POLITIQUE DE TRAITEMENT, DE PROTECTION ET DE CONFIDENTIALITÉ DES DONNÉES PERSONNELLES DE FRIGDENT
A. OBJET ET CHAMP D’APPLICATION
FRIGDENT, opérant sous la marque FRIGDENT, respecte les règles générales du droit depuis sa création, l’ordre juridique étant l’un des piliers de la vie sociale, et met tout en œuvre pour protéger les droits et intérêts des individus. La Politique de traitement, de protection et de confidentialité des données personnelles de FRIGDENT définit les principes fondamentaux de la conformité de ses activités avec la loi n° 6698 sur la protection des données personnelles (la « Loi PDP ») et définit les obligations de FRIGDENT à cet égard. La mise en œuvre de la Politique PDP de FRIGDENT pérennisera les principes de sécurité des données adoptés par FRIGDENT. Cette politique a été élaborée comme un guide pour la mise en œuvre de la loi PDP et des législations applicables. Les données personnelles des employés, des candidats à un emploi, des visiteurs, des patients, des proches des patients et des tiers, des institutions ou des organisations qui sont en relation en tant que prestataires de services, ainsi que les données personnelles d’autres tiers entrent dans le champ d’application de la présente politique et cette politique s’applique à tous les environnements d’enregistrement où les données personnelles sont traitées et aux activités liées au traitement des données personnelles détenues ou gérées par FRIGDENT.
B. DÉFINITIONS
Les termes utilisés dans la législation et dans la Politique FRİGDENT KVKK sont listés ci-dessous.
I. Données personnelles : Toute information relative à une personne physique identifiée ou identifiable.
II. Données personnelles particulières : Données relatives à la race, l’origine ethnique, les opinions politiques, les convictions philosophiques, la religion, les sectes ou autres convictions, le code vestimentaire, l’appartenance à une association, une fondation ou un syndicat, la santé, la vie sexuelle, les condamnations pénales et les mesures de sécurité, ainsi que les données biométriques et génétiques.
III. Propriétaire des données personnelles/Personne concernée : La personne physique dont les données personnelles sont traitées. Par exemple, les employés.
IV. Consentement explicite : consentement exprimé librement et fondé sur des informations préalables concernant une personne concernée.
V. Traitement des données personnelles : toute opération effectuée sur des données, telle que l’obtention, l’enregistrement, le stockage, la conservation, la modification, la réorganisation, la divulgation, le transfert, la reprise, la mise à disposition, la classification ou l’empêchement de leur utilisation, que ce soit en tout ou en partie par des moyens automatisés ou non, à condition qu’elle fasse partie d’un système d’enregistrement de données.
VI. Sous-traitant : personne physique ou morale qui traite des données personnelles pour le compte du responsable du traitement sur la base de l’autorisation accordée par celui-ci.
POLITIQUE DE TRAITEMENT, DE PROTECTION ET DE CONFIDENTIALITÉ DES DONNÉES PERSONNELLES
VII. Anonymisation : traitement de données personnelles de manière à ce qu’elles ne puissent pas être associées à la personne concernée, à condition que des mesures techniques et administratives soient prises pour empêcher leur association à une personne physique identifiée ou identifiable, et sans les regrouper avec d’autres données stockées dans un environnement différent.
VIII. Anonymisation : rendre les données personnelles impossibles à associer à une personne physique identifiée ou identifiable, même lorsqu’elles sont recoupées avec d’autres données.
IX. Loi sur la protection des données personnelles : Loi n° 6698 du 24 mars 2016 relative à la protection des données personnelles, publiée au Journal officiel n° 29677 du 7 avril 2016.
X. Conseil de protection des données personnelles : Conseil de protection des données personnelles.
XI. Institution de protection des données personnelles : Institution de protection des données personnelles.
C. MISE EN ŒUVRE DE LA POLITIQUE ET RESPONSABILITÉS
L’ensemble du personnel, des patients, des proches, des visiteurs et des tiers concernés au sein de FRIGDENT est tenu de respecter la Politique FRIGDENT KVKK et d’en surveiller le respect.
D. PRINCIPES DE LA POLITIQUE
1. PRINCIPES DE BASE ADOPTÉS PAR FRIGDENT
Les principes de base énumérés ci-dessous sont adoptés afin de garantir le respect de la législation sur la protection des données personnelles et d’en assurer le maintien :
a. Les données personnelles comprennent toutes les informations appartenant à une personne et permettant son identification. Leur protection constitue donc un intérêt supérieur pour le propriétaire des données. Il convient d’agir en étant conscient qu’il est de son devoir de faire preuve de diligence raisonnable quant au droit du propriétaire des données de savoir quelles données sont traitées, à quelle fin et si elles sont transférées ou non.
b. Le traitement des données est effectué dans le respect de la loi et des règles de loyauté.
c. Les données personnelles traitées doivent être exactes et à jour si nécessaire. Si elles sont inexactes, elles doivent être corrigées/mises à jour.
d. Les données personnelles sont traitées uniquement à des fins spécifiques, claires et légitimes, et dans la mesure requise par la finalité du traitement. Les données excédentaires ne doivent pas être traitées en prévision d’une utilisation ultérieure, et les droits du propriétaire des données et la finalité du traitement doivent être pris en compte conjointement.
e. Les données personnelles traitées sont conservées pendant la durée prévue par la législation applicable ou nécessaire à la finalité du traitement. En particulier, le délai prévu à l’article 138 du Code pénal turc et aux articles 4 et 7 de la loi sur la protection des données personnelles est respecté. FRİGDENT supprime, détruit ou anonymise les données personnelles à l’expiration du délai prévu par la législation ou après la disparition des motifs justifiant le traitement des données personnelles. 2. TRAITEMENT DES DONNÉES PERSONNELLES CONFORMÉMENT À LA LOI KVKK
Lors du traitement des données personnelles, les personnes concernées doivent se conformer aux conditions de traitement des données prévues aux articles 5 et 6 de la loi KVK, au Règlement relatif aux droits des patients et au Règlement sur le traitement des données de santé personnelles, sous réserve du respect des principes fondamentaux. Le traitement des données se déroule selon les étapes suivantes :
1- Le propriétaire des données doit être informé. Si le consentement explicite est requis pour le traitement des données, des informations doivent être fournies avant l’obtention du consentement (signature) ; si ce consentement n’est pas requis, avant le début du traitement. Il doit être expliqué quelles données seront traitées et pourquoi. En cas de traitement par enregistrement vidéo, des avertissements écrits doivent être placés aux endroits appropriés.
2- Il convient de déterminer si les conditions de traitement des données sont réunies. Dans le cas contraire, le traitement des données personnelles est interdit. Dans les cas suivants, l’existence de conditions de traitement est acceptée et le consentement n’est pas requis :
• Cela est clairement prévu par la loi (par exemple, l’obtention des informations d’identité du salarié est obligatoire en raison de l’obligation de déclaration à la Sécurité sociale).
• Le traitement des données personnelles des parties au contrat est nécessaire, à condition qu’il soit directement lié à la conclusion ou à l’exécution du contrat (par exemple, l’obtention du nom, du prénom et des coordonnées bancaires du vendeur est obligatoire pour le paiement du produit acheté).
• Les données personnelles peuvent être traitées si le responsable du traitement l’exige pour remplir son obligation légale, si elles sont rendues publiques par la personne concernée, si le traitement des données est nécessaire à la constatation, à l’exercice ou à la protection d’un droit, s’il ne porte pas atteinte aux droits et libertés fondamentaux de la personne concernée, et si le traitement des données est nécessaire aux intérêts légitimes du responsable du traitement.
• UN CONSENTEMENT EXPLICITE DOIT ÊTRE OBTENU pour le traitement de « données spéciales », telles que les données de santé, sauf dans les cas susmentionnés.
3- Il est nécessaire de limiter la quantité de données à traiter à « autant que nécessaire » et de ne pas traiter plus de données que nécessaire pour chaque finalité de traitement.
4- Le personnel de FRIGDENT doit se conformer aux règles énoncées dans la Constitution de la République de Turquie, le Code pénal turc, la loi sur la protection des données personnelles et autres lois applicables, ainsi qu’à la politique FRIGDENT KVKK, dans le cadre du traitement des données personnelles. Dans le cadre de ces explications, le traitement des données personnelles sera effectué chez FRIGDENT dans le cadre des conditions et finalités de traitement des données personnelles spécifiées aux articles 5 et 6 de la loi sur la protection des données personnelles et dans le cadre des finalités spécifiées ci-dessous ;
Données des patients, de leurs proches et de leurs partenaires commerciaux ;
• Traitement des données dans le cadre d’une relation contractuelle ; Les données personnelles du patient, de son entourage ou de son partenaire commercial (si le partenaire commercial est une personne morale, la personne autorisée du partenaire commercial) peuvent être traitées pour la conclusion, l’exécution et la résiliation du contrat sans qu’un consentement supplémentaire ne soit nécessaire. Les données personnelles avant et lors de la conclusion du contrat peuvent être traitées pour préparer une offre, un formulaire d’achat ou répondre aux exigences du Propriétaire des données personnelles concernant l’exécution du contrat.
• Traitement des données en raison d’une obligation légale de FRIGDENT ou tel que prévu expressément par la loi ; les données personnelles peuvent être traitées sans consentement si le traitement est clairement prévu par la législation applicable ou pour remplir une obligation légale déterminée par la législation. Le type et l’étendue du traitement des données doivent être nécessaires à l’activité de traitement légalement autorisée et doivent être conformes aux dispositions légales applicables. • Traitement des données conformément à l’intérêt légitime de FRIGDENT ; les données personnelles peuvent être traitées sans consentement lorsque cela est nécessaire à un intérêt légitime. Les intérêts légitimes sont généralement des intérêts juridiques (par exemple, le recouvrement de créances) ou économiques (par exemple, éviter les ruptures de contrat).
Données personnelles ;
• Traitement des données personnelles dans le cadre de la relation commerciale ; les données personnelles sont traitées sans consentement supplémentaire si cela est nécessaire à l’établissement, à l’exécution et à la résiliation du contrat de travail. Les données personnelles des candidats sont traitées dès l’initiation de la relation commerciale. En cas de rejet du candidat, ses informations sont conservées pendant une période de conservation appropriée en vue d’une sélection ultérieure, puis supprimées, détruites ou anonymisées à l’issue de cette période.
• Traitement des données effectué en vertu d’une disposition légale expresse ou d’une obligation légale de FRIGDENT ; les données personnelles de l’employé peuvent être traitées sans consentement supplémentaire si ce traitement est clairement prévu par la législation applicable ou afin de satisfaire à une obligation légale déterminée par la législation.
• Traitement des données conformément à l’intérêt légitime ; les données personnelles de l’employé peuvent être traitées sans consentement supplémentaire si un intérêt légitime de FRIGDENT est requis (par exemple, déclaration, exercice ou défense de droits légaux). Dans les cas où les intérêts des employés doivent être protégés, les données personnelles ne sont pas traitées à des fins d’intérêt légitime. Avant de traiter les données, il est déterminé s’il existe des intérêts légitimes à protéger. Lorsque les données des employés sont traitées sur la base de l’intérêt légitime de FRIGDENT, la proportionnalité du traitement est examinée. Il est vérifié que l’intérêt légitime de FRIGDENT à prendre cette mesure de contrôle ne porte pas atteinte à un droit de l’employé concerné devant être protégé, et cette mesure n’est appliquée que si elle est proportionnée.
Données des visiteurs ;
Les données des visiteurs peuvent être traitées sans consentement supplémentaire (conformément à l’intérêt légitime de FRIGDENT) en raison de l’obligation d’assurer la sécurité de FRIGDENT, du personnel et/ou des patients (obligations contractuelles et légales) en les enregistrant dans des enregistrements vidéo et des registres d’accueil, afin de garantir la sécurité et l’ordre dans les locaux et à titre de preuve dans d’éventuelles poursuites judiciaires. L’avertissement concernant l’enregistrement vidéo doit être inscrit aux endroits appropriés.
3. TRANSFERT DE DONNÉES PERSONNELLES CONFORMÉMENT À LA LPPD
Lors des transferts de données personnelles effectués par FRIGDENT (partage actif de données personnelles avec des tiers ou ouverture de données personnelles à des tiers), les conditions de transfert de données personnelles prévues aux articles 8 et 9 de la loi LPPD doivent être respectées. Les données relatives à l’origine ethnique, aux opinions politiques, aux convictions philosophiques, à la religion, à une secte ou à d’autres convictions, à l’apparence et à la tenue vestimentaire, à l’appartenance à une association, une fondation ou un syndicat, à la santé, à la vie sexuelle, aux condamnations pénales et aux mesures de sécurité des personnes, ainsi que d’autres données, à l’exception des données biométriques et génétiques, peuvent être transférées dans les cas suivants :
• Lois expressément prévues (par exemple, en vertu de la législation SGK, il est obligatoire de communiquer les informations d’identité de l’employé à la SGK). • Si le traitement des données personnelles des parties est directement lié à la conclusion ou à l’exécution d’un contrat, il est nécessaire (par exemple, la transmission du nom, du prénom et des informations bancaires du vendeur à la banque est obligatoire pour le paiement du produit acheté).
