Политика обработки и защиты персональных данных

Главная » Политика обработки и защиты персональных данных

1. ЦЕЛЬ

Цель данной политики — предоставить разъяснения относительно действий по обработке персональных данных и систем, принятых для защиты персональных данных, осуществляемых нашей Компанией в соответствии с Законом о защите персональных данных № 6698 от 24 марта 2016 года, опубликованным в Официальном вестнике 7 апреля 2016 года, № 29677, а также с учетом соответствующего законодательства и решений регулирующих органов. Эта политика направлена на обеспечение регулирования и контроля процессов внутри организации, связанных с обработкой персональных данных, повышение осведомленности о законной обработке персональных данных в подразделениях, участвующих в обработке данных, а также формирование ответственности по данному вопросу. Кроме того, политика направлена на повышение прозрачности процессов обработки данных нашей Компанией путем информирования лиц, чьи персональные данные обрабатываются, включая, но не ограничиваясь, пациентами, членами семей пациентов, соискателями, сотрудниками, бывшими сотрудниками, органами власти и сотрудниками сотрудничающих организаций.

2. ОБЛАСТЬ ПРИМЕНЕНИЯ

Данная политика охватывает все персональные данные пациентов, членов их семей, соискателей, сотрудников, бывших сотрудников, представителей органов власти, посетителей, сотрудников различных учреждений/организаций, таких как компании-поставщики, с которыми мы сотрудничаем, акционеров, должностных лиц и третьих лиц, независимо от того, обрабатываются ли они автоматически или в рамках любой системы записи данных, в пределах деятельности, осуществляемой нашей Компанией.

Область применения положений данной политики может охватывать все эти группы, учитываемые в зависимости от вида деятельности по обработке данных, а также отдельные группы, например сотрудников компании-поставщика, полностью или частично.

3. ОТВЕТСТВЕННЫЕ

Все сотрудники Компании несут ответственность за выполнение настоящей процедуры.

4. АББРЕВИАТУРЫ

PDPL: Закон о защите персональных данных

5. ОПРЕДЕЛЕНИЯ

Термины, используемые в данной политике, имеют следующие значения. В случае изменения соответствующего законодательства или решений регулирующих органов относительно определений, либо если используется иной термин вместо данного или придается другое значение, наша компания будет учитывать эти термины в измененной форме при реализации данной политики с даты вступления изменений в силу без необходимости дальнейших корректировок:

  • Явное согласие: согласие по конкретному вопросу, основанное на предоставленной информации и выраженное свободной волей.

  • Анонимизация: преобразование персональных данных таким образом, чтобы они утратили свой персональный характер и не могли быть связаны с конкретным человеком, необратимым способом (например, с использованием техник blackout, маскировки, агрегирования, порчи данных и т. д.).

  • Форма заявки: «Форма запроса соответствующего лица в соответствии с Законом о защите персональных данных № 6698», включающая обращение субъекта данных для реализации своих прав, доступная на сайте http://www.antalyadentsmile.com/ в рамках политики.

  • Соискатель: физические лица, подавшие заявку на работу или стажировку в нашу компанию любым способом или открывшие своё резюме и соответствующую информацию для проверки нашей компанией.

  • Уничтожение: удаление, уничтожение или анонимизация персональных данных.

  • Учреждения/организации, с которыми мы сотрудничаем: сотрудники, акционеры и должностные лица этих учреждений, включая акционеров и должностных лиц, работающих в учреждениях (например, деловые партнеры, поставщики), с которыми наша компания имеет какие-либо деловые отношения.

  • Деловой партнер: стороны, с которыми наша компания сотрудничает в ходе своей деятельности.

  • Обработка персональных данных: любое действие с персональными данными, полностью или частично автоматическое либо неавтоматическое, при условии, что оно является частью любой системы записи данных, включая сбор, запись, хранение, сохранение, изменение, реорганизацию, раскрытие, передачу, предоставление, классификацию или предотвращение использования данных.

  • Персональные данные: любая информация, относящаяся к идентифицированному или идентифицируемому физическому лицу, например: имя и фамилия, номер удостоверения личности, мобильный телефон, электронная почта, контактный адрес и т. д.

  • Соответствующее лицо (субъект данных): физическое лицо, чьи персональные данные обрабатываются, например пациенты, родственники, сотрудники, посетители.

