AK 212 BAYRAMPASA DENTAL HEALTH SERVICES INDUSTRY AND TRADE LIMITED COMPANY
POLITIQUE DE STOCKAGE ET D'ÉLIMINATION DES DONNÉES PERSONNELLES
1. INTRODUCTION
1.1 Objectif
La présente politique de conservation et de destruction des données à caractère personnel ("politique") s'inscrit dans le cadre de la législation applicable.Ak 212 Bayrampaşa Dental Health Services Industry and Trade Limited Company(Il s'applique à tous et repose sur des principes de base acceptés au niveau national en ce qui concerne la destruction des données à caractère personnel. Il comprend le cadre et les principes relatifs aux travaux de destruction nécessaires dans le cadre de la législation pertinente.
Le troisième paragraphe de l'article 7 de la loi sur la protection des données à caractère personnel ("la loi") stipule que "les procédures et les principes relatifs à la suppression, à la destruction ou à l'anonymisation des données à caractère personnel sont régis par un règlement". Conformément à cette disposition et à l'alinéa e) du premier paragraphe de l'article 22 de la loi, le règlement sur la suppression, la destruction ou l'anonymisation des données à caractère personnel (" règlement ") a été préparé par le Conseil de protection des données à caractère personnel (" Conseil ") et daté du 28 octobre 2017. Il a été publié dans le journal officiel numéroté 30224.
Sur la base du règlement ci-dessus, la présente politique a pour objet de déterminer les procédures et les principes relatifs à l'effacement, à la destruction ou à l'anonymisation des données à caractère personnel traitées par l'entreprise dans le cadre de ses activités, conformément au règlement.
1.2.Champ d'application
Les données personnelles appartenant aux employés, aux candidats à l'emploi, aux visiteurs, aux tiers avec lesquels nous coopérons et aux tiers travaillant au sein de l'entreprise entrent dans le champ d'application de la présente politique, qui est appliquée dans tous les environnements d'enregistrement où des données personnelles détenues ou gérées par l'entreprise sont traitées, ainsi que dans les activités de traitement des données personnelles. .
1.3. Abréviations et définitions
Concept | Définition |
Groupe bénéficiaire | Catégorie de personne physique ou morale à laquelle les données à caractère personnel sont transférées par le responsable du traitement des données |
Consentement libre | Consentement sur un sujet particulier, fondé sur des informations et exprimé avec libre arbitre |
Rendre anonyme | Rendre les données personnelles incapables d'être associées à une personne physique identifiée ou identifiable en toutes circonstances, même en les faisant correspondre à d'autres données. |
Environnement électronique | Environnements dans lesquels des données personnelles peuvent être créées, lues, modifiées et écrites par des appareils électroniques. |
Médias non électroniques | Tous les médias écrits, imprimés, visuels, etc. autres que les médias électroniques. autres environnements.
|
Personne apparentée | Personne physique dont les données personnelles sont traitées |
Utilisateur associé | À l'exception de la personne ou de l'unité responsable du stockage technique, de la protection et de la sauvegarde des données, les personnes qui traitent les données à caractère personnel au sein de l'organisation du responsable du traitement ou conformément à l'autorisation et aux instructions reçues du responsable du traitement. |
Destruction | Effacement, destruction ou anonymisation des données à caractère personnel |
Droit | Loi n° 6698 sur la protection des données personnelles |
support d'enregistrement | Tout support contenant des données à caractère personnel entièrement ou partiellement automatisées ou traitées par des moyens non automatisés, à condition qu'il fasse partie d'un système d'enregistrement de données. |
Données personnelles | Toute information relative à une personne physique identifiée ou identifiable |
Propriétaire des données personnelles | Personne physique dont les données personnelles sont traitées |
Traitement des données à caractère personnel | L'obtention, l'enregistrement, le stockage, la conservation, la modification, la réorganisation, la divulgation, le transfert, la prise en charge, la mise à disposition, la classification ou l'utilisation de données à caractère personnel, en tout ou en partie, par des moyens automatiques ou non automatiques, pour autant qu'ils fassent partie d'un système d'enregistrement de données. toutes sortes d'opérations effectuées sur les données, telles que le blocage |
Inventaire des traitements de données à caractère personnel | Les activités de traitement des données personnelles menées par les responsables du traitement en fonction de leurs processus commerciaux ; l'inventaire qu'ils ont créé en associant les données personnelles aux finalités du traitement, à la catégorie de données, au groupe de destinataires transférés et au groupe de personnes concernées, en expliquant la durée maximale requise pour les finalités du traitement des données personnelles, les données personnelles à transférer à des pays étrangers et les mesures prises en matière de sécurité des données. |
Conseil d'administration | Conseil de protection des données personnelles |
Organisation | Autorité de protection des données personnelles |
Catégories particulières de données à caractère personnel | Données relatives à la race, à l'origine ethnique, aux opinions politiques, aux convictions philosophiques, à la religion, à la secte ou à d'autres convictions, au déguisement et à la tenue vestimentaire, à l'appartenance à des associations, fondations ou syndicats, à la santé, à la vie sexuelle, aux condamnations pénales et aux mesures de sûreté, ainsi qu'aux données biométriques et génétiques. |
destruction périodique | Dans le cas où toutes les conditions de traitement des données à caractère personnel prévues par la loi sont supprimées, le processus de suppression, de destruction ou d'anonymisation doit être effectué d'office à intervalles répétitifs et spécifié dans la politique de stockage et de destruction des données à caractère personnel. |
Politique | La politique sur laquelle les responsables du traitement fondent le processus de détermination de la durée maximale nécessaire à la finalité du traitement des données à caractère personnel, ainsi que le processus d'effacement, de destruction et d'anonymisation. |
Enregistrer | Le registre des responsables du traitement tenu par l'Autorité de protection des données personnelles. |
responsable du traitement des données | La personne physique ou morale qui traite les données à caractère personnel pour le compte du responsable du traitement, sur la base de l'autorité donnée par le responsable du traitement. |
système d'enregistrement des données | Système de registre dans lequel les données personnelles sont traitées et structurées selon certains critères. |
responsable du traitement des données | Il s'agit de la personne physique ou morale qui détermine les finalités et les moyens du traitement des données à caractère personnel et qui est responsable de la mise en place et de la gestion du système d'enregistrement des données. |
règlement
|
Règlement sur l'effacement, la destruction ou l'anonymisation des données à caractère personnel, entré en vigueur par sa publication au Journal officiel daté du 28.10.2017 et numéroté 30224.
|
- RÉPARTITION DES RESPONSABILITÉS ET DES TÂCHES
L'entreprise confie à toutes ses unités et à tous ses employés, par l'intermédiaire des unités responsables, la mise en œuvre des mesures techniques et administratives prises dans le cadre de la politique, la formation et la sensibilisation des employés des unités, leur suivi et leur contrôle continu, la prévention du traitement illégal des données à caractère personnel, la prévention de l'accès illégal aux données à caractère personnel et la protection des données à caractère personnel à l'encontre de la loi. Elle soutient activement les unités responsables dans l'adoption de mesures techniques et administratives visant à garantir la sécurité des données dans tous les environnements où des données à caractère personnel sont traitées afin d'assurer un stockage adéquat.
La répartition des titres, des unités et des descriptions de poste des personnes impliquées dans le stockage et la destruction des données à caractère personnel est indiquée ci-dessous.
