АК 212 БАЙРАМПАСА КОМПАНИЯ С ОГРАНИЧЕННОЙ ОТВЕТСТВЕННОСТЬЮ "ИНДУСТРИЯ И ТОРГОВЛЯ СТОМАТОЛОГИЧЕСКИМИ УСЛУГАМИ

ПОЛИТИКА ХРАНЕНИЯ И УДАЛЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ

 

1.ВВЕДЕНИЕ

1.1 Назначение

Настоящая Политика хранения и уничтожения персональных данных ("Политика") разработана в рамках действующего законодательства.Ak 212 Bayrampaşa Dental Health Services Industry and Trade Limited Company(далее - "Компания") применяется ко всем и основывается на принятых в стране базовых принципах уничтожения персональных данных. Она включает в себя рамки и принципы, касающиеся необходимых работ по уничтожению в рамках соответствующего законодательства.

 

В третьем пункте статьи 7 Закона о защите персональных данных ("Закон") содержится положение "Процедуры и принципы, касающиеся удаления, уничтожения или обезличивания персональных данных, регулируются нормативным актом". В соответствии с этим положением и подпунктом (e) первого абзаца статьи 22 Закона, Положение об удалении, уничтожении или анонимизации персональных данных ("Положение") было подготовлено Советом по защите персональных данных ("Совет") и датировано 28 октября 2017 года. Оно было опубликовано в Официальном вестнике под номером 30224.

 

Исходя из вышеуказанного положения, целью настоящей Политики является определение процедур и принципов, касающихся удаления, уничтожения или обезличивания персональных данных, обрабатываемых Компанией при осуществлении своей деятельности, в соответствии с Положением.

 

1.2.Сфера

Персональные данные сотрудников, кандидатов в сотрудники, посетителей, третьих лиц, с которыми мы сотрудничаем, и третьих лиц, работающих в Компании, относятся к сфере действия настоящей Политики, и настоящая Политика применяется во всех учетных средах, в которых обрабатываются персональные данные, принадлежащие Компании или находящиеся под ее управлением, а также в деятельности по обработке персональных данных. .

 

1.3. Сокращения и определения

Концепция Определение
Группа получателей Категория физических или юридических лиц, которым передаются персональные данные контролером данных
Открытое согласие Согласие по конкретному вопросу, основанное на информации и выраженное по доброй воле
Создание анонимных Сделать персональные данные неспособными быть связанными с идентифицированным или идентифицируемым физическим лицом при любых обстоятельствах, даже путем сопоставления с другими данными.
Электронная среда Среда, в которой персональные данные могут создаваться, считываться, изменяться и записываться с помощью электронных устройств.
Неэлектронные носители информации Все письменные, печатные, визуальные и т.д., кроме электронных носителей. другие среды.

 
Родственный человек Физическое лицо, чьи персональные данные обрабатываются
Связанный пользователь За исключением лица или подразделения, ответственного за техническое хранение, защиту и резервное копирование данных, лица, которые обрабатывают персональные данные в рамках организации контролера данных или в соответствии с разрешением и инструкцией, полученной от контролера данных.
Разрушение Удаление, уничтожение или обезличивание персональных данных
Закон Закон № 6698 о защите персональных данных
носители информации Любой носитель, содержащий персональные данные, которые полностью или частично автоматизированы или обрабатываются неавтоматическими средствами, при условии, что они являются частью любой системы записи данных.
Персональные данные Любая информация, относящаяся к идентифицированному или поддающемуся идентификации физическому лицу
Владелец персональных данных Физическое лицо, чьи персональные данные обрабатываются
Обработка персональных данных Получение, запись, хранение, сохранение, изменение, перегруппировка, раскрытие, передача, завладение, предоставление доступа, классификация или использование персональных данных полностью или частично автоматическими или неавтоматическими средствами при условии, что они являются частью любой системы записи данных. все виды операций, выполняемых с данными, такие как блокирование
Инвентарь для обработки персональных данных Деятельность по обработке персональных данных, осуществляемая контролерами данных в зависимости от их бизнес-процессов; перечень, который они создали, связав персональные данные с целями обработки, категорией данных, группой передаваемых получателей и группой субъектов данных, объяснив максимальный срок, необходимый для целей обработки персональных данных, персональные данные, подлежащие передаче в иностранные государства, и меры, принятые в отношении безопасности данных.
Правление Совет по защите персональных данных
Организация Управление по защите персональных данных
Специальные категории персональных данных Данные о расе, этническом происхождении, политических взглядах, философских убеждениях, религии, секте или других верованиях, переодевании и одежде, членстве в ассоциациях, фондах или союзах, здоровье, сексуальной жизни, судимостях и мерах безопасности, а также биометрические и генетические данные
периодическое разрушение Если все условия обработки персональных данных, предусмотренные законом, устранены, процесс удаления, уничтожения или обезличивания должен осуществляться по должности с повторяющимися интервалами и указываться в политике хранения и уничтожения персональных данных.
Политика Политика, на которой контролеры данных основывают процесс определения максимального срока, необходимого для целей обработки персональных данных, а также процесс удаления, уничтожения и анонимизации.
Запись Реестр контролеров данных, который ведет Управление по защите персональных данных.
обработчик данных Физическое или юридическое лицо, которое обрабатывает персональные данные от имени контролера данных, на основании полномочий, предоставленных контролером данных.
система регистрации данных Система регистрации, в которой персональные данные обрабатываются и структурируются в соответствии с определенными критериями.
контроллер данных Это физическое или юридическое лицо, которое определяет цели и средства обработки персональных данных и несет ответственность за создание и управление системой учета данных.
регулирование

