RICHTLINIE ZUR VERNICHTUNG PERSONENBEZOGENER DATEN
Der Verantwortliche ist die Praxis von Doç. Dr. Güncel Öztürk, die Ihre personenbezogenen Daten insbesondere im Einklang mit der Verfassung, dem Gesetz Nr. 6698 zum Schutz personenbezogener Daten (KVKK), der Verordnung über das Löschen, Vernichten oder Anonymisieren personenbezogener Daten sowie den sonstigen einschlägigen Rechtsvorschriften gemäß den in dieser Richtlinie zur Aufbewahrung und Vernichtung personenbezogener Daten festgelegten allgemeinen Grundsätzen und Regelungen aufbewahrt und vernichtet.
Mit dieser Richtlinie verfolgt die Praxis das Ziel, die allgemeinen Grundsätze und Prinzipien hinsichtlich der Aufbewahrung und Vernichtung der Daten natürlicher Personen, die Gegenstand der Verarbeitung personenbezogener Daten im Rahmen der KVKK sind, festzulegen und die gesetzlich bestimmten Verpflichtungen zu erfüllen.
Ausdrückliche Einwilligung: Eine auf Information beruhende und frei abgegebene Einwilligung zu einem bestimmten Thema,
Empfängerkategorie:Kategorie natürlicher oder juristischer Personen, an die der Verantwortliche personenbezogene Daten übermittelt,
Anonymisierung : Personenbezogene Daten so zu verändern, dass sie selbst durch Abgleich mit anderen Daten in keiner Weise einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können.
Berechtigter Nutzer: Personen, die personenbezogene Daten innerhalb der Organisation des Verantwortlichen oder gemäß den vom Verantwortlichen erteilten Befugnissen und Weisungen verarbeiten, mit Ausnahme der Person oder Einheit, die für die technische Speicherung, den Schutz und die Sicherung der Daten verantwortlich ist,
Vernichtung:Löschen, Vernichten oder Anonymisieren personenbezogener Daten,
Personenbezogene Daten:Alle Informationen, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen (z. B. Vor- und Nachname, TCKN, E-Mail, Adresse, Geburtsdatum, Kreditkartennummer, Bankkontonummer
Betroffene Person: Die natürliche Person, deren personenbezogene Daten verarbeitet werden,
Verarbeitung personenbezogener Daten: Jeder Vorgang, der an Daten durchgeführt wird, wie das Erheben (vollständig oder teilweise automatisiert oder nicht automatisiert, sofern Teil eines Dateisystems), das Erfassen, Speichern, Aufbewahren, Verändern, Neuordnen, Offenlegen, Übermitteln, Übernehmen, Bereitstellen, Klassifizieren oder das Verhindern der Nutzung,
Besondere Kategorien personenbezogener Daten: Rasse, ethnische Herkunft, politische Meinung, philosophische Überzeugung, Religion, Konfession oder andere Überzeugungen, Kleidung, Mitgliedschaft in Vereinen, Stiftungen oder Gewerkschaften, Gesundheit, Sexualleben, strafrechtliche Verurteilungen und Sicherheitsmaßnahmen sowie biometrische und genetische Daten,
Periodische Vernichtung: Das in dieser Richtlinie festgelegte, wiederkehrend und von Amts wegen durchzuführende Löschen, Vernichten oder Anonymisieren, wenn sämtliche Voraussetzungen der Verarbeitung personenbezogener Daten nach der KVKK weggefallen sind,
DURCH DIE RICHTLINIE GEREGELTE SPEICHER- UND AUFZEICHNUNGSMEDIEN
Sie umfasst alle personenbezogenen Daten, die Gegenstand von Verarbeitungstätigkeiten im Rahmen der KVKK sind. Darüber hinaus umfassen die in der Richtlinie in Bezug genommenen Dokumente sowohl physische als auch digitale Kopien.
Die Praxis bewahrt alle personenbezogenen Daten, die Gegenstand von Verarbeitungstätigkeiten im Rahmen der KVKK sind und vollständig oder teilweise automatisiert oder nicht automatisiert, sofern Teil eines Dateisystems, verarbeitet werden, in den nachstehend genannten Umgebungen auf:
Praxiscomputer, E-Mail-Konten, Desktop-Computer, Geräte der Mitarbeitenden (z. B. Mobiltelefon), Backup-Bereiche, Papierakten, Ordner, Besucherbuch, CD, DVD, USB, Festplatten, Drucker, Kopiergerät usw.
GRÜNDE, DIE DIE AUFBEWAHRUNG UND VERNICHTUNG PERSONENBEZOGENER DATEN ERFORDERLICH MACHEN
Bei der Verarbeitung personenbezogener Daten werden die folgenden Grundsätze zugrunde gelegt:
- Einhaltung von Recht und Treu und Glauben,
• Sicherstellung, dass personenbezogene Daten richtig und bei Bedarf aktuell sind,
• Verarbeitung zu bestimmten, eindeutigen und rechtmäßigen Zwecken,
• Zweckbindung, Datenminimierung und Verhältnismäßigkeit,
• Aufbewahrung für den in den einschlägigen Rechtsvorschriften vorgesehenen Zeitraum oder für den Zeitraum, der für den Verarbeitungszweck erforderlich ist.
