۱. مقدمه
به عنوان کنترلکننده داده، برای شرکت سهامی خاص «مرکز درمان خصوصی لیزر میوپی» (که از این پس «کاسکالوغلو» یا «شرکت» نامیده میشود) حفاظت از دادههای شخصی بیماران، کارکنان و سایر اشخاص حقیقی که با آنها در ارتباط است، از اهمیت بالایی برخوردار است. هدف از این سیاست و سایر سیاستهای مکتوب برای پردازش و حفاظت از دادههای شخصی، پردازش و حفاظت قانونی از دادههای شخصی بیماران، بیماران بالقوه، تأمینکنندگان، کارکنان، نامزدهای استخدامی، بازدیدکنندگان، کارکنان مؤسساتی که با آنها همکاری میکنیم و اشخاص ثالثی است که با کاسکالوغلو تماس میگیرند.
در این راستا، اقدامات اداری و فنی لازم توسط کاسکالوغلو برای پردازش و حفاظت از دادههای شخصی مطابق با مقررات عمومی حفاظت از دادهها (GDPR) و قانون حفاظت از دادههای شخصی ترکیه به شماره 6698 («قانون حفاظت از دادهها یا قانون KVK») و همچنین قوانین محلی انجام میشود.
در این سیاست، اصول اساسی زیر که توسط کاسکالوغلو برای پردازش دادههای شخصی اتخاذ شده است، توضیح داده خواهد شد:
پردازش دادههای شخصی در محدوده رضایت،
پردازش دادههای شخصی مطابق با قانون و قواعد صداقت، نگهداری دادههای شخصی به صورت دقیق و بهروز در صورت لزوم، پردازش دادههای شخصی برای اهداف مشخص، صریح و قانونی،
پردازش مرتبط، محدود و سنجیده دادههای شخصی برای هدفی که برای آن پردازش میشوند،
نگهداری دادههای شخصی تا زمانی که توسط قوانین مربوطه یا برای هدفی که برای آن پردازش میشوند، لازم باشد،
شفافسازی و اطلاعرسانی به اشخاصی که دادههای شخصی آنها پردازش میشود،
ایجاد زیرساخت لازم برای اشخاصی که دادههای شخصی آنها پردازش میشود تا حقوق خود را اعمال کنند،
اتخاذ اقدامات لازم برای حفاظت از دادههای شخصی،
عملکرد مطابق با قوانین مربوطه و مقررات هیئت حفاظت از دادههای شخصی در تعیین و اجرای اهداف پردازش دادههای شخصی، انتقال آنها به اشخاص ثالث،
تنظیم ویژه پردازش و حفاظت از دادههای شخصی حساس.
۲. هدف از سیاست
هدف اصلی این سیاست، ارائه اظهاراتی در مورد فعالیت پردازش دادههای شخصی انجام شده توسط کاسکالوغلو مطابق با قانون و سیستمهای اتخاذ شده برای حفاظت از دادههای شخصی است و در این راستا، ایجاد شفافیت نسبت به اشخاصی که شرکت ما با آنها مرتبط است.
۳. دامنه سیاست
این سیاست مربوط به تمام دادههای شخصی بیماران، تأمینکنندگان، کارکنان، نامزدهای استخدامی، بازدیدکنندگان، کارکنان مؤسساتی که با آنها همکاری میکنیم و اشخاص ثالث ما است که به صورت خودکار یا غیرخودکار پردازش میشوند، مشروط بر اینکه بخشی از هر سیستم ثبت داده باشند.
۴. مسائل مربوط به حفاظت از دادههای شخصی
کاسکالوغلو اقدامات فنی و اداری لازم را برای اطمینان از سطح مناسبی از امنیت به منظور جلوگیری از پردازش غیرقانونی دادههای شخصی که پردازش میکند، دسترسی غیرقانونی به دادهها و اطمینان از حفظ دادهها مطابق با ماده 32 و ماده 78 GDPR و ماده 12 قانون حفاظت از دادهها انجام میدهد و در این راستا، ممیزیهای لازم را انجام میدهد یا ممیزیها را انجام میدهد.
