1. CONFIDENCIALIDAD DE LOS DATOS COMPROMISO
1.1 La presente Política de Protección de Datos Personales ("Política") EMP HEALTH SERVICES TRADE CO.Determina los principios que deben cumplirse dentro de la empresa y / o por la empresa en el cumplimiento de sus obligaciones de protección de datos personales y el tratamiento de datos personales de conformidad con las disposiciones de la legislación pertinente, especialmente la Ley N º 6698 sobre la protección de datos personales.
1.2 La Empresa se compromete a actuar de conformidad con esta Política y los procedimientos que se apliquen de conformidad con la Política en materia de Datos Personales dentro de su propia estructura.
2. POLÍTICA PROPÓSITO
El objetivo principal de esta Política es determinar los principios relativos a los métodos y procesos para el tratamiento y la protección de los Datos Personales por parte de la Empresa.
3. POLÍTICA ALCANCE
3.1 Esta Política cubre todas las actividades relativas a los Datos Personales procesados por la Empresa y se aplica a dichas actividades.
3.2 Esta Política no se aplica a los datos que no tengan la consideración de Datos Personales.
3.3 Esta Política podrá ser modificada de vez en cuando con la aprobación del Consejo de Administración si así lo exige el Reglamento del KVK o si la Empresa o el Comité lo consideran necesario. En caso de incompatibilidad entre el Reglamento PDP y la presente Política, prevalecerá el Reglamento PDP.
4. DEFINICIONES
Las definiciones utilizadas en esta Política tendrán los siguientes significados;
Consentimiento abierto: Se refiere al consentimiento basado en información sobre un tema concreto y expresado con libre voluntad.
Anonimización: Significa que los Datos Personales no pueden asociarse a una persona física identificada o identificable bajo ninguna circunstancia, ni siquiera por cotejo con otros datos.
Obligación de informar: Se refiere a la obligación del responsable del tratamiento o de la persona autorizada por el responsable del tratamiento de facilitar información al interesado en el ámbito del artículo 10 del KVKK durante la adquisición de datos personales.
Datos personales: Cualquier información relativa a una persona física identificada o identificable (en el ámbito de aplicación de este procedimiento, el término "Datos Personales" también incluirá, en la medida en que proceda, los "Datos Personales Sensibles", tal como se definen a continuación)
Tratamiento de datos personales: Se refiere a todo tipo de operaciones realizadas sobre los datos, como obtener, registrar, almacenar, conservar, modificar, reorganizar, divulgar, transferir, hacerse cargo, poner a disposición, clasificar o impedir el uso de Datos Personales por medios total o parcialmente automatizados o no automatizados, siempre que formen parte de cualquier sistema de registro de datos.
Comité: Se refiere al Comité de Protección de Datos Personales de la empresa.
Junta: Se refiere al Consejo de Protección de Datos Personales.
Institución: Se refiere a la Autoridad de Protección de Datos Personales.
KVKK: Ley nº 6698 de Protección de Datos Personales.
Reglamento KVK: Ley nº 6698 de Protección de Datos de Carácter Personal y demás legislación pertinente para la protección de Datos de Carácter Personal, decisiones vinculantes, decisiones de principio, disposiciones, instrucciones emitidas por autoridades reguladoras y supervisoras, tribunales y otras autoridades oficiales, así como acuerdos internacionales aplicables y cualquier otra legislación para la protección de datos.
Políticas de KVK: Se refiere a las políticas emitidas por la Empresa en materia de protección de Datos Personales.
Procedimientos KVK: Se refiere a los procedimientos que determinan las obligaciones que la Empresa, los empleados y el Comité deben cumplir en el ámbito de las Políticas de KVK.
Categorías especiales de datos personales: "Datos relativos a la raza, el origen étnico, las opiniones políticas, las convicciones filosóficas, la religión, la secta u otras creencias, la vestimenta, la pertenencia a asociaciones, fundaciones o sindicatos, la salud, la vida sexual, las condenas penales y las medidas de seguridad, así como los datos biométricos y genéticos".
Borrar y destruir: Se refiere a la destrucción o destrucción irreversible de Datos Personales.