Unsere Praxis bewahrt personenbezogene Daten gemäß den Verarbeitungszwecken und auf Grundlage der in den Artikeln 5 und 6 der KVKK genannten Voraussetzungen für die Verarbeitung personenbezogener Daten auf und nutzt sie; sofern sämtliche dieser Voraussetzungen entfallen, vernichtet sie personenbezogene Daten von Amts wegen oder auf Antrag der betroffenen Person:
Vorliegen der ausdrücklichen Einwilligung der betroffenen Person: Die erste Voraussetzung für die Verarbeitung personenbezogener Daten ist die ausdrückliche Einwilligung der betroffenen Person.
Ausdrücklich gesetzlich vorgesehen:Die personenbezogenen Daten der betroffenen Person können rechtmäßig ohne Einholung einer ausdrücklichen Einwilligung verarbeitet werden, wenn dies ausdrücklich gesetzlich vorgesehen ist.
Unmöglichkeit der Einholung einer ausdrücklichen Einwilligung aufgrund tatsächlicher Unmöglichkeit:Wenn es aufgrund tatsächlicher Unmöglichkeit nicht möglich ist, eine Einwilligung zu erklären, oder einer Einwilligung keine Gültigkeit beigemessen werden kann, und die Verarbeitung personenbezogener Daten erforderlich ist, um das Leben oder die körperliche Unversehrtheit der betroffenen Person oder einer anderen Person zu schützen, können personenbezogene Daten verarbeitet werden.
Unmittelbarer Zusammenhang mit Abschluss oder Erfüllung eines Vertrags:Die Verarbeitung personenbezogener Daten ist möglich, wenn sie erforderlich ist, sofern sie unmittelbar mit dem Abschluss oder der Erfüllung eines Vertrags zusammenhängt, und die Verarbeitung personenbezogener Daten der Vertragsparteien notwendig ist.
Rechtliche Verpflichtung: Wenn die Verarbeitung erforderlich ist, um die rechtlichen Verpflichtungen unseres Unternehmens zu erfüllen, können die Daten der betroffenen Person verarbeitet werden.
Öffentlichmachen durch die betroffene Person:Wenn die betroffene Person ihre personenbezogenen Daten selbst öffentlich gemacht hat, können die betreffenden personenbezogenen Daten nur in dem Umfang verarbeitet werden, der durch das Öffentlichmachen begrenzt ist.
Erforderlichkeit der Verarbeitung zur Geltendmachung, Ausübung oder Verteidigung eines Rechts:Wenn die Verarbeitung erforderlich ist, um ein Recht zu begründen, auszuüben oder zu schützen, können personenbezogene Daten der betroffenen Person verarbeitet werden.
Erforderlichkeit der Verarbeitung für das berechtigte Interesse unseres Unternehmens:Sofern dadurch die Grundrechte und Grundfreiheiten der betroffenen Person nicht beeinträchtigt werden, können personenbezogene Daten verarbeitet werden, wenn die Verarbeitung für die berechtigten Interessen unseres Unternehmens erforderlich ist.
LÖSCHUNG, VERNICHTUNG ODER ANONYMISIERUNG PERSONENBEZOGENER DATEN
Personenbezogene Daten werden vom Unternehmen auf Antrag der betroffenen Person gelöscht, vernichtet oder anonymisiert bzw. von Amts wegen gelöscht, vernichtet oder anonymisiert, wenn: die einschlägigen gesetzlichen Bestimmungen, die der Verarbeitung zugrunde liegen, geändert oder aufgehoben werden; der Zweck, der die Verarbeitung oder Aufbewahrung erfordert, entfällt; in Fällen, in denen die Verarbeitung ausschließlich auf der ausdrücklichen Einwilligung beruht, die betroffene Person ihre Einwilligung widerruft; die maximale Aufbewahrungsfrist abgelaufen ist und keine Voraussetzung besteht, die eine längere Aufbewahrung rechtfertigt.
Sofern der Ausschuss zum Schutz personenbezogener Daten keine gegenteilige Entscheidung trifft, wählt unser Unternehmen die geeignete Methode unter den Methoden des Löschens, Vernichtens oder Anonymisierens von Amts wegen nach Maßgabe der technologischen Möglichkeiten und der Umsetzungskosten. Auf Verlangen der betroffenen Person wird die Begründung der geeigneten Methode erläutert. Für jede dieser Maßnahmen werden die erforderlichen technischen und administrativen Vorkehrungen getroffen.
GETROFFENE TECHNISCHE UND ADMINISTRATIVE MASSNAHMEN
Unsere Praxis trifft gemäß Artikel 12 der KVKK und den Bestimmungen der Verordnung, den oben genannten allgemeinen Grundsätzen sowie dieser Richtlinie und den Entscheidungen des Ausschusses zum Schutz personenbezogener Daten unter Berücksichtigung der technologischen Möglichkeiten und der Umsetzungskosten die erforderlichen technischen und administrativen Maßnahmen in Bezug auf die nachstehenden Punkte:
- Die erforderliche Software und Hardware wurde festgelegt. Auf Computern und E-Mail-Konten werden starke Passwörter verwendet.
