Politique de stockage et de destruction des données personnelles - Op. Dr. Serpil KIRIM

Politique de stockage et de destruction des données personnelles

 

  1. INTRODUCTION
    • Objectif de la politique

Conformément à l’article 20 de la Constitution intitulé « Vie privée » et à la loi n° 6698 sur la protection des données à caractère personnel (« Loi« ) et aux dispositions des règlements et communiqués en vigueur, le traitement des données à caractère personnel obtenues par l’Op. Dr. La présente politique a pour objet de traiter les données à caractère personnel obtenues par Serpil Kırım, de protéger les libertés et droits fondamentaux des personnes concernées(employés, candidats à l’emploi, patients, parents de patients, fournisseurs, stagiaires, visiteurs et autres tiers concernés), en particulier le respect de la vie privée, et de veiller à ce que le responsable du traitement des données à caractère personnel effectue les activités de traitement des données conformément à la loi, et de déterminer les principes relatifs à la protection, à la conservation et à la destruction des données à caractère personnel obtenues lorsque cela est nécessaire.

  • Champ d’application de la politique

Sur la base du fait que tous les types d’opérations telles que l’obtention, l’enregistrement, le stockage, la conservation, la modification, le réarrangement, la divulgation, le transfert, la prise en charge, la mise à disposition, la classification ou la prévention de l’utilisation de tous les types d’informations relatives à une personne physique identifiée ou identifiable en tant que données à caractère personnel par l’Op. Dr. Serpil Kırım en tant que responsable du traitement des données par des moyens entièrement ou partiellement automatiques ou non automatiques, à condition qu’ils fassent partie d’un système d’enregistrement des données, sont considérés comme une activité de traitement des données. L’établissement des procédures et des principes de l’activité de traitement des données menée par Serpil Kırım détermine le champ d’application de la présente politique.

  • Mise en œuvre de la politique et de la législation connexe

Vos données personnelles et vos données de santé personnelles ont été préparées aux fins décrites dans le présent texte de politique et conformément à la loi fondamentale n° 3359 sur les services de santé, au décret-loi n° 663 sur l’organisation et les devoirs du ministère de la santé et des institutions affiliées, au règlement sur les hôpitaux privés, au règlement sur le traitement des données de santé personnelles et la protection de la vie privée, aux règlements pertinents et aux règles énoncées dans les règlements, les communiqués, les décisions et les lignes directrices publiés par le Conseil, en particulier la loi n° 6698 Op. Dans le cas où la loi ou toute autre législation pertinente serait modifiée après la date de publication de la politique par le Dr. Serpil Kırım et que la politique deviendrait incompatible avec ladite modification, les dispositions et règles modifiées seront appliquées. Tous les communiqués, décisions et lignes directrices publiés par le Conseil sont suivis par l’Op. Dr. Serpil Kırım et les règles stipulées par la Politique sont tenues à jour.

  • Efficacité de la politique

La politique a été publiée sur le site web de l’Op. Dr Serpil Kırım http://www.drserpilkirim.com/ et est entrée en vigueur à la date de publication.

  1. LES QUESTIONS LIÉES À LA PROTECTION DES DONNÉES PERSONNELLES

2.1. Garantir la sécurité des données personnelles

Responsable du traitement des données conformément à l’article 12 de la loi n° 6698 ;

  • Empêcher le traitement illégal de données à caractère personnel,
  • Empêcher l’accès illégal aux données à caractère personnel,
  • Assurer la conservation des données à caractère personnel

est tenu de prendre toutes les mesures administratives et techniques nécessaires pour assurer un niveau de sécurité approprié.

Serpil Kırım met en œuvre des mesures de sécurité pour empêcher le traitement illégal des données à caractère personnel, le transfert et la divulgation de données à caractère personnel à des tiers, l’accès non autorisé et les lacunes de sécurité survenant d’une autre manière. Explications concernant les mesures administratives et techniques prises VI. LES MESURES ADMINISTRATIVES ET TECHNIQUES PRISES POUR LA PROTECTION DES DONNÉES À CARACTÈRE PERSONNEL se trouve dans la section.

2.2. Protection des catégories particulières de données à caractère personnel

Parmi les catégories particulières de données à caractère personnel, les données relatives à la santé des personnes concernées peuvent être traitées par des personnes ou des institutions et organisations autorisées soumises à l’obligation de confidentialité aux fins de la protection de la santé publique, de la médecine préventive, des diagnostics médicaux, des traitements et des services de soins, de la planification et de la gestion des services de santé et du financement, sans qu’il soit nécessaire d’obtenir le consentement explicite de la personne concernée. En outre, quelle que soit leur nature, toutes les catégories particulières de données à caractère personnel ne peuvent être traitées conformément à la loi que si des mesures adéquates déterminées par le KVKK sont prises.

Vos données personnelles que vous partagez avec nous dans le cadre des activités de l’Op. Dr. Serpil Kırım ; aux fins de la protection de la santé publique, de la médecine préventive, du diagnostic médical, du traitement et des services de soins, de la planification et de la gestion des services de santé et du financement fournis par l’Op. Dr. Serpil Kırım aux fins de la protection de la santé publique, de la médecine préventive, du diagnostic médical, des services de traitement et de soins, de la planification et de la gestion des services de santé et du financement ; Elles sont collectées par l’obtention, l’enregistrement, le stockage, la modification, le réarrangement, le réarrangement par tous les canaux, y compris les applications de médias sociaux telles que le site Web, l’enquête, la responsabilité sociale, et tous les canaux, y compris les applications de médias sociaux telles que le site Web, l’enquête, la responsabilité sociale, et les médias verbaux, écrits, visuels ou électroniques, la hotline/le centre d’appels, le site Web, le verbal, l’écrit et les canaux similaires. Toute opération effectuée sur les données dans le cadre du KVKK est considérée comme un « traitement de données à caractère personnel ».

En outre, vos données à caractère personnel peuvent être traitées lorsque vous utilisez notre ligne d’assistance téléphonique ou notre site web pour obtenir des informations, prendre rendez-vous, déposer une plainte ou à d’autres fins de prestation de services, lorsque vous rendez visite à l’Op. Dr. Serpil Kırım ou à notre site web et lorsque vous naviguez sur ce site.

Les données sensibles en raison de leur nature et qui peuvent entraîner une victimisation ou une discrimination des personnes concernées si elles tombent entre les mains de tiers sont considérées comme des « données personnelles qualifiées spéciales » au sens de la loi. Les données personnelles sensibles sont des données relatives à la race, à l’origine ethnique, aux opinions politiques, aux convictions philosophiques, à la religion, à la secte ou à d’autres croyances, à l’apparence et à la tenue vestimentaire, à l’appartenance à des associations, fondations ou syndicats, à la santé, à la vie sexuelle, aux condamnations pénales et aux mesures de sûreté, ainsi qu’aux données biométriques et génétiques. Les données personnelles sensibles ne peuvent être traitées sans le consentement explicite de la personne concernée. Serpil Kırım prend toutes les mesures nécessaires pour protéger les données personnelles sensibles et il est essentiel que ces données ne soient pas obtenues et traitées dans la mesure du possible.

III. LES QUESTIONS LIÉES AU TRAITEMENT DES DONNÉES À CARACTÈRE PERSONNEL

3.1. Traitement des données personnelles dans le respect des principes énoncés dans la législation

Conformément à l’article 4 de la loi, les principes à appliquer au traitement de vos données personnelles sont les suivants :

  • Respect de la loi et de la règle d’honnêteté,
  • Être précis et à jour lorsque cela est nécessaire,
  • Traitement pour des finalités déterminées, explicites et légitimes,
  • être pertinentes, limitées et proportionnées à la finalité pour laquelle elles sont traitées,
  • Conservation pendant la période prévue par la législation applicable ou requise pour la finalité pour laquelle elles sont traitées.

3.2. Conditions de traitement des données à caractère personnel

Les données personnelles obtenues par l’Op. Dr. Serpil Kırım ne peuvent être traitées sans le consentement explicite de la personne concernée, sauf exceptions prévues par la loi. Vos données personnelles peuvent être traitées sans consentement explicite dans les cas indiqués ci-dessous :

  • Explicitement stipulé dans les lois,
  • Elle est nécessaire à la protection de la vie ou de l’intégrité physique de la personne qui n’est pas en mesure de révéler son consentement en raison d’une impossibilité réelle ou dont le consentement n’est pas juridiquement valable,
  • Il est nécessaire de traiter les données à caractère personnel appartenant aux parties au contrat, à condition qu’elles soient directement liées à l’établissement ou à l’exécution d’un contrat,
  • Elle est obligatoire pour que le responsable du traitement des données puisse remplir son obligation légale,
  • Elle a été rendue publique par la personne concernée,
  • Le traitement des données est obligatoire pour la constatation, l’exercice ou la protection d’un droit,
  • Le traitement des données est obligatoire pour les intérêts légitimes du responsable du traitement, à condition qu’il ne porte pas atteinte aux libertés et droits fondamentaux de la personne concernée.

3.3. Exceptions à l’obligation d’obtenir un consentement explicite

  1. Explicitement stipulé dans la loi

L’une des conditions du traitement des données est qu’il soit explicitement stipulé dans les lois. Les dispositions législatives prévoyant le traitement de données à caractère personnel peuvent constituer une condition du traitement des données. Dans ce cas, le consentement explicite de la personne concernée n’est pas requis.

  1. Impossibilité réelle

Dans les cas où la protection de la vie ou de l’intégrité physique de la personne qui n’est pas en mesure de donner son consentement en raison d’une impossibilité réelle ou dont le consentement n’est pas juridiquement valable est obligatoire, les données à caractère personnel de la personne concernée peuvent être traitées sans obtenir son consentement explicite.

  1. Directement liés à la conclusion ou à l’exécution du contrat

Si le traitement des données est obligatoire lors de l’établissement d’un contrat auquel la personne concernée est partie ou lors de l’exécution du contrat, le traitement des données à caractère personnel sans consentement explicite peut être remis en question.

  1. Dr Serpil Kırım de remplir son obligation légale

Les données à caractère personnel peuvent être traitées sans obtenir de consentement explicite afin de remplir les obligations légales qui incombent à l’Op. Dr. Serpil Kırım en tant que responsable du traitement des données.

  1. Publication par la personne concernée

Les données à caractère personnel qui ont été rendues publiques par la personne concernée, c’est-à-dire les données à caractère personnel qui ont été divulguées au public de quelque manière que ce soit, peuvent être traitées sans consentement explicite. Même dans ce cas, les données à caractère personnel qui ont été rendues publiques ne peuvent pas faire l’objet d’un usage autre que celui auquel elles sont destinées.

  1. Obligatoire pour l’établissement, l’utilisation et la protection d’un droit

Dans les cas où cela est obligatoire pour la constatation, l’exercice ou la protection d’un droit, il est possible de traiter les données à caractère personnel de la personne concernée sans son consentement explicite.

  1. Elle est obligatoire pour les intérêts légitimes du responsable du traitement, à condition qu’elle ne porte pas atteinte aux libertés et droits fondamentaux de la personne concernée.

Si le traitement des données à caractère personnel est obligatoire pour le responsable du traitement et que l’activité de traitement des données ne porte pas atteinte aux libertés et droits fondamentaux de la personne concernée, les données à caractère personnel peuvent être traitées sans obtenir de consentement explicite.

L’intérêt légitime du responsable du traitement est l’intérêt et le bénéfice qu’il entend retirer du traitement à effectuer. Le bénéfice que le responsable du traitement doit obtenir doit être lié à un intérêt légitime, suffisamment efficace, spécifique et préexistant, susceptible de concurrencer les droits et libertés fondamentaux de la personne concernée. Il doit s’agir d’une opération liée aux activités actuelles du responsable du traitement et qui lui profitera dans un avenir proche.

3.4. Traitement de catégories particulières de données à caractère personnel

Le traitement de catégories particulières de données à caractère personnel est soumis à l’article 6 de la loi et est interdit sans le consentement explicite de la personne concernée.

Les données relatives à la race, à l’origine ethnique, aux opinions politiques, aux convictions philosophiques, à la religion, à la secte ou à d’autres croyances, à l’apparence et à la tenue vestimentaire, à l’appartenance à des associations, fondations ou syndicats, à la santé, à la vie sexuelle, aux condamnations pénales et aux mesures de sûreté, ainsi que les données biométriques et génétiques sont des données à caractère personnel sensibles. Les données relevant de ce champ d’application sont limitées et ne peuvent être étendues par interprétation.

Les catégories spéciales de données à caractère personnel, en raison de leur nature particulière, sont des données qui peuvent entraîner une discrimination et une victimisation de la personne concernée si elles sont connues. Elles doivent donc être protégées de manière beaucoup plus stricte que les autres données à caractère personnel.

  1. Données personnelles sensibles autres que la santé et la vie sexuelle

Des catégories particulières de données à caractère personnel autres que les données à caractère personnel relatives à la santé et à la vie sexuelle peuvent être traitées sans le consentement explicite de la personne concernée dans les cas prévus par la loi.

  1. Données personnelles sensibles relatives à la santé et à la vie sexuelle

Les données personnelles sensibles relatives à la santé et à la vie sexuelle ne peuvent être traitées que par des personnes soumises à l’obligation de confidentialité ou par des institutions et organisations autorisées à des fins de protection de la santé publique, de médecine préventive, de diagnostic médical, de traitement et de services de soins, de planification et de gestion des services de santé et de financement.

3.5. Éclairer et informer le propriétaire des données personnelles

Lors de la collecte de données à caractère personnel, les personnes concernées sont informées par l’Op. Dr. Serpil Kırım en sa qualité de responsable du traitement ou par des personnes autorisées par elle. Les procédures et principes relatifs à l’information sont précisés dans les Textes de clarification sur la protection des données personnelles publiés par l’Op. Dr. Serpil Kırım et l’information comprend en résumé les éléments suivants :

  • Identité du responsable du traitement et de son représentant, le cas échéant,
  • La finalité du traitement des données à caractère personnel,
  • À qui et dans quel but les données personnelles peuvent être transférées,
  • La méthode et la raison légale de la collecte des données personnelles,
  • Les droits de la personne concernée, tels qu’ils sont définis à l’article 11 de la loi.
  1. Identité du responsable du traitement et de son représentant

Conformément à l’article 10 de la loi, les données à caractère personnel obtenues auprès des personnes concernées(employés, candidats à l’emploi, patients, parents de patients, fournisseurs, pharmacies, visiteurs, stagiaires et autres tiers concernés) sont traitées par l’Op. Dr. Serpil Kırım en tant que responsable du traitement des données, et le contact de l’unité concernée peut être fourni via l’adresse électronique [email protected] ou http://www.drserpilkirim.com/.

  1. Finalités du traitement des données à caractère personnel

Le traitement des données à caractère personnel est effectué pour des finalités déterminées, explicites et légitimes et repose sur le principe de l’information des personnes concernées. Les finalités pour lesquelles vos données obtenues sont traitées sont définies dans la V. CATÉGORISATION ET FINALITÉS DU TRAITEMENT DES DONNÉES PERSONNELLES TRAITÉES PAR L’OP. DR. SERPİL KIRIM se trouve dans la section.

  1. Personnes auxquelles les données à caractère personnel sont transférées et finalité du transfert

Dans le cadre de l’obligation du responsable du traitement d’informer la personne concernée, les personnes auxquelles les données à caractère personnel sont transférées et les finalités du transfert doivent être clairement indiquées. Les données à caractère personnel ne peuvent être transférées à des tiers sans le consentement explicite de la personne concernée. Groupes de destinataires auxquels les données à caractère personnel sont transférées par l’Op. Dr. Serpil Kırım et les finalités du transfert IV. TRANSFERT DE DONNÉES À CARACTÈRE PERSONNEL indiqué dans la section.

  1. Méthode et fondements juridiques de la collecte des données à caractère personnel

Conformément aux articles 5 et 6 de la loi, le responsable du traitement doit indiquer clairement sur quelle base les données à caractère personnel sont traitées. La méthode et les moyens de collecte des données sont déterminés par le responsable du traitement. Les conditions de traitement des données à caractère personnel, c’est-à-dire les cas de licéité, sont énumérées en nombre limité dans la loi (articles 5 et 6), et ces conditions ne peuvent pas être élargies.

Le responsable du traitement Op. Dr. Serpil Kırım évalue si la finalité de l’activité de traitement des données à caractère personnel est principalement fondée sur l’une des conditions de traitement autres que le consentement explicite, et si cette finalité ne remplit pas au moins l’une des conditions autres que le consentement explicite spécifiées dans la loi, alors le consentement explicite de la personne est obtenu pour la poursuite de l’activité de traitement des données.

  1. TRANSFERT DE DONNÉES À CARACTÈRE PERSONNEL

4.1. Transfert national

Les données à caractère personnel ne peuvent être transférées sans le consentement explicite de la personne concernée. Toutefois, les données à caractère personnel ne peuvent être transférées sans le consentement explicite de la personne concernée.

  • Article 5, deuxième paragraphe,
  • Pour autant que des précautions adéquates soient prises, à l’article 6, troisième alinéa

En présence de l’une des conditions spécifiées, il peut être transféré sans demander le consentement explicite de la personne concernée.

En conséquence, il est clairement stipulé par la loi (1), il est nécessaire à la protection de la vie ou de l’intégrité corporelle de la personne qui n’est pas en mesure de révéler son consentement en raison d’une impossibilité réelle ou dont le consentement n’est pas juridiquement valable ou d’une autre personne (2), il est nécessaire de traiter les données à caractère personnel des parties à un contrat, à condition qu’elles soient directement liées à la conclusion ou à l’exécution d’un contrat (3), les données à caractère personnel de la personne concernée peuvent être transférées à des tiers sans obtenir le consentement explicite de la personne concernée si cela est nécessaire pour que le responsable du traitement remplisse son obligation légale (4), si cela a été rendu public par la personne concernée elle-même (5), si le traitement des données est obligatoire pour la constatation, l’exercice ou la protection d’un droit (6), si le traitement des données est obligatoire pour les intérêts légitimes du responsable du traitement, à condition qu’il ne porte pas atteinte aux libertés et aux droits fondamentaux de la personne concernée.Le traitement des données ne doit pas être effectué sans le consentement explicite des personnes concernées.