Inventario de datos: "Tratamiento de Datos Personales" se refiere al inventario que contiene información como los procesos y métodos de Tratamiento de Datos Personales, los fines del Tratamiento de Datos Personales, la categoría de datos, los terceros a los que se transfieren los Datos Personales, etc. para las actividades de Tratamiento de Datos Personales de la Empresa.
Procesador de datos: Se refiere a la persona física o jurídica que trata Datos Personales por cuenta del Responsable del Tratamiento al estar autorizada por éste.
Sujeto de los datos: Se refiere a todas las personas físicas cuyos Datos Personales son procesados por o en nombre de la Empresa.
Responsable del tratamiento: Se refiere a la persona física y jurídica que trata los Datos Personales especificando los fines y formas del Tratamiento, y que es responsable del establecimiento y gestión del sistema de registro de datos.
Responsable del tratamiento Persona de contacto: Se refiere a la persona real que el responsable del tratamiento notifica al registro para que se establezca la comunicación con la Autoridad en relación con el Reglamento PDP.
5. TRATAMIENTO DE DATOS PERSONALES PRINCIPIOS
5.1 Tratamiento de Datos Personales conforme a la Ley y la Buena Fe
La Empresa trata los Datos Personales de acuerdo con la ley y la buena fe y basándose en el principio de proporcionalidad.
5.2 Tomar las medidas necesarias para garantizar que los datos personales sean exactos y estén actualizados cuando sea necesario.
La Empresa toma todas las medidas necesarias para garantizar que los Datos Personales estén completos, sean exactos y estén actualizados, y actualiza los Datos Personales pertinentes en caso de que el titular de los Datos solicite cambios en los Datos Personales dentro del ámbito de aplicación del Reglamento KVKK.
5.3 De acuerdo con las Finalidades Específicas, Explícitas y Legítimas de los Datos Personales Tratamiento
Antes del tratamiento de los Datos Personales, la Empresa determina la finalidad para la que se tratarán los Datos Personales. En este contexto, se informa al titular de los datos sobre el ámbito de aplicación de la normativa del KVK y se obtiene su consentimiento explícito cuando es necesario.
5.4 Pertinentes, limitados y proporcionados a la finalidad para la que se tratan los datos personales Ser
La Empresa procesa los Datos Personales sólo en casos excepcionales dentro del ámbito de aplicación de la Normativa del KVK (Artículo 5.2 y Artículo 6.3 del KVKK) o de acuerdo con la finalidad dentro del ámbito de aplicación del Consentimiento Explícito obtenido del Titular de los Datos (Artículo 5.1 y Artículo 6.2 del KVKK) y de conformidad con el principio de proporcionalidad. El Responsable del Tratamiento trata los Datos Personales de manera que conduzcan a la realización de los fines especificados y evita el tratamiento en casos que no estén relacionados con la realización de los fines o que no sean necesarios.
5.5 Para la finalidad estipulada en la legislación pertinente o para la finalidad para la que se tratan los datos personales Almacenamiento durante el periodo requerido Edición de
5.5.1 La Empresa conserva los Datos Personales durante el tiempo necesario de acuerdo con la finalidad. Si la Empresa desea conservar los Datos Personales durante un periodo superior al estipulado en el Reglamento del KVK o al requerido por la finalidad del Tratamiento de Datos Personales, la Empresa actúa de conformidad con las obligaciones especificadas en el Reglamento del KVK.
5.5.2 Una vez transcurrido el plazo necesario para el tratamiento de los Datos Personales, éstos serán borrados, destruidos o anonimizados. En este caso, se garantiza que los terceros a los que la Empresa transfiera Datos Personales también eliminen, destruyan o anonimicen los Datos Personales.
5.5.3 El Comité es responsable del funcionamiento de los procesos de supresión, destrucción y anonimización. En este contexto, el Comité establece el procedimiento necesario.
6. DATOS PERSONALES PROCESAMIENTO
Los Datos Personales sólo podrán ser tratados por la Empresa en el ámbito de los siguientes procedimientos y principios.
