Operator Arzt Deniz Korkmaz Richtlinie zur Speicherung und Vernichtung personenbezogener Daten
1.EINLEITUNG
1.1. Zweck
Die vorliegende Richtlinie zur Speicherung und Vernichtung personenbezogener Daten ("Richtlinie") wurde erstellt, um die Verfahren und Grundsätze für die vom "Data Controller" OP. DR. DENİZ KORKMAZ durchgeführten Speicherungs- und Vernichtungsaktivitäten festzulegen.
In diesem Zusammenhang wurde festgelegt, dass die Verarbeitung der personenbezogenen Daten von Mitarbeitern, Bewerbern, Patienten und allen natürlichen Personen, die aus irgendeinem Grund personenbezogene Daten bei OP. DR. DENİZ KORKMAZ haben, in Übereinstimmung mit der Verfassung der Republik Türkei, internationalen Übereinkommen, dem Datenschutzgesetz Nr. 6698 ("Gesetz") und anderen einschlägigen Rechtsvorschriften im Rahmen der Richtlinie zur Verarbeitung und zum Schutz personenbezogener Daten und dieser Richtlinie zur Speicherung und Vernichtung personenbezogener Daten vorrangig zu behandeln ist und sicherzustellen ist, dass die betreffenden Personen ihre Rechte effektiv nutzen.
1.2 Umfang
Die Arbeiten und Vorgänge im Zusammenhang mit der Speicherung und Vernichtung personenbezogener Daten werden im Einklang mit der von OP. DR. DENİZ KORKMAZ in dieser Richtung ausgearbeiteten Richtlinie durchgeführt.
1.3 Abkürzungen und Definitionen
Ausdrückliche Zustimmung: Zustimmung zu einer bestimmten Person, die auf Informationen beruht und mit freiem Willen geäußert wird.
Anonymisierung: Die Unmöglichkeit, personenbezogene Daten mit einer identifizierten oder identifizierbaren natürlichen Person in Verbindung zu bringen, auch durch Abgleich mit anderen Daten.
Mitarbeiter: Mitarbeiter des für die Datenverarbeitung Verantwortlichen.
Elektronische Medien: Medien, auf denen personenbezogene Daten mit elektronischen Geräten erstellt, gelesen, verändert und geschrieben werden können.
Nichtelektronische Medien: Alle schriftlichen, gedruckten, visuellen usw. Medien, die keine elektronischen Medien sind.
Betroffene Person: Die natürliche Person, deren personenbezogene Daten verarbeitet werden.
Verantwortlicher Nutzer: Personen, die personenbezogene Daten innerhalb der Organisation des für die Verarbeitung Verantwortlichen oder gemäß der vom für die Verarbeitung Verantwortlichen erhaltenen Genehmigung und Anweisung verarbeiten, mit Ausnahme der für die technische Speicherung, den Schutz und die Sicherung der Daten zuständigen Person oder Stelle.
Vernichtung: Löschung, Vernichtung oder Anonymisierung von personenbezogenen Daten.
Gesetz: Gesetz Nr. 6698 über den Schutz personenbezogener Daten.
Aufzeichnungsmedium: Jedes Medium, auf dem personenbezogene Daten ganz oder teilweise automatisch oder nicht automatisch verarbeitet werden, sofern es Teil eines Datenaufzeichnungssystems ist.
Bestandsverzeichnis der Verarbeitung personenbezogener Daten: Verzeichnis, in dem die für die Datenverarbeitung Verantwortlichen die von ihnen durchgeführten Tätigkeiten zur Verarbeitung personenbezogener Daten in Abhängigkeit von ihren Geschäftsprozessen detailliert aufführen, indem sie diese mit den Zwecken und Rechtsgründen für die Verarbeitung personenbezogener Daten, der Datenkategorie, der Gruppe der übermittelten Empfänger und der Gruppe der betroffenen Personen in Verbindung bringen und die maximale Aufbewahrungsfrist für die Zwecke, für die personenbezogene Daten verarbeitet werden, die personenbezogenen Daten, die ins Ausland übermittelt werden sollen, und die Maßnahmen zur Datensicherheit erläutern.
Ausschuss: Ausschuss für den Schutz personenbezogener Daten
Regelmäßige Vernichtung: Der Prozess der Löschung, Vernichtung oder Anonymisierung, der von Amts wegen in wiederkehrenden Abständen, die in der Politik zur Aufbewahrung und Vernichtung personenbezogener Daten festgelegt sind, durchgeführt wird, wenn alle im Gesetz festgelegten Bedingungen für die Verarbeitung personenbezogener Daten wegfallen.
Richtlinie: Richtlinie zur Speicherung und Vernichtung personenbezogener Daten
Datenaufzeichnungssystem: Das Aufzeichnungssystem, in dem personenbezogene Daten nach bestimmten Kriterien strukturiert und verarbeitet werden.
Informationssystem des Registers der für die Datenverarbeitung Verantwortlichen: Das vom Präsidium geschaffene und verwaltete Informationssystem, das über das Internet zugänglich ist und von den für die Datenverarbeitung Verantwortlichen für die Anmeldung beim Register und andere damit zusammenhängende Vorgänge verwendet wird.
VERBIS: Registerinformationssystem der für die Verarbeitung Verantwortlichen.
Verordnung: Verordnung über die Löschung, Vernichtung oder Anonymisierung von personenbezogenen Daten, veröffentlicht im Amtsblatt vom 28. Oktober 2017.
2. ZUSTÄNDIGKEIT UND AUFGABENTEILUNG
Alle Mitarbeiter von OP. DR. DENİZ KORKMAZ unterstützen die verantwortlichen Mitarbeiter aktiv bei der Ergreifung technischer und administrativer Maßnahmen zur Gewährleistung der Datensicherheit in allen Umgebungen, in denen personenbezogene Daten verarbeitet werden, um eine unrechtmäßige Verarbeitung personenbezogener Daten zu verhindern, einen unrechtmäßigen Zugriff auf personenbezogene Daten zu verhindern und sicherzustellen, dass personenbezogene Daten im Einklang mit dem Gesetz gespeichert werden, indem die im Rahmen der Richtlinie ergriffenen technischen und administrativen Maßnahmen ordnungsgemäß umgesetzt werden, die Schulung und Sensibilisierung der Mitarbeiter erhöht wird und eine kontinuierliche Überwachung und Prüfung erfolgt.
3. SPEICHERMEDIEN
Personenbezogene Daten werden von dem für die Verarbeitung Verantwortlichen in Übereinstimmung mit dem Gesetz auf den in Tabelle 1 aufgeführten Medien sicher gespeichert.
Tabelle 1: Speichermedien für personenbezogene Daten
Elektronische Medien | Non-Electronic Media |
Server (Domäne, Backup, E-Mail, Datenbank, Web, Dateifreigabe usw.) Digitale Programme Software (Bürosoftware.) Geräte zur Informationssicherheit (Sicherheits Wall, Intrusion Detection and Prevention, Antivirus usw.) Personalcomputer (Desktop, Laptop) Mobile Geräte (Telefon, Tablet, usw.) Optische Datenträger (CD, DVD usw.) Wechselspeicher (USB, MemoryKarte usw.) Drucker, Scanner, Fotokopierer | Papier Manuelle Datenerfassungssysteme (Fragebögen, Antragsformulare, Patientenakten) Schriftliche, gedruckte, visuelle Medien |
4.ERLÄUTERUNGEN ZUR SPEICHERUNG UND VERNICHTUNG
Personenbezogene Daten von Mitarbeitern, Bewerbern und Patienten werden von dem für die Verarbeitung Verantwortlichen in Übereinstimmung mit dem Gesetz gespeichert und vernichtet. In diesem Zusammenhang werden im Folgenden ausführliche Erläuterungen zur Speicherung bzw. Vernichtung gegeben.
