04/10/2022
Política de Descarte de Dados Pessoais
O responsável pelos dados, Private Cinik Polyclinic (ERC Estetik Turizm Sağlık Hizmetleri Tic. Ltd. Şti.), armazena e exclui seus dados pessoais de acordo com os princípios gerais e regulamentos estabelecidos nesta Política de Armazenamento e Descarte de Dados Pessoais, elaborada em conformidade com a Constituição, a Lei de Proteção de Dados Pessoais nº 6698, o Regulamento sobre a Exclusão, Destruição ou Anonimização de Dados Pessoais e outras legislações pertinentes.
Com esta política, a empresa tem como objetivo estabelecer os princípios gerais sobre o armazenamento e descarte de dados pessoais processados no âmbito da PDPL (Lei de Proteção de Dados Pessoais) e cumprir as obrigações determinadas pela legislação.
Definições
- Consentimento Expresso: Consentimento sobre um assunto específico, baseado em informações e manifestado de forma livre.
- Grupo de Destinatários: Categoria de pessoa física ou jurídica para a qual os dados pessoais são transferidos pelo controlador de dados.
- Anonimização: Tornar os dados pessoais impossíveis de serem associados a uma pessoa identificada ou identificável de qualquer forma, mesmo quando combinados com outros dados.
- Usuário Relevante: Pessoa que processa dados pessoais dentro da organização do controlador de dados ou conforme autorização e instrução deste, excluindo aqueles responsáveis pelo armazenamento técnico, proteção e backup dos dados.
- Destruição: Exclusão, eliminação ou anonimização de dados pessoais.
- Dados Pessoais: Qualquer informação relacionada a uma pessoa identificada ou identificável (ex.: nome, sobrenome, CPF, e-mail, endereço, data de nascimento, número de cartão de crédito, número de conta bancária).
- Pessoa Relevante: Pessoa física cujos dados pessoais são processados.
- Processamento de Dados Pessoais: Qualquer operação realizada sobre dados pessoais, como coleta, armazenamento, alteração, transferência ou exclusão.
- Dados Pessoais Sensíveis: Dados sobre raça, etnia, opinião política, crença filosófica, religião, vestuário, filiação a associações, fundações ou sindicatos, saúde, vida sexual, antecedentes criminais, dados biométricos e genéticos.
- Destruição Periódica: Exclusão, eliminação ou anonimização de dados pessoais realizada automaticamente em intervalos regulares, conforme especificado nesta política, caso todas as condições para o processamento de dados pessoais tenham sido eliminadas.
Ambientes de Registro Regulados pela Política
Esta política abrange todos os dados pessoais sujeitos a atividades de processamento de dados no âmbito da Lei de Proteção de Dados Pessoais (KVKK), tanto em formatos físicos quanto digitais.
Os dados pessoais são armazenados nos seguintes ambientes:
- Computadores corporativos
- Contas de e-mail
- Computadores de mesa e dispositivos móveis dos funcionários
- Áreas de backup
- Arquivos em papel, pastas, registros de visitantes
- CDs, DVDs, USBs, discos rígidos, impressoras e fotocopiadoras
Motivos para Armazenamento e Descarte de Dados Pessoais
O processamento de dados pessoais é baseado nos seguintes princípios:
- Conformidade com a lei e o princípio da boa-fé
- Garantia de que os dados são precisos e atualizados quando necessário
- Processamento para fins específicos, legítimos e explícitos
- Dados limitados ao necessário para o propósito específico
- Retenção apenas pelo período exigido pela legislação ou pelo tempo necessário para os fins do processamento
Nossa empresa armazena e processa dados pessoais conforme os artigos 5 e 6 da Lei de Proteção de Dados Pessoais (KVKK). Caso essas condições desapareçam, os dados são excluídos automaticamente ou mediante solicitação do titular dos dados.
Condições para o Processamento de Dados Pessoais
- Consentimento expresso do titular
- Previsão legal: Processamento autorizado por lei sem necessidade de consentimento
- Impossibilidade de obtenção do consentimento devido a uma emergência que afete a vida ou integridade física da pessoa
- Necessidade contratual: Dados essenciais para a execução de um contrato
- Obrigação legal: Quando o processamento for necessário para cumprir uma exigência legal
- Publicação dos dados pelo próprio titular
- Proteção de um direito: Quando o processamento for essencial para o exercício ou defesa de um direito
- Interesse legítimo da empresa, desde que não afete os direitos fundamentais do titular
Exclusão, Descarte ou Anonimização de Dados Pessoais
Os dados pessoais estão sujeitos a alterações ou revogação das disposições da legislação aplicável que servem de base para o seu processamento. Caso o propósito que justificava o armazenamento ou processamento dos dados desapareça, ou se os dados forem processados apenas com base no consentimento expresso e o titular retirar esse consentimento, os dados serão excluídos, destruídos ou anonimizados pela empresa, seja automaticamente ou mediante solicitação do titular.
