1. INTRODUCCIÓN

1.1 Propósito

Política de almacenamiento y destrucción de datos personales (“Política”),

Título del responsable del tratamiento: Prof. Dr. Yavuz Beşoğul

Dirección del responsable del tratamiento: İstinye University Hospital Medical Park, Çukurçeşme Cd. No:57 D:59, 34250 Gaziosmanpaşa/Estambul

Teléfono del responsable del tratamiento: (0530) 035 44 02
Correo electrónico del responsable del tratamiento: ilkberuygur@hotmail.com

Sitio web del responsable del tratamiento: dryavuzbesogul.com

Ha sido elaborado para determinar los procedimientos y principios respecto de las obras y transacciones relativas a las actividades de almacenamiento y destrucción de datos personales realizadas por el responsable del tratamiento.

Nuestro negocio; Ha priorizado el procesamiento de datos personales que procesamos de acuerdo con la misión, visión y principios básicos legales, de conformidad con la Constitución de la República de Turquía, los acuerdos internacionales y la Ley de Protección de Datos Personales No. 6698 ("Ley") y otra legislación pertinente, y velar por que las personas pertinentes ejerzan sus derechos de manera efectiva.

Los trabajos y transacciones relacionados con el almacenamiento y destrucción de datos personales se llevan a cabo de acuerdo con la Política elaborada en consecuencia.

1.2 Alcance

Los datos personales de pacientes, acompañantes, personal, candidatos de personal y proveedores de servicios están dentro del alcance de esta Política, y esta Política se aplica a todos los entornos de grabación donde se procesan datos personales administrados por nuestra empresa y a las actividades relacionadas con el procesamiento de datos personales.

1.3 Abreviaturas y Definiciones

Entre los términos legales y técnicos incluidos en esta Política;

Grupo de Destinatarios Categoría de persona física o jurídica a quien el responsable del tratamiento transfiere datos personales
Consentimiento Explícito: Consentimiento sobre un tema específico, basado en información y expresado con libre albedrío.
La anonimización es el proceso de hacer que los datos personales sean imposibles de asociar con una persona física identificada o identificable de cualquier manera, incluso cotejándolos con otros datos.
Personal de negocios que trabaja,
Sistema de gestión de documentos electrónicos EBYS,
Entorno electrónico Entornos donde se pueden crear, leer, modificar y escribir datos personales con dispositivos electrónicos
Medios no electrónicos Todos los medios escritos, impresos, visuales, etc. distintos de los medios electrónicos. otros entornos,
Proveedor de servicios Una persona física o jurídica que proporciona servicios en el marco de un contrato específico con nuestra empresa.
Persona Relevante: La persona real cuyos datos personales son tratados.
Usuario Relevante: Personas que procesan datos personales dentro de la organización del responsable del tratamiento o de acuerdo con la autoridad e instrucciones recibidas del responsable del tratamiento, excluyendo a la persona o unidad responsable del almacenamiento técnico, protección y respaldo de los datos.
Destrucción: Supresión, destrucción o anonimización de datos personales,
La Ley es la Ley de Protección de Datos Personales N° 6698 de 24.3.2016,
Entorno de registro: Cualquier entorno donde se procesen datos personales, ya sea total o parcialmente de forma automática o por medios no automáticos, siempre que forme parte de cualquier sistema de registro de datos.
Datos Personales Cualquier información relativa a una persona física identificada o identificable,
Inventario de procesamiento de datos personales Actividades de procesamiento de datos personales realizadas por los responsables del tratamiento en función de sus procesos comerciales; El inventario que elaboran asociando los datos personales con los fines y la razón legal del tratamiento de los datos personales, la categoría de los datos, el grupo de destinatarios transferidos y el grupo de personas interesadas, y detallando el período máximo de conservación requerido para los fines para los cuales se almacenan los datos personales. tratados, los datos personales que se prevé transferir a países extranjeros y las medidas adoptadas en materia de seguridad de los datos,
Tratamiento de Datos Personales Obtener, registrar, almacenar, conservar, modificar, reorganizar, divulgar, transferir, tomar, poner a disposición, clasificar datos personales por medios total o parcialmente automáticos o no automáticos, siempre que formen parte de cualquier sistema de registro de datos. o cualquier acción realizada sobre los datos, como impedir su uso,
La Junta se refiere a la Junta de Protección de Datos Personales,
Datos Personales de Carácter Especial: Datos relativos a la raza, origen étnico, opinión política, creencia filosófica, religión, secta u otras creencias, apariencia y vestimenta, asociación, fundación o sindicato, salud, vida sexual, condena penal y medidas de seguridad de las personas. así como datos biométricos y genéticos,
Destrucción periódica: En caso de que se eliminen todas las condiciones para el tratamiento de datos personales especificadas en la Ley, el proceso de supresión, destrucción o anonimización especificado en la política de almacenamiento y destrucción de datos personales y que deberá realizarse de oficio en intervalos recurrentes,
Política de Almacenamiento y Destrucción de Datos Personales,
Encargado del tratamiento: La persona real o jurídica que trata datos personales por cuenta del responsable del tratamiento, en base a la autoridad otorgada por éste.
Sistema de Registro de Datos: El sistema de registro en el que se estructuran y procesan los datos personales de acuerdo con ciertos criterios.
Sistema de información de registro de controladores de datos VERBİS,
Responsable del Tratamiento: La persona natural o jurídica que determina los fines y medios del tratamiento de los datos personales y es responsable de establecer y administrar el sistema de registro de datos.
Reglamento sobre Supresión, Destrucción o Anonimización de Datos Personales publicado en el Diario Oficial de fecha 28 de octubre de 2017,