4.1 Erklärungen zur Speicherung
In Artikel 3 des Gesetzes wird der Begriff der Verarbeitung personenbezogener Daten definiert, in Artikel 4 heißt es, dass die verarbeiteten personenbezogenen Daten für den Zweck, für den sie verarbeitet werden, erheblich, begrenzt und verhältnismäßig sein müssen und für den Zeitraum aufbewahrt werden müssen, der in den einschlägigen Rechtsvorschriften festgelegt oder für den Zweck, für den sie verarbeitet werden, erforderlich ist, und in den Artikeln 5 und 6 werden die Bedingungen für die Verarbeitung personenbezogener Daten aufgeführt. Dementsprechend werden personenbezogene Daten im Rahmen der Tätigkeiten des für die Verarbeitung Verantwortlichen für den Zeitraum aufbewahrt, der in den einschlägigen Rechtsvorschriften vorgesehen ist oder der mit unseren Verarbeitungszwecken übereinstimmt.
4.1.1 Rechtliche Gründe, die eine Aufbewahrung erfordern
Personenbezogene Daten, die im Rahmen der Tätigkeit des für die Verarbeitung Verantwortlichen verarbeitet werden, werden für den Zeitraum aufbewahrt, der in der einschlägigen Gesetzgebung festgelegt ist.
In diesem Zusammenhang: personenbezogene Daten;
Gesetz Nr. 6698 über den Schutz personenbezogener Daten,
3359 nummeriertes Grundgesetz für das Gesundheitswesen,
Gesetzesdekret Nr. 663 über die Organisation und die Aufgaben des Gesundheitsministeriums und der ihm angegliederten Institutionen,
Verordnung über die Verarbeitung und den Schutz der Privatsphäre von persönlichen Gesundheitsdaten,
Gesetz Nr. 1219 über die Ausübung der medizinischen und ärztlichen Berufe,
Berufsethischer Kodex für Ärzte,
Gesetz Nr. 6023 über die Türkische Ärztekammer,
Verordnung über persönliche Gesundheitsdaten vom 21.06.2019 mit der Nummer 30808
Türkisches Obligationenrecht Nr. 6098,
Verordnung zur Änderung der Verordnung über private Gesundheitseinrichtungen für ambulante Diagnostik und Behandlung,
Gesetz Nr. 5510 über die soziale Sicherheit und die allgemeine Krankenversicherung,
Gesetz Nr. 5651 über die Regelung von Veröffentlichungen im Internet und die Bekämpfung von Straftaten, die durch diese Veröffentlichungen begangen werden,
Gesetz Nr. 6331 über Gesundheit und Sicherheit am Arbeitsplatz,
Gesetz Nr. 4982 über den Zugang zu Informationen,
Gesetz Nr. 3071 über die Ausübung des Petitionsrechts,
Arbeitsgesetz Nr. 4857,
Gesetz Nr. 2828 über soziale Dienstleistungen,
Verordnung über Gesundheits- und Sicherheitsmaßnahmen in Arbeitsgebäuden und Anhängen,
Verordnung über Archivdienste.
Die Aufbewahrungsfristen werden im Rahmen anderer sekundärer Vorschriften, die in Übereinstimmung mit diesen Gesetzen in Kraft sind, festgelegt.
4.1.2 Aufbewahrungspflichtige Verarbeitungszwecke
Der für die Verarbeitung Verantwortliche speichert die im Rahmen seiner Tätigkeit verarbeiteten personenbezogenen Daten für die folgenden Zwecke:
- Zur Erfüllung aller Diagnose- und Behandlungsleistungen im Bereich der Hals-Nasen-Ohrenheilkunde und der ästhetischen Gesichtschirurgie.
- Zur Sicherstellung der Patientenkommunikation.
- Um die Sicherheit der Einrichtung zu gewährleisten
- Sicherstellung der Buchführung.
- Er muss in der Lage sein, Diagnose- und Behandlungsverfahren durchzuführen,
- die Präferenzen und Bedürfnisse der Mitarbeiter, der Verantwortlichen, der Kontaktpersonen, der Vertreter der Verantwortlichen und der Datenverarbeiter im Rahmen von VERBIS zu ermitteln, die erbrachten Leistungen entsprechend zu organisieren und gegebenenfalls zu aktualisieren.
- Sicherstellung der Erfüllung rechtlicher Verpflichtungen, wie sie durch gesetzliche Vorschriften gefordert oder vorgeschrieben sind.
- Kontaktaufnahme mit realen/juristischen Personen, die mit dem für die Datenverarbeitung Verantwortlichen in einer Geschäftsbeziehung stehen.
- Zur Erstellung von Rechtsgutachten.
- Nachweispflicht als Beweismittel in zukünftigen Rechtsstreitigkeiten.
4.2 Gründe, die eine Vernichtung erfordern
Personenbezogene Daten;
- ∙ Änderung oder Abschaffung der Bestimmungen der einschlägigen Rechtsvorschriften, die die Grundlage für die Verarbeitung bilden,
- ∙ Wegfall des Zwecks, der die Verarbeitung oder Speicherung erfordert,
- ∙ In Fällen, in denen die Verarbeitung personenbezogener Daten ausschließlich auf einer ausdrücklichen Einwilligung beruht, kann die betroffene Person ihre ausdrückliche Einwilligung widerrufen,
- ∙ Dem Antrag der betroffenen Person auf Löschung und Vernichtung ihrer personenbezogenen Daten im Rahmen ihrer Rechte gemäß Artikel 11 des Gesetzes wird von der Behörde stattgegeben,
- ∙ werden personenbezogene Daten auf Antrag der betroffenen Person von dem für die Verarbeitung Verantwortlichen gelöscht, vernichtet oder von Amts wegen gelöscht, vernichtet oder anonymisiert, wenn die Höchstdauer der Speicherung personenbezogener Daten abgelaufen ist und keine Umstände vorliegen, die eine längere Speicherung der personenbezogenen Daten rechtfertigen.
5. TECHNISCHE UND ADMINISTRATIVE MASSNAHMEN FÜR DIE SPEICHERUNG UND VERNICHTUNG PERSONENBEZOGENER DATEN
Der für die Verarbeitung Verantwortliche ergreift technische und verwaltungstechnische Maßnahmen im Rahmen der vom Verwaltungsrat für besondere Kategorien personenbezogener Daten gemäß Artikel 12 des Gesetzes und Artikel 6/4 des Gesetzes festgelegten und bekannt gegebenen angemessenen Maßnahmen für die sichere Speicherung personenbezogener Daten, die Verhinderung einer unrechtmäßigen Verarbeitung sowie den Zugang zu und die Vernichtung von personenbezogenen Daten in Übereinstimmung mit dem Gesetz.
5.1 Technische Maßnahmen für die Speicherung
Die technischen Maßnahmen, die der für die Verarbeitung Verantwortliche im Hinblick auf die Speicherung der von ihm verarbeiteten personenbezogenen Daten ergreift, sind im Folgenden aufgeführt:
Es werden Hard- und Softwaresicherheitssysteme installiert, um die Sicherheit der Informationssysteme gegen Bedrohungen aus der Umwelt entsprechend der technologischen Entwicklung in Bezug auf die Speicherbereiche der personenbezogenen Daten zu gewährleisten. Nur befugte Mitarbeiter können auf personenbezogene Daten zugreifen. In elektronischen Umgebungen, in denen personenbezogene Daten verarbeitet werden, werden starke Passwörter verwendet. Für die physischen Umgebungen, in denen personenbezogene Daten besonderer Art verarbeitet, gespeichert und/oder abgerufen werden, werden angemessene Sicherheitsmaßnahmen ergriffen, und ein unbefugtes Betreten und Verlassen wird durch Gewährleistung der physischen Sicherheit verhindert. Wenn sensible personenbezogene Daten per E-Mail übermittelt werden müssen, werden sie über die E-Mail-Adresse des Unternehmens übermittelt. Müssen sie in Papierform übermittelt werden, werden die erforderlichen Maßnahmen gegen Risiken wie Diebstahl, Verlust oder Einsichtnahme durch Unbefugte getroffen. Der für die Verarbeitung Verantwortliche fordert auch von den Dritten, mit denen er zusammenarbeitet, Verpflichtungen zur Einhaltung bestimmter Standards bei der Speicherung von Daten. Darüber hinaus ergreift der für die Verarbeitung Verantwortliche die erforderlichen Maßnahmen, um sicherzustellen, dass personenbezogene Daten nicht verloren gehen oder unrechtmäßig verwendet werden.
5.2 Verwaltungsmaßnahmen in Bezug auf die Speicherung
Die administrativen Maßnahmen, die der für die Verarbeitung Verantwortliche in Bezug auf die Speicherung der von ihm verarbeiteten personenbezogenen Daten ergreift, sind nachstehend aufgeführt:
Die Sensibilisierung der Mitarbeiter für die technischen und administrativen Risiken im Zusammenhang mit der Speicherung personenbezogener Daten; im Falle der Zusammenarbeit mit Dritten für die Speicherung personenbezogener Daten enthalten die Verträge mit den Unternehmen, an die personenbezogene Daten übermittelt werden, Bestimmungen, in denen die Pflichten und Verantwortlichkeiten der Personen, an die personenbezogene Daten übermittelt werden, festgelegt sind, um die erforderlichen Sicherheitsmaßnahmen für den Schutz und die sichere Speicherung der übermittelten personenbezogenen Daten zu treffen.
5.3 Technische Maßnahmen zur Vernichtung
Nach Ablauf des in den einschlägigen Rechtsvorschriften vorgesehenen Zeitraums oder nach Ablauf der für den Zweck ihrer Verarbeitung erforderlichen Aufbewahrungsfrist werden personenbezogene Daten von dem für die Verarbeitung Verantwortlichen von Amts wegen oder auf Antrag der betroffenen Person gemäß den Bestimmungen der einschlägigen Rechtsvorschriften durch die folgenden Techniken vernichtet.
5.4 Löschung von personenbezogenen Daten
Die Löschung personenbezogener Daten erfolgt nach den in Tabelle 2 aufgeführten Verfahren.
Tabelle 2: Löschung von personenbezogenen Daten
Umgebung der Datenaufzeichnung | Beschreibung |
Personenbezogene Daten auf Servern | Bei den personenbezogenen Daten auf den Servern erfolgt die Löschung durch den Systemadministrator, indem er den betreffenden Nutzern die Zugriffsberechtigung für diejenigen Daten entzieht, deren Aufbewahrungsfrist abgelaufen ist. |
Personenbezogene Daten in elektronischen Medien | Die auf elektronischen Datenträgern gespeicherten personenbezogenen Daten, die nach Ablauf der für ihre Speicherung vorgesehenen Frist verfallen, werden für andere Mitarbeiter (relevante Nutzer) mit Ausnahme des Datenbankverwalters unzugänglich und in keiner Weise wiederverwendbar gemacht. |
Personenbezogene Daten in der physischen Umgebung | Die personenbezogenen Daten, die in der physischen Umgebung aufbewahrt werden, werden für andere Mitarbeiter unzugänglich und nicht wiederverwendbar gemacht, mit Ausnahme des für das Dokumentenarchiv zuständigen Referatsleiters, wenn die Aufbewahrungsfrist abgelaufen ist. Darüber hinaus wird die Schwärzung auch durch Zeichnen/Malen/Löschen in einer nicht lesbaren Weise vorgenommen. |
Personenbezogene Daten auf tragbaren Datenträgern | Die auf Flash-Speichermedien aufbewahrten personenbezogenen Daten und die Daten, deren Aufbewahrungsfrist abgelaufen ist, werden vom Systemadministrator verschlüsselt, die Zugriffsberechtigung wird nur dem Systemadministrator erteilt und sie werden in sicheren Umgebungen mit Verschlüsselungsschlüsseln gespeichert. |
5.5 Vernichtung von personenbezogenen Daten
Personenbezogene Daten werden von dem für die Verarbeitung Verantwortlichen nach den in Tabelle 3 angegebenen Methoden vernichtet.