 

 Положение об удалении, уничтожении или анонимизации персональных данных, которое вступило в силу после публикации в Официальном вестнике от 28.10.2017 под номером 30224.

 

 

  1. РАСПРЕДЕЛЕНИЕ ОБЯЗАННОСТЕЙ И ОТВЕТСТВЕННОСТИ

Все подразделения и сотрудники компании, ответственные подразделения, осуществляют реализацию технических и административных мер, принятых в рамках Политики, обучение и информирование сотрудников подразделений, их мониторинг и постоянный контроль, предотвращение незаконной обработки персональных данных, предотвращение неправомерного доступа к персональным данным и защиту персональных данных от нарушений закона. Она активно поддерживает ответственные подразделения в принятии технических и административных мер по обеспечению безопасности данных во всех средах, где обрабатываются персональные данные, с целью обеспечения их надлежащего хранения.

 

Ниже приведено распределение должностей, подразделений и должностных инструкций лиц, участвующих в хранении и уничтожении персональных данных.

 

Таблица 1: Распределение задач процессов хранения и утилизации

Название

 

 Единица

 

 Описание работы

 
Сотрудник отдела информационных технологий

 

 Вычисления

 

 Обеспечение соответствия процессов, входящих в его обязанности, срокам хранения данных, управление процессом периодического уничтожения, проведение необходимых аудитов и контроля для ответа на запросы Владельцев данных.

 
Менеджер отдела бухгалтерского учета
Бухгалтерский учет

 

 Обеспечение соответствия процессов, входящих в его обязанности, срокам хранения, управление сроками периодического уничтожения, проверка непрерывности обязательств по хранению книг и документов, вытекающих из ТСС № 6100 и налогового законодательства, и устранение этих обязательств.

 
Директор по персоналу

 

 Отдел кадров

 

 Обеспечение соблюдения сроков хранения персональных данных персонала, управление процессом их периодического уничтожения, получение и ответ на запросы персонала о разъяснении их прав, указанных в Законе

 

 

  1. УСЛОВИЯ ЗАПИСИ

Персональные данные хранятся Учреждением в безопасных средах, перечисленных в таблице 2, в соответствии с законодательством.

Таблица 2: Среды хранения персональных данных

Электронные СМИ Неэлектронные носители информации
- Серверы (домен, резервное копирование, электронная почта, базы данных, веб-серверы, общий доступ к файлам и т. д.)

- Программное обеспечение (офисные программы) Устройства защиты информации (брандмауэр, лог-файл, антивирус и т.д.)

- Мобильные устройства (телефон, планшет и т.д.)

- Оптические диски (CD, DVD и т.д.)

- Съемные носители (USB, карты памяти и т.д.)