  • Политика хранения и уничтожения персональных данных: политика, на основе которой контролеры данных определяют максимальный срок, необходимый для целей обработки персональных данных, а также процесс удаления, уничтожения и анонимизации.

  • Закон о защите персональных данных (PDP Law): Закон № 6698 от 24 марта 2016 года, опубликованный в Официальном вестнике 7 апреля 2016 года, № 29677.

  • Орган по защите персональных данных/регулирующий орган: Орган по защите персональных данных.

  • Периодическое уничтожение: процесс удаления, уничтожения или анонимизации, осуществляемый по служебной необходимости через повторяющиеся интервалы, указанные в политике хранения и уничтожения персональных данных, если все условия обработки данных по закону устранены.

  • Политика: Политика Carelink Sağlık Turizmi Hizmetleri Tic. Ltd. Şti по защите и обработке персональных данных.

  • Конфиденциальные персональные данные: данные о расе, этнической принадлежности, политических взглядах, философских убеждениях, религии, секте или иных убеждениях, одежде, членстве в ассоциациях, фондах или профсоюзах, здоровье, сексуальной жизни, судимостях и мерах безопасности, а также биометрические и генетические данные.

  • Третьи лица: физические лица, чьи персональные данные обрабатываются в рамках политики и не определены иначе (например, пациенты, родственники пациентов).

  • Обработчик данных: физические и юридические лица, обрабатывающие персональные данные от имени контролера данных на основе предоставленных полномочий.

  • Контролер данных: лицо, определяющее цели и средства обработки персональных данных и управляющее местом их систематического хранения (система записи данных).

  • Посетитель: физические лица, посетившие территорию нашей компании или сайты для любых целей.

6. ПРОЦЕСС ДЕЯТЕЛЬНОСТИ

6.1 ОСНОВНЫЕ ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

Все наши действия по обработке персональных данных в рамках компании осуществляются:

В соответствии с законом и принципами добросовестности,

Точно и обновленно при необходимости,

Для конкретных, явных и законных целей,

Связаны с целью обработки, ограничены и соразмерны этой цели,

Хранятся в течение периода, предусмотренного соответствующим законодательством или необходимого для целей обработки,

Применяются необходимые административные и технические меры для хранения персональных данных,

Обеспечивается необходимая внимательность при обработке конфиденциальных данных, которые находятся под особой защитой из-за своей природы,

Лица, чьи данные обрабатываются, информируются при необходимости согласно законодательству и при необходимости их согласие получается явно,

Применяются необходимые административные и технические меры при передаче персональных данных, включая контроль за обработкой данных третьими лицами в соответствии с законодательством и решениями регулирующих органов,

Принципы, установленные законом, реализуются в полном объеме в соответствии с действующими законодательными положениями и общими принципами права.

6.2 ЗАКОННЫЕ ОСНОВАНИЯ ДЛЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

В соответствии со статьей 20 Конституции и статьей 5 Закона о защите персональных данных № 6698, наша компания руководствуется одним или несколькими из условий, указанных в статье 5/2 Закона, при обработке персональных данных, хотя конкретные условия зависят от характера данных и процесса их обработки:

Если это прямо предусмотрено законом,

Если это необходимо для защиты жизни или физической целостности субъекта данных или другого лица, которое не может выразить согласие по объективной невозможности или чье согласие не является законным,

Если это необходимо для заключения или исполнения договора, при условии прямой связи с участниками договора и обработки их персональных данных,

Если это необходимо для выполнения контролером данных своих юридических обязанностей,

Если субъект данных сам сделал данные общедоступными,

Если это необходимо для установления, осуществления или защиты юридического права,

Если это необходимо для законных интересов контролера данных, при условии, что это не нарушает фундаментальные права и свободы субъекта данных.

Если обработка персональных данных не подпадает под указанные законом случаи, контролер данных оценивает её как необходимую и соразмерную и получает явное согласие субъекта данных.

В случаях, когда обрабатываемые данные являются конфиденциальными персональными данными, в соответствии со статьей 6 Закона, если законодательство не предусматривает иное: персональные данные могут обрабатываться только в рамках явного согласия субъекта данных с учетом принципов необходимости и пропорциональности, когда их обработка не может осуществляться в соответствии с условиями обработки лицами или уполномоченными организациями, обязанных соблюдать конфиденциальность, для целей охраны общественного здоровья, профилактической медицины, проведения медицинской диагностики, лечения и ухода, а также планирования и управления медицинскими услугами и финансирования.

