Der Datenverantwortliche HairNeva Gesundheitsdienste speichert und vernichtet personenbezogene Daten in Übereinstimmung mit der Verfassung, dem Gesetz Nr. 6698 zum Schutz personenbezogener Daten, der Verordnung über die Löschung, Vernichtung oder Anonymisierung personenbezogener Daten sowie anderen einschlägigen Rechtsvorschriften. Diese Vorgänge erfolgen gemäß den allgemeinen Grundsätzen und Bestimmungen, die in dieser Richtlinie zur Aufbewahrung und Löschung personenbezogener Daten festgelegt sind.
Mit dieser Richtlinie bezweckt das Unternehmen, die allgemeinen Grundsätze und Verfahren für die Aufbewahrung und Vernichtung personenbezogener Daten natürlicher Personen festzulegen, die im Rahmen der Datenverarbeitungstätigkeiten gemäß dem KVKK verarbeitet werden, sowie die Erfüllung der gesetzlich festgelegten Verpflichtungen sicherzustellen.
Begriffsbestimmungen
Einwilligung:
Eine auf Information beruhende und freiwillig erteilte Zustimmung in Bezug auf ein bestimmtes Thema.
Empfängerkategorie:
Die Kategorie der natürlichen oder juristischen Personen, an die personenbezogene Daten vom Datenverantwortlichen übermittelt werden.
Anonymisierung:
Der Prozess, personenbezogene Daten so zu verändern, dass sie in keiner Weise mit einer bestimmten oder bestimmbaren natürlichen Person in Verbindung gebracht werden können, auch nicht durch Abgleich mit anderen Daten.
Berechtigter Nutzer:
Personen innerhalb der Organisation des Datenverantwortlichen, die auf Grundlage von Befugnissen und Anweisungen personenbezogene Daten verarbeiten, ausgenommen diejenigen, die für die technische Speicherung, den Schutz und die Datensicherung verantwortlich sind.
Vernichtung:
Das Löschen, Zerstören oder Anonymisieren personenbezogener Daten.
Personenbezogene Daten:
Alle Informationen über eine identifizierte oder identifizierbare natürliche Person (z. B. Name, Nachname, Identifikationsnummer, E-Mail-Adresse, Wohnanschrift, Geburtsdatum, Kreditkartennummer, Bankkontonummer usw.).
Betroffene Person:
Die natürliche Person, deren personenbezogene Daten verarbeitet werden.
Verarbeitung personenbezogener Daten:
Jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang im Zusammenhang mit personenbezogenen Daten, wie das Erheben, Aufzeichnen, Speichern, Aufbewahren, Ändern, Offenlegen, Übermitteln, Zugänglichmachen, Klassifizieren oder das Verhindern ihrer Nutzung.
Besondere Kategorien personenbezogener Daten:
Daten über Rasse, ethnische Herkunft, politische Meinungen, philosophische Überzeugungen, Religion, Konfession oder andere Überzeugungen, Kleidung, Mitgliedschaft in Vereinen, Stiftungen oder Gewerkschaften, Gesundheitsdaten, Sexualleben, strafrechtliche Verurteilungen und Sicherheitsmaßnahmen sowie biometrische und genetische Daten.
Periodische Vernichtung:
Das Löschen, Zerstören oder Anonymisieren personenbezogener Daten, die gemäß dem KVKK nicht mehr erforderlich sind, in den in dieser Richtlinie festgelegten wiederkehrenden Zeitabständen.
AUFZEICHNUNGSMEDIEN, DIE DURCH DIE RICHTLINIE GEREGELT WERDEN
Die im Rahmen des Gesetzes zum Schutz personenbezogener Daten (KVKK) durchgeführten Datenverarbeitungstätigkeiten umfassen alle personenbezogenen Daten. Darüber hinaus sind sowohl physische als auch digitale Kopien der in dieser Richtlinie genannten Dokumente in diesem Umfang enthalten.
Das Unternehmen speichert alle personenbezogenen Daten, die Gegenstand der Datenverarbeitung im Rahmen des KVKK sind, in den nachstehend aufgeführten Umgebungen, in denen personenbezogene Daten, ganz oder teilweise automatisch oder im Rahmen eines Datenerfassungssystems auf nicht automatischem Wege verarbeitet werden:
- Unternehmenscomputer und E-Mail-Konten
- Desktop-Computer und den Mitarbeitern zugewiesene mobile Geräte
- Sicherungsbereiche und Server
- Papierakten, Ordner und Besucherbücher, die in physischer Form aufbewahrt werden
- Tragbare Speichermedien (CD, DVD, USB, externe Festplatten usw.)
- Drucker, Kopierer und ähnliche Bürogeräte
GRÜNDE FÜR DIE AUFBEWAHRUNG UND LÖSCHUNG PERSONENBEZOGENER DATEN
Bei der Verarbeitung personenbezogener Daten werden die folgenden Grundsätze zugrunde gelegt:
- Rechtmäßigkeit und Verarbeitung nach Treu und Glauben
- Sicherstellung, dass personenbezogene Daten korrekt und bei Bedarf aktuell sind
- Verarbeitung für bestimmte, eindeutige und legitime Zwecke
- Verarbeitung in Bezug auf den Zweck, dem sie dienen, angemessen, relevant und begrenzt
- Aufbewahrung nur so lange, wie es in den einschlägigen Rechtsvorschriften vorgesehen ist oder für den Zweck der Verarbeitung erforderlich ist
Unser Unternehmen speichert und verwendet personenbezogene Daten gemäß den in den Artikeln 5 und 6 des KVKK genannten Bedingungen für die Verarbeitung personenbezogener Daten und vernichtet diese entweder von sich aus oder auf Antrag der betroffenen Person, sobald diese Bedingungen vollständig entfallen sind.
Vorliegen einer ausdrücklichen Einwilligung der betroffenen Person:
Die erste Voraussetzung für die Verarbeitung personenbezogener Daten ist die ausdrückliche Einwilligung der betroffenen Person.
Gesetzliche Grundlage:
Personenbezogene Daten können ohne Einwilligung rechtmäßig verarbeitet werden, wenn ihre Verarbeitung ausdrücklich durch Gesetze vorgesehen ist.
Unmöglichkeit der Einholung einer Einwilligung:
Wenn es aufgrund tatsächlicher Unmöglichkeit nicht möglich ist, die Einwilligung der betroffenen Person einzuholen, und die Verarbeitung ihrer personenbezogenen Daten zum Schutz des Lebens oder der körperlichen Unversehrtheit der betroffenen Person oder einer anderen Person erforderlich ist, dürfen diese Daten verarbeitet werden.
Vertragliche Notwendigkeit:
Wenn die Verarbeitung personenbezogener Daten für den Abschluss oder die Erfüllung eines Vertrags erforderlich ist, kann sie im Rahmen dieses Vertrags durchgeführt werden.
Erfüllung einer rechtlichen Verpflichtung:
Wenn die Verarbeitung personenbezogener Daten erforderlich ist, damit unser Unternehmen seinen gesetzlichen Verpflichtungen nachkommt, können diese Daten verarbeitet werden.
Öffentlich gemachte personenbezogene Daten:
Wenn die betroffene Person ihre personenbezogenen Daten selbst öffentlich gemacht hat, dürfen diese Daten im Rahmen der Veröffentlichung verarbeitet werden.
Geltendmachung oder Verteidigung eines Rechts:
Wenn die Verarbeitung personenbezogener Daten erforderlich ist, um ein Recht geltend zu machen, auszuüben oder zu verteidigen, dürfen diese Daten verarbeitet werden.
Berechtigtes Interesse des Unternehmens:
Wenn die Verarbeitung personenbezogener Daten für die berechtigten Interessen unseres Unternehmens erforderlich ist, ohne die Grundrechte und -freiheiten der betroffenen Person zu beeinträchtigen, dürfen diese Daten verarbeitet werden.
LÖSCHUNG, VERNICHTUNG ODER ANONYMISIERUNG PERSONENBEZOGENER DATEN
Personenbezogene Daten werden gelöscht, vernichtet oder anonymisiert, wenn die einschlägigen gesetzlichen Bestimmungen, die ihrer Verarbeitung zugrunde liegen, geändert oder aufgehoben werden; der Zweck, der die Verarbeitung oder Speicherung erforderlich machte, entfällt; die Verarbeitung personenbezogener Daten ausschließlich auf der Grundlage der Einwilligung erfolgt und die betroffene Person ihre Einwilligung widerruft; die maximale Aufbewahrungsfrist abgelaufen ist und kein berechtigter Grund für eine längere Speicherung besteht.
In diesen Fällen werden personenbezogene Daten auf Antrag der betroffenen Person oder von Amts wegen vom Unternehmen gelöscht, vernichtet oder anonymisiert.
Sofern der Ausschuss für den Schutz personenbezogener Daten keine anderslautende Entscheidung trifft, wählt unser Unternehmen unter Berücksichtigung der technologischen Möglichkeiten und der Umsetzungskosten die geeignete Methode zur Löschung, Vernichtung oder Anonymisierung personenbezogener Daten.
Auf Anfrage der betroffenen Person wird die Begründung für die gewählte Methode mitgeteilt. In jedem dieser Verfahren werden die erforderlichen technischen und administrativen Maßnahmen getroffen.
TECHNISCHE UND ORGANISATORISCHE MASSNAHMEN
Unser Unternehmen ergreift gemäß Artikel 12 des KVKK, den Bestimmungen der Verordnung, den oben genannten allgemeinen Grundsätzen sowie den Beschlüssen des Ausschusses für den Schutz personenbezogener Daten die erforderlichen technischen und administrativen Maßnahmen, unter Berücksichtigung der technologischen Möglichkeiten und der Umsetzungskosten:
- Die erforderliche Software und Hardware wurden bestimmt. Auf Computern und E-Mail-Konten werden starke Passwörter verwendet.
- Mitarbeiter wurden im Hinblick auf den Schutz sensibler Kundendaten geschult, und ihre Verantwortlichkeiten wurden in Arbeitsverträgen schriftlich festgelegt (Geheimhaltungsvereinbarungen). Diese Verpflichtung gilt auch nach Beendigung des Arbeitsverhältnisses fort.
- Die erforderliche Infrastruktur für die Datensicherung wurde eingerichtet.
- Der Zugriff auf Daten ist nur den dafür autorisierten Mitarbeitern gestattet.
- Kundendateien und -informationen werden nur den betroffenen Personen selbst, ihren schriftlich bevollmächtigten Angehörigen, den zuständigen öffentlichen Behörden und Organisationen im Rahmen gesetzlicher Vorschriften sowie den zuständigen Justizbehörden zur Verfügung gestellt.
- Vor Beginn der Verarbeitung personenbezogener Daten wird die Informationspflicht gegenüber den betroffenen Personen durch das Unternehmen erfüllt.
- Ein Verzeichnis der Verarbeitungstätigkeiten wurde erstellt.
AUFBEWAHRUNGS- UND LÖSCHFRISTEN
Unser Unternehmen bewahrt personenbezogene Daten nur so lange auf, wie es in den einschlägigen Rechtsvorschriften vorgesehen ist oder wie es für den Zweck, zu dem sie verarbeitet wurden, erforderlich ist; nach Ablauf dieser Fristen werden die personenbezogenen Daten gelöscht.
Wenn die betroffene Person die Löschung ihrer personenbezogenen Daten beantragt:
- Wenn alle Bedingungen für die Verarbeitung personenbezogener Daten entfallen sind:
Das Unternehmen erfüllt den Antrag der betroffenen Person innerhalb von spätestens dreißig (30) Tagen und informiert die betroffene Person. Wurden die betreffenden personenbezogenen Daten an Dritte weitergegeben, werden diese benachrichtigt und verpflichtet, die erforderlichen Maßnahmen zu ergreifen.
- Wenn nicht alle Bedingungen für die Verarbeitung personenbezogener Daten entfallen sind:
Das Unternehmen kann den Antrag unter Angabe einer Begründung gemäß Artikel 13 Absatz 3 des KVKK ablehnen und teilt der betroffenen Person die Ablehnung spätestens innerhalb von dreißig (30) Tagen schriftlich oder elektronisch mit.
ZEITRÄUME FÜR PERIODISCHE LÖSCHUNG
Personenbezogene Daten werden bei Eintritt der Löschungspflicht im Rahmen des ersten periodischen Löschungsprozesses nach dem betreffenden Datum gelöscht.
In diesem Zusammenhang werden personenbezogene Daten regelmäßig in Halbjahresintervallen (alle 6 Monate) gelöscht, vernichtet oder anonymisiert, sobald die Verpflichtung zur Löschung entsteht.
| PROZESS | AUFBEWAHRUNGSFRIST | LÖSCHUNGSFRIST |
| Erstellung von Verträgen | 10 Jahre nach Ablauf des Vertrags | In der ersten periodischen Löschungsphase nach Ablauf der Aufbewahrungsfrist |
| Durchführung von Personalprozessen | 10 Jahre nach Beendigung der Tätigkeit | In der ersten periodischen Löschungsphase nach Ablauf der Aufbewahrungsfrist |
| Verwaltung von Hardware- und Softwarezugriffsprozessen | 5 Jahre | In der ersten periodischen Löschungsphase nach Ablauf der Aufbewahrungsfrist |
| Registrierung von Besuchern und Besprechungsteilnehmern | 5 Jahre | In der ersten periodischen Löschungsphase nach Ablauf der Aufbewahrungsfrist |
| Aufzeichnung personenbezogener Gesundheitsdaten | So lange, wie es die geltenden Vorschriften verlangen | In der ersten periodischen Löschungsphase nach Ablauf der Aufbewahrungsfrist |
| Identitätsdaten | So lange, wie es die geltenden Vorschriften verlangen | In der ersten periodischen Löschungsphase nach Ablauf der Aufbewahrungsfrist |
| Kameraaufnahmen | Mindestens 2 Monate gemäß der Verordnung über Privatkrankenhäuser aufzubewahren | In der ersten periodischen Löschungsphase nach Ablauf der Aufbewahrungsfrist |