PERSÖNLICHE DATEN und PRIVATE PERSÖNLICHE DATEN SPEICHERUNGS- und VERWERTUNGSPOLITIK
1.EINFÜHRUNG
1.1 Zweck
Die Richtlinie zur Speicherung und Vernichtung personenbezogener Daten („Richtlinie“) wurde ausgearbeitet, um die Verfahren und Grundsätze in Bezug auf die von „Assoc. Dr. Andaç AYKAN“ („Institution“) durchgeführten Arbeiten und Transaktionen im Zusammenhang mit der Speicherung und Vernichtung festzulegen.
Die Institution hat die Verarbeitung personenbezogener Daten von Mitarbeitern, Bewerbern, Patienten, Lieferanten, Dienstleistern, Besuchern und anderen Dritten in Übereinstimmung mit der Verfassung der Republik Türkei, internationalen Konventionen, dem Gesetz Nr. 6698 über den Schutz personenbezogener Daten („Gesetz“) und anderen einschlägigen Rechtsvorschriften als vorrangig eingestuft und stellt sicher, dass die betreffenden Personen ihre Rechte effektiv nutzen. Die Arbeiten und Transaktionen im Zusammenhang mit der Speicherung und Vernichtung personenbezogener Daten werden in Übereinstimmung mit der von der Institution in dieser Richtung ausgearbeiteten Politik durchgeführt.
1.2 Anwendungsbereich
Personenbezogene Daten von Mitarbeitern der Institution, Bewerbern, Patienten, Lieferanten, Dienstleistern, Besuchern und anderen Dritten fallen in den Anwendungsbereich dieser Politik, und diese Politik wird in allen Aufzeichnungsumgebungen, in denen personenbezogene Daten, die der Institution gehören oder von ihr verwaltet werden, verarbeitet werden, und bei Tätigkeiten zur Verarbeitung personenbezogener Daten angewendet.
1.3 Abkürzungen und Definitionen
Empfängergruppe : Die Kategorie der natürlichen oder juristischen Person, an die der für die Datenverarbeitung Verantwortliche personenbezogene Daten übermittelt.
Ausdrückliche Zustimmung: Zustimmung zu einem bestimmten Thema, die auf Informationen beruht und mit freiem Willen ausgedrückt wird.
Anonymisierung : Personenbezogene Daten können unter keinen Umständen mit einer identifizierten oder identifizierbaren natürlichen Person in Verbindung gebracht werden, auch nicht durch Abgleich mit anderen Daten.
Angestellter: „Assoc. Prof. Dr. Andaç AYKAN“ Personal der Agentur.
Patient: Die Person, die von „Assoc. Dr. Andaç AYKAN“ gesundheitliche und medizinische Leistungen erhält.
Elektronische Umgebung: Umgebungen, in denen personenbezogene Daten mit elektronischen Geräten erstellt, gelesen, geändert und geschrieben werden können.
Nichtelektronische Medien : Alle schriftlichen, gedruckten, visuellen usw. Medien, die keine elektronischen Medien sind. andere Umgebungen.
Dienstanbieter : Eine natürliche oder juristische Person, die im Rahmen eines speziellen Vertrags mit der Datenschutzbehörde Dienstleistungen erbringt.
Kontaktperson : Natürliche Person, deren personenbezogene Daten verarbeitet werden.
Relevanter Nutzer : Personen, die personenbezogene Daten innerhalb der Organisation des für die Verarbeitung Verantwortlichen oder gemäß der vom für die Verarbeitung Verantwortlichen erhaltenen Genehmigung und Anweisung verarbeiten, mit Ausnahme der für die technische Speicherung, den Schutz und die Sicherung der Daten verantwortlichen Person oder Stelle.
Vernichtung: Löschung, Vernichtung oder Anonymisierung von personenbezogenen Daten.
Gesetz : Gesetz Nr. 6698 über den Schutz personenbezogener Daten.
Aufzeichnungsmedium : Jedes Medium, auf dem personenbezogene Daten ganz oder teilweise automatisch oder nicht automatisch verarbeitet werden, sofern es Teil eines Datenaufzeichnungssystems ist.
Personenbezogene Daten : Alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.
Bestandsaufnahme der Verarbeitung personenbezogener Daten : Verzeichnis, in dem die für die Datenverarbeitung Verantwortlichen die von ihnen durchgeführten Tätigkeiten zur Verarbeitung personenbezogener Daten in Abhängigkeit von ihren Geschäftsprozessen detailliert aufführen, indem sie sie mit den Zwecken und Rechtsgründen für die Verarbeitung personenbezogener Daten, der Datenkategorie, der Gruppe der übermittelten Empfänger und der Gruppe der betroffenen Personen in Verbindung bringen und die maximale Aufbewahrungsfrist für die Zwecke, für die personenbezogene Daten verarbeitet werden, die personenbezogenen Daten, die ins Ausland übermittelt werden sollen, und die Maßnahmen zur Datensicherheit erläutern.
Verarbeitung personenbezogener Daten : Alle Arten von Vorgängen, die mit personenbezogenen Daten durchgeführt werden, wie das Erheben, das Erfassen, das Speichern, das Aufbewahren, das Verändern, das Umgestalten, das Offenlegen, das Übermitteln, das Übernehmen, das Zugänglichmachen, das Klassifizieren oder das Verhindern der Nutzung personenbezogener Daten mit ganz oder teilweise automatisierten Mitteln oder mit nichtautomatisierten Mitteln, sofern sie Teil eines Datenerfassungssystems sind.
Personenbezogene Daten besonderer Art : Daten über Rasse, ethnische Herkunft, politische Meinungen, philosophische Überzeugungen, Religion, Sekte oder andere Glaubensrichtungen, Aussehen und Kleidung, Mitgliedschaft in Vereinen, Stiftungen oder Gewerkschaften, Gesundheit, Sexualleben, strafrechtliche Verurteilungen und Sicherheitsmaßnahmen sowie biometrische und genetische Daten.
Regelmäßige Vernichtung: Der Prozess der Löschung, Vernichtung oder Anonymisierung, der von Amts wegen in wiederkehrenden Abständen, die in der Richtlinie zur Speicherung und Vernichtung personenbezogener Daten festgelegt sind, durchgeführt wird, wenn alle im Gesetz festgelegten Bedingungen für die Verarbeitung personenbezogener Daten wegfallen.
Richtlinie : Richtlinie zur Aufbewahrung und Vernichtung personenbezogener Daten
Datenverarbeiter : Natürliche oder juristische Person, die personenbezogene Daten im Auftrag des für die Verarbeitung Verantwortlichen auf der Grundlage der vom für die Verarbeitung Verantwortlichen erteilten Genehmigung verarbeitet.
Datenerfassungssystem : Erfassungssystem, in dem personenbezogene Daten nach bestimmten Kriterien strukturiert und verarbeitet werden.
Data Controller : Die natürliche oder juristische Person, die die Zwecke und Mittel der Verarbeitung personenbezogener Daten bestimmt und für die Einrichtung und Verwaltung des Datenerfassungssystems verantwortlich ist.
Für die Verarbeitung Verantwortliche Registry Information System : Das vom Vorsitz eingerichtete und verwaltete Informationssystem, das über das Internet zugänglich ist und von den für die Verarbeitung Verantwortlichen für die Anmeldung beim Register und andere Transaktionen im Zusammenhang mit dem Register verwendet wird.
VERBIS : Registerinformationssystem für Datenkontrolleure
Verordnung : Verordnung über die Löschung, Vernichtung oder Anonymisierung personenbezogener Daten, veröffentlicht im Amtsblatt vom 28. Oktober 2017.
2. VERTEILUNG DER ZUSTÄNDIGKEITEN UND AUFGABEN
Alle Referate und Mitarbeiter des Organs unterstützen die verantwortlichen Referate aktiv bei der Ergreifung technischer und administrativer Maßnahmen zur Gewährleistung der Datensicherheit in allen Umgebungen, in denen personenbezogene Daten verarbeitet werden, um eine unrechtmäßige Verarbeitung personenbezogener Daten zu verhindern, einen unrechtmäßigen Zugriff auf personenbezogene Daten zu verhindern und sicherzustellen, dass personenbezogene Daten im Einklang mit dem Gesetz gespeichert werden, wobei die von den verantwortlichen Referaten im Rahmen der Politik ergriffenen technischen und administrativen Maßnahmen ordnungsgemäß umgesetzt werden und die Mitarbeiter der Referate geschult und sensibilisiert, überwacht und ständig kontrolliert werden. Die Verteilung der Titel, Referate und Stellenbeschreibungen der an der Speicherung und Vernichtung personenbezogener Daten beteiligten Personen ist in Tabelle 1 dargestellt.
Tabelle 1: Verteilung der Aufgaben für Lagerungs- und Entsorgungsprozesse
TITEL | AUFGABE |
Datenmanager | Verantwortlich für die Sicherstellung, dass die Mitarbeiter im Einklang mit der Richtlinie handeln. |
Datenverwalter | Er ist verantwortlich für die Vorbereitung, Entwicklung, Ausführung, Veröffentlichung und Aktualisierung der Richtlinie in den einschlägigen Medien sowie deren Löschung und Speicherung auf Beschluss der Agentur. |
Beauftragter für Datensicherheit | Verantwortlich für die Bereitstellung technischer Lösungen, die für die Umsetzung der Politik erforderlich sind. |
Andere Referate | Verantwortlich für die Durchführung der Politik im Einklang mit ihren Aufgaben und den in der internen Richtlinie festgelegten Aufgaben |
3. AUFZEICHNUNGSMEDIEN
Personenbezogene Daten werden von der Institution in Übereinstimmung mit den gesetzlichen Bestimmungen in den unten aufgeführten Umgebungen sicher gespeichert.