6.3 ВОПРОСЫ, СВЯЗАННЫЕ С ЗАЩИТОЙ ПЕРСОНАЛЬНЫХ ДАННЫХ

Статья 12 Закона о защите персональных данных возлагает на контролера данных обязательства принять все необходимые технические и административные меры для обеспечения соответствующего уровня безопасности, чтобы:

Предотвратить незаконную обработку персональных данных,

Предотвратить незаконный доступ к персональным данным,

Обеспечить сохранность персональных данных.

В соответствии с указанными обязательствами, наша компания принимает необходимые юридические, технические и административные меры для обеспечения безопасности персональных данных, являющихся предметом обработки.

6.3.1 Наша компания принимает технические и административные меры, включая технологические возможности, для обеспечения законной обработки персональных данных. Сотрудники информируются о том, что они не могут раскрывать персональные данные третьим лицам с нарушением положений Закона № 6698 о защите персональных данных, не могут использовать данные для целей, отличных от обработки, не должны оставлять персональные данные доступными для других, и эти обязательства продолжаются после их ухода, при этом с них получают соответствующие обязательства.

6.3.2 Наша компания уделяет особое внимание защите «конфиденциальных» персональных данных, как определено в Законе № 6698 о защите персональных данных, и обеспечивает их обработку в соответствии с законодательными нормами. В этом контексте технические и административные меры, принимаемые нашей компанией для защиты персональных данных, тщательно применяются к конфиденциальным данным, и проводятся необходимые аудиты.

6.3.3 Наша компания принимает технические и административные меры в рамках технологических возможностей, чтобы предотвратить незаконное раскрытие, доступ, передачу или любой другой несанкционированный доступ к защищаемым данным. Компания заключает договоры с обработчиками данных, такими как деловые партнеры и поставщики, чтобы предотвратить незаконную обработку персональных данных, обеспечить защиту данных от несанкционированного доступа и гарантировать законное хранение данных.

6.3.4 Для обеспечения соблюдения соответствующего законодательства и решений регулирующих органов, а также для облегчения аудитов и поддержания непрерывного соответствия, наша компания создала в своей организации Команду по защите данных для надзора и аудита действий по обработке персональных данных.

6.3.5 Наша компания принимает необходимые технические и административные меры, включая технологические возможности, для хранения персональных данных в безопасных средах и предотвращения их уничтожения, утраты или изменения в незаконных целях.

6.3.6 В соответствии со статьей 12 Закона о защите персональных данных, наша компания проводит необходимые аудиты через созданную команду или третьих лиц. Результаты этих аудитов доводятся до Контролера данных в рамках внутренних процессов компании, и предпринимаются новые меры или осуществляется деятельность по улучшению существующих мер на основе рекомендаций и инструкций.

6.3.7 Наша компания также разработала политику хранения и уничтожения персональных данных в соответствии со статьей 7 Закона о защите персональных данных и Регламентом об удалении, уничтожении или анонимизации персональных данных, опубликованным в Официальном вестнике от 28.10.2017, № 30224.

6.4 ИНФОРМИРОВАНИЕ И РАЗЪЯСНЕНИЕ СУБЪЕКТА ДАННЫХ

Наша компания обеспечивает информирование соответствующих лиц в соответствии со статьей 10 Закона о защите персональных данных и статьей 4 «Регламента о процедурах и принципах, которые необходимо соблюдать при выполнении обязанности информирования». В предоставляемом разъяснении включаются следующие вопросы:

  • Идентификация нашей компании как контролера данных,

  • Цель обработки/возможной обработки персональных данных,

  • Кому и с какой целью могут передаваться персональные данные,

  • Методы сбора персональных данных и законные основания,

  • Другие права субъекта данных, указанные в статье 11 Закона и пункте 4.6 данной политики.

В соответствии со статьей 10 Закона № 6698 и с соблюдением статьи 6 Регламента о процедурах и принципах информирования, когда персональные данные не получены напрямую от субъекта данных:

  • В течение законодательно установленного периода с момента получения персональных данных,

  • При использовании данных для целей связи — при первом контакте,

  • При передаче персональных данных — при первой передаче, обязательство информирования считается выполненным.