Vos données personnelles et vos données de santé personnelles aux fins décrites dans le présent texte de politique et dans le cadre de la loi fondamentale n° 3359 sur les services de santé, du décret-loi n° 663 sur l’organisation et les fonctions du ministère de la santé et des institutions affiliées, de la loi n° 6698 sur la protection des données personnelles, du règlement sur les hôpitaux privés, du règlement sur le traitement des données de santé personnelles et la protection de la vie privée et des réglementations connexes ;

Serpil Kırım, elles sont transférées au ministère de la santé, à l’institution de la sécurité sociale, à la direction générale de la sécurité et à d’autres organismes chargés de l’application de la loi, au CİMER, au SABİM, au ministère du travail, à la direction générale de la population, aux tribunaux et aux bureaux chargés de l’application de la loi, à l’association des pharmaciens turcs, aux institutions de réglementation et de surveillance, aux compagnies d’assurance, aux représentants autorisés par les patients, aux laboratoires collaborateurs et à d’autres centres, ainsi qu’aux systèmes de dossiers médicaux électroniques et de dossiers de santé électroniques.

Les informations sur les groupes de destinataires auxquels vos données personnelles traitées par l’Op. Dr. Serpil Kırım sont transférées sont fournies dans l’Annexe 4 – Tiers auxquels les données personnelles sont transférées et finalités du transfert.

4.2. Transfert à l’étranger

Les données à caractère personnel ne peuvent être transférées à l’étranger sans le consentement explicite de la personne concernée. À condition que l’une des conditions spécifiées à l’article 5, deuxième alinéa, et à l’article 6, troisième alinéa, de la loi soit remplie dans le pays étranger où les données à caractère personnel seront transférées ;

  • Disponibilité d’une protection adéquate,
  • En l’absence de protection adéquate, les responsables du traitement en Turquie et dans le pays étranger concerné s’engagent par écrit à fournir une protection adéquate et l’autorisation de la Commission est obtenue,

à condition qu’elles puissent être transférées à l’étranger sans demander le consentement explicite de la personne concernée.

  1. OP. DR. SERPIL KIRIM CATÉGORISATION ET FINALITÉS DU TRAITEMENT DES DONNÉES À CARACTÈRE PERSONNEL TRAITÉES PAR

Les catégories de données obtenues par l’Op. Dr. Serpil Kırım et les objectifs poursuivis dans le traitement des données personnelles sont indiqués dans les sections pertinentes des textes de clarification sur notre site Web pour chaque catégorie de personne concernée.

  1. LES MESURES ADMINISTRATIVES ET TECHNIQUES PRISES POUR LA PROTECTION DES DONNÉES PERSONNELLES

Des mesures administratives et techniques sont prises par l’Op. Dr. Serpil Kırım pour le stockage sûr des données personnelles et la prévention du traitement illégal et de l’accès aux données personnelles.

Serpil Kırım détermine toutes les données à caractère personnel traitées par Op. Dr. Serpil Kırım et la probabilité d’occurrence des risques qui peuvent survenir en ce qui concerne la protection de ces données ; lors de la détermination de ces risques, il est tenu compte du fait que les données à caractère personnel sont ou non des données à caractère personnel sensibles (1), du degré de confidentialité requis par leur nature (2), de la nature et de la quantité des dommages qui peuvent survenir pour la personne concernée en cas de violation de la sécurité (3).

Après l’identification et la hiérarchisation de ces risques, les alternatives de contrôle et de solution pour réduire ou éliminer ces risques doivent être évaluées conformément aux principes de coût, d’applicabilité et d’utilité, et les mesures techniques et administratives nécessaires sont planifiées et mises en œuvre.

6.1. Mesures administratives

Il est très important, pour garantir la sécurité des données à caractère personnel, que les employés fassent la première intervention, même s’ils n’ont qu’une connaissance limitée de la cybersécurité et des attaques susceptibles de porter atteinte à la sécurité des données à caractère personnel. C’est pourquoi des activités de sensibilisation et d’information sont menées au sein de notre organisation interne en tant que responsable du traitement des données.

Il est veillé à ce que les employés reçoivent la formation nécessaire sur des questions telles que l’interdiction de divulguer et de partager illégalement des données à caractère personnel, l’organisation d’activités de sensibilisation pour les employés et la création d’un environnement dans lequel les risques de sécurité peuvent être identifiés ; les rôles et responsabilités de toutes les personnes travaillant pour le responsable du traitement en matière de sécurité des données à caractère personnel, quel que soit leur poste, sont définis dans leur description de poste et les employés sont conscients de leur rôle et de leurs responsabilités à cet égard.

D’autre part, des accords de confidentialité sont signés dans le cadre du processus de recrutement des employés, et un processus disciplinaire est mis en œuvre si les employés ne respectent pas les politiques et les procédures de sécurité.

En cas de modification des politiques et procédures appliquées en matière de sécurité des données à caractère personnel, des formations sont organisées afin de notifier et d’expliquer les changements aux employés, et les informations sur la sécurité des données et les menaces à la sécurité sont tenues à jour.

Les données personnelles doivent être exactes et mises à jour si nécessaire, conformément aux alinéas (b) et (d) de l’article 4 de la loi, et doivent être conservées pendant la période stipulée dans la législation pertinente ou requise pour la finalité pour laquelle elles sont traitées. Les données traitées dans le cadre du présent champ d’application le sont conformément aux principes et aux règles à respecter dans le cadre de l’activité de traitement des données et sont conservées pendant la période nécessaire aux fins pour lesquelles elles sont traitées. VIII. STOCKAGE ET DESTRUCTION DES DONNÉES À CARACTÈRE PERSONNEL indiqué dans la section.

