Datenschutzgesetz

Offenlegungstext

Aufklärung des Patienten

RICHTLINIE ZUR VERARBEITUNG, ZUM SCHUTZ UND ZUR LÖSCHUNG PERSONENBEZOGENER DATEN

Dr. Çağrı ALTUNTAŞ („Klinik“): Unsere Klinik legt großen Wert auf den sicheren Umgang mit Ihren Daten im Einklang mit unserer Verantwortung hinsichtlich des Schutzes personenbezogener Daten, der als verfassungsmäßiges Recht und rechtliche Garantie verankert ist.

Der Zweck dieser Richtlinie besteht darin, die Methoden und Grundsätze festzulegen, die einzuhalten sind, um sicherzustellen, dass unsere Klinik personenbezogene Daten gemäß dem Gesetz zum Schutz personenbezogener Daten (KVKK) verarbeitet und schützt, das im Staatsanzeiger vom 7. April 2016 unter der Nummer 29677 veröffentlicht wurde.

ERLÄUTERUNG DER RICHTLINIE

Der Schutz personenbezogener Daten ist für Dr. Çağrı ALTUNTAŞ („Klinik“) von großer Bedeutung und gehört zu den Prioritäten unserer Klinik. Unsere Klinik misst dem Schutz der personenbezogenen Daten unserer Patienten, Mitarbeiter, Bewerber, Gesellschafter, Besucher sowie der Mitarbeiter, Gesellschafter und Behörden der Einrichtungen, mit denen sie zusammenarbeitet, und Dritter große Bedeutung bei;

  • Verarbeitung personenbezogener Daten im Einklang mit dem Gesetz und nach Treu und Glauben,
  • Gewährleistung der Richtigkeit und Aktualisierung personenbezogener Daten, soweit erforderlich,
  • Verarbeitung personenbezogener Daten für bestimmte, eindeutige und rechtmäßige Zwecke,
  • Verarbeitung personenbezogener Daten in einem Umfang, der auf den
  • Verarbeitungszweck beschränkt und diesem angemessen ist,
  • Aufbewahrung personenbezogener Daten für den in den einschlägigen
  • Rechtsvorschriften festgelegten Zeitraum oder für den Zeitraum, der zur Erfüllung des Verarbeitungszwecks erforderlich ist,
  • Unterrichtung und Aufklärung der betroffenen Personen,
  • Einrichtung des erforderlichen Systems, damit die betroffenen Personen ihre
  • Rechte ausüben können,
  • Ergreifen der erforderlichen Maßnahmen zum Schutz personenbezogener Daten,
    Handeln gemäß den einschlägigen Rechtsvorschriften und den Bestimmungen des Datenschutzausschusses bei der Übermittlung personenbezogener Daten an
  • Dritte im Einklang mit den Anforderungen des Verarbeitungszwecks,
    die erforderliche Sensibilität bei der Verarbeitung und dem Schutz besonderer
  • Kategorien personenbezogener Daten zu zeigen. Die Klinik macht diese Punkte zu einer Klinikrichtlinie. In diesem Zusammenhang ergreift die Klinik die erforderlichen administrativen und technischen Maßnahmen zum Schutz der verarbeiteten personenbezogenen Daten gemäß den einschlägigen Rechtsvorschriften.

1.2. BEGRIFFSBESTIMMUNGEN

Ausdrückliche Einwilligung: Einwilligung zu einem bestimmten Gegenstand, die auf Informationen beruht und aus freiem Willen erteilt wird.

Anonymisierung: Die Veränderung personenbezogener Daten in einer Weise, dass sie ihren Charakter als Daten verlieren und dieser Zustand nicht rückgängig gemacht werden kann. Beispiele: Maskierung, Aggregation, Datenverfälschung usw. Durch technische Verfahren wird verhindert, dass personenbezogene Daten einer natürlichen Person zugeordnet werden können.

Antragsformular: „Formular bezüglich der Anträge, die von der betroffenen Person (Inhaber personenbezogener Daten) gemäß dem Gesetz Nr. 6698 zum Schutz personenbezogener Daten an den Datenverantwortlichen zu richten sind“, das den Antrag enthält, den Inhaber personenbezogener Daten zur Ausübung ihrer Rechte stellen müssen.

Bewerber: Natürliche Personen, die sich auf irgendeinem Wege um eine Stelle in der Klinik beworben haben oder die ihren Lebenslauf und damit verbundene Informationen der Klinik zur Prüfung zur Verfügung gestellt haben.

Mitarbeiter, Anteilseigner und Führungskräfte der Institutionen, mit denen wir zusammenarbeiten: Natürliche Personen, einschließlich, aber nicht beschränkt auf Mitarbeiter, Anteilseigner und Führungskräfte der Institutionen, mit denen die Klinik in irgendeiner Form geschäftlich verbunden ist (einschließlich, aber nicht beschränkt auf Geschäftspartner, Lieferanten und unter welchem Namen auch immer).

Geschäftspartner: Parteien, mit denen die Klinik im Rahmen ihrer geschäftlichen Aktivitäten geschäftliche Partnerschaften eingegangen ist, um beispielsweise gemeinsam mit Vertragskliniken, Gesundheitszentren, Krankenhäusern, Universitäten usw. verschiedene Projekte durchzuführen und Dienstleistungen in Anspruch zu nehmen.

Verarbeitung personenbezogener Daten: Jeder Vorgang, der an personenbezogenen Daten vorgenommen wird, wie z. B. das Erheben, Erfassen, Speichern, Aufbewahren, Ändern, Umordnen, Offenlegen, Übermitteln, Übernehmen, Bereitstellen, Auswerten oder Verhindern der Nutzung personenbezogener Daten durch voll- oder teilautomatisierte oder nicht automatisierte Mittel, sofern dies Teil eines Datenerfassungssystems ist.

Betroffene Person: Die natürliche Person, deren personenbezogene Daten verarbeitet werden. Zum Beispiel: Nutzer von Websites und mobilen Anwendungen.

Personenbezogene Daten: Alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.

Sensible personenbezogene Daten: Daten, die sich auf Rasse, ethnische Herkunft, politische Meinung, philosophische Weltanschauung, Religion, Sekte oder andere Weltanschauungen, Kleidung, Mitgliedschaft in Vereinen, Stiftungen oder Gewerkschaften, Gesundheit, Sexualleben, strafrechtliche Verurteilungen und Sicherheitsmaßnahmen sowie biometrische und genetische Daten beziehen.

Patient: Alle Personen, die im Rahmen der Gesundheitsaktivitäten der Klinik bezüglich aller Produkte und Dienstleistungen kontaktiert werden, beispielsweise zum Zwecke des Angebots von Produkten und Dienstleistungen durch die Klinik, der Bereitstellung allgemeiner Informationen über diese Produkte und der Kommunikation von Möglichkeiten, der Kommunikation über das zu erwerbende Produkt bzw. die zu erwerbende Dienstleistung durch die betreffenden Personen sowie der Verwendung im Rahmen diesbezüglicher Marketingaktivitäten, des Produkt- und Dienstleistungsangebots, der Modellierung, der Berichterstattung, der Bewertung, der Risikoüberwachung, der Informationsgewinnung, bestehender oder neuer Produktstudien und der Identifizierung potenzieller Patienten,

Klinikgesellschafter: Natürliche Personen, die Gesellschafter der Klinik sind

Von der Klinik zugelassene Zahnärzte: In der Klinik zugelassene Zahnärzte

Lieferant: Parteien, die der Klinik auf vertraglicher Basis auf deren Auftrag und nach deren Anweisungen Dienstleistungen erbringen, während sie die Gesundheitsaktivitäten der Klinik durchführen.

Klinikpatient: Natürliche Personen, deren personenbezogene Daten im Rahmen der Geschäftsbeziehung der Community Clinics erhoben werden, die in der Republik Türkei oder künftig in anderen Ländern im Rahmen der von den Geschäftsbereichen der Klinik durchgeführten Tätigkeiten gegründet werden können, unabhängig davon, ob sie in einem Vertragsverhältnis mit der Klinik stehen.

Dritte: Natürliche Personen (z. B. ehemalige Mitarbeiter), deren personenbezogene Daten im Rahmen der Richtlinie verarbeitet werden und die im Rahmen der Richtlinie nicht anders definiert sind.

Auftragsverarbeiter: Eine natürliche oder juristische Person, die personenbezogene Daten im Auftrag des Verantwortlichen auf der Grundlage der vom Verantwortlichen erteilten Ermächtigung verarbeitet. Zum Beispiel ein Cloud-Computing-Unternehmen, das die Daten der Klinik verwahrt/speichert, ein Callcenter-Unternehmen, das im Auftrag der Klinik Anrufe tätigt, indem es Outsourcing-Supportleistungen erbringt, usw.

Verantwortlicher: Die Person, die im Auftrag der Klinik die Zwecke und Mittel der Verarbeitung personenbezogener Daten festlegt und den Ort verwaltet, an dem die Daten systematisch aufbewahrt werden (Datenerfassungssystem).

Besucher: Natürliche Personen, die zu verschiedenen Zwecken die Räumlichkeiten der Klinik betreten haben oder die Websites, Web- und Mobilanwendungen der Klinik besuchen.

1.3 ABKÜRZUNGEN

KVK-Gesetz zum Schutz personenbezogener Daten vom 24. März 2016 (Nr. 6698), veröffentlicht im Staatsanzeiger vom 7. April 2016 (Nr. 29677)

Datenschutzbehörde

KVK-Behörde für den Schutz personenbezogener Daten

Klinik Dr. Çağrı ALTUNTAŞ

Richtlinie: Richtlinie zur Verarbeitung, zum Schutz und zur Vernichtung klinischer personenbezogener Daten,

Türkisches Strafgesetzbuch („TCK“): Türkisches Strafgesetzbuch vom 26. September 2004, Nr. 5237; veröffentlicht im Staatsanzeiger vom 12. Oktober 2004, Nr. 25611.

 

1.4 ZWECK DER RICHTLINIE

Der Hauptzweck dieser Richtlinie besteht darin, Erläuterungen zur Verarbeitung personenbezogener Daten durch die Klinik gemäß den gesetzlichen Bestimmungen sowie zu den zum Schutz personenbezogener Daten getroffenen administrativen und technischen Maßnahmen und den bestehenden bzw. noch zu entwickelnden Systemen zu geben und in diesem Zusammenhang Transparenz zu schaffen, indem die Personen, deren personenbezogene Daten von unserer Klinik verarbeitet werden – insbesondere Bewerber, Gesellschafter der Klinik, Führungskräfte der Klinik, Besucher, Mitarbeiter, Gesellschafter und Führungskräfte der kooperierenden Einrichtung sowie alle Dritten, deren personenbezogene Daten unter welchem Namen auch immer verarbeitet und gespeichert werden können.

