Политика конфиденциальности
ОБЩАЯ ПОЛИТИКА ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ
Версия 1.0 – Сентябрь 2022 г.
Настоящая политика устанавливает общие рамки деятельности по обработке данных Uluslararası Sağlık Hizmetleri Anonim Şirketi (далее «USHAS»).
1. Область применения, Назначение и Пользователи
USHAS стремится соблюдать действующие законы и нормативные акты, касающиеся защиты персональных данных в странах, где работает USHAS. Настоящая Политика устанавливает основные принципы, согласно которым USHAS обрабатывает персональные данные клиентов, поставщиков, сотрудников и других лиц, а также определяет обязанности ее бизнес-подразделений и сотрудников при обработке персональных данных.
Настоящая Политика распространяется на USHAS и ее третьих лиц, осуществляющих обработку персональных данных субъектов данных.
Пользователями этого документа являются все сотрудники, постоянные или временные, и все подрядчики, работающие от имени USHAS.
2. Справочная Документация
- Регламент (ЕС) 2016/679 Европейского Парламента и Совета Европейского Союза от 27 апреля 2016 года "О защите физических лиц относительно обработки персональных данных и о свободном перемещении таких данных, а также об отмене Директивы 95/46/ЕС (Общий регламент по защите данных)"
- Закон Турции о Защите Данных № 6698
- Политика Защиты Персональных Данных Сотрудников
- Общее Уведомление о Защите Данных
- Политика Хранения Данных
- Оценка Воздействия На Защиту Данных
- Политика Информационной Безопасности
- Процедура Уведомления о Нарушении
3. Определения
Следующие определения терминов, используемых в настоящем документе, взяты из статьи 4 Общего Регламента Европейского Союза о Защите Данных:
Персональные Данные: Любая информация, относящаяся к идентифицированному или идентифицируемому физическому лицу («Субъект данных»), которое может быть идентифицировано, прямо или косвенно, из таких данных, в частности, посредством ссылки на идентификатор, такой как имя, идентификационный номер, данные о местоположении, онлайн-идентификатор или один или несколько факторов, специфичных для физической, физиологической, генетической, психической, экономической, культурной или социальной идентичности Субъекта данных.
Конфиденциальные Персональные Данные: персональные данные, которые по своей природе являются особенно чувствительными в отношении основных прав и свобод, заслуживают особой защиты, поскольку контекст их обработки может создавать значительные риски для основных прав и свобод субъекта данных. Эти персональные данные включают в себя персональные данные, раскрывающие расовое или этническое происхождение, политические взгляды, религиозные или философские убеждения или членство в профсоюзе, генетические данные, биометрические данные с целью однозначной идентификации физического лица, данные, касающиеся здоровья, или данные, касающиеся сексуальной жизни или сексуальной ориентации субъекта данных.
Контроллер Данных: Физическое или юридическое лицо, государственный орган, агентство или любой другой орган, который самостоятельно или совместно с другими определяет цели и средства обработки персональных данных.
Процессор Данных: физическое или юридическое лицо, государственный орган, агентство или любой другой орган, который обрабатывает Персональные данные от имени Контроллера данных.
Обработка: любая операцию или набор операций, выполняемых с персональными данными или наборами персональных данных, независимо от уровня автоматизации, например, сбор, регистрация, организация, структурирование, хранение, адаптация или изменение, извлечение, консультация, использование, разглашение, распространение и иное предоставление доступа, синхронизация или сочетание, ограничение, стирание или уничтожение.
Анонимизация: необратимая деидентификация персональных данных таким образом, что лицо не может быть идентифицировано с помощью разумного времени, стоимости и технологии либо контролером, либо любым другим лицом для идентификации этого лица. Принципы обработки персональных данных не применяются к анонимным данным, поскольку они больше не являются персональными данными.