Se o período máximo de retenção dos dados tiver expirado e não houver mais justificativa para mantê-los, a empresa tomará as medidas apropriadas para excluí-los, destruí-los ou anonimizar os dados de acordo com as regulamentações vigentes.
Caso a Autoridade de Proteção de Dados Pessoais não determine outra decisão, a empresa escolherá o método adequado para exclusão, destruição ou anonimização dos dados pessoais, levando em consideração as possibilidades tecnológicas e o custo de implementação. A pedido do titular dos dados, a empresa fornecerá justificativa para o método adotado. Todas as medidas técnicas e administrativas necessárias serão implementadas durante esse processo.
Medidas Técnicas e Administrativas Adotadas
A empresa adota medidas técnicas e administrativas conforme as possibilidades tecnológicas e os custos de implementação, em conformidade com o Artigo 12 da PDPL (Lei de Proteção de Dados Pessoais), o Regulamento sobre Exclusão de Dados Pessoais, os princípios gerais mencionados nesta política e as decisões da Autoridade de Proteção de Dados Pessoais.
As principais medidas adotadas incluem:
Definição e implementação dos softwares e hardwares necessários para garantir a segurança dos dados.
Utilização de senhas fortes em computadores e contas de e-mail.
Treinamento dos funcionários sobre a importância da proteção dos dados dos clientes e suas responsabilidades contratuais. Os termos de confidencialidade permanecem válidos mesmo após o desligamento do funcionário.
Criação de infraestrutura adequada para o backup de todos os dados armazenados.
Restrição de acesso aos dados pessoais apenas para funcionários autorizados.
Garantia de que os arquivos e informações dos clientes sejam compartilhados apenas com:
As próprias pessoas interessadas.
Seus representantes legais devidamente autorizados.
Órgãos públicos dentro dos limites da legislação.
Autoridades judiciais competentes em casos legais.
Cumprimento da obrigação de informar os titulares dos dados antes do processamento de suas informações.
Criação e manutenção de um inventário de processamento de dados pessoais.
Prazos de Armazenamento e Descarte
A empresa armazena e exclui dados pessoais apenas pelo período especificado na legislação aplicável ou pelo tempo necessário para os fins para os quais foram processados.
Solicitação do Titular para Exclusão de Dados
Se o titular dos dados solicitar a exclusão de seus dados pessoais, a empresa seguirá os seguintes procedimentos:
Se todas as condições para o processamento dos dados pessoais tiverem sido eliminadas:
A empresa atenderá ao pedido em no máximo 30 dias e informará o titular da exclusão.
Caso os dados tenham sido compartilhados com terceiros, a empresa garantirá que a exclusão seja realizada também por esses terceiros.
Se ainda houver justificativa legal para o processamento dos dados:
A empresa poderá recusar o pedido, explicando os motivos ao titular.
O titular será informado da decisão dentro de 30 dias, seja por meio digital ou por escrito.
Periodic Disposal Times
No primeiro processo de destruição periódica após a data em que surge a obrigação de excluir os dados pessoais, os dados são eliminados. Nesse contexto, se a obrigação de destruir os dados pessoais for aplicável, a exclusão ocorre dentro de um prazo de 6 meses.
| Processo | Tempo de Armazenamento | Prazo de Descarte |
|---|---|---|
| Preparação de Contratos | 10 anos após o término do contrato | No primeiro período de descarte após o fim do período de armazenamento |
| Execução de Processos de Recursos Humanos | 10 anos após o término da atividade | No primeiro período de descarte após o fim do período de armazenamento |
| Execução de Processos de Acesso a Hardware e Software | 5 anos | No primeiro período de descarte após o fim do período de armazenamento |
| Registro de Visitantes e Participantes de Reuniões | 5 anos | No primeiro período de descarte após o fim do período de armazenamento |
| Registro de Dados de Saúde Pessoal | Pelo período especificado na legislação | No primeiro período de descarte após o fim do período de armazenamento |
| Dados de Identificação | Pelo período especificado na legislação | No primeiro período de descarte após o fim do período de armazenamento |
| Registros de Câmeras | Mantidos por pelo menos 2 meses conforme o Regulamento de Hospitais Privados | No primeiro período de descarte após o fim do período de armazenamento |
Esta política entra em vigor após sua publicação no site.