1.5 GELTUNGSBEREICH

Diese Richtlinie gilt für alle personenbezogenen Daten von Bewerbern, Klinikgesellschaftern, Klinikverantwortlichen, Besuchern, Mitarbeitern, Gesellschaftern, Verantwortlichen der Einrichtungen, mit denen wir zusammenarbeiten, sowie allen Dritten, unabhängig von ihrer Bezeichnung, die automatisch oder nicht automatisch verarbeitet werden, sofern sie Teil eines Datenerfassungssystems sind. Der Anwendungsbereich dieser Richtlinie kann die gesamte Richtlinie oder nur einige ihrer Bestimmungen umfassen.

1.6 UMSETZUNG DER RICHTLINIE UND DER ENTSPRECHENDEN RECHTSVORSCHRIFTEN

Die vorliegende Richtlinie wurde im Rahmen der geltenden gesetzlichen Bestimmungen zur Verarbeitung und zum Schutz personenbezogener Daten erstellt; für den Fall, dass Unstimmigkeiten zwischen den geltenden Rechtsvorschriften und dieser Richtlinie bestehen, erkennt die Klinik an, dass die geltenden Rechtsvorschriften Vorrang haben.

2. HINWEISE ZUM DATENSCHUTZ

Die Klinik verarbeitet personenbezogene Daten gemäß Artikel 12 des Datenschutzgesetzes, ergreift die erforderlichen technischen und organisatorischen Maßnahmen, um ein angemessenes Sicherheitsniveau zu gewährleisten, damit die unrechtmäßige Verarbeitung und/oder der unrechtmäßige Zugriff auf personenbezogene Daten verhindert und deren Schutz sichergestellt wird, und führt in diesem Zusammenhang die erforderlichen Kontrollen durch oder lässt diese durchführen.

2.1. Gewährleistung der Sicherheit personenbezogener Daten

2.1.1. Technische und administrative Maßnahmen zur Gewährleistung der rechtmäßigen Verarbeitung personenbezogener Daten

Um die rechtmäßige Verarbeitung personenbezogener Daten zu gewährleisten, ergreift die Klinik technische und administrative Maßnahmen unter Einsatz von technologischen Mitteln, die der administrativen und finanziellen Struktur der Klinik entsprechen.

(i) Technische Maßnahmen zur Gewährleistung der rechtmäßigen Verarbeitung personenbezogener Daten

Die wichtigsten technischen Maßnahmen, die von der Klinik zur Gewährleistung der rechtmäßigen Verarbeitung personenbezogener Daten ergriffen werden, sind nachstehend aufgeführt:

  • Zur gesetzeskonformen Verarbeitung und Speicherung personenbezogener Daten wird die technische Organisation innerhalb der Klinik sichergestellt; die in der Klinik durchgeführten Verarbeitungsvorgänge werden durch die eingerichteten technischen Systeme überwacht, und es finden regelmäßig interne Audits statt.
  • Je nach Bedarf wird in technischen Fragen entweder Personal eingestellt oder auf externe Dienstleister zurückgegriffen.
  • Es werden geeignete Programme für die Anwendungs- und Websicherheit eingesetzt.
  • Es wird eine technische Infrastruktur eingerichtet, um die Sicherheit der Datenbanken zu gewährleisten, in denen Ihre personenbezogenen Daten gespeichert werden.
  • Wir setzen Virenschutzsysteme, Firewalls und ähnliche Software- oder Hardware-Sicherheitsprodukte ein und richten Sicherheitssysteme ein, die den neuesten technologischen Entwicklungen entsprechen,
  • Wir beschäftigen Fachkräfte für technische Belange und nehmen bei Bedarf Unterstützung in Anspruch.

 

(ii) Verwaltungsmaßnahmen zur Gewährleistung der rechtmäßigen Verarbeitung personenbezogener Daten

Um die rechtmäßige Verarbeitung personenbezogener Daten durch die Klinik sicherzustellen, werden die Mitarbeiter der Klinik über das Datenschutzrecht und die rechtmäßige Verarbeitung personenbezogener Daten informiert und geschult, und es werden klinikinternen Richtlinien erstellt. In die Verträge und Dokumente, die das Rechtsverhältnis zwischen der Klinik und ihren Mitarbeitern regeln, werden – vorbehaltlich der klinischen Anweisungen und gesetzlich vorgesehenen Ausnahmen – Bestimmungen aufgenommen, die eine Verpflichtung zur Nichtverarbeitung, Nichtweitergabe und Nichtnutzung personenbezogener Daten vorsehen; die Mitarbeiter werden diesbezüglich sensibilisiert, und es werden Kontrollen durchgeführt. Wir erstellen Richtlinien und Verfahren für den Zugriff auf personenbezogene Daten innerhalb unserer Klinik, einschließlich der Klinikärzte und Mitarbeiter, informieren und schulen unsere Mitarbeiter hinsichtlich des rechtmäßigen Schutzes und der Verarbeitung personenbezogener Daten und halten in den Verträgen mit unseren Mitarbeitern und/oder in den von uns erstellten Richtlinien halten wir die Maßnahmen fest, die im Falle einer rechtswidrigen Verarbeitung personenbezogener Daten durch unsere Klinikmitarbeiter zu ergreifen sind, und wir gehen rechtliche Beziehungen mit den Datenverarbeitern, mit denen wir zusammenarbeiten, oder deren Partnern ein, um deren Tätigkeiten zur Verarbeitung personenbezogener Daten bei Bedarf zu überwachen und kontrollieren.

2.1.2. Technische und administrative Maßnahmen zur Verhinderung des unrechtmäßigen Zugriffs auf personenbezogene Daten

Die Klinik ergreift technische und administrative Maßnahmen, um die versehentliche oder unbefugte Offenlegung, den Zugriff, die Weitergabe oder sonstige rechtswidrige Zugriffe auf personenbezogene Daten zu verhindern, wobei die Art der zu schützenden Daten, die technischen Möglichkeiten und die Kosten der Umsetzung berücksichtigt werden.

(i) Technische Maßnahmen zur Verhinderung des unrechtmäßigen Zugriffs auf personenbezogene Daten

Die wichtigsten technischen Maßnahmen, die von der Klinik ergriffen wurden, um den unrechtmäßigen Zugriff auf personenbezogene Daten zu verhindern, sind nachfolgend aufgeführt:

  • Es werden technische Maßnahmen getroffen, die dem Stand der Technik entsprechen; diese Maßnahmen werden regelmäßig aktualisiert und überarbeitet.
  • Die Zugriffsrechte werden eingeschränkt und regelmäßig überprüft.
  • Es werden Software und Hardware installiert, darunter Virenschutzsysteme und Firewalls.
  • Es wird Fachpersonal mit Fachkenntnissen in technischen Bereichen beschäftigt.
  • Um Sicherheitslücken in Anwendungen, in denen personenbezogene Daten erfasst werden, aufzudecken, werden regelmäßig Sicherheitsüberprüfungen durchgeführt. Die gefundenen Sicherheitslücken werden geschlossen.

(ii) Verwaltungsmaßnahmen zur Verhinderung des unrechtmäßigen Zugriffs auf personenbezogene Daten

Die wichtigsten administrativen Maßnahmen, die von der Klinik ergriffen wurden, um den unrechtmäßigen Zugriff auf personenbezogene Daten zu verhindern, sind nachfolgend aufgeführt:

  • Die Mitarbeiter werden in Bezug auf die technischen Maßnahmen geschult, die zur Verhinderung eines unrechtmäßigen Zugriffs auf personenbezogene Daten zu ergreifen sind.
  • Die Mitarbeiter werden darüber informiert, dass sie die ihnen bekannt gewordenen personenbezogenen Daten nicht unter Verstoß gegen die Bestimmungen des Datenschutzgesetzes an Dritte weitergeben oder für andere Zwecke als den Verarbeitungszweck verwenden dürfen und dass diese Verpflichtung auch nach ihrem Ausscheiden aus dem Dienst unbefristet fortbesteht; in diesem Sinne werden von ihnen die erforderlichen Verpflichtungserklärungen eingeholt.
  • In die Verträge, die die Klinik mit den Empfängern der personenbezogenen Daten abschließt, werden Bestimmungen aufgenommen, wonach diese Empfänger die zum Schutz der personenbezogenen Daten erforderlichen Sicherheitsmaßnahmen ergreifen und dafür sorgen müssen, dass diese Maßnahmen in ihren eigenen Organisationen eingehalten werden.

2.1.3. Speicherung personenbezogener Daten in sicheren Umgebungen

Die Klinik ergreift unter Berücksichtigung der technischen Möglichkeiten und der damit verbundenen Kosten die erforderlichen technischen und organisatorischen Maßnahmen, um personenbezogene Daten in einer sicheren Umgebung zu speichern und deren unrechtmäßige Vernichtung, Verlust oder Veränderung zu verhindern.

(i) Technische Maßnahmen zur Speicherung personenbezogener Daten in sicheren Umgebungen

Die wichtigsten technischen Maßnahmen, die von der Klinik zur sicheren Speicherung personenbezogener Daten ergriffen werden, sind nachfolgend aufgeführt:

  • Zur sicheren Speicherung personenbezogener Daten werden Systeme eingesetzt, die den neuesten technologischen Entwicklungen entsprechen.
  • In technischen Fragen wird fachliche Unterstützung in Anspruch genommen.
  • Um die sichere Speicherung personenbezogener Daten zu gewährleisten, werden gesetzeskonforme Sicherungsprogramme und Antivirenprogramme eingesetzt.

(ii) Administrative Maßnahmen zur sicheren Speicherung personenbezogener Daten

Im Folgenden sind die wichtigsten administrativen Maßnahmen aufgeführt, die von der Klinik zur sicheren Speicherung personenbezogener Daten ergriffen werden:

  • Die Mitarbeiter werden darin geschult, die sichere Speicherung personenbezogener Daten zu gewährleisten.
  • Falls die Klinik aufgrund technischer Erfordernisse bei der Speicherung personenbezogener Daten auf externe Dienstleister zurückgreift, enthalten die mit den betreffenden Unternehmen geschlossenen Verträge Bestimmungen, wonach die personenbezogenen Daten rechtmäßig übermittelt werden; ferner ist darin festgelegt, dass die Empfänger der personenbezogenen Daten die zum Schutz dieser Daten erforderlichen Sicherheitsmaßnahmen ergreifen und die Einhaltung dieser Maßnahmen in ihren eigenen Organisationen sicherstellen.

2.1.4. Überprüfung der Maßnahmen zum Schutz personenbezogener Daten

Die Klinik führt gemäß Artikel 12 des Datenschutzgesetzes die erforderlichen Kontrollen intern durch oder lässt diese durchführen. Falls sich aus den Berichten dieser Kontrollen die Notwendigkeit ergibt, werden entsprechende Verbesserungsmaßnahmen ergriffen.

2.1.5. Maßnahmen im Falle einer unbefugten Offenlegung personenbezogener Daten

Die Klinik hat interne Richtlinien erstellt, um sicherzustellen, dass im Falle einer unrechtmäßigen Erlangung personenbezogener Daten, die gemäß Artikel 12 des Datenschutzgesetzes verarbeitet werden, durch Dritte, dieser Umstand so schnell wie möglich dem betroffenen Datensubjekt und der Datenschutzbehörde gemeldet wird. Falls die Datenschutzbehörde dies für erforderlich hält, kann dieser Umstand auf der Website der Datenschutzbehörde oder auf andere Weise bekannt gegeben werden.

