1. ART UND ZWECK DER RICHTLINIE

Diese Richtlinie zur Speicherung und Vernichtung personenbezogener Daten (nachfolgend „Richtlinie“ genannt) wurde von DOCTOR TORUN – TOLGA TORUN (nachfolgend „Klinik“ genannt) als Datenverantwortlichem erstellt, um die von der Klinik anzuwendenden Verfahren und Grundsätze hinsichtlich der Löschung, Vernichtung und Anonymisierung personenbezogener Daten gemäß dem Gesetz zum Schutz personenbezogener Daten Nr. 6698 („LPPD“) und anderen Gesetzen festzulegen.

Diese Richtlinie gilt für alle Abteilungen, Mitarbeiter, Bewerber, Kunden und Drittparteien, die an Prozessen beteiligt sind, bei denen die Klinik personenbezogene Daten verarbeitet.

2. DEFINITIONEN

Ausdrückliche Zustimmung: Die Einwilligung beruht auf einer informierten Einwilligung und wird frei zu einem bestimmten Thema geäußert.

Anonymisierung: Personenbezogene Daten können in keiner Weise einer identifizierten oder identifizierbaren natürlichen Person zugeordnet werden, auch nicht durch Zusammenführung mit anderen Daten.

ZUElektronische Medien: Umgebungen, in denen personenbezogene Daten mithilfe elektronischer Geräte erstellt, gelesen, geändert und geschrieben werden können.

ZUNicht-elektronische Medien: Alles Geschriebene, Gedruckte, Visuelle usw. außerhalb elektronischer Medien. andere Umgebungen. Dienstanbieter: Eine natürliche oder juristische Person, die im Rahmen eines spezifischen Vertrags mit der Datenschutzbehörde Dienstleistungen erbringt.

Ansprechpartner: Die natürliche Person, deren personenbezogene Daten verarbeitet werden.

Verwandter Benutzer: Personen, die personenbezogene Daten innerhalb der Organisation des Verantwortlichen oder gemäß den Befugnissen und Anweisungen des Verantwortlichen verarbeiten, mit Ausnahme der Person oder Einheit, die für die technische Speicherung, Sicherung und Sicherung der Daten verantwortlich ist.

Zerstörung: Löschung, Vernichtung oder Anonymisierung personenbezogener Daten.

Kanun: Gesetz zum Schutz personenbezogener Daten Nr. 6698.

Vorschriften: Löschung, Vernichtung oder Entfernung personenbezogener Daten, veröffentlicht im Amtsblatt vom 28. Oktober 2017

Regelung zur Anonymisierung.

KPersonenbezogene Daten: Alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.

KVerzeichnis der Verarbeitung personenbezogener Daten: Verarbeitungstätigkeiten personenbezogener Daten, die von den für die Verarbeitung Verantwortlichen im Einklang mit ihren Geschäftsprozessen durchgeführt werden; Sie erstellen das Verzeichnis, indem sie die Zwecke und Rechtsgrundlagen der Verarbeitung personenbezogener Daten mit der Datenkategorie, dem Empfängerkreis, an den die personenbezogenen Daten übermittelt werden, und dem Kreis der betroffenen Personen in Beziehung setzen und detailliert darlegen, wie lange die personenbezogenen Daten für die Zwecke der Verarbeitung maximal gespeichert werden dürfen, welche personenbezogenen Daten ins Ausland übermittelt werden sollen und welche Maßnahmen zur Datensicherheit getroffen wurden.

KVerarbeitung personenbezogener Daten: Jeder Vorgang, der mit personenbezogenen Daten durchgeführt wird, wie etwa das Erheben, Aufzeichnen, Speichern, Ändern, Neuorganisieren, Offenlegen, Übermitteln, Übernehmen, Bereitstellen, Klassifizieren oder Verhindern der Nutzung personenbezogener Daten, ganz oder teilweise, mit automatischen oder nicht automatischen Mitteln, sofern dies Teil eines Datenaufzeichnungssystems ist.

KduRduich: Datenschutzbehörde

KAusschuss für den Schutz personenbezogener Daten: Ein Ausschuss, der aus den relevanten Personen des Unternehmens besteht und dem der Verantwortliche vorsitzt. Es ist befugt und beauftragt, die erforderlichen Verfahren durchzuführen/durchführen zu lassen und die Prozesse zur Speicherung, Vernichtung und Verarbeitung personenbezogener Daten gemäß dem Gesetz, der Richtlinie zur Speicherung und Vernichtung personenbezogener Daten und dem Verzeichnis personenbezogener Daten zu überwachen.

Besondere personenbezogene Daten: Daten über die Rasse, ethnische Herkunft, politische Ansichten, philosophischen Überzeugungen, Religion, Sekte oder andere Überzeugungen, Aussehen und Kleidung, Mitgliedschaft in Vereinen, Stiftungen oder Gewerkschaften, Gesundheit, Sexualleben, strafrechtliche Verurteilungen und Sicherheitsmaßnahmen von Personen sowie biometrische und genetische Daten.

PZuRJodhaltige Zerstörung: Falls alle im Gesetz festgelegten Bedingungen für die Verarbeitung personenbezogener Daten entfallen, erfolgt der Lösch-, Vernichtungs- oder Anonymisierungsprozess, der von Amts wegen in regelmäßigen Abständen und gemäß den Richtlinien zur Speicherung und Vernichtung personenbezogener Daten durchgeführt wird.

Informationssystem des Registers der Datenverantwortlichen: Das vom Vorsitz erstellte und verwaltete Informationssystem ist über das Internet zugänglich und soll von den für die Datenverarbeitung Verantwortlichen bei der Anmeldung beim Register und anderen relevanten Transaktionen im Zusammenhang mit dem Register verwendet werden. Verantwortlicher: Der Datenverantwortliche ist die natürliche oder juristische Person, die über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet und für die Einrichtung und Verwaltung des Datenerfassungssystems verantwortlich ist.

VERBIS: Informationssystem des Registers der Datenverantwortlichen

3. GRUNDSÄTZE

Bei der Speicherung und Vernichtung klinischer personenbezogener Daten werden im Rahmen des Gesetzes und dieser Richtlinie die folgenden Grundsätze befolgt:

bewegt sich.

A) Bei der Speicherung, Löschung, Vernichtung und Anonymisierung personenbezogener Daten werden die in Artikel 4 des Gesetzes aufgeführten Grundsätze und die im Rahmen von Artikel 12 des Gesetzes zu ergreifenden Maßnahmen, die einschlägigen Gesetze und Vorstandsbeschlüsse sowie dieser Richtlinientext eingehalten.

B)  Alle Vorgänge im Zusammenhang mit der Löschung, Vernichtung und Anonymisierung personenbezogener Daten werden von der Klinik im Rahmen der gesetzlichen Bestimmungen, der einschlägigen Gesetzgebung und dieser Richtlinie aufgezeichnet und die betreffenden Aufzeichnungen gemäß Artikel 7/3 der Verordnung für einen Zeitraum von 3 Jahren aufbewahrt, unter Ausschluss anderer gesetzlicher Verpflichtungen.

C)  Sofern der Vorstand nichts anderes beschließt, wählt die Klinik die am besten geeignete Methode zum Löschen, Vernichten oder Anonymisieren personenbezogener Daten.

D)  Wenn sämtliche gesetzlich festgelegten Voraussetzungen für die Verarbeitung personenbezogener Daten entfallen, werden die personenbezogenen Daten von der Klinik oder auf Verlangen der betroffenen Person gelöscht, vernichtet oder anonymisiert.

4. VORSICHTSMASSNAHMEN

Die Klinik stellt sicher, dass personenbezogene Daten sicher gespeichert werden und eine unrechtmäßige Verarbeitung und ein unrechtmäßiger Zugriff verhindert werden.

Um dies zu verhindern, ergreift sie alle notwendigen technischen und administrativen Maßnahmen entsprechend den Eigenschaften der betreffenden personenbezogenen Daten und der Umgebung, in der die Daten gespeichert und aufbewahrt werden.

4.1. Technische Maßnahmen

Die Klinik ergreift folgende geeignete technische Maßnahmen:

• Verwendet sichere Systeme, die mit der technologischen Entwicklung kompatibel sind.

• Es werden Sicherheitssysteme entsprechend der Umgebung verwendet, in der personenbezogene Daten gespeichert werden.

• Der Zugriff auf die Umgebungen, in denen personenbezogene Daten gespeichert sind, ist eingeschränkt, und nur autorisierte Personen dürfen auf diese Daten zugreifen, und zwar beschränkt auf den Zweck, zu dem die personenbezogenen Daten gespeichert sind (Datenverantwortlicher und Datenschutzausschuss sowie anderes vom Datenverantwortlichen bestimmtes Personal).

• Es verfügt über ausreichend Personal, um die Sicherheit der Umgebungen/Systeme zu gewährleisten, in denen sich personenbezogene Daten befinden.

• In Systemen, in denen personenbezogene Daten verarbeitet werden, werden Autorisierungsmatrizen, Autorisierungskontrollen, Zugriffsprotokolle, Verschlüsselung, Firewall, Penetrationstests und Protokollaufzeichnungen verwendet.

4.2. Verwaltungsmaßnahmen

Die Klinik ergreift die folgenden geeigneten Verwaltungsmaßnahmen:

• Es werden Studien durchgeführt, um das Bewusstsein und die Aufmerksamkeit aller Klinikmitarbeiter, die Zugriff auf personenbezogene Daten haben, für die Themen Informationssicherheit, personenbezogene Daten und Datenschutz zu schärfen.

• Es werden interne und externe Audits durchgeführt, um die Entwicklungen im Bereich des Schutzes personenbezogener Daten zu verfolgen und die erforderlichen Maßnahmen zu ergreifen.

• Wenn personenbezogene Daten bei Bedarf an Dritte weitergegeben werden, müssen die betreffenden Dritten Protokolle zum Schutz personenbezogener Daten unterzeichnen und es wird mit aller erforderlichen Sorgfalt darauf geachtet, dass diese Dritten ihren Verpflichtungen aus diesen Protokollen nachkommen.

• Informations- und Einwilligungstexte wurden erstellt und von allen Inhabern personenbezogener Daten unterzeichnet.

• Vertraulichkeitsverpflichtungen wurden vorbereitet und unterzeichnet.

• Es wurde ein Inventar zur Verarbeitung personenbezogener Daten erstellt.

• Diese Richtlinie zur Lagerung und Vernichtung wurde erstellt und veröffentlicht.

• Eine Richtlinie zum Schutz vor Datendiebstählen wurde erstellt.

4.3. Interne Revision

Artikel 12 des Gesetzes, in Übereinstimmung mit den Verpflichtungen zur Datensicherheit, den Bestimmungen des Gesetzes und dieser Richtlinie

Bei Aktualisierungsbedarf werden umgehend bzw. in jedem halbjährlichen Turnus interne Audits hinsichtlich der Umsetzung der Vorgaben im Unternehmen durchgeführt.

Diese Prüfungen werden vom Verantwortlichen und dem Ausschuss für den Schutz personenbezogener Daten durchgeführt. Wird bei diesen Prüfungen ein Mangel oder eine Unzulänglichkeit in Bezug auf die Verpflichtungen festgestellt und/oder ein Verstoß gegen gesetzliche Bestimmungen festgestellt, wird dieser Mangel oder diese Unzulänglichkeit unverzüglich behoben.

Wenn sich während der Prüfung oder auf andere Weise herausstellt, dass personenbezogene Daten, für die die Klinik verantwortlich ist, auf illegale Weise von anderen erlangt wurden, wird die Klinik diesen Umstand so schnell wie möglich der betreffenden Person und dem Datenschutzausschuss melden.

5. AUFNAHMEMEDIUM

Die Klinik enthält mit dieser Richtlinie personenbezogene Daten und die unten aufgeführten Umgebungen und zusätzlich zu diesen

stimmt zu, personenbezogene Daten in andere Medien aufzunehmen, die im Rahmen der Richtlinie erscheinen können:

• Von der Klinik zugeteilte und/oder im Auftrag der Klinik genutzte Computer/Server/Systeme.

