Richtlinie zur Verarbeitung und zum Schutz personenbezogener Daten

Begriffsbestimmungen

• Ausdrückliche Einwilligung: Die auf Information beruhende, freie und eindeutige Willenserklärung zu einem bestimmten Thema.
• Verfassung: Die Verfassung der Republik Türkiye (Nr. 2709).
• Betroffene Person: Die natürliche Person, deren personenbezogene Daten verarbeitet werden.
• Vernichtung: Das Löschen oder endgültige Vernichten personenbezogener Daten.
• Personenbezogene Daten: Alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.
• Verarbeitungsverzeichnis: Verzeichnis, das Verarbeitungsaktivitäten mit Zweck, Datenkategorie, Empfängergruppen, betroffenen Personengruppen, maximalen Aufbewahrungsfristen, Auslandsübermittlungen und Sicherheitsmaßnahmen verknüpft.
• Anonymisierung personenbezogener Daten: Die Unmöglichkeit, personenbezogene Daten mit einer identifizierten oder identifizierbaren Person in Verbindung zu bringen, selbst durch Abgleich mit anderen Daten.
• Löschung personenbezogener Daten: Das Unzugänglich- und Unbrauchbarmachen personenbezogener Daten für relevante Nutzer.
• Vernichtung personenbezogener Daten: Das vollständige Unzugänglich-, Nichtwiederherstell- und Unbrauchbarmachen personenbezogener Daten für jedermann.
• Datenschutzbehörde (Kurul): Der Ausschuss zum Schutz personenbezogener Daten.
• KVKK: Gesetz Nr. 6698 über den Schutz personenbezogener Daten.
• Medoffice: Medoffice Health Industry Inc.
• Besondere Kategorien personenbezogener Daten: Daten zur Rasse, ethnischen Herkunft, politischen Meinung, philosophischen Überzeugung, Religion, Konfession oder anderen Glaubensrichtungen, Kleidung, Vereins-/Stiftungs-/Gewerkschaftszugehörigkeit, Gesundheit, Sexualleben, strafrechtlichen Verurteilungen und Sicherheitsmaßnahmen sowie biometrische und genetische Daten.
• Periodische Vernichtung: Das von Amts wegen wiederkehrende Löschen, Vernichten oder Anonymisieren personenbezogener Daten, sobald sämtliche Verarbeitungsbedingungen entfallen sind und wie in der Aufbewahrungs-und Vernichtungspolitik festgelegt.
• Richtlinie: Diese Richtlinie zur Verarbeitung und zum Schutz personenbezogener Daten.
• Produkt- oder Dienstleistungsempfänger: Natürliche oder juristische Personen, die in einer Vertragsbeziehung zu Medoffice stehen.
• Auftragsverarbeiter: Natürliche oder juristische Person, die personenbezogene Daten aufgrund der Befugnis des Datenverantwortlichen in dessen Auftrag verarbeitet.
• Datenaufzeichnungssystem: Ein Aufzeichnungssystem, in dem personenbezogene Daten nach bestimmten Kriterien strukturiert verarbeitet werden.
• Datenverantwortlicher: Natürliche oder juristische Person, die über Zweck und Mittel der Verarbeitung personenbezogener Daten entscheidet und für Aufbau sowie Verwaltung des Datenaufzeichnungssystems verantwortlich ist.

EINFÜHRUNG

Zweck und Anwendungsbereich

Als Medoffice Health Industry Inc. legen wir größten Wert auf den Schutz der personenbezogenen Daten aller natürlichen Personen, mit denen wir in Kontakt stehen, und handeln im Einklang mit den Vorschriften des KVKK.

Als Datenverantwortlicher treffen wir sämtliche technischen und organisatorischen Maßnahmen, um unrechtmäßige Verarbeitung zu verhindern, unbefugten Zugriff zu unterbinden und die sichere Aufbewahrung personenbezogener Daten zu gewährleisten.

Diese Richtlinie erläutert unsere Grundsätze sowie unsere Systeme zur Verarbeitung, Übermittlung, zum Schutz, zur Aufbewahrung und Vernichtung personenbezogener Daten.

Sie gilt für alle physischen und elektronischen Umgebungen, in denen personenbezogene und besondere personenbezogene Daten automatisch oder im Rahmen eines Datenaufzeichnungssystems nicht automatisiert verarbeitet werden.