Псевдонимизация: обработка персональных данных таким образом, что персональные данные больше не могут быть отнесены к определенному Субъекту данных без использования дополнительной информации, при условии, что такая дополнительная информация хранится отдельно и подлежит техническим и организационным мерам для обеспечения того, чтобы персональные данные не были отнесены к идентифицированному или идентифицируемому физическому лицу. Псевдонимизация снижает, но не полностью исключает возможность связывания персональных данных с субъектом данных. Поскольку псевдонимизированные данные по-прежнему являются персональными данными, обработка псевдонимизированных данных должна соответствовать принципам обработки персональных данных.
Надзорный Орган: независимый государственный орган, который учреждается государством-членом в соответствии со статьей 51 Общего Регламента ЕС по Защите Данных
4. Основные Принципы Обработки Персональных Данных
Принципы защиты данных определяют основные обязанности организаций, обрабатывающих персональные данные. Статья 5(2) GDPR предусматривает, что «контролер несет ответственность и может продемонстрировать соблюдение принципов».
4.1 Законность, Справедливость и Прозрачность
Мы будем обрабатывать персональные данные только в том случае, если у нас есть одна из следующих «законных оснований» (юридических оснований) для этого в соответствии с законодательством о защите данных:
- Данные должны быть обработаны, чтобы USHAS мог выполнить контракт с физическим лицом, то есть нам нужны данные для выполнения ваших инструкций, или физическое лицо попросило USHAS предпринять конкретные шаги перед заключением контракта
- Данные должны быть обработаны таким образом, чтобы USHAS могла выполнять юридические обязательства, в частности юридические требования, вытекающие из Декрета-закона № 663, который является основным законодательством, устанавливающим нас в качестве юридического лица.
- Данные должны быть обработаны для законных интересов USHAS или третьей стороны (при условии, что права и свободы человека не переопределены)
- Лицо добровольно дало четкое согласие
4.2 Ограничение Цели
Мы будем собирать персональные данные только по определенным, явным и законным причинам. Мы объясняем эти причины лицам, когда мы впервые собираем их данные в соответствии с Общим Уведомлением о Защите Данных (или Конфиденциальности).
Если мы хотим использовать персональные данные по причинам, отличным от тех, которые были указаны при их первом получении, мы проинформируем об этом заинтересованных лиц до того, как мы это сделаем, и, при необходимости, запросим согласие.
Сотрудники USHAS будут обрабатывать персональные данные только там, где это необходимо для выполнения их работы. Когда сотрудники больше не нуждаются в личных данных, которые они хранят, они должны убедиться, что они удалены, обезличены или зашифрованы, чтобы сделать их недоступными. Это будет сделано в соответствии с Политикой Хранения Данных USHAS.
4.3 Минимизация Данных
Все обрабатываемые Персональные данные являются адекватными, релевантными и ограничиваются тем, что необходимо в отношении целей, для которых они обрабатываются. USHAS может применять анонимизацию или псевдонимизацию к персональным данным, если это возможно, чтобы уменьшить риски для соответствующих субъектов данных.
4.4 Пунктуальность
Все обрабатываемые Персональные данные являются точными и, при необходимости, постоянно обновляются; принимаются разумные меры для обеспечения своевременного удаления или исправления неточных персональных данных с учетом целей, для которых они обрабатываются.
4.5 Ограничение Срока Хранения
Персональные данные будут храниться не дольше, чем это необходимо для целей, для которых обрабатываются персональные данные (или будут анонимизированы или псевдонимизированы таким образом, чтобы их нельзя было использовать для идентификации физического лица или зашифровать таким образом, чтобы они не были доступны). На это можно ссылаться в нашей Политике Хранения Данных.
4.6 Соблюдение процедур и конфиденциальность
Принимая во внимание состояние технологий и другие доступные меры безопасности, стоимость внедрения, а также вероятность и серьезность рисков, связанных с персональными данными, USHAS применяет соответствующие технические и организационные меры для обработки Персональных данных таким образом, чтобы обеспечить надлежащую безопасность персональных данных, включая защиту от случайного или незаконного уничтожения, потери, изменения, несанкционированного доступа или раскрытия.
