1. VERTRAULICHKEIT DER DATEN VERPFLICHTUNG
1.1 Diese Richtlinie zum Schutz personenbezogener Daten ("Richtlinie") EMP HEALTH SERVICES TRADE CO.Sie legt die Grundsätze fest, die innerhalb des Unternehmens und/oder vom Unternehmen bei der Erfüllung seiner Verpflichtungen zum Schutz personenbezogener Daten und bei der Verarbeitung personenbezogener Daten in Übereinstimmung mit den Bestimmungen der einschlägigen Gesetzgebung, insbesondere des Gesetzes Nr. 6698 über den Schutz personenbezogener Daten, einzuhalten sind.
1.2 Das Unternehmen verpflichtet sich, in Bezug auf personenbezogene Daten innerhalb seiner eigenen Struktur in Übereinstimmung mit dieser Richtlinie und den gemäß der Richtlinie umzusetzenden Verfahren zu handeln.
2) POLITIK ZWECK
Der Hauptzweck dieser Richtlinie besteht darin, die Grundsätze hinsichtlich der Methoden und Verfahren für die Verarbeitung und den Schutz personenbezogener Daten durch das Unternehmen festzulegen.
3. POLITIK SCOPE
3.1 Diese Richtlinie deckt alle Aktivitäten in Bezug auf personenbezogene Daten ab, die von der Gesellschaft verarbeitet werden, und gilt für diese Aktivitäten.
3.2 Diese Richtlinie gilt nicht für Daten, die nicht als personenbezogene Daten eingestuft werden.
3.3 Diese Richtlinie kann von Zeit zu Zeit mit Genehmigung des Verwaltungsrats geändert werden, wenn die KVK-Vorschriften dies erfordern oder wenn die Gesellschaft oder der Ausschuss dies für erforderlich halten. Im Falle von Unvereinbarkeiten zwischen den KVK-Vorschriften und dieser Richtlinie haben die KVK-Vorschriften Vorrang.
4 BEGRIFFSBESTIMMUNGEN
Die in dieser Police verwendeten Definitionen haben die folgende Bedeutung;
Offene Zustimmung: Es handelt sich um eine Einwilligung, die auf Informationen über ein bestimmtes Thema beruht und aus freiem Willen erteilt wird.
Anonymisierung: Das bedeutet, dass personenbezogene Daten unter keinen Umständen mit einer identifizierten oder identifizierbaren natürlichen Person in Verbindung gebracht werden können, auch nicht durch Abgleich mit anderen Daten.
Verpflichtung zur Offenlegung: Sie bezieht sich auf die Verpflichtung des Inhabers der Datenverarbeitung oder der von ihm beauftragten Person, der betroffenen Person im Rahmen von Artikel 10 des KVKK bei der Erfassung personenbezogener Daten Informationen zu erteilen.
Persönliche Daten: Alle Informationen, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen (im Rahmen dieses Verfahrens umfasst der Begriff "personenbezogene Daten" auch, soweit angemessen, "sensible personenbezogene Daten", wie nachstehend definiert)
Verarbeitung personenbezogener Daten: Er bezieht sich auf alle Arten von Vorgängen, die mit den Daten durchgeführt werden, wie z. B. das Erheben, Erfassen, Speichern, Aufbewahren, Ändern, Reorganisieren, Offenlegen, Übermitteln, Übernehmen, Bereitstellen, Klassifizieren oder Verhindern der Verwendung personenbezogener Daten durch voll- oder teilautomatisierte oder nichtautomatisierte Mittel, sofern sie Teil eines Datenerfassungssystems sind.
Ausschuss: Bezieht sich auf den Ausschuss für den Schutz personenbezogener Daten des Unternehmens.
Vorstand: Bezieht sich auf den Ausschuss für den Schutz personenbezogener Daten.
Institution: Bezieht sich auf die Behörde für den Schutz personenbezogener Daten.
KVKK: Gesetz Nr. 6698 über den Schutz personenbezogener Daten.
KVK-Verordnungen: Gesetz Nr. 6698 über den Schutz personenbezogener Daten und andere einschlägige Gesetze zum Schutz personenbezogener Daten, verbindliche Beschlüsse, Grundsatzentscheidungen, Bestimmungen, Anweisungen von Regulierungs- und Aufsichtsbehörden, Gerichten und anderen offiziellen Behörden sowie geltende internationale Abkommen und sonstige Rechtsvorschriften zum Schutz von Daten.
KVK-Politiken: Sie bezieht sich auf die von der Gesellschaft herausgegebenen Richtlinien zum Schutz personenbezogener Daten.
KVK-Verfahren: Sie bezieht sich auf die Verfahren, die die Verpflichtungen festlegen, die das Unternehmen, die Mitarbeiter und der Ausschuss im Rahmen der KVK-Richtlinien einzuhalten haben.
Besondere Kategorien von personenbezogenen Daten: "Daten über Ethnie, ethnische Herkunft, politische Meinung, Weltanschauung, Religion, Sekte oder sonstige Überzeugungen, Kleidung, Mitgliedschaft in Vereinen, Stiftungen oder Gewerkschaften, Gesundheit, Sexualleben, strafrechtliche Verurteilung und Sicherheitsmaßnahmen sowie biometrische und genetische Daten.
Löschen und Vernichten: Sie bezieht sich auf die unwiderrufliche Vernichtung oder Zerstörung personenbezogener Daten.