6.1 Abrir Reza
6.1.1 Los Datos Personales se tratan tras la notificación que debe realizarse a los Titulares de los Datos en el marco del cumplimiento de la obligación de comunicación y en caso de que los Titulares de los Datos den su Consentimiento Explícito.
6.1.2 Los interesados son informados de sus derechos antes de obtener el Consentimiento Explícito en el marco de la Obligación de Revelación.
6.1.3 El consentimiento explícito del propietario de los datos se obtiene mediante métodos conformes con la normativa del KVK. La empresa conserva de forma demostrable los consentimientos explícitos durante el periodo requerido en el ámbito de aplicación de la normativa del KVK.
6.1.4 El Comité está obligado a garantizar el cumplimiento de la Obligación de Divulgación en lo que respecta a todos los procesos de Tratamiento de Datos Personales y a obtener el Consentimiento Explícito cuando sea necesario y a preservar el Consentimiento Explícito obtenido. Todos los empleados del departamento que traten Datos Personales están obligados a cumplir las instrucciones de la Persona de Contacto y del Comité, esta Política y los Procedimientos de KVK anexos a esta Política.
6.2 Datos personales sin consentimiento explícito Tratamiento
En los casos en los que se prevea el Tratamiento de Datos Personales sin obtener el Consentimiento Explícito dentro del ámbito de aplicación del Reglamento del KVKK (Artículo 5.2 del KVKK), la Empresa podrá tratar Datos Personales sin obtener el Consentimiento Explícito del Titular de los Datos. En caso de que los Datos Personales se procesen de este modo, la Empresa procesa los Datos Personales dentro de los límites establecidos por la Normativa KVKK. En este contexto
6.2.1 Los Datos Personales podrán ser tratados por la Empresa sin Consentimiento Explícito si así lo estipulan explícitamente las leyes.
6.2.2 Los Datos Personales podrán ser tratados por la Empresa sin Consentimiento Explícito si es obligatorio para la protección de la vida o la integridad física del propio Titular o de otra persona distinta del Titular que no pueda revelar su consentimiento por imposibilidad real o cuyo consentimiento no sea legalmente válido.
6.2.3 Siempre que esté directamente relacionado con el establecimiento o la ejecución de un contrato, si es necesario procesar Datos Personales pertenecientes a las partes del contrato, los Datos Personales podrán ser procesados por la Empresa sin el consentimiento explícito de los Titulares de los Datos.
6.2.4 Si el Tratamiento de Datos es obligatorio para que la Empresa cumpla con su obligación legal, los Datos Personales podrán ser tratados por la Empresa sin el consentimiento explícito de los Titulares de los Datos.
6.2.5 Los Datos Personales hechos públicos por el interesado podrán ser tratados por la Sociedad sin necesidad de obtener el Consentimiento Explícito.
6.2.6 Si el Tratamiento de Datos Personales es obligatorio para el establecimiento, ejercicio o protección de un derecho, los Datos Personales podrán ser tratados por la Empresa sin necesidad de obtener el Consentimiento Explícito.
6.2.7 Siempre que no perjudique los derechos y libertades fundamentales del Titular de los Datos, la Empresa podrá tratar los Datos Personales sin Consentimiento Explícito si el tratamiento de los datos es obligatorio para los intereses legítimos de la Empresa.
7. CATEGORÍAS ESPECIALES DE DATOS PERSONALES PROCESAMIENTO
7.1 Las Categorías Especiales de Datos Personales sólo podrán ser tratadas si el Titular de los Datos ha dado su consentimiento explícito o si el tratamiento es requerido explícitamente por la ley en términos de Categorías Especiales de Datos Personales distintos a los datos de vida sexual y salud personal.
7.2 Los datos personales relativos a la salud y a la vida sexual sólo pueden ser tratados sin obtener el Consentimiento Explícito con fines de protección de la salud pública, medicina preventiva, diagnóstico médico, servicios de tratamiento y asistencia, planificación y gestión de servicios sanitarios y financiación, por personas sometidas a la obligación de confidencialidad (por ejemplo: Médico de Empresa) o instituciones y organizaciones autorizadas.