2.2. Wahrung der gesetzlichen Rechte der betroffenen Person; Kanäle, über die die betroffene Person mit unserem Unternehmen Kontakt aufnehmen und ihre Anliegen vorbringen kann, sowie die Prüfung dieser Anliegen

Die Klinik sorgt gemäß Artikel 13 des Datenschutzgesetzes für die erforderlichen Kanäle, internen Abläufe sowie administrativen und technischen Vorkehrungen, um die Anträge der betroffenen Personen zu prüfen und diese entsprechend zu informieren. Wenn die betroffenen Personen ihre Anträge bezüglich der unten aufgeführten Rechte schriftlich an die Klinik richten, wird die Klinik den Antrag je nach Art des Antrags spätestens innerhalb von dreißig Tagen kostenlos bearbeiten. Sollte die Datenschutzbehörde jedoch eine Gebühr vorsehen, wird von der Klinik die in der von der Datenschutzbehörde festgelegten Gebührenordnung angegebene Gebühr erhoben. Die betroffenen Personen;

  • Auskunft darüber zu erhalten, ob personenbezogene Daten verarbeitet werden,
  • das Recht, Auskunft über die Verarbeitung personenbezogener Daten zu verlangen,
  • Auskunft über den Zweck der Verarbeitung personenbezogener Daten und darüber, ob diese zweckgemäß verwendet werden,
  • Das Recht, zu erfahren, an welche Dritten im In- oder Ausland personenbezogene Daten übermittelt werden,
  • Das Recht, im Falle einer unvollständigen oder fehlerhaften Verarbeitung personenbezogener Daten deren Berichtigung zu verlangen und in diesem Zusammenhang zu verlangen, dass die durchgeführte Maßnahme den Dritten, an die die personenbezogenen Daten übermittelt wurden, mitgeteilt wird,
  • das Recht, die Löschung oder Vernichtung personenbezogener Daten zu verlangen, wenn die Gründe für deren Verarbeitung nicht mehr bestehen, obwohl diese gemäß dem Datenschutzgesetz und den Bestimmungen anderer einschlägiger Gesetze verarbeitet wurden, sowie das Recht, zu verlangen, dass die in diesem Zusammenhang vorgenommene Maßnahme den Dritten, an die die personenbezogenen Daten übermittelt wurden, mitgeteilt wird,
  • Widerspruch gegen eine Entscheidung, die ausschließlich durch die automatisierte Verarbeitung der Daten zustande kommt und die sich nachteilig auf die betroffene Person auswirkt,
  • Sie haben das Recht, bei einem Schaden, der durch die rechtswidrige Verarbeitung personenbezogener Daten entstanden ist, Schadenersatz zu verlangen.

2.3. SCHUTZ BESONDERS SENSIBLER PERSONENBEZOGENER DATEN

Als personenbezogene Daten besonderer Art werden im Datenschutzgesetz (KVK) Daten in Bezug auf Rasse, ethnische Herkunft, politische Meinung, philosophische Überzeugung, Religion, Konfession oder andere Weltanschauungen, Kleidung und Aussehen, Mitgliedschaft in Vereinen, Stiftungen oder Gewerkschaften, Gesundheit, Sexualleben, strafrechtliche Verurteilungen und Sicherheitsmaßnahmen sowie biometrische und genetische Daten definiert. Die Klinik behandelt den Schutz von personenbezogenen Daten besonderer Art, die im Datenschutzgesetz als „besonderer Art“ definiert sind und rechtmäßig verarbeitet werden, mit größter Sorgfalt. In diesem Zusammenhang werden von der Klinik personenbezogene Daten besonderer Art nur dann erhoben, wenn dies unbedingt erforderlich ist; im Falle einer Erhebung werden die zum Schutz personenbezogener Daten getroffenen technischen und administrativen Maßnahmen in Bezug auf personenbezogene Daten besonderer Art sorgfältig angewendet und die erforderlichen Kontrollen innerhalb der Klinik gewährleistet.

2.4. Sensibilisierung der Mitarbeiter des Unternehmens für den Schutz und die Verarbeitung personenbezogener Daten sowie interne Kontrolle

Die Klinik schult ihre Mitarbeiter, um das Bewusstsein für die Verhinderung der unrechtmäßigen Verarbeitung personenbezogener Daten, des unrechtmäßigen Zugriffs auf diese Daten sowie für die Gewährleistung ihrer Sicherheit zu stärken.

2.5. SENSIBILISIERUNG UND ÜBERWACHUNG DER GESCHÄFTSPARTNER UND LIEFERANTEN HINSICHTLICH DES SCHUTZES UND DER VERARBEITUNG PERSONENBEZOGENER DATEN

Die Klinik informiert ihre Geschäftspartner und Lieferanten, um das Bewusstsein für die Verhinderung der unrechtmäßigen Verarbeitung personenbezogener Daten, den unrechtmäßigen Zugriff auf diese Daten sowie die Gewährleistung ihrer Sicherheit zu stärken. Sofern es nicht für die Erbringung der Dienstleistung oder die Durchführung des Projekts erforderlich ist, werden keine Informationen weitergegeben und keine Verarbeitung gestattet; der Datenaustausch erfolgt unter Einhaltung aller erforderlichen rechtlichen Maßnahmen, wobei der Umfang der Tätigkeit ausschließlich auf die Durchführung der jeweiligen Tätigkeit beschränkt ist.

3. ASPEKTE IM ZUSAMMENHANG MIT DER VERARBEITUNG PERSONENBEZOGENER DATEN

Die Klinik verarbeitet personenbezogene Daten gemäß Artikel 4 des Datenschutzgesetzes (KVK) auf rechtmäßige und redliche Weise; die Daten sind korrekt und, soweit erforderlich, auf dem neuesten Stand; die Verarbeitung erfolgt zu bestimmten, eindeutigen und rechtmäßigen Zwecken; sie ist zweckgebunden, beschränkt und verhältnismäßig. Die Klinik bewahrt personenbezogene Daten so lange auf, wie dies gesetzlich vorgeschrieben ist oder wie es der Zweck der Datenverarbeitung erfordert. Die Klinik verarbeitet personenbezogene Daten auf der Grundlage einer oder mehrerer der in Artikel 5 des Datenschutzgesetzes genannten Voraussetzungen für die Verarbeitung personenbezogener Daten. Die Klinik informiert die betroffenen Personen gemäß Artikel 10 des Datenschutzgesetzes und erteilt auf deren Anfrage hin die erforderlichen Auskünfte. Die Klinik handelt bei der Verarbeitung besonders schützenswerter personenbezogener Daten gemäß den in Artikel 6 des Datenschutzgesetzes vorgesehenen Bestimmungen. Die Klinik handelt gemäß den Artikeln 8 und 9 des Datenschutzgesetzes und hält sich bei der Übermittlung personenbezogener Daten an die gesetzlich vorgesehenen und vom Datenschutzausschuss festgelegten Vorschriften.

3.1. VERARBEITUNG PERSONENBEZOGENER DATEN IM EINKLANG MIT DEN GESETZLICH VORGESCHRIEBENEN GRUNDSÄTZEN

3.1.1. Rechtskonforme und redliche Geschäftsabwicklung

Die Klinik handelt bei der Verarbeitung personenbezogener Daten im Einklang mit den durch gesetzliche Vorschriften festgelegten Grundsätzen sowie dem allgemeinen Grundsatz von Treu und Glauben. In diesem Zusammenhang berücksichtigt die Klinik bei der Verarbeitung personenbezogener Daten die Anforderungen der Verhältnismäßigkeit und verwendet personenbezogene Daten nicht über den für den Zweck erforderlichen Umfang hinaus.

3.1.2. Gewährleistung der Richtigkeit und, soweit erforderlich, der Aktualität personenbezogener Daten

Die Klinik gewährleistet unter Berücksichtigung der Grundrechte der betroffenen Personen und ihrer eigenen berechtigten Interessen, dass die von ihr verarbeiteten personenbezogenen Daten richtig und aktuell sind. Zu diesem Zweck ergreift sie die erforderlichen Maßnahmen.

3.1.3. Verarbeitung zu bestimmten, eindeutigen und rechtmäßigen Zwecken

Die Klinik legt den Zweck der Verarbeitung personenbezogener Daten, der rechtmäßig und gesetzeskonform ist, klar und eindeutig fest. Die Klinik verarbeitet personenbezogene Daten nur in dem Umfang, der mit ihrer Geschäftstätigkeit in Zusammenhang steht und für diese erforderlich ist. Der Zweck, zu dem die Klinik personenbezogene Daten verarbeitet, wird bereits vor Beginn der Verarbeitung offengelegt.

3.1.4. Zweckbindung, Begrenzung und Verhältnismäßigkeit

Die Klinik verarbeitet personenbezogene Daten in einer Weise, die der Verwirklichung der festgelegten Zwecke dient, und vermeidet die Verarbeitung von personenbezogenen Daten, die für die Verwirklichung des Zwecks nicht relevant oder nicht erforderlich sind. Die Klinik führt keine Verarbeitung personenbezogener Daten durch, um möglicherweise später auftretenden Bedürfnissen gerecht zu werden.

3.1.5. Aufbewahrung der Daten für den in den einschlägigen Rechtsvorschriften vorgesehenen oder für den Verarbeitungszweck erforderlichen Zeitraum

Die Klinik bewahrt personenbezogene Daten nur so lange auf, wie dies in den einschlägigen Rechtsvorschriften vorgesehen ist oder wie es für den Zweck ihrer Verarbeitung erforderlich ist. In diesem Zusammenhang prüft die Klinik zunächst, ob in den einschlägigen Rechtsvorschriften eine Aufbewahrungsfrist für personenbezogene Daten vorgesehen ist; ist dies der Fall, hält sie sich an diese Frist; ist keine Frist festgelegt, bewahrt sie die personenbezogenen Daten so lange auf, wie es für den Zweck ihrer Verarbeitung erforderlich ist. Nach Ablauf der Frist oder wenn die Gründe für die Verarbeitung wegfallen, werden die personenbezogenen Daten von der Klinik gelöscht, vernichtet oder anonymisiert. Die Klinik speichert personenbezogene Daten nicht für eine mögliche zukünftige Verwendung.

3.2. AUFKLÄRUNG UND INFORMATION DER BETROFFENEN

Die Klinik klärt die Betroffenen gemäß Artikel 10 des Datenschutzgesetzes bei der Erhebung personenbezogener Daten auf. In diesem Zusammenhang informiert die Klinik über die Identität ihres Vertreters, sofern vorhanden, den Zweck der Verarbeitung der personenbezogenen Daten, an wen und zu welchem Zweck die verarbeiteten personenbezogenen Daten weitergegeben werden können, die Methode und die Rechtsgrundlage der Datenerhebung sowie die Rechte der betroffenen Person. In Artikel 11 des Datenschutzgesetzes ist unter den Rechten der betroffenen Person auch das „Recht auf Auskunft“ aufgeführt. In diesem Zusammenhang erteilt die Klinik gemäß Artikel 11 des Datenschutzgesetzes die erforderlichen Auskünfte, wenn der Betroffene dies verlangt.