Daten-Inventarisierung: "Verarbeitung personenbezogener Daten" bezieht sich auf das Verzeichnis, das Informationen über die Prozesse und Methoden der Verarbeitung personenbezogener Daten, die Zwecke der Verarbeitung personenbezogener Daten, die Datenkategorie, Dritte, an die personenbezogene Daten übermittelt werden, usw. für die Verarbeitung personenbezogener Daten durch das Unternehmen enthält.
Datenverarbeiter: Er bezieht sich auf die natürliche oder juristische Person, die personenbezogene Daten im Auftrag des für die Verarbeitung Verantwortlichen verarbeitet, indem sie vom für die Verarbeitung Verantwortlichen ermächtigt wird.
Gegenstand der Daten: Bezieht sich auf alle natürlichen Personen, deren personenbezogene Daten von oder im Namen des Unternehmens verarbeitet werden.
Verantwortlicher für die Datenverarbeitung: Bezieht sich auf die natürliche und juristische Person, die personenbezogene Daten verarbeitet, indem sie die Zwecke und die Art und Weise der Verarbeitung festlegt und für die Einrichtung und Verwaltung des Datenerfassungssystems verantwortlich ist.
Für die Verarbeitung Verantwortliche Kontaktperson: Bezieht sich auf die reale Person, die dem Register von dem für die Verarbeitung Verantwortlichen für die Kommunikation mit der Behörde bezüglich der PDP-Verordnungen gemeldet wird.
5. DIE VERARBEITUNG PERSONENBEZOGENER DATEN PRINZIPIEN
5.1 Verarbeitung personenbezogener Daten nach dem Gesetz und nach Treu und Glauben
Das Unternehmen verarbeitet personenbezogene Daten in Übereinstimmung mit dem Gesetz und nach Treu und Glauben und auf der Grundlage des Grundsatzes der Verhältnismäßigkeit.
5.2 Ergreifen der erforderlichen Maßnahmen, um sicherzustellen, dass personenbezogene Daten richtig und auf dem neuesten Stand sind, wenn dies erforderlich ist
Das Unternehmen ergreift alle erforderlichen Maßnahmen, um sicherzustellen, dass die personenbezogenen Daten vollständig, richtig und aktuell sind, und aktualisiert die entsprechenden personenbezogenen Daten, wenn der Dateneigentümer Änderungen der personenbezogenen Daten im Rahmen der KVKK-Verordnungen wünscht.
5.3 Im Einklang mit den spezifischen, ausdrücklichen und rechtmäßigen Zwecken personenbezogener Daten Verarbeitung
Vor der Verarbeitung personenbezogener Daten wird der Zweck, zu dem die personenbezogenen Daten verarbeitet werden, vom Unternehmen festgelegt. In diesem Zusammenhang wird der Dateneigentümer über den Geltungsbereich der KVK-Verordnungen aufgeklärt, und seine ausdrückliche Zustimmung wird eingeholt, sofern erforderlich.
5.4 Relevant, begrenzt und verhältnismäßig für den Zweck, für den die personenbezogenen Daten verarbeitet werden Zu sein
Das Unternehmen verarbeitet personenbezogene Daten nur in Ausnahmefällen im Rahmen der KVK-Verordnungen (Artikel 5.2 und Artikel 6.3 der KVKK) oder entsprechend dem Zweck im Rahmen der von der betroffenen Person eingeholten ausdrücklichen Einwilligung (Artikel 5.1 und Artikel 6.2 der KVKK) und in Übereinstimmung mit dem Grundsatz der Verhältnismäßigkeit. Der für die Verarbeitung Verantwortliche verarbeitet personenbezogene Daten in einer Weise, die der Verwirklichung der angegebenen Zwecke förderlich ist, und vermeidet die Verarbeitung in Fällen, die nicht mit der Verwirklichung des Zwecks zusammenhängen oder nicht erforderlich sind.
5.5 Für den in der einschlägigen Gesetzgebung festgelegten Zweck oder für den Zweck, für den personenbezogene Daten verarbeitet werden Lagerung für den erforderlichen Zeitraum Bearbeitung von
5.5.1 Das Unternehmen bewahrt personenbezogene Daten so lange auf, wie es für den jeweiligen Zweck erforderlich ist. Wenn das Unternehmen personenbezogene Daten länger aufbewahren möchte, als in den KVK-Verordnungen festgelegt oder durch den Zweck der Verarbeitung personenbezogener Daten erforderlich ist, handelt das Unternehmen in Übereinstimmung mit den in den KVK-Verordnungen festgelegten Verpflichtungen.
5.5.2 Nach Ablauf des Zeitraums, der für den Zweck der Verarbeitung personenbezogener Daten erforderlich ist, werden die personenbezogenen Daten gelöscht, vernichtet oder anonymisiert. In diesem Fall wird sichergestellt, dass Dritte, an die das Unternehmen personenbezogene Daten weitergibt, diese ebenfalls löschen, vernichten oder anonymisieren.
5.5.3 Der Ausschuss ist für die Durchführung der Verfahren zur Löschung, Vernichtung und Anonymisierung zuständig. In diesem Zusammenhang wird das erforderliche Verfahren vom Ausschuss festgelegt.
6. PERSONENBEZOGENE DATEN VERARBEITUNG
Personenbezogene Daten dürfen vom Unternehmen nur im Rahmen der folgenden Verfahren und Grundsätze verarbeitet werden.
6.1 Öffnen Sie Reza
6.1.1 Personenbezogene Daten werden nach der Benachrichtigung der betroffenen Personen im Rahmen der Erfüllung der Offenlegungspflicht und im Falle der ausdrücklichen Zustimmung der betroffenen Personen verarbeitet.
6.1.2 Die betroffenen Personen werden über ihre Rechte informiert, bevor sie im Rahmen der Offenlegungspflicht ihre ausdrückliche Zustimmung erteilen.
6.1.3 Die ausdrückliche Zustimmung des Dateneigentümers wird durch Methoden eingeholt, die mit den KVK-Vorschriften übereinstimmen. Ausdrückliche Einwilligungen werden vom Unternehmen nachweislich für den erforderlichen Zeitraum im Rahmen der KVK-Vorschriften aufbewahrt.
6.1.4 Der Ausschuss ist verpflichtet, dafür zu sorgen, dass die Offenlegungspflicht in Bezug auf alle Prozesse der Verarbeitung personenbezogener Daten erfüllt wird und dass die ausdrückliche Zustimmung eingeholt wird, wenn dies erforderlich ist, und dass die eingeholte ausdrückliche Zustimmung aufbewahrt wird. Alle Mitarbeiter der Abteilung, die personenbezogene Daten verarbeiten, sind verpflichtet, die Anweisungen der Kontaktperson und des Ausschusses, diese Richtlinie und die dieser Richtlinie beigefügten KVK-Verfahren zu befolgen.
6.2 Personenbezogene Daten ohne ausdrückliche Zustimmung Verarbeitung
In Fällen, in denen die Verarbeitung personenbezogener Daten ohne ausdrückliche Zustimmung im Rahmen der KVKK-Verordnungen (Artikel 5.2 der KVKK) vorgesehen ist, kann das Unternehmen personenbezogene Daten verarbeiten, ohne die ausdrückliche Zustimmung des Dateninhabers einzuholen. Falls personenbezogene Daten auf diese Weise verarbeitet werden, verarbeitet das Unternehmen personenbezogene Daten innerhalb der von den KVK-Vorschriften festgelegten Grenzen. In diesem Zusammenhang;
6.2.1 Personenbezogene Daten können von der Gesellschaft ohne ausdrückliche Zustimmung verarbeitet werden, wenn dies in den Gesetzen ausdrücklich vorgesehen ist.
6.2.2 Personenbezogene Daten können vom Unternehmen ohne ausdrückliche Zustimmung verarbeitet werden, wenn dies zum Schutz des Lebens oder der körperlichen Unversehrtheit des Inhabers der Daten selbst oder einer anderen Person als dem Inhaber der Daten, der seine Zustimmung aufgrund tatsächlicher Unmöglichkeit nicht erteilen kann oder dessen Zustimmung nicht rechtsgültig ist, zwingend erforderlich ist.
6.2.3 Sofern es in direktem Zusammenhang mit dem Abschluss oder der Erfüllung eines Vertrags steht und die Verarbeitung personenbezogener Daten der Vertragsparteien erforderlich ist, kann das Unternehmen personenbezogene Daten ohne die ausdrückliche Zustimmung der betroffenen Personen verarbeiten.
6.2.4 Ist die Verarbeitung von Daten für das Unternehmen zur Erfüllung seiner rechtlichen Verpflichtungen zwingend erforderlich, können personenbezogene Daten vom Unternehmen ohne die ausdrückliche Zustimmung der betroffenen Personen verarbeitet werden.
6.2.5 Personenbezogene Daten, die von der betroffenen Person veröffentlicht wurden, können von der Gesellschaft ohne ausdrückliche Zustimmung verarbeitet werden.
6.2.6 Wenn die Verarbeitung personenbezogener Daten für die Begründung, die Ausübung oder den Schutz eines Rechts zwingend erforderlich ist, können personenbezogene Daten von der Gesellschaft verarbeitet werden, ohne dass eine ausdrückliche Zustimmung eingeholt wird.
6.2.7 Sofern die Grundrechte und -freiheiten des Dateninhabers nicht beeinträchtigt werden, können personenbezogene Daten vom Unternehmen ohne ausdrückliche Zustimmung verarbeitet werden, wenn die Datenverarbeitung für die berechtigten Interessen des Unternehmens zwingend erforderlich ist.
7. BESONDERE KATEGORIEN VON PERSONENBEZOGENEN DATEN VERARBEITUNG
7.1 Besondere Kategorien personenbezogener Daten dürfen nur verarbeitet werden, wenn die ausdrückliche Einwilligung der betroffenen Person vorliegt oder wenn die Verarbeitung ausdrücklich gesetzlich vorgeschrieben ist, wenn es sich um andere besondere Kategorien personenbezogener Daten als Daten über das Sexualleben und die persönliche Gesundheit handelt.
7.2 Personenbezogene Daten, die sich auf die Gesundheit und das Sexualleben beziehen, dürfen ohne ausdrückliche Zustimmung nur zum Schutz der öffentlichen Gesundheit, zur Vorbeugung, für medizinische Diagnosen, Behandlungen und Pflegedienste, zur Planung und Verwaltung von Gesundheitsdiensten und zur Finanzierung durch Personen, die der Schweigepflicht unterliegen (z. B. Betriebsarzt), oder durch autorisierte Einrichtungen und Organisationen verarbeitet werden.
7.3 Bei der Verarbeitung sensibler personenbezogener Daten werden die vom Verwaltungsrat festgelegten Maßnahmen ergriffen.
7.4 Für Mitarbeiter, die an der Verarbeitung sensibler personenbezogener Daten beteiligt sind;
7.4.1.Das Unternehmen wird regelmäßig Schulungen zu den KVK-Verordnungen und zur Sicherheit besonderer Kategorien personenbezogener Daten durchführen.
7.4.2.Wird Vertraulichkeitsvereinbarungen treffen.
7.4.3.Darin werden der Umfang und die Dauer der Berechtigung von Nutzern, die zum Zugriff auf sensible personenbezogene Daten berechtigt sind, eindeutig festgelegt.
7.4.4.Führen Sie regelmäßig Genehmigungsprüfungen durch.
7.4.5.Unverzügliche Rücknahme der Genehmigung von Mitarbeitern, die ihren Aufgabenbereich wechseln oder ihren Arbeitsplatz verlassen, und unverzügliche Rücknahme des dem betreffenden Mitarbeiter zugewiesenen Bestands.
7.5 Im Falle der Übertragung sensibler personenbezogener Daten auf elektronische Medien, das Unternehmen in Bezug auf die elektronischen Medien, in denen sensible personenbezogene Daten verarbeitet, gespeichert und/oder abgerufen werden;
7.5.1.Sie wird die Sicherheitsaktualisierungen der Umgebungen, in denen sich sensible personenbezogene Daten befinden, kontinuierlich überwachen.
7.5.2.Wenn über eine Software auf sensible personenbezogene Daten zugegriffen wird, wird sie Benutzerautorisierungen für diese Software vornehmen.
7.5.3.Im Falle eines Fernzugriffs auf sensible personenbezogene Daten wird ein zweistufiges Authentifizierungssystem eingesetzt.
7.6.Für den Fall, dass sensible personenbezogene Daten in einer physischen Umgebung verarbeitet werden, ist das Unternehmen in Bezug auf die physischen Umgebungen, in denen die Daten verarbeitet, gespeichert und/oder abgerufen werden, verantwortlich;
7.6.1.Sie sorgt dafür, dass je nach Art der Umgebung, in der sich die sensiblen personenbezogenen Daten befinden, angemessene Sicherheitsmaßnahmen (gegen Stromausfall, Feuer, Überschwemmung, Diebstahl usw.) getroffen werden.
7.6.2.Sie verhindert das unbefugte Betreten und Verlassen, indem sie die physische Sicherheit dieser Umgebungen gewährleistet.
(7) Im Falle der Übermittlung von besonderen Kategorien personenbezogener Daten, Unternehmen;
7.1 Wenn die Übermittlung sensibler personenbezogener Daten per E-Mail, verschlüsselter Firmen-E-Mail-Adresse oder eingeschriebener elektronischer Post erforderlich ist ("KEP") das Konto verwenden wird.
7.2 Sollte es erforderlich sein, sensible personenbezogene Daten in Papierform zu übermitteln, werden die erforderlichen Maßnahmen zum Schutz vor Diebstahl, Verlust oder Einsichtnahme durch Unbefugte getroffen und das Dokument im Format "vertrauliche Dokumente" versandt.
7.3 Zusätzlich zu den oben genannten Vorschriften handeln der Ausschuss und die Kontaktperson in Übereinstimmung mit den KVK-Vorschriften, insbesondere mit dem vom Vorstand veröffentlichten Leitfaden für die Sicherheit personenbezogener Daten, einschließlich besonderer Datenkategorien.
7.4 In allen Fällen, in denen die Verarbeitung besonderer Kategorien personenbezogener Daten erforderlich ist, wird der Ausschuss von dem betreffenden Mitarbeiter informiert.
7.5 Wenn nicht klar ist, ob es sich bei den Daten um besondere Kategorien personenbezogener Daten handelt, holt die zuständige Dienststelle die Stellungnahme des Ausschusses ein.
8. SPEICHERUNG VON PERSONENBEZOGENEN DATEN DAUER
Personenbezogene Daten werden im Unternehmen für die Dauer der jeweiligen gesetzlichen Aufbewahrungsfristen und für den Zeitraum aufbewahrt, der für die Durchführung der mit diesen Daten verbundenen Tätigkeiten und die in dieser Richtlinie genannten Zwecke erforderlich ist. Personenbezogene Daten, deren Verwendungszweck beendet und die gesetzliche Aufbewahrungsfrist abgelaufen ist, werden vom Unternehmen gemäß Artikel 7 des KVKK gelöscht, vernichtet oder anonymisiert.
9. LÖSCHUNG, VERNICHTUNG UND ANONYMISIERUNG VON PERSONENBEZOGENEN DATEN ES FUNKTIONIEREN LASSEN
9.1 Wenn der rechtmäßige Zweck für die Verarbeitung personenbezogener Daten entfällt, werden die betreffenden personenbezogenen Daten gelöscht, vernichtet oder anonymisiert. Situationen, in denen personenbezogene Daten gelöscht, vernichtet oder anonymisiert werden müssen, werden vom Ausschuss und den Abteilungen überwacht.
9.2 Der Ausschuss ist für das Funktionieren der Verfahren zur Löschung, Vernichtung und Anonymisierung zuständig. In diesem Zusammenhang wird das erforderliche Verfahren vom Ausschuss festgelegt.
9.3Das Unternehmen darf personenbezogene Daten nicht im Hinblick auf eine mögliche künftige Verwendung speichern.
9.4 Alle Lösch-, Vernichtungs- und Anonymisierungsmaßnahmen, die das Unternehmen in Bezug auf personenbezogene Daten durchführt, müssen in Übereinstimmung mit den in der Richtlinie zur Speicherung und Vernichtung personenbezogener Daten festgelegten Grundsätzen durchgeführt werden.
10. ÜBERMITTLUNG VON PERSONENBEZOGENEN DATEN UND PERSONENBEZOGENEN DATEN DRITTE PERSONEN BY VERARBEITUNG
Das Unternehmen kann personenbezogene Daten in Übereinstimmung mit den KVK-Vorschriften an eine dritte natürliche oder juristische Person im Land und/oder im Ausland weitergeben, sofern es die erforderlichen Maßnahmen im Einklang mit den Zwecken der Verarbeitung personenbezogener Daten ergreift. In diesem Fall stellt das Unternehmen sicher, dass die Dritten, an die es personenbezogene Daten weitergibt, diese Richtlinie ebenfalls einhalten. In diesem Zusammenhang werden den mit dem Dritten abgeschlossenen Verträgen die erforderlichen Schutzbestimmungen beigefügt. Jeder Mitarbeiter ist verpflichtet, im Falle einer Übermittlung personenbezogener Daten die in dieser Richtlinie beschriebenen Verfahren einzuhalten.
10.1 Personenbezogene Daten an Dritte in der Türkei Übertragung
10.1.1 Personenbezogene Daten können vom Unternehmen in Ausnahmefällen gemäss Artikel 5.2 der BVG-Richtlinie und Artikel 6.3 ohne ausdrückliche Zustimmung an Dritte in der Türkei übermittelt werden, sofern angemessene Massnahmen getroffen werden, oder in anderen Fällen, sofern die ausdrückliche Zustimmung der betroffenen Person eingeholt wird (Artikel 5.1 und Artikel 6.2 der BVG-Richtlinie).
10.1.2 Die Mitarbeiter des Unternehmens und der Ausschuss sind gemeinsam und gesamtschuldnerisch dafür verantwortlich, dass die Übermittlung personenbezogener Daten an Dritte in der Türkei im Einklang mit den PDP-Verordnungen steht.
10.2 Übermittlung von personenbezogenen Daten an Dritte im Ausland
10.2.1 Personenbezogene Daten können von der Gesellschaft an Dritte im Ausland übermittelt werden, sofern die ausdrückliche Zustimmung des Inhabers der Daten vorliegt (Artikel 5.1 und Artikel 6.2 KVKK).
10.2.2 Für den Fall, dass personenbezogene Daten ohne ausdrückliche Zustimmung gemäß den KVK-Verordnungen übermittelt werden, muss eine der folgenden Bedingungen auch in Bezug auf das Land, in das die Daten übermittelt werden, vorliegen;
10.2.3 Das Land, in das die personenbezogenen Daten übermittelt werden, gehört zu den Ländern, die vom Ausschuss als angemessen geschützt eingestuft werden,
10.2.4 Wenn das Land, in das die Übermittlung erfolgen soll, nicht in der Liste der sicheren Länder des Ausschusses aufgeführt ist, müssen das Unternehmen und die für die Datenverarbeitung Verantwortlichen in dem betreffenden Land die Genehmigung des Ausschusses einholen, indem sie sich schriftlich verpflichten, einen angemessenen Schutz zu gewährleisten.
10.2.5 Die Mitarbeiter des Unternehmens, der Ausschuss und sein Vertreter sind gesamtschuldnerisch dafür verantwortlich, dass die Übermittlung personenbezogener Daten an Dritte im Ausland mit den PDP-Verordnungen in Einklang steht.
11. DIE OFFENLEGUNG DES UNTERNEHMENS VERPFLICHTUNG
Gemäß Artikel 10 des KVKK informiert das Unternehmen die betroffenen Personen vor der Verarbeitung der personenbezogenen Daten. In diesem Zusammenhang erfüllt das Unternehmen die Informationspflicht bei der Beschaffung von personenbezogenen Daten. Die Benachrichtigung der betroffenen Personen im Rahmen der Auskunftspflicht umfasst jeweils die folgenden Elemente;
11.1 Identität des für die Verarbeitung Verantwortlichen (und seines Vertreters, falls vorhanden),
11.2 Der Zweck, für den die personenbezogenen Daten verarbeitet werden,
11.3 An wen und zu welchem Zweck die verarbeiteten personenbezogenen Daten weitergegeben werden können,
11.4 Die Methode und der rechtliche Grund für die Erhebung personenbezogener Daten,
11.5 Rechte der betroffenen Personen, die in Artikel 11 des KVKK aufgeführt sind.
11.6 Das Unternehmen stellt die erforderlichen Informationen zur Verfügung, wenn die betroffene Person gemäß Artikel 20 der Verfassung der Republik Türkei und Artikel 11 des LPPD um Informationen bittet.
11.7 Auf Anfrage der betroffenen Personen gemäß der KVKK-Verordnung erteilt das Unternehmen der betroffenen Person die erforderlichen Auskünfte über die von ihm verarbeiteten personenbezogenen Daten.
11.8 Der Mitarbeiter, der das entsprechende Verfahren durchführt, und der Ausschuss sind gemeinsam und einzeln dafür verantwortlich, dass die erforderliche Offenlegungspflicht vor der Verarbeitung personenbezogener Daten erfüllt wird.
11.9 Dritte, die als Datenverarbeiter tätig sind, verpflichten sich in einem schriftlichen Vertrag, die oben genannten Verpflichtungen einzuhalten, bevor sie mit der Datenverarbeitung beginnen.
12. BETROFFENE PERSONEN (RELEVANTE PERSONEN) RECHTE
12.1 Das Unternehmen antwortet auf die folgenden Anfragen der betroffenen Personen, deren personenbezogene Daten es gemäß den KVK-Verordnungen verarbeitet;
12.1.1 Erfahren, ob personenbezogene Daten vom Unternehmen verarbeitet werden,
12.1.2 Im Falle der Verarbeitung personenbezogener Daten, um Informationen über diese zu erhalten
12.1.3 um zu erfahren, zu welchem Zweck die personenbezogenen Daten verarbeitet werden und ob sie entsprechend ihrem Zweck verwendet werden,
12.1.4die Dritten zu kennen, an die personenbezogene Daten im In- oder Ausland übermittelt werden,
12.1.5.die Berichtigung personenbezogener Daten im Falle einer unvollständigen oder falschen Verarbeitung durch das Unternehmen zu verlangen,
12.1.6.die Löschung oder Vernichtung personenbezogener Daten durch das Unternehmen zu verlangen, wenn die Gründe, die eine Verarbeitung personenbezogener Daten erforderlich machen, nicht mehr gegeben sind, wobei diese nach den Grundsätzen des Zwecks, der Dauer und der Rechtmäßigkeit zu bewerten sind,
12.1.7.im Falle der Berichtigung, Löschung oder Vernichtung personenbezogener Daten durch das Unternehmen, die Mitteilung dieser Vorgänge an Dritte, an die personenbezogene Daten übermittelt werden, zu verlangen,
12.1.8.Falls die verarbeiteten personenbezogenen Daten ausschließlich durch automatisierte Systeme analysiert werden, Einspruch gegen dieses Ergebnis zu erheben, falls es zum Nachteil des Inhabers der Daten ist,
12.1.9.Für den Fall, dass die Verarbeitung personenbezogener Daten gegen das Gesetz verstößt und der Inhaber der Daten aus diesem Grund einen Schaden erleidet, den Ersatz des Schadens zu verlangen.
In Fällen, in denen betroffene Personen ihre Rechte ausüben wollen und/oder der Meinung sind, dass das Unternehmen bei der Verarbeitung personenbezogener Daten nicht im Rahmen dieser Richtlinie handelt, können sie ihre Anträge an die unten angegebene E-Mail-Adresse, die sich von Zeit zu Zeit ändern kann, senden, indem sie das Formular auf der Website des Unternehmens ausfüllen oder ihre eigenen Anträge erstellen, um die von der Behörde festgelegten Bedingungen zu erfüllen, Sie können ihre Anträge per E-Mail (die im System registrierte E-Mail-Adresse sollte überprüft werden) oder durch eine sichere elektronische Signatur oder eine mobile Signatur an die KEP-Adresse des Unternehmens oder an die unten angegebene Postanschrift, die sich von Zeit zu Zeit ändern kann, zusammen mit einem feucht unterschriebenen Antrag mit Dokumenten, die ihre Identität bescheinigen, von Hand oder durch einen Notar oder durch andere von der Behörde festgelegte Methoden, die in Zukunft hinzugefügt werden können, an das Unternehmen senden. Die aktuellen Antragsmethoden und der Inhalt des Antrags sollten vor der Antragstellung anhand der Rechtsvorschriften überprüft werden.
Data Controller : EMPCLINICS HİZMETLERI TİCARET A.Ş
E-Mail : Küçükbakkalköy, Ahmet Yesevi Cd No: 8/A, 34750 Ataşehir/İstanbul
Wenn die betroffenen Personen ihre Anträge in Bezug auf die oben genannten Rechte schriftlich bei der Gesellschaft einreichen, bearbeitet die Gesellschaft den Antrag je nach Art des Antrags spätestens innerhalb von (30) dreißig Tagen kostenlos. Sollten zusätzliche Kosten für die Bearbeitung der Anträge durch den für die Verarbeitung Verantwortlichen anfallen, kann der für die Verarbeitung Verantwortliche die Gebühren nach dem vom Datenschutzausschuss festgelegten Tarif verlangen.
13. DATENVERWALTUNG UND -SICHERHEIT
13.1 Das Unternehmen setzt einen Ausschuss ein, um seinen Verpflichtungen gemäß den KVK-Verordnungen nachzukommen, die Umsetzung der für die Umsetzung dieser Politik erforderlichen KVK-Verfahren zu gewährleisten und zu überwachen und Vorschläge für deren Funktionieren zu machen.
13.2 Alle Mitarbeiter, die an dem betreffenden Prozess beteiligt sind, sind gemeinsam und einzeln für den Schutz personenbezogener Daten in Übereinstimmung mit dieser Richtlinie und den KVK-Verfahren verantwortlich.
13.3 Die Verarbeitung personenbezogener Daten durch das Unternehmen wird durch technische Systeme entsprechend den technischen Möglichkeiten und den Implementierungskosten überwacht.