7.3 Cuando se traten Datos Personales Sensibles, se adoptarán las medidas que determine la Junta Directiva.
7.4 Para empleados implicados en el tratamiento de Datos Personales Sensibles;
7.4.1.La empresa impartirá periódicamente cursos de formación sobre el Reglamento KVK y la seguridad de las categorías especiales de datos personales.
7.4.2.Celebrará acuerdos de confidencialidad.
7.4.3.Deberá definir claramente el alcance y la duración de la autorización de los usuarios autorizados a acceder a Datos Personales Sensibles.
7.4.4.Realizar periódicamente controles de autorización.
7.4.5.Revocar inmediatamente la autorización de los empleados que cambien de funciones o abandonen su puesto de trabajo y recuperar inmediatamente el inventario asignado al empleado en cuestión.
7.5 En caso de que los Datos Personales Sensibles se transfieran a medios electrónicos, la Empresa en relación con los medios electrónicos en los que se procesen, almacenen y/o accedan a los Datos Personales Sensibles;
7.5.1.Supervisará continuamente las actualizaciones de seguridad de los entornos en los que se encuentran los Datos Personales Sensibles.
7.5.2.Si se accede a Datos Personales Sensibles a través de un programa informático, realizará autorizaciones de usuario para dicho programa.
7.5.3.En caso de acceso remoto a Datos Personales Sensibles, proporcionará un sistema de autenticación en dos etapas.
7.6.En caso de que los Datos Personales Sensibles se procesen en un entorno físico, la Empresa en relación con los entornos físicos en los que se procesan, almacenan y/o se accede a los Datos;
7.6.1.Garantizará que se tomen las medidas de seguridad adecuadas (contra fugas eléctricas, incendios, inundaciones, robos, etc.) en función de la naturaleza del entorno en el que se encuentren los Datos Personales Sensibles.
7.6.2.Impedirá las entradas y salidas no autorizadas garantizando la seguridad física de estos entornos.
7. En caso de transferencia de Categorías Especiales de Datos Personales, Empresa;
7.1 Si es necesario transferir Datos Personales Sensibles por correo electrónico, dirección de correo electrónico corporativa encriptada o Correo Electrónico Registrado ("KEP") utilizará la cuenta.
7.2 En caso de que sea necesario transferir físicamente Datos Personales Sensibles en papel, tomará las medidas necesarias contra riesgos tales como robo, pérdida o que personas no autorizadas vean el documento y enviará el documento en el formato de "documentos confidenciales".
7.3 Además de la normativa anterior, el Comité y la Persona de Contacto actuarán de conformidad con la Normativa de PDP, en particular la Guía de Seguridad de Datos Personales publicada por el Consejo en relación con la seguridad de los Datos Personales, incluidas las Categorías Especiales de Datos.
7.4 En cualquier caso que requiera el tratamiento de categorías especiales de datos personales, el Comité será informado por el empleado pertinente.
7.5 Si no está claro si un dato pertenece o no a las categorías especiales de datos personales, el departamento competente recabará el dictamen del Comité.
8. ALMACENAMIENTO DE DATOS PERSONALES DURACIÓN
Los Datos Personales se conservan en la Empresa durante los periodos de conservación legales pertinentes y se mantienen durante el periodo necesario para la realización de las actividades relacionadas con estos datos y los fines especificados en esta Política. Los Datos Personales cuya finalidad de uso haya finalizado y cuyo periodo de conservación legal haya expirado serán borrados, destruidos o anonimizados por la Empresa de conformidad con el artículo 7 de la KVKK.
9. SUPRESIÓN, DESTRUCCIÓN Y ANONIMIZACIÓN DE DATOS PERSONALES ORGANIZACIÓN
9.1 Cuando desaparezca la finalidad legítima del tratamiento de los Datos Personales, los Datos Personales pertinentes se suprimirán, destruirán o anonimizarán. El Comité y los departamentos supervisan las situaciones en las que los datos personales deben suprimirse, destruirse o anonimizarse.
9.2 El Comité es responsable del funcionamiento de los procesos de Supresión, Destrucción y Anonimización. En este contexto, el Comité establece el procedimiento necesario.
