ANWENDUNGSBEREICH
Diese Zusammenfassung der Richtlinie zum Umgang mit sensiblen personenbezogenen Daten gilt für alle Abteilungen, Mitarbeiter und Drittunternehmen und -mitarbeiter innerhalb des Unternehmens „Carelink Sağlık Turizm Hizmetleri Tic. Ltd. Şti“ („Carelink“), die alle personenbezogenen Daten verarbeiten.
Diese Richtlinie, die die Regeln für die Sicherheit der sensiblen personenbezogenen Daten von Carelink festlegt, deckt alle Aktivitäten ab, die die Verwaltung in diesem Bereich betreffen, und wird in jedem Schritt des Prozesses umgesetzt.
Diese Richtlinie wird nicht auf alle Daten angewendet, die keine sensiblen persönlichen Daten sind.
Für den Fall, dass die Gesetzgebung festgelegt oder die relevante Gesetzgebung aktualisiert wird, wird Carelink sicherstellen, dass diese Richtlinie aktualisiert wird, um der relevanten Gesetzgebung zu entsprechen, und die Einhaltung der Anforderungen wird sichergestellt.
In Fällen, in denen ein rechtliches Hindernis für die Umsetzung dieser Richtlinie durch „Carelink“ vermutet wird, kann „Carelink“ diese Richtlinie in Absprache mit der Geschäftsleitung neu festlegen, wenn es dies für notwendig erachtet.
DEFINITIONEN
Die Definitionen in der Richtlinie über den Schutz und die Verarbeitung personenbezogener Daten, der Richtlinie über die Aufbewahrung von Daten und anderen Richtlinien, die im Rahmen von „Carelink“ erstellt wurden, sind in dieser Richtlinie gültig.
ZIEL
Diese Richtlinie bestimmt das Wesentliche und wird auf die realen und juristischen Personen angewandt, die für die „Bedingungen für die Verarbeitung sensibler personenbezogener Daten“ in der gemäß dem 6. Artikel des PDP-Gesetzes geschaffenen Verordnung verantwortlich sind, und muss von „Carelink“ und „Carelink“ vertraglich verantwortlichen Dritten eingehalten werden.
Gemäß dem Beschluss des PDPL-Vorstands (veröffentlicht im Amtsblatt vom 07.02.2018) vom 31.01.2018 ist „Carelink“ ein Datenverantwortlicher mit der Verpflichtung, sich im Register der Datenverantwortlichen zu registrieren. Daher ist sie verpflichtet, die personenbezogenen Daten, für die sie verantwortlich ist, in Übereinstimmung mit dem Verzeichnis der Verarbeitung personenbezogener Daten zu verarbeiten, sie zu speichern, Regeln für die Gewährleistung der Sicherheit dieser Daten festzulegen und eine Politik zu erstellen, die alle Aktivitäten umfasst, die von der Geschäftsleitung in Übereinstimmung mit dieser Politik zu erbringen sind.
Für die Speicherung und Vernichtung personenbezogener Daten gelten die folgenden Regeln:
Die allgemeinen Grundsätze in Artikel 4 des PDP-Gesetzes werden befolgt.
„Carelink“ erkennt an, erklärt und verpflichtet sich, die in Artikel 12 des PDP-Gesetzes festgelegten Sicherheitsmaßnahmen sowie die Bestimmungen der einschlägigen Gesetzgebung, die Beschlüsse des PDP-Vorstands und die in den Datensicherheitsrichtlinien festgelegten administrativen und technischen Maßnahmen bei der Speicherung, Löschung, Entsorgung oder Anonymisierung personenbezogener Daten in Übereinstimmung mit der Richtlinie einzuhalten.
„Carelink“ erkennt an, dass die Erstellung dieser Richtlinie nicht bedeutet, dass personenbezogene Daten ausschließlich in Übereinstimmung mit der Verordnung über personenbezogene Daten, der einschlägigen Gesetzgebung und dem Gesetz gelöscht, vernichtet oder anonymisiert werden.
„Carelink“ handelt bei der Löschung, Vernichtung oder Anonymisierung personenbezogener Daten, die ganz oder teilweise automatisch empfangen oder als Teil eines Aufzeichnungssystems auf nicht-automatische Weise verarbeitet werden, in Übereinstimmung mit dieser Richtlinie.
SPEICHERMEDIEN
Die nachstehend genannten Umgebungen, die personenbezogene Daten enthalten, erklären sich damit einverstanden, dass personenbezogene Daten in anderen Medien, die zusätzlich zu diesen entstehen können, in den Geltungsbereich der genannten Richtlinie aufgenommen werden.
Computer/Server/Mobile Geräte, die im Auftrag des Unternehmens genutzt werden,
Speicherbereiche von Computern/Servern/mobilen Geräten, die im Auftrag des Unternehmens genutzt werden,
Magnetbänder, optische Platten, Mikrostecker,
Netzwerkgeräte,
USB-Festplatte, USB-Speicher,
Papier
Gemeinsam genutzte/nicht gemeinsam genutzte Laufwerke zur Datenspeicherung und -sicherung im Netz.
SENSIBLE PERSONENBEZOGENE DATEN
1. Allgemeine Grundsätze bezüglich der Verarbeitung sensibler personenbezogener Daten
„Carelink“ ergreift alle Arten von administrativen und technischen Maßnahmen zur sicheren Speicherung personenbezogener Daten, zur unrechtmäßigen Verarbeitung und zur Sperrung des Zugangs.
„Carelink“ verpflichtet sich, die Daten in Übereinstimmung mit den im PDP-Gesetz festgelegten Modalitäten zu verarbeiten.
„Carelink“ verpflichtet sich, in Fällen, in denen es keine Ausnahmen von den Bedingungen für die Verarbeitung sensibler personenbezogener Daten gemäß Artikel 6, Absatz 3 des PDP-Gesetzes gibt;
„Carelink“ speichert sensible personenbezogene Daten, verarbeitet diese Daten mit Wissen des PDPB-Teams (falls vorhanden, jeder rechtlichen Einheit) von „Carelink“ unter der Bedingung, dass die Gesetzgebung eingehalten wird, und unter der Bedingung, dass die ausdrückliche Zustimmung eingeholt wird.
Abgesehen von den im PDPGesetz festgelegten Ausnahmen ist es verboten, die betreffenden personenbezogenen Daten aufzubewahren, wenn die ausdrückliche Zustimmung der betroffenen Person nicht eingeholt wurde.
2. Sensible persönliche Daten, die von „Carelink“ verarbeitet werden
Personenbezogene Daten, die sich auf die Gesundheit und das Sexualleben beziehen, können ohne ausdrückliche Zustimmung der betroffenen Person nur von Personen oder autorisierten Institutionen und Organisationen verarbeitet werden, die zum Zwecke der Präventivmedizin, des Gesundheitsdienstes, des Schutzes der öffentlichen Gesundheit, der medizinischen Diagnose, der Behandlung und der Pflegedienste sowie der Planung und Verwaltung von Gesundheitsdiensten und der Finanzierung zur Verschwiegenheit verpflichtet sind.
Personenbezogene Daten der besonderen Kategorie, die nicht die Gesundheit und das Sexualleben betreffen, wie z. B. ethnische Herkunft, politische Meinungen, Rasse, Sekte, Religion, philosophische oder andere Überzeugungen, Mitgliedschaft in Vereinen, Stiftungen oder Gewerkschaften, Kleidungsstil, strafrechtliche Verurteilungen und sicherheitsrelevante Daten sowie genetische und biometrische Daten, können in gesetzlich vorgeschriebenen Fällen ohne die ausdrückliche Einwilligung der betroffenen Person verarbeitet werden.