Мы примем меры, чтобы показать, что мы интегрировали защиту данных во все наши действия по обработке данных, включая:
- Только обработка персональных данных, которая необходима для каждой конкретной цели обработки, и всегда в соответствии с принципами защиты данных, изложенными в соответствующем законе о защите данных
- Завершение оценки воздействия на конфиденциальность, когда обработка персональных данных USHAS представляет высокий риск для прав и свобод людей, а также при внедрении новых технологий (DPO будет консультировать по этому процессу)
- Интеграция защиты данных во внутренние документы, включая настоящую политику, любые связанные с ней политики и уведомления о конфиденциальности
- Регулярное обучение сотрудников по законодательству о защите данных, настоящей политике, любой связанной с ней политике и любым другим вопросам защиты данных; мы также будем вести учет посещаемости
- Регулярное проведение проверок и аудитов, чтобы проверить наши меры конфиденциальности и убедиться, что мы соблюдаем
- Ведение учета нашей деятельности по обработке, в том числе:
- В интересах субъектов данных, предоставление имени и контактных данных USHAS и всей информации, которую мы обязаны предоставить о том, как мы используем и обрабатываем их персональные данные (через наши уведомления о защите данных)
- Для всех персональных данных, которые мы храним, ведение внутренней записи типа данных, субъекта данных, как и почему мы используем данные, любых сторонних получателей, как и почему мы храним данные, периоды хранения и как мы храним данные в безопасности
4.7 Подотчетность
USHAS, как Контролер Данных, несет ответственность и может продемонстрировать соответствие изложенным выше принципам.
5. Создание Системы Защиты Данных в Предпринимательской Деятельности
Чтобы продемонстрировать соответствие принципам защиты данных, компания USHAS внедрила защиту данных в свою деятельность.
5.1 Уведомление Субъектов Данных
(См. Руководство по Справедливой Обработке, раздел 6.1)
5.2 Выбор и Согласие Субъекта Данных
(См. Руководство по Справедливой Обработке, раздел 6.2)
5.3 Сборка
USHAS стремится собирать наименьшее количество персональных данных. Если личные данные собираются от третьей стороны, мы гарантируем, что личные данные собираются на законных основаниях. Мы собираем и используем ваши персональные данные для управления нашими отношениями с вами, в том числе для ответа на ваши запросы или жалобы, для предоставления вам наших Услуг, для управления нашими Договорами с вами, для информирования вас о других услугах, партнерах, акциях и мероприятиях, для администрирования и улучшения нашего Веб-сайта и Услуг, для ответа на запросы властей, для соблюдения наших договорных и юридических обязательств, а также для других законных деловых целей. USHAS не передает, не продает, не сдает в аренду и не торгует персональными данными с третьими лицами в рекламных целях.
Когда вы выражаете заинтересованность в получении дополнительной информации об Услугах или регистрации на мероприятие, вы предоставляете USHAS личную контактную информацию, такую как имя, название компании, адрес, номер телефона и адрес электронной почты, чтобы связаться с вами. Кроме того, при покупке Услуг или регистрации на мероприятии компания USHAS может также потребовать от вас предоставить Компании средства для финансовой квалификации и платежную информацию, такую как имя и адрес для выставления счетов, а также количество сотрудников в организации, которые будут использовать Услуги, которые не считаются персональными данными.
Мы можем запросить у вас информацию, которая позволит нам предоставить вам Услугу, и мы собираем эту информацию либо лично, либо по телефону, письменной/цифровой переписке или через веб-сайт.
При условии вашего согласия, если это требуется по закону, мы используем файлы cookie и другие технологии для отслеживания использования наших веб-сайтов и услуг.
При условии вашего согласия, если это требуется по закону, мы можем использовать ваши персональные данные для проведения маркетинговых, рекламных и информационных мероприятий, а также для проведения бизнес-аналитики, опросов удовлетворенности или маркетинговых исследований и проведения прямого маркетинга.
Мы можем передавать ваши персональные данные сторонним поставщикам, которых мы привлекаем для обработки данных от нашего имени, если это требуется по закону или в других ситуациях, разрешенных законом. В соответствии с применимым законодательством вы имеете право на доступ к персональным данным, которые мы храним о вас, исправлять, удалять или удалять неточные данные, возражать в любое время и бесплатно против обработки ваших персональных данных в целях прямого маркетинга, а также других прав в соответствии с применимым законодательством.
5.4 Удержание, Ликвидация и Удаление;
Цели, методы, ограничение хранения и срок хранения персональных данных соответствуют информации, содержащейся в Общем Уведомлении о Защите Данных. USHAS будет поддерживать точность, целостность, конфиденциальность и актуальность персональных данных на основе цели обработки. Адекватные механизмы безопасности, предназначенные для защиты персональных данных, используются для предотвращения кражи, неправильного использования или злоупотребления персональными данными, а также для предотвращения нарушения персональных данных.
Мы будем защищать персональные данные и защищать их от несанкционированного или незаконного доступа, изменения, обработки или раскрытия, а также от случайной или незаконной потери, уничтожения или повреждения. В частности:
- Бумажные записи, содержащие персональные данные, хранятся под замком, когда они не используются
- Переносные электронные устройства, такие как ноутбуки и жесткие диски, содержащие личные данные, зашифрованы таким образом, чтобы требовать не только доступа к паролям, но и вторичного подтверждения пользователя (как правило, путем требования о том, чтобы коды, отправляемые на мобильные телефоны, вставлялись в устройство для обеспечения безопасного соединения)
- Документы, содержащие конфиденциальные персональные данные, нельзя оставлять на офисных столах, на столах персонала, прикреплять к доскам объявлений/дисплеям или оставлять в любом другом месте, где есть общий доступ
- Пароли длиной не менее 8 символов, содержащие буквы и цифры, используются для доступа к компьютерам, ноутбукам и другим электронным устройствам USHAS. Сотрудникам напоминается, что им следует менять свои пароли через регулярные промежутки времени и что пароли никогда не должны передаваться кому-либо другому
- Ожидается, что сотрудники, которые хранят личную информацию на своих личных устройствах, будут следовать тем же процедурам безопасности, что и для оборудования, принадлежащего USHAS (см. наши политики в области ИКТ)
- Если нам необходимо предоставить доступ к персональным данным третьим лицам, мы проводим комплексную проверку и принимаем разумные меры для обеспечения их надежного и надлежащего хранения (см. раздел 5.5).
- Где это возможно, путем анонимизации или псевдонимизации данных
5.5 Распространение Третьим Сторонам.
Очень редко персональные данные передаются третьим лицам, но всякий раз , когда USHAS использует стороннего поставщика или делового партнера для обработки персональных данных от своего имени, мы обеспечим, чтобы этот обработчик предпринял меры безопасности для защиты персональных данных, соответствующие сопутствующим рискам. . Мы заключим соглашение об обмене данными с поставщиком или подрядчиком, чтобы обеспечить справедливую и законную обработку любых персональных данных, которыми мы делимся.
USHAS по контракту будет требовать от поставщика или делового партнера обеспечить такой же уровень защиты данных, как и USHAS. Поставщик или деловой партнер должен обрабатывать персональные данные только для выполнения своих договорных обязательств по отношению к USHAS или по указанию USHAS, а не для каких-либо других целей. Когда USHAS обрабатывает персональные данные совместно с независимой третьей стороной, компания USHAS четко указывает свои соответствующие обязанности третьей стороны в соответствующем договоре или любом другом юридически обязательном документе.
Список таких партнеров может быть предоставлен Клиентам по запросу при наличии законных оснований.
5.6 Права доступа Субъектов Данных
Физические лица имеют право подать «Запрос на Доступ к Субъекту», чтобы получить доступ к личной информации, которую USHAS хранит о них. Это включает:
- Подтверждение того, что их персональные данные обрабатываются
- Доступ к копии данных
- Цели обработки данных
- Категории соответствующих персональных данных
- Были ли данные переданы, и если да, то с кем
- Как долго данные будут храниться, или, если это невозможно, критерии, используемые для определения этого периода
- Источник данных, если не физическое лицо
- Применяется ли автоматизированное принятие решений к их данным, и какое значение и последствия это может иметь для человека
Запросы на доступ к теме должны быть представлены в письменной форме, либо письмом, либо по электронной почте DPO. Они должны также включать:
- Ф.И.О. лица
- Адрес для корреспонденции
- Контактный номер и адрес электронной почты
- Подробная информация о запрошенной информации
Физическому лицу будет отправлена Форма Запроса на Доступ к Субъекту Данных.
5.8 Переносимость Данных
Субъекты Данных имеют право получать по запросу копию данных, которые они предоставили нам в структурированном формате, и передавать эти данные другому контролеру.
5.9 Право На Забвение
По запросу Субъекты Данных имеют право получить от USHAS удаление своих персональных данных. Когда USHAS действует в качестве Контролера, мы предпримем необходимые действия (включая технические меры) для информирования третьих сторон, которые используют или обрабатывают эти данные в соответствии с запросом.
6. Рекомендации по Законности Обработки
Персональные данные должны обрабатываться только с явного разрешения компании USHAS.
USHAS примет решение о том, следует ли выполнять Оценку Воздействия на Защиту Данных для каждого вида деятельности по Обработке Данных в соответствии с Руководством По Оценке Воздействия На Защиту Данных.
6.1 Уведомления для Субъектов Данных
Во время сбора или перед сбором персональных данных для любого вида деятельности по обработке, включая, помимо прочего, продажу услуг или маркетинговую деятельность, мы будем информировать субъектов данных о следующем: типы собранных персональных данных, цели обработки, методы обработки, права субъектов данных в отношении их персональных данных, период хранения, потенциальная международная передача данных, если данные будут переданы третьим лицам, и меры безопасности USHAS для защиты персональных данных. Эта информация предоставляется посредством Общего Уведомления О Защите Данных (или Конфиденциальности).
Если персональные данные передаются третьей стороне, мы гарантируем, что Субъекты данных были уведомлены об этом посредством Общего Уведомления О Защите Данных.
Если персональные данные передаются в третью страну в соответствии с Политикой Трансграничной Передачи Данных, это будет отражено в Общем Уведомлении О Защите Данных и четко указано, куда и какой организации передаются персональные данные.
В случае сбора конфиденциальных персональных данных мы обеспечим, чтобы в Общем Уведомлении О Защите Данных прямо указывалась цель сбора этих конфиденциальных персональных данных.
6.2 Получение Согласия
Всякий раз, когда обработка персональных данных основана на согласии Субъекта Данных или на других законных основаниях, мы сохраняем запись о таком согласии. Мы предоставим Субъектам Данных варианты предоставления согласия, а также информирования и обеспечения того, что их согласие может быть отозвано в любое время.
Когда мы запрашиваем исправление, изменение или уничтожение записей личных данных, мы гарантируем, что эти запросы обрабатываются в разумные сроки. Мы также будем записывать запросы и вести их журнал.
Персональные данные будут обрабатываться только для той цели, для которой они были первоначально собраны. В случае, если USHAS хочет обработать собранные персональные данные для другой цели, USHAS будет запрашивать согласие своих Субъектов Данных в четкой и краткой письменной форме. Любой такой запрос будет включать первоначальную цель, для которой были собраны данные, а также новую или дополнительную цель(цели). В запросе также будет указана причина изменения цели(целей).
В настоящее время и в будущем мы обеспечим соответствие методов сбора требованиям соответствующего законодательства, передовой практики и отраслевых стандартов.