9.3La Empresa puede no almacenar Datos Personales teniendo en cuenta la posibilidad de un uso futuro.
9.4 Todas las actividades de supresión, destrucción y anonimización de datos personales que lleve a cabo la empresa se realizarán de conformidad con los principios especificados en la Política de almacenamiento y destrucción de datos personales.
10. TRANSFERENCIA DE DATOS PERSONALES TERCERAS PERSONAS POR PROCESAMIENTO
La Empresa podrá transferir Datos Personales a una tercera persona física o jurídica en el país y/o en el extranjero de conformidad con la normativa del KVK, siempre que adopte las medidas necesarias de acuerdo con las finalidades del Tratamiento de Datos Personales. En este caso, la Compañía se asegura de que los terceros a los que transfiere Datos Personales también cumplan con esta Política. En este contexto, se añaden las normas de protección necesarias a los contratos celebrados con el tercero. Cada empleado está obligado a cumplir los procesos de esta Política en caso de transferencia de Datos Personales.
10.1 Datos personales a terceros en Turquía Transferencia
10.1.1 Los Datos Personales podrán ser transferidos por la Empresa a terceros en Turquía sin Consentimiento Explícito en los casos excepcionales especificados en el Artículo 5.2 de la LPPD y en el Artículo 6.3 siempre que se tomen las medidas adecuadas, o en otros casos, siempre que se obtenga el Consentimiento Explícito del Titular de los Datos (Artículo 5.1 y Artículo 6.2 de la LPPD).
10.1.2 Los empleados de la empresa y el Comité son conjunta y solidariamente responsables de garantizar que la transferencia de Datos Personales a terceros en Turquía cumpla con la Normativa PDP.
10.2 Transferencia de datos personales a terceros en el extranjero
10.2.1 Los Datos Personales podrán ser transferidos por la Empresa a terceros en el extranjero, siempre que se obtenga el Consentimiento Explícito del Titular de los Datos (Artículo 5.1 y Artículo 6.2 del KVKK).
10.2.2 En caso de que se transfieran Datos Personales sin Consentimiento Explícito de conformidad con el Reglamento del KVK, también deberá darse una de las siguientes condiciones en cuanto al país extranjero al que se transferirán;
10.2.3 El país extranjero al que se transferirán los Datos Personales se encuentra en el estatus de países con protección adecuada por parte de la Junta,
10.2.4 Si el país extranjero al que se va a realizar la transferencia no está incluido en la lista de países seguros de la Junta, la empresa y los responsables del tratamiento de datos del país en cuestión deberán obtener el permiso de la Junta comprometiéndose por escrito a que se proporcionará la protección adecuada.
10.2.5 Los empleados de la Empresa, el Comité y su Representante son responsables solidarios de garantizar que la transferencia de Datos Personales a terceros en el extranjero cumpla con la Normativa PDP.
11. INFORMACIÓN DE LA EMPRESA OBLIGACIÓN
De conformidad con el artículo 10 de la KVKK, la Sociedad informa a los Interesados antes del Tratamiento de los Datos Personales. En este contexto, la Sociedad cumple con la Obligación de Información durante la adquisición de Datos Personales. La notificación que debe hacerse a los Interesados en el ámbito de la Obligación de Información incluye los siguientes elementos, respectivamente;
11.1 Identidad del responsable del tratamiento (y de su representante, en su caso),
11.2 La finalidad del tratamiento de los datos personales,
11.3 A quién y con qué fin pueden transferirse los Datos Personales procesados,
11.4 El método y el motivo legal de la recogida de Datos Personales,
11.5 Derechos de los interesados enumerados en el artículo 11 de la LPPD.
11.6 La Sociedad facilitará la información necesaria si el Interesado solicita información de conformidad con el artículo 20 de la Constitución de la República de Turquía y el artículo 11 de la LPPD.
11.7 Si así lo solicitan los Interesados de conformidad con el Reglamento KVKK, la Empresa facilitará al Interesado la información necesaria sobre los datos personales que trata.
