INNEHÅLLSFÖRTECKNING

 

  1. INTRODUKTION 1
    1. Syfte och Omfattning 1
    2. Definitioner 1
  2. ALLMÄNNA PRINCIPER OCH VILLKOR FÖR BEHANDLING AV PERSONUPPGIFTER 3
    1. Principer för Behandling av Personuppgifter 4
    2. Villkor för Behandling av Personuppgifter 4
    3. Villkor för Behandling av Särskilda Kategorier av Personuppgifter 6
  1. ÖVERFÖRING AV PERSONUPPGIFTER 9
    1. Överföring av Personuppgifter 9
    2. Överföring av Särskilda Kategorier av Personuppgifter 11
  2. FRÅGOR RELATERADE TILL SKYDD AV PERSONUPPGIFTER 11
    1. Utbildningsaktiviteter 13
    2. Revisionsaktiviteter 13
  3. LAGRING OCH RADERANDE AV PERSONUPPGIFTER 13
  1. SMILE HAIR CLINICS SVAR PÅ ANSÖKNINGAR 15
  2. POLICYNS IKRAFTTRÄDANDE OCH UPPDATERINGSFREKVENS 16

Dokumentdatum:

 

Upprättandedatum:

Revisionsnummer:

 

I. INTRODUKTION

 

 

A. Syfte och Omfattning

 

Denna policy reglerar principerna som Smile Hair Clinic antar för skydd och behandling av personuppgifter.

Inom ramen för denna policy syftar vi till att ge förklaringar om Smile Hair Clinics databehandlingsverksamhet och de system som antagits för att skydda personuppgifter. Detta inkluderar att informera den Registrerade, särskilt de som tar emot produkter eller tjänster, våra anställda och arbetssökande, potentiella kunder, aktieägare, besökare, deltagare, leverantörer och tredje parter, för att säkerställa transparens, fastställa och säkerställa implementeringen av standarder för personuppgiftshantering; att definiera och stödja organisatoriska mål och skyldigheter; att etablera kontrollmekanismer i linje med acceptabel risknivå; att följa principer och regler som införts av internationella konventioner, konstitutionen, lagar, förordningar, avtal och annan relevant lagstiftning för skydd av personuppgifter; och att skydda den Registrerades grundläggande rättigheter och friheter på bästa möjliga sätt. Dessutom omfattar denna policy alla fysiska och elektroniska dataregistreringssystem och -miljöer som används för att behandla personuppgifter och särskilda kategorier av personuppgifter, antingen automatiskt eller icke-automatiskt som en del av ett dataregistreringssystem.

 

B. Definitioner

 

DefinitionBeskrivning
Uttryckligt SamtyckeSamtycke som är specifikt, informerat och frivilligt.
KonstitutionenKonstitutionen för Republiken Turkiet nr 2709.
AnställdAnställda och chefer på Smile Hair Clinic.
ArbetssökandeFysiska personer som har sökt anställning hos Smile Hair Clinic på något sätt, eller som har lämnat in sina CV och relevant information för granskning av Smile Hair Clinic.
Aktieägare/PartnerFysiska personer som är aktieägare och partner i Smile Hair Clinic.
RegistreradDen fysiska person vars personuppgifter behandlas.
RaderingRadering eller förstöring av personuppgifter.
PersonuppgifterAll information som rör en identifierad eller identifierbar fysisk person.
Register över Behandling av PersonuppgifterEtt register som upprättats av dataskyddsansvariga, som i detalj beskriver personuppgiftsbehandlingar i samband med deras affärsprocesser; kopplar behandlingsändamål till datakategorier, mottagargrupper och dataregistrerade grupper, anger den maximala lagringstiden, planerade överföringar till främmande länder och vidtagna säkerhetsåtgärder.
Anonymisering av PersonuppgifterAtt anonymisera personuppgifter innebär att göra dem omöjliga att koppla till en identifierad eller identifierbar fysisk person, även om de kombineras med andra data.
Förstöring av PersonuppgifterProcessen att radera, anonymisera eller förstöra personuppgifter.
Radering av PersonuppgifterProcessen att göra personuppgifter helt oåtkomliga och oanvändbara för berörda användare.
Förstöring av PersonuppgifterAtt förstöra personuppgifter innebär att göra dem helt oåtkomliga, omöjliga att återställa och oanvändbara för vem som helst.
KommitténSmile Hair Clinics Kommitté för Dataskydd.
StyrelsenDataskyddsmyndigheten och den relevanta dataskyddsmyndigheten i medlemslandet.
KVKKLag nr 6698 om Skydd av Personuppgifter.
GDPREuropeiska Unionens Allmänna Dataskyddsförordning.
Särskilda Kategorier av PersonuppgifterUppgifter om ras, etniskt ursprung, politiska åsikter, filosofisk övertygelse, religion, samfund eller annan tro, klädsel, medlemskap i föreningar, stiftelser eller fackföreningar, hälsa, sexuell läggning, fällande domar i brottmål och säkerhetsåtgärder, samt biometriska och genetiska uppgifter.
Periodisk RaderingProcessen att självständigt radera, förstöra eller anonymisera personuppgifter med återkommande intervaller, som anges i lagrings- och raderingspolicyn, när samtliga villkor för behandling av personuppgifter enligt KVKK och GDPR upphör att gälla.
PolicySmile Hair Clinics Policy för Behandling och Skydd av Personuppgifter.
Smile Hair ClinicSmile Hair Sağlık Hizmetleri ve Turizm Dan. Tic. Ltd. Şti.
LeverantörsanställdFysiska personer som arbetar i organisationer (såsom affärspartners, leverantörer, men inte begränsat till dessa) som Smile Hair Clinic har någon form av affärsrelation med.
LeverantörsrepresentantAktieägare och representanter för organisationer som Smile Hair Clinic har affärsrelationer med.
Mottagare av Produkt eller Tjänst / Representant för Mottagare av Produkt och TjänstFysiska personer som använder eller har använt produkter och tjänster som erbjuds av Smile Hair Clinic, oavsett om de har ett avtalsförhållande med Smile Hair Clinic, eller Juridiska Personers Representanter som använder/har använt dessa.
PersonuppgiftsbiträdeEn fysisk eller juridisk person som behandlar personuppgifter för den personuppgiftsansvariges räkning, baserat på dennes auktorisation.
DataregistreringssystemEtt registeringssystem där personuppgifter behandlas strukturerat enligt specifika kriterier.
PersonuppgiftsansvarigDen fysiska eller juridiska person som bestämmer ändamålen och medlen för behandlingen av personuppgifter, och som är ansvarig för upprättandet och förvaltningen av dataregistreringssystemet.
BesökareFysiska personer som har besökt Smile Hair Clinics fysiska anläggningar för olika syften eller som besöker våra webbplatser.

 

II. ALLMÄNNA PRINCIPER OCH VILLKOR FÖR BEHANDLING AV PERSONUPPGIFTER

 

Smile Hair Clinic behandlar personuppgifter i enlighet med artikel 20 i konstitutionen, artikel 4 i KVKK och artikel 5 i GDPR, på ett lagligt och rättvist sätt, korrekt och vid behov uppdaterat, för specifika, tydliga och legitima ändamål, och på ett sätt som är relevant, begränsat och proportionerligt. Inom denna ram, för boende i Turkiet, behandlar vi personuppgifter baserat på ett eller flera av villkoren i artikel 5 i KVKK för behandling av personuppgifter, och bevarar personuppgifter så länge som lagen föreskriver och/eller syftet med personuppgiftsbehandlingen kräver det. Dessutom agerar vi i enlighet med artikel 6 i KVKK avseende behandlingen av särskilda kategorier av personuppgifter, följer regleringarna i artikel 8 och 9 i KVKK för överföring av personuppgifter som föreskrivs i lagen och fastställts av KVKK-styrelsen, och informerar den Registrerade i enlighet med artikel 10 i KVKK samt tillhandahåller nödvändig information om den Registrerade begär det. För boende i Europa utförs alla ovanstående aktiviteter i enlighet med relevanta bestämmelser i GDPR.

 

A. Principer för Behandling av Personuppgifter

 

Dina personuppgifter behandlas av Smile Hair Clinic i enlighet med principerna för personuppgiftsbehandling som anges i artikel 4 i KVKK och artikel 5 i GDPR. Dessa principer måste följas för varje personuppgiftsbehandling:

 

Behandling av personuppgifter på ett lagligt och rättvist sätt:

 

Vid behandling av dina personuppgifter agerar vi i enlighet med lagar, sekundära regleringar och allmänna rättsprinciper. Vi lägger stor vikt vid att behandla personuppgifter endast för det ändamål de samlades in för och att ta hänsyn till den Registrerades rimliga förväntningar.

 

Korrekta och aktuella personuppgifter:

 

Vi ser till att dina behandlade personuppgifter är aktuella och att kontroller utförs för detta. Den Registrerade ges rätt att begära rättelse eller radering av felaktiga och inaktuella uppgifter.

 

Behandling av personuppgifter för specifika, tydliga och legitima ändamål:

 

Innan varje personuppgiftsbehandling fastställs syftet med databehandlingen, och vi ser till att dessa syften är lagliga.

 

Personuppgifter ska vara relevanta, begränsade och proportionerliga i förhållande till ändamålet:

 

Databehandlingen begränsas till de personuppgifter som är nödvändiga för att uppnå insamlingssyftet, och nödvändiga tekniska och administrativa åtgärder vidtas för att förhindra behandling av personuppgifter som inte är relaterade till detta syfte.

 

Lagring av personuppgifter så länge som lagstiftningen eller ändamålen med behandlingen kräver:

 

När syftet med personuppgiftsbehandlingen upphör eller när den lagstadgade lagringsperioden löper ut, raderas, förstörs eller anonymiseras personuppgifterna.

 

B. Villkor för Behandling av Personuppgifter

 

Dina personuppgifter behandlas av Smile Hair Clinic endast om minst ett av villkoren för personuppgiftsbehandling som anges i artikel 5 i KVKK och artikel 6 och följande i GDPR är uppfyllt. Förklaringar om dessa villkor finns nedan:

 

Den Registrerades Uttryckliga Samtycke:

 

Personuppgifter kan behandlas endast om den Registrerade frivilligt ger sitt samtycke, har tillräcklig information om personuppgiftsbehandlingen, utan tvekan, och endast för den specifika behandlingen.

 

Uttryckligen föreskrivet i lag:

 

Personuppgifter kan behandlas utan den Registrerades Uttryckliga Samtycke inom ramen för den relevanta rättsliga regleringen om det uttryckligen föreskrivs i lag.

 

Oförmåga att erhålla den Registrerades Uttryckliga Samtycke på grund av faktisk omöjlighet och nödvändighet av personuppgiftsbehandling:

 

Personuppgifter som tillhör den Registrerade som är oförmögen att lämna samtycke eller vars samtycke inte kan erkännas som giltigt, kan behandlas utan Uttryckligt Samtycke om behandlingen är nödvändig för att skydda den Registrerades eller en tredje parts liv eller fysiska integritet.

 

Personuppgiftsbehandlingen är direkt relaterad till upprättandet eller fullgörandet av ett avtal:

 

Om behandling av personuppgifter som tillhör parterna i ett avtal som upprättats eller redan undertecknats mellan den Registrerade och Smile Hair Clinic är nödvändig, kan personuppgiftsbehandlingen utföras utan Uttryckligt Samtycke.

 

Det är obligatoriskt att utföra personuppgiftsbehandling för att den Personuppgiftsansvarige ska kunna uppfylla sin rättsliga skyldighet:

 

Personuppgifter kan behandlas utan Uttryckligt Samtycke i syfte att uppfylla rättsliga skyldigheter som föreskrivs i gällande lagstiftning.

 

Den Registrerade har offentliggjort sina personuppgifter:

 

Personuppgifter som har offentliggjorts av den Registrerade på något sätt och därmed blivit tillgängliga för allmänheten, kan behandlas utan den Registrerades Uttryckliga Samtycke, begränsat till syftet med offentliggörandet.

 

Personuppgiftsbehandling är nödvändig för fastställande, utövande eller försvar av en rättighet:

 

Personuppgifter kan behandlas om databehandlingen är nödvändig för att fastställa, utöva eller försvara en rättighet.

 

Personuppgiftsbehandling är nödvändig för den Personuppgiftsansvariges berättigade intressen, förutsatt att den Registrerades grundläggande rättigheter och friheter inte skadas:

 

Personuppgifter kan behandlas under förutsättning att den Registrerades intressebalans respekteras. Inom denna ram fastställs först det berättigade intresse som Smile Hair Clinic kommer att uppnå genom behandlingen. Den potentiella effekten av personuppgiftsbehandlingen på den Registrerades rättigheter och friheter bedöms, och om det bedöms att balansen inte rubbas, kan behandlingen utföras utan Uttryckligt Samtycke.

 

C. Villkor för Behandling av Särskilda Kategorier av Personuppgifter

 

I artikel 6 i KVKK anges särskilda kategorier av personuppgifter i en begränsad uppräkning. Dessa är: uppgifter om ras, etniskt ursprung, politiska åsikter, filosofisk övertygelse, religion, samfund eller annan tro, klädsel, medlemskap i föreningar, stiftelser eller fackföreningar, hälsa, sexuell läggning, fällande domar i brottmål och säkerhetsåtgärder, samt biometriska och genetiska uppgifter.

Smile Hair Clinic kan behandla särskilda kategorier av personuppgifter genom att säkerställa att ytterligare åtgärder som fastställts av Styrelsen vidtas i följande fall:

 

Behandling av särskilda kategorier av personuppgifter, exklusive hälsa och sexuell läggning:

 

De kan behandlas med den Registrerades Uttryckliga Samtycke eller utan den Registrerades Uttryckliga Samtycke om det uttryckligen föreskrivs i lag.

 

Personuppgifter rörande hälsa och sexuell läggning:

 

De kan behandlas med den Registrerades Uttryckliga Samtycke eller utan den Registrerades Uttryckliga Samtycke av personer som är under tystnadsplikt eller av behöriga institutioner och organisationer, för att skydda folkhälsan, förebyggande medicin, medicinsk diagnos, behandling och vårdtjänster, samt för att planera och hantera hälso- och finansieringstjänster.

Oavsett behandlingsorsak beaktas alltid de allmänna databehandlingsprinciperna under behandlingsprocesserna, och efterlevnad av dessa principer säkerställs. Gällande skyddet av särskilda kategorier av uppgifter har vårt företag implementerat en ”Policy för Skydd av Särskilda Kategorier av Personuppgifter”, och våra affärsenheter agerar i enlighet med bestämmelserna i denna policy och vidtar nödvändiga åtgärder.

Dessutom är behandling av särskilda kategorier av personuppgifter endast möjlig om minst en av följande situationer som anges i GDPR artikel 9 föreligger. I dessa fall kan särskilda kategorier av personuppgifter behandlas med en lämplig säkerhetsnivå, som också föreskrivs i KVKK. Dessa punkter är tydligt specificerade i vår Policy för Skydd av Särskilda Kategorier av Personuppgifter:

  • I fall av den registrerades uttryckliga samtycke.
  • När den personuppgiftsansvarige uppfyller sina skyldigheter enligt arbetslagen och socialförsäkringslagen.
  • När den registrerade är fysiskt eller juridiskt oförmögen att ge samtycke.
  • När uppgifterna har offentliggjorts av den registrerade.
  • När det krävs databehandling inom ramen för relevanta rättsliga ramverk för att fastställa lagliga anspråk.
  • Databehandling i allmänhetens intresse, förutsatt att nödvändiga tekniska och administrativa åtgärder vidtas.
  • För förebyggande medicin eller företagshälsovård.
  • För arkiv- och forskningsändamål i allmänhetens intresse enligt GDPR artikel 89/1 baserat på EU-lagstiftning.

 

III. KATEGORIER AV PERSONUPPGIFTER SOM BEHANDLAS AV SMILE HAIR CLINIC

 

Smile Hair Clinic behandlar personuppgifter som ingår i följande kategorier, i enlighet med KVKK, GDPR och andra relevanta lagstiftningsbestämmelser, inom ramen för de syften och villkor som anges i denna policy:

IdentitetsinformationInformation som tydligt tillhör en identifierad eller identifierbar fysisk person; behandlas helt eller delvis automatiskt eller icke-automatiskt som en del av ett dataregistreringssystem; information som finns i dokument som körkort, identitetskort, uppehållstillstånd, pass, vigselbevis.
KontaktinformationInformation som tydligt tillhör en identifierad eller identifierbar fysisk person; behandlas helt eller delvis automatiskt eller icke-automatiskt som en del av ett dataregistreringssystem; såsom telefonnummer, adress, e-post.
PersonalinformationInformation som tydligt tillhör en identifierad eller identifierbar fysisk person, behandlas helt eller delvis automatiskt eller icke-automatiskt som en del av ett dataregistreringssystem; all personuppgift som behandlas för att inhämta grundläggande information för att fastställa personalförmåner för våra anställda eller fysiska personer som har en arbetsrelation med Smile Hair Clinic.
Juridisk BehandlingsinformationInformation som tydligt tillhör en identifierad eller identifierbar fysisk person, behandlas helt eller delvis automatiskt eller icke-automatiskt som en del av ett dataregistreringssystem; dina personuppgifter som behandlas för att fastställa och följa upp våra lagliga fordringar och rättigheter, fullgöra våra skyldigheter och följa våra lagliga skyldigheter och Smile Hair Clinics policyer.
KundtransaktionsinformationInformation som tydligt tillhör en identifierad eller identifierbar fysisk person och som finns i ett dataregistreringssystem; register över användningen av våra produkter och tjänster, samt instruktioner och önskemål från kunden som är nödvändiga för användningen av produkter och tjänster.
Fysisk SäkerhetsinformationInformation som tydligt tillhör en identifierad eller identifierbar fysisk person och som finns i ett dataregistreringssystem; register och dokument som tas vid inträde till en fysisk plats och under vistelsen på den fysiska platsen, relaterade till personuppgifter.
TransaktionssäkerhetsinformationInformation som tydligt tillhör en identifierad eller identifierbar fysisk person och som finns i ett dataregistreringssystem; personuppgifter som behandlas för att säkerställa teknisk, administrativ, juridisk och kommersiell säkerhet under verksamhetsutövning.
Finansiell InformationInformation som tydligt tillhör en identifierad eller identifierbar fysisk person, behandlas helt eller delvis automatiskt eller icke-automatiskt som en del av ett dataregistreringssystem; all information, dokument och register som visar det finansiella resultatet som skapas enligt typen av rättsförhållande som Smile Hair Clinic har med den berörda personen, relaterade till behandlade personuppgifter.
YrkeserfarenhetInformation som tydligt tillhör en identifierad eller identifierbar fysisk person, behandlas helt eller delvis automatiskt eller icke-automatiskt som en del av ett dataregistreringssystem; personuppgifter som behandlas för att mäta våra anställdas eller fysiska personers prestationer som har en arbetsrelation med vårt företag, samt för att planera och genomföra deras karriärutveckling inom ramen för Smile Hair Clinics personalpolicy.
MarknadsföringsinformationInformation som tydligt tillhör en identifierad eller identifierbar fysisk person, behandlas helt eller delvis automatiskt eller icke-automatiskt som en del av ett dataregistreringssystem; personuppgifter som behandlas för att anpassa och marknadsföra våra produkter och tjänster i enlighet med den registrerades användningsvanor, preferenser och behov, samt rapporter och bedömningar som skapas som ett resultat av denna behandling.
Visuella och Auditiva UpptagningarInformation som tydligt tillhör en identifierad eller identifierbar fysisk person; behandlas helt eller delvis automatiskt eller icke-automatiskt som en del av ett dataregistreringssystem; Exempel: fotografier och kameraupptagningar (exklusive upptagningar som ingår i Fysisk Säkerhetsinformation), ljudupptagningar och uppgifter som finns i dokument som är kopior av personuppgiftsinnehållande dokument.
Särskilda Kategorier av PersonuppgifterUppgifter om hälsa och sexualliv, uppgifter om fällande domar i brottmål och säkerhetsåtgärder.

 

IV. ÖVERFÖRING AV PERSONUPPGIFTER

 

Dataöverföring sker i syfte att säkerställa att Smile Hair Clinics verksamhet och etableringsändamål uppfylls, att företagets kommersiella verksamhet kan utföras genom externa tjänster från leverantörer, att personal- och sysselsättningspolicyer genomförs, att skyldigheter och nödvändiga åtgärder inom arbetsmiljö och säkerhet uppfylls, samt att nödvändig information lämnas till behöriga offentliga institutioner och organisationer.

Smile Hair Clinic överför inte personuppgifter som tillhör relevanta personer till andra personer utan dennes uttryckliga samtycke, med undantag för fall där KVKK, GDPR eller relevant lagstiftning kräver överföring till administrativa och rättsliga institutioner och organisationer.

Dock, när det finns en laglig grund, kan Smile Hair Clinic överföra personuppgifter och särskilda kategorier av personuppgifter till fysiska personer och privaträttsliga juridiska personer, aktieägare, leverantörer och behöriga offentliga institutioner och organisationer samt andra berörda parter utan uttryckligt samtycke, genom att vidta nödvändiga säkerhetsåtgärder i enlighet med syftet med personuppgiftsbehandlingen. I enlighet med detta följs bestämmelserna i artikel 8 i KVKK och/eller artiklarna 6 och 8 samt del 5 i GDPR.

 

A. Överföring av Personuppgifter

 

Enligt KVKK kan Smile Hair Clinic överföra personuppgifter till tredje part med vederbörlig omsorg och genom att vidta alla nödvändiga säkerhetsåtgärder, inklusive de metoder som föreskrivs av KVKK-styrelsen, även utan den Registrerades Uttryckliga Samtycke, om ett eller flera av följande villkor föreligger:

  • Om relevanta aktiviteter för överföring av personuppgifter uttryckligen föreskrivs i lag.
  • Om det är nödvändigt för att skydda livet eller den fysiska integriteten hos en person som inte kan lämna samtycke på grund av faktisk omöjlighet, eller vars samtycke inte kan erkännas juridiskt giltigt.
  • Om överföring av personuppgifter är direkt relevant och nödvändig för upprättandet eller fullgörandet av ett avtal.
  • Om överföring av personuppgifter är nödvändig för att uppfylla en rättslig skyldighet.
  • Om personuppgifter har offentliggjorts av den Registrerade, överföring sker på ett sätt som är begränsat till syftet med offentliggörandet.
  • Om överföring av personuppgifter är nödvändig för att fastställa, utöva eller skydda rättigheter för Smile Hair Clinic, den Registrerade eller tredje parter.
  • Om det är nödvändigt att utföra personuppgiftsöverföringsaktiviteter för Smile Hair Clinics berättigade intressen, förutsatt att den Registrerades grundläggande rättigheter och friheter inte skadas.

Utöver ovanstående kan personuppgifter överföras till främmande länder som av KVKK-styrelsen har förklarats ha tillräckligt skydd, om något av ovanstående villkor föreligger. Om tillräckligt skydd saknas, kan data överföras till främmande länder där dataskyddsansvariga i Turkiet och i det relevanta främmande landet skriftligen åtar sig att tillhandahålla tillräckligt skydd och med KVKK-styrelsens tillstånd, utan den Registrerades Uttryckliga Samtycke, i enlighet med de dataöverföringsvillkor som föreskrivs i lagstiftningen.

Enligt GDPR är fri rörlighet för personuppgifter inom Europeiska Unionen tillåten i enlighet med artiklarna 6 och 8. Överföring utanför Europeiska Unionen är möjlig enligt vad som regleras i Del 5, som innehåller artiklarna 44 till 50. Enligt GDPR artikel 44 krävs en lämplig säkerhetsnivå för överföring utanför Europeiska Unionen. Enligt GDPR artikel 45 krävs ett beslut från Europeiska Kommissionen som intygar att det relevanta landet, regionen eller den berörda sektorn har en tillräcklig säkerhetsnivå. Dessutom, enligt artikel 46, är det möjligt för den personuppgiftsansvarige att överföra personuppgifter till det berörda tredjelandet under förutsättning att effektiva rättsmedel finns tillgängliga för de registrerade.

 

B. Överföring av Särskilda Kategorier av Personuppgifter

 

Särskilda kategorier av personuppgifter kan överföras av Smile Hair Clinic i enlighet med de principer som anges i denna policy och genom att vidta alla nödvändiga tekniska och administrativa åtgärder, inklusive de metoder som Styrelsen kommer att fastställa, och om följande villkor föreligger.

Sure, here is the English translation of the provided text:

  • Special categories of personal data, other than those related to health and sexual life, may be processed without the Explicit Consent of the Data Subject if expressly stipulated in laws; in other words, if there is an explicit provision in the relevant law regarding the processing of personal data. Otherwise, the Explicit Consent of the Data Subject will be obtained.
  • Special categories of personal data related to health and sexual life may be processed without explicit consent by persons subject to confidentiality obligations or by authorized institutions and organizations, for the purposes of protecting public health, preventive medicine, medical diagnosis, treatment and care services, and the planning and management of health services and their financing. Otherwise, the Explicit Consent of the Data Subject will be obtained.

In addition to the above, personal data may be transferred to foreign countries with adequate protection if any of the above conditions are met. If adequate protection is not available, data may be transferred to foreign countries where the Data Controller / Data Processor undertakes to provide adequate protection, in accordance with the data transfer conditions stipulated in the legislation.

Regarding the transfer of special categories of personal data, our company has implemented the ”Special Categories of Personal Data Protection Policy,” and we operate in accordance with the provisions of this policy, taking the necessary measures. Regardless of the processing reason, general data processing principles are always considered and adhered to during transfer processes.

 

V. MATTERS RELATED TO THE PROTECTION OF PERSONAL DATA

 

Smile Hair Clinic, in accordance with Article 12 of the KVKK (Personal Data Protection Law) and Article 32 of the GDPR (General Data Protection Regulation), takes the necessary technical and administrative measures to ensure an appropriate level of security for the personal data it processes. This is done to prevent unlawful processing and access to data, and to ensure data preservation. In this context, it conducts or commissions the necessary audits.

Systems suitable for technological advancements are used to protect personal data in secure environments. Technical security systems are installed for storage areas, and the technical measures taken are periodically audited by an audit mechanism determined by Smile Hair Clinic. Risky issues are re-evaluated, and necessary technological solutions are developed.

In contracts concluded with relevant companies regarding the storage of personal data, Smile Hair Clinic includes provisions stating that the recipients of personal data will take the necessary security measures for personal data protection and ensure compliance with these measures within their own organizations. In this regard, Smile Hair Clinic acts in accordance with the provisions of its Personal Data Protection Procedure in Third-Party Relations.

The data protection principles adopted by Smile Hair Clinic include:

  • Providing individuals with clear information about who uses their personal data and how it is used.
  • Processing personal data for these purposes at the minimum necessary scale, without harming individuals’ fundamental rights and freedoms, and avoiding processing excessive data.
  • Respecting the Data Subject’s rights regarding their personal data, including the right of access.
  • Maintaining an inventory of processed personal data categories.
  • Keeping personal data accurate and up-to-date when necessary.
  • Processing personal data fairly and lawfully.
  • Processing personal data only when clearly necessary for legitimate corporate purposes.
  • Storing personal data only within the periods determined by legal regulations, Smile Hair Clinic’s legal obligations, or legitimate corporate interests, and within the framework of the periods specified in Smile Hair Clinic’s Personal Data Storage and Disposal Policy.
  • Transferring personal data abroad in accordance with the principles determined by the KVKK and the GDPR.
  • Designating a Committee with special authority and responsibilities related to the personal data protection system.
  • Applying exceptions permitted by legislation.
  • Preparation of this Policy.
  • Taking all necessary technical and administrative measures determined by the KVKK, the GDPR, secondary legislation, and also the Board, to ensure an appropriate level of security for all personal data.
  • Processing only relevant and appropriate personal data.

 

A. Training Activities

 

Smile Hair Clinic provides its employees with the necessary training on personal data protection within the scope of Policies and KVKK & GDPR Regulations and Procedures. Special emphasis is placed on the definitions and protection practices of Special Categories of Personal Data in these training sessions. If a Smile Hair Clinic employee accesses Personal Data physically or in a computer environment, our Company provides specific training to the employee for these accesses (e.g., the accessed computer program).

Smile Hair Clinic ensures that employees receive training and necessary notifications to increase awareness about preventing the unlawful processing of personal data, unlawful access to data, and ensuring the preservation of data.

 

B. Audit Activities

 

Smile Hair Clinic reserves the right to regularly audit, at any time and ex officio, without prior notice, whether all employees, departments, and suppliers of the Company comply with this Policy and KVKK & GDPR Regulations. In this context, it conducts or commissions the necessary routine audits. The results of these audits are evaluated within the Company’s internal operations, and necessary activities are carried out to improve the measures taken.

 

VI. STORAGE AND DISPOSAL OF PERSONAL DATA

 

Smile Hair Clinic retains personal data for the period necessary for the purposes for which they are processed and in accordance with the minimum periods stipulated in the legislation applicable to the relevant activity. In this context, it first determines whether a period for personal data storage is stipulated in the relevant legislation, and if a period is specified, it acts in accordance with it. If no period exists in the legislation, personal data are stored for the period necessary for the purposes for which they are processed. At the end of the determined storage periods, personal data are disposed of in accordance with the periodic disposal periods specified in Smile Hair Clinic’s Personal Data Storage and Disposal Policy or in response to the Data Subject’s request, and by the determined disposal methods (deletion and/or destruction and/or anonymization).

For detailed information, you can access Smile Hair Clinic’s Personal Data Storage and Disposal Policy at www.smilehairclinic.com.

 

VII. INFORMATION AND NOTIFICATION TO THE DATA SUBJECT

 

Smile Hair Clinic informs the Data Subject in accordance with the KVKK, GDPR, and secondary regulations. In this context, if personal data are obtained from the Data Subject themselves, at the time of acquisition; if not obtained from the Data Subject, within a reasonable period from the acquisition of personal data; but in any case, regardless of the Data Subject’s request, the Data Subject is informed about:

  • Smile Hair Clinic’s identity,
  • The purpose for which personal data will be processed,
  • To whom and for what purposes they may be transferred,
  • The method of personal data collection (which of the fully or partially automated methods, or non-automated methods as part of a data recording system, is used),
  • The legal basis for personal data collection,
  • Other rights of the Data Subject listed in the KVKK or GDPR.

It must be ensured that this notification, in addition to the above, definitely includes the Data Subject’s rights listed in the KVKK, GDPR, and this Policy. The following points are considered when providing notification:

  • The information within the scope of notification is provided using clear and plain language. Expressions that might suggest that the relevant personal data could also be processed for other purposes that may arise in the future are not used.
  • Notification can be made verbally, in writing, via voice recording through a call center, through various physical or electronic media, and by directing to web pages containing personal data notification texts and other media that may be announced later. The relevant department providing the information and fulfilling the notification obligation takes measures to prove it lawfully and procedurally.
  • If the data processing purpose stated in the notification changes when personal data is obtained, the notification obligation for this new purpose is fulfilled separately in accordance with the procedures outlined above.
  • If the personal data obtained will only be used for communication with the Data Subject, notification can be made at the time of the first communication.
  • If the personal data obtained will be transferred to third parties, care is taken to ensure that notification is made at the latest at the time of the first transfer of personal data.

 

VIII. RIGHTS OF THE DATA SUBJECT AND THE EXERCISE OF THESE RIGHTS

 

The legal rights that the Data Subject can exercise regarding personal data are listed below:

  • To learn whether their personal data is being processed,
  • To request information if their personal data has been processed,
  • To learn the purpose of processing their personal data and whether they are used in accordance with their purpose,
  • To learn about third parties to whom their personal data has been transferred domestically or abroad,
  • To request correction of their personal data if it is incomplete or incorrectly processed, and to request notification of the operation carried out in this context to third parties to whom their personal data has been transferred,
  • To request the deletion, destruction, or anonymization of their personal data if the reasons requiring processing cease to exist, despite being processed in accordance with the Law and other relevant legal provisions, and to request notification of the operation carried out in this context to third parties to whom their personal data has been transferred,
  • To object to a result arising against them solely through the analysis of processed data by automated systems,
  • To demand compensation for damages if they suffer losses due to the unlawful processing of their personal data.
  • Transfer of personal data to a different data controller requested by the data subject (right to data portability).

If the Data Subject is a resident of Turkey, they can submit their requests regarding the rights listed in this article in Turkish, in accordance with the Communiqué on Application Procedures and Principles to the Data Controller No. 30356. If the Data Subject is a resident of Europe, they can submit their requests in English by filling out the Smile Hair Clinic Application Form in writing, or by using a Registered Electronic Mail (KEP) address, Secure Electronic Signature, Mobile Signature, or an electronic mail address previously notified and registered in our system, to Smile Hair Clinic.

 

IX. SMILE HAIR CLINIC’S RESPONSE TO APPLICATIONS

 

Smile Hair Clinic takes all necessary technical and administrative measures to effectively process applications made by the Data Subject in a legal and fair manner.

The Data Subject’s applications may be accepted or rejected with an explanation of the reasons. The response to the Data Subject’s application may be communicated to the Data Subject in writing or electronically.

If the Data Subject submits a request regarding their rights under heading VIII of the Policy, titled ”Rights of the Data Subject and the Exercise of These Rights,” to Smile Hair Clinic in accordance with the specified procedures, the relevant request will be concluded free of charge as soon as possible, and no later than 30 (thirty) days, depending on the nature of the request. However, if the process requires an additional cost and the conditions determined by the KVK Board are met, the fee specified in the tariff may be requested.

 

X. POLICY EFFECTIVENESS AND UPDATE PERIOD

 

This Policy, prepared by Smile Hair Clinic, entered into force on 01.05.2021, and necessary updates will be made if the entire Policy or specific articles are renewed.

The Committee is responsible for the implementation, updating, and announcement of this Policy. The Policy is published on the Smile Hair Clinic website.