Le tableau ci-dessous résume les mesures administratives prises pour assurer la sécurité des données :

Mesures administratives
Préparation de l’inventaire des traitements de données à caractère personnel
Politiques de l’entreprise (accès, sécurité de l’information, utilisation, stockage et destruction, etc.)
Contrats (entre le contrôleur des données et le contrôleur des données, le contrôleur des données et le responsable du traitement des données)
Engagements de confidentialité
Audits internes périodiques et/ou aléatoires
Analyses de risques
Contrat de travail, règlement disciplinaire (ajout de dispositions conformes à la loi)
Communication d’entreprise (gestion de crise, processus d’information du conseil d’administration et des personnes concernées, gestion de la réputation, etc.)
Activités de formation et de sensibilisation (sécurité de l’information et droit)
Notification au système d’information du registre des contrôleurs de données (VERBIS)
Politique et procédures en matière de sécurité des données personnelles
Signalement rapide des problèmes de sécurité des données personnelles
Contrôle de la sécurité des données personnelles
Mise en place d’un régime disciplinaire avec des dispositions relatives à la sécurité des données pour les employés
Réduire au maximum les données personnelles
Préparation et mise en œuvre des politiques de l’entreprise en matière d’accès, de sécurité de l’information, d’utilisation, de stockage et de destruction
Suppression des autorisations dans ce domaine pour les employés qui ont changé de poste ou quitté leur emploi
Inclure des dispositions relatives à la sécurité des données dans les contrats signés
Identification des risques et menaces existants
Réalisation d’audits internes périodiques et/ou aléatoires
Des protocoles et des procédures pour la sécurité des données personnelles sensibles ont été déterminés et mis en œuvre.
Sensibiliser les fournisseurs de services de traitement des données à la sécurité des données

6.2. Mesures techniques

Les pare-feu et les passerelles font partie des mesures prises pour protéger les systèmes informatiques contenant des données à caractère personnel contre les accès non autorisés et les menaces émanant de tiers sur l’internet. Le pare-feu utilisé permet d’empêcher les violations du réseau d’information, et la passerelle permet de limiter l’accès des employés aux sites web ou aux plateformes en ligne qui constituent une menace pour la sécurité des données personnelles.

En outre, des contrôles réguliers sont effectués pour s’assurer que les logiciels et le matériel fonctionnent correctement et que les mesures de sécurité prises pour les systèmes sont adéquates. L’accès aux systèmes contenant des données à caractère personnel est limité et, dans ce contexte, les employés sont autorisés à accéder aux systèmes dans la mesure nécessaire à leur travail et à leurs fonctions, autorités et responsabilités, et l’accès aux systèmes concernés se fait au moyen d’un nom d’utilisateur et d’un mot de passe. Lors de la création de ces mots de passe, les séquences de chiffres ou de lettres associées à des informations personnelles et faciles à deviner sont évitées autant que possible.

Des matrices d’autorisation et de contrôle d’accès sont établies au sein de l’organisation du responsable du traitement, et des produits tels que les antivirus et les antispams, qui analysent régulièrement le réseau du système d’information et détectent les dangers, sont utilisés pour se protéger contre les logiciels malveillants.

Afin de garantir la sécurité des données, les mesures nécessaires sont prises pour s’assurer que les documents papier contenant des données à caractère personnel et les serveurs, les dispositifs de sauvegarde, les CD, les DVD, les USB et autres dispositifs de stockage similaires ne sont accessibles qu’au personnel autorisé et pour renforcer la sécurité physique à cet égard.

Le tableau ci-dessous résume les mesures administratives prises pour assurer la sécurité des données :

Mesures techniques
Matrice d’autorisation
Contrôle de l’autorité
Journaux d’accès
Gestion des comptes d’utilisateurs
Sécurité des réseaux
Sécurité des applications
Cryptage
Systèmes de détection et de prévention des intrusions
Logiciel de prévention de la perte de données
Sauvegarde
Pare-feu
Systèmes antivirus actuels
Effacement, destruction ou anonymisation
Gestion des clés

VII. LES ACTIVITÉS DE TRAITEMENT DES DONNÉES À CARACTÈRE PERSONNEL MENÉES À L’ENTRÉE DES BÂTIMENTS ET DES INSTALLATIONS, AINSI QU’À L’INTÉRIEUR DES BÂTIMENTS ET DES INSTALLATIONS

7.1. Activités de surveillance par caméra menées aux entrées et à l’intérieur des bâtiments et des installations

Dans le cadre de la loi sur les services de sécurité privée, des activités de vidéosurveillance sont menées afin d’assurer la sécurité des zones de travail de l’Op. Dr. Serpil Kırım, des zones communes, du parking et de ses environs, et de protéger les intérêts de l’Op. Dr. Serpil Kırım et d’autres personnes. Les activités de surveillance par caméra sont menées conformément à la loi et dans le cadre des conditions de traitement des données énumérées à la fois dans la loi et dans la présente politique.

7.2. Surveillance des entrées et sorties des visiteurs aux entrées des bâtiments et des installations, ainsi qu’à l’intérieur.

Afin d’assurer la sécurité de l’Op. Dr. Serpil Kırım, les informations relatives à l’identité des visiteurs de l’Op. Dr. Serpil Kırım font l’objet d’un traitement de données à caractère personnel. Les données personnelles traitées dans le cadre de cette activité sont limitées aux seules fins de l’entrée et de la sortie des visiteurs et les données personnelles pertinentes sont enregistrées dans le système d’enregistrement des données dans un environnement électronique ou physique.

VIII. STOCKAGE ET DESTRUCTION DES DONNÉES À CARACTÈRE PERSONNEL

8.1. Périodes de conservation des données à caractère personnel

Dr. Serpil Kırım sont conservées pendant la période nécessaire à l’activité de traitement des données ; en cas d’obligation d’effacer, de détruire ou de rendre anonyme les données personnelles, elles sont effacées, détruites ou rendues anonymes au cours de la première période de destruction périodique suivant la date d’apparition de cette obligation.