Eso expresa.

2. EXPLICACIONES SOBRE ALMACENAMIENTO Y ELIMINACIÓN

Los datos personales procesados por nuestra empresa se almacenan de acuerdo con la ley y se destruyen al final del período de almacenamiento.

2.1 Explicaciones sobre el almacenamiento

En el artículo 3 de la Ley se define el concepto de tratamiento de datos personales, en el artículo 4 se establece que los datos personales tratados deben estar relacionados con la finalidad para la que son tratados, limitados y proporcionados y deben conservarse durante el plazo requerido por la legislación pertinente o para el propósito para el cual son procesados, y en los artículos 5 y 6, se establece que el procesamiento de datos personales debe ser limitado y se enumeran condiciones proporcionadas.

En consecuencia, los datos personales se almacenan durante el período estipulado en la legislación pertinente o durante el período apropiado para nuestros fines de procesamiento.

2.1.1 Razones legales que requieren el almacenamiento de datos personales

Los datos personales procesados se procesan y almacenan si existe al menos una de las razones legales que se enumeran a continuación.

Está claramente estipulado en la ley.
El tratamiento de los datos de las partes es necesario para la ejecución del contrato.
Es obligatorio que el responsable del tratamiento cumpla con su obligación legal
El tratamiento de datos es obligatorio para el establecimiento, ejercicio o protección de un derecho.
El tratamiento de datos es obligatorio para el interés legítimo del responsable del tratamiento, siempre que no lesione los derechos y libertades fundamentales del interesado.
Realización de servicios de medicina preventiva, diagnóstico médico, tratamiento y atención.
Consentimiento explícito

2.1.2 Fines del procesamiento que requieren almacenamiento

Los datos personales se procesan y almacenan para los fines que se indican a continuación.

Realización de los procesos de postulación de candidatos a empleados.
Cumplimiento de obligaciones derivadas de contratos de trabajo y legislación para los empleados
Realización de beneficios complementarios y procesos de beneficios a los empleados.
Realización de actividades educativas.
Ejecución de autorizaciones de acceso
Realizar actividades de acuerdo con la legislación.
Realización de asuntos financieros y contables.
Garantizar la seguridad del espacio físico
Realización de procesos de asignación
Seguimiento y ejecución de asuntos legales.
Realización de actividades de comunicación.
Planificación de procesos de recursos humanos
Realización de actividades de seguridad y salud en el trabajo.
Recibir y evaluar sugerencias para mejorar los procesos de negocio.
Realización de procesos de evaluación del desempeño
Realización de actividades de almacenamiento y archivo.
Ejecución de procesos contractuales.
Seguimiento de solicitudes y quejas.
Garantizar la seguridad de los bienes y recursos muebles
Garantizar la seguridad de las operaciones del responsable del tratamiento de datos
Proporcionar información a personas, instituciones y organizaciones autorizadas.
Realización de actividades promocionales.