11.8 El empleado que sigue el proceso pertinente y el Comité son conjunta y solidariamente responsables de garantizar que se cumple la Obligación de Divulgación necesaria antes del tratamiento de los Datos Personales.
11.9 Los terceros que tengan la condición de encargados del tratamiento de datos se comprometen mediante un contrato escrito a actuar de conformidad con las obligaciones mencionadas antes de iniciar el tratamiento de datos.
12. INTERESADOS (INTERESADOS) DERECHOS
12.1 La Empresa responde a las siguientes solicitudes de los Interesados cuyos Datos Personales trata de conformidad con el Reglamento KVK;
12.1.1 Conocer si los Datos Personales son Tratados por la Empresa,
12.1.2 En caso de Tratamiento de Datos Personales, para solicitar información al respecto
12.1.3 Conocer la finalidad del tratamiento de los Datos Personales y si se utilizan de acuerdo con su finalidad,
12.1.4Conocer a los terceros a los que se transfieren Datos Personales dentro o fuera del país,
12.1.5.Solicitar la corrección de los Datos Personales en caso de tratamiento incompleto o incorrecto por parte de la Empresa,
12.1.6.Solicitar la supresión o destrucción de los Datos Personales por parte de la Sociedad en el caso de que desaparezcan los motivos que justificaron el Tratamiento de los Datos Personales, a valorar dentro de los principios de finalidad, duración y legitimación,
12.1.7.En caso de corrección, supresión o destrucción de Datos Personales por parte de la Empresa, solicitar la notificación de estas operaciones a terceros a los que se transfieran Datos Personales,
12.1.8.En el caso de que los Datos Personales tratados sean analizados exclusivamente a través de sistemas automatizados, a oponerse a este resultado en el caso de que se produzca un resultado en perjuicio del Titular,
12.1.9.En caso de que los Datos Personales se traten infringiendo la ley y el Titular de los Datos sufra daños por este motivo, a exigir la indemnización de los daños.
En los casos en que los Interesados deseen ejercer sus derechos y/o consideren que la Empresa no actúa dentro del ámbito de la presente Política al tratar Datos Personales, pueden presentar sus solicitudes a la dirección de correo electrónico indicada a continuación, que puede cambiar de vez en cuando, rellenando el formulario que figura en el sitio web de la Empresa o creando sus propias solicitudes para cumplir las condiciones determinadas por la Autoridad, Pueden enviar sus solicitudes a la empresa por correo electrónico (debe comprobarse la dirección de correo electrónico registrada en el sistema) o mediante firma electrónica segura o firma móvil a la dirección KEP de la empresa o a la dirección de correo indicada más abajo, que puede cambiar de vez en cuando, junto con una petición firmada en papel mojado con documentos que certifiquen su identidad, en mano o mediante un notario público, o mediante otros métodos determinados por la Autoridad que puedan añadirse en el futuro. Los métodos de solicitud actuales y el contenido de la solicitud deben confirmarse en la legislación antes de presentar la solicitud.
Responsable del tratamiento de datos : EMPCLINICS HİZMETLERI TİCARET A.Ş
Correo : Küçükbakkalköy, Ahmet Yesevi Cd No: 8/A, 34750 Ataşehir/İstanbul
En caso de que los interesados presenten por escrito a la Sociedad sus solicitudes relativas a los derechos enumerados anteriormente, la Sociedad las tramitará gratuitamente en un plazo máximo de (30) treinta días, en función de su naturaleza. En caso de que surja un coste adicional en relación con la finalización de las solicitudes por parte del Responsable del Tratamiento, el Responsable del Tratamiento podrá solicitar el pago de los honorarios según la tarifa determinada por el Consejo de Protección de Datos Personales.
13. GESTIÓN Y SEGURIDAD DE LOS DATOS
13.1 La Empresa establece un Comité para cumplir con sus obligaciones en virtud del Reglamento KVK, para garantizar y supervisar la aplicación de los Procedimientos KVK necesarios para la aplicación de esta Política, y para hacer sugerencias para su funcionamiento.
13.2 Todos los empleados implicados en el proceso correspondiente son conjunta y solidariamente responsables de la protección de los Datos Personales de conformidad con esta Política y los Procedimientos de KVK.
13.3 Las actividades de tratamiento de Datos Personales por parte de la Empresa están supervisadas por sistemas técnicos de acuerdo con las posibilidades tecnológicas y el coste de implementación.
13.4 Se emplea a personal con conocimientos técnicos relacionados con las actividades de tratamiento de datos personales.
13.5 Los empleados de la empresa reciben información y formación sobre la protección y el tratamiento de los Datos Personales de conformidad con la ley.
13.6 Los empleados de la Empresa sólo podrán acceder a los Datos Personales dentro de la autorización que se les haya definido y de conformidad con el Procedimiento PDP correspondiente. Cualquier acceso y tratamiento realizado por el empleado por encima de su autorización es ilegal y es motivo de rescisión del contrato de trabajo por justa causa.
13.7 Si el empleado de la Empresa sospecha que la seguridad de los Datos Personales no está adecuadamente garantizada o detecta tal brecha de seguridad, deberá notificarlo al Comité.
13.8 El Comité establece un procedimiento detallado para la seguridad de los datos personales.
13.9 Cada persona a la que se asigne un dispositivo de la Empresa es responsable de la seguridad de los dispositivos asignados a su uso.
13.10 Cada empleado o persona que trabaje en la empresa es responsable de la seguridad de los archivos físicos de su área de responsabilidad.
13.11 En caso de que existan medidas de seguridad solicitadas o que deban solicitarse adicionalmente para la seguridad de los Datos Personales en el ámbito de aplicación del Reglamento KVK, todos los empleados están obligados a cumplir las medidas de seguridad adicionales y a garantizar la continuidad de dichas medidas de seguridad.
13.12 Para almacenar los Datos Personales en entornos seguros, se instalan programas y equipos informáticos, incluidos sistemas de protección antivirus y cortafuegos, de acuerdo con los avances tecnológicos.
13.13 En la empresa se utilizan programas de copia de seguridad para evitar la pérdida o el deterioro de los Datos Personales y se adoptan las medidas de seguridad adecuadas.
13.14 Se tomarán las medidas necesarias para proteger los documentos que contengan Datos Personales a la Empresa con sistemas cifrados (encriptados). En este contexto, los Datos Personales no se almacenarán en zonas comunes ni en el escritorio. Los archivos, carpetas, etc. que contengan Datos Personales no se moverán al escritorio ni a la carpeta común, la información del ordenador de la Empresa no se transferirá a otro dispositivo como USB, etc. sin la aprobación previa por escrito del Comité, y no se sacará de la Empresa.
13.15 El Comité, junto con el Consejo de Administración, es responsable de tomar medidas técnicas y administrativas para la protección de todos los Datos Personales dentro de la Empresa, supervisando continuamente los desarrollos y las actividades administrativas, preparando los Procedimientos KVK necesarios y anunciándolos dentro de la Empresa, asegurando y supervisando su cumplimiento. En este contexto, el Comité organiza las formaciones necesarias para sensibilizar a los empleados.
13.16 Si un departamento de la Empresa trata Datos Personales Sensibles, dicho departamento será informado por el Comité sobre la importancia, seguridad y confidencialidad de los Datos Personales que trata y el departamento correspondiente actuará de acuerdo con las instrucciones del Comité. Sólo un número limitado de empleados estará autorizado a acceder a Datos Personales Sensibles y su lista y seguimiento serán realizados por el Comité.
13.17 Todos los Datos Personales tratados en la Empresa son considerados como "Información Confidencial" por la Empresa.
13.18 Los empleados de la Empresa han sido informados de que sus obligaciones en materia de seguridad y confidencialidad de los Datos Personales continuarán tras la finalización de la relación comercial y se ha obtenido el compromiso de los empleados de la Empresa de cumplir estas normas.
14 PLAN DE RESPUESTA A LA VIOLACIÓN DE DATOS
14.1 El empleado que advierta la actitud y el comportamiento contrario a la Ley de Protección de Datos de Carácter Personal y a la legislación pertinente lo notificará inmediatamente al Comité de Protección de Datos de Carácter Personal de la EMPRESA.
14.2 En caso de que los datos personales tratados sean obtenidos ilegalmente por terceros, se notificará a la institución en un plazo de 72 horas.
14.3 Tras la determinación de las personas afectadas por la violación de datos en cuestión, se notificará a las personas pertinentes tan pronto como sea razonablemente posible, directamente si se puede localizar la dirección de contacto de la persona pertinente, y si no, mediante métodos adecuados como la publicación en el propio sitio web del responsable del tratamiento de datos.
14.4 Si el responsable del tratamiento de datos no lo notifica a la Junta en el plazo de 72 horas por un motivo justificado, se explicarán a la Junta las razones del retraso junto con la notificación que debe realizarse.
14.5 En la notificación que debe hacerse a la Junta, la institución https://ihlalbildirim.kvkk.gov.tr "Formulario de notificación de violación de datos personales" publicado en la dirección se utiliza.
14.6 En los casos en que no sea posible facilitar la información del formulario al mismo tiempo, esta información se facilitará gradualmente sin demora.
14.7 El responsable del tratamiento velará por que la información sobre las violaciones de datos, sus efectos y las medidas adoptadas se registren y se pongan a disposición del Consejo para su revisión.
14.8 En caso de que los datos personales que obren en poder del encargado del tratamiento sean obtenidos por terceros por medios ilícitos, el encargado del tratamiento lo notificará sin demora a la comisión.
El comité revisa periódicamente el plan correspondiente.
15. EDUCACIÓN
15.1 La empresa ofrece a sus empleados la formación necesaria sobre la protección de datos personales en el ámbito de la política y los procedimientos y reglamentos adjuntos del KVKK. Puede ofrecer estas formaciones en persona o en línea.
15.2 En las formaciones se hace especial hincapié en las definiciones de Categorías Especiales de Datos Personales y en las prácticas para su protección.
15.3 Si el empleado de la Empresa accede a Datos Personales físicamente o en un entorno informático, la Empresa proporciona formación al empleado en cuestión específica para estos accesos (por ejemplo, el programa informático al que se accede).
16. AUDITORÍA
La Empresa tiene derecho a auditar periódicamente y de oficio que todos los empleados, departamentos y contratistas de la Empresa actúan de acuerdo con esta Política y el Reglamento KVK en cualquier momento y de oficio sin notificación previa y realiza las auditorías rutinarias necesarias en este contexto. El Comité establece un Procedimiento PDP para estas auditorías. Lo somete a la aprobación de la dirección y garantiza la aplicación de dicho procedimiento.
17. INFRACCIONES
17.1 Cada empleado de la Empresa informa al Comité de los negocios, transacciones o acciones que considere contrarios a los procedimientos y principios especificados en el Reglamento del KVK y en esta Política. En este contexto, el Comité crea un plan de acción para la infracción pertinente de acuerdo con esta Política y los Procedimientos KVK.
17.2 Como resultado de la información facilitada, el Comité prepara la notificación que debe hacerse al Titular de los datos o a la Autoridad en relación con la infracción, teniendo en cuenta lo dispuesto en la legislación vigente en la materia, especialmente el Reglamento KVK. La Persona de Contacto lleva a cabo la correspondencia y la comunicación con la Autoridad.
18. RESPONSABILIDADES
Las responsabilidades dentro de la empresa recaen en empleados, departamentos y comités, respectivamente. En este contexto, el Comité responsable de la aplicación de la Política es nombrado por la Dirección de la Empresa mediante una decisión de la Dirección o por órganos autorizados para firmar y obligar, y los cambios en este contexto también se realizan de la misma manera.
19. EN POLÍTICA CAMBIOS
19.1 La empresa podrá modificar esta política de vez en cuando con la aprobación de la dirección.
19.2 La Empresa comparte el texto actualizado de la Política con sus empleados por correo electrónico o lo pone a disposición de los empleados y los Interesados a través de la siguiente dirección web.
20. FECHA DE ENTRADA EN VIGOR DE LA PÓLIZA
Esta versión de la Política 01/01/2023 Fue aprobado por el Consejo de Administración de la empresa y entró en vigor.