GRUNDSÄTZE FÜR DIE VERARBEITUNG PERSONENBEZOGENER DATEN

Medoffice verarbeitet personenbezogene Daten im Einklang mit Artikel 20 der Verfassung sowie Artikel 4 des KVKK – rechtmäßig und nach Treu und Glauben; korrekt und bei Bedarf aktuell; für bestimmte, eindeutige und legitime Zwecke; in einer dem Zweck angemessenen, begrenzten und verhältnismäßigen Weise; und nur so lange, wie es gesetzlich oder zweckgebunden erforderlich ist. Zudem halten wir die Vorschriften zu besonderen Daten (Art. 6), zur Übermittlung (Art. 8, 9) sowie zur Informationspflicht (Art. 10) ein.

Auf jede Verarbeitungstätigkeit finden zwingend die in Artikel 4 KVKK genannten Grundsätze Anwendung.

• Rechtmäßigkeit und Verarbeitung nach Treu und Glauben: Wir handeln im Einklang mit Gesetzen, sekundären Vorschriften und allgemeinen Rechtsgrundsätzen und beschränken die Verarbeitung auf den legitimen Zweck.
• Richtigkeit und Aktualität: Wir achten auf die Aktualität der verarbeiteten Daten und ermöglichen den Betroffenen die Berichtigung oder Löschung unrichtiger Daten.
• Verarbeitung für bestimmte, eindeutige und legitime Zwecke: Vor jeder Verarbeitung werden die Zwecke festgelegt und es wird auf deren Rechtmäßigkeit geachtet.
• Zweckbindung, Datenminimierung und Verhältnismäßigkeit: Es werden nur diejenigen personenbezogenen Daten verarbeitet, die zur Zweckerreichung erforderlich sind, und es werden technische sowie organisatorische Maßnahmen ergriffen, um eine darüberhinausgehende Verarbeitung zu verhindern.
• Speicherung nur solange erforderlich: Nach Wegfall des Zwecks oder Ablauf gesetzlicher Fristen werden personenbezogene Daten gelöscht, vernichtet oder anonymisiert.

VORAUSSETZUNGEN FÜR DIE VERARBEITUNG PERSONENBEZOGENER DATEN

Medoffice verarbeitet personenbezogene Daten nur, wenn mindestens eine der in Artikel 5 KVKK aufgeführten Voraussetzungen gegeben ist:

• Vorliegen der ausdrücklichen Einwilligung der betroffenen Person.
• Ausdrückliche gesetzliche Regelung.
• Tatsächliche Unmöglichkeit der Einholung der Einwilligung und Erforderlichkeit der Verarbeitung zum Schutz des Lebens oder der körperlichen Unversehrtheit der betroffenen Person oder eines Dritten.
• Unmittelbare Erforderlichkeit für den Abschluss oder die Erfüllung eines Vertrags zwischen der betroffenen Person und Medoffice.
• Notwendigkeit zur Erfüllung einer rechtlichen Verpflichtung des Datenverantwortlichen.
• Öffentlichmachung der Daten durch die betroffene Person, beschränkt auf den Offenlegungszweck.
• Notwendigkeit zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
• Zwingendes berechtigtes Interesse von Medoffice, sofern die Grundrechte und Grundfreiheiten der betroffenen Person nicht beeinträchtigt werden und ein angemessenes Gleichgewicht besteht.

VORAUSSETZUNGEN FÜR DIE VERARBEITUNG BESONDERER PERSONENBEZOGENER DATEN

Besondere Datenkategorien sind in Artikel 6 KVKK abschließend aufgelistet. Medoffice verarbeitet diese Daten nur unter Einhaltung der vom Ausschuss vorgeschriebenen zusätzlichen Sicherheitsmaßnahmen und ausschließlich unter den folgenden Bedingungen:

• Ausdrückliche Einwilligung der betroffenen Person.
• Ausdrückliche gesetzliche Regelung.
• Notwendigkeit zum Schutz des Lebens oder der körperlichen Unversehrtheit einer Person, die keine Einwilligung geben kann oder deren Einwilligung rechtlich unwirksam ist.
• Verarbeitung öffentlich gemachter Daten im Rahmen des Offenlegungszwecks.
• Notwendigkeit zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
• Verarbeitung durch zur Verschwiegenheit verpflichtete Personen oder autorisierte Institutionen zum Schutz der öffentlichen Gesundheit, für präventive Medizin, Diagnose, Behandlung und Pflege sowie Planung, Verwaltung und Finanzierung von Gesundheitsdiensten.
• Erfüllung rechtlicher Pflichten in den Bereichen Beschäftigung, Arbeitssicherheit, soziale Sicherheit, Sozialdienste oder Sozialhilfe.
• Verarbeitung durch Stiftungen, Vereine oder andere gemeinnützige Organisationen im Einklang mit ihren Statuten, beschränkt auf ihre Tätigkeiten und ohne Offenlegung gegenüber Dritten, für heutige oder ehemalige Mitglieder bzw. Personen in regelmäßigem Kontakt.

