شركة بايرامباسا بايرامباسا لصناعة وتجارة خدمات صحة الأسنان المحدودة AK 212

سياسة تخزين البيانات الشخصية والتخلص منها

 

1-المقدمة

1.1 الغرض

This Personal Data Retention and Disposal Policy (“Policy”) is within the framework of the applicable legislation.Ak 212 Bayrampaşa Dental Health Services Industry and Trade Limited Company(Hereinafter referred to as the “Company”.)It is applied to all and is based on nationally accepted basic principles regarding personal data destruction. It includes the framework and principles regarding the necessary destruction works within the scope of the relevant legislation.

 

In the third paragraph of Article 7 of the Law on Protection of Personal Data (“Law”), there is the provision “The procedures and principles regarding the deletion, destruction or anonymization of personal data are regulated by a regulation”. Pursuant to this provision and subparagraph (e) of the first paragraph of Article 22 of the Law, the Regulation on the Deletion, Destruction or Anonymization of Personal Data (“Regulation”) has been prepared by the Personal Data Protection Board (“Board”) and dated 28 October 2017. It was published in the Official Gazette numbered 30224.

 

استنادًا إلى اللائحة المذكورة أعلاه، فإن الغرض من هذه السياسة هو تحديد الإجراءات والمبادئ المتعلقة بحذف أو إتلاف أو إخفاء هوية البيانات الشخصية التي تعالجها الشركة في إطار ممارسة أنشطتها، وفقًا للائحة.

 

1.2.1 النطاق

تندرج البيانات الشخصية الخاصة بالموظفين والمرشحين للموظفين والزوار والأطراف الثالثة التي نتعاون معها والأطراف الثالثة العاملة في الشركة ضمن نطاق هذه السياسة، ويتم تطبيق هذه السياسة في جميع بيئات التسجيل التي تتم فيها معالجة البيانات الشخصية التي تملكها الشركة أو تديرها وفي أنشطة معالجة البيانات الشخصية. .

 

1.3. المختصرات والتعاريف

المفهوم التعريف
مجموعة المتلقين فئة الشخص الطبيعي أو الاعتباري الذي تُنقل إليه البيانات الشخصية من قبل مراقب البيانات
موافقة مفتوحة الموافقة على موضوع معين، بناءً على المعلومات والتعبير عنها بإرادة حرة
صنع المجهول جعل البيانات الشخصية غير قابلة للربط مع شخص طبيعي محدد أو يمكن تحديد هويته تحت أي ظرف من الظروف، حتى عن طريق المطابقة مع بيانات أخرى.
البيئة الإلكترونية البيئات التي يمكن فيها إنشاء البيانات الشخصية وقراءتها وتغييرها وكتابتها بواسطة الأجهزة الإلكترونية.
الوسائط غير الإلكترونية جميع الوسائط المكتوبة والمطبوعة والمرئية وغيرها بخلاف الوسائط الإلكترونية والبيئات الأخرى.

 