- Die zu schützenden Aspekte im Hinblick auf den Schutz von Patientendaten wurden unserem Personal durch Schulungen vermittelt; Verantwortlichkeiten wurden durch Arbeitsverträge schriftlich festgehalten. (Vertraulichkeitsvereinbarungen) Diese Verpflichtung gilt auch nach dem Ausscheiden der betreffenden Personen weiter.
- Die erforderliche Infrastruktur zur Sicherung (Backup) aller Daten wurde geschaffen.
- Die Mitarbeitenden, die auf die Daten auf den Computern zugreifen können, wurden festgelegt.
- Kunden-/Patientenakten und -informationen werden ausschließlich den Betroffenen selbst, den von ihnen schriftlich autorisierten Angehörigen, den zuständigen öffentlichen Einrichtungen und Organisationen im Rahmen der Rechtsvorschriften sowie in gerichtlichen Fällen den zuständigen Justizbehörden zur Verfügung gestellt.
- Bevor mit der Verarbeitung personenbezogener Daten begonnen wird, wird die Informationspflicht gegenüber den betroffenen Personen durch die Institution erfüllt.
- Ein Verzeichnis der Verarbeitung personenbezogener Daten wurde erstellt.
AUFBEWAHRUNGS- UND VERNICHTUNGSFRISTEN
Unsere Praxis bewahrt personenbezogene Daten nur so lange auf und vernichtet sie, wie es die einschlägigen Rechtsvorschriften, denen sie unterliegt, vorsehen oder wie es für den Zweck, zu dem sie verarbeitet werden, erforderlich ist.
Wenn die betroffene Person bei unserem Unternehmen die Vernichtung ihrer personenbezogenen Daten beantragt:
Wenn sämtliche Voraussetzungen der Verarbeitung personenbezogener Daten entfallen sind: Das Unternehmen schließt den Antrag der betroffenen Person spätestens innerhalb von dreißig Tagen ab und informiert die betroffene Person; wenn die dem Antrag unterliegenden personenbezogenen Daten an Dritte übermittelt wurden, informiert es den Dritten darüber und stellt sicher, dass die erforderlichen Maßnahmen beim Dritten durchgeführt werden.
Wenn sämtliche Voraussetzungen der Verarbeitung personenbezogener Daten nicht entfallen sind: Das Unternehmen kann den Antrag der betroffenen Person gemäß Absatz 3 des Artikels 13 der KVKK unter Angabe der Gründe ablehnen und teilt der betroffenen Person die Ablehnung spätestens innerhalb von dreißig Tagen schriftlich oder digital mit.
PERIODISCHE VERNICHTUNGSFRISTEN
Personenbezogene Daten werden im ersten periodischen Vernichtungsvorgang, der auf das Datum folgt, an dem die Verpflichtung zur Vernichtung personenbezogener Daten entsteht, vernichtet. In diesem Rahmen werden personenbezogene Daten, sobald die Verpflichtung zur Vernichtung entsteht, in Zeiträumen von 6 Monaten der Vernichtung unterzogen.
| PROZESS | AUFBEWAHRUNGSFRIST | VERNICHTUNGSFRIST |
| Erstellung von Verträgen | 10 Jahre ab Vertragsende | Im ersten periodischen Vernichtungszeitraum nach Ablauf der Aufbewahrungsfrist |
| Durchführung von Personalprozessen | 10 Jahre ab Beendigung der Tätigkeit | Im ersten periodischen Vernichtungszeitraum nach Ablauf der Aufbewahrungsfrist |
| Durchführung von Prozessen zum Zugriff auf Hardware und Software | 5 Jahre | Im ersten periodischen Vernichtungszeitraum nach Ablauf der Aufbewahrungsfrist |
| Erfassung von Besuchern und Sitzungsteilnehmern | 5 Jahre | Im ersten periodischen Vernichtungszeitraum nach Ablauf der Aufbewahrungsfrist |
| Aufzeichnungen personenbezogener Gesundheitsdaten | Für die in den einschlägigen Rechtsvorschriften vorgesehene Dauer | Im ersten periodischen Vernichtungszeitraum nach Ablauf der Aufbewahrungsfrist |
| Identitätsdaten | Für die in den einschlägigen Rechtsvorschriften vorgesehene Dauer | Im ersten periodischen Vernichtungszeitraum nach Ablauf der Aufbewahrungsfrist |
| Kameraaufnahmen
|
Für die in den einschlägigen Rechtsvorschriften vorgesehene Dauer | Im ersten periodischen Vernichtungszeitraum nach Ablauf der Aufbewahrungsfrist |
Diese Richtlinie gilt als in Kraft getreten, nachdem sie auf der Website veröffentlicht wurde.