3.3. Verarbeitung besonders schützenswerter personenbezogener Daten

Bei der Verarbeitung personenbezogener Daten, die im Datenschutzgesetz als „besonders sensibel“ eingestuft sind, hält sich die Klinik strikt an die im Datenschutzgesetz vorgesehenen Bestimmungen. In Artikel 6 des Datenschutzgesetzes werden bestimmte personenbezogene Daten als „besonders sensibel“ eingestuft, die bei einer rechtswidrigen Verarbeitung das Risiko bergen, Personen zu benachteiligen oder zu diskriminieren. Zu diesen Daten gehören Angaben zu Rasse, ethnischer Herkunft, politischer Meinung, philosophischer Weltanschauung, Religion, Konfession oder anderen Weltanschauungen, Kleidung und Aussehen, Mitgliedschaft in Vereinen, Stiftungen oder Gewerkschaften, Gesundheit, Sexualleben, strafrechtlichen Verurteilungen und Sicherheitsmaßnahmen sowie biometrische und genetische Daten. In Übereinstimmung mit dem Datenschutzgesetz werden personenbezogene Daten besonderer Art von der Klinik unter der Voraussetzung, dass die vom Datenschutzausschuss festgelegten angemessenen Maßnahmen getroffen werden, in den folgenden Fällen verarbeitet:

  • sofern die betroffene Person ihre ausdrückliche Einwilligung erteilt hat oder
  • Liegt keine ausdrückliche Einwilligung der betroffenen Person vor, dürfen personenbezogene Daten besonderer Art, die nicht die Gesundheit oder das Sexualleben der betroffenen Person betreffen, nur in den gesetzlich vorgesehenen Fällen verarbeitet werden; Sensible personenbezogene Daten, die die Gesundheit und das Sexualleben des Betroffenen betreffen, werden hingegen nur zum Zwecke des Schutzes der öffentlichen Gesundheit, der Gesundheitsvorsorge, der medizinischen Diagnose, der Behandlung und Pflege sowie der Planung und Verwaltung von Gesundheitsdienstleistungen und deren Finanzierung von Personen oder zuständigen Behörden und Einrichtungen verarbeitet, die der Geheimhaltungspflicht unterliegen.

3.4. WEITERGABE PERSONENBEZOGENER DATEN

Die Klinik kann die personenbezogenen Daten und die besonders schützenswerten personenbezogenen Daten des Betroffenen unter Einhaltung der erforderlichen Sicherheitsmaßnahmen an Dritte übermitteln, sofern dies im Einklang mit den rechtmäßigen Zwecken der Datenverarbeitung steht. Die Klinik handelt dabei im Einklang mit den Bestimmungen von Artikel 8 des Datenschutzgesetzes.

3.4.1. Weitergabe personenbezogener Daten

Die Klinik kann personenbezogene Daten im Rahmen legitimer und rechtmäßiger Zwecke der Datenverarbeitung auf der Grundlage einer oder mehrerer der in Artikel 5 des Datenschutzgesetzes genannten Voraussetzungen für die Datenverarbeitung und in begrenztem Umfang an Dritte weitergeben:

  • Sofern der Betroffene seine ausdrückliche Einwilligung erteilt hat,
  • Wenn es in den Gesetzen eine ausdrückliche Regelung zur Weitergabe personenbezogener Daten gibt,
  • wenn dies zum Schutz des Lebens oder der körperlichen Unversehrtheit des Betroffenen oder einer anderen Person erforderlich ist und der Betroffene aufgrund tatsächlicher Unmöglichkeit nicht in der Lage ist, seine Einwilligung zu erteilen, oder wenn seiner Einwilligung keine Rechtswirksamkeit zukommt;
  • Sofern die Übermittlung personenbezogener Daten der Vertragsparteien erforderlich ist, sofern dies in unmittelbarem Zusammenhang mit dem Abschluss oder der Erfüllung eines Vertrags steht,
  • Wenn die Übermittlung personenbezogener Daten für die Erfüllung der rechtlichen Verpflichtungen der Klinik erforderlich ist,
  • Wenn personenbezogene Daten vom Betroffenen selbst veröffentlicht wurden,
  • Wenn die Übermittlung personenbezogener Daten für die Begründung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist,
  • sofern die Übermittlung personenbezogener Daten für die berechtigten Interessen der Klinik erforderlich ist, sofern dies nicht die Grundrechte und Grundfreiheiten der betroffenen Person beeinträchtigt.

3.4.2. Übermittlung besonders schützenswerter personenbezogener Daten

Die Klinik kann unter Einhaltung der gebotenen Sorgfalt, unter Ergreifung der erforderlichen Sicherheitsmaßnahmen und unter Beachtung der vom Datenschutzausschuss vorgesehenen angemessenen Vorkehrungen die sensiblen personenbezogenen Daten des Betroffenen im Rahmen rechtmäßiger und gesetzeskonformer Zwecke der Datenverarbeitung in den folgenden Fällen an Dritte übermitteln.

  • sofern die betroffene Person ihre ausdrückliche Einwilligung erteilt hat oder
  • Wenn keine ausdrückliche Einwilligung der betroffenen Person vorliegt;

–Sensible personenbezogene Daten, die nicht die Gesundheit oder das Sexualleben der betroffenen Person betreffen (Rasse, ethnische Herkunft, politische Meinungen, philosophische Überzeugungen, Religion, Konfession oder andere Weltanschauungen, Kleidung und Aussehen, Mitgliedschaft in Vereinen, Stiftungen oder Gewerkschaften, Daten zu strafrechtlichen Verurteilungen und Sicherheitsmaßnahmen sowie biometrische und genetische Daten), in den gesetzlich vorgesehenen Fällen,

–Sensible personenbezogene Daten, die die Gesundheit und das Sexualleben der betroffenen Person betreffen, dürfen jedoch nur zum Zwecke des Schutzes der öffentlichen Gesundheit, der Gesundheitsvorsorge, der medizinischen Diagnose, der Behandlung und Pflege sowie der Planung und Verwaltung von Gesundheitsdienstleistungen und deren Finanzierung von Personen oder befugten Stellen und Einrichtungen verarbeitet werden, die der Schweigepflicht unterliegen.

3.5. ÜBERMITTLUNG PERSONENBEZOGENER DATEN INS AUSLAND

Die Klinik kann die personenbezogenen Daten und die besonders schützenswerten personenbezogenen Daten des Betroffenen unter Einhaltung der erforderlichen Sicherheitsmaßnahmen und im Einklang mit den Zwecken der rechtmäßigen Verarbeitung an Dritte übermitteln. Die Klinik übermittelt diese Daten in Länder, für die die Datenschutzbehörde („KVK-Kurul“) ein angemessenes Schutzniveau festgestellt hat („Länder mit angemessenem Schutzniveau“), oder, falls kein angemessenes Schutzniveau vorliegt, in Länder, in denen die für die Datenverarbeitung Verantwortlichen in der Türkei und im betreffenden ausländischen Land einen angemessenen Schutz schriftlich zugesichert haben und die Genehmigung der Datenschutzbehörde vorliegt („ausländisches Land, in dem sich ein für die Datenverarbeitung Verantwortlicher mit zugesichertem angemessenem Schutz befindet“), übermittelt werden. Die Klinik handelt in diesem Zusammenhang im Einklang mit den Bestimmungen des Artikels 9 des Datenschutzgesetzes.

3.5.1. Übermittlung personenbezogener Daten ins Ausland

Wenn die ausdrückliche Einwilligung der betroffenen Person vorliegt, sofern die Verarbeitung personenbezogener Daten zu legitimen und rechtmäßigen Zwecken erfolgt, oder wenn die ausdrückliche Einwilligung der betroffenen Person nicht vorliegt;

  • Wenn es in den Gesetzen eine ausdrückliche Regelung zur Weitergabe personenbezogener Daten gibt,
  • wenn dies zum Schutz des Lebens oder der körperlichen Unversehrtheit des Betroffenen oder einer anderen Person erforderlich ist und der Betroffene aufgrund tatsächlicher Unmöglichkeit nicht in der Lage ist, seine Einwilligung zu erteilen, oder wenn seiner Einwilligung keine Rechtswirksamkeit zukommt;
  • Sofern die Übermittlung personenbezogener Daten der Vertragsparteien erforderlich ist, sofern dies in unmittelbarem Zusammenhang mit dem Abschluss oder der Erfüllung eines Vertrags steht,
  • Wenn die Übermittlung personenbezogener Daten für die Erfüllung der rechtlichen Verpflichtungen der Klinik erforderlich ist,
  • Wenn personenbezogene Daten vom Betroffenen selbst veröffentlicht wurden,
  • Wenn die Übermittlung personenbezogener Daten für die Begründung, Ausübung oder Verteidigung eines Rechts erforderlich ist,
  • Sofern dies den Grundrechten und Grundfreiheiten der betroffenen Person nicht zuwiderläuft und die Übermittlung personenbezogener Daten für die berechtigten Interessen der Klinik erforderlich ist, können personenbezogene Daten in Drittländer übermittelt werden, in denen ein für die Datenverarbeitung Verantwortlicher ansässig ist, der ein angemessenes Schutzniveau gewährleistet oder sich zur Gewährleistung eines angemessenen Schutzniveaus verpflichtet hat.

3.5.2. Übermittlung besonders schützenswerter personenbezogener Daten ins Ausland

Die Klinik verarbeitet die sensiblen personenbezogenen Daten des Betroffenen unter Einhaltung der gebotenen Sorgfalt, unter Ergreifung der erforderlichen Sicherheitsmaßnahmen und unter Beachtung der vom Datenschutzausschuss vorgesehenen angemessenen Vorkehrungen; und zwar im Rahmen rechtmäßiger und gesetzeskonformer Zwecke der Datenverarbeitung;

  • Wenn die ausdrückliche Einwilligung des Betroffenen vorliegt oder
  • Wenn die ausdrückliche Einwilligung des Betroffenen nicht vorliegt;


–Sensible personenbezogene Daten des Betroffenen, mit Ausnahme von Daten über seine Gesundheit und sein Sexualleben (Rasse, ethnische Herkunft, politische Meinung, philosophische Überzeugung, Religion, Konfession oder andere Weltanschauungen, Kleidung und Aussehen, Mitgliedschaft in Vereinen, Stiftungen oder Gewerkschaften, Daten zu strafrechtlichen Verurteilungen und Sicherheitsmaßnahmen sowie biometrische und genetische Daten), in den gesetzlich vorgesehenen Fällen,

–Sensible personenbezogene Daten, die die Gesundheit und das Sexualleben der betroffenen Person betreffen, dürfen jedoch nur im Rahmen der Verarbeitung durch Personen, die der Schweigepflicht unterliegen, oder durch zuständige Behörden und Einrichtungen zum Zwecke des Schutzes der öffentlichen Gesundheit, der Gesundheitsvorsorge sowie der Durchführung von medizinischen Diagnose-, Behandlungs- und Pflegeleistungen, sowie zur Planung und Verwaltung von Gesundheitsdienstleistungen und deren Finanzierung durch Personen, die der Schweigepflicht unterliegen, oder durch zuständige Behörden und Einrichtungen verarbeitet werden, in Länder übertragen werden, in denen sich ein Datenverantwortlicher befindet, der über ein angemessenes Schutzniveau verfügt oder ein angemessenes Schutzniveau gewährleistet.

4. KATEGORISIERUNG PERSONENBEZOGENER DATEN, VERARBEITUNGSZWECKE UND AUFBEWAHRUNGSFRISTEN

Die Klinik informiert die betroffenen Personen im Rahmen ihrer Informationspflicht gemäß Artikel 10 des Datenschutzgesetzes darüber, welche personenbezogenen Daten welcher Gruppen von betroffenen Personen verarbeitet werden, zu welchen Zwecken die personenbezogenen Daten verarbeitet werden und wie lange sie gespeichert werden.

4.1. KLASSIFIZIERUNG VON PERSONENBEZOGENEN DATEN UND DATENINHABERN

Im Rahmen der Klinik; im Einklang mit den rechtmäßigen und gesetzeskonformen Zwecken der Klinik zur Verarbeitung personenbezogener Daten, auf der Grundlage einer oder mehrerer der in Artikel 5 des Datenschutzgesetzes genannten Voraussetzungen für die Verarbeitung personenbezogener Daten und in deren Rahmen, unter Einhaltung der im Datenschutzgesetz festgelegten allgemeinen Grundsätze – insbesondere der in Artikel 4 genannten Grundsätze zur Verarbeitung personenbezogener Daten – sowie aller im Datenschutzgesetz geregelten Verpflichtungen und in begrenztem Umfang in Bezug auf die in dieser Richtlinie genannten Personengruppen (Patienten der Gemeinschaftskliniken, Besucher, Dritte, Bewerber, Klinikgesellschafter, Klinikbevollmächtigte, Mitarbeiter, Gesellschafter und Bevollmächtigte der mit uns kooperierenden Einrichtungen) in den unten aufgeführten Kategorien verarbeitet, wobei die betroffenen Personen gemäß Artikel 10 des Datenschutzgesetzes informiert werden.

ERLÄUTERUNGEN ZU DEN KATEGORIEN

Identitätsdaten: Daten, die eindeutig einer identifizierten oder identifizierbaren natürlichen Person zuzuordnen sind; die ganz oder teilweise automatisiert oder als Teil eines Datenspeichersystems nicht automatisiert verarbeitet werden; und die Informationen zur Identität der Person enthalten; Dokumente wie Führerschein, Personalausweis und Reisepass, die Informationen wie Vor- und Nachname, türkische Identitätsnummer, Staatsangehörigkeit, Name der Mutter und des Vaters, Geburtsort, Geburtsdatum und Geschlecht enthalten, sowie Informationen wie Steuernummer, Sozialversicherungsnummer, Unterschriftsdaten, Kfz-Kennzeichen usw.

Kontaktdaten: Informationen, bei denen offensichtlich ist, dass sie sich auf eine bestimmte oder bestimmbare natürliche Person beziehen; die ganz oder teilweise automatisiert oder als Teil eines Datenspeichersystems nicht automatisiert verarbeitet werden; wie Telefonnummer, Adresse, E-Mail-Adresse, Faxnummer, IP-Adresse

Standortdaten: Daten, bei denen offensichtlich ist, dass sie sich auf eine bestimmte oder bestimmbare natürliche Person beziehen; die ganz oder teilweise automatisiert oder als Teil eines Datenspeichersystems nicht automatisiert verarbeitet werden; Informationen, die den Standort der Person ermitteln, die sich im Rahmen der von der Klinik durchgeführten Tätigkeiten, bei der Nutzung der Produkte und Dienstleistungen der Klinikgruppe oder bei der Nutzung der Klinikfahrzeuge durch Mitarbeiter von Institutionen, mit denen wir zusammenarbeiten, befindet; GPS-Standort, Reisedaten usw.

Informationen über Familienangehörige und Nahe stehende Personen: Informationen, die eindeutig einer identifizierten oder identifizierbaren natürlichen Person zuzuordnen sind; die ganz oder teilweise automatisiert oder als Teil eines Datenspeichersystems nicht automatisiert verarbeitet werden; Im Rahmen der von Klinikmitarbeitern durchgeführten Tätigkeiten: Informationen über Familienangehörige (z. B. Ehepartner, Mutter, Vater, Kinder), nahe stehende Personen und andere Personen, die in Notfällen kontaktiert werden können, die sich auf die von den Gemeinschaftskliniken angebotenen Produkte und Dienstleistungen beziehen oder zum Schutz der rechtlichen und sonstigen Interessen der Klinik und des Betroffenen dienen

Sicherheitsdaten zu physischen Räumlichkeiten: Personenbezogene Daten, bei denen offensichtlich ist, dass sie sich auf eine bestimmte oder bestimmbare natürliche Person beziehen; die ganz oder teilweise automatisiert oder als Teil eines Datenerfassungssystems nicht automatisiert verarbeitet werden; sowie Aufzeichnungen und Unterlagen, die beim Betreten der physischen Räumlichkeiten und während des Aufenthalts darin erhoben werden, wie beispielsweise Kameraaufzeichnungen, Fingerabdruckaufzeichnungen und Aufzeichnungen an Sicherheitskontrollpunkten.

Finanzdaten: Daten, bei denen offensichtlich ist, dass sie sich auf eine bestimmte oder bestimmbare natürliche Person beziehen; die ganz oder teilweise automatisiert oder als Teil eines Datenerfassungssystems nicht automatisiert verarbeitet werden; Verarbeitete personenbezogene Daten in Bezug auf Informationen, Dokumente und Aufzeichnungen, die jegliche finanzielle Folge des zwischen der Klinik und dem Betroffenen bestehenden Rechtsverhältnisses widerspiegeln, sowie Daten wie Bankkontonummer, IBAN-Nummer, Kreditkarteninformationen, Finanzprofil, Vermögensdaten und Einkommensinformationen

Visuelle/akustische Informationen: Daten, bei denen offensichtlich ist, dass sie sich auf eine bestimmte oder bestimmbare natürliche Person beziehen; Fotos und Kameraaufzeichnungen (mit Ausnahme von Aufzeichnungen, die unter die Informationen zur physischen Sicherheit fallen), Tonaufzeichnungen sowie Daten in Dokumenten, die Kopien von Dokumenten mit personenbezogenen Daten darstellen, Ausgabenbelege, Quittungen, Rechnungen, Einkaufsinformationen

Personenbezogene Daten: Daten, bei denen offensichtlich ist, dass sie sich auf eine bestimmte oder bestimmbare natürliche Person beziehen; die ganz oder teilweise automatisiert oder als Teil eines Datenspeichersystems nicht automatisiert verarbeitet werden; sowie alle Arten von personenbezogenen Daten, die zum Zweck der Erhebung von Informationen verarbeitet werden, die als Grundlage für die Begründung der Persönlichkeitsrechte natürlicher Personen dienen, die in einem Arbeitsverhältnis mit der Klinik stehen

Sensible personenbezogene Daten: Daten, bei denen offensichtlich ist, dass sie sich auf eine bestimmte oder bestimmbare natürliche Person beziehen; die ganz oder teilweise automatisiert oder als Teil eines Datenspeichersystems nicht automatisiert verarbeitet werden; sowie die in Artikel 6 des Datenschutzgesetzes genannten Daten Informationen zur Bearbeitung von Anfragen/Beschwerden: Personenbezogene Daten, bei denen offensichtlich ist, dass sie sich auf eine bestimmte oder bestimmbare natürliche Person beziehen; die ganz oder teilweise automatisiert oder als Teil eines Datenspeichersystems nicht automatisiert verarbeitet werden; sowie personenbezogene Daten im Zusammenhang mit der Entgegennahme und Bewertung aller an die Klinik gerichteten Anfragen oder Beschwerden.

Patient: Natürliche Personen, deren personenbezogene Daten im Rahmen der von den Mitarbeitern der Klinik durchgeführten Behandlungen rechtmäßig über Geschäftsbeziehungen, Marketingaktivitäten und/oder über die vorhandenen Software-, Web- und Mobilanwendungen erhoben werden, unabhängig davon, ob eine vertragliche Beziehung zur Klinik besteht

Besucher: Natürliche Personen, die die physischen Räumlichkeiten der Klinik zu verschiedenen Zwecken betreten haben oder deren Websites und mobile Anwendungen besuchen

Dritte: Andere natürliche Personen, die nicht unter diese Richtlinie und die Richtlinie zum Schutz und zur Verarbeitung personenbezogener Daten der Klinikmitarbeiter fallen

Bewerber: Natürliche Personen, die sich auf irgendeinem Weg bei der Klinik beworben oder ihren Lebenslauf und relevante Informationen zur Prüfung durch unsere Klinik zur Verfügung gestellt haben

Klinikgesellschafter: Natürliche Personen, die Gesellschafter der Klinik sind

Klinikmitarbeiter: In der Klinik tätige Zahnärzte

Mitarbeiter, Gesellschafter und Beauftragte der mit uns kooperierenden Einrichtungen: Natürliche Personen, die in Einrichtungen tätig sind, mit denen die Klinik in irgendeiner Form geschäftlich verbunden ist (z. B. Geschäftspartner, Lieferanten, jedoch nicht darauf beschränkt), einschließlich der Gesellschafter und Beauftragten dieser Einrichtungen

4.2. ZWECKE DER VERARBEITUNG PERSONENBEZOGENER DATEN

Die Klinik verarbeitet personenbezogene Daten ausschließlich zu den in Artikel 5 Absatz 2 und Artikel 6 Absatz 3 des Datenschutzgesetzes genannten Zwecken und unter den dort festgelegten Bedingungen. Diese Zwecke und Bedingungen sind:

  • Kişisel verilerinizin işlenmesine ilişkin Klinik’in ilgili faaliyette bulunmasının Kanunlarda açıkça öngörülmesi
  • Kişisel verilerinizin Klinik tarafından işlenmesinin bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili ve gerekli olması
  • Kişisel verilerinizin işlenmesinin Klinik’in hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması
  • Kişisel verilerinizin sizler tarafından alenileştirilmiş olması şartıyla; sizlerin alenileştirme amacıyla sınırlı bir şekilde Klinik tarafından işlenmesi
  • Kişisel verilerinizin Klinik tarafından işlenmesinin Klinik’in veya sizlerin veya üçüncü kişilerin haklarının tesisi, kullanılması veya korunması için zorunlu olması
  • Sizlerin temel hak ve özgürlüklerine zarar vermemek kaydıyla Klinik meşru menfaatleri için kişisel veri işleme faaliyetinde bulunulmasının zorunlu olması
  • Klinik tarafından kişisel veri işleme faaliyetinde bulunulmasının kişisel veri sahibinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması ve bu durumda da kişisel veri sahibinin fiili veya hukuki geçersizlik nedeniyle rızasını açıklayamayacak durumda bulunması
  • Kişisel veri sahibinin sağlığı ve cinsel hayatı dışındaki özel nitelikli kişisel veriler açısından kanunlarda öngörülmüş olması
  • Kişisel veri sahibinin sağlığına ve cinsel hayatına ilişkin özel nitelikli kişisel verileri açısından ise kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenmesidir.