VON MEDOFFICE VERARBEITETE DATENKATEGORIEN

Im Rahmen des KVKK und sonstiger einschlägiger Vorschriften verarbeitet Medoffice personenbezogene Daten aus den Kategorien Identität, Kontakt, Strafverfolgung und Sicherheitsmaßnahmen, Finanzen, physische Sicherheit, rechtliche Vorgänge, Personal/HR, Bild- und Tonaufzeichnungen, berufliche Erfahrung, Kundenprozesse sowie Gesundheitsinformationen. Detaillierte Angaben finden Sie in den einschlägigen Informationsschreiben.

ÜBERMITTLUNG PERSONENBEZOGENER DATEN

Medoffice kann personenbezogene Daten und besondere Datenkategorien unter Einhaltung der Sicherheitsmaßnahmen an natürliche Personen, private Rechtsträger, Anteilseigner, Lieferanten, autorisierte öffentliche Institutionen und andere berechtigte Empfänger übermitteln, sofern die Voraussetzungen des Artikels 8 KVKK erfüllt sind.

Auch ohne ausdrückliche Einwilligung können personenbezogene Daten an Dritte übermittelt werden, wenn eine oder mehrere der folgenden Bedingungen vorliegen:

• Die Übermittlung ist gesetzlich ausdrücklich vorgesehen.
• Die betroffene Person kann aufgrund tatsächlicher Unmöglichkeit oder fehlender Geschäftsfähigkeit keine Einwilligung erteilen und die Übermittlung ist zum Schutz des Lebens oder der körperlichen Unversehrtheit der Person oder eines Dritten erforderlich.
• Die Übermittlung steht in unmittelbarem Zusammenhang mit dem Abschluss oder der Erfüllung eines Vertrags.
• Die Übermittlung ist zur Erfüllung einer rechtlichen Verpflichtung von Medoffice erforderlich.
• Die Daten wurden von der betroffenen Person öffentlich gemacht, beschränkt auf den Offenlegungszweck.
• Die Übermittlung ist für die Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich.
• Die Übermittlung ist für die berechtigten Interessen von Medoffice zwingend erforderlich, sofern die Grundrechte und Grundfreiheiten der betroffenen Person nicht beeinträchtigt werden.

Übermittlungen ins Ausland

Zusätzlich darf Medoffice personenbezogene Daten nur dann ins Ausland übermitteln, wenn sämtliche Sicherheitsmaßnahmen gewährleistet sind und eine der folgenden Bedingungen erfüllt ist:

• 1. Vorliegen einer Angemessenheitsentscheidung
  • Liegt für das Zielland, den betreffenden Sektor oder eine internationale Organisation eine Angemessenheitsentscheidung des Ausschusses vor, können Daten ins Ausland transferiert werden, sofern eine der Verarbeitungsgrundlagen nach Artikel 5 oder 6 KVKK (z. B. Vertrag, berechtigtes Interesse) gegeben ist.
• 2. Geeignete Garantien bei fehlender Angemessenheit
  • Fehlt eine Angemessenheitsentscheidung, ist eine Auslandsübermittlung nur zulässig, wenn eine Verarbeitungsgrundlage nach Artikel 5 oder 6 vorliegt, der Betroffene seine Rechte auch im Ausland wahrnehmen kann und mindestens eine der folgenden Garantien besteht:
  • Abschluss einer – nicht als völkerrechtlicher Vertrag geltenden – Vereinbarung zwischen ausländischen und türkischen öffentlichen Institutionen mit Zustimmung des Ausschusses.
  • Verwendung der vom Ausschuss veröffentlichten Standardvertragsklauseln.
  • Vorliegen vom Ausschuss genehmigter Binding Corporate Rules innerhalb eines Konzerns.
  • Vorlage einer vom Ausschuss genehmigten Verpflichtungserklärung, die ausreichende Garantien im Einklang mit den Grundprinzipien des Gesetzes bietet.
• 3. Gelegentliche Übermittlungen (bei fehlender Angemessenheit und Garantien)
  • Sind weder Angemessenheitsentscheidung noch geeignete Garantien vorhanden, dürfen personenbezogene Daten nur ausnahmsweise und nicht wiederholt ins Ausland übertragen werden, sofern die ausdrückliche Einwilligung der betroffenen Person eingeholt wird und einer der folgenden Gründe vorliegt:
  • Die Übermittlung ist zur Erfüllung eines Vertrags zwischen der betroffenen Person und unserem Unternehmen oder zur Durchführung vorvertraglicher Maßnahmen auf Wunsch der betroffenen Person erforderlich.
  • Die Übermittlung ist für den Abschluss oder die Erfüllung eines Vertrags zwischen unserem Unternehmen und einem Dritten zugunsten der betroffenen Person erforderlich.
  • Die Übermittlung ist wegen eines wichtigen öffentlichen Interesses notwendig.
  • Die Übermittlung ist für die Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich.
  • Die Übermittlung ist zum Schutz des Lebens oder der körperlichen Unversehrtheit einer Person erforderlich, die aufgrund tatsächlicher Unmöglichkeit keine Einwilligung erteilen kann.
  • Die Übermittlung erfolgt aus einem öffentlichen Register oder einem Register, das gesetzlich bestimmten Personen zugänglich ist, und bleibt auf den Registerzweck beschränkt.

AKTUALISIERTE REGELN FÜR BESONDERE DATENKATEGORIEN

Besondere Kategorien personenbezogener Daten sind in Artikel 6 KVKK abschließend aufgeführt. Medoffice verarbeitet diese Daten, unter Einhaltung der vom Ausschuss vorgegebenen zusätzlichen administrativen und technischen Maßnahmen, gemäß den jüngsten Änderungen von Artikel 6 ausschließlich in den folgenden Fällen:

• Ausdrückliche Einwilligung der betroffenen Person.
• Ausdrückliche gesetzliche Regelung.
• Notwendigkeit zum Schutz des Lebens oder der körperlichen Unversehrtheit einer Person, die keine gültige Einwilligung geben kann.
• Verarbeitung öffentlich gemachter Daten im Einklang mit dem Offenlegungszweck.
• Notwendigkeit zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
• Verarbeitung durch zur Verschwiegenheit verpflichtete Personen oder autorisierte Institutionen zum Schutz der öffentlichen Gesundheit, für präventive Medizin, Diagnose, Behandlung und Pflege sowie zur Planung, Verwaltung und Finanzierung der Gesundheitsdienste.
• Erfüllung rechtlicher Verpflichtungen in den Bereichen Beschäftigung, Arbeitsschutz, soziale Sicherheit, Sozialdienste oder Sozialhilfe.
• Verarbeitung durch politische, philosophische, religiöse oder gewerkschaftliche Vereinigungen und andere gemeinnützige Organisationen, sofern sie im Einklang mit dem einschlägigen Recht handeln, der Tätigkeitsbereich begrenzt ist und keine Offenlegung gegenüber Dritten erfolgt.

ASPEKTE DES SCHUTZES PERSONENBEZOGENER DATEN

Gemäß Artikel 12 KVKK trifft Medoffice sämtliche technischen und organisatorischen Maßnahmen, um die unrechtmäßige Verarbeitung zu verhindern, unbefugten Zugriff zu blockieren und ein angemessenes Sicherheitsniveau sicherzustellen, und führt die notwendigen Audits durch.

Unsere Grundsätze zum Datenschutz beinhalten:

• Transparente Information darüber, wer personenbezogene Daten zu welchem Zweck nutzt.
• Verarbeitung nur des für den jeweiligen Zweck erforderlichen Minimums an Daten und Vermeidung übermäßiger Datenerhebung.
• Führung eines Verarbeitungsverzeichnisses über die Datenkategorien.
• Sicherstellung der Richtigkeit und – falls erforderlich – Aktualität der Daten.
• Verarbeitung im Einklang mit Fairness und Gesetzmäßigkeit.
• Ausarbeitung und laufende Aktualisierung dieser Richtlinie.
• Umsetzung aller technischen und organisatorischen Maßnahmen, die das KVKK, Sekundärrecht und der Ausschuss verlangen.
• Verarbeitung ausschließlich relevanter und angemessener personenbezogener Daten.

AUFBEWAHRUNG UND VERNICHTUNG PERSONENBEZOGENER DATEN

Medoffice bewahrt personenbezogene Daten für die Dauer auf, die zur Erfüllung des Verarbeitungszwecks erforderlich ist, und mindestens für die in der einschlägigen Gesetzgebung vorgesehenen Mindestfristen. Zunächst wird geprüft, ob gesetzliche Aufbewahrungsfristen bestehen; falls ja, werden diese eingehalten, andernfalls werden Daten nur so lange gespeichert, wie es der Zweck erfordert.

Nach Ablauf der Aufbewahrungsfrist oder Wegfall des Zwecks werden personenbezogene Daten entsprechend unserer Richtlinie zur Aufbewahrung und Vernichtung personenbezogener Daten durch Löschen, Vernichten oder Anonymisieren im Rahmen regelmäßiger Vernichtungszyklen oder auf Antrag der betroffenen Person beseitigt.

INFORMATION UND BENACHRICHTIGUNG DER BETROFFENEN PERSON

Medoffice erfüllt gemäß Artikel 10 KVKK seine Informationspflicht. Werden personenbezogene Daten direkt bei der betroffenen Person erhoben, erfolgt die Information spätestens zum Zeitpunkt der Erhebung; werden Daten aus anderen Quellen gewonnen, erfolgt die Information innerhalb angemessener Frist und in jedem Fall ohne Antrag der betroffenen Person.

• Identität von Medoffice.
• Zwecke der Verarbeitung personenbezogener Daten.
• Empfänger und Zwecke einer möglichen Übermittlung.
• Methode der Datenerhebung.
• Rechtsgrundlage der Datenerhebung.
• Weitere Rechte der betroffenen Person gemäß Artikel 11 KVKK.

RECHTE DER BETROFFENEN UND DEREN WAHRNEHMUNG

Betroffene Personen können die nachfolgenden gesetzlichen Rechte geltend machen:

• Erfahren, ob personenbezogene Daten verarbeitet werden.
• Auskunft verlangen, falls personenbezogene Daten verarbeitet wurden.
• Den Zweck der Verarbeitung und deren zweckentsprechende Verwendung erfahren.
• Die Empfänger im In- oder Ausland kennen, an die personenbezogene Daten übermittelt wurden.
• Berichtigung unvollständiger oder unrichtiger Daten verlangen und verlangen, dass Dritte darüber informiert werden.
• Löschung, Vernichtung oder Anonymisierung verlangen, wenn die Gründe für die Verarbeitung entfallen, sowie Mitteilung an Dritte verlangen.
• Einspruch gegen ausschließlich automatisiert erzeugte Ergebnisse erheben, die zu ihrem Nachteil erfolgen.
• Ersatz des Schadens verlangen, der durch eine unrechtmäßige Verarbeitung entstanden ist.

Ausübung der Rechte

Betroffene können ihre Anträge gemäß der Verordnung über Verfahren und Grundsätze für Anträge an den Datenverantwortlichen auf Türkisch stellen, indem sie das Antragsformular schriftlich einreichen oder es über KEP, sichere elektronische Signatur, mobile Signatur oder die in unseren Systemen registrierte E-Mail-Adresse übermitteln.

ANTWORT VON MEDOFFICE AUF ANFRAGEN

Medoffice trifft alle erforderlichen technischen und organisatorischen Maßnahmen, um Anträge der betroffenen Personen wirksam, rechtmäßig und nach Treu und Glauben zu bearbeiten.

Anträge können angenommen oder unter Angabe von Gründen abgelehnt werden; Antworten erfolgen schriftlich oder elektronisch.

Medoffice beantwortet Anträge in Bezug auf die in dieser Richtlinie genannten Rechte so bald wie möglich, spätestens jedoch innerhalb von 30 (dreißig) Tagen unentgeltlich. Erfordert die Bearbeitung zusätzliche Kosten, kann die vom Ausschuss festgelegte Gebühr erhoben werden.

IN-KRAFT-TRETEN DER RICHTLINIE

Diese Richtlinie tritt an dem Tag in Kraft, an dem sie auf der Unternehmenswebsite von Medoffice veröffentlicht wird. Änderungen werden ebenfalls mit der Veröffentlichung der aktualisierten Fassung wirksam.