۵. اقداماتی که برای اطمینان از پردازش قانونی دادههای شخصی و جلوگیری از دسترسی غیرقانونی به دادههای شخصی انجام میشود
کاسکالوغلو اقدامات فنی و اداری را مطابق با امکانات فناوری و هزینههای اجرا انجام میدهد تا اطمینان حاصل شود که دادههای شخصی مطابق با قانون پردازش میشوند و از دسترسی غیرقانونی جلوگیری شود.
۶. اقدامات فنی
اقدامات فنی اصلی که توسط کاسکالوغلو برای اطمینان از پردازش قانونی دادههای شخصی و جلوگیری از دسترسی غیرقانونی انجام میشود، در سیستم اطلاعات ثبت کنترلکنندگان دادههای سازمان حفاظت از دادههای شخصی قرار دارد. از طریق سیستم اطلاعات ثبت کنترلکنندگان دادهها، میتوانید اقدامات فنی انجام شده توسط کاسکالوغلو را بررسی کنید.
۷. اقدامات اداری
اقدامات اداری انجام شده توسط کاسکالوغلو برای پردازش دادههای شخصی مطابق با قانون و جلوگیری از دسترسی غیرقانونی:
مقررات انضباطی وجود دارد که شامل مقررات امنیتی دادهها برای کارکنان است. فعالیتهای آموزشی و آگاهیبخشی به طور دورهای برای کارکنان در مورد امنیت دادهها انجام میشود.
سیاستهای سازمانی در مورد دسترسی، امنیت اطلاعات، استفاده، ذخیرهسازی و تخریب تهیه شده و در حال اجرا است.
تعهدات محرمانگی داده میشود.
قراردادهای امضا شده شامل مقررات امنیتی دادهها است.
اقدامات امنیتی اضافی برای دادههای شخصی منتقل شده از طریق کاغذ انجام میشود و سند مربوطه در قالب سند محرمانه ارسال میشود.
سیاستها و رویههای امنیتی دادههای شخصی تعیین شده است. مسائل امنیتی دادههای شخصی به سرعت گزارش میشود.
امنیت دادههای شخصی نظارت میشود.
محیطهای فیزیکی حاوی دادههای شخصی در برابر خطرات خارجی (آتشسوزی، سیل و غیره) ایمن میشوند.
امنیت محیطهای حاوی دادههای شخصی تضمین میشود. دادههای شخصی تا حد امکان کاهش مییابد.
ممیزیهای دورهای و/یا تصادفی داخلی انجام و ساخته میشود. خطرات و تهدیدهای موجود شناسایی شده است.
پروتکلها و رویههای مربوط به امنیت دادههای شخصی با کیفیت ویژه تعیین و اجرا شده است.
ارائهدهندگان خدمات پردازش داده به طور دورهای در مورد امنیت دادهها ممیزی میشوند. آگاهی ارائهدهندگان خدمات پردازش داده در مورد امنیت دادهها تضمین میشود.
۸. نظارت بر اقدامات انجام شده برای حفاظت از دادههای شخصی
کاسکالوغلو افرادی را دارد که به حفاظت از دادههای شخصی مربوط میشوند. از طرف کاسکالوغلو، که کنترلکننده داده است، این تیم شخصاً ممیزیهای لازم را به منظور اطمینان از اجرای مفاد قانون در مؤسسه یا سازمان خود، مطابق با تعهد ناشی از ماده 32 قانون انجام میدهد و در صورت نیاز از مؤسسات ذیصلاح حمایت میگیرد. با توجه به نتایج این ممیزی، تخلفات، نکات منفی و عدم انطباقهای شناسایی شده به واحد حقوقی درون تیم گزارش میشود و اقدامات لازم در مورد این مسائل انجام میشود. در صورتی که یک سرویس خارجی به دلیل الزامات فنی مربوط به ذخیرهسازی دادههای شخصی توسط کاسکالوغلو برونسپاری شود، توافقنامههای اضافی با شرکتهای مربوطه که دادههای شخصی به آنها منتقل میشود مطابق با قانون امضا میشود و افرادی که دادههای شخصی به آنها منتقل میشود، اقدامات امنیتی لازم را برای حفاظت از دادههای شخصی انجام میدهند و این اقدامات در سازمانهای خود رعایت میشود. علاوه بر این، کاسکالوغلو با پرسنل خود توافق میکند که اقدامات حفاظت از دادههای شخصی را در فرآیندهای استخدام و سیاستهای انضباطی داخلی رعایت کنند.
