае если выполнение запроса требует дополнительных расходов, может взиматься плата согласно тарифу, установленному Советом.

8. Координация процессов защиты и обработки персональных данных

Координацию процессов обработки и защиты специальных категорий персональных данных осуществляет директор компании или назначенный им сотрудник.

9. Обновления политики

Изменения в законодательстве, решения Совета или развитие отрасли и информационных технологий могут повлечь за собой корректировки настоящей Политики обработки и защиты специальных категорий персональных данных.

• Все изменения незамедлительно вносятся в текст документа,

• Пояснения к изменениям фиксируются в таблице обновлений.

Таблица обновлений