13.4 Es wird Personal eingesetzt, das sich mit technischen Fragen im Zusammenhang mit der Verarbeitung personenbezogener Daten auskennt.
13.5 Die Mitarbeiter des Unternehmens werden über den Schutz und die Verarbeitung personenbezogener Daten im Einklang mit dem Gesetz informiert und geschult.
13.6 Die Mitarbeiter des Unternehmens dürfen nur im Rahmen der ihnen erteilten Befugnisse und in Übereinstimmung mit dem entsprechenden PDP-Verfahren auf personenbezogene Daten zugreifen. Jeder Zugriff und jede Verarbeitung durch den Mitarbeiter, die über seine Befugnis hinausgeht, ist rechtswidrig und stellt einen Grund zur Kündigung des Arbeitsvertrags aus wichtigem Grund dar.
13.7 Hat ein Mitarbeiter des Unternehmens den Verdacht, dass die Sicherheit personenbezogener Daten nicht ausreichend gewährleistet ist, oder stellt er eine solche Sicherheitslücke fest, muss er den Ausschuss davon in Kenntnis setzen.
13.8 Ein detailliertes PDP-Verfahren für die Sicherheit personenbezogener Daten wird vom Ausschuss festgelegt.
13.9 Jede Person, der ein Firmengerät zugewiesen wird, ist für die Sicherheit der ihr zugewiesenen Geräte verantwortlich.
13.10 Jeder Mitarbeiter des Unternehmens oder jede im Unternehmen tätige Person ist für die Sicherheit der physischen Akten in seinem/ihrem Verantwortungsbereich verantwortlich.
13.11 Für den Fall, dass im Rahmen der KVK-Verordnung zusätzliche Sicherheitsmaßnahmen für die Sicherheit personenbezogener Daten gefordert werden oder zu fordern sind, sind alle Mitarbeiter verpflichtet, die zusätzlichen Sicherheitsmaßnahmen einzuhalten und die Kontinuität dieser Sicherheitsmaßnahmen zu gewährleisten.
13.12 Um personenbezogene Daten in sicheren Umgebungen zu speichern, werden Soft- und Hardware, einschließlich Virenschutzsysteme und Firewalls, entsprechend der technischen Entwicklung installiert.
13.13 Im Unternehmen werden Sicherungsprogramme eingesetzt, um den Verlust oder die Beschädigung personenbezogener Daten zu verhindern, und es werden angemessene Sicherheitsmaßnahmen getroffen.
13.14 Es werden die erforderlichen Maßnahmen ergriffen, um die Dokumente, die personenbezogene Daten enthalten, mit verschlüsselten Systemen zu schützen. In diesem Zusammenhang werden personenbezogene Daten nicht in gemeinsamen Bereichen und auf dem Desktop gespeichert werden. Dateien, Ordner usw., die personenbezogene Daten enthalten, werden nicht auf den Desktop oder in den gemeinsamen Ordner verschoben, die Informationen auf dem Computer des Unternehmens werden nicht ohne vorherige schriftliche Genehmigung des Ausschusses auf ein anderes Gerät wie z. B. einen USB-Stick usw. übertragen, und sie werden nicht aus dem Unternehmen mitgenommen.
13.15 Der Ausschuss ist gemeinsam mit dem Verwaltungsrat dafür verantwortlich, technische und administrative Maßnahmen zum Schutz aller personenbezogenen Daten im Unternehmen zu ergreifen, die Entwicklungen und administrativen Aktivitäten kontinuierlich zu überwachen, die erforderlichen KVK-Verfahren auszuarbeiten und im Unternehmen bekannt zu machen sowie deren Einhaltung sicherzustellen und zu überwachen. In diesem Zusammenhang organisiert der Ausschuss die notwendigen Schulungen, um das Bewusstsein der Mitarbeiter zu schärfen.
13.16 Wenn eine Abteilung innerhalb des Unternehmens sensible personenbezogene Daten verarbeitet, wird diese Abteilung vom Ausschuss über die Bedeutung, die Sicherheit und die Vertraulichkeit der von ihr verarbeiteten personenbezogenen Daten informiert, und die betreffende Abteilung wird gemäß den Anweisungen des Ausschusses handeln. Nur eine begrenzte Anzahl von Mitarbeitern ist berechtigt, auf sensible personenbezogene Daten zuzugreifen, und der Ausschuss erstellt eine Liste dieser Mitarbeiter und überwacht sie.
13.17 Alle personenbezogenen Daten, die innerhalb des Unternehmens verarbeitet werden, werden vom Unternehmen als "vertrauliche Informationen" betrachtet..
13.18 Die Mitarbeiter des Unternehmens wurden darüber informiert, dass ihre Pflichten in Bezug auf die Sicherheit und Vertraulichkeit personenbezogener Daten auch nach Beendigung der Geschäftsbeziehung fortbestehen, und die Mitarbeiter des Unternehmens haben sich verpflichtet, diese Regeln einzuhalten.
14 REAKTIONSPLAN AUF DATENSCHUTZVERLETZUNGEN
14.1 Der Mitarbeiter, der eine Einstellung oder ein Verhalten feststellt, das gegen das Gesetz zum Schutz personenbezogener Daten und die einschlägigen Rechtsvorschriften verstößt, informiert unverzüglich den Ausschuss für den Schutz personenbezogener Daten des Unternehmens.