Tableau 1 : Répartition des tâches des processus de stockage et d'élimination
Titre
|
Unité
|
Description de l'emploi
|
|
Responsable informatique
|
Informatique
|
Veiller à ce que les processus relevant de sa mission respectent la période de conservation, gérer le processus de destruction périodique, effectuer les audits et les contrôles nécessaires pour répondre aux demandes des propriétaires des données.
|
|
|
Comptabilité
|
Assurer la conformité des processus relevant de sa mission avec la période de conservation, la gestion de la période de destruction périodique, la vérification de la continuité des obligations de conservation des livres et des documents découlant du TCC n° 6100 et de la législation fiscale, et l'élimination de ces obligations.
|
|
Directeur des ressources humaines
|
Ressources humaines
|
Assurer la conformité des données personnelles du personnel avec la période de conservation, gérer le processus de destruction périodique, recevoir et répondre aux demandes d'éclaircissement du personnel concernant leurs droits spécifiés dans la loi.
|
- ENVIRONNEMENTS D'ENREGISTREMENT
Les données à caractère personnel sont stockées en toute sécurité par l'institution dans les environnements énumérés dans le tableau 2, conformément à la loi.
Tableau 2 : Environnements de stockage des données personnelles
Médias électroniques | Médias non électroniques |
- Serveurs (domaine, sauvegarde, courrier électronique, base de données, web, partage de fichiers, etc.)
- Logiciels (logiciels de bureautique) Dispositifs de sécurité de l'information (pare-feu, fichier journal, antivirus, etc.) - Appareils mobiles (téléphone, tablette, etc.) - Disques optiques (CD, DVD, etc.) - Mémoires amovibles (USB, carte mémoire, etc.) - Imprimante, scanner, photocopieur - Mémoire amovible telle que USB, disque dur - Ordinateur de bureau et ordinateur portable |
- Papier
- Systèmes d'enregistrement manuel des données - Médias écrits, imprimés et visuels - dossiers - Dossiers |
4.EXPLICATIONS SUR LE STOCKAGE ET L'ÉLIMINATION
Par l'entreprise : employé, candidat à l'emploi, fournisseur, fonctionnaire du fournisseur, employé du fournisseur, acheteur de produit ou de service, acheteur potentiel de produit ou de service, employé de la personne recevant le produit ou le service, parent de la personne recevant le produit ou le service. Les données personnelles de personnes réelles, y compris les actionnaires/partenaires, les visiteurs et d'autres tiers, sont stockées et détruites conformément à la loi sur la protection des données.
Dans ce contexte, des explications détaillées concernant le stockage et l'élimination sont données ci-dessous.
4.1 Remarques sur la rétention
L'article 3 de la loi définit le concept de traitement des données à caractère personnel et l'article 4 précise que les données à caractère personnel traitées doivent être liées à la finalité pour laquelle elles sont traitées, limitées et mesurées et qu'elles doivent être conservées pendant la période nécessaire à la finalité pour laquelle elles sont traitées ou comme stipulé dans la législation pertinente.
En conséquence, dans le cadre des activités de l'entreprise, les données personnelles sont conservées pendant une période de temps stipulée dans la législation pertinente ou adaptée à nos objectifs de traitement.