2.2 Razones que requieren destrucción

Información personal;

Modificación o derogación de las disposiciones legislativas pertinentes que constituyen la base para el procesamiento,
Se elimina la finalidad que requiere procesamiento o almacenamiento,
En los casos en que el procesamiento de datos personales se realice únicamente sobre la base del consentimiento explícito, las autoridades pertinentes

Retirar el consentimiento explícito de la persona,

Nuestra empresa acepta la solicitud realizada por la persona interesada para la supresión y destrucción de sus datos personales en el marco de sus derechos de conformidad con el artículo 11 de la Ley,
En los casos en que nuestra empresa rechace la solicitud realizada por la persona relevante que solicita la supresión, destrucción o anonimización de datos personales, considere insuficiente la respuesta dada o no responda dentro del plazo previsto en la Ley; Quejándose ante la Junta y siendo aprobada esta solicitud por la Junta,
Ha transcurrido el plazo máximo para la conservación de los datos personales y no existen condiciones que justifiquen el almacenamiento de los datos personales durante un período de tiempo mayor,

En tales casos, nuestra empresa lo elimina, lo destruye o lo elimina, lo destruye o lo anonimiza de oficio a petición de la persona correspondiente.

3. MEDIDAS TÉCNICAS Y ADMINISTRATIVAS

Para almacenar de forma segura los datos personales, evitar el procesamiento y el acceso ilegal a los datos personales y destruir los datos personales de conformidad con la ley, se toman medidas técnicas y administrativas en el marco de las medidas adecuadas determinadas y anunciadas por la Junta para datos personales especiales en de conformidad con el artículo 12 de la Ley y el párrafo cuarto del artículo 6 de la Ley.

3.1 Medidas Técnicas

Las medidas técnicas adoptadas respecto de los datos personales tratados se detallan a continuación:

La seguridad de la red y la seguridad de las aplicaciones están garantizadas.
Se toman medidas de seguridad en el ámbito del suministro, desarrollo y mantenimiento de sistemas de tecnología de la información.
Se eliminan las autoridades de los empleados que cambien de funciones o dejen sus puestos de trabajo en esta área.
Se utilizan sistemas antivirus actualizados.
Se utilizan cortafuegos.
Se llevan a cabo controles de autorización periódicos para los empleados que tienen acceso a datos personales sensibles.
Las actualizaciones de seguridad para los entornos donde se almacenan los datos se monitorean constantemente, se realizan o realizan periódicamente las pruebas de seguridad necesarias y se registran los resultados de las pruebas.
Se llevan a cabo periódicamente pruebas de seguridad del software que accede a datos personales confidenciales y se registran los resultados de las pruebas.
Para los datos personales almacenados en entorno digital se realizan procesos periódicos de supresión, destrucción o anonimización.

3.2 Medidas Administrativas

Las medidas administrativas adoptadas en relación con los datos personales tratados se enumeran a continuación:

Existen regulaciones disciplinarias para los empleados que incluyen disposiciones de seguridad de datos.
Periódicamente se llevan a cabo actividades de formación y sensibilización sobre la seguridad de los datos para los empleados.
Se han elaborado e implementado políticas corporativas sobre acceso, seguridad de la información, uso, almacenamiento y destrucción.
Se asumen compromisos de confidencialidad.
Los contratos firmados contienen disposiciones de seguridad de datos.
Se toman medidas de seguridad adicionales para los datos personales transferidos en papel y los documentos relevantes se envían en formato de documento confidencial.
Se han determinado políticas y procedimientos de seguridad de datos personales.
Los problemas de seguridad de los datos personales se informan rápidamente.
Se supervisa la seguridad de los datos personales.
Se toman las medidas de seguridad necesarias en cuanto a la entrada y salida de entornos físicos que contienen datos personales.
Se garantiza la seguridad de los entornos físicos que contienen datos personales frente a riesgos externos (incendio, inundación, etc.).
Se garantiza la seguridad de los entornos que contienen datos personales.
Los datos personales se reducen al máximo.
Se realizan auditorías periódicas y/o aleatorias dentro de la institución.
Se han determinado e implementado protocolos y procedimientos para la seguridad de datos personales especiales.
Si se van a enviar datos personales especiales por correo electrónico, se deben enviar encriptados y utilizando una cuenta de correo KEP o corporativa.
El alcance de la autorización y la duración de los usuarios autorizados a acceder a datos personales sensibles están claramente definidos.
Se devuelve el inventario asignado a los empleados que cambian de puesto o dejan su trabajo.
Se ha elaborado un inventario de datos personales.
Periódicamente se realizan procesos de eliminación, destrucción o anonimización.