14.2 Sollten die verarbeiteten personenbezogenen Daten von Dritten unrechtmäßig erlangt worden sein, ist das Organ innerhalb von 72 Stunden zu benachrichtigen.
14.3 Nachdem festgestellt wurde, welche Personen von der betreffenden Datenschutzverletzung betroffen sind, werden die betreffenden Personen so bald wie möglich benachrichtigt, und zwar direkt, wenn die Kontaktadresse der betreffenden Person erreicht werden kann, und andernfalls durch geeignete Methoden wie die Veröffentlichung auf der Website des für die Verarbeitung Verantwortlichen.
14.4 Versäumt es der für die Verarbeitung Verantwortliche, den Ausschuss aus einem berechtigten Grund innerhalb von 72 Stunden zu benachrichtigen, so sind dem Ausschuss die Gründe für die Verzögerung zusammen mit der vorzunehmenden Benachrichtigung zu erläutern.
14.5 In der Mitteilung an den Ausschuss muss das Organ https://ihlalbildirim.kvkk.gov.tr Es wird das unter der Adresse veröffentlichte "Formular zur Meldung von Datenschutzverletzungen" verwendet.
14.6 In Fällen, in denen es nicht möglich ist, die Informationen in dem Formular gleichzeitig zu übermitteln, werden diese Informationen schrittweise und ohne Verzögerung bereitgestellt.
14.7 Der für die Verarbeitung Verantwortliche stellt sicher, dass die Informationen über Datenschutzverletzungen, ihre Auswirkungen und die getroffenen Maßnahmen aufgezeichnet und dem Verwaltungsrat zur Überprüfung zur Verfügung gestellt werden.
14.8 Sollten personenbezogene Daten, die sich im Besitz des Datenverarbeiters befinden, von Dritten auf unrechtmäßige Weise erlangt werden, meldet der Datenverarbeiter dies unverzüglich dem Ausschuss.
Der entsprechende Plan wird regelmäßig vom Ausschuss überprüft.
15. AUSBILDUNG
15.1 Das Unternehmen bietet seinen Mitarbeitern die erforderlichen Schulungen zum Schutz personenbezogener Daten im Rahmen der Richtlinie und der beigefügten KVK-Verfahren und KVKK-Verordnungen an. Sie kann diese Schulungen persönlich oder online anbieten.
15.2 In den Schulungen werden die Definitionen der besonderen Kategorien personenbezogener Daten und die Verfahren zu deren Schutz besonders hervorgehoben.
15.3 Wenn ein Mitarbeiter des Unternehmens physisch oder in einer Computerumgebung auf personenbezogene Daten zugreift, schult das Unternehmen den betreffenden Mitarbeiter speziell im Hinblick auf diese Zugriffe (z. B. auf das Computerprogramm, auf das zugegriffen wird).
16. AUDIT
Das Unternehmen hat das Recht, jederzeit und von Amts wegen und ohne vorherige Ankündigung zu prüfen, ob alle Mitarbeiter, Abteilungen und Auftragnehmer des Unternehmens im Einklang mit dieser Richtlinie und den KVK-Vorschriften handeln, und führt in diesem Zusammenhang die erforderlichen Routineprüfungen durch. Der Ausschuss legt ein PDP-Verfahren für diese Audits fest. Er legt es der Geschäftsleitung zur Genehmigung vor und sorgt für die Umsetzung dieses Verfahrens.
17. VERSTÖSSE
17.1 Jeder Mitarbeiter des Unternehmens meldet dem Ausschuss die Geschäfte, Transaktionen oder Handlungen, die seiner Meinung nach gegen die in den KVK-Verordnungen und dieser Richtlinie festgelegten Verfahren und Grundsätze verstoßen. In diesem Zusammenhang erstellt der Ausschuss einen Aktionsplan für den betreffenden Verstoß in Übereinstimmung mit dieser Richtlinie und den KVK-Verfahren.
17.2 Auf der Grundlage der bereitgestellten Informationen bereitet der Ausschuss die Meldung des Verstoßes an den Dateninhaber oder die Behörde vor, wobei er die geltenden Rechtsvorschriften, insbesondere die KVK-Verordnung, berücksichtigt. Die Kontaktperson führt die Korrespondenz und Kommunikation mit der Behörde.
18. VERANTWORTLICHKEITEN
Die Zuständigkeiten innerhalb des Unternehmens liegen bei den Mitarbeitern, Abteilungen bzw. Ausschüssen. In diesem Zusammenhang wird der für die Umsetzung der Politik zuständige Ausschuss von der Unternehmensleitung durch einen Beschluss der Geschäftsleitung oder von zeichnungsberechtigten Organen ernannt, und auch Änderungen in diesem Zusammenhang werden auf die gleiche Weise vorgenommen.
19. DIE IN DER POLITIK GEMACHT WERDEN SOLLEN ÄNDERUNGEN
19.1 Diese Richtlinie kann von der Gesellschaft von Zeit zu Zeit mit Zustimmung der Geschäftsführung geändert werden.
19.2 Das Unternehmen gibt den aktualisierten Text der Richtlinie per E-Mail an seine Mitarbeiter weiter oder macht ihn den Mitarbeitern und betroffenen Personen über die folgende Internetadresse zugänglich.
20. DATUM DES INKRAFTTRETENS DER POLICE
Diese Version der Politik 01/01/2023 Sie wurde vom Verwaltungsrat der Gesellschaft genehmigt und trat in Kraft.