۹. حقوق و درخواستهای مالک دادههای شخصی
کاسکالوغلو، به عنوان کنترلکننده داده، رویه درخواست و پاسخ دادههای شخصی را ایجاد کرده است که ضمیمهای به فهرست دادههای شخصی است و یک الگوی مکتوب برای درخواستهایی که شرایط درخواست مشخص شده در قانون را ندارند. آمادهسازیهای فنی به منظور انجام اقدامات لازم مطابق با این رویهها انجام شده است.
با ارائه اینکه افرادی که دادههای شخصی آنها پردازش میشود، درخواستهای خود را در مورد حقوق ذکر شده در زیر از طریق یک درخواست شخصی که نسخه چاپی شناسه خود را نشان میدهد، یا به صورت کتبی یا با استفاده از یک آدرس ایمیل الکترونیکی ثبت شده قبلی (KEP)، با استفاده از یک امضای الکترونیکی امن، یک امضای تلفن همراه یا با استفاده از آدرس ایمیل الکترونیکی که قبلاً در سیستم ارتباطی KASKALOGLU ثبت شده است و KASKALOGLU از آن مطلع شده است یا به شرطی که هویت خود را به Kaskaloglu در یک فرم قابل تأیید از طریق یک نرمافزار یا برنامه توسعه یافته برای این منظور، ارتباط برقرار کنند، شرکت حداکثر ظرف سی روز به درخواست به صورت رایگان پاسخ خواهد داد، بسته به ماهیت درخواست. توضیح مفصلی در این مورد در زیر در ماده 20 این سیاست ارائه شده است.
افرادی که دادههای شخصی آنها پردازش میشود، میتوانند تمام حقوق مندرج در ماده مربوطه قانون، از جمله تمام مراحل پردازش دادهها، اهداف آن و اطلاعات مربوط به انتقال دادههای شخصی خود را پس از درخواست خود که مطابق با این رویه انجام میشود، مطالبه کنند.
۱۰. حفاظت از دادههای شخصی خصوصی
با GDPR، به دلیل خطر ایجاد قربانی شدن یا تبعیض در هنگام پردازش غیرقانونی، اهمیت ویژهای به برخی از دادههای شخصی داده میشود. این دادهها عبارتند از: نژاد، قومیت، تفکر سیاسی، اعتقاد فلسفی، وابستگی مذهبی، عضویت در اتحادیه، سلامت، زندگی جنسی و گرایش جنسی، دادههای بیومتریک و ژنتیکی.
کاسکالوغلو در حفاظت از دادههای شخصی حساس، که با GDPR به عنوان «حساس» تعیین شده است و مطابق با قانون پردازش میشود، با حساسیت عمل میکند. در این راستا، اقدامات فنی و اداری انجام شده توسط کاسکالوغلو برای حفاظت از دادههای شخصی به دقت از نظر دادههای شخصی حساس اجرا میشود و ممیزیهای لازم در داخل کاسکالوغلو ارائه میشود.
۱۱. آموزش کارکنان KASKALOGLU در مورد حفاظت و پردازش دادههای شخصی
کاسکالوغلو به کارکنان خود آموزشهای لازم را ارائه میدهد تا از پردازش غیرقانونی دادههای شخصی و همچنین دسترسی غیرقانونی به دادهها جلوگیری کند و آگاهی در مورد حفاظت از دادهها را افزایش دهد.