• Netzwerkgeräte

• Gemeinsam genutzte/nicht gemeinsam genutzte Festplattenlaufwerke zum Speichern von Daten im Netzwerk

• Cloud-Systeme

• Mobiltelefone und alle Lagerbereiche

• Papier

• Peripheriegeräte wie Drucker, Fingerabdruckleser

• Optische Datenträger

• Archiv

• Flash-Speicher

• Kameraaufnahmen

6. VERNICHTUNG PERSONENBEZOGENER DATEN

6.1. Gründe für die Speicherung und Vernichtung

Wenn alle Bedingungen für die Verarbeitung personenbezogener Daten in den Artikeln 5 und 6 des Gesetzes wegfallen,

Personenbezogene Daten werden von der Klinik von Amts wegen oder auf Wunsch der betroffenen Person gelöscht, vernichtet oder anonymisiert.

Die in den Artikeln 5 und 6 des Gesetzes aufgeführten Gründe sind die folgenden:

• Es ist in den Gesetzen klar festgelegt.

• Wenn es zum Schutz des Lebens oder der körperlichen Unversehrtheit der Person oder einer anderen Person erforderlich ist, die aufgrund körperlicher Unmöglichkeit nicht in der Lage ist, ihre Einwilligung zu erteilen, oder deren Einwilligung rechtlich nicht gültig ist.

• Die Verarbeitung personenbezogener Daten der Vertragsparteien ist erforderlich, sofern sie in unmittelbarem Zusammenhang mit der Begründung oder Durchführung eines Vertrags steht.

• Der Verantwortliche ist verpflichtet, seinen gesetzlichen Verpflichtungen nachzukommen.

• Es wurde von der betreffenden Person selbst veröffentlicht.

• Die Datenverarbeitung ist für die Begründung, Ausübung oder Verteidigung eines Rechts erforderlich.

6.2. Zerstörungsmethoden

Die Klinik speichert die personenbezogenen Daten, die sie erhält, gemäß KVKK und den einschlägigen Gesetzen im Rahmen dieser Richtlinie.

Wenn jedoch die in Gesetz und Verordnung aufgeführten Gründe für die Verarbeitung personenbezogener Daten entfallen oder die betroffene Person, die Eigentümer der Daten ist, dies verlangt, werden die Daten innerhalb der im Gesetz, den einschlägigen Rechtsvorschriften und dieser Richtlinie festgelegten Fristen von Amts wegen mit den unten angegebenen Techniken gelöscht, vernichtet oder anonymisiert. Die von der Klinik verwendeten Lösch-, Vernichtungs- und Anonymisierungstechniken sind wie folgt:

6.2.1. Löschmethoden

• Löschmethoden für in der Cloud und in der lokalen digitalen Umgebung gespeicherte personenbezogene Daten bestehen aus der sicheren Löschung durch Software. Während Daten, die ganz oder teilweise automatisch verarbeitet und in digitalen Umgebungen gespeichert werden, gelöscht werden, werden Methoden eingesetzt, um den Zugriff und die Weiterverwendung durch die betreffenden Benutzer in jeglicher Weise zu verhindern. Kurz gesagt: In der Cloud oder in lokalen digitalen Umgebungen gespeicherte personenbezogene Daten werden per digitalem Befehl so gelöscht, dass sie nicht wiederhergestellt werden können, und auf die so gelöschten Daten kann nicht erneut zugegriffen werden.

Wenn jedoch durch die Löschung der personenbezogenen Daten der Zugriff auf andere Daten und die Nutzung dieser Daten verhindert wird, gelten die personenbezogenen Daten als gelöscht, wenn die personenbezogenen Daten archiviert werden, indem ihre Zuordnung zur Person aufgehoben wird, sofern die folgenden Bedingungen erfüllt sind.

• Die Methode zum Löschen personenbezogener Daten auf Papier ist die Verdunkelung. Die Löschung personenbezogener Daten im Printmedium erfolgt im Blackout-Verfahren. Das Blackout-Verfahren ist eine Methode zur Verhinderung unbeabsichtigter Nutzung, indem personenbezogene Daten auf dem betreffenden Dokument, soweit möglich, physisch ausgeschnitten und entfernt oder mit permanenter Tinte unsichtbar gemacht/überdeckt werden, sodass sie mit technischen Lösungen irreversibel und unleserlich sind.

6.2.2. Methoden der Vernichtung

Um personenbezogene Daten, die in gedruckter Form vorliegen, zu vernichten, ist eine erneute physische Vernichtung mit Aktenvernichtern erforderlich.

muss auf eine Weise zerstört werden, die nicht mehr zusammenzubringen ist.