Bu kapsamda Klinik, kişisel verilerinizi aşağıdaki amaçlarla işlemektedir:

  • Kurumsal sürdürülebilirlik faaliyetlerinin planlanması ve icrası
  • Kullanıcılara Klinik faaliyet konusunda daha iyi hizmet sunulması için yeni organizasyon, iş fikirleri ve sağlık hizmeti kampanyalarının oluşturulması,
  • Kullanıcı memnuniyeti takibi
  • Etkinlik yönetimi
  • İş ortakları veya tedarikçilerle olan ilişkilerin yönetimi
  • Klinik personel temin süreçlerinin yürütülmesi
  • Anlaşmalı kliniklerin personel temin süreçlerine destek olunması
  • Klinik finansal ve sağlık hizmetleri raporlama ve risk yönetimi işlemlerinin icrası/takibi
  • Klinik hukuk işlerinin icrası/takibi
  • Kurumsal iletişim faaliyetlerinin planlanması ve icrası
  • Kurumsal yönetim faaliyetlerinin icrası
  • Klinikler ve ortaklık hukuku işlemlerinin gerçekleştirilmesi
  • Talep ve şikayet yönetimi
  • Klinik değerlerinin güvenliğinin sağlanması
  • Kliniklerin ilgili mevzuata uyum konusunda destek olunması
  • Klinik ve üst düzey yöneticilerine sağlanacak yan haklar ve menfaatlerin planlanması ve icrası süreçlerine destek olunması
  • Klinikin faaliyetlerinin Klinik prosedürleri ve ilgili mevzuata uygun olarak yürütülmesinin temini için denetim faaliyetlerinin planlanması ve icrası
  • Klinikin ve ortaklık hukuku işlemlerinin gerçekleştirilmesi konusunda destek olunması
  • Klinik itibarının korunmasına yönelik çalışmaların gerçekleştirilmesi
  • Yetkili kuruluşlara mevzuattan kaynaklı bilgi verilmesi
  • Ziyaretçi kayıtlarının oluşturulması ve takibi

Bahsi geçen amaçlarla gerçekleştirilen işleme faaliyetinin, KVK Kanunu kapsamında öngörülen şartlardan herhangi birini karşılamıyor olması halinde, ilgili işleme sürecine ilişkin olarak Klinik tarafından açık rızanız temin edilmektedir.

4.3. KİŞİSEL VERİLERİN SAKLANMA SÜRELERİ

Klinik, ilgili kanunlarda ve mevzuatlarda öngörülmesi durumunda kişisel verileri bu mevzuatlarda belirtilen süre boyunca saklamaktadır. Kişisel verilerin ne kadar süre boyunca saklanması gerektiğine ilişkin mevzuatta bir süre düzenlenmemişse, Kişisel Veriler Klinik’in o veriyi işlerken yürütülen faaliyet ile bağlı olarak Klinikin uygulamaları ve ticari yaşamının teamülleri uyarınca işlenmesini gerektiren süre kadar işlenmekte daha sonra silinmekte, yok edilmekte veya anonim hale getirilmektedir. Kişisel verilerin işlenme amacı sona ermiş; ilgili mevzuat ve Klinik’in belirlediği saklama sürelerinin de sonuna gelinmişse; kişisel veriler yalnızca olası hukuki uyuşmazlıklarda delil teşkil etmesi veya kişisel veriye bağlı ilgili hakkın ileri sürülebilmesi veya savunmanın tesis edilmesi amacıyla saklanabilmektedir. Buradaki sürelerin tesisinde bahsi geçen hakkın ileri sürülebilmesine yönelik zaman aşımı süreleri ile zaman aşımı sürelerinin geçmesine rağmen daha önce aynı konularda Klinik’e yöneltilen taleplerdeki örnekler esas alınarak saklama süreleri belirlenmektedir. Bu durumda saklanan kişisel verilere herhangi bir başka amaçla erişilmemekte ve ancak ilgili hukuki uyuşmazlıkta kullanılması gerektiği zaman ilgili kişisel verilere erişim sağlanmaktadır. Burada da bahsi geçen süre sona erdikten sonra kişisel veriler silinmekte, yok edilmekte veya anonim hale getirilmektedir.

  1. KİŞİSEL VERİLERİN AKTARILDIĞI ÜÇÜNCÜ KİŞİLER VE AKTARILMA AMAÇLARI

Klinik, KVK Kanunu’nun 10. maddesine uygun olarak kişisel verilerin aktarıldığı kişi gruplarını kişisel veri sahibine bildirmektedir. Klinik KVK Kanunu’nun 8. ve 9. maddelerine uygun olarak Politika ile yönetilen veri sahiplerinin kişisel verilerini aşağıda sıralanan kişi kategorilerine aktarılabilir:

(i) Klinik iş ortaklarına,

(ii) Klinik tedarikçilerine,

(iii) İştirak ve bağlı Kliniklere,

(iv) Klinik hissedarlarına,

(v) Klinik yetkililerine,

(vi) Hukuken Yetkili kamu kurum ve kuruluşlarına

(vii) Hukuken yetkili özel hukuk kişilerine

Aktarımda bulunulan yukarıda belirtilen kişilerin kapsamı ve veri aktarım amaçları aşağıda belirtilmektedir.

Veri Aktarımı Yapılabilecek Kişiler Tanımı  Veri Aktarım Amacı

İş Ortağı: Klinik’in ticari faaliyetlerini yürütürken bizzat veya Topluluk Klinikleri ile birlikte muhtelif projeler için iş ortaklığının kurulma amaçlarının yerine getirilmesini temin etmek amacıyla sınırlı olarak yürütmek, hizmet almak gibi amaçlarla iş ortaklığı kurduğu tarafları tanımlamaktadır.

Tedarikçi: Klinik’in ticari faaliyetlerini yürütürken Klinikin emir ve talimatlarına uygun olarak sözleşme temelli olarak Klinike hizmet sunan anlaşmalı kurumları tanımlamaktadır. (Klinik’in tedarikçiden dış kaynaklı olarak temin ettiği ve Klinik’in ticari faaliyetlerini yerine getirmek için gerekli hizmetlerin Klinike sunulmasını sağlamak amacıyla sınırlı olarak.)

Anlaşmalı Kuruluşlar: Klinikin, Anlaşmalı sağlık kuruluşları ile sağlık hizmetleri faaliyetlerinin yürütülmesini temin etmekle sınırlı olarak

Hissedarlar: Klinik’in hissedarı gerçek kişiler (İlgili mevzuat hükümlerine göre Klinik’in Klinikler hukuku, etkinlik yönetimi ve kurumsal iletişim süreçleri kapsamında yürüttüğü faaliyetlerin amaçlarıyla sınırlı olarak)

Klinik Yetkilileri: Klinikte çalışan diş hekimlerini

Hukuken Yetkili Kamu Kurum ve Kuruluşları: İlgili mevzuat hükümlerine göre Klinik’den bilgi ve belge almaya yetkili kamu kurum ve kuruluşları (İlgili kamu kurum ve kuruluşlarının hukuki yetkisi dahilinde talep ettiği amaçla sınırlı olarak)

Hukuken Yetkili Özel Hukuk Kişileri: İlgili mevzuat hükümlerine göre Klinik’den bilgi ve belge almaya yetkili özel hukuk kişileri (İlgili özel hukuk kişilerinin hukuki yetkisi dahilinde talep ettiği amaçla sınırlı olarak)

  1. KİŞİSEL VERİLERİN KANUNDAKİ İŞLEME ŞARTLARINA DAYALI VE BU ŞARTLARLA SINIRLI OLARAK İŞLENMESİ

Klinik, KVK Kanunu’nun 10. maddesine uygun olarak işlediği kişisel veriler hakkında kişisel veri sahibini aydınlatmaktadır.

7.1. KİŞİSEL VERİLERİN VE ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİ

7.1.1. Kişisel Verilerin İşlenmesi

Kişisel veri sahibinin açık rıza vermesi, kişisel verilerin hukuka uygun olarak işlenmesini mümkün kılan hukuki dayanaklardan yalnızca bir tanesidir. Açık rıza dışında, aşağıda yazan diğer şartlardan birinin varlığı durumunda da kişisel veriler işlenebilir. Kişisel veri işleme faaliyetinin dayanağı aşağıda belirtilen şartlardan yalnızca biri olabildiği gibi bu şartlardan birden fazlası da aynı kişisel veri işleme faaliyetinin dayanağı olabilir. Klinik tarafından kişisel verilerin işlenmesine yönelik hukuki dayanaklar farklılık gösterse de her türlü kişisel veri işleme faaliyetinde KVK Kanunu’nun 4.  maddesinde belirtilen genel ilkelere uygun olarak hareket edilmektedir.

(i) Kişisel Veri Sahibinin Açık Rızasının Bulunması

(ii)  Kanunlarda Açıkça Öngörülmesi

(iii)  Fiili İmkânsızlık Sebebiyle İlgilinin Açık Rızasının Alınamaması

(iv)  Sözleşmenin Kurulması veya İfasıyla Doğrudan İlgi Olması

(v)  Klinik’in Hukuki Yükümlülüğünü Yerine Getirmesi

(vi)  Kişisel Veri Sahibinin Kişisel Verisini Alenileştirmesi

(vii)  Bir Hakkın Tesisi veya Korunması için Veri İşlemenin Zorunlu Olması

(viii)   Klinik’in Meşru Menfaati için Veri İşlemenin Zorunlu Olması

7.1.2. Özel Nitelikli Kişisel Verilerin İşlenmesi

Klinik tarafından; özel nitelikli kişisel veriler kişisel veri sahibinin açık rızası yok ise ancak, KVK Kurulu tarafından belirlenecek olan yeterli önlemlerin alınması kaydıyla aşağıdaki durumlarda işlenmektedir:

(i) Kişisel veri sahibinin sağlığı ve cinsel hayatı dışındaki özel nitelikli kişisel veriler, kanunlarda öngörülen hallerde,

(ii) Kişisel veri sahibinin sağlığına ve cinsel hayatına ilişkin özel nitelikli kişisel verileri ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından.