4. PERIODO DE ALMACENAMIENTO Y ELIMINACIÓN

Respecto de los datos personales procesados por nuestra empresa en el ámbito de sus actividades; Los períodos de retención están incluidos en la Política de Almacenamiento y Destrucción de Datos Personales.

Se realizan actualizaciones a estos períodos de retención si es necesario.

Para los datos personales cuyo período de conservación haya expirado, la supresión, destrucción o anonimización de oficio se llevará a cabo durante el primer período de destrucción periódica posterior al final del período de conservación.

4.1 Tabla de períodos de almacenamiento

DATOS PROCESADOS PERSONA RELACIONADA CATEGORÍA PERIODO DE CONSERVACIÓN
Información de Identidad Empleado 15 años después de terminada la relación laboral activa
No se almacenará si se rechaza la solicitud de empleo del candidato a empleado.
Paciente a 20 años del final del tratamiento.
Acompañante durante el servicio
Personas Reales que Prestan Servicios Externos 10 años desde la finalización del servicio
Información de Contacto Empleado 15 años después de terminada la relación laboral activa
No se almacenará si se rechaza la solicitud de empleo del candidato a empleado.
Paciente a 20 años del final del tratamiento.
Acompañante durante el servicio
Personas Reales que Prestan Servicios Externos 10 años desde la finalización del servicio
Datos Personales de Salud Empleado 15 años después de la terminación de la relación laboral activa
No se almacenará si se rechaza la solicitud de empleo del candidato a empleado.
Paciente a 20 años del final del tratamiento.
Condena Penal y Medidas de Seguridad Información Empleado 10 años después de terminada la relación laboral activa
No se almacenará si se rechaza la solicitud de empleo del candidato a empleado.
Empleado Personal 10 años después de terminada la relación laboral activa
No se almacenará si se rechaza la solicitud de empleo del candidato a empleado.
Proceso Legal Empleado y Paciente 10 años desde el final del proceso legal
Seguridad de Procesos Empleado y Paciente 2 años
Paciente de transacción de cliente 20 años
Personas Reales que Prestan Servicios Externos 10 años desde la finalización del servicio
Paciente de Finanzas 20 años
  trabajando 10 años
Grabaciones de cámara para todos los grupos de personas: 2 meses
Experiencia Profesional Empleado 10 años después de terminada la relación laboral activa
Candidato a Empleado Si el proceso de solicitud de empleo es negativo no se conservará
Registros Audiovisuales Empleado 15 años después de terminada la relación laboral activa
Paciente a 20 años del final del tratamiento.
Candidato a Empleado Si el proceso de solicitud de empleo es negativo no se conservará

4.2 Períodos de destrucción

Nuestro negocio elimina, destruye o anonimiza de oficio datos personales de acuerdo con los principios y procedimientos establecidos en esta Política, en el primer proceso de destrucción periódico posterior a la fecha en que se cumple la obligación de eliminar, destruir o anonimizar datos personales de acuerdo con lo dispuesto. de la Ley y Reglamento surge.

Si el responsable del tratamiento nos solicita debidamente haciendo uso del derecho a solicitar la eliminación de datos personales especificado en el artículo 13 de la Ley;

Si se han eliminado todas las condiciones para el procesamiento de datos personales; Los datos personales objeto de la solicitud serán eliminados, destruidos o anonimizados mediante un método de destrucción adecuado dentro de los 30 (treinta) días a partir del día de recepción de la solicitud.
Si no se han eliminado todas las condiciones para el tratamiento de datos personales, la solicitud podrá ser rechazada explicando el motivo de la solicitud de conformidad con el tercer párrafo del artículo 13 de la Ley, y la respuesta de rechazo será notificada a la persona correspondiente en por escrito o electrónicamente dentro de los 30 (treinta) días a más tardar.

