Der Datenverantwortliche HairNeva Gesundheitsdienste misst dem Schutz personenbezogener Daten seiner Patienten, Mitarbeiter und aller natürlichen Personen, mit denen eine Geschäftsbeziehung besteht, höchste Bedeutung bei. Dies geschieht im Rahmen der Prinzipien höchster Dienstleistungsqualität, Respekt vor den Rechten des Einzelnen, Transparenz und Ehrlichkeit, entsprechend den Bestimmungen des türkischen Gesetzes zum Schutz personenbezogener Daten.

Der Schutz der Privatsphäre der Patienten sowie die sorgfältige und sichere Verarbeitung aller sie betreffenden personenbezogenen Daten haben für unser Unternehmen höchste Priorität. Diese Richtlinie wurde erstellt, um nicht nur die Daten unserer Patienten, sondern auch die Daten ihrer Begleitpersonen, Besucher sowie der Mitarbeiter von Partnerinstitutionen zu schützen und gemäß den gesetzlichen Grundprinzipien zu verarbeiten.

Zweck dieser Richtlinie

Ziel dieser Richtlinie ist es, Transparenz zu gewährleisten, indem alle betroffenen Personen — insbesondere Patienten, Begleitpersonen, Besucher, Mitarbeiter, Unternehmensvertreter sowie Mitarbeiter und Beauftragte der mit uns kooperierenden Organisationen — über die Verarbeitung ihrer personenbezogenen Daten informiert werden.

Im Rahmen des türkischen Gesetzes Nr. 6698 zum Schutz personenbezogener Daten sowie der einschlägigen Vorschriften werden alle notwendigen technischen und organisatorischen Maßnahmen getroffen, um den Schutz der personenbezogenen Daten zu gewährleisten.

Die betroffenen natürlichen Personen, deren Daten im Rahmen dieser Richtlinie verarbeitet werden, werden als betroffene Person, Dateninhaber oder Datensubjekt bezeichnet.

 

Begriffsbestimmungen

Ausdrückliche Einwilligung: Zustimmung, die sich auf einen bestimmten Sachverhalt bezieht, auf Information basiert und freiwillig erteilt wird.

Anonymisierung: Veränderung personenbezogener Daten in einer Weise, dass die betroffene Person nicht mehr identifiziert werden kann und dieser Zustand nicht rückgängig gemacht werden kann. Dies kann beispielsweise durch Datenmaskierung, Aggregation oder Manipulation erfolgen.

Unsere Klinik ergreift alle erforderlichen Maßnahmen, um sicherzustellen, dass anonymisierte Daten nicht mit einer Person in Verbindung gebracht werden können.

Mitarbeiter, Aktionäre und Vertreter von Partnerinstitutionen: Natürliche Personen, die in Organisationen tätig sind, mit denen wir eine Geschäftsbeziehung unterhalten (z. B. Geschäftspartner, Lieferanten), einschließlich deren Anteilseigner und Vertreter.

Verarbeitung personenbezogener Daten: Jeder Vorgang, der mit personenbezogenen Daten durchgeführt wird – ob automatisiert oder manuell –, wie das Erheben, Erfassen, Speichern, Aufbewahren, Ändern, Offenlegen, Übermitteln, Klassifizieren oder Sperren der Daten.

Personenbezogene Daten: Alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen, wie z. B. Name, Nachname, E-Mail-Adresse, Telefonnummer, Wohnadresse, Geburtsdatum oder Bankkontonummer.

Besonders schützenswerte personenbezogene Daten: Daten, die die ethnische Herkunft, politische Meinungen, philosophische oder religiöse Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheitsdaten, Sexualleben, strafrechtliche Verurteilungen, biometrische oder genetische Merkmale betreffen.

Dritte Personen: Natürliche Personen, die mit den oben genannten Parteien in Verbindung stehen, um die Sicherheit von Geschäftsprozessen zu gewährleisten oder Rechte und Interessen zu schützen (z. B. Mitarbeiter von Dienstleistungsunternehmen, Begleitpersonen).

Auftragsverarbeiter: Jede natürliche oder juristische Person, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet (z. B. IT-Unternehmen, die unsere Daten speichern).

Verantwortlicher für die Datenverarbeitung: Die Person oder Organisation, die über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet und das entsprechende Datensystem verwaltet.

Unsere Klinik handelt in der Rolle des Datenverantwortlichen und ist im offiziellen Datenregistersystem (VERBIS) registriert.

Ein internes Team für den Schutz personenbezogener Daten wurde eingerichtet. In Fällen, in denen Entscheidungen getroffen werden müssen, holt dieses Team die Meinung eines auf Datenschutz spezialisierten Juristen oder Anwalts ein, bevor die Entscheidung mit Zustimmung der Geschäftsleitung umgesetzt wird.

Erhebung und Verarbeitung personenbezogener Daten

Die Art der verarbeiteten personenbezogenen Daten hängt von den erbrachten Gesundheitsdienstleistungen ab und wird sowohl auf physischem als auch digitalem Weg erhoben.

Dazu gehören Daten, die von Patienten, Ärzten, medizinischem Personal, Subunternehmern und deren Mitarbeitern sowie von Unternehmen, mit denen wir geschäftlich zusammenarbeiten, über Callcenter, Website, Online-Dienste oder mündlich, schriftlich oder elektronisch übermittelt werden.

Diese personenbezogenen Daten, einschließlich besonderer Kategorien von Daten (z. B. Gesundheitsdaten), können zu folgenden Zwecken erhoben und verarbeitet werden:

  • Durchführung von medizinischer Diagnose, Behandlung und Pflege,
    • Schutz der öffentlichen Gesundheit,
    • Planung und Verwaltung von Präventions- und Finanzierungsleistungen im Gesundheitswesen,
    • Information der Patienten über ihre Termine,
    • Planung und Organisation interner Abläufe,
    • Durchführung von Analysen zur Verbesserung und rechtmäßigen Erbringung von Gesundheitsleistungen,
    • Umsetzung von Risikomanagement- und Qualitätsverbesserungsmaßnahmen,
    • Durchführung wissenschaftlicher oder medizinischer Forschung,
    • Erfüllung gesetzlicher und regulatorischer Anforderungen,
    • Erstellung von Rechnungen für erbrachte Leistungen,
    • Überprüfung der Identität der Patienten,
    • Bestätigung der Beziehung zu vertraglich verbundenen Institutionen,
    • Weitergabe von Informationen an private Versicherungsgesellschaften im Rahmen der Gesundheitsfinanzierung,
    • Beantwortung von Fragen und Beschwerden im Zusammenhang mit unseren Gesundheitsdienstleistungen,
    • Umsetzung aller erforderlichen technischen und organisatorischen Maßnahmen zur Datensicherheit,
    • Finanzielle Abstimmung der angebotenen Gesundheitsleistungen mit Partnerinstitutionen, Banken und anderen öffentlichen oder privaten Kostenträgern,
    • Weitergabe gesetzlich verlangter Informationen an das Gesundheitsministerium und andere öffentliche Institutionen,
    • Messung und Verbesserung der Patientenzufriedenheit,
    • Erfüllung vertraglicher und gesetzlicher Verpflichtungen.

 

Kategorisierung der verarbeiteten personenbezogenen Daten

Identitätsdaten: Alle Informationen, die eine Person identifizieren, wie z. B. Angaben in Personalausweis, Reisepass, Führerschein, Anwaltsausweis oder Heiratsurkunde.

Kontaktdaten: Informationen, die zur Kontaktaufnahme mit der betroffenen Person dienen, wie Telefonnummer, Adresse, Wohnsitz, E-Mail-Adresse.

Standortdaten: Daten, die sich eindeutig auf eine identifizierte oder identifizierbare Person beziehen und deren Standort innerhalb eines Datenerfassungssystems bestimmen.

Angaben zu Familienangehörigen und nahestehenden Personen: Daten über Familienmitglieder oder nahe Angehörige der betroffenen Person, die zur Wahrung der rechtlichen Interessen der betroffenen Person oder der betreffenden Institution verarbeitet werden.

Physische Umgebung: Personenbezogene Daten in Form von visuellen oder akustischen Aufzeichnungen, wie z. B. Videoüberwachung, Kameraaufnahmen, Fingerabdruckdaten oder sonstige Sicherheitsaufzeichnungen.

Daten zur Betriebssicherheit: Personenbezogene Daten, die verarbeitet werden, um die technische, administrative, rechtliche und kommerzielle Sicherheit unserer Tätigkeiten zu gewährleisten.

Finanzdaten: Personenbezogene Daten, die finanzielle Ergebnisse, Dokumente und Aufzeichnungen betreffen, wie etwa Bankdaten oder Zahlungsinformationen.

Bewerberdaten: Personenbezogene Daten über Personen, die sich auf eine Beschäftigung beworben haben (Lebenslauf, beruflicher Werdegang, Referenzen usw.).

Personaldaten: Daten über Gehaltsabrechnungen, Disziplinarverfahren, Sozialversicherungsinformationen, Einstellungs- und Kündigungsunterlagen, Vermögenserklärungen, Leistungsbeurteilungen, Bewerbungsergebnisse, Arbeitsverträge sowie Beschäftigungsbeginn und -ende.

Daten zu rechtlichen Vorgängen: Personenbezogene Daten, die im Rahmen der Geltendmachung, Ausübung oder Verteidigung rechtlicher Ansprüche sowie zur Erfüllung gesetzlicher Verpflichtungen verarbeitet werden.

 

Rechtliche Grundlage der Datenverarbeitung

Die oben genannten personenbezogenen Daten können gemäß dem Gesetz Nr. 3359 über die Grundprinzipien der Gesundheitsdienste, dem Gesetzesdekret Nr. 663 über die Organisation und Aufgaben des türkischen Gesundheitsministeriums und seiner verbundenen Institutionen, der Verordnung über private Krankenhäuser, der Verordnung über persönliche Gesundheitsdaten sowie anderer einschlägiger Rechtsvorschriften verarbeitet und in die physischen Archive oder IT-Systeme unserer Klinik und/oder unserer Dienstleister übertragen werden.

Unser Unternehmen verpflichtet sich, personenbezogene Daten nach den folgenden Grundsätzen zu verarbeiten:

  • Rechtmäßigkeit und Verarbeitung nach Treu und Glauben,
  • Sicherstellung der Richtigkeit und Aktualität der Daten,
  • Verarbeitung für festgelegte, eindeutige und legitime Zwecke,
  • Datenminimierung – Verarbeitung nur im notwendigen Umfang,
  • Speicherung nur so lange, wie es gesetzlich vorgeschrieben oder für den Verarbeitungszweck erforderlich ist.

 

Die ausdrückliche Einwilligung der betroffenen Person ist nur eine von mehreren möglichen Rechtsgrundlagen für die rechtmäßige Verarbeitung personenbezogener Daten.

Neben der Einwilligung dürfen personenbezogene Daten auch verarbeitet werden, wenn mindestens eine der folgenden Bedingungen erfüllt ist:

  • Vorliegen der ausdrücklichen Einwilligung der betroffenen Person,
  • Gesetzliche Verpflichtung oder ausdrückliche gesetzliche Erlaubnis,
  • Unmöglichkeit, die Einwilligung aufgrund tatsächlicher Umstände einzuholen,
  • Verarbeitung, die unmittelbar mit der Erfüllung oder dem Abschluss eines Vertrags zusammenhängt,
  • Erfüllung gesetzlicher Pflichten des Unternehmens,
  • Wenn die betroffene Person ihre personenbezogenen Daten öffentlich zugänglich gemacht hat,
  • Wenn die Verarbeitung zur Begründung, Ausübung oder Verteidigung eines Rechtsanspruchs erforderlich ist,
  • Wenn die Verarbeitung zur Wahrung berechtigter Interessen des Unternehmens erforderlich ist,

wobei diese berechtigten Interessen niemals den Grundsätzen und Zwecken der gesetzlichen Vorschriften widersprechen oder in den durch die Verfassung garantierten Wesensgehalt der Grundrechte eingreifen dürfen.

Verarbeitung besonderer Kategorien personenbezogener Daten

Besonders schützenswerte personenbezogene Daten werden von unserem Unternehmen nur unter Einhaltung der vom türkischen Rat für den Schutz personenbezogener Daten festgelegten Sicherheitsmaßnahmen und in den folgenden Fällen verarbeitet:

  • Wenn die betroffene Person ihre ausdrückliche Einwilligung erteilt hat, oder
  • Wenn keine Einwilligung vorliegt, dürfen personenbezogene Daten, die nicht die Gesundheit oder das Sexualleben betreffen, in den gesetzlich vorgesehenen Fällen verarbeitet werden,
  • Daten über die Gesundheit oder das Sexualleben der betroffenen Person dürfen ausschließlich zum Zweck des Schutzes der öffentlichen Gesundheit, der Prävention, Diagnose, Behandlung und Pflege oder zur Planung und Verwaltung der Finanzierung von Gesundheitsdiensten verarbeitet werden – und nur durch Personen, die einer gesetzlichen Schweigepflicht unterliegen, oder durch hierzu autorisierte Institutionen und Behörden.

 

Technische und organisatorische Maßnahmen

Unser Unternehmen ergreift gemäß Artikel 12 des türkischen Gesetzes Nr. 6698 zum Schutz personenbezogener Daten, den einschlägigen Verordnungen, den allgemeinen Grundsätzen sowie den Entscheidungen des türkischen Datenschutzrates (Kişisel Verileri Koruma Kurulu) alle notwendigen technischen und administrativen Maßnahmen unter Berücksichtigung des technologischen Stands und der Implementierungskosten.

 

Dazu gehören insbesondere:

 

  • Die erforderliche Software- und Hardware-Infrastruktur wurde festgelegt. Auf Computern und E-Mail-Konten werden starke Passwörter verwendet.
  • Der Schutz von Kundendaten wurde den Mitarbeitern durch Schulungen vermittelt, und ihre Verpflichtungen wurden in schriftlichen Arbeitsverträgen und Vertraulichkeitsvereinbarungen festgehalten. Diese Verpflichtungen gelten auch nach Beendigung des Arbeitsverhältnisses fort.
  • Eine geeignete Datensicherungsinfrastruktur wurde eingerichtet.
  • Die Mitarbeiter, die Zugriff auf die Daten haben, sind klar definiert und autorisiert.
  • Patientenakten und Informationen werden ausschließlich der betroffenen Person selbst, von ihr schriftlich bevollmächtigten Angehörigen, zuständigen öffentlichen Behörden oder Justizorganen in rechtlich vorgesehenen Fällen zur Verfügung gestellt.
  • Vor Beginn jeder Verarbeitung personenbezogener Daten wird die betroffene Person im Rahmen der gesetzlichen Informationspflicht ordnungsgemäß aufgeklärt.
  • Ein Verzeichnis der Verarbeitungstätigkeiten wurde erstellt.
  • Durch Informationsdokumente, die in der Klinik ausgehängt oder auf andere Weise zugänglich gemacht werden, werden Besucher und betroffene Personen umfassend über den Datenschutz informiert.

Weitergabe personenbezogener Daten

Ihre personenbezogenen Daten können gemäß den Artikeln 8 und 9 des türkischen Datenschutzgesetzes Nr. 6698 und im Einklang mit den gesetzlichen Grundprinzipien an folgende Institutionen und Organisationen weitergegeben werden:

 

  • das türkische Gesundheitsministerium, dessen verbundene Einheiten und Familiengesundheitszentren,
  • private Versicherungsgesellschaften (z. B. Kranken-, Renten- und Lebensversicherungen),
  • die Sozialversicherungsanstalt (SGK),
  • die General­direktion der Polizei und andere Sicherheitsbehörden,
  • die Zentralverwaltung für Personenstand (Nüfus Müdürlüğü),
  • die Türkische Apothekervereinigung,
  • Staatsanwaltschaften und Gerichte,
  • Labore, medizinische Zentren und Gesundheitsdienstleister im In- oder Ausland, mit denen wir bei der medizinischen Diagnostik zusammenarbeiten,
  • die Gesundheitseinrichtung, an die der Patient überwiesen wurde oder bei der er sich selbst gemeldet hat,
  • autorisierte Vertreter des Patienten,
  • Berater und externe Rechtsdienstleister,
  • Regulierungs- und Aufsichtsbehörden sowie staatliche Stellen,
  • Dienstleister und Vertragspartner, von denen wir Leistungen beziehen oder mit denen wir kooperieren.

Die personenbezogenen Daten werden nicht in Drittländer außerhalb der Türkei übermittelt.

 

Rechte der betroffenen Person

Im Rahmen des türkischen Datenschutzgesetzes hat jede betroffene Person das Recht,

  • zu erfahren, ob personenbezogene Daten verarbeitet werden,
  • Auskunft über den Umfang und Zweck der Verarbeitung zu verlangen,
  • Zugang zu ihren Gesundheitsdaten zu erhalten und deren Kopie zu fordern,
  • zu erfahren, ob die Daten entsprechend dem angegebenen Zweck verwendet werden,
  • zu erfahren, an welche Dritten die Daten übermittelt wurden,
  • die Berichtigung unrichtiger oder unvollständiger Daten zu verlangen,
  • die Löschung oder Vernichtung personenbezogener Daten zu beantragen,
  • zu verlangen, dass Dritte über vorgenommene Korrekturen informiert werden,
  • gegen automatisierte Entscheidungen Einspruch zu erheben, wenn diese für sie nachteilige Ergebnisse haben,
  • und bei unrechtmäßiger Verarbeitung Schadensersatz zu verlangen.

Diese Rechte können durch einen schriftlichen Antrag an unser Unternehmen ausgeübt werden.

 

Videoüberwachung und Zutrittskontrolle

Unser Unternehmen verarbeitet personenbezogene Daten auch durch den Einsatz von Sicherheitskameras und die Erfassung von Bildaufnahmen bei Besucher­ein- und -ausgängen.

Diese Tätigkeiten erfolgen im Einklang mit dem türkischen Datenschutzgesetz sowie den geltenden Sicherheitsvorschriften.

Der Zugriff auf die in digitaler Form gespeicherten Aufzeichnungen ist ausschließlich autorisierten Mitarbeitern und/oder autorisierten Dienstleistern gestattet.

Die Kameraaufzeichnungen werden für einen Zeitraum von zwei Monaten aufbewahrt und anschließend gelöscht.

 

Inkrafttreten der Richtlinie

Diese Datenschutzrichtlinie gilt als in Kraft getreten, sobald sie auf der Website unserer Klinik veröffentlicht wurde.