Serpil Kırım agit conformément aux principes généraux énoncés à l’article 4 de la loi et aux mesures techniques et administratives énoncées à l’article 12 en ce qui concerne l’effacement, la destruction ou l’anonymisation de vos données à caractère personnel.

Toutes les transactions concernant l’effacement, la destruction ou l’anonymisation des données à caractère personnel par nos soins sont enregistrées et conservées pendant au moins 30 ans au cours du traitement des données à caractère personnel conformément à l’obligation légale.

L’expert en données personnelles désigné par l’Op. Dr. Serpil Kırım est la personne responsable de l’exécution et de la supervision de la politique de stockage et de destruction des données personnelles.

8.2. Obligation d’effacer, de détruire et d’anonymiser les données à caractère personnel

Les données personnelles traitées par l’Op. Dr. Serpil Kırım sont effacées, détruites ou anonymisées d’office ou à la demande du propriétaire des données concerné dans le cas où les raisons nécessitant leur traitement disparaissent conformément à l’article 7 de la loi et aux dispositions du  » Règlement sur l’effacement, la destruction ou l’anonymisation des données personnelles  » préparé par le Conseil de protection des données personnelles et publié dans le Journal officiel daté du 28 octobre 2017 et numéroté 30224.

  1. Suppression des données à caractère personnel

L’effacement des données personnelles est le processus qui consiste à rendre les données personnelles inaccessibles et non réutilisables de quelque manière que ce soit pour les utilisateurs concernés.

Toutes les mesures techniques et administratives nécessaires sont prises pour garantir que les données à caractère personnel supprimées sont inaccessibles et non réutilisables pour les utilisateurs concernés.

  1. Destruction des données à caractère personnel

La destruction des données à caractère personnel consiste à rendre les données à caractère personnel inaccessibles, irrécupérables et non réutilisables par quiconque, de quelque manière que ce soit. Le responsable du traitement est tenu de prendre toutes les mesures techniques et administratives nécessaires concernant la destruction des données à caractère personnel.

  1. Anonymisation des données personnelles

L’anonymisation des données à caractère personnel consiste à rendre les données à caractère personnel impossibles à associer à une personne physique identifiée ou identifiable, quelles que soient les circonstances, même si les données à caractère personnel sont mises en correspondance avec d’autres données.

Afin d’anonymiser vos données personnelles, l’Op. Dr. Serpil Kırım prend toutes les mesures techniques et administratives nécessaires et les rend anonymes en appliquant des méthodes conformes à notre politique de conservation et de destruction des données personnelles.

8.3. Techniques d’effacement, de destruction et d’anonymisation des données à caractère personnel

Les techniques d’effacement, de destruction ou d’anonymisation des données à caractère personnel traitées par l’Op. Dr. Serpil Kırım sont indiquées ci-dessous, et celles qui seront appliquées peuvent varier en fonction de la nature des données à caractère personnel traitées.

À cette fin, il est tout d’abord nécessaire d’identifier les données à caractère personnel devant être effacées, détruites ou rendues anonymes (1), d’identifier les utilisateurs concernés par chaque donnée à caractère personnel en utilisant une matrice d’autorisation et de contrôle d’accès ou un système similaire (2), de déterminer les autorisations et les méthodes des utilisateurs concernés telles que l’accès, l’extraction, la réutilisation (3), de fermer et d’éliminer les autorisations et les méthodes d’accès, d’extraction et de réutilisation des utilisateurs concernés dans le cadre des données à caractère personnel (4).

La procédure de suppression des données personnelles est la suivante :

  • Émettre une commande de suppression dans les solutions de type « cloud » ou « app »,
  • Obscurcir, tronquer ou rendre invisibles des données sur support papier,
  • Suppression des données sur les supports portables à l’aide d’un logiciel approprié.

Le processus de destruction des données à caractère personnel est le suivant :

  • Destruction physique des supports optiques et magnétiques par fusion, combustion ou pulvérisation,
  • Autres opérations de destruction sur support papier ou électronique.
  1. LES DROITS DU PROPRIÉTAIRE DES DONNÉES À CARACTÈRE PERSONNEL ET L’EXERCICE DE CES DROITS

9.1. Droits du propriétaire des données personnelles

Conformément à la loi n° 6698, en qualité de propriétaire des données :

  • Pour savoir si vos données personnelles sont traitées,
  • Demandez des informations si vos données personnelles ont été traitées,
  • Connaître la finalité du traitement de vos données personnelles et savoir si elles sont utilisées conformément à leur finalité,
  • Connaître les tiers auxquels les données personnelles sont transférées au niveau national ou à l’étranger,
  • Demander la correction des données personnelles en cas de traitement incomplet ou incorrect,
  • Demander l’effacement ou la destruction de vos données personnelles dans le cadre des conditions stipulées dans l’article,
  • En cas de traitement incomplet ou incorrect, demander que la correction de ces données et les opérations concernant leur suppression ou leur destruction soient notifiées aux tiers auxquels les données à caractère personnel sont transférées,
  • S’opposer à ce que l’analyse de vos données traitées exclusivement par des systèmes automatisés aboutisse à un résultat préjudiciable pour vous,
  • En cas de préjudice dû à un traitement illicite de vos données à caractère personnel, demander la réparation du préjudice.

vous avez des droits.

9.2. Exercice des droits du propriétaire des données personnelles

Les demandes concernant l’application de la loi par le propriétaire des données doivent être soumises à l’Op. Dr. Serpil Kırım par écrit à l’adresse électronique de contact [email protected] ou à Barbaros Hayrettin Paşa Mahallesi 1992 Sokak Vetro City No:16 Kat:1 Daire:34 Esenyurt-İstanbul. Le«  Formulaire de demande dupropriétaire des données  » publié par l’Op. Dr. Serpil Kırım sur le site web doit être utilisé pour les demandes de candidature.

9.3. Op. Dr Serpil Crimea Répondre aux demandes

La demande est finalisée par l’Op. Dr Serpil Kırım dans les meilleurs délais en fonction de la nature de la demande. Ce délai ne peut excéder 30 jours à compter de la notification de la demande. Toutefois, si la transaction nécessite des frais, une redevance peut être facturée selon le tarif déterminé par la Commission de protection des données personnelles.