- Принтер, сканер, копир

- Съемная память, например USB, жесткий диск

- Настольные компьютеры и ноутбуки

 - Бумага

- Ручные системы регистрации данных

- Письменные, печатные и визуальные средства информации

- папки

- Папки

 

4.ПОЯСНЕНИЯ ПО ХРАНЕНИЮ И УТИЛИЗАЦИИ

Компанией; сотрудником, кандидатом в сотрудники, поставщиком, должностным лицом поставщика, сотрудником поставщика, покупателем продукции или услуг, потенциальным покупателем продукции или услуг, сотрудником лица, получающего продукцию или услуги, родственником лица, получающего продукцию или услуги, Персональные данные реальных лиц, включая акционеров/партнеров, посетителей и других третьих лиц, хранятся и уничтожаются в соответствии с KVKK.

В связи с этим ниже приводятся подробные разъяснения по хранению и утилизации, соответственно.

 

4.1 Замечания по удержанию

В статье 3 Закона определено понятие обработки персональных данных, в статье 4 указано, что обрабатываемые персональные данные должны быть связаны с целью их обработки, ограничены и измерены и должны храниться в течение срока, необходимого для целей их обработки или предусмотренного соответствующим законодательством.

Соответственно, в рамках деятельности компании персональные данные хранятся в течение периода времени, предусмотренного соответствующим законодательством или подходящего для наших целей обработки.

 

 

 

4.1.1 Юридические основания для хранения данных

Компания, сохраняет персональные данные, обрабатываемые в рамках своей деятельности, в течение срока, предусмотренного соответствующим законодательством. В этом контексте персональные данные;

  • Закон о налоговой процедуре № 213
  • Основной закон о здравоохранении № 3359
  • Закон о труде № 4857
  • Закон о социальном страховании и общем медицинском страховании № 5510
  • Закон № 5651 о регулировании вещания в Интернете и борьбе с преступлениями, совершаемыми посредством такого вещания
  • Обязательственный кодекс Турции № 6098
  • Торговый кодекс Турции № 6102
  • Закон о гигиене и безопасности труда № 6361
  • Закон № 6698 о защите персональных данных
  • Декрет-закон № 663 об организации и обязанностях Министерства здравоохранения и его подразделений
  • Положение о частных медицинских учреждениях, предоставляющих услуги по охране здоровья полости рта и зубов
  • Положение о частных больницах, Коммюнике о практике здравоохранения, Положение о правах пациентов

Она хранится в течение срока, установленного другими действующими нормативными актами, в частности

 

4.1.2. Цели обработки, требующие хранения

Компания хранит персональные данные, которые она обрабатывает в рамках своей деятельности, для следующих целей:

  • Выполнение процессов управления чрезвычайными ситуациями
  • Выполнение процессов информационной безопасности
  • Осуществление процессов отбора и трудоустройства кандидатов на должности сотрудников, стажеров, студентов,
  • Выполнение процессов подачи заявок от работающих кандидатов
  • Выполнение обязательств, вытекающих из трудовых договоров и положений о сотрудниках
  • Осуществление процессов предоставления сотрудникам дополнительных льгот и пособий
  • Проведение образовательных мероприятий
  • Осуществление деятельности в соответствии с законодательством,
  • Выполнение финансовых и бухгалтерских работ
  • Обеспечение физической безопасности пространства
  • Выполнение процессов назначения
  • Проведение коммуникационных мероприятий
  • Осуществление процессов управления персоналом
  • Осуществление/контроль деятельности
  • Выполнение мероприятий по охране труда и технике безопасности
  • Проведение мероприятий по обеспечению непрерывности бизнеса
  • Выполнение логистических мероприятий
  • Выполнение процессов производства и эксплуатации товаров/услуг
  • Выполнение процессов закупки товаров/услуг
  • Выполнение процессов продаж товаров/услуг
  • Выполнение процессов управления рисками
  • Организация и управление мероприятиями
  • Выполнение договорных процессов
  • Последующие действия в связи с запросами/жалобами
  • Обеспечение безопасности движимого имущества и ресурсов
  • Выполнение процессов управления цепочками поставок
  • Выполнение услуг по медицинской диагностике, лечению и уходу
  • Обеспечение безопасности операций контроллера данных
  • Процедуры получения разрешения на работу и проживание иностранного персонала
  • Предоставление информации уполномоченным лицам, учреждениям и организациям
  • Осуществление управленческой деятельности

 

4.2. Причины уничтожения

Личные данные;

  • Изменение или отмена положений соответствующего законодательства, которые являются основанием для обработки,
  • Исчезновение цели, требующей обработки или хранения информации,
  • В случаях, когда обработка персональных данных осуществляется только на основании явного согласия, субъект данных отзывает свое явное согласие,
  • Принятие заявления заинтересованного лица об удалении и уничтожении персональных данных в соответствии со статьей 11 KVKK,
  • Если заинтересованное лицо отклоняет направленное ему заявление с просьбой об удалении или уничтожении его персональных данных, считает его ответ недостаточным или не дает ответа в течение срока, предусмотренного KVKK; подает жалобу в Совет директоров, и эта просьба удовлетворяется Советом директоров, и
  • Максимальный срок хранения персональных данных истек, и нет условий, оправдывающих хранение персональных данных в течение более длительного периода времени.