Zur Vernichtung personenbezogener Daten in digitalen Umgebungen und Cloud-Umgebungen können die folgenden Methoden verwendet werden: Physische Zerstörung: Bei dieser Methode handelt es sich um die physische Zerstörung, beispielsweise durch Schmelzen, Verbrennen oder Pulverisieren, der optischen und magnetischen Medien, die personenbezogene Daten enthalten. Durch das Schmelzen, Verbrennen, Pulverisieren oder Mahlen der betreffenden Datenträger werden die personenbezogenen Daten unzugänglich.

Entmagnetisierung: Dabei handelt es sich um eine Methode, bei der magnetische Medien höheren Magnetfeldern ausgesetzt und durch spezielle Geräte geleitet werden, wodurch die darauf gespeicherten Daten beschädigt und unlesbar werden. Wenn diese Methode jedoch fehlschlägt und die Daten auf dem Medium noch lesbar sind, kann das Medium physisch zerstört werden und der Zerstörungsprozess ist abgeschlossen.

Überschreiben: Bei dieser Methode handelt es sich um eine Methode zur Datenvernichtung, die das Lesen und Wiederherstellen alter Daten unmöglich macht, indem mit einer speziellen Software mindestens sieben Mal zufällige Daten aus Nullen und Einsen auf magnetische Datenträger und wiederbeschreibbare optische Datenträger geschrieben werden.

Sicheres Löschen aus der Software: Bei diesem Verfahren werden personenbezogene Daten per digitalem Befehl so gelöscht, dass sie nicht wiederhergestellt werden können.

6.2.3. Anonymisierung

Anonymisierung bedeutet, dass personenbezogene Daten nicht identifiziert oder in irgendeiner Weise identifiziert werden, auch nicht durch Abgleich mit anderen Daten.

ist, eine Zuordnung zu einer realen Person unmöglich zu machen.

Nachfolgend sind die Verfahren und Grundsätze der Kliniktechniken zur Anonymisierung personenbezogener Daten aufgeführt:

• Nachdem die mit der deskriptiven Datenmethode gesammelten Daten mit der Variablenextraktionsmethode zusammengeführt wurden, werden die „stark deskriptiven“ Variablen im Datensatz entfernt und der vorhandene Datensatz anonymisiert. Eine Anonymisierung kann beispielsweise dadurch erreicht werden, dass aus der Umgebung, in der sich personenbezogene Daten befinden (Dokumente, Tabellen etc.), stark beschreibende Datengruppen entfernt werden.

• Bei der Methode des regionalen Verbergens handelt es sich um den Vorgang des Löschens von Informationen, die für die Daten charakteristisch sein können, die eine Ausnahme in der Datentabelle darstellen, in der personenbezogene Daten kollektiv und anonym gespeichert werden.

• Mithilfe der Unter- und Obergrenzenkodierungsmethode werden Bereiche für eine bestimmte Variable definiert und kategorisiert. Wenn beispielsweise die Anzahl der Beschäftigungsjahre des in einem Betrieb tätigen Personals weniger als 5 Jahre beträgt,

Je nachdem, ob es zwischen 10 Jahren oder mehr liegt, kann es als „sehr erfahren“, „erfahren“ oder „unerfahren“ zusammengefasst und anonymisiert werden.

• Dabei handelt es sich um den Prozess, bei dem personenbezogene Daten vieler Personen mithilfe der Generalisierungsmethode zusammengeführt und durch Entfernen unterscheidender Informationen in statistische Daten umgewandelt werden.

• Bei der Methode des Daten-Hashings und der Datenkorruption werden direkte oder indirekte Identifikatoren in personenbezogenen Daten mit anderen Werten verglichen oder verfälscht, wodurch ihre Verbindung zur betreffenden Person aufgehoben wird und sie ihre Identifikationsqualitäten verlieren.

6.3. Aufbewahrungsfristen

Die Klinik hält die gesetzlichen Aufbewahrungs- und Vernichtungsfristen ein, die im Verzeichnis der personenbezogenen Daten, dieser Richtlinie und den einschlägigen Gesetzen festgelegt sind.