Personenbezogene Daten werden von „Carelink“ mit der ausdrücklichen Zustimmung der betroffenen Person verarbeitet und werden in der Art und Weise verarbeitet, wie sie im Abschnitt „Allgemeine Grundsätze der Datenverarbeitung“ dieser Richtlinie beschrieben sind. Je nach Art und Qualität der Beziehung zwischen „Carelink“ und der betroffenen Person sowie der verwendeten Kommunikationskanäle und des jeweiligen Zwecks können diese Daten variieren und variieren. Diese Daten sind auch im Verzeichnis der persönlichen Daten aufgeführt.
3. Zwecke der Verarbeitung sensibler persönlicher Daten
Sensible personenbezogene Daten werden im Rahmen der im Verzeichnis der personenbezogenen Datenverarbeitung angegebenen Zwecke verarbeitet und können im Rahmen dieser Zwecke für die von den einschlägigen Gesetzen vorgeschriebenen Zeiträume gespeichert werden.
4. Übermittlung von sensiblen personenbezogenen Daten
„Carekink“ übermittelt inländische und internationale Daten gemäß Artikel 8 und 9 des PDPL im Rahmen der im Abschnitt „Zwecke der Verarbeitung sensibler personenbezogener Daten“ der genannten Richtlinie genannten Zwecke. Die betreffenden personenbezogenen Daten können auf den in diesem Rahmen verwendeten Servern und elektronischen Medien verarbeitet und gespeichert werden.
In dem von „Carelink“ erstellten Verzeichnis der personenbezogenen Daten sind auch die Parteien aufgeführt, an die die Daten übermittelt werden. Die Art dieser Datenübermittlungen und die gemeinsam genutzten Parteien variieren je nach Art, Beschaffenheit und Art der Beziehung zwischen der betroffenen Person und „Carelink“, dem Zweck der Übermittlung und den entsprechenden Rechtsgrundlagen. Darüber hinaus sind weitere Bedingungen in der PDPL-Datenschutzrichtlinie definiert, und die hier genannten Maßnahmen und Aktionen sind gültig.
Gemäß der Entscheidung des Datenschutzausschusses vom 31.01.2018, veröffentlicht im Amtsblatt vom 07.03.2018, wenn „Carelink“ sensible Daten übermitteln soll;
Falls die Daten per E-Mail übertragen werden, werden sie in verschlüsselter Form über die Unternehmens-E-Mail-Adresse oder per Einschreiben übertragen,
Falls die Daten über Medien wie tragbare USB-Speicher, CD, DVD übertragen werden, werden sie mit kryptografischen Methoden übertragen,
Wenn die Datenübertragung zwischen physischen Servern an verschiedenen Standorten erfolgen soll, werden die Daten zwischen diesen Servern mit VPN- oder SFTP-Methoden übertragen,
Wenn die Daten über Papiermedien übertragen werden, werden die Dokumente durch Umwandlung in vertrauliche Dokumente übertragen, wobei die Risiken wie Diebstahl, Verlust oder Beschlagnahme der genannten Dokumente durch Unbefugte berücksichtigt werden.
5. Beseitigung von Datenverarbeitungsbedingungen
„Carelink“ ist dafür verantwortlich, die Bedingungen für die Verarbeitung sensibler persönlicher Daten auf dem neuesten Stand zu halten und teilt diese Verantwortung mit allen Datenverarbeitern.
Die Mitarbeiter von „Carelink“ können keine Daten mehr verarbeiten, wenn die Datenverarbeitungsbedingungen nicht mehr gültig sind.
„Carelink“ akzeptiert, dass die Bedingungen für die Verarbeitung sensibler personenbezogener Daten gemäß der nachstehenden Liste und den in der Verordnung genannten Situationen aufgehoben werden:
Wenn die Verarbeitung personenbezogener Daten gegen das Gesetz und das Prinzip der Ehrlichkeit verstößt,
Wenn die Zwecke, die die Verarbeitung personenbezogener Daten erfordern, wegfallen,
wenn die Verarbeitung personenbezogener Daten nur gemäß den Bedingungen der ausdrücklichen Zustimmung erfolgt und die betroffene Person ihre ausdrückliche Zustimmung zurückzieht
In diesem Zusammenhang gelten die Maßnahmen und Aktionen, die in diesem Rahmen von „Carelink“ in seiner Richtlinie zur Speicherung und Vernichtung von persönlichen Daten festgelegt wurden.
6. Sicherheit von sensiblen persönlichen Daten
Bei der Verarbeitung sensibler personenbezogener Daten ist es unerlässlich, angemessene Maßnahmen zu ergreifen, die vom Vorstand der PDP festgelegt werden. Die Sicherheit sensibler personenbezogener Daten wurde gemäß dem Beschluss des Ausschusses für den Schutz personenbezogener Daten vom 31.01.2018, der am 07.03.2018 im Amtsblatt veröffentlicht wurde, wie folgt festgelegt.
Zwischen dem besagten Datenverantwortlichen und den Mitarbeitern werden Vertraulichkeitsvereinbarungen getroffen,
Berechtigungsumfang und -dauer der Nutzer, die Zugang zu den Daten haben, werden festgelegt,
Regelmäßige Schulungen und Informationen für die Mitarbeiter zu allen Fragen im Zusammenhang mit Gesetzen, Rechtsvorschriften und Verordnungen über die Verarbeitung besonderer personenbezogener Daten sowie zu Entscheidungen und Leitfäden, die vom Vorstand der PDP veröffentlicht werden, werden bereitgestellt,
In regelmäßigen Abständen werden Berechtigungskontrollen durchgeführt,
Bei Dienstwechsel oder Ausscheiden werden die bestehenden Berechtigungen in diesem Bereich überprüft und die Berechtigungen widerrufen bzw. die vom für die Datenverarbeitung Verantwortlichen mit dem Berechtigungsformular zugewiesenen Berechtigungen nach dem entsprechenden Verfahren zurückgenommen.
Wenn es sich bei den Umgebungen, in denen sensible personenbezogene Daten gespeichert, verarbeitet und/oder abgerufen werden, um digitale Umgebungen (elektronisch) handelt,
Die Sicherheit aller Umgebungen, in denen personenbezogene Daten gespeichert sind, wird gewährleistet, und es werden die erforderlichen Folgemaßnahmen für Aktualisierungen getroffen.
Wenn es sich bei den Umgebungen, in denen sensible personenbezogene Daten gespeichert, verarbeitet und/oder auf sie zugegriffen wird, um physische Umgebungen handelt,
Unbefugtes Betreten und Verlassen von physischen Umgebungen mit sensiblen personenbezogenen Daten wird verhindert,
Angemessene Sicherheitsmaßnahmen (Vorkehrungen gegen Situationen wie Feuer, Überschwemmung, Diebstahl, Stromausfall usw.) wurden entsprechend der Art der Umgebung, in der sich sensible personenbezogene Daten befinden, getroffen.
Diese Richtlinie tritt ab dem Datum der Genehmigung durch den Data Controller „Carelink“ in Kraft und wird an den entsprechenden Stellen veröffentlicht. Die notwendigen Arbeiten werden durchgeführt und durch die notwendigen Studien in Kraft gesetzt, um die Änderungen in der Politik zu realisieren.
Carelink“ behält sich das Recht vor, diese Richtlinie zu überprüfen und, wenn nötig, die Richtlinie zu aktualisieren, zu ändern oder zu streichen und eine neue Richtlinie zu erstellen, wenn sich die Gesetzgebung ändert, wenn sich der technische Standard ändert, auf den verwiesen wird, wenn der Ausschuss für den Schutz personenbezogener Daten tätig wird und/oder wenn ein Gericht entscheidet.
„Carelink“ wird die letzte aktualisierte Version aller Änderungen, die es an der Richtlinie vorgenommen hat, per E-Mail, in schriftlichen Dokumenten und/oder im firmeneigenen Intranet weitergeben und sie seinen Mitarbeitern zur Verfügung stellen.
Datum des Inkrafttretens der Richtlinie: 01/01/2023