شخص ذو صلة الشخص الطبيعي الذي تتم معالجة بياناته الشخصية
مستخدم ذو صلة باستثناء الشخص أو الوحدة المسؤولة عن التخزين الفني للبيانات وحمايتها ونسخها الاحتياطي، فإن الأشخاص الذين يعالجون البيانات الشخصية داخل منظمة مراقب البيانات أو بما يتماشى مع التفويض والتعليمات الواردة من مراقب البيانات.
التدمير حذف البيانات الشخصية أو إتلافها أو إخفاء هويتها
القانون القانون رقم 6698 بشأن حماية البيانات الشخصية
وسائط التسجيل أي وسيط يحتوي على بيانات شخصية مؤتمتة كليًا أو جزئيًا أو تتم معالجتها بوسائل غير آلية، شريطة أن تكون جزءًا من أي نظام لتسجيل البيانات.
البيانات الشخصية أي معلومات تتعلق بشخص طبيعي محدد الهوية أو يمكن التعرف عليه
مالك البيانات الشخصية الشخص الطبيعي الذي تتم معالجة بياناته الشخصية
معالجة البيانات الشخصية الحصول على البيانات الشخصية أو تسجيلها أو تخزينها أو حفظها أو حفظها أو تغييرها أو إعادة ترتيبها أو إعادة ترتيبها أو الإفصاح عنها أو نقلها أو الاستيلاء عليها أو إتاحتها أو تصنيفها أو استخدامها كليًا أو جزئيًا بوسائل آلية أو غير آلية شريطة أن تكون جزءًا من أي نظام لتسجيل البيانات. جميع أنواع العمليات التي تتم على البيانات، مثل الحجب
قائمة جرد معالجة البيانات الشخصية أنشطة معالجة البيانات الشخصية التي يقوم بها مراقبو البيانات اعتمادًا على عملياتهم التجارية؛ قائمة الجرد التي قاموا بإنشائها من خلال ربط البيانات الشخصية بأغراض المعالجة وفئة البيانات ومجموعة المستلمين المنقولة ومجموعة أصحاب البيانات، مع توضيح الحد الأقصى للوقت اللازم للأغراض التي تتم معالجة البيانات الشخصية من أجلها، والبيانات الشخصية التي سيتم نقلها إلى دول أجنبية والتدابير المتخذة فيما يتعلق بأمن البيانات.
مجلس الإدارة مجلس حماية البيانات الشخصية
المنظمة هيئة حماية البيانات الشخصية
الفئات الخاصة من البيانات الشخصية البيانات المتعلقة بالعرق أو الأصل الإثني أو الرأي السياسي أو المعتقد الفلسفي أو الدين أو المذهب أو المعتقدات الأخرى أو الزي أو اللباس أو العضوية في الجمعيات أو المؤسسات أو النقابات أو الصحة والحياة الجنسية والإدانات الجنائية والتدابير الأمنية، بالإضافة إلى البيانات البيومترية والجينية
التدمير الدوري في حالة انتفاء جميع شروط معالجة البيانات الشخصية الواردة في القانون، يتم تنفيذ عملية الحذف أو التدمير أو إخفاء الهوية بحكم القانون على فترات متكررة ومحددة في سياسة تخزين البيانات الشخصية وتدميرها.
السياسة السياسة التي يستند إليها مراقبو البيانات في عملية تحديد الحد الأقصى للوقت اللازم للغرض الذي تتم معالجة البيانات الشخصية من أجله، وعملية الحذف والإتلاف وإخفاء الهوية.
السجل سجل مراقبي البيانات الذي تحتفظ به هيئة حماية البيانات الشخصية.
معالج البيانات الشخص الحقيقي أو الاعتباري الذي يقوم بمعالجة البيانات الشخصية نيابةً عن مراقب البيانات، بناءً على السلطة الممنوحة من قبل مراقب البيانات.
نظام تسجيل البيانات نظام السجل حيث تتم معالجة البيانات الشخصية وتنظيمها وفقًا لمعايير معينة.
وحدة التحكم في البيانات يشير إلى الشخص الطبيعي أو الاعتباري الذي يحدد أغراض ووسائل معالجة البيانات الشخصية ويكون مسؤولاً عن إنشاء وإدارة نظام تسجيل البيانات.
التنظيم

 

اللائحة التنظيمية المتعلقة بحذف البيانات الشخصية أو إتلافها أو إخفاء هويتها، والتي دخلت حيز التنفيذ من خلال نشرها في الجريدة الرسمية بتاريخ 28.10.2017 وتحمل رقم 30224.

 

 

  1. توزيع المسؤوليات والواجبات

The company’sall its units and employees, by the responsible units, the implementation of the technical and administrative measures taken within the scope of the Policy, the training and awareness of the unit employees, their monitoring and continuous supervision, the prevention of the illegal processing of personal data, the prevention of unlawful access to personal data and the protection of personal data against the law. It actively supports the responsible units in taking technical and administrative measures to ensure data security in all environments where personal data is processed in order to ensure proper storage.

 

يرد أدناه توزيع الألقاب والوحدات والتوصيف الوظيفي للمشاركين في تخزين البيانات الشخصية وإتلافها.

 

الجدول 1: توزيع مهام عمليات التخزين والتخلص من النفايات

العنوان

 

الوحدة

 

الوصف الوظيفي

 

موظف تكنولوجيا المعلومات

 

الحوسبة

 

ضمان امتثال العمليات ضمن واجبها لفترة الاحتفاظ بالبيانات، وإدارة عملية الإتلاف الدوري، وإجراء عمليات التدقيق والضوابط اللازمة من أجل الاستجابة لطلبات مالكي البيانات.

 

مدير قسم المحاسبة
المحاسبة

 

التأكد من امتثال العمليات في إطار واجبها مع فترة التخزين، وإدارة فترة الإتلاف الدوري، والتحقق من استمرارية التزامات تخزين الدفاتر والمستندات الناشئة عن قانون مكافحة الإرهاب رقم 6100 والتشريعات الضريبية، وما إذا كانت الالتزامات قد تم إلغاؤها.

 

مدير الموارد البشرية

 

الموارد البشرية

 

ضمان امتثال البيانات الشخصية للموظفين لفترة الاحتفاظ بالبيانات الشخصية للموظفين، وإدارة عملية الإتلاف الدوري، وتلقي طلبات التوضيح من الموظفين بشأن حقوقهم المحددة في القانون والرد عليها

 

 

  1. بيئات التسجيل

يتم تخزين البيانات الشخصية بشكل آمن من قبل المؤسسة في البيئات المدرجة في الجدول 2، وفقًا للقانون.

الجدول 2: بيئات تخزين البيانات الشخصية

الوسائط الإلكترونية الوسائط غير الإلكترونية
·        Servers (Domain, backup, email, database, web, file sharing, etc.)

·        Software (office software) Information security devices (firewall, log file, antivirus, etc.)

·        Mobile devices (phone, tablet, etc.)

·        Optical discs (CD, DVD, etc.)

·        Removable memories (USB, Memory Card etc.)

·        Printer, scanner, copier

·        Removable memory such as USB, hard disk

·        Desktop and laptop

·        Paper

·        Manual data recording systems

·        Written, printed, visual media

·        folders

·        Folders

 

4.توضيحات بشأن التخزين والتخلص من النفايات

من قبل الشركة؛ الموظف، أو الموظف المرشح، أو المورد، أو مسؤول المورد، أو موظف المورد، أو موظف المورد، أو مشتري المنتج أو الخدمة، أو المشتري المحتمل للمنتج أو الخدمة، أو موظف الشخص الذي يتلقى المنتج أو الخدمة، أو قريب الشخص الذي يتلقى المنتج أو الخدمة، يتم تخزين البيانات الشخصية للأشخاص الحقيقيين، بما في ذلك المساهمين/الشركاء والزوار والأطراف الثالثة الأخرى، وإتلافها وفقًا لـ KVKK.

في هذا السياق، ترد أدناه توضيحات مفصلة فيما يتعلق بالتخزين والتخلص، على التوالي.

 

4.1 ملاحظات حول الاحتفاظ

في المادة 3 من القانون، تم تعريف مفهوم معالجة البيانات الشخصية، وفي المادة 4 ورد أن البيانات الشخصية التي تتم معالجتها يجب أن تكون مرتبطة بالغرض الذي تتم معالجتها من أجله، وأن تكون محدودة ومقاسة ويجب الاحتفاظ بها للفترة المطلوبة للغرض الذي تتم معالجتها من أجله أو كما هو منصوص عليه في التشريعات ذات الصلة.

Accordingly, within the framework of the Company’s activities, personal data is stored for a period of time stipulated in the relevant legislation or suitable for our processing purposes.

 

 

 

4.1.1.1 الأسباب القانونية للاحتفاظ بها

Company, preserves the personal data processed within the framework of its activities for the period stipulated in the relevant legislation. In this context, personal data;

  • Tax Procedure Law No. 213
  • Health Services Basic Law No. 3359
  • Labor Law No. 4857
  • Social Insurance and General Health Insurance Law No. 5510
  • Law No. 5651 on Regulation of Broadcasts on the Internet and Combating Crimes Committed Through These Broadcasts
  • Turkish Code of Obligations No. 6098
  • Turkish Commercial Code No. 6102
  • Occupational Health and Safety Law No. 6361
  • القانون رقم 6698 بشأن حماية البيانات الشخصية
  • Decree Law No. 663 on the Organization and Duties of the Ministry of Health and its Affiliates
  • Regulation on Private Health Institutions Providing Oral and Dental Health Services
  • Private Hospitals Regulation, Health Practice Communiqué, Patient Rights Regulation

It is stored as long as the storage periods specified in the other secondary legislation in force, especially

 

4.1.2. Processing Purposes Requiring Storage

Company, stores the personal data it processes within the framework of its activities for the following purposes:

  • Execution of emergency management processes
  • Execution of information security processes
  • Execution of employee candidate / intern / student selection and placement processes,
  • Execution of the application processes of working candidates
  • Fulfillment of obligations arising from employment contracts and regulations for employees
  • Execution of fringe benefits and benefits processes for employees
  • Conducting Educational Activities
  • Execution of activities in accordance with the legislation,
  • Execution of finance and accounting works
  • Providing physical space security
  • Execution of assignment processes
  • Conducting communication activities
  • Carrying out human resources processes
  • Execution/supervision of Business Activities
  • Execution of occupational health / safety activities
  • Carrying out business continuity activities
  • Execution of Logistics Activities
  • Execution of goods / services production and operation processes
  • Execution of goods/service purchasing processes
  • Execution of goods/service sales processes
  • Execution of Risk Management Processes
  • Organization and event management
  • Execution of contract processes
  • Follow-up of requests/complaints
  • Ensuring the security of movable property and resources
  • Execution of supply chain management processes
  • Execution of medical diagnosis, treatment and care services
  • Ensuring the security of data controller operations
  • Foreign Personnel Work and Residence Permit Procedures
  • Providing information to authorized persons, institutions and organizations
  • Execution of management activities

 

4.2. Reasons for Destruction

Personal data;

  • Amendment or repeal of the provisions of the relevant legislation, which are the basis for processing,
  • The disappearance of the purpose requiring its processing or storage,
  • In cases where the processing of personal data takes place only on the basis of explicit consent, the data subject withdraws his explicit consent,
  • Acceptance of the application made by the person concerned for the deletion and destruction of personal data in accordance with Article 11 of the KVKK,
  • The company’sIn the event that the person concerned rejects the application made to him/her with a request for the deletion or destruction of his/her personal data, finds his/her response insufficient, or fails to respond within the period stipulated in the KVKK; making a complaint to the Board and this request being approved by the Board, and
  • The maximum period for keeping personal data has passed and there are no conditions to justify keeping personal data for a longer period of time.

in cases,CompanyIt is deleted, destroyed or ex officio deleted, destroyed or anonymized by the request of the person concerned.

 

  1. TECHNICAL AND ADMINISTRATIVE MEASURES

Within the framework of adequate measures determined and announced by the Board for special quality personal data in accordance with Article 12 and paragraph 4 of Article 6 of the KVKK in order to keep personal data safe, to prevent unlawful processing and access, and to destroy personal data in accordance with the law. Technical and administrative measures are taken by the company.

 

5.1. Technical Measures

CompanyThe measures taken by the Company regarding the personal data it processes are listed below;

  • Network security and application security are provided.
  • Security measures are taken within the scope of procurement, development and maintenance of information technology systems.
  • The security of personal data stored in the cloud is ensured.
  • Firewalls are used.
  • Personal data is backed up and the security of the backed up personal data is also ensured.
  • User account management and authorization control system are implemented and these are also followed.
  • Encryption is done.
  • Data loss prevention software is used.

 

5.2. Administrative Measures

CompanyThe measures taken by the Company regarding the personal data it processes are listed below;

  • The authorizations of employees who have a change in duty or quit their job in this field are removed.
  • Confidentiality commitments are made.
  • Necessary security measures are taken regarding entry and exit to physical environments containing personal data.
  • The security of physical environments containing personal data against external risks (fire, flood, etc.) is ensured.
  • The security of environments containing personal data is ensured.
  • Personal data is reduced as much as possible.

 

  1. PERSONAL DATA DISPOSAL TECHNIQUES

Personal data at the end of the period stipulated in the relevant legislation or the storage period required for the purpose for which they are processed,CompanyIt is destroyed by the following techniques, ex officio or upon the application of the person concerned, in accordance with the provisions of the relevant legislation.

 

6.1. Deletion of Personal Data

Personal data is deleted with the methods given in Table-3.

Table 3: Deletion of personal data

Data Recording Environment
Explanation
Personal data in the physical environment

 

Personal data in the physical environment are deleted by using the obfuscation method or by keeping the document in a secure environment where it cannot be accessed by the relevant users.