5. PERIODO DE DESTRUCCIÓN PERIÓDICA

De conformidad con el artículo 11 del Reglamento, el período de destrucción periódica se fija en seis meses.

MÉTODOS DE ELIMINACIÓN

Una vez transcurrido el plazo previsto en la legislación aplicable o el plazo de conservación necesario para la finalidad para la que son tratados, los datos personales se destruyen de oficio o a instancia de quien corresponda, utilizando las técnicas que se especifican a continuación, de conformidad con las disposiciones de la legislación pertinente.

5.1 Eliminación de Datos Personales

Los datos personales se eliminan mediante los métodos que se indican a continuación.

Descripción de los medios de grabación de datos
Datos personales en los servidores: para los datos personales en los servidores cuyo período de retención ha expirado, el administrador del sistema elimina la autorización de acceso de los usuarios relevantes y los elimina.
Datos personales en medios electrónicos: Entre los datos personales en entorno electrónico, aquellos cuyo período de almacenamiento haya expirado se vuelven inaccesibles e inutilizables de cualquier manera para otros empleados (usuarios relevantes), excepto el administrador de la base de datos.
Datos Personales en el Medio Físico: Los datos personales conservados en el medio físico, cuyo plazo de conservación haya expirado, se vuelven inaccesibles e inutilizables para otros empleados, excepto para el responsable de la unidad responsable del archivo documental. Además, el ennegrecimiento también se aplica dibujando/pintando/borrando la superficie para que no se pueda leer.
Datos personales en medios portátiles: Entre los datos personales conservados en medios de almacenamiento basados en Flash que han caducado, se almacenan en entornos seguros con claves de cifrado, al ser cifrados por el administrador del sistema y la autorización de acceso se otorga únicamente al administrador del sistema.

5.2 Destrucción de Datos Personales

Los datos personales se destruyen mediante los métodos que se indican a continuación.

Descripción de los medios de grabación de datos
Datos Personales en Soportes Físicos: Entre los datos personales en soportes papel cuyo plazo de conservación haya vencido, son destruidos irreversiblemente en máquinas trituradoras de papel.
Datos Personales Contenidos en Medios Ópticos/Magnéticos Los datos personales contenidos en medios ópticos y medios magnéticos, que han caducado para ser almacenados, son destruidos físicamente mediante fusión, quema o pulverización. Además, los datos contenidos en los medios magnéticos se vuelven ilegibles al pasarlos a través de un dispositivo especial y exponerlos a un campo magnético intenso.
Datos personales en el entorno digital: Los datos personales en el entorno digital cuyo período de retención haya expirado serán destruidos irreversiblemente, junto con todos los registros y registros de transacciones en segundo plano y las copias de seguridad.

5.3 Anonimización de Datos Personales

La anonimización de los datos personales significa hacer imposible asociar los datos personales con una persona física identificada o identificable de cualquier manera, incluso si se comparan con otros datos.

Para que los datos personales sean anónimos; Los datos personales deben ser restituidos por el responsable del tratamiento o por terceros y/o imposibilitados de asociar con una persona física identificada o identificable, incluso mediante el uso de técnicas apropiadas en términos del entorno de registro y del campo de actividad correspondiente, como por ejemplo cotejar el datos con otros datos.

Si bien nuestra empresa anonimiza los datos personales, lo hace de acuerdo con los estándares antes mencionados. Después de la anonimización de los datos personales, los datos personales no pueden asociarse de ninguna manera con una persona física identificada o identificable.

6. MEDIDAS TOMADAS PARA GARANTIZAR LA LEGALIDAD DEL PROCESO DE ENAJENACIÓN

Las operaciones de destrucción realizadas de oficio previa solicitud y durante procesos de destrucción periódicos se realizan de conformidad con la Ley, el Reglamento y esta Política. Las medidas técnicas y administrativas adoptadas en este contexto se muestran por separado a continuación. 

6.1 Medidas Técnicas

Se mantienen bajo control los derechos de acceso a los datos personales de los empleados de las unidades de tecnología de la información.
La destrucción de datos personales se garantiza de manera que los datos no puedan reciclarse y no dejen un rastro de auditoría.

6.2 Medidas Administrativas

El personal recibe formación sobre legislación de protección de datos personales, seguridad y destrucción de datos.
Los procesos de destrucción se inspeccionan periódicamente. Se toman las medidas necesarias para eliminar las vulnerabilidades de seguridad detectadas. 