7. Организация и Обязанности
Ответственность за обеспечение надлежащей обработки персональных данных лежит на каждом, кто работает в USHAS или с ним и имеет доступ к персональным данным, обрабатываемым USHAS.
Административное правление USHAS принимает решения и утверждает общие стратегии USHAS по защите персональных данных.
- Обеспечение соответствия всех систем, услуг и оборудования, используемых для хранения данных, приемлемым стандартам безопасности.
- Выполнение регулярных проверок и сканирований для обеспечения надлежащего функционирования аппаратного и программного обеспечения системы безопасности.
- Повышение осведомленности всех сотрудников о защите персональных данных пользователей.
- Организация обучения сотрудников, работающих с персональными данными, навыкам защиты персональных данных и повышения осведомленности.
- Комплексная защита персональных данных сотрудников. Он должен обеспечить обработку персональных данных работников на основе законных деловых целей и необходимости работодателя
- Передача ответственности за защиту персональных данных поставщикам и повышение уровня осведомленности поставщиков о защите персональных данных, а также передача требований к персональным данным любой третьей стороне, которую поставщик использует.
- Утверждение любых заявлений о защите данных, прилагаемых к сообщениям, таким как электронные письма и письма.
- Отвечая на любые запросы о защите данных от широкой общественности, журналистов или средств массовой информации, таких как газеты.
8. Реагирование на Инциденты Нарушения Персональных Данных
Когда USHAS узнает о предполагаемого или фактического нарушения персональных данных, необходимо провести внутреннее расследование и своевременно принять соответствующие меры по исправлению положения. Если существует какой-либо риск для прав и свобод Субъектов Данных, компания USHAS должна уведомить соответствующие органы по защите данных без неоправданной задержки и, когда это возможно, в течение 72 часов.
Когда нарушение или подозрение на нарушение персональных данных затрагивает персональные данные, которые обрабатываются USHAS в качестве Контролера Данных, выполняются следующие действия:
USHAS должен установить, следует ли сообщать о нарушении персональных данных в Надзорный Орган.
- Для того, чтобы установить риск для прав и свобод субъекта данных, затронутого нарушением, должна быть проведена внутренняя Оценка Воздействия На Защиту Данных в отношении деятельности по обработке, затронутой нарушением данных.
- Если нарушение персональных данных не может привести к риску для прав и свобод затронутых субъектов данных, уведомление не требуется. Тем не менее, нарушение данных должно быть зарегистрировано в Реестре Нарушений Данных.
- Надзорный орган должен быть уведомлен с неоправданной задержкой, но не позднее чем через 72 часа, если нарушение персональных данных может привести к риску для прав и свобод субъектов данных, затронутых нарушением персональных данных. Любые возможные причины задержки свыше 72 часов должны быть сообщены Надзорному Органу.
Уведомления в Надзорный Орган, которые будут включать следующее:
- Описание характера нарушения персональных данных.
- Категории затронутых персональных данных
- Ориентировочное количество затронутых субъектов данных
- Имя и контактные сведения Ответственного за Защиту Данных
- Последствия нарушений персональных данных
- Меры, принятые для устранения нарушения персональных данных
- Любая информация, относящаяся к нарушению данных
9. Аудит и Подотчетность
Административно-управленческий совет отвечает за аудит того, насколько эффективно данная Политика реализуется в компании USHAS.
Любой сотрудник, нарушающий настоящую Политику, подлежит дисциплинарному взысканию, а также может быть привлечен к гражданской или уголовной ответственности, если его или ее поведение нарушает законы или правила.
10. Коллизия Права
Настоящая Политика предназначена для соблюдения законов и правил по месту учреждения и в странах, в которых действует USHAS. В случае любого противоречия между настоящей Политикой и применимыми законами и правилами, последние имеют преимущественную силу.
11. Управление записями, ведущимися на основе этого документа
Административно-управленческий совет отвечает за хранение, обновление и проверку всех записей, хранящихся в USHAS
Технический директор USHAS несет общую ответственность за эту политику и за ежегодный пересмотр политики.