в случаях, CompanyIt удаляется, уничтожается или ex officio удаляется, уничтожается или анонимизируется по запросу заинтересованного лица.

 

  1. ТЕХНИЧЕСКИЕ И АДМИНИСТРАТИВНЫЕ МЕРЫ

В рамках адекватных мер, определенных и объявленных Советом по особому качеству персональных данных в соответствии со статьей 12 и пунктом 4 статьи 6 КВКК с целью обеспечения безопасности персональных данных, предотвращения незаконной обработки и доступа, а также уничтожения персональных данных в соответствии с законом. Компанией принимаются технические и административные меры.

 

5.1. Технические меры

Компания Ниже перечислены меры, принимаемые компанией в отношении обрабатываемых ею персональных данных;

  • Обеспечивается сетевая безопасность и безопасность приложений.
  • Меры безопасности принимаются в рамках закупок, разработки и обслуживания систем информационных технологий.
  • Безопасность личных данных, хранящихся в облаке, гарантирована.
  • Используются брандмауэры.
  • Резервное копирование персональных данных и обеспечение безопасности резервных копий персональных данных.
  • Внедрены системы управления учетными записями пользователей и контроля авторизации, которые также соблюдаются.
  • Шифрование завершено.
  • Используется программное обеспечение для предотвращения потери данных.

 

5.2. Административные меры

Компания Ниже перечислены меры, принимаемые компанией в отношении обрабатываемых ею персональных данных;

  • Авторизации сотрудников, сменивших место работы или уволившихся, в этом поле удаляются.
  • Даются обязательства о неразглашении информации.
  • Принимаются необходимые меры безопасности при входе и выходе из физической среды, содержащей персональные данные.
  • Обеспечивается безопасность физических сред, содержащих персональные данные, от внешних рисков (пожар, наводнение и т. д.).
  • Обеспечивается безопасность сред, содержащих персональные данные.
  • Личные данные максимально сокращены.

 

  1. МЕТОДЫ УДАЛЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ

Персональные данные по истечении срока, предусмотренного соответствующим законодательством, или срока хранения, необходимого для целей их обработки, Компания уничтожает следующими способами, по должности или по заявлению заинтересованного лица, в соответствии с положениями соответствующего законодательства.

 

6.1. Удаление персональных данных

Персональные данные удаляются методами, приведенными в таблице 3.

Таблица 3: Удаление персональных данных

Среда записи данных
Пояснение
Персональные данные в физической среде

 

 Персональные данные в физической среде удаляются с помощью метода обфускации или путем хранения документа в безопасной среде, где к нему не могут получить доступ соответствующие пользователи.

 
Личные данные на серверах

 

 Системный администратор снимает разрешение на доступ с соответствующих пользователей и удаляет персональные данные на серверах тех, чей срок истек.

 
Персональные данные в базах данных

 

 Назначив роль и разрешение, соответствующий пользователь лишается доступа к персональным данным в базе данных.

 
Личные данные на портативных устройствах (таких как USB, жесткий диск, CD, DVD)

 

 Пользователю отказано в доступе к файлу.

 

 

 

6.2. Уничтожение персональных данных

КомпанияДля законного уничтожения персональных данных мы используем следующие методы:

Таблица 4: Уничтожение персональных данных

Среда записи данных
Пояснение

 
Персональные данные в физической среде

 

 Из персональных данных, находящихся на бумажном носителе, те, которые необходимо хранить и срок хранения которых истек, безвозвратно уничтожаются в машинах для обрезки бумаги.

 
Персональные данные в периферийных (сетевые устройства, флэш-память, оптические системы и т. д.) и локальных системах

 

 Устройства, содержащие персональные данные; Уничтожаются с помощью физических процессов, таких как сжигание, разбивание на мелкие кусочки, плавление. Кроме того, персональные данные на устройстве делаются нечитаемыми методом размагничивания, что приводит к их уничтожению. При этом; В результате случайного ввода данных на существующие данные с помощью специального программного обеспечения, восстановление старых данных предотвращается и применяется процесс уничтожения.

 

 

 

6.3. Анонимизация персональных данных

Анонимизация персональных данных означает, что персональные данные не связаны с идентифицированным или идентифицируемым физическим лицом ни при каких обстоятельствах, даже если они сопоставлены с другими данными.

Для того чтобы персональные данные были обезличены, необходимо сделать их не связанными с идентифицированным или идентифицируемым физическим лицом, даже с использованием соответствующих методов для носителя записи и соответствующей сферы деятельности, таких как возврат персональных данных контроллером данных или третьими лицами и/или сопоставление данных с другими данными.

 

 

  1. СРОКИ ХРАНЕНИЯ И УТИЛИЗАЦИИ

Компания, осуществляющая обработку персональных данных в рамках своей деятельности;

  • Сроки хранения на основе персональных данных в отношении всех персональных данных в рамках деятельности, осуществляемой в связи с процессами, указаны в Инвентаре обработки персональных данных;
  • Сроки хранения данных в зависимости от их категории регистрируются в VERBIS;
  • Периоды хранения, основанные на процессах, включены в настоящую Политику хранения и удаления персональных данных.

 

Процесс уничтожения персональных данных, Компания в соответствии со сроками хранения, определенными с учетом соответствующего законодательства в соответствии с каждым отношением. Персональные данные, срок хранения которых истек, Компания удаляет, уничтожает или обезличивает в периодические сроки уничтожения, установленные Компанией.

 

Таблица 5: Таблица сроков хранения и утилизации на основе технологических процессов

ПЕРИОД

 

 СРОК ХРАНЕНИЯ

 

 ВРЕМЯ УТИЛИЗАЦИИ

 
Выполнение процессов по работе с персоналом

 

 15 лет с момента увольнения сотрудника

 

 В период периодического уничтожения в течение первых 6 месяцев после окончания срока хранения

 
Выполнение процессов, связанных с кандидатами на работу

 

 1 год с момента подачи заявки

 

 В период периодического уничтожения в течение первых 6 месяцев после окончания срока хранения

 
Выполнение договорных отношений

 

 10 лет после истечения срока действия контракта

 

 В период периодического уничтожения в течение первых 6 месяцев после окончания срока хранения

 
Записи с камеры

 

 30 дней после регистрации

 

 Автоматическое уничтожение по окончании периода записи

 
Бухгалтерский учет и финансовые процессы

Исполнение

 быть зарегистрированным

следующие 10 лет

 В период периодического уничтожения в течение первых 6 месяцев после окончания срока хранения

 
Выполнение процессов, связанных с файлами пациентов 20 лет со дня создания В период периодического уничтожения в течение первых 6 месяцев после окончания срока хранения

 

Удаление, уничтожение или обезличивание персональных данных, срок хранения которых истек, осуществляется по должности отделами, перечисленными в разделе "2. ОТВЕТСТВЕННОСТЬ И ОБЯЗАННОСТИ".

 

  1. ВРЕМЯ ПЕРИОДИЧЕСКОЙ УТИЛИЗАЦИИ

В соответствии со статьей 11 Правил, период периодического уничтожения был определен компанией как [6] месяцев. Соответственно, компания проводит периодическое уничтожение в июне и декабре каждого года.

 

  1. ПУБЛИКАЦИЯ И ХРАНЕНИЕ ПОЛИТИКИ

Политика публикуется на двух различных носителях - с мокрой подписью (печатный документ) и в электронном виде, а также размещается на веб-сайте. Печатная копия также хранится в архиве отдела кадров.

 

  1. ПЕРИОД ОБНОВЛЕНИЯ ПОЛИТИКИ

Политика обновляется по мере необходимости и при обнаружении изменений в процессах.

 

  1. ИСПОЛНЕНИЕ И ОТМЕНА ПОЛИТИКИ

Настоящая Политика считается вступившей в силу после ее опубликования на сайте Компании.

В случае принятия решения об аннулировании, мокрые подписанные старые экземпляры Политики аннулируются печатью компании и подписью должностного лица компании (печатью аннулирования или письменным аннулированием) и хранятся в отделе кадров не менее 5 лет.