7. MEDIOS DE GRABACIÓN

Los datos personales se almacenan de conformidad con las disposiciones legales, reglamentarias y demás legislación pertinente. Los medios de registro de los datos personales almacenados en este contexto se muestran en la siguiente tabla.

Medios electrónicos Medios no electrónicos
Servidores (Dominio, respaldo, correo electrónico, base de datos, web, intercambio de archivos, etc.) Software (Software Meddata, software de oficina, portal). Dispositivos de seguridad de la información (firewall, detección y prevención de intrusiones, archivo de registro, antivirus, etc.) .)Computadoras (Desktop, laptop)Dispositivos móviles (teléfono, tableta, etc.)Discos ópticos (CD, DVD, etc.)Memorias extraíbles (USB, Tarjeta de Memoria, etc.)Impresoras, escáner, fotocopiadora, Dispositivos médicos PapelRegistro manual de datos sistemas Medios escritos, impresos y visuales  

8. MEDIDAS TOMADAS PARA LA SEGURIDAD DE LOS DATOS PERSONALES

Para almacenar de forma segura los datos personales, evitar el procesamiento y el acceso ilegal a los datos personales y destruir los datos personales de conformidad con la ley, se toman medidas técnicas y administrativas en el marco de las medidas adecuadas determinadas y anunciadas por la Junta para datos personales especiales en de conformidad con el artículo 12 de la Ley y el párrafo cuarto del artículo 6 de la Ley.

8.1 Medidas Técnicas

Las medidas técnicas adoptadas respecto de los datos personales tratados se detallan a continuación:

8.2 Medidas administrativas

Las medidas administrativas adoptadas en relación con los datos personales tratados se enumeran a continuación:

9. TÍTULO DEL PERSONAL, UNIDADES Y DISTRIBUCIÓN DE FUNCIONES

Todas las unidades y empleados están obligados a garantizar que las medidas técnicas y administrativas tomadas por las unidades responsables dentro del alcance de la Política se implementen adecuadamente, se incremente la capacitación y concienciación de los empleados de la unidad, se garantice su seguimiento y supervisión continua, y se garanticen los datos personales. Se evita el procesamiento ilegal, el acceso ilegal a los datos personales y los datos personales están protegidos contra la ley. Apoya activamente a las unidades responsables en la adopción de medidas técnicas y administrativas para garantizar la seguridad de los datos en todos los entornos donde se procesan los datos personales con el fin de garantizar. almacenamiento adecuado.

La distribución de los títulos y descripciones de puestos de quienes participan en los procesos de almacenamiento y destrucción de datos personales se muestra en la siguiente tabla.

DESCRIPCIÓN OFICIAL DEL TRABAJO

El Médico Titular del Consultorio es responsable de garantizar que los procesos de almacenamiento y destrucción de los datos personales tratados se realicen de acuerdo con esta política, asegurando la coordinación entre unidades, realizando las inspecciones necesarias, desarrollando la política, publicándola y actualizándola en los medios correspondientes.  
Secretario/Asistente Asegurar que los empleados actúen de acuerdo con la política, realizando las inspecciones necesarias y realizando otras tareas asignadas por el médico propietario de la práctica. Es responsable de brindar las soluciones técnicas necesarias en la implementación de la Política.

10. ACTUALIZACIONES DE LA POLÍTICA

Esta Política de Almacenamiento y Destrucción de Datos Personales podrá ser modificada debido a cambios legislativos, de acuerdo con decisiones del Consejo o en línea con la evolución del sector o el campo de la informática. Los cambios realizados en este contexto se registran inmediatamente en el texto y las explicaciones sobre los cambios se agregan a la tabla de actualizaciones a continuación.

Tabla de actualizaciones

…………………………. Ha entrado en vigor la Política de Tratamiento y Destrucción de Datos Personales.

11. DISPOSICIONES FINALES

Esta Política de Almacenamiento y Destrucción de Datos Personales es elaborada por el responsable del tratamiento;

en lugares adecuados dentro del negocio
Desde nuestra web dryavuzbesogul.com

fue anunciado y comunicado a las personas pertinentes. 

Haga clic para descargar la Política de destrucción y almacenamiento de datos personales