Tabelle 3: Vernichtung von personenbezogenen Daten7
Umgebung der Datenaufzeichnung | Beschreibung |
Personenbezogene Daten in der physischen Umgebung | Diejenigen personenbezogenen Daten auf Papierträgern, deren Aufbewahrungsfrist abgelaufen ist, werden in Aktenvernichtungsmaschinen unwiderruflich vernichtet. |
Personenbezogene Daten auf optischen/magnetischen Datenträgern | Die auf optischen und magnetischen Datenträgern enthaltenen personenbezogenen Daten werden physisch vernichtet, z. B. durch Einschmelzen, Verbrennung oder Pulverisierung, wenn die vorgeschriebene Aufbewahrungsfrist abgelaufen ist. Darüber hinaus werden die magnetischen Datenträger durch ein spezielles Gerät geführt und die darauf befindlichen Daten werden unlesbar gemacht, indem sie einem starken Magnetfeld ausgesetzt werden. |
5.6 Anonymisierung von personenbezogenen Daten
Bei der Anonymisierung personenbezogener Daten geht es darum, dass personenbezogene Daten unter keinen Umständen mit einer bestimmten oder bestimmbaren natürlichen Person in Verbindung gebracht werden können, auch wenn die personenbezogenen Daten mit anderen Daten abgeglichen werden.
Die Anonymisierung personenbezogener Daten setzt voraus, dass die personenbezogenen Daten nicht mehr mit einer bestimmten oder bestimmbaren natürlichen Person in Verbindung gebracht werden können, und zwar auch dann nicht, wenn in Bezug auf das Erfassungsmedium und den jeweiligen Tätigkeitsbereich geeignete Techniken angewandt werden, wie z. B. die Rückgabe personenbezogener Daten durch den für die Verarbeitung Verantwortlichen oder Dritte und/oder der Abgleich der Daten mit anderen Daten.
5.7 Administrative Maßnahmen zur Vernichtung
Die Vernichtung von Daten wird nur von befugten Mitarbeitern des für die Verarbeitung Verantwortlichen durchgeführt. Die Mitarbeiter werden im Rahmen der Gesetzgebung über den Schutz und die Vernichtung personenbezogener Daten informiert. Die erforderliche Ausrüstung, insbesondere für die physische Vernichtung, ist am Arbeitsplatz vorhanden.
6. AUFBEWAHRUNGS- UND VERNICHTUNGSFRISTEN
In Bezug auf die personenbezogenen Daten, die von dem für die Verarbeitung Verantwortlichen im Rahmen seiner Tätigkeiten verarbeitet werden;
Die Aufbewahrungsfristen auf der Grundlage personenbezogener Daten für alle personenbezogenen Daten, die im Rahmen der durchgeführten Tätigkeiten verarbeitet werden, sind im Verzeichnis der Verarbeitung personenbezogener Daten enthalten;
Die Aufbewahrungsfristen auf Prozessbasis sind in der Richtlinie zur Aufbewahrung und Vernichtung personenbezogener Daten enthalten.
Für personenbezogene Daten, deren Aufbewahrungsfristen abgelaufen sind, wird von Amts wegen eine Löschung, Vernichtung oder Anonymisierung vorgenommen.
Tabelle 4: Fristen für die Aufbewahrung und Vernichtung von Daten
Prozess | Lagerung Zeitraum | Vernichtung Zeitraum |
Patienten | 15 Jahre | 6 Monate nach Ablauf der Aufbewahrungsfrist |
Mitarbeiter | 15 Jahre nach dem Datum der Beendigung des Arbeitsverhältnisses | 6 Monate nach Ablauf der Behaltefrist |
Job-Bewerber | 15 Jahre ab dem Zeitpunkt der Bewerbung | 6 Monate nach Ablauf der Aufbewahrungsfrist |
Andere Kontaktpersonen als die oben genannten betroffenen Personen | 10 Jahre | 6 Monate nach Ablauf der Aufbewahrungsfrist |
7. VERÖFFENTLICHUNG UND AUFBEWAHRUNG DER POLITIK
Die Politik wird in zwei verschiedenen Medien veröffentlicht: auf nassgezeichnetem (gedrucktem) Papier und auf elektronischen Medien.
8. ZEITRAUM FÜR DIE AKTUALISIERUNG DER POLITIK
Die Richtlinie wird bei Bedarf überprüft und die erforderlichen Abschnitte werden aktualisiert.
9. INKRAFTTRETEN DER RICHTLINIE
Diese Politik tritt am 01.01.2021 in Kraft.
Operator Arzt Deniz Korkmaz