1. LA CONFIDENTIALITÉ DES DONNÉES ENGAGEMENT
1.1 La présente politique de protection des données à caractère personnel ("politique") EMP HEALTH SERVICES TRADE CO.Il détermine les principes à respecter au sein de l'entreprise et/ou par l'entreprise dans le cadre de ses obligations de protection des données personnelles et de traitement des données personnelles conformément aux dispositions de la législation pertinente, en particulier la loi n° 6698 sur la protection des données personnelles.
1.2 L'entreprise s'engage à agir conformément à la présente politique et aux procédures à mettre en œuvre conformément à la politique en matière de données à caractère personnel au sein de sa propre structure.
2) POLITIQUE OBJECTIF
L'objectif principal de cette politique est de déterminer les principes relatifs aux méthodes et processus de traitement et de protection des données à caractère personnel par la société.
3) POLITIQUE CHAMP D'APPLICATION
3.1 La présente politique couvre toutes les activités relatives aux données à caractère personnel traitées par la société et s'applique à ces activités.
3.2 La présente politique ne s'applique pas aux données qui ne sont pas considérées comme des données à caractère personnel.
3.3 La présente politique peut être modifiée de temps à autre avec l'approbation du conseil d'administration si les règlements du KVK l'exigent ou si la société ou le comité le juge nécessaire. En cas d'incompatibilité entre les règlements du PDP et la présente politique, les règlements du PDP prévalent.
4) DÉFