תוכן עניינים

1. מבוא 1
   1. מטרה והיקף 1
   2. הגדרות 1
2. עקרונות כלליים ותנאים לעיבוד נתונים אישיים 3
   1. עקרונות לעיבוד נתונים אישיים 4
   2. תנאים לעיבוד נתונים אישיים 4
   3. תנאים לעיבוד נתונים אישיים בעלי אופי מיוחד 6

• קטגוריות של נתונים אישיים המעובדים על ידי SMILE HAIR CLINIC 7

1. העברת נתונים אישיים 9
   1. העברת נתונים אישיים 9
   2. העברת נתונים אישיים בעלי אופי מיוחד 11
2. סוגיות הנוגעות להגנת נתונים אישיים 11
   1. פעילויות הדרכה 13
   2. פעילויות ביקורת 13
3. שמירה והשמדת נתונים אישיים 13

• הבהרה ויידוע האדם הנוגע בדבר 14
• זכויות האדם הנוגע בדבר ומימוש זכויות אלו 15

1. תגובת SMILE HAIR CLINIC לבקשות 15
2. תוקף המדיניות ותדירות העדכון 16

תאריך מסמך:

תאריך עריכה:

מספר רוויזיה:

I.                   מבוא

א.    מטרה והיקף

מדיניות זו מסדירה את העקרונות שאומצו על ידי **Smile Hair Clinic** בהגנה ועיבוד נתונים אישיים.

במסגרת מדיניות זו, מטרתנו לספק הסברים לגבי פעילויות עיבוד הנתונים האישיים והמערכות שאומצו להגנת נתונים אישיים על ידי **Smile Hair Clinic**, ובכך להבטיח שקיפות על ידי יידוע האדם הנוגע בדבר, לרבות מקבלי מוצרים או שירותים, עובדים ומועמדים לעבודה, לקוחות פוטנציאליים, בעלי מניות, מבקרים, משתתפים, ספקים וצדדים שלישיים; להבטיח יצירה ויישום סטנדרטים בניהול נתונים אישיים; להגדיר ולתמוך ביעדים ובחובות ארגוניים; להקים מנגנוני בקרה התואמים רמת סיכון מקובלת; לציית לעקרונות ולכללים שנקבעו על ידי הסכמים בינלאומיים, חוקה, חוקים, תקנות, חוזים וכל דין אחר הנוגע להגנת נתונים אישיים; ולהגן בצורה הטובה ביותר על הזכויות והחירויות הבסיסיות של האדם הנוגע בדבר. בנוסף, מדיניות זו מכסה את כל מערכות ואמצעי אחסון הנתונים הפיזיים והאלקטרוניים המשמשים לעיבוד נתונים אישיים ונתונים אישיים בעלי אופי מיוחד, בין אם באופן אוטומטי ובין אם לאו, כחלק ממערכת רישום נתונים כלשהי.

ב.     הגדרות

II.                עקרונות כלליים ותנאים לעיבוד נתונים אישיים

**Smile Hair Clinic**, בהתאם לסעיף 20 לחוקה, סעיף 4 ל-KVKK, וסעיף 5 ל-GDPR, מבצעת פעילויות עיבוד נתונים אישיים באופן חוקי והוגן, מדויק ועדכני לפי הצורך; מתוך מטרות מוגדרות, ברורות ולגיטימיות; ובאופן קשור למטרה, מוגבל ומידתי. בהקשר זה, כלפי תושבי טורקיה, בהתאם לסעיף 5 ל-KVKK, היא מעבדת נתונים אישיים על בסיס אחד או יותר מהתנאים המפורטים בסעיף 5 ל-KVKK לגבי עיבוד נתונים אישיים, ושומרת נתונים אישיים למשך הזמן הקבוע בחוק ו/או הנדרש למטרת עיבוד הנתונים האישיים. בנוסף, היא פועלת בהתאם לתקנות החלות על עיבוד נתונים אישיים בעלי אופי מיוחד בהתאם לסעיף 6 ל-KVKK, ובהתאם לסעיפים 8 ו-9 ל-KVKK, היא פועלת בהתאם לתקנות הקבועות בחוק ואלה שנקבעו על ידי מועצת KVK לגבי העברת נתונים אישיים. בהתאם לסעיף 10 ל-KVKK, היא מיידעת את האדם הנוגע בדבר ומספקת את המידע הנדרש במקרה שהאדם הנוגע בדבר מבקש מידע. יחד עם זאת, כל הפעילויות הנ"ל מבוצעות גם כלפי תושבי אירופה בהתאם להוראות הרלוונטיות של ה-GDPR.