۱۲. مسائل مربوط به پردازش دادههای شخصی
مطابق با ماده 20 قانون اساسی و ماده 5 GDPR، کاسکالوغلو در فعالیتهای پردازش دادههای شخصی به شیوهای منصفانه و شفاف مطابق با قانون، به طور دقیق و در صورت لزوم، برای اهداف بهروز، مشخص، واضح و قانونی و به شیوهای محدود و محتاطانه در ارتباط با هدف پردازش دادههای شخصی شرکت میکند. کاسکالوغلو یکپارچگی و محرمانگی دادههای شخصی را تا زمانی که قانون لازم بداند یا برای هدف پردازش دادههای شخصی حفظ میکند. کاسکالوغلو اطلاعات شخصی بیماران، کارکنان، بازدیدکنندگان، کارکنان شرکت تأمینکننده و اشخاص ثالث را جمعآوری میکند؛ اطلاعات هویتی (نام، نام خانوادگی، شماره هویت TR، جنسیت، سن، تاریخ تولد)، اطلاعات تماس (آدرس ایمیل، شماره تلفن، اطلاعات آدرس)، دادههای شخصی، دادههای مالی، دادههای شغلی، دادههای صوتی و تصویری، دادههای آموزشی، دادههای اعضای خانواده، اطلاعات بهداشتی، اطلاعات مربوط به محکومیتهای کیفری و اقدامات امنیتی، اطلاعات مربوط به خدمت سربازی، اطلاعات مربوط به امنیت تراکنش، امنیت فضای فیزیکی، و در حین پردازش این دادهها، افراد موضوع داده که دادههای شخصی آنها پردازش میشود میتوانند به طور موثر از خدمات، محصولات و خدمات کاسکالوغلو بهرهمند شوند. در نتیجه این خدمات، با در نظر گرفتن به حداقل رساندن دادهها در چارچوب اجرای قراردادها، انجام کار و تعهدات مالی/قانونی/تجاری و همچنین امکان اطلاعرسانی در مورد بازاریابی و نوآوریها در نتیجه این خدمات، فعالیت میکند.
کاسکالوغلو مطابق با ماده 13 GDPR به افرادی که دادههای شخصی آنها پردازش میشود اطلاع میدهد و در مواردی که رضایت لازم است، رضایت افراد ذیربط را درخواست میکند و این دادههای شخصی را بر اساس معیارهای تعیین شده در زیر پردازش میکند.
۱۳. قانونی بودن، انصاف و شفافیت
کاسکالوغلو دادههای شخصی را مطابق با اصولی که توسط مقررات قانونی و شرایط پردازش قانونی در قانون معرفی شده است، پردازش میکند. مطابق با اصل انطباق با قانون، کاسکالوغلو یک فرآیند پردازش داده شفاف را انجام میدهد و در عین حال که سعی در دستیابی به اهداف خود در پردازش دادهها دارد، منافع و انتظارات معقول افراد ذیربط را در نظر میگیرد.
۱۴. حقیقت
نگهداری دادههای شخصی به صورت دقیق و بهروز برای کاسکالوغلو برای حفاظت از حقوق و آزادیهای اساسی شخص ذیربط ضروری است. کاسکالوغلو وظیفه مراقبت فعالی دارد تا اطمینان حاصل کند که دادههای شخصی در صورت لزوم دقیق و بهروز هستند. به همین دلیل، تمام کانالهای ارتباطی باز هستند تا اطلاعات افرادی که دادههای شخصی آنها توسط کاسکالوغلو پردازش میشود، دقیق و بهروز نگه داشته شود.
۱۵. به حداقل رساندن دادهها
کاسکالوغلو به وضوح و با دقت هدف قانونی و قانونی پردازش دادههای شخصی را تعیین میکند و به پردازش دادههای شخصی محدود به دادههای شخصی لازم برای تحقق این هدف ادامه میدهد.
۱۶. محدودیت هدف
کاسکالوغلو دادههای شخصی را برای اهدافی مرتبط با زمینه فعالیت خود و لازم برای انجام کسب و کار خود پردازش میکند. به همین دلیل، کاسکالوغلو دادههای شخصی را به گونهای پردازش میکند که برای تحقق اهداف تعیین شده مناسب باشد و از پردازش دادههای شخصی که مربوط به تحقق هدف نیست یا نیازی به آن نیست، اجتناب میکند.
۱۷. محدودیت ذخیرهسازی
کاسکالوغلو دادههای شخصی را فقط تا زمانی که در قوانین مربوطه مشخص شده است یا برای هدفی که برای آن پردازش میشوند، لازم است، نگهداری میکند. در این راستا، کاسکالوغلو ابتدا تعیین میکند که آیا دورهای برای ذخیرهسازی دادههای شخصی در قوانین مربوطه پیشبینی شده است یا خیر، و اگر دورهای تعیین شده باشد، مطابق با این دوره عمل میکند. اگر دورهای تعیین نشده باشد، دادههای شخصی برای هدف پردازش و تا زمانی که در سیاست نگهداری و امحای منتشر شده توسط کاسکالوغلو مشخص شده است، ذخیره میشود. کاسکالوغلو بر اساس دورههای نگهداری در فهرست دادههای شخصی عمل میکند و در پایان دورههای مشخص شده در اینجا، دادههای شخصی با توجه به ماهیت دادهها و هدف استفاده، در چارچوب تعهدات مندرج در قانون، حذف، تخریب یا ناشناس میشود.
۱۸. یکپارچگی و محرمانگی
در فعالیتهای پردازش دادههای شخصی انجام شده توسط کاسکالوغلو، اقدامات امنیتی به میزانی که فعالیت لازم داشته باشد، انجام میشود. اقدامات فنی و اداری در قوانین محلی و GDPR بر اساس تعیین این اقدامات امنیتی دادهها که برای جلوگیری از از دست دادن دادهها، دسترسی غیرمجاز و پردازش غیرقانونی دادهها انجام میشود، استوار است.
۱۹. پاسخگویی
کاسکالوغلو تعهد قانونی دارد که از اصول فوقالذکر پیروی کند. به منظور انجام این تعهدات، حقوق شناخته شده توسط قانون برای تمام افرادی که دادههای شخصی آنها پردازش میشود، ایجاد شده است و شفافیت در فعالیتهای پردازش دادهها تضمین میشود.
۲۰. روشنگری و اطلاعرسانی به مالک دادههای شخصی
مطابق با ماده 13 قانون KVK، کاسکالوغلو در هنگام کسب دادههای شخصی، به افرادی که دادههای شخصی آنها پردازش میشود اطلاع میدهد. در این راستا، کاسکالوغلو با در نظر گرفتن هویت کنترلکننده داده، هویت نماینده آن، در صورت وجود، هدفی که دادههای شخصی برای آن پردازش میشود، به چه کسی و برای چه هدفی دادههای شخصی پردازش شده میتواند منتقل شود، روش جمعآوری دادههای شخصی و حقوق افرادی که دادههای شخصی آنها برای دلایل قانونی پردازش میشود و ماهیت موضوع داده و دوره پردازش دادهها را به افراد اطلاع میدهد. همراه با این سیاست، متن روشنگری مشتری، سیاست کوکی و فرم درخواست نیز در وبسایت کاسکالوغلو منتشر شده است.
۲۱. انتقال دادههای شخصی
کاسکالوغلو میتواند دادههای شخصی و دادههای شخصی حساس موضوع داده را با اتخاذ اقدامات امنیتی لازم در راستای اهداف پردازش دادههای شخصی مطابق با قانون به اشخاص ثالث منتقل کند. دادههای شخصی میتواند توسط کاسکالوغلو به کشورهای خارجی که اعلام شده است حفاظت کافی توسط هیئت KVK دارند یا در صورت عدم وجود