  1. BİNA, TESİS GİRİŞLERİ İLE BİNA TESİS İÇERİSİNDE YAPILAN KİŞİSEL VERİ İŞLEME FAALİYETLERİ İLE İNTERNET SİTESİ VE MOBİL UYGULAMA ZİYARETÇİLERİ

Klinik tarafından bina tesis girişlerinde ve tesis içerisinde yapılan kişisel veri işleme faaliyetleri, KVK Kanunu’na ve ilgili diğer mevzuata uygun bir biçimde yürütülmektedir. Klinik tarafından güvenliğin sağlanması amacıyla, Klinik binalarında ve tesislerinde güvenlik kamerasıyla izleme faaliyeti ile misafir giriş çıkışlarının takibine yönelik kişisel veri işleme faaliyetinde bulunulmaktadır. Güvenlik kameraları kullanılması ve misafir giriş çıkışlarının kayıt altına alınması yoluyla Klinik tarafından kişisel veri işleme faaliyeti yürütülmüş olmaktadır.

8.1. ŞİRKET BİNA, TESİS GİRİŞLERİNDE VE İÇERİSİNDE YÜRÜTÜLEN KAMERA İLE İZLEME FAALİYETİ

Bu bölümde Klinik’in bulunduğu lokasyonda kamera ile izleme sistemine ilişkin açıklamalar yapılacak ve kişisel verilerin, gizliliğinin ve kişinin temel haklarının nasıl korumaya alındığına ilişkin bilgilendirme yapılacaktır. Klinik, güvenlik kamerası ile izleme faaliyeti kapsamında; Klinikin ve diğer kişilerin güvenliğini sağlamaya ilişkin menfaatlerini korumak gibi amaçlar taşımaktadır.

8.1.1. Kamera ile İzleme Faaliyetinin Yasal Dayanağı

Klinik tarafından yürütülen kamera ile izleme faaliyeti, Özel Güvenlik Hizmetlerine Dair Kanun ve ilgili mevzuata uygun olarak sürdürülmektedir.

8.1.2. KVK Hukukuna Göre Güvenlik Kamerası ile İzleme Faaliyeti Yürütülmesi

Klinik tarafından güvenlik amacıyla kamera ile izleme faaliyeti yürütülmesinde KVK Kanunu’nda yer alan düzenlemelere uygun hareket edilmektedir. Klinik, bina ve tesislerinde güvenliğin sağlanması amacıyla, yürürlükte bulunan ilgili mevzuatta öngörülen amaçlarla ve KVK Kanunu’nda sayılan kişisel veri işleme şartlarına uygun olarak güvenlik kamerası izleme faaliyetinde bulunmaktadır.

8.1.3. Kamera ile İzleme Faaliyetinin Duyurulması

Klinik tarafından KVK Kanunu’nun 10. Maddesine uygun olarak, kişisel veri sahibi aydınlatılmaktadır. Klinik, genel hususlara ilişkin olarak yaptığı aydınlatmanın kamera ile izleme faaliyetine ilişkin birden fazla yöntem ile bildirimde bulunmaktadır. Böylelikle, kişisel veri sahibinin temel hak ve özgürlüklerine zarar verilmesinin engellenmesi, şeffaflığın ve kişisel veri sahibinin aydınlatılmasının sağlanması amaçlanmaktadır. Klinik tarafından kamera ile izleme faaliyetine yönelik olarak; Klinik internet sitesinde işbu Politika yayımlanmakta (çevrimiçi politika düzenlemesi) ve izlemenin yapıldığı alanların girişlerine izleme yapılacağına ilişkin bildirim yazısı asılmaktadır (yerinde aydınlatma).

8.1.4. Kamera ile İzleme Faaliyetinin Yürütülme Amacı ve Amaçla Sınırlılık

Klinik, KVK Kanunu’nun 4. maddesine uygun olarak, kişisel verileri işlendikleri amaçla bağlantılı, sınırlı ve ölçülü bir biçimde işlemektedir. Klinik tarafından video kamera ile izleme faaliyetinin sürdürülmesindeki amaç bu Politika’da sayılan amaçlarla sınırlıdır. Bu doğrultuda, güvenlik kameralarının izleme alanları, sayısı ve ne zaman izleme yapılacağı, güvenlik amacına ulaşmak için yeterli ve bu amaçla sınırlı olarak uygulamaya alınmaktadır. Kişinin mahremiyetini güvenlik amaçlarını aşan şekilde müdahale sonucu doğurabilecek alanlarda (örneğin, tuvaletler) izlemeye tabi tutulmamaktadır.

8.1.5. Elde Edilen Verilerin Güvenliğinin Sağlanması

Klinik tarafından KVK Kanunu’nun 12. maddesine uygun olarak, kamera ile izleme faaliyeti sonucunda elde edilen kişisel verilerin güvenliğinin sağlanması için gerekli teknik ve idari tedbirler alınmaktadır.

8.1.6. Kamera ile İzleme Faaliyeti ile Elde Edilen Kişisel Verilerin Muhafaza Süresi

Klinik’in, kamera ile izleme faaliyeti ile elde edilen kişisel verileri muhafaza süresi ile ilgili ayrıntılı bilgiye bu Politika’nın Kişisel Verilerin Saklanma Süreleri maddesinde yer verilmiştir.

8.1.7. İzleme Sonucunda Elde Edilen Bilgilere Kimlerin Erişebildiği ve Bu Bilgilerin Kimlere Aktarıldığı

Canlı kamera görüntüleri ile dijital ortamda kaydedilen ve muhafaza edilen kayıtlara yalnızca sınırlı sayıda Klinik çalışanının erişimi bulunmaktadır. Kayıtlara erişimi olan sınırlı sayıda kişi gizlilik taahhütnamesi ile eriştiği verilerin gizliliğini koruyacağını beyan etmektedir.

8.2. ŞİRKET BİNA, TESİS GİRİŞLERİNDE VE İÇERİSİNDE YÜRÜTÜLEN MİSAFİR GİRİŞ ÇIKIŞLARININ TAKİBİ

Klinik tarafından; güvenliğin sağlanması ve bu Politika’da belirtilen amaçlarla, Klinik binalarında ve tesislerinde misafir giriş çıkışlarının takibine yönelik kişisel veri işleme faaliyetinde bulunulmaktadır. Misafir olarak Klinik binalarına gelen kişilerin isim ve soyadları elde edilirken ya da Klinik nezdinde asılan ya da diğer şekillerde misafirlerin erişimine sunulan metinler aracılığıyla söz konusu kişisel veri sahipleri bu kapsamda aydınlatılmaktadırlar. Misafir giriş-çıkış takibi yapılması amacıyla elde edilen veriler yalnızca bu amaçla işlenmekte ve ilgili kişisel veriler fiziki ortamda veri kayıt sistemine kaydedilmektedir.

8.3. ŞİRKET BİNA VE TESİSLERİNDE ZİYARETÇİ’LERİMİZE SAĞLANAN İNTERNET ERİŞİMLERİNE İLİŞKİN KAYITLARIN SAKLANMASI

Klinik tarafından güvenliğin sağlanması ve bu Politika’da belirtilen amaçlarla; Klinik tarafından bina ve tesislerimiz içerisinde kaldığınız süre boyunca talep eden Ziyaretçi’lerimize internet erişimi sağlanabilmektedir. Bu durumda internet erişimlerinize ilişkin log kayıtları 5651 Sayılı Kanun ve bu Kanuna göre düzenlenmiş olan mevzuatın amir hükümlerine göre kayıt altına alınmakta; bu kayıtlar ancak yetkili kamu kurum ve kuruluşları tarafından talep edilmesi veya Klinik içinde gerçekleştirilecek denetim süreçlerinde ilgili hukuki yükümlülüğümüzü yerine getirmek amacıyla işlenmektedir. Bu çerçevede elde edilen log kayıtlarına yalnızca sınırlı sayıda Klinik çalışanının erişimi bulunmaktadır. Bahsi geçen kayıtlara erişimi olan Klinik çalışanları bu kayıtları yalnızca yetkili kamu kurum ve kuruluşundan gelen talep veya denetim süreçlerinde kullanmak üzere erişmekte ve hukuken yetkili olan kişilerle paylaşmaktadır. Kayıtlara erişimi olan sınırlı sayıda kişi gizlilik taahhütnamesi ile eriştiği verilerin gizliliğini koruyacağını beyan etmektedir.

8.4. İNTERNET SİTESİ VE MOBİL UYGULAMA ZİYARETÇİLERİ

Klinik sahibi olduğu internet sitelerinde; bu siteleri ziyaret eden kişilerin sitelerdeki ziyaretlerini ziyaret amaçlarıyla uygun bir şekilde gerçekleştirmelerini temin etmek; kendilerine özelleştirilmiş içerikler gösterebilmek ve çevrimiçi reklamcılık faaliyetlerinde bulunabilmek maksadıyla teknik vasıtalarla (Örn. Kurabiyeler-cookie gibi) site içerisindeki internet hareketlerini kaydedilmektedir.

Klinik yapmış olduğu bu faaliyetlere ilişkin kişisel verilerin korunması ve işlenmesine ilişkin detaylı açıklamalar ilgili internet sitelerinin ve mobil uygulamaların “Gizlilik Politikası” metinleri içerisinde yer almaktadır.

  1. KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VE ANONİMLEŞTİRİLMESİ ŞARTLARI

Klinik, Türk Ceza Kanunu’nun 138. maddesinde ve KVK Kanunu’nun 7. maddesinde düzenlendiği üzere ilgili kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde Klinik’in kendi kararına istinaden veya kişisel veri sahibinin talebi üzerine kişisel veriler silinir, yok edilir veya anonim hâle getirilir. Bu kapsamda Klinik ilgili yükümlülüğünü bu bölümde açıklanan yöntemlerle yerine getirmektedir.

KİŞİSEL VERİLERİN SİLİNMESİ, YOK EDİLMESİ VE ANONİMLEŞTİRİLMESİ TEKNİKLERİ

9.1. Kişisel Verilerin Silinmesi ve Yok Edilmesi Teknikleri

Klinik ilgili kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kendi kararına istinaden veya kişisel veri sahibinin talebi üzerine kişisel verileri silebilir veya yok edebilir. Klinik tarafından en çok kullanılan silme veya yok etme teknikleri aşağıda sıralanmaktadır:

(i) Fiziksel Olarak Yok Etme (Physical Destruction)

(ii) Yazılımdan Güvenli Olarak Silme (Secure Deletion Software)

(iii) Uzman Tarafından Güvenli Olarak Silme (Sending to a Specialist for Secure Deletion)

9.2. Kişisel Verileri Anonim Hale Getirme Teknikleri

Kişisel verilerin anonimleştirilmesi, kişisel verilerin başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini ifade eder. Klinik, hukuka uygun olarak işlenen kişisel verilerin işlenmesini gerektiren sebepler ortadan kalktığında kişisel verileri anonimleştirebilmektedir. KVK Kanunu’nun 28. maddesine uygun olarak; anonim hale getirilmiş olan kişisel veriler araştırma, planlama ve istatistik gibi amaçlarla işlenebilir. Bu tür işlemeler KVK Kanunu kapsamı dışında olup, kişisel veri sahibinin açık rızası aranmayacaktır. Anonim hale getirilerek işlenen kişisel veriler KVK Kanunu kapsamı dışında olacağından Politika’nın 10. Bölümünde düzenlenen haklar bu veriler için geçerli olmayacaktır. Klinik tarafından en çok kullanılan anonimleştirme teknikleri aşağıda sıralanmaktadır.