א.     עקרונות לעיבוד נתונים אישיים

הנתונים האישיים שלך מעובדים על ידי **Smile Hair Clinic** בהתאם לעקרונות עיבוד הנתונים האישיים המפורטים בסעיף 4 ל-KVKK ובסעיף 5 ל-GDPR. עקרונות אלו מחייבים לגבי כל פעילות עיבוד נתונים אישיים:

עיבוד נתונים אישיים בהתאם לחוק וכללי הגינות:

בעיבוד הנתונים האישיים שלך, אנו פועלים בהתאם לחוקים, לתקנות המשנה ולעקרונות המשפט הכלליים; אנו מקפידים לעבד נתונים אישיים בהגבלה למטרת העיבוד ולשקול את הציפיות הסבירות של האדם הנוגע בדבר.

דיוק ועדכון הנתונים האישיים:

אנו מקפידים לבדוק אם הנתונים האישיים המעובדים שלך עדכניים, ומבצעים בדיקות בנושא. לאדם הנוגע בדבר ניתנת הזכות לדרוש תיקון או מחיקה של נתונים שאינם מדויקים או עדכניים.

עיבוד נתונים אישיים למטרות מוגדרות, ברורות ולגיטימיות:

לפני כל פעילות עיבוד נתונים אישיים, מטרות העיבוד מזוהות, ומקפידים שהמטרות יהיו חוקיות.

קשר, הגבלה ומידיות למטרת עיבוד הנתונים האישיים:

פעילות עיבוד הנתונים מוגבלת לנתונים האישיים הנדרשים להשגת מטרת האיסוף, וננקטים אמצעים טכניים ואדמיניסטרטיביים נדרשים כדי למנוע עיבוד נתונים אישיים שאינם קשורים למטרה זו.

שמירה על נתונים אישיים למשך הזמן הנדרש על פי החוק או מטרות העיבוד:

לאחר שהסתיימה מטרת עיבוד הנתונים האישיים, או לאחר תום התקופה הקבועה בחוק, הנתונים האישיים נמחקים, מושמדים או הופכים לאנונימיים.

ב.     תנאים לעיבוד נתונים אישיים

הנתונים האישיים שלך מעובדים על ידי **Smile Hair Clinic** אם מתקיים לפחות אחד מתנאי עיבוד הנתונים האישיים המפורטים בסעיף 5 ל-KVKK ובסעיף 6 ל-GDPR וההמשך. הסברים לתנאים אלו מפורטים להלן:

קיום הסכמה מפורשת של האדם הנוגע בדבר:

נתוניו האישיים של האדם הנוגע בדבר יכולים להיות מעובדים רק אם הוא נתן את הסכמתו החופשית, עם ידע מספק לגבי פעילות עיבוד הנתונים האישיים, ללא כל היסוס, ומוגבלת רק לאותה פעולה.

קביעה מפורשת בחוק:

נתונים אישיים יכולים להיות מעובדים ללא הסכמה מפורשת של האדם הנוגע בדבר, במסגרת ההסדר המשפטי הרלוונטי, אם נקבע כך במפורש בחוק.

אי יכולת לקבל הסכמה מפורשת של האדם הנוגע בדבר עקב אי אפשרות פיזית ונחיצות עיבוד הנתונים האישיים:

נתונים אישיים השייכים לאדם שאינו יכול להביע את הסכמתו או שהסכמתו אינה תקפה מבחינה משפטית, יכולים להיות מעובדים ללא צורך בהסכמה מפורשת, אם עיבוד הנתונים האישיים חיוני להגנה על חייו או שלמות גופו של האדם הנוגע בדבר או של צד שלישי.

פעילות עיבוד נתונים אישיים קשורה ישירות ונדרשת ליצירת או ביצוע חוזה:

אם עיבוד הנתונים האישיים של הצדדים לחוזה שנחתם או חתום כעת בין האדם הנוגע בדבר לבין **Smile Hair Clinic** נדרש, ניתן לבצע את פעילות עיבוד הנתונים האישיים ללא צורך בהסכמה מפורשת.

הכרח בביצוע פעילות עיבוד נתונים אישיים למען מילוי חובתו המשפטית של בקר הנתונים:

נתונים אישיים יכולים להיות מעובדים ללא צורך בהסכמה מפורשת, למטרת מילוי התחייבויות משפטיות הקבועות בחקיקה הקיימת.

האדם הנוגע בדבר פירסם את נתוניו האישיים:

נתונים אישיים שנחשפו לציבור בכל דרך על ידי האדם הנוגע בדבר והפכו לנגישים לכל, יכולים להיות מעובדים ללא הסכמה מפורשת של האדם הנוגע בדבר, במידה מוגבלת למטרת הפרסום.

הכרח בעיבוד נתונים אישיים לשם ייסוד, שימוש או הגנה על זכות:

נתונים אישיים של האדם הנוגע בדבר יכולים להיות מעובדים אם עיבוד הנתונים חיוני לשם ייסוד, שימוש או הגנה על זכות.

הכרח בעיבוד נתונים לצורך אינטרסים לגיטימיים של בקר הנתונים, בתנאי שאינו פוגע בזכויות וחירויות היסוד של האדם הנוגע בדבר:

ניתן לעבד נתונים אישיים בכפוף לאיזון אינטרסים של האדם הנוגע בדבר. בהקשר זה, בעיבוד נתונים על בסיס אינטרס לגיטימי, קודם כל נקבע האינטרס הלגיטימי ש**Smile Hair Clinic** תשיג כתוצאה מפעילות העיבוד. ההשפעה האפשרית של עיבוד הנתונים האישיים על זכויות וחירויות האדם הנוגע בדבר מוערכת, ואם נראה שהאיזון לא הופר, ניתן לבצע את פעילות העיבוד ללא צורך בהסכמה מפורשת.

ג.    תנאים לעיבוד נתונים אישיים בעלי אופי מיוחד

סעיף 6 ל-KVKK מפרט נתונים אישיים בעלי אופי מיוחד באופן מוגבל. אלה הם: גזע, מוצא אתני, דעות פוליטיות, אמונות פילוסופיות, דת, עדה או אמונות אחרות, לבוש, חברות בעמותות, קרנות או איגודים מקצועיים, בריאות, חיי מין, הרשעות פליליות ונתונים הקשורים לאמצעי אבטחה, וכן נתונים ביומטריים וגנטיים.

**Smile Hair Clinic** יכולה לעבד נתונים אישיים בעלי אופי מיוחד במקרים הבאים, תוך נקיטת אמצעים נוספים שנקבעו על ידי המועצה:

עיבוד נתונים אישיים בעלי אופי מיוחד, למעט נתוני בריאות וחיי מין:

ניתן לעבדם אם האדם הנוגע בדבר נתן הסכמה מפורשת, או אם נקבע כך במפורש בחוק, ללא צורך בהסכמה מפורשת של האדם הנוגע בדבר.

נתונים אישיים הקשורים לבריאות ולחיי מין:

ניתן לעבדם אם האדם הנוגע בדבר נתן הסכמה מפורשת, או למטרות הגנת בריאות הציבור, רפואה מונעת, אבחון רפואי, שירותי טיפול וטיפול, תכנון וניהול שירותי בריאות ומימונם, על ידי אנשים הכפופים לחובת סודיות או על ידי מוסדות וארגונים מוסמכים, ללא צורך בהסכמה מפורשת של האדם הנוגע בדבר.

ללא קשר לסיבת העיבוד, עקרונות עיבוד הנתונים הכלליים נלקחים בחשבון תמיד בתהליכי העיבוד, ומוטבת עמידה בעקרונות אלו. בנוגע להגנה על נתונים בעלי אופי מיוחד, "מדיניות הגנת נתונים אישיים בעלי אופי מיוחד" נכנסה לתוקף בחברתנו, ויחידות העבודה שלנו פועלות על פי הוראות מדיניות זו ונוקטות את האמצעים הנדרשים.

יתר על כן, עיבוד נתונים אישיים בעלי אופי מיוחד אפשרי אם מתקיים לפחות אחד מהמקרים הבאים המפורטים בסעיף 9 ל-GDPR. במקרה של קיום תנאים אלו, ניתן לעבד נתונים אישיים בעלי אופי מיוחד עם רמת האבטחה המתאימה הקבועה גם ב-KVKK. סוגיות אלו צוינו במפורש גם במדיניות הגנת נתונים אישיים בעלי אופי מיוחד שהוכנה על ידינו:

• במקרה של הסכמה מפורשת של האדם הנוגע בדבר
• לצורך מילוי חובות בקר הנתונים במסגרת חוק העבודה וחוק הביטוח הלאומי
• במקרה שהאדם הנוגע בדבר אינו יכול לתת הסכמה פיזית או משפטית
• במקרה שהנתונים פורסמו בציבור על ידי האדם הנוגע בדבר
• במקרה של טענות משפטיות, ובמסגרת זו, אם עיבוד הנתונים נדרש במסגרת השיפוט הרלוונטי
• עיבוד נתונים לטובת הציבור, בכפוף לנקיטת אמצעים טכניים ואדמיניסטרטיביים נדרשים
• למטרות רפואה מונעת או רפואה תעסוקתית
• למטרות ביצוע פעילויות ארכיון ומחקר למען הציבור בהתאם לסעיף 89/1 ל-GDPR, על בסיס חוקי האיחוד האירופי.

III.             קטגוריות של נתונים אישיים המעובדים על ידי SMILE HAIR CLINIC

על ידי **Smile Hair Clinic**, בהתאם ל-KVKK ול-GDPR ולהוראות חקיקה רלוונטיות אחרות, נתונים אישיים של האדם הנוגע בדבר מעובדים במסגרת המטרות והתנאים המפורטים במדיניות זו.

נכללים בקטגוריות אלו.

IV.             העברת נתונים אישיים

העברת נתונים מתבצעת על מנת להבטיח את הגשמת מטרות הפעילות וההקמה של **Smile Hair Clinic**, לספק לחברתנו שירותים נדרשים לפעילות המסחרית של **Smile Hair Clinic** המתקבלים ממקורות חיצוניים מספקים, להבטיח את יישום מדיניות משאבי האנוש והתעסוקה, להבטיח את מילוי החובות ונקיטת האמצעים הנדרשים במסגרת בריאות ובטיחות בתעסוקה, ולהגיש מידע נדרש למוסדות ציבוריים מוסמכים.

**Smile Hair Clinic** אינה מעבירה נתונים אישיים השייכים לאנשים נוגעים בדבר לצדדים אחרים ללא הסכמה מפורשת של האדם הנוגע בדבר, למעט במקרים שבהם KVKK, GDPR או חקיקה רלוונטית אחרת מחייבת העברה למוסדות אדמיניסטרטיביים ושיפוטיים.

עם זאת, במקרים שבהם קיימת עילת חוקיות, **Smile Hair Clinic** יכולה להעביר את הנתונים האישיים ואת הנתונים האישיים בעלי אופי מיוחד של האדם הנוגע בדבר, תוך נקיטת אמצעי האבטחה הנדרשים למטרות עיבוד הנתונים האישיים, לאנשים אמיתיים וישויות משפטיות פרטיות, לבעלי מניות, לספקים, למוסדות ציבוריים מוסמכים ולצדדים מעורבים אחרים. בהתאם לכך, היא פועלת בהתאם לתקנות הקבועות בסעיף 8 ל-KVKK ו/או בסעיפים 6 ו-8 ובחלק 5 ל-GDPR.

א.     העברת נתונים אישיים

במסגרת KVKK, גם אם אין הסכמה מפורשת של האדם הנוגע בדבר, **Smile Hair Clinic** תוכל להעביר נתונים אישיים לצדדים שלישיים תוך הקפדה על הטיפול הנדרש ונקיטת כל אמצעי האבטחה הנדרשים, לרבות השיטות שנקבעו על ידי מועצת KVK, במקרה שקיים אחד או יותר מהתנאים המפורטים להלן:

• פעילויות העברת הנתונים האישיים נקבעו במפורש בחוק.

• חיוני להגן על חייו או שלמות גופו של אדם, או של אדם אחר, במקרה של אי-אפשרות פיזית של האדם הנוגע בדבר להביע הסכמה, או במקרה שהסכמתו אינה תקפה מבחינה משפטית.

• העברת הנתונים האישיים קשורה ישירות ונדרשת ליצירה או ביצוע חוזה.

• העברת הנתונים האישיים חיונית למען מילוי חובה משפטית.

• העברת הנתונים האישיים מוגבלת למטרת הפרסום, בתנאי שהנתונים האישיים פורסמו בציבור על ידי האדם הנוגע בדבר.

• העברת הנתונים האישיים חיונית למען ייסוד, שימוש או הגנה על זכויותיה של **Smile Hair Clinic** או של האדם הנוגע בדבר או של צדדים שלישיים.

• העברת נתונים אישיים חיונית לאינטרסים לגיטימיים של **Smile Hair Clinic**, בתנאי שאינה פוגעת בזכויות וחירויות היסוד של האדם הנוגע בדבר.

בנוסף לאמור לעיל, נתונים אישיים יכולים להיות מועברים למדינות זרות שהוכרזו על ידי מועצת KVK כבעלות הגנה מספקת, אם מתקיים אחד מהתנאים הנ"ל. במקרה של היעדר הגנה מספקת, ניתן להעביר נתונים אישיים למדינות זרות שבהן בקרי הנתונים בטורקיה ובמדינה הזרה הרלוונטית התחייבו בכתב להגנה מספקת, וקיימת אישור ממועצת KVK, ללא הסכמה מפורשת של האדם הנוגע בדבר, בהתאם לתנאי העברת הנתונים הקבועים בחקיקה.

במסגרת GDPR, נתונים אישיים חופשיים לתנועה בתוך האיחוד האירופי בהתאם לסעיפים 6 ו-8 ל-GDPR. העברתם מחוץ לאיחוד האירופי אפשרית כפי שנקבע בחלק 5, הכולל את סעיפים 44 ו-50. סעיף 44 ל-GDPR קובע כי העברה מחוץ לאיחוד האירופי מחייבת הבטחת רמת אבטחה הולמת. סעיף 45 ל-GDPR קובע כי נדרשת החלטה של נציבות האיחוד האירופי לפיה המדינה, האזור או המגזר הרלוונטי באותו מקום בעלי רמת אבטחה מספקת. יחד עם זאת, בהתאם לסעיף 46, העברת נתונים אישיים למדינה שלישית רלוונטית אפשרית בתנאי שבקר הנתונים הבטיח קיומם של אמצעי סעד משפטיים יעילים עבור האנשים הנוגעים בדבר.

ב.     העברת נתונים אישיים בעלי אופי מיוחד

נתונים אישיים בעלי אופי מיוחד יכולים להיות מועברים על ידי **Smile Hair Clinic** בהתאם לעקרונות המפורטים במדיניות זו, תוך נקיטת כל אמצעי האבטחה הטכניים והאדמיניסטרטיביים הנדרשים, לרבות השיטות שייקבעו על ידי המועצה, ובמקרה של קיום התנאים הבאים:

• נתונים אישיים בעלי אופי מיוחד, למעט נתוני בריאות וחיי מין, יוכלו להיות מעובדים ללא צורך בהסכמה מפורשת של האדם הנוגע בדבר, אם הדבר נקבע במפורש בחוק, כלומר אם קיימת הוראה מפורשת בחוק הרלוונטי בנוגע לעיבוד נתונים אישיים. אחרת, תידרש הסכמה מפורשת מהאדם הנוגע בדבר.

• נתונים אישיים בעלי אופי מיוחד הקשורים לבריאות ולחיי מין, יוכלו להיות מעובדים ללא צורך בהסכמה מפורשת, על ידי אנשים הכפופים לחובת סודיות או על ידי מוסדות וארגונים מוסמכים, למטרות הגנת בריאות הציבור, רפואה מונעת, אבחון רפואי, ניהול שירותי טיפול וטיפול, ותכנון וניהול שירותי בריאות ומימונם. אחרת, תידרש הסכמה מפורשת מהאדם הנוגע בדבר.

בנוסף לאמור לעיל, נתונים אישיים יכולים להיות מועברים למדינות זרות בעלות הגנה מספקת, אם מתקיים אחד מהתנאים הנ"ל. במקרה של היעדר הגנה מספקת, ניתן להעביר נתונים למדינות זרות שבהן קיים בקר נתונים / מעבד נתונים שהתחייב להגנה מספקת, בהתאם לתנאי העברת הנתונים הקבועים בחקיקה.

בנוגע להעברת נתונים אישיים בעלי אופי מיוחד, "מדיניות הגנת נתונים אישיים בעלי אופי מיוחד" נכנסה לתוקף בחברתנו, ובפעילויותינו אנו פועלים על פי הוראות מדיניות זו ונוקטים את האמצעים הנדרשים. ללא קשר לסיבת העיבוד, עקרונות עיבוד הנתונים הכלליים נלקחים בחשבון תמיד בתהליכי ההעברה, ומוטבת עמידה בעקרונות אלו.

V.                סוגיות הנוגעות להגנת נתונים אישיים

**Smile Hair Clinic**, בהתאם לסעיף 12 ל-KVKK ולסעיף 32 ל-GDPR, נוקטת את האמצעים הטכניים והאדמיניסטרטיביים הנדרשים כדי למנוע עיבוד בלתי חוקי וגישה בלתי חוקית לנתונים האישיים שהיא מעבדת, ולהבטיח את שמירתם ברמת אבטחה נאותה. במסגרת זו, היא מבצעת או מורה על ביצוע ביקורות נדרשות.

מערכות מתאימות להתפתחויות טכנולוגיות משמשות להגנה על נתונים אישיים בסביבות מאובטחות. מערכות אבטחה טכניות מותקנות עבור אזורי האחסון, ואמצעים טכניים שננקטו נבדקים באופן תקופתי על ידי מנגנון הביקורת שנקבע על ידי **Smile Hair Clinic**. סוגיות המהוות סיכון מוערכות מחדש, ופתרונות טכנולוגיים נדרשים מפותחים.

בחוזים הנחתמים עם חברות רלוונטיות בנושא שמירת נתונים אישיים על ידי **Smile Hair Clinic**, נכללות הוראות לפיהן הצדדים שאליהם הועברו הנתונים האישיים ינקטו את אמצעי האבטחה הנדרשים לצורך הגנת הנתונים האישיים ויבטיחו עמידה באמצעים אלו בארגוניהם. בהקשר זה, פועלים על פי הוראות נוהל הגנת נתונים אישיים ביחסי צד שלישי של **Smile Hair Clinic**.

עקרונות הגנת הנתונים שאומצו על ידי **Smile Hair Clinic** כוללים:

• מתן מידע ברור לאנשים לגבי מי משתמש בנתוניהם האישיים ובאיזה אופן.

• למטרות אלו, עיבוד נתונים אישיים בהיקף מינימלי הכרחי, מבלי לפגוע בזכויות ובחירויות היסוד של אנשים, ואי עיבוד נתונים יתר על המידה.

• כיבוד זכויות האדם הנוגע בדבר בקשר לנתוניו האישיים, לרבות זכות הגישה.

• ניהול מלאי של קטגוריות הנתונים האישיים המעובדים.

• שמירה על נתונים אישיים מדויקים ועדכניים לפי הצורך.

• עיבוד נתונים אישיים בהגינות ובהתאם לחוק.

• עיבוד נתונים אישיים רק כאשר הדבר נחוץ במפורש למטרות ארגוניות לגיטימיות.

• שמירה על נתונים אישיים רק במסגרת הזמנים שנקבעו בחקיקה, חובות משפטיות של **Smile Hair Clinic** או אינטרסים ארגוניים לגיטימיים, וכמפורט במדיניות השמירה וההשמדה של נתונים אישיים של **Smile Hair Clinic**.

• העברת נתונים אישיים לחו"ל, במסגרת העקרונות שנקבעו על ידי KVKK ו-GDPR.

• הגדרת ועדה בעלת סמכויות ואחריויות מיוחדות הנוגעות למערכת הגנת הנתונים האישיים.

• יישום חריגים המותרים על פי החקיקה.

• הכנת מדיניות זו.

• נקיטת כל האמצעים הטכניים והאדמיניסטרטיביים הנדרשים, שנקבעו על ידי KVKK, GDPR, חקיקת משנה וכן על ידי המועצה, על מנת להבטיח רמת אבטחה הולמת לכל הנתונים האישיים.

• עיבוד נתונים אישיים רלוונטיים ומתאימים בלבד.

א.    פעילויות הדרכה

**Smile Hair Clinic** מספקת לעובדיה את ההדרכות הנדרשות בנושא הגנת נתונים אישיים במסגרת המדיניות, תקנות ונהלי KVKK & GDPR. בהדרכות מושם דגש מיוחד על הגדרות נתונים אישיים בעלי אופי מיוחד ויישומים להגנתם. אם עובד **Smile Hair Clinic** ניגש לנתונים אישיים פיזית או בסביבת מחשב, חברתנו מספקת לעובד הרלוונטי הדרכה ספציפית לגישות אלו (לדוגמה, עבור תוכנת המחשב שאליה הוא ניגש).

**Smile Hair Clinic** מבטיחה שמתבצעת הדרכה לעובדיה ומועברים אליהם ההודעות הנדרשות על מנת להעלות את המודעות למניעת עיבוד בלתי חוקי של נתונים אישיים, גישה בלתי חוקית לנתונים והבטחת שמירת הנתונים.

ב.     פעילויות ביקורת

**Smile Hair Clinic** שומרת על הזכות לבצע ביקורות שגרתיות ויוזמתיות, ללא הודעה מוקדמת, על מנת לוודא שכל עובדי החברה, מחלקותיה וספקיה פועלים בהתאם למדיניות זו ולתקנות KVKK&GDPR. תוצאות ביקורות אלו מוערכות במסגרת התנהלותה הפנימית של החברה, ופעילויות נדרשות מבוצעות לשיפור האמצעים שננקטו.

VI.             שמירה והשמדת נתונים אישיים

**Smile Hair Clinic** שומרת נתונים אישיים למשך הזמן הנדרש למטרת עיבודם, ובהתאם למינימום הזמנים הקבועים בחקיקה הרלוונטית לפעילות הנדונה. בהקשר זה, קודם כל נקבע אם קיימת תקופה קבועה בחקיקה לשמירת נתונים אישיים, ואם כן, פועלים בהתאם לתקופה זו. אם אין תקופה קבועה בחקיקה, נתונים אישיים נשמרים למשך הזמן הנדרש למטרת עיבודם. בסיום תקופות השמירה שנקבעו, הנתונים האישיים מושמדים בהתאם לזמני ההשמדה התקופתיים שנקבעו במדיניות השמירה וההשמדה של נתונים אישיים של **Smile Hair Clinic** או לבקשת האדם הנוגע בדבר, ובאמצעות שיטות ההשמדה שנקבעו (מחיקה ו/או השמדה ו/או אנונימיזציה).

למידע מפורט, ניתן לגשת למדיניות שמירה והשמדה של נתונים אישיים של **Smile Hair Clinic** בכתובת www.smilehairclinic.com.

VII.          הבהרה ויידוע האדם הנוגע בדבר

**Smile Hair Clinic** מיידעת את האדם הנוגע בדבר בהתאם ל-KVKK, ל-GDPR ולתקנות המשנה. בהקשר זה, אם הנתונים האישיים נאספים מהאדם הנוגע בדבר עצמו, המידע נמסר בעת האיסוף; אם הנתונים האישיים לא נאספים מהאדם הנוגע בדבר, המידע נמסר תוך זמן סביר ממועד איסוף הנתונים האישיים; אך בכל מקרה, ללא תלות בבקשת האדם הנוגע בדבר, המידע יובהר לאדם הנוגע בדבר לגבי:

• זהותה של **Smile Hair Clinic**,

• לשם איזו מטרה יעובדו הנתונים האישיים,

• למי ולאיזו מטרה הם יוכלו להיות מועברים,

• שיטת איסוף הנתונים האישיים (האם נעשה שימוש בשיטות אוטומטיות לחלוטין או חלקית, או בשיטות לא אוטומטיות כחלק ממערכת רישום נתונים),

• על איזו עילה משפטית מבוסס איסוף הנתונים האישיים,

• זכויותיו האחרות של האדם הנוגע בדבר המפורטות ב-KVKK או ב-GDPR.

יש לוודא שההבהרה המדוברת כוללת, בנוסף לאמור לעיל, את זכויותיו של האדם הנוגע בדבר המפורטות ב-KVKK, ב-GDPR ובמדיניות זו. בעת מתן ההבהרה, יילקחו בחשבון הסוגיות הבאות:

• המידע במסגרת ההבהרה יימסר בשפה ברורה ופשוטה. לא ייעשה שימוש בביטויים שעלולים ליצור רושם שניתן לעבד את הנתונים האישיים הרלוונטיים גם למטרות אחרות שעלולות לעלות בעתיד.

• ההבהרה יכולה להיעשות בעל פה, בכתב, באמצעות הקלטת קול דרך מרכז שירות לקוחות, באמצעי מדיה פיזיים או אלקטרוניים שונים, וניתן להפנות לעמוד אינטרנט המכיל את טקסט ההבהרה של נתונים אישיים ולמדיומים אחרים שייתכן שיפורסמו בעתיד. המחלקה הרלוונטית האחראית על מסירת המידע ועל מילוי חובת ההבהרה תיקח את האמצעים שיוכיחו זאת באופן חוקי ופרוצדורלי.

• אם מטרת עיבוד הנתונים המפורטת בהבהרה משתנה בעת איסוף נתונים אישיים, חובת ההבהרה עבור מטרה חדשה זו תבוצע בנפרד, בהתאם לנהלים הקבועים לעיל.

• אם הנתונים האישיים שנאספו ישמשו רק למטרת יצירת קשר עם האדם הנוגע בדבר, ההבהרה יכולה להיעשות בעת יצירת הקשר הראשוני.