Tabelle 2: Persönliche Datenspeichermedien
Elektronische Medien Server (Domäne, Backup, E-Mail, Datenbank, Web, Dateifreigabe usw.) Software (Bürosoftware, Portal, EBYS, VERBIS.) Einrichtungen zur Informationssicherheit (Firewall, Intrusion Detection and Prevention, Logfile, Antivirus usw.) Personal Computer (Desktop, Laptop) Mobile Geräte (Telefon, Tablet, usw.) Optische Datenträger (CD, DVD, usw.) Wechselspeicher (USB, Speicherkarte, etc.) Drucker, Scanner, Fotokopierer | Nicht-elektronische Medien Papier Manuelle Datenerfassungssysteme (Fragebögen, Besuchertagebuch) Schriftliche, gedruckte und visuelle Medien |
4.ERLÄUTERUNGEN ZUR LAGERUNG UND ENTSORGUNG
Personenbezogene Daten von Mitarbeitern, Bewerbern, Patienten, Lieferanten, Besuchern und Mitarbeitern von Dritten, Institutionen oder Organisationen, mit denen die Institution als Dienstleister in Verbindung steht, werden gemäß den gesetzlichen Bestimmungen gespeichert und vernichtet. In diesem Zusammenhang werden nachstehend ausführliche Erläuterungen zur Speicherung bzw. Vernichtung gegeben.
4.1 Erklärungen zur Aufbewahrung
In Artikel 3 des Gesetzes wird der Begriff der Verarbeitung personenbezogener Daten definiert, in Artikel 4 heißt es, dass die verarbeiteten personenbezogenen Daten mit dem Zweck, für den sie verarbeitet werden, in Zusammenhang stehen, auf einen begrenzten Zeitraum beschränkt sein und in einem angemessenen Verhältnis dazu stehen müssen und dass sie für den Zeitraum aufbewahrt werden müssen, der in den einschlägigen Rechtsvorschriften vorgesehen oder für den Zweck, für den sie verarbeitet werden, erforderlich ist, und in den Artikeln 5 und 6 werden die Bedingungen für die Verarbeitung personenbezogener Daten aufgeführt. Dementsprechend werden personenbezogene Daten im Rahmen der Aktivitäten unserer Organisation für den Zeitraum gespeichert, der in den einschlägigen Rechtsvorschriften oder in Übereinstimmung mit unseren Verarbeitungszwecken vorgesehen ist.
4.1.1 Rechtliche Gründe für die Aufbewahrung
Die im Rahmen der Tätigkeit der Institution verarbeiteten personenbezogenen Daten werden für den in den einschlägigen Rechtsvorschriften vorgesehenen Zeitraum aufbewahrt. In diesem Zusammenhang sind personenbezogene Daten;
- Gesetz Nr. 6698 über den Schutz personenbezogener Daten,
- Gesetz Nr. 5651,
- Türkisches Obligationenrecht Nr. 6098,
- Türkisches Handelsgesetzbuch Nr. 4721,
- Gesetz Nr. 6563
- Verordnung über private Krankenversicherungen und damit zusammenhängende Rechtsvorschriften
- Verordnung über Patientenrechte und damit zusammenhängende Rechtsvorschriften
- Deontologische Regelungen,
- Gesetz Nr. 5510 über Sozialversicherung und allgemeine Krankenversicherung, Versicherungsrecht
- Gesetz Nr. 6331 über Gesundheit und Sicherheit am Arbeitsplatz,
- Gesetz Nr. 4982 über den Zugang zu Informationen,
- Gesetz Nr. 3071 über die Ausübung des Petitionsrechts,
- Arbeitsgesetz Nr. 4857,
- Gesetz Nr. 5434 über die Gesundheit der Rentner,
- Gesetz Nr. 2828 über soziale Dienstleistungen
- Verordnung über Sicherheits- und Gesundheitsschutzmaßnahmen in Arbeitsstätten und deren Anlagen,
- Verordnung über Archivdienste
- Sie werden für die im Rahmen anderer sekundärer Vorschriften, die gemäß diesen Gesetzen in Kraft sind, festgelegten Aufbewahrungsfristen aufbewahrt.
4.1.2 Aufbewahrungspflichtige Verarbeitungszwecke
Die Institution speichert die im Rahmen ihrer Tätigkeit verarbeiteten personenbezogenen Daten zu folgenden Zwecken.
- Leistungsfähigkeit des Gesundheitswesens
- Fakturierung
- Durchführung von Prozessen im Bereich der Humanressourcen.
- Sicherstellung der Unternehmenskommunikation.
- Sicherheit und Überwachung der Organisation,
- Zur Gewährleistung der Datensicherheit,
- Gewährleistung der physischen Sicherheit der Innenräume des Organs,
- Ausbildung des Personals,
- In der Lage zu sein, Arbeiten und Transaktionen auf der Grundlage von unterzeichneten Verträgen und Protokollen durchzuführen.
- Im Rahmen von VERBIS die Präferenzen und Bedürfnisse der Mitarbeiter, der für die Datenverarbeitung Verantwortlichen, der Kontaktpersonen, der Vertreter der für die Datenverarbeitung Verantwortlichen und der Datenverarbeiter zu ermitteln, die angebotenen Dienste entsprechend zu organisieren und gegebenenfalls zu aktualisieren.
- Sicherstellung der Erfüllung rechtlicher Verpflichtungen, wie sie durch gesetzliche Vorschriften gefordert oder vorgeschrieben sind.
- Kontaktaufnahme mit realen/juristischen Personen, die mit dem Organ in geschäftlicher Beziehung stehen.
- Zu Informationszwecken auf Konten in sozialen Medien
- Senden von SMS, elektronischen Nachrichten, Beantwortung von Fragen und Beschwerden im Rahmen der Gesundheitsdienste
- Finanzberatung, Rechtsberatung
- Die Beweislast als Beweismittel in zukünftigen Rechtsstreitigkeiten.
4.2 Gründe für die Vernichtung
Persönliche Daten;
- Änderung oder Abschaffung der einschlägigen Rechtsvorschriften, die die Grundlage für die Verarbeitung bilden,
- Wegfall des Zwecks der Verarbeitung oder Speicherung,
- In Fällen, in denen die Verarbeitung personenbezogener Daten nur auf der Grundlage einer ausdrücklichen Zustimmung erfolgt, kann die betroffene Person ihre ausdrückliche Zustimmung zurückziehen,
- Gemäß Artikel 11 des Gesetzes wird der Antrag der betroffenen Person auf Löschung und Vernichtung ihrer personenbezogenen Daten im Rahmen ihrer Rechte von der Behörde akzeptiert,
- Lehnt die Behörde den Antrag der betroffenen Person auf Löschung, Vernichtung oder Anonymisierung personenbezogener Daten ab, hält sie die Antwort für unzureichend oder antwortet sie nicht innerhalb der im Gesetz vorgesehenen Frist, so legt die betroffene Person Beschwerde bei der Datenschutzbehörde ein, und die Datenschutzbehörde genehmigt diesen Antrag,
- Personenbezogene Daten werden von der Behörde auf Antrag der betroffenen Person gelöscht, vernichtet oder von Amts wegen gelöscht, vernichtet oder anonymisiert, wenn die Höchstfrist für die Aufbewahrung personenbezogener Daten abgelaufen ist und keine Umstände vorliegen, die eine längere Aufbewahrung von personenbezogenen Daten rechtfertigen.
5. TECHNISCHE UND ADMINISTRATIVE MASSNAHMEN
Die Behörde ergreift technische und administrative Maßnahmen im Rahmen angemessener Maßnahmen, die vom Verwaltungsrat für besondere Kategorien personenbezogener Daten gemäß Artikel 12 des Gesetzes und Artikel 6 Absatz 4 des Gesetzes zur sicheren Aufbewahrung personenbezogener Daten, zur Verhinderung unrechtmäßiger Verarbeitung und zum Zugang und zur Vernichtung personenbezogener Daten in Übereinstimmung mit dem Gesetz festgelegt und bekannt gegeben werden.
5.1 Technische Maßnahmen
Die technischen Maßnahmen, die die Agentur im Zusammenhang mit den von ihr verarbeiteten personenbezogenen Daten ergreift, sind nachstehend aufgeführt:
- Durch Penetrationstests werden etwaige Risiken, Bedrohungen, Schwachstellen und Verwundbarkeiten für die Informationssysteme unserer Organisation aufgedeckt und die erforderlichen Maßnahmen ergriffen.
- Risiken und Bedrohungen, die sich auf die Kontinuität der Informationssysteme auswirken, werden durch Echtzeit-Analysen im Rahmen des Information Security Incident Management kontinuierlich überwacht.
- Es werden die erforderlichen Maßnahmen für die physische Sicherheit der Ausrüstung, Software und Daten der Informationssysteme des Organs getroffen.
- Um die Sicherheit der Informationssysteme gegen Bedrohungen aus der Umgebung zu gewährleisten, werden Hardware- (Zugangskontrollsystem, das nur befugtem Personal den Zugang zum Systemraum ermöglicht, Überwachungssystem rund um die Uhr, Gewährleistung der physischen Sicherheit der Edge-Switches, aus denen das lokale Netz besteht, Feuerlöschsystem, Klimaanlage, Schlüssel zu den physischen Umgebungen, in denen sich die Daten befinden (Archiv, Buchhaltung, Patientenakten usw.), sind nur für befugte Personen zugänglich usw.) und Software-Maßnahmen (Firewalls, Systeme zur Verhinderung von Angriffen, Antivirensoftware, System zur Verfolgung der Protokollierung, Netzzugangskontrolle, Systeme zur Verhinderung von Malware usw.) ergriffen.
- Es werden Risiken zur Verhinderung einer unrechtmäßigen Verarbeitung personenbezogener Daten ermittelt, technische Maßnahmen entsprechend diesen Risiken getroffen, technische Kontrollen der getroffenen Maßnahmen durchgeführt und regelmäßige IT-Unterstützung geleistet.
- Innerhalb des Organs werden Zugriffsverfahren festgelegt, und es werden Berichte und Analysen über den Zugang zu personenbezogenen Daten durchgeführt.
- Der Zugang zu den Speicherbereichen, die personenbezogene Daten enthalten, wird protokolliert, und unangemessene Zugriffe oder Zugriffsversuche werden unter Kontrolle gehalten.
- Die Institution ergreift die erforderlichen Maßnahmen, um sicherzustellen, dass die gelöschten personenbezogenen Daten für die betreffenden Benutzer unzugänglich und nicht wiederverwendbar sind.
- Für den Fall, dass personenbezogene Daten unrechtmäßig von Dritten erlangt werden, hat die Behörde ein geeignetes System und eine geeignete Infrastruktur eingerichtet, um die betroffene Person und den Verwaltungsrat zu benachrichtigen.
- Sicherheitsschwachstellen werden überwacht, geeignete Sicherheits-Patches installiert und die Informationssysteme auf dem neuesten Stand gehalten.
- In elektronischen Umgebungen, in denen personenbezogene Daten verarbeitet werden, werden sichere Passwörter verwendet.
- In elektronischen Umgebungen, in denen personenbezogene Daten verarbeitet werden, werden sichere Aufzeichnungssysteme (Logging) eingesetzt.
- Zur sicheren Aufbewahrung personenbezogener Daten werden Datensicherungsprogramme eingesetzt.
- Der Zugang zu personenbezogenen Daten, die auf elektronischen oder nicht elektronischen Datenträgern gespeichert sind, wird gemäß den Zugangsgrundsätzen eingeschränkt.
- Für besondere Kategorien personenbezogener Daten wurden die notwendigen Klarstellungen vorgenommen und, soweit gesetzlich vorgeschrieben, ausdrückliche Einwilligungen eingeholt.
- Für Mitarbeiter, die mit der Verarbeitung besonderer Kategorien personenbezogener Daten befasst sind, wurden Schulungen zum Thema Sicherheit besonderer Kategorien personenbezogener Daten durchgeführt, Vertraulichkeitsvereinbarungen getroffen und die Befugnisse der Nutzer, die auf die Daten zugreifen dürfen, festgelegt.
- Für die physischen Umgebungen, in denen besondere Kategorien personenbezogener Daten verarbeitet und gespeichert werden und/oder auf die zugegriffen wird, werden angemessene Sicherheitsmaßnahmen ergriffen, und ein unbefugtes Betreten und Verlassen wird durch Gewährleistung der physischen Sicherheit verhindert.
- Wenn sensible personenbezogene Daten per E-Mail übermittelt werden müssen, werden sie verschlüsselt über die Firmen-E-Mail-Adresse oder über ein KEP-Konto übertragen. Wenn sie über Medien wie tragbare Speicher, CDs oder DVDs übertragen werden müssen, werden sie mit kryptografischen Methoden verschlüsselt, und der kryptografische Schlüssel wird auf verschiedenen Medien gespeichert. Wenn die Übertragung zwischen Servern in verschiedenen physischen Umgebungen erfolgt, wird die Datenübertragung durch die Einrichtung eines VPN zwischen Servern oder durch die FTP-Methode durchgeführt. Wenn es notwendig ist, das Dokument auf Papier zu übermitteln, werden die notwendigen Vorkehrungen gegen Risiken wie Diebstahl, Verlust oder unbefugte Einsichtnahme in das Dokument getroffen, und das Dokument wird in einem „vertraulichen“ Format übermittelt.
5.2 Administrative Maßnahmen
Die Verwaltungsmaßnahmen, die die Agentur in Bezug auf die von ihr verarbeiteten personenbezogenen Daten ergreift, sind nachstehend aufgeführt:
- Es werden interne Schulungen durchgeführt, um die Qualität der Mitarbeiter zu verbessern, die unrechtmäßige Verarbeitung personenbezogener Daten zu verhindern, den unrechtmäßigen Zugang zu personenbezogenen Daten zu verhindern und den Schutz personenbezogener Daten zu gewährleisten.
- Mitarbeiter, die mit den von der Institution durchgeführten Tätigkeiten in Verbindung stehen, sowie Lieferanten usw., von denen Dienstleistungen bezogen werden. Vertraulichkeitsvereinbarungen werden von privaten und juristischen Personen unterzeichnet.
- Gegen Mitarbeiter, die sich nicht an die Sicherheitsrichtlinien und -verfahren halten, werden rechtliche Schritte eingeleitet.
- Die Disziplinarordnung der Richtlinie zum Schutz personenbezogener Daten wurde erstellt.
- Die interne Richtlinie der Richtlinie zum Schutz personenbezogener Daten wurde vorbereitet.
- Richtlinie zum Schutz personenbezogener Daten hat eine Cookie-Richtlinie erstellt.
- Das Gesetz zum Schutz personenbezogener Daten-Antragsformular ist vorbereitet.
- Bevor mit der Verarbeitung personenbezogener Daten begonnen wird, erfüllt die Behörde die Verpflichtung, die betroffenen Personen zu informieren, und holt die Zustimmung der betroffenen Personen ein, sofern dies gesetzlich vorgeschrieben ist.
- Erklärungs- und Zustimmungsformulare wurden vorbereitet.
- In der Praxis/im physischen Raum sind KVK-Informationen verfügbar.
- Die Personalverträge stehen im Einklang mit dem KVK.
- Es wurde ein Verzeichnis der Verarbeitung personenbezogener Daten erstellt.
- In regelmäßigen Abständen und stichprobenartig werden interne Audits durchgeführt.
- Für die Mitarbeiter werden Schulungen zur Informationssicherheit angeboten.
- Physische Umgebungen, die personenbezogene Daten enthalten, sind gegen externe Risiken (Feuer, Überschwemmung usw.) gesichert.
- Personenbezogene Daten werden so weit wie möglich minimiert.
- Es wurden Protokolle und Verfahren für die Sicherheit besonderer Kategorien personenbezogener Daten festgelegt und umgesetzt.
- Die im Rahmen des Pandemieprozesses erforderlichen Maßnahmen der Gesetz zum Schutz personenbezogener Datenwurden ergriffen und die notwendigen Aufklärungen und Informationen werden an unsere Patienten und Mitarbeiter weitergegeben.
6. TECHNIKEN ZUR VERNICHTUNG PERSONENBEZOGENER DATEN
Nach Ablauf des in den einschlägigen Rechtsvorschriften vorgesehenen Zeitraums oder nach Ablauf der für den Zweck, für den sie verarbeitet werden, erforderlichen Aufbewahrungsfrist werden personenbezogene Daten von der Behörde von Amts wegen oder auf Antrag der betroffenen Person gemäß den Bestimmungen der einschlägigen Rechtsvorschriften durch folgende Techniken vernichtet.
6.1 Löschung von personenbezogenen Daten
Personenbezogene Daten werden nach den in Tabelle 3 aufgeführten Methoden gelöscht.
Tabelle 3: Löschung von personenbezogenen Daten
Datenaufzeichnungsumgebung | Beschreibung |
Personenbezogene Daten auf Servern | Die Löschung der personenbezogenen Daten auf den Servern erfolgt durch den Systemadministrator, indem er den betreffenden Nutzern die Zugangsberechtigung für diejenigen Daten entzieht, deren Aufbewahrungsfrist abgelaufen ist. |
Personenbezogene Daten auf elektronischen Datenträgern | Die auf elektronischen Datenträgern gespeicherten personenbezogenen Daten, deren Aufbewahrungsfrist abgelaufen ist, werden für andere Mitarbeiter (relevante Nutzer) mit Ausnahme des Datenbankverwalters unzugänglich und in keiner Weise wiederverwendbar gemacht. |
Personenbezogene Daten in der physischen Umgebung | Die personenbezogenen Daten, die in der physischen Umgebung aufbewahrt werden, werden für andere Mitarbeiter unzugänglich und nicht wiederverwendbar gemacht, mit Ausnahme des für das Dokumentenarchiv zuständigen Referatsleiters, wenn die Aufbewahrungsfrist abgelaufen ist. Sie wird auch geschwärzt, indem sie so zerkratzt/gestrichen/gelöscht wird, dass sie nicht mehr lesbar ist. |
Personenbezogene Daten auf tragbaren Datenträgern | Die auf Flash-Speichermedien aufbewahrten personenbezogenen Daten und die Daten, deren Aufbewahrungsfrist abgelaufen ist, werden vom Systemadministrator verschlüsselt, wobei die Zugriffsberechtigung nur dem Systemadministrator erteilt wird, und in sicheren Umgebungen mit Verschlüsselungsschlüsseln gespeichert. |
6.2 Vernichtung von personenbezogenen Daten
Personenbezogene Daten werden von der Institution nach den in Tabelle 4 aufgeführten Methoden vernichtet.
Tabelle 4: Vernichtung von personenbezogenen Daten
Personenbezogene Daten in der physischen Umgebung | Diejenigen personenbezogenen Daten in Papierform, deren Aufbewahrungsfrist abgelaufen ist, werden unwiderruflich vernichtet. |
Personenbezogene Daten auf optischen/magnetischen Datenträgern | Personenbezogene Daten auf optischen und magnetischen Datenträgern werden physisch vernichtet, z. B. durch Einschmelzen, Verbrennung oder Pulverisierung von personenbezogenen Daten, die nach Ablauf der Aufbewahrungsfrist ablaufen. Außerdem werden die magnetischen Datenträger durch ein spezielles Gerät geführt und einem starken Magnetfeld ausgesetzt, um die darauf befindlichen Daten unlesbar zu machen. |
6.3 Anonymisierung von personenbezogenen Daten
Anonymisierung personenbezogener Daten bedeutet, dass personenbezogene Daten unter keinen Umständen mit einer bestimmten oder bestimmbaren natürlichen Person in Verbindung gebracht werden können, selbst wenn die personenbezogenen Daten mit anderen Daten abgeglichen werden.
Damit personenbezogene Daten anonymisiert werden können, müssen sie einer bestimmten oder bestimmbaren natürlichen Person nicht mehr zugeordnet werden können, auch nicht durch den Einsatz von Techniken, die für das Aufzeichnungsmedium und den jeweiligen Tätigkeitsbereich geeignet sind, wie z. B. die Rückgängigmachung personenbezogener Daten durch den für die Verarbeitung Verantwortlichen oder Dritte und/oder den Abgleich mit anderen Daten.
7. AUFBEWAHRUNGS- UND VERNICHTUNGSFRISTEN
In Bezug auf die personenbezogenen Daten, die von der Institution im Rahmen ihrer Tätigkeit verarbeitet werden;
- Aufbewahrungsfristen auf der Grundlage personenbezogener Daten beziehen sich auf alle personenbezogenen Daten im Rahmen der durchgeführten Tätigkeiten in Abhängigkeit von den Prozessen im Verzeichnis der personenbezogenen Datenverarbeitung;
- Die Aufbewahrungsfristen für die einzelnen Datenkategorien werden in VERBIS erfasst;
- Prozessbasierte Aufbewahrungsfristen sind in der Richtlinie zur Aufbewahrung und Vernichtung personenbezogener Daten enthalten.
Zu diesen Aufbewahrungsfristen, falls erforderlich Die Aktualisierung von erfolgt durch den Administrator der Einrichtung. Die Löschung, Vernichtung oder Anonymisierung personenbezogener Daten, deren Aufbewahrungsfrist abgelaufen ist, erfolgt von Amts wegen durch den Datenschutzbeauftragten.
Tabelle 5: Tabelle der Lager- und Entsorgungszeiten nach Verfahren
Vorbereitung und Ausführung von Verträgen 10 Jahre nach Ablauf des Vertrags Bei der ersten periodischen Vernichtung nach Ablauf der Aufbewahrungsfrist
Durchführung von Aktivitäten der Unternehmenskommunikation 10 Jahre nach Beendigung der Aktivität In der ersten periodischen Vernichtungsperiode nach Ende der Aufbewahrungsfrist
PROZESS | LAGERZEIT | ENTSORGUNGSZEIT |
Durchführung der Patientenregistrierung sowie der Diagnose- und Behandlungsprozesse | 20 Jahre nach Abschluss des Prozesses | Bei der ersten periodischen Vernichtung nach dem Ende der Aufbewahrungsfrist |
Durchführung von Dienstleistungen (Kommunikation usw.) mit Ausnahme von institutionellen Behandlungsverfahren Ausarbeitung von Verträgen | 10 Jahre nach Abschluss des Prozesses10 Jahre nach Abschluss des Prozesses | Bei der ersten periodischen Vernichtung nach Ende der LagerzeitBei der ersten periodischen Vernichtung nach Ende der Lagerzeit |
Rechnungslegungs-Prozesse | 10 Jahre nach Beendigung des Prozesses | Bei der ersten periodischen Vernichtung nach dem Ende der Aufbewahrungsfrist |
Durchführung von Personalprozessen Abfindungen, Kündigungszahlungen, Dokumente, Gehaltsabrechnungsdaten des ausscheidenden Personals | 10 Jahre nach Abschluss des Vorgangs5 Jahre nach Beendigung des Arbeitsverhältnisses | Bei der ersten periodischen Vernichtung nach Ende der AufbewahrungsfristBei der ersten periodischen Vernichtung nach Ende der Aufbewahrungsfrist |
Log Recording Tracking SystemsAusführung von Hardware- und Software-ZugriffsprozessenKameraaufzeichnungenDaten über Kunden und potenzielle Kunden (Cookies, Cookies)IYS-Aufzeichnungen | 2 Jahre nach Abschluss des Verfahrens2 Jahre1 Monat nach Abschluss des Verfahrens13 MonateFür 3 Jahre ab dem Datum der Registrierung | In der ersten periodischen Vernichtungsperiode nach Ende der LagerzeitIn der ersten periodischen Vernichtungsperiode nach Ende der LagerzeitIn der ersten periodischen Vernichtungsperiode nach Ende der LagerzeitIn der ersten periodischen Vernichtungsperiode nach Ende der LagerzeitIn der ersten periodischen Vernichtungsperiode nach Ende der Lagerzeit |
- PERIODISCHE VERNICHTUNGSFRIST
Gemäß Artikel 11 der Verordnung hat die Agentur die Frist für die regelmäßige Vernichtung auf 6 Monate festgelegt. Daher führt die Agentur jedes Jahr im Juni und Dezember eine regelmäßige Vernichtung durch.