4.1.1 Raisons juridiques de la conservation des données
EntrepriseL'Agence européenne pour la sécurité et la santé au travail conserve les données à caractère personnel traitées dans le cadre de ses activités pendant la période prévue par la législation applicable. Dans ce contexte, les données à caractère personnel ;
- Loi de procédure fiscale n° 213
- Loi fondamentale sur les services de santé n° 3359
- Loi sur le travail n° 4857
- Loi n° 5510 sur l'assurance sociale et l'assurance maladie générale
- Loi n° 5651 sur la réglementation des émissions sur Internet et la lutte contre les infractions commises par le biais de ces émissions
- Code des obligations turc n° 6098
- Code commercial turc n° 6102
- Loi n° 6361 sur la santé et la sécurité au travail
- Loi n° 6698 sur la protection des données personnelles
- Décret-loi n° 663 sur l'organisation et les fonctions du ministère de la santé et de ses organismes affiliés
- Règlement relatif aux établissements de santé privés fournissant des services de santé bucco-dentaire
- Règlement sur les hôpitaux privés, Communiqué sur les pratiques de santé, Règlement sur les droits des patients
Elles sont conservées aussi longtemps que les délais de conservation prévus par les autres dispositions du droit dérivé en vigueur, notamment
4.1.2. Finalités du traitement nécessitant le stockage
Company, stocke les données personnelles qu'elle traite dans le cadre de ses activités aux fins suivantes :
- Exécution des processus de gestion des urgences
- Exécution des processus de sécurité de l'information
- Exécution des processus de sélection et de placement des employés, des candidats, des stagiaires et des étudiants,
- Exécution des processus de candidature des candidats actifs
- Exécution des obligations découlant des contrats de travail et des règlements pour les employés
- Exécution des processus relatifs aux avantages sociaux et aux prestations pour les employés
- Mener des activités éducatives
- Exécution des activités conformément à la législation,
- Exécution de travaux financiers et comptables
- Assurer la sécurité physique de l'espace
- Exécution des processus d'affectation
- Mener des activités de communication
- Mise en œuvre des processus de ressources humaines
- Exécution/supervision des activités commerciales
- Exécution d'activités liées à la santé et à la sécurité au travail
- Réalisation d'activités de continuité des activités
- Exécution des activités logistiques
- Exécution des processus de production et d'exploitation des biens et services
- Exécution des processus d'achat de biens/services
- Exécution des processus de vente de biens/services
- Exécution des processus de gestion des risques
- Organisation et gestion d'événements
- Exécution des procédures contractuelles
- Suivi des demandes/plaintes
- Assurer la sécurité des biens meubles et des ressources
- Exécution des processus de gestion de la chaîne d'approvisionnement
- Exécution de services de diagnostic, de traitement et de soins médicaux
- Garantir la sécurité des opérations du responsable du traitement des données
- Procédures relatives au permis de travail et de séjour du personnel étranger
- Fournir des informations aux personnes, institutions et organisations autorisées
- Exécution des activités de gestion
4.2. Raisons de la destruction
Données personnelles ;
- Modification ou abrogation des dispositions de la législation pertinente qui constituent la base du traitement,
- la disparition de la finalité nécessitant son traitement ou son stockage,
- Dans les cas où le traitement des données à caractère personnel n'a lieu que sur la base d'un consentement explicite, la personne concernée retire son consentement explicite,
- Acceptation de la demande d'effacement et de destruction des données à caractère personnel présentée par la personne concernée, conformément à l'article 11 de la loi sur la protection des données à caractère personnel,
- Dans le cas où la personne concernée rejette la demande d'effacement ou de destruction de ses données personnelles qui lui a été adressée, juge sa réponse insuffisante ou ne répond pas dans le délai prévu par le KVKK, elle dépose une plainte auprès du conseil d'administration et cette demande est approuvée par le conseil d'administration ; et
- La période maximale de conservation des données à caractère personnel est dépassée et aucune condition ne justifie la conservation des données à caractère personnel pendant une période plus longue.
dans les cas où les données de l'entreprise sont effacées, détruites ou rendues anonymes d'office à la demande de la personne concernée.
- MESURES TECHNIQUES ET ADMINISTRATIVES
Dans le cadre des mesures adéquates déterminées et annoncées par la Commission pour les données personnelles de qualité spéciale conformément à l'article 12 et au paragraphe 4 de l'article 6 de la KVKK, afin d'assurer la sécurité des données personnelles, d'empêcher leur traitement et leur accès illicites et de détruire les données personnelles conformément à la loi. Des mesures techniques et administratives sont prises par l'entreprise.
5.1. Mesures techniques
EntrepriseLes mesures prises par l'entreprise concernant les données personnelles qu'elle traite sont énumérées ci-dessous ;
- La sécurité des réseaux et des applications est assurée.
- Des mesures de sécurité sont prises dans le cadre de l'acquisition, du développement et de la maintenance des systèmes informatiques.
- La sécurité des données personnelles stockées dans le nuage est assurée.
- Des pare-feu sont utilisés.
- Les données personnelles sont sauvegardées et la sécurité des données personnelles sauvegardées est également assurée.
- Un système de gestion des comptes d'utilisateurs et de contrôle des autorisations a été mis en place et est également respecté.
- Le cryptage est effectué.
- Un logiciel de prévention des pertes de données est utilisé.
5.2. Mesures administratives
EntrepriseLes mesures prises par l'entreprise concernant les données personnelles qu'elle traite sont énumérées ci-dessous ;
- Les autorisations des employés qui changent de fonction ou quittent leur emploi dans ce domaine sont supprimées.
- Des engagements de confidentialité sont pris.
- Les mesures de sécurité nécessaires sont prises en ce qui concerne l'entrée et la sortie des environnements physiques contenant des données à caractère personnel.
- La sécurité des environnements physiques contenant des données à caractère personnel contre les risques externes (incendie, inondation, etc.) est assurée.
- La sécurité des environnements contenant des données personnelles est assurée.
- Les données personnelles sont réduites autant que possible.
- TECHNIQUES D'ÉLIMINATION DES DONNÉES À CARACTÈRE PERSONNEL
Les données à caractère personnel, à l'issue de la période prévue par la législation applicable ou de la période de conservation requise pour les finalités pour lesquelles elles sont traitées, sont détruites par les techniques suivantes, d'office ou à la demande de la personne concernée, conformément aux dispositions de la législation applicable.
6.1. Suppression des données à caractère personnel
Les données personnelles sont supprimées selon les méthodes indiquées dans le tableau 3.
Tableau 3 : Suppression des données à caractère personnel
|
Explication | |
Les données personnelles dans l'environnement physique
|
Les données personnelles dans l'environnement physique sont supprimées en utilisant la méthode d'obscurcissement ou en conservant le document dans un environnement sécurisé auquel les utilisateurs concernés ne peuvent pas accéder.
|
|
Données personnelles sur les serveurs
|
L'administrateur du système retire l'autorisation d'accès aux utilisateurs concernés et supprime les données personnelles sur les serveurs pour ceux dont la période de temps a expiré.
|
|
Données personnelles dans les bases de données
|
L'attribution d'un rôle et d'une autorisation permet d'empêcher l'utilisateur concerné d'accéder aux données à caractère personnel contenues dans la base de données.
|
|
Données personnelles sur des dispositifs portables (tels que USB, disque dur, CD, DVD)
|
L'utilisateur se voit refuser l'accès au fichier.
|
6.2. Destruction des données à caractère personnel
Les méthodes que nous utilisons pour procéder à la destruction légale des données à caractère personnel sont les suivantes :
Tableau 4 : Destruction des données à caractère personnel
|
Explication
|
|
Les données personnelles dans l'environnement physique
|
Parmi les données à caractère personnel contenues dans le support papier, celles qui doivent être conservées et qui ont expiré sont détruites de manière irréversible dans les machines à découper le papier.
|
|
Données personnelles dans les systèmes périphériques (dispositifs de réseau, environnements à mémoire flash, systèmes optiques, etc.
|
Appareils contenant des données à caractère personnel ; ils sont détruits par des procédés physiques tels que la combustion, la fragmentation en petits morceaux, la fusion. En outre, les données personnelles contenues dans l'appareil sont rendues illisibles par la méthode de démagnétisation, ce qui les détruit. Grâce à cette méthode, la saisie aléatoire des données existantes à l'aide d'un logiciel spécial empêche la récupération des anciennes données et permet d'appliquer le processus de destruction.
|
6.3. Anonymisation des données à caractère personnel
L'anonymisation des données à caractère personnel consiste à faire en sorte que les données à caractère personnel ne soient en aucun cas associées à une personne physique identifiée ou identifiable, même si elles sont mises en correspondance avec d'autres données.