6.5 ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ

Наша компания в соответствии с законом может передавать персональные и конфиденциальные персональные данные субъектов третьим лицам, принимая необходимые меры безопасности в рамках целей обработки персональных данных. В этом отношении соблюдаются положения статьи 8 Закона о защите персональных данных. При передаче данных за границу используется соответствующий метод, определенный Советом по защите персональных данных. В этом контексте соблюдаются положения статьи 9 Закона о защите персональных данных.

6.6 КОНТРОЛЬ ПРАВ СУБЪЕКТА ДАННЫХ; ОЦЕНКА ЗАПРОСОВ СУБЪЕКТА

Статья 11 Закона о защите персональных данных регулирует права субъекта данных. Субъект может осуществлять следующие права, обратившись к контролеру данных:

  • Узнать, обрабатываются ли персональные данные,

  • Запросить информацию, если данные обрабатывались,

  • Узнать цель обработки персональных данных и используются ли они в соответствии с этой целью,

  • Узнать третьих лиц, которым данные передаются в стране или за рубежом,

  • Запросить исправление неполных или неточных данных,

  • Запросить удаление или уничтожение данных в рамках условий статьи 7 Закона о защите персональных данных (даже если данные обрабатывались законно, при отсутствии оснований для обработки),

  • Запросить уведомление третьих лиц о действиях с переданными данными,

  • Возразить против результата, неблагоприятного для субъекта данных, основанного на автоматическом анализе данных,

  • Требовать возмещения ущерба в случае незаконной обработки данных.

Для оценки запросов субъектов данных и предоставления необходимой информации создана специальная команда в соответствии со статьей 13 Закона о защите персональных данных, которая осуществляет все юридические, административные и технические действия.

Методы подачи запросов субъектами данных:

  • Подписанную копию формы запроса можно подать лично или через уполномоченного представителя по доверенности по адресу: “Carelink Sağlık Turizmi Hizmetleri Tic. Ltd. Şti, Arapsuyu Mah. Atatürk Blv. No: 47/41 Konyaaltı, Antalya/Turkey”,

  • Отправить подписанную копию формы запроса заказным письмом по тому же адресу,

  • Отправить подписанную форму запроса по электронной подписи на [email protected],

  • Отправить подписанную форму запроса по электронной почте на [email protected].

Для использования этих методов подачи заявки заявитель должен предоставить документы, удостоверяющие личность, через выбранный метод. Документы доступны на сайте компании http://www.antalyadentsmile.com/.

Процедура обработки полученного запроса:

  • Запросы, поступившие от субъектов данных одним из указанных способов, оцениваются в соответствии с природой запроса. В срок, установленный законом, но не позднее 30 (тридцати) дней, заявителю предоставляется бесплатный ответ.

  • Если процесс требует дополнительных расходов, заявитель будет немедленно уведомлен, и сообщается, что с момента уведомления он обязан покрыть эти расходы согласно действующему тарифу, опубликованному органом по защите персональных данных.

6.7 DESTRUCTION OF PERSONAL DATA

In accordance with the legal grounds specified in Article 6.2 of this policy, if the conditions for the processing of personal data no longer exist specifically for that personal data, it will be deleted, destroyed, or anonymized, either ex officio or upon the request of the data subject (Data Owner).

The deletion, destruction, or anonymization of personal data is carried out in accordance with the fundamental principles stated in Article 6.1 of this policy, the technical and administrative measures required for the protection of this personal data, relevant legal regulations, decisions of the PDP Board, and the “Personal Data Storage and Destruction Policy.”

In the case that data covered by this article has been transferred to third parties at any time, these third parties will also be informed about the transaction, ensuring that they take the necessary actions.

6.8 METHOD

6.8.1 IMPLEMENTATION OF POLICY AND LEGISLATION

In the personal data processing activities carried out by our company, priority is given to the provisions of the current legislation and, to the extent applicable, regulatory authority decisions. In the event of any inconsistency between the provisions outlined in this policy and the applicable regulations or decisions, the rules that are most favorable to the data subjects will be taken into consideration.

6.8.2 EFFECTIVE DATE

This policy, issued by our company, entered into effect on 01.01.2023. If some articles in this policy are changed partially or completely, the relevant amendment will enter into force on the date of the publication of the change.