• אם הנתונים האישיים שנאספו יועברו לצדדים שלישיים, יש להקפיד על ביצוע ההבהרה לכל המאוחר בעת העברת הנתונים האישיים בפעם הראשונה.

VIII.       זכויות האדם הנוגע בדבר ומימוש זכויות אלו

להלן הזכויות החוקיות שבאפשרות האדם הנוגע בדבר לממש בנוגע לנתונים אישיים:

• לדעת האם נתוניו האישיים מעובדים,

• לדרוש מידע בנוגע לעיבוד נתוניו האישיים, אם עובדו,

• לדעת את מטרת עיבוד נתוניו האישיים והאם הם משמשים בהתאם למטרה זו,

• לדעת את הצדדים השלישיים שאליהם הועברו נתוניו האישיים בתוך טורקיה או בחו"ל,

• לדרוש תיקון של נתוניו האישיים במקרה של עיבוד חלקי או שגוי, ולדרוש הודעה על הפעולה שבוצעה במסגרת זו לצדדים השלישיים שאליהם הועברו נתוניו האישיים,

• לדרוש מחיקה, השמדה או אנונימיזציה של נתוניו האישיים במקרה שהסיבות לעיבודם נפסקו, למרות שעובדו בהתאם לחוק ולהוראות חוקיות רלוונטיות אחרות, ולדרוש הודעה על הפעולה שבוצעה במסגרת זו לצדדים השלישיים שאליהם הועברו נתוניו האישיים,

• להתנגד לתוצאה שלילית כלשהי המתקבלת כתוצאה מניתוח נתוניו המעובדים באופן בלעדי באמצעות מערכות אוטומטיות,

• לדרוש פיצוי על נזקים שנגרמו כתוצאה מעיבוד בלתי חוקי של נתוניו האישיים.

• העברת הנתונים האישיים לבקר נתונים אחר המבוקש על ידי האדם הנוגע בדבר (זכות לניידות נתונים).

אם האדם הנוגע בדבר הוא תושב טורקיה, יוכל להעביר את בקשותיו בנוגע לזכויותיו המפורטות בסעיף זה, בהתאם ל"הודעה בדבר הליכי ועיקרי בקשה לבקר נתונים" מספר 30356, בשפה הטורקית. אם הוא תושב אירופה, יוכל להעביר את בקשותיו בשפה האנגלית, על ידי מילוי טופס הבקשה של **Smile Hair Clinic** בכתב, או באמצעות כתובת דואר אלקטרוני רשומה (KEP), חתימה אלקטרונית מאובטחת, חתימה ניידת, או כתובת דואר אלקטרוני שדווחה מראש ורשומה במערכת שלנו.

IX.             תגובת SMILE HAIR CLINIC לבקשות

**Smile Hair Clinic** נוקטת בכל האמצעים הטכניים והאדמיניסטרטיביים הנדרשים כדי לסיים את הבקשות שיוגשו על ידי האדם הנוגע בדבר באופן יעיל, חוקי והוגן.

בקשותיו של האדם הנוגע בדבר יכולות להתקבל, אך גם להידחות תוך מתן נימוק. התשובה לבקשת האדם הנוגע בדבר יכולה להימסר לו בכתב או באמצעים אלקטרוניים.

אם האדם הנוגע בדבר יעביר ל-**Smile Hair Clinic** בקשה בנוגע לזכויותיו המפורטות בסעיף VIII במדיניות זו תחת הכותרת "זכויות האדם הנוגע בדבר ומימוש זכויות אלו", בהתאם לנהלים הנ"ל, הבקשה תטופל ללא תשלום בהקדם האפשרי ובתוך 30 (שלושים) יום לכל היותר, בהתאם לאופי הבקשה. עם זאת, אם הפעולה דורשת עלות נוספת ומתקיימים התנאים שנקבעו על ידי מועצת KVK, ייתכן שיגבה תשלום לפי התעריף.

X.                תוקף המדיניות ותדירות העדכון

מדיניות זו, שנערכה על ידי **Smile Hair Clinic**, נכנסה לתוקף בתאריך 01.05.2021, ועדכונים נדרשים יבוצעו במקרה של חידוש המדיניות כולה או סעיפים מסוימים בה.

הוועדה מנהלת את יישום, עדכון ופרסום מדיניות זו. המדיניות מפורסמת באתר האינטרנט של **Smile Hair Clinic**.