(i) Maskeleme (Masking)

(ii) Toplulaştırma (Aggregation)

(iii) Veri Türetme (Data Derivation)

(iv) Veri Karma (Data Shuffling, Permutation)

  1. KİŞİSEL VERİ SAHİPLERİNİN HAKLARI; BU HAKLARIN KULLANILMASI VE DEĞERLENDİRİLMESİNDE YÖNTEM

Klinik, KVK Kanunu’nun 10. maddesine uygun olarak kişisel veri sahibinin haklarını kendisine bildirmekte, bu hakların nasıl kullanılacağı konusunda kişisel veri sahibine yol göstermektedir ve Klinik, kişisel veri sahiplerinin haklarının değerlendirilmesi ve kişisel veri sahiplerine gereken bilgilendirmenin yapılması için KVK Kanunu’nun 13. maddesine uygun olarak gerekli kanalları, iç işleyişi, idari ve teknik düzenlemeleri yürütmektedir.

10.1 VERİ SAHİBİNİN HAKLARI VE BU HAKLARINI KULLANMASI

10.1.1. Kişisel Veri Sahibinin Hakları

Kişisel veri sahipleri aşağıda yer alan haklara sahiptirler:

(1)  Kişisel veri işlenip işlenmediğini öğrenme,

(2)  Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,

(3)  Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,

(4)  Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,

(5)  Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,

(6)  KVK Kanunu ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,

(7)  İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,

(8)  Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme.

10.1.2. Kişisel Veri Sahibinin Haklarını İleri Süremeyeceği Haller

Kişisel veri sahipleri, KVK Kanunu’nun 28. maddesi gereğince aşağıdaki haller KVK Kanunu kapsamı dışında tutulduğundan, kişisel veri sahiplerinin bu konularda 10.1.1.’de sayılan haklarını ileri süremezler:

(1)  Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi.

(2)  Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi.

(3)  Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi.

(4)  Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi.

KVK Kanunu’nun 28/2 maddesi gereğince; aşağıda sıralanan hallerde kişisel veri sahipleri zararın giderilmesini talep etme hakkı hariç, 10.1.1.’de sayılan diğer haklarını ileri süremezler: (1)  Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması.

(2)  Kişisel veri sahibi tarafından kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi.

(3)  Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması.

(4)  Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması.

10.1.3. Kişisel Veri Sahibinin Haklarını Kullanması

Kişisel Veri Sahipleri bu bölümün 10.1.1. Başlığı altında sıralanan haklarına ilişkin taleplerini kimliklerini tespit edecek bilgi ve belgelerle ve aşağıda belirtilen yöntemlerle veya Kişisel Verileri Koruma Kurulu’nun belirlediği diğer yöntemlerle Başvuru Formu’nu doldurup imzalayarak Klinik’e ücretsiz olarak iletebileceklerdir:

(1)  https://cagrialtuntas.com adresinde bulunan formun doldurulduktan sonra ıslak imzalı bir nüshasının bizzat elden veya noter aracılığı ile Harbiye Mah. Vali Konağı Cad. 30/3 Şişli/İST. adresine iletilmesi

(2) https://cagrialtuntas.com adresinde bulunan formun doldurulup 5070 Sayılı Elektronik İmza Kanunu kapsamındaki “güvenli elektronik imza”nızla imzalandıktan sonra güvenli elektronik imzalı formun [email protected] adresine kayıtlı elektronik posta ile gönderilmesi Kişisel veri sahipleri adına üçüncü kişilerin başvuru talebinde bulunabilmesi için veri sahibi tarafından başvuruda bulunacak kişi adına noter kanalıyla düzenlenmiş özel vekâletname bulunmalıdır.

10.1.4. Kişisel Veri Sahibinin KVK Kurulu’na Şikâyette Bulunma Hakkı

Kişisel veri sahibi KVK Kanunu’nun 14. maddesi gereğince başvurunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hâllerinde; Klinik’in cevabını öğrendiği tarihten itibaren otuz ve her hâlde başvuru tarihinden itibaren altmış gün içinde KVK Kurulu’na şikâyette bulunabilir.

10.2 KLİNİĞİN BAŞVURULARA CEVAP VERMESİ

Topluluk Kliniklerinin kişisel veri işleme faaliyetleri ile ilgili başvuruların ilgili Topluluk Klinikine yapılması gerekmektedir. Klinik’e yalnızca Klinik’in KVK Kanunu kapsamında veri sorumlusu sayıldığı durumlarda başvuru yapılması gerekmektedir. Bu durum, Klinik’in doğrudan ilgili kişiden kişisel veri topladığı ya da ilgili Topluluk Kliniki ile Klinik arasındaki veri paylaşımının KVK Kanunu kapsamında veri sorumlusundan veri sorumlusun veri transferi sayıldığı durumlarda mevcut olabilmektedir. Bunlar dışında, ilgili Topluluk Klinikinin veri sorumlusu sayıldığı kişisel veri işleme faaliyetleri ile ilgili başvuruların Klinik’e değil, ilgili Topluluk Klinikine yapılması gerekmektedir.

10.2.1. Klinik’in Başvurulara Cevap Verme Usulü ve Süresi

Klinik, kişisel veri sahibinin talebinin niteliğine göre en geç otuz gün içinde ilgili  talebi ücretsiz  olarak sonuçlandıracaktır. Ancak, KVK Kurulunca bir ücret öngörülmesi hâlinde, Klinik tarafından başvuru sahibinden KVK Kurulunca belirlenen tarifedeki ücret alınacaktır.

10.2.2. Klinik’in Başvuruda Bulunan Kişisel Veri Sahibinden Talep Edebileceği Bilgiler

Klinik, başvuruda bulunan kişinin kişisel veri sahibi olup olmadığını tespit etmek adına ilgili kişiden bilgi talep edebilir. Klinik, kişisel veri sahibinin başvurusunda yer alan hususları netleştirmek adına, kişisel veri sahibine başvurusu ile ilgili soru yöneltebilir.

10.2.3. Klinik’in Kişisel Veri Sahibinin Başvurusunu Reddetme Hakkı

Klinik aşağıda yer alan hallerde başvuruda bulunan kişinin başvurusunu, gerekçesini açıklayarak reddedebilir:

(1)  Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi.

(2)  Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi.

(3)  Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi.

(4)  Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi.

(5)  Kişisel veri işlemenin suç işlenmesinin önlenmesi veya suç soruşturması için gerekli olması.

(6)  Kişisel veri sahibi tarafından kendisi tarafından alenileştirilmiş kişisel verilerin işlenmesi.

(7)  Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması.

(8)  Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması.

(9)  Kişisel veri sahibinin talebinin diğer kişilerin hak ve özgürlüklerini engelleme ihtimali olması

(10)  Orantısız çaba gerektiren taleplerde bulunulmuş olması.

(11)  Talep edilen bilginin kamuya açık bir bilgi olması.

BAŞVURU FORMU

6698 Sayılı Kişisel Verilerin Korunması Kanunu’nda (“KVKK”) ilgili kişi olarak tanımlanan kişisel veri sahiplerine (Bundan sonra “Başvuru Sahibi” olarak anılacaktır), KVKK’nın 11’inci maddesinde kişisel verilerinin işlenmesine ilişkin birtakım taleplerde bulunma hakkı tanınmıştır.

Bu çerçevede “yazılı” olarak Dt. Çağrı ALTUNTAŞ (“Klinik”)’e yapılacak başvurular, işbu formun çıktısı alınarak;

1-) Başvuru Sahibi olarak şahsen başvuru ile

2-) Başvuru sahibinin bizzat kendiniz olduğunu ispatlayan belgelerle yazılı olarak tarafımıza iletilebilirsiniz.

Başvuru Sahibinin İletişim Bilgileri:

İsim:

Soy isim:

TC Kimlik Numarası:

E-posta:

Telefon Numarası:

Adres:

  1. Lütfen Şirketimiz ile olan ilişkinizi belirtiniz. (Müşteri, iş ortağı, çalışan adayı, eski çalışan, üçüncü taraf firma çalışanı, hissedar gibi)

☐ Müşteri

☐ Ziyaretçi

☐ İş ortağı

☐ Eski Çalışanım, Çalıştığım Yıllar : ………………………

☐ İş Başvurusu / Özgeçmiş Paylaşımı Yaptım Tarih : ………………………………………………………………..

☐ Üçüncü Kişi Firma Çalışanıyım. (Lütfen çalıştığınız firma ve pozisyon bilgisini belirtiniz)

………………………………………………………………………………

☐ Diğer: ……………………………………………………..

  1. Lütfen KVK Kanunu kapsamındaki talebinizi detaylı olarak belirtiniz:

…………………..…………….……………………………….……………………………….…………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………..…………….……………………………….……………………………….…………………………………………………………………………………………………

  1. Lütfen başvurunuza vereceğimiz yanıtın tarafınıza bildirilme yöntemini seçiniz:

☐ Adresime gönderilmesini istiyorum.

☐ ……@………. uzantılı e-posta adresime gönderilmesini istiyorum. (E-posta yöntemini seçmeniz hâlinde size daha hızlı yanıt verebileceğiz.)

☐ Elden teslim almak istiyorum. (Vekâleten teslim alınması durumunda açıkça bu yetkiyi düzenleyen noter tasdikli vekâletname veya yetki belgesi olması gerekmektedir.)

İşbu başvuru formu, Şirketimiz ile olan ilişkinizi tespit ederek, varsa, Şirketimiz tarafından işlenen kişisel verilerinizi eksiksiz olarak belirleyerek, ilgili başvurunuza doğru ve kanuni süresinde cevap verilebilmesi için tanzim edilmiştir. Hukuka aykırı ve haksız bir şekilde veri paylaşımından kaynaklanabilecek hukuki risklerin bertaraf edilmesi ve özellikle kişisel verilerinizin güvenliğinin sağlanması amacıyla, kimlik ve yetki tespiti için Şirketimiz ek evrak ve malumat (Nüfus cüzdanı veya sürücü belgesi sureti vb.) talep etme hakkını saklı tutar. Form kapsamında iletmekte olduğunuz taleplerinize ilişkin bilgilerin doğru ve güncel olmaması ya da yetkisiz bir başvuru yapılması, iletişim bilgilerinin teyit edilmemesi halinde Şirketimiz söz konusu yanlış bilgi ya da yetkisiz başvuru kaynaklı taleplerden dolayı mesuliyet kabul etmemektedir.

Başvuru Tarihi:

Başvuru Sahibi (Kişisel Veri Sahibi) Adı Soyadı:

İmza: