Le responsable du traitement, HairNeva Services de Santé, conserve et détruit vos données personnelles conformément à la Constitution, à la Loi n° 6698 sur la Protection des Données Personnelles, au Règlement sur la Suppression, la Destruction ou l’Anonymisation des Données Personnelles, ainsi qu’aux autres dispositions légales pertinentes.
Ces opérations sont effectuées dans le respect des principes généraux et des règlements énoncés dans la présente Politique de Conservation et de Destruction des Données Personnelles.
Par la présente politique, l’entreprise vise à définir les principes généraux relatifs à la conservation et à la destruction des données personnelles des personnes physiques traitées dans le cadre des activités de traitement de données couvertes par la Loi sur la Protection des Données Personnelles, ainsi qu’à garantir le respect des obligations prévues par la législation.
Définitions
Consentement explicite:
Le consentement donné librement, de manière éclairée et portant sur un sujet spécifique.
Catégorie de destinataires:
La catégorie de personnes physiques ou morales à qui les données personnelles sont transmises par le responsable du traitement.
Anonymisation:
Le processus par lequel les données personnelles sont modifiées de manière à ne pouvoir être associées à aucune personne physique identifiée ou identifiable, même par recoupement avec d’autres informations.
Utilisateur autorisé:
Les personnes au sein de l’organisation du responsable du traitement, ou agissant sur la base de son autorisation et de ses instructions, qui traitent les données personnelles, à l’exclusion des personnes ou des unités chargées uniquement du stockage, de la protection ou de la sauvegarde technique des données.
Destruction:
La suppression, l’effacement ou l’anonymisation des données personnelles.
Donnée personnelle:
Toute information concernant une personne physique identifiée ou identifiable (par exemple : nom, prénom, numéro d’identité, adresse e-mail, adresse postale, date de naissance, numéro de carte bancaire ou de compte bancaire).
Personne concernée:
La personne physique dont les données personnelles font l’objet d’un traitement.
Traitement des données personnelles:
Toute opération ou ensemble d’opérations effectuées sur des données personnelles, qu’elles soient automatisées ou non, telles que la collecte, l’enregistrement, le stockage, la conservation, la modification, la réorganisation, la divulgation, le transfert, la récupération, la mise à disposition, la classification ou la limitation de leur utilisation.
Données personnelles sensibles:
Les données relatives à la race, l’origine ethnique, les opinions politiques, les convictions philosophiques, la religion, la confession ou autres croyances, la tenue vestimentaire, l’appartenance à une association, une fondation ou un syndicat, la santé, la vie sexuelle, les condamnations pénales, les mesures de sécurité, ainsi que les données biométriques et génétiques.
Destruction périodique:
La suppression, la destruction ou l’anonymisation automatique des données personnelles, à intervalles réguliers, lorsque les conditions de traitement des données définies par la Loi sur la Protection des Données Personnelles ne sont plus remplies, conformément à la présente politique.
ENVIRONNEMENTS D’ENREGISTREMENT RÉGLEMENTÉS PAR LA POLITIQUE
Les activités de traitement des données effectuées dans le cadre de la Loi sur la Protection des Données Personnelles couvrent toutes les données personnelles.
De plus, les copies physiques et numériques des documents mentionnés dans la présente Politique sont incluses dans ce champ d’application.
L’entreprise conserve toutes les données personnelles traitées dans le cadre du KVKK dans les environnements énumérés ci-dessous, où ces données sont traitées, totalement ou partiellement, de manière automatisée ou non, dans le cadre d’un système d’enregistrement de données:
- Ordinateurs et comptes e-mail de l’entreprise
- Ordinateurs de bureau et appareils mobiles attribués aux employés
- Espaces de sauvegarde et serveurs
- Dossiers papier, classeurs et registres de visiteurs conservés sur support physique
- Supports de stockage portables (CD, DVD, clés USB, disques durs externes, etc.)
- Imprimantes, photocopieurs et équipements bureautiques similaires
RAISONS JUSTIFIANT LA CONSERVATION ET LA DESTRUCTION DES DONNÉES PERSONNELLES
Les principes suivants constituent la base des activités de traitement des données personnelles:
- Respect de la légalité et des règles de bonne foi
- Garantie que les données personnelles sont exactes et, le cas échéant, mises à jour
- Traitement à des fins spécifiques, explicites et légitimes
- Pertinence, limitation et proportionnalité par rapport à la finalité du traitement
- Conservation pendant la durée prévue par la législation applicable ou nécessaire à la finalité du traitement
Notre entreprise conserve et utilise les données personnelles conformément aux finalités de traitement et aux conditions de traitement prévues aux articles 5 et 6 de la Loi KVKK.
Lorsque ces conditions cessent d’exister, les données personnelles sont supprimées, détruites ou anonymisées d’office ou à la demande de la personne concernée.
Consentement explicite du propriétaire des données personnelles:
La première condition du traitement des données personnelles est le consentement explicite du propriétaire des données.
Prévision légale:
Les données personnelles peuvent être traitées légalement sans consentement explicite lorsqu’une telle disposition est expressément prévue par la loi.
Impossibilité pratique d’obtenir le consentement:
Lorsque la personne concernée est dans l’incapacité de donner son consentement ou que celui-ci ne peut être validé, et que le traitement est nécessaire pour protéger la vie ou l’intégrité physique de cette personne ou d’un tiers, les données personnelles peuvent être traitées sans consentement.
Nécessité liée à la conclusion ou à l’exécution d’un contrat:
Si le traitement est nécessaire à la conclusion ou à l’exécution d’un contrat auquel la personne concernée est partie, les données personnelles peuvent être traitées dans ce cadre.
Obligation legale:
Les données personnelles peuvent être traitées lorsque cela est nécessaire pour que l’entreprise remplisse ses obligations légales.
Données rendues publiques par la personne concernée:
Lorsque la personne concernée rend ses données personnelles publiques, celles-ci peuvent être traitées dans les limites de cette divulgation.
Nécessité pour l’établissement ou la défense d’un droit:
Les données personnelles peuvent être traitées si cela est nécessaire à l’établissement, à l’exercice ou à la défense d’un droit.
Intérêt légitime de l’entreprise:
Les données personnelles peuvent être traitées lorsque cela est nécessaire pour les intérêts légitimes de l’entreprise, à condition que cela ne porte pas atteinte aux droits et libertés fondamentaux de la personne concernée.
SUPPRESSION, DESTRUCTION OU ANONYMISATION DES DONNÉES PERSONNELLES
Les données personnelles sont supprimées, détruites ou anonymisées lorsque :
- Les dispositions légales fondant leur traitement sont modifiées ou abrogées,
- La finalité de leur traitement ou de leur conservation disparaît,
- Le consentement explicite est retiré, lorsque le traitement repose uniquement sur ce consentement,
- La durée maximale de conservation est écoulée et aucune condition ne justifie une conservation prolongée.
Sauf décision contraire de l’Autorité de Protection des Données Personnelles, notre entreprise choisit la méthode appropriée de suppression, destruction ou anonymisation des données, en tenant compte des moyens technologiques et des coûts de mise en œuvre.
Sur demande, la justification du choix de la méthode est communiquée à la personne concernée.
Toutes les mesures techniques et administratives nécessaires sont prises dans le cadre de ces opérations.
MESURES TECHNIQUES ET ADMINISTRATIVES MISES EN PLACE
Conformément à l’article 12 de la Loi sur la Protection des Données Personnelles (KVKK), aux dispositions du règlement correspondant, aux principes généraux mentionnés ci-dessus ainsi qu’aux décisions du Conseil de Protection des Données Personnelles, notre entreprise met en œuvre les mesures techniques et administratives nécessaires, compte tenu des possibilités technologiques et du coût d’application, comme indiqué ci-dessous:
- Les logiciels et matériels nécessaires ont été identifiés. Des mots de passe forts sont utilisés sur les ordinateurs et les comptes de messagerie.
- Les employés ont été formés sur la protection des informations clients, et leurs responsabilités ont été définies par écrit dans leurs contrats de travail (accords de confidentialité). Cette obligation se poursuit même après la cessation de leurs fonctions.
- Une infrastructure adéquate a été mise en place pour la sauvegarde de toutes les données.
- L’accès aux données est limité aux employés autorisés.
- Les dossiers et informations des clients ne sont communiqués qu’aux personnes concernées, à leurs proches autorisés par écrit, aux institutions et organismes publics compétents dans le cadre de la législation en vigueur, et aux autorités judiciaires compétentes en cas de procédures légales.
- Avant toute activité de traitement de données personnelles, l’obligation d’information envers les personnes concernées est remplie par l’entreprise.
- Un registre des activités de traitement des données personnelles a été préparé.
DURÉES DE CONSERVATION ET DE DESTRUCTION
Notre entreprise conserve les données personnelles uniquement pendant la période prévue par la législation applicable ou pour la durée nécessaire à la finalité du traitement.
Une fois ces durées expirées, les données personnelles sont détruites.
Lorsque le titulaire des données personnelles présente une demande de destruction de ses données:
- Si toutes les conditions de traitement des données personnelles ont cessé d’exister:
L’entreprise satisfait la demande dans un délai maximum de trente (30) jours, informe la personne concernée et, si les données personnelles en question ont été transférées à des tiers, elle les notifie afin qu’ils prennent les mesures nécessaires.
- Si toutes les conditions de traitement des données personnelles n’ont pas cessé d’exister:
L’entreprise peut rejeter la demande, en justifiant sa décision conformément à l’article 13, paragraphe 3, de la Loi KVKK, et communique sa réponse motivée à la personne concernée par écrit ou par voie électronique dans un délai maximum de trente (30) jours.
DURÉES DE DESTRUCTION PÉRIODIQUE
Les données personnelles sont détruites lors de la première opération de destruction périodique suivant la date à laquelle l’obligation de destruction est née.
Dans ce cadre, lorsque l’obligation de destruction apparaît, les données personnelles font l’objet d’une suppression, destruction ou anonymisation tous les six (6) mois.
| PROCESSUS | DURÉE DE CONSERVATION | DURÉE D’EFFACEMENT |
| Préparation des contrats | 10 ans après la fin du contrat | Lors du premier cycle périodique d’effacement suivant la fin de la durée de conservation |
| Gestion des processus de ressources humaines | 10 ans après la fin de l’activité | Lors du premier cycle périodique d’effacement suivant la fin de la durée de conservation |
| Gestion des processus d’accès aux matériels et logiciels | 5 ans | Lors du premier cycle périodique d’effacement suivant la fin de la durée de conservation |
| Enregistrement des visiteurs et des participants aux réunions | 5 ans | Lors du premier cycle périodique d’effacement suivant la fin de la durée de conservation |
| Enregistrement des données de santé personnelles | Pendant la période prévue par la législation applicable | Lors du premier cycle périodique d’effacement suivant la fin de la durée de conservation |
| Données d’identité | Pendant la période prévue par la législation applicable | Lors du premier cycle périodique d’effacement suivant la fin de la durée de conservation |
| Enregistrements vidéo (caméras) | Conservés au moins 2 mois conformément au Règlement sur les Hôpitaux Privés | Lors du premier cycle périodique d’effacement suivant la fin de la durée de conservation |