Die physischen und digitalen Daten, die die Datenbank füllen, werden regelmäßig vernichtet. Die Klinik löscht, vernichtet oder anonymisiert personenbezogene Daten im ersten periodischen Vernichtungsprozess nach dem Datum, an dem die Verpflichtung zur Löschung, Vernichtung oder Anonymisierung personenbezogener Daten entsteht, für die sie gemäß dem Verzeichnis personenbezogener Daten, dem Gesetz, den einschlägigen Rechtsvorschriften und dieser Richtlinie verantwortlich ist.

6.4. Zerstörungszeiten

Die Klinik löscht die personenbezogenen Daten, für die sie gemäß dem Verzeichnis personenbezogener Daten, dem Gesetz, den einschlägigen Rechtsvorschriften und dieser Richtlinie verantwortlich ist.

löscht, vernichtet oder anonymisiert personenbezogene Daten im Rahmen der regelmäßigen Vernichtung nach dem Datum, an dem die Verpflichtung zur Vernichtung oder Anonymisierung entsteht.

Die betroffene Person, deren personenbezogene Daten verarbeitet werden, kann gemäß Artikel 13 des Gesetzes bei der Klinik einen Antrag stellen und die Löschung ihrer personenbezogenen Daten verlangen.

oder seine Vernichtung verlangen.

Stellt die betroffene Person einen solchen Antrag und liegen keine Voraussetzungen für die Verarbeitung personenbezogener Daten mehr vor, wird die Klinik die Daten unter Angabe der Gründe innerhalb von 30 Tagen ab dem Tag des Antragseingangs löschen, vernichten oder mittels einer geeigneten Vernichtungsmethode anonymisieren. Wenn jedoch nicht alle Voraussetzungen für die Verarbeitung personenbezogener Daten entfallen, kann die Klinik diesen Antrag unter Angabe der Gründe gemäß Artikel 13 Absatz 3 des Gesetzes ablehnen. Die Ablehnungsantwort wird der betreffenden Person spätestens innerhalb von 30 Tagen zugesandt.

Die Mitteilung erfolgt schriftlich oder elektronisch.

Die Klinik löscht, vernichtet oder anonymisiert personenbezogene Daten, deren Verarbeitungsbedingungen nicht mehr gegeben sind, durch einen in dieser Richtlinie festgelegten Prozess, der von Amts wegen in regelmäßigen Abständen durchgeführt wird. Die periodischen Vernichtungsprozesse beginnen erstmals am 14. Februar 2024 und wiederholen sich alle 6 (sechs) Monate.

7. DATENSCHUTZERKLÄRUNG

Die Klinik verarbeitet personenbezogene Daten im Rahmen ihrer Tätigkeitszwecke und für den zur Erfüllung dieses Zwecks erforderlichen Zeit- und Arbeitsaufwand.

Sie wird die personenbezogenen Daten bei der Klinik für die Dauer der Geschäftsbeziehung zwischen dem Unternehmen und dem Partner/Lieferanten/Berater/Auditor oder Dritten und/oder für einen begrenzten, gesetzlich festgelegten Zeitraum aufbewahren und kann die personenbezogenen Daten an Dritte weitergeben, wenn sie die Dienste von Drittanbietern zur Erfüllung des genannten Zwecks nutzt, aber nur in diesem Fall,

erklärt, dass es dafür sorgen wird, dass die betreffenden Dritten die gesetzlichen Bestimmungen einhalten.

Die Klinik ist verpflichtet, technische und administrative Maßnahmen gemäß den Gesetzen und Vorschriften zu ergreifen, um den unbefugten Zugriff auf personenbezogene Daten durch ihr Personal oder Dritte sowie die Verwendung personenbezogener Daten für andere Zwecke als diejenigen, für die sie übermittelt wurden, zu verhindern.

8) DURCHSETZUNG

Diese Richtlinie tritt mit dem Datum der Veröffentlichung in Kraft.

Innerhalb der Klinik wurde ein Zentrum zur Erfassung personenbezogener Daten eingerichtet, um die zur Einhaltung des Gesetzes erforderlichen Maßnahmen zu überwachen und zu verwalten.

Es wurde ein Schutzausschuss eingerichtet.

Zu wählende Mitarbeiter aus den Bereichen Büromanagement, Ärzte, Buchhaltung und Finanzen sowie Personalabteilung

Es besteht aus mindestens zwei (2) Personen.