 

Personal Data on Servers

 

The system administrator removes the access authorization of the relevant users and deletes the personal data on the servers for those whose period of time has expired.

 

Personal data in databases

 

By assigning a role and permission, the relevant user is prevented from accessing the personal data in the database.

 

Personal data on portable devices (such as USB, Hard disk, CD, DVD)

 

The user is denied access to the file.

 

 

 

6.2. Destruction of Personal Data

CompanyAs, the methods used by us in order to carry out the legal destruction of personal data are as follows:

Table 4: Destruction of Personal Data

Data Recording Environment
Explanation

 

Personal data in the physical environment

 

Of the personal data in the paper medium, the ones that need to be kept, which have expired, are irreversibly destroyed in the paper clipping machines.

 

Personal data in peripheral (network devices, flash-based environments, optical systems, etc.) and local systems

 

Devices containing personal data; It is destroyed by physical processes such as burning, breaking into small pieces, melting. In addition, the personal data on the device is rendered unreadable by the demagnetization method, thus destroying it. With this; As a result of random data entry on existing data with special software, the recovery of old data is prevented and the destruction process is applied.

 

 

 

6.3. Anonymization of Personal Data

Anonymization of personal data means making personal data not associated with an identified or identifiable natural person under any circumstances, even if it is matched with other data.

In order for personal data to be anonymized; Personal data must be rendered unrelated to an identified or identifiable natural person, even by using appropriate techniques for the recording medium and the relevant field of activity, such as returning the personal data by the data controller or third parties and/or matching the data with other data.

 

 

  1. STORAGE AND DISPOSAL TIMES

Companyregarding the personal data being processed within the scope of its activities;

  • The retention periods on the basis of personal data regarding all personal data within the scope of the activities carried out in connection with the processes are in the Personal Data Processing Inventory;
  • Storage periods on the basis of data categories are recorded in VERBIS;
  • Process-based retention periods are included in this Personal Data Retention and Disposal Policy.

 

Destruction process of personal data,Companyin accordance with the storage periods determined by considering the relevant legislation in accordance with each relationship. Personal data whose storage period has expired,CompanyIt is deleted, destroyed or anonymized in the periodic destruction periods determined by the company.

 

Table 5: Process-Based Storage and Disposal Times Table

PERIOD

 

STORAGE PERIOD

 

DISPOSAL TIME

 

Execution of human resources employee processes

 

15 years from the employee’s departure

 

In the period of periodic destruction of the first 6 months following the end of the storage period

 

Execution of processes regarding employee candidates

 

1 year from the date of application

 

In the period of periodic destruction of the first 6 months following the end of the storage period

 

Execution of contractual relations

 

10 years after the expiration of the contract

 

In the period of periodic destruction of the first 6 months following the end of the storage period

 

Camera Recordings

 

30 days after registration

 

Automatically Destroyed at the End of the Recording Period

 

Accounting and Finance Processes

Execution

to be registered

following 10 years

In the period of periodic destruction of the first 6 months following the end of the storage period

 

Execution of Patient File Processes 20 Years From Its Creation In the period of periodic destruction of the first 6 months following the end of the storage period

 

The ex-officio deletion, destruction or anonymization of personal data whose storage period has expired is carried out by the departments listed under the heading “2. RESPONSIBILITIES AND DUTIES”.

 

  1. PERIODIC DISPOSAL TIME

In accordance with Article 11 of the Regulation, the period of periodic destruction has been determined by the Company as [6] months. Accordingly, the Company performs periodic destruction in June and December every year.

 

  1. PUBLICATION AND STORAGE OF THE POLICY

The policy is published in two different media, with wet signature (printed paper) and electronically, and is disclosed to the public on the website. The printed paper copy is also kept in the file of the Human Resources Department.

 

  1. POLICY UPDATE PERIOD

The policy is updated as needed and changed processes are found.

 

  1. ENFORCEMENT AND REVOCATION OF THE POLICY

This Policy is deemed to have entered into force after its publication on the Company’s website.

If it is decided to be annulled, the wet signed old copies of the Policy are canceled with the company stamp and the signature of the company official (cancellation stamp or by writing cancellation) and are kept by the Human Resources Department for at least 5 years.