 

Annexe 1 : Définitions

Consentement explicite : consentement lié à un sujet spécifique, fondé sur des informations et exprimé en toute liberté,

Anonymisation : Rendre les données personnelles impossibles à associer à une personne physique identifiée ou identifiable, quelles que soient les circonstances, même en les rapprochant d’autres données,

Groupe de destinataires : La catégorie de personnes physiques ou morales à laquelle le responsable du traitement transfère des données à caractère personnel,

Identifiants directs : Identifiants qui, par eux-mêmes, révèlent, divulguent et rendent reconnaissable la personne à laquelle ils sont associés,

Identifiants indirects: Identifiants qui, combinés à d’autres identifiants, révèlent, divulguent et permettent de distinguer la personne à laquelle ils sont associés,

Personne concernée : La personne physique dont les données personnelles sont traitées,

Utilisateur concerné : Les personnes physiques ou morales qui traitent des données à caractère personnel au sein de l’organisation du responsable du traitement ou conformément à l’autorisation et aux instructions reçues du responsable du traitement, à l’exception de la personne ou de l’unité responsable du stockage technique, de la protection et de la sauvegarde des données,

Destruction: suppression, destruction ou anonymisation des données à caractère personnel,

Loi Loi sur la protection des données personnelles datée du 24/3/2016 et numérotée 6698,

Le noircissement Processus consistant à biffer, colorer et glacer des données à caractère personnel de manière à ce qu’elles ne puissent pas être associées à une personne physique identifiée ou identifiable,

Support d’enregistrement : tout support contenant des données à caractère personnel entièrement ou partiellement automatisées ou traitées par des moyens non automatisés, à condition qu’il fasse partie d’un système d’enregistrement de données,

Données personnelles : Toute information relative à une personne physique identifiée ou identifiable,

Traitement des données à caractère personnel : Tous les types d’opérations effectuées sur des données à caractère personnel, telles que l’obtention, l’enregistrement, le stockage, la conservation, la modification, la réorganisation, la divulgation, le transfert, la prise en charge, la mise à disposition, la classification ou la prévention de l’utilisation de données à caractère personnel par des moyens entièrement ou partiellement automatisés ou par des moyens non automatisés, à condition qu’ils fassent partie d’un système d’enregistrement de données,

Conseil: Conseil de la protection des données personnelles,

Institution Autorité de protection des données personnelles,

Responsable du traitement des données: La personne physique ou morale qui traite les données à caractère personnel pour le compte du responsable du traitement sur la base de l’autorisation accordée par le responsable du traitement,

Système d’enregistrement des données : Le système d’enregistrement dans lequel les données personnelles sont structurées et traitées selon certains critères,

Responsable du traitement des données : La personne physique ou morale qui détermine les finalités et les moyens du traitement des données à caractère personnel et qui est responsable de la mise en place et de la gestion du système d’enregistrement des données.

Informations relatives à l’identité: Votre nom, prénom, numéro de carte d’identité turque, numéro de passeport ou numéro de carte d’identité turque temporaire, lieu et date de naissance, état civil, sexe, numéro d’assurance ou de protocole du patient et autres données d’identification permettant de vous identifier ;

Coordonnées: Votre adresse, votre numéro de téléphone, votre adresse électronique et d’autres données de contact, vos enregistrements d’appels vocaux conservés par les représentants de la clientèle ou les services aux patients conformément aux normes des centres d’appel, et vos données personnelles obtenues lorsque vous nous contactez par courrier électronique, par lettre ou par d’autres moyens ;

Informations comptables: Vos données financières telles que votre numéro de compte bancaire, votre numéro IBAN, les informations relatives à votre carte de crédit, les informations relatives à la facturation ; vos données relatives à l’assurance maladie privée et les données des institutions de sécurité sociale aux fins du financement et de la planification des services de santé ; les images enregistrées par votre caméra qui sont conservées à des fins de sécurité et d’audit si vous vous rendez dans notre clinique,

Informations sur la santé : Tous les types de données personnelles relatives à la santé et à la vie sexuelle obtenues pendant ou à la suite de l’exécution d’un diagnostic médical, d’un traitement et de services de soins, y compris, mais sans s’y limiter, les résultats de laboratoire, les résultats de tests, les données d’examen, les informations sur les rendez-vous, les informations sur les ordonnances, les données personnelles de l’Op. Dr. Serpil Kırım Si vous postulez à un emploi, vos autres données personnelles, y compris le curriculum vitae fourni à cet égard, et toutes les données personnelles liées à votre contrat de service si vous êtes un employé ou un employé apparenté de l’Op. Dr. Serpil Kırım.

ANNEXE – 2 : Personnes concernées par les données personnelles (personnes concernées)

Catégories de sujets de données Description des données
Employé Le Dr Serpil Kırım fait référence aux personnes travaillant au sein de l’organisation.
Candidat salarié Il s’agit de personnes réelles qui postulent à un emploi en envoyant un CV à l’Op. Dr. Serpil Kırım ou par d’autres méthodes.
Stagiaire Serpil Kırım fait référence aux personnes qui utilisent la profession pour laquelle elles ont été formées de manière pratique afin d’améliorer leurs connaissances professionnelles.
Patient Il s’agit des personnes réelles qui bénéficient des services fournis par l’Op. Dr Serpil Kırım.
Parent du patient Il s’agit des compagnons ou des parents des patients qui utilisent les services fournis par l’Op. Dr. Serpil Kırım.
Fournisseur Il s’agit de personnes physiques et d’employés de personnes morales auprès desquelles des services sont achetés.
Visiteur Le Dr Serpil Kırım fait référence aux troisièmes personnes qui lui ont rendu visite.
Autres tiers concernés Serpil Kırım se réfère à des personnes autres que celles énumérées qui ont déposé une demande et communiqué avec elle.