9. DIE VERARBEITUNG BESONDERER KATEGORIEN VON PERSONENBEZOGENEN DATEN
9.1 Besonders sensibel ist die Verarbeitung von personenbezogenen Daten besonderer Art, die in verschiedener Hinsicht als kritischer für den Dateninhaber angesehen werden.
Besondere Kategorien personenbezogener Daten werden in Übereinstimmung mit dem Gesetz verarbeitet, sofern angemessene, vom Verwaltungsrat festzulegende Maßnahmen getroffen werden und die folgenden Bedingungen erfüllt sind:
- Wenn der Dateneigentümer ausdrücklich zugestimmt hat oder
- Wenn keine ausdrückliche Zustimmung des Dateninhabers vorliegt; Sensible personenbezogene Daten, die sich nicht auf die Gesundheit und das Sexualleben des Dateninhabers beziehen, werden von Personen oder befugten Einrichtungen und Organisationen, die der Geheimhaltungspflicht unterliegen, für die Zwecke des Schutzes der öffentlichen Gesundheit, der Präventivmedizin, der medizinischen Diagnose, der Behandlung und der Pflegedienste, der Planung und Verwaltung von Gesundheitsdiensten und der Finanzierung, in den gesetzlich vorgesehenen Fällen, verarbeitet.
MASSNAHMEN IN BEZUG AUF DIE VERARBEITUNG BESONDERER KATEGORIEN VON PERSONENBEZOGENEN DATEN
6. Gemäß dem Beschluss des Verwaltungsrats vom 31.01.2018 mit der Nummer 2018/10 werden in der Eigenschaft als für die Datenverarbeitung Verantwortlicher bei der Verarbeitung besonderer Kategorien personenbezogener Daten die folgenden Maßnahmen getroffen:
Diese Politik, die systematisch, klar definiert, überschaubar und nachhaltig ist, wurde für die Sicherheit besonderer Kategorien personenbezogener Daten festgelegt. Für Mitarbeiter, die mit der Verarbeitung sensibler personenbezogener Daten befasst sind,
- Es werden Vertraulichkeitsvereinbarungen getroffen,
- Der Umfang und die Dauer der Berechtigung von Nutzern, die zum Zugriff auf Daten berechtigt sind, sind klar definiert,
- Regelmäßige Zulassungsprüfungen werden durchgeführt.
- Es wurden Protokolle und Verfahren für die Sicherheit besonderer Kategorien personenbezogener Daten festgelegt und umgesetzt.
- Mitarbeiter, die versetzt werden oder ihren Arbeitsplatz verlassen, werden in diesem Bereich sofort entmündigt. In diesem Zusammenhang gibt sie den ihr vom Data Controller zugewiesenen Bestand zurück.
- Wenn die Umgebungen, in denen sensible personenbezogene Daten verarbeitet, gespeichert und/oder auf sie zugegriffen wird, physische Umgebungen sind;
- * Angemessene Sicherheitsmaßnahmen (gegen Stromausfall, Feuer, Überschwemmung, Diebstahl usw.) werden entsprechend der Art der Umgebung, in der sich die sensiblen personenbezogenen Daten befinden, getroffen,
- * Unbefugter Zugang wird durch die Gewährleistung der physischen Sicherheit dieser Umgebungen verhindert.
10. ÜBERMITTLUNG BESONDERER KATEGORIEN VON PERSONENBEZOGENEN DATEN
Die sensiblen personenbezogenen Daten, die in Übereinstimmung mit dem Gesetz und dem Zweck der Datenverarbeitung erhoben werden, werden nicht an Dritte weitergegeben.
- VERÖFFENTLICHUNG UND SPEICHERUNG DER POLITIK
Die Politik wird in zwei verschiedenen Medien veröffentlicht, in gedruckter Form und in elektronischen Medien, und der Öffentlichkeit auf der Website zugänglich gemacht. Der Ausdruck wird ebenfalls vom Datenverwalter aufbewahrt.
12. ZEITRAUM FÜR DIE AKTUALISIERUNG DER POLITIK
Die Richtlinie wird bei Bedarf überprüft und die erforderlichen Abschnitte werden aktualisiert.
13. DURCHSETZUNG UND AUFHEBUNG DER POLITIK
Die Police gilt als an dem nachstehend angegebenen Datum in Kraft getreten. Wird die Abschaffung beschlossen, werden die alten, nass unterschriebenen Exemplare der Richtlinie durch die vom Datenverwalter zu treffende Entscheidung für ungültig erklärt und vom Datenverwalter unterschrieben (durch Stempeln oder schriftliche Annullierung) und mindestens 5 Jahre lang aufbewahrt. 10.09.2022