Pour que les données à caractère personnel soient rendues anonymes, elles doivent être dissociées d'une personne physique identifiée ou identifiable, même en utilisant des techniques appropriées au support d'enregistrement et au domaine d'activité concerné, telles que la restitution des données à caractère personnel par le responsable du traitement des données ou par des tiers et/ou la mise en correspondance des données avec d'autres données.
- DÉLAIS DE STOCKAGE ET D'ÉLIMINATION
Companyregardant les données personnelles traitées dans le cadre de ses activités ;
- Les périodes de conservation sur la base des données personnelles concernant toutes les données personnelles dans le cadre des activités menées en relation avec les processus sont indiquées dans l'inventaire du traitement des données personnelles ;
- Les périodes de conservation en fonction des catégories de données sont enregistrées dans VERBIS ;
- Les périodes de conservation basées sur les processus sont incluses dans la présente politique de conservation et d'élimination des données à caractère personnel.
Processus de destruction des données à caractère personnel, Société, conformément aux périodes de conservation déterminées en tenant compte de la législation pertinente en fonction de chaque relation. Les données personnelles dont la période de conservation a expiré sont effacées, détruites ou rendues anonymes selon les périodes de destruction périodiques déterminées par l'entreprise.
Tableau 5 : Tableau des durées de stockage et d'élimination en fonction des processus
PÉRIODE
|
DURÉE DE STOCKAGE
|
DÉLAI D'ÉLIMINATION
|
Exécution des processus relatifs aux ressources humaines
|
15 ans à compter du départ du salarié
|
Pendant la période de destruction périodique des 6 premiers mois suivant la fin de la période de stockage
|
Exécution des processus concernant les candidats à l'emploi
|
1 an à partir de la date de la demande
|
Pendant la période de destruction périodique des 6 premiers mois suivant la fin de la période de stockage
|
Exécution des relations contractuelles
|
10 ans après l'expiration du contrat
|
Pendant la période de destruction périodique des 6 premiers mois suivant la fin de la période de stockage
|
Enregistrements par caméra
|
30 jours après l'enregistrement
|
Destruction automatique à la fin de la période d'enregistrement
|
Processus comptables et financiers
Exécution |
à enregistrer
10 années suivantes |
Pendant la période de destruction périodique des 6 premiers mois suivant la fin de la période de stockage
|
Exécution des processus relatifs aux dossiers des patients | 20 ans après sa création | Pendant la période de destruction périodique des 6 premiers mois suivant la fin de la période de stockage |
L'effacement, la destruction ou l'anonymisation d'office des données à caractère personnel dont la durée de conservation a expiré sont effectués par les services énumérés à la rubrique "2. RESPONSABILITÉS ET FONCTIONS".
- DÉLAI D'ÉLIMINATION PÉRIODIQUE
Conformément à l'article 11 du règlement, la période de destruction périodique a été fixée par la société à [6] mois. En conséquence, l'entreprise procède à la destruction périodique en juin et en décembre de chaque année.
- LA PUBLICATION ET LE STOCKAGE DE LA POLITIQUE
La politique est publiée sur deux supports différents, avec signature humide (papier imprimé) et par voie électronique, et est divulguée au public sur le site web. La copie papier est également conservée dans les dossiers du département des ressources humaines.
- PÉRIODE DE MISE À JOUR DE LA POLITIQUE
La politique est mise à jour en fonction des besoins et des modifications apportées aux processus.
- APPLICATION ET RÉVOCATION DE LA POLITIQUE
La présente politique est réputée être entrée en vigueur après sa publication sur le site web de l'entreprise.
Si l'annulation est décidée, les anciens exemplaires de la police signés et mouillés sont annulés avec le cachet de l'entreprise et la signature du fonctionnaire de l'entreprise (cachet d'annulation ou annulation écrite) et sont conservés par le département des ressources humaines pendant au moins 5 ans.