ANNEXE – 3 : Tiers auxquels les données à caractère personnel sont transférées

Personne/unité transférée Objet du transfert
Ministère de la santé Transférer les informations qui doivent être transférées conformément à la santé publique et à la législation.
Institution de sécurité sociale Transfert d’informations afin d’effectuer les transactions des employés, des candidats à l’emploi et des patients dans le cadre de la sécurité sociale.
Institutions et organisations publiques autorisées Partage/transfert des informations et documents demandés par les institutions et organisations publiques compétentes à l’Op. Dr. Serpil Kırım, dans la limite de l’objectif visé.
Fournisseurs Transfert de données à caractère personnel limité à la fourniture des services reçus des fournisseurs.

ANNEXE- 4 : Finalités du transfert de données à caractère personnel

Op. Dr. Toutes vos données personnelles obtenues par Serpil Kırım peuvent être traitées pour les objectifs énumérés ; Confirmation de votre identité, protection de la santé publique, médecine préventive, diagnostic médical, traitement et services de soins, planification et gestion des services de santé et du financement, planification et gestion du fonctionnement de notre clinique et des opérations quotidiennes, fourniture de médicaments, information sur le rendez-vous si vous prenez rendez-vous, réalisation d’activités de gestion des risques et d’amélioration de la qualité, réalisation d’évaluations pour l’amélioration des services de santé, réalisation de recherches, répondre aux exigences légales et réglementaires, confirmer votre relation avec les institutions sous contrat avec la clinique, facturer nos services de santé, partager les informations demandées avec les compagnies d’assurance privées dans le cadre du financement des services de santé, partager les informations demandées avec le ministère de la santé et les institutions et organisations publiques concernées conformément à la législation applicable, répondre à toutes vos questions et plaintes concernant nos services de santé, prendre toutes les mesures techniques et administratives nécessaires dans le cadre de la sécurité des données des systèmes et applications de notre clinique, analyser votre utilisation des services de santé et stocker vos données de santé afin de développer et d’améliorer les services de santé que nous offrons, fournir les informations nécessaires conformément aux demandes et audits des institutions de régulation et de supervision et des autorités officielles, former et développer nos employés, surveiller les abus et les transactions non autorisées, la prévention et l’annulation des transactions, la conservation des informations relatives à vos données de santé qui doivent être conservées conformément à la législation applicable, le rapprochement financier avec les institutions avec lesquelles nous avons passé un contrat concernant les services de santé qui vous sont fournis, la mesure de la satisfaction des patients et, sans limitation, l’exécution, le développement de services de diagnostic médical, de traitement et de soins, la planification et la gestion des services de santé et du financement, l’augmentation de la satisfaction des patients, la recherche et d’autres objectifs similaires.

 

 

 

 

 

 

 

 

ANNEXE-5 : Périodes

Catégorie de données personnelles Période de stockage Base juridique
Données relatives à la santé (données biométriques, génétiques et d’examen, résultats de laboratoire, de test, d’analyse et d’examen, informations sur les bilans de santé et les ordonnances, dossiers des patients et données relatives à la santé, y compris, mais sans s’y limiter, les informations sur les proches des patients obtenues le cas échéant) 30 ans à compter de la fin de l’activité de traitement des données à caractère personnel. Règlement sur les hôpitaux privés, code pénal turc
Tous les documents comptables et financiers 10 ans Loi n° 6102, loi n° 213
Cookies et journaux de bord 6 mois – 2 ans maximum Loi sur l’internet n° 5651
Informations sur le trafic des visiteurs en ligne 2 ans Loi n° 5651
Données à caractère personnel concernant les fournisseurs 10 ans après la fin de la relation juridique Loi n° 6102, loi n° 6098 et loi n° 213
Transactions du comité de protection des données personnelles 10 ans Autorité de protection des données personnelles Politique de stockage et de destruction des données personnelles publiée par le KVKK
Contrats 10 ans à compter de la fin du contrat Loi n° 6102 et loi n° 6098
Processus de ressources humaines 10 ans à compter de la fin de l’activité Loi sur le travail n° 4857 et législation connexe
Visiteur Enregistrement 2 ans à compter de la fin de l’événement Autorité de protection des données personnelles Politique de stockage et de destruction des données personnelles publiée par le KVKK
Données relatives au dossier personnel conservées dans le cadre du droit du travail 10 ans à compter de la fin de la relation de travail Loi sur le travail n° 4857 et législation connexe et Code turc des obligations n° 6098
Données collectées dans le cadre de la législation sur la santé et la sécurité au travail (rapports sur la santé, formations à la santé et à la sécurité au travail, registres des activités liées à la santé et à la sécurité au travail, etc.) 15 ans à compter de la fin de la relation de travail Loi n° 6331 sur la santé et la sécurité au travail et législation connexe
Données conservées dans le cadre de la législation SSI (notifications d’emploi, documents relatifs aux primes/services, etc.) 10 ans à compter de la fin de la relation de travail Loi n° 5510 sur la sécurité sociale et l’assurance maladie générale et législation connexe
Données relatives aux candidatures (CV, curriculum vitae, lettre de motivation, formulaire de candidature, etc.) 1 an Les coutumes sectorielles s’appliquent.
Données à caractère personnel traitées dans le cadre de relations contractuelles 10 ans après la fin du contrat Code des obligations turc n° 6098
Données à caractère personnel relatives aux dossiers fiscaux 5 ans Loi de procédure fiscale n° 213
Données à caractère personnel traitées à des fins de sécurité dans le cadre des caméras de vidéosurveillance (enregistrements des caméras) 90 jours Personnalisation sectorielle
Informations relatives au trafic traitées lors de l’utilisation du réseau Internet, de l’accès à Internet et de la connexion à distance (adresse IP, heure de début et de fin du service fourni, type de service utilisé, quantité de données transférées et informations d’identification de l’abonné, le cas échéant). 2 ans Loi n° 5651 sur la réglementation des publications sur l’internet et la lutte contre les infractions commises par le biais de ces publications
Données personnelles d’une personne décédée Au moins 20 ans Règlement sur les données de santé à caractère personnel publié au Journal officiel du 21.06.2018 et numéroté 30808.

 

Bunlar da ilginizi çekebilir:

Ce site est enregistré sur wpml.org en tant que site de développement. Passez à un site de production en utilisant la clé remove this banner.