• Si le responsable du traitement est tenu de remplir son obligation légale, si les données sont rendues publiques par la personne concernée, si le traitement des données est obligatoire pour la constatation, l’exercice ou la protection d’un droit, et s’il ne porte pas atteinte aux droits et libertés fondamentaux de la personne concernée, les données personnelles peuvent être transférées dans les cas où cela est nécessaire aux intérêts légitimes du responsable du traitement (par exemple, la transmission de données sur les médicaments utilisés par le personnel ou leurs maladies, le cas échéant, au personnel de santé est obligatoire si nécessaire).
• Les données personnelles ne peuvent être transférées à l’étranger sans le consentement explicite de la personne concernée.
4. GARANTIR LA SÉCURITÉ DES DONNÉES PERSONNELLES
FRIGDENT doit prendre toutes les mesures nécessaires, compte tenu de la nature des données à protéger et dans la mesure du possible, afin de prévenir toute divulgation, tout transfert ou tout accès illicite aux données personnelles, ou toute autre faille de sécurité. Dans ce contexte, des mesures administratives et techniques doivent être prises, un système de contrôle doit être mis en place au sein de l’entreprise et, en cas de divulgation illicite de données personnelles, la procédure doit être mise en œuvre conformément à la loi sur la protection des données personnelles.
a. Les mesures administratives prises pour garantir la légalité du traitement et du transfert des données personnelles et pour prévenir tout accès illicite aux données personnelles sont les suivantes :
• Former et sensibiliser les employés à la protection des données personnelles.
• En cas de transfert de données personnelles, des documents attestant que la partie destinataire des données personnelles respectera ses obligations en matière de sécurité des données sont joints aux contrats conclus avec les personnes concernées. Dans ce contexte, la partie destinataire du transfert s’engage à prendre toutes les mesures nécessaires pour protéger les données personnelles et à garantir leur mise en œuvre au sein de son organisation.
• Les processus mis en œuvre par le personnel sont examinés en détail et les activités de traitement des données personnelles réalisées dans le cadre de ces processus sont définies pour chaque unité.
Dans ce contexte, les mesures à prendre pour garantir la conformité des activités de traitement des données aux conditions de traitement des données personnelles prévues par la loi sur la protection des données personnelles sont définies.
b. Mesures techniques prises pour garantir la licéité du traitement et du transfert des données personnelles et pour prévenir tout accès illicite aux données personnelles sont les suivantes :
• Des mesures techniques ont été prises dans la mesure du possible en matière de protection des données personnelles, et ces mesures doivent être mises à jour et améliorées en fonction des évolutions technologiques.
• Un personnel expert est employé pour les questions techniques.
• Des inspections régulières doivent être effectuées pour garantir la mise en œuvre des mesures prises.
• Les logiciels et systèmes assurant la sécurité sont mis à jour.
• L’accès aux données personnelles traitées par le personnel est limité à l’employé concerné, conformément à la finalité du traitement.
c. Audit de la protection des données personnelles
La conformité, le fonctionnement et l’efficacité des mesures techniques, administratives et pratiques prises par FRIGDENT dans le cadre de la protection et de la sécurité des données personnelles avec la législation, les politiques, les procédures et les instructions applicables sont audités par le médecin-chef. Les résultats des audits réalisés sont communiqués. Le suivi régulier des actions planifiées suite aux résultats des audits est la responsabilité principale des responsables des processus. Les activités visant à assurer le développement et l’amélioration des mesures prises en matière de protection des données, sans se limiter aux résultats des audits, sont menées par l’unité compétente.
d. Mesures à prendre en cas de divulgation illicite de données personnelles : FRIGDENT doit immédiatement informer le conseil d’administration de la KVKK et les propriétaires de données concernés si les données personnelles qu’elle traite sont obtenues par des personnes non autorisées en violation de la loi. La procédure de notification de violation de données doit être mise en œuvre simultanément.
5. RESPONSABILITÉS RELATIVES AU TRAITEMENT DES DONNÉES PERSONNELLES
FRIGDENT doit se conformer aux obligations imposées aux responsables du traitement par la loi sur la protection des données personnelles.
a. Obligation d’inscription au registre des responsables du traitement des données (VERBIS) : Les informations à fournir au registre des responsables du traitement des données lors de la demande d’inscription sont les suivantes :
1. Informations sur l’identité et les adresses du responsable du traitement des données et de son représentant, le cas échéant ;
2. Finalité du traitement des données à caractère personnel ;
3. Informations sur les groupes de personnes concernées et les catégories de données à caractère personnel traitées pour ces personnes ;
4. Personne(s) à laquelle/auxquelles les données à caractère personnel peuvent être transférées ;
5. Durée maximale de conservation requise aux fins du traitement des données à caractère personnel ;
6. Mesures prises pour garantir la sécurité des données à caractère personnel traitées.
b. Obligation d’information du propriétaire des données : Les informations à fournir aux propriétaires des données dans le cadre de l’obligation d’information sont les suivantes :
1. Identité du responsable du traitement et de son représentant, le cas échéant ;
2. Finalité du traitement des données personnelles ;
3. À qui et dans quel but les données personnelles traitées peuvent être transférées ;
4. Méthode et base juridique de la collecte des données personnelles ;
5. Droits de la personne concernée énumérés à l’article 11 de la loi relative à la protection des données personnelles.
c. Obligation de collecter et de transférer les données personnelles conformément à la loi : Le propriétaire des données doit être informé des données traitées et de leur finalité, ainsi que de leur éventuel transfert. Les données collectées doivent être traitées conformément à la loi et aux règles de loyauté.
Les données personnelles doivent être traitées uniquement à des fins spécifiques, claires et légitimes, et dans la mesure requise par la finalité du traitement, et doivent être exactes et à jour. Si la raison du traitement des données traitées a été supprimée, les systèmes internes nécessaires à leur suppression, leur anonymisation ou leur destruction doivent être mis en place.
d. Obligation de garantir la sécurité des données personnelles : Afin que le propriétaire des données ne subisse aucune perte de droits, FRIGDENT doit prendre toutes les mesures techniques et administratives nécessaires pour empêcher le traitement illicite des données personnelles, empêcher l’accès illicite aux données personnelles et assurer la conservation des données personnelles, afin de garantir un niveau de sécurité approprié. FRIGDENT est tenue d’effectuer ou de faire effectuer les inspections nécessaires dans le cadre du fonctionnement des mécanismes visant à garantir la sécurité des données.
e. Obligation de se conformer aux décisions du Conseil de protection des données personnelles : FRIGDENT doit agir conformément aux décisions du Conseil de protection des données personnelles, qui est l’organe exécutif du Conseil de protection des données personnelles et veille à ce que les données personnelles soient traitées conformément aux droits et libertés fondamentaux.
f. Obligation de répondre aux demandes des propriétaires de données : FRIGDENT, en tant que responsable du traitement, doit répondre aux demandes écrites des propriétaires de données concernant leurs données personnelles dans les meilleurs délais et au plus tard dans un délai de trente (30) jours, selon la nature de la demande. Les propriétaires de données personnelles peuvent s’adresser aux responsables du traitement et formuler des demandes concernant les points suivants :
1. Savoir si des données personnelles ont été traitées ;
2. Demander des informations si des données personnelles ont été traitées ;
3. Connaître la finalité du traitement des données personnelles et savoir si elles sont utilisées conformément à leur finalité ;
4. Connaître les tiers auxquels les données personnelles sont transférées, en France ou à l’étranger ;
5. Demander la rectification des données personnelles si elles sont traitées de manière incomplète ou incorrecte ;
6. Demander la suppression ou la destruction des données personnelles dans le cadre des conditions prévues à l’article 7 du KVKK ;
7. Demander la notification de la situation aux tiers auxquels les données personnelles sont transférées en cas de rectification, de suppression ou de destruction des données ;
8. S’opposer à ce que l’analyse des données traitées exclusivement par des systèmes automatisés ait des conséquences préjudiciables à la personne concernée ;
9. Demander réparation du préjudice subi en raison d’un traitement illicite des données personnelles.
PUBLICATION ET CONSERVATION DE LA POLITIQUE ÉLECTRONIQUE
La présente politique est publiée sous deux formes : imprimée et électronique, et est accessible au public sur le site web. La version imprimée est également conservée par le responsable du traitement des données.
F- MISE À JOUR DE LA POLITIQUE
Elle entre en vigueur dès son approbation par le Conseil d’administration. Elle est révisée si nécessaire et les sections nécessaires sont mises à jour. Les modalités d’application, qui seront définies conformément à la présente politique et préciseront la mise en œuvre des points qui y sont mentionnés dans des domaines spécifiques, seront précisées sous forme d’ajouts à la réglementation applicable. La Politique FRİGDENT KVKK a été publiée sur le site web et mise à disposition du public. En cas de conflit entre la législation en vigueur, notamment la loi KVK, et la réglementation incluse dans la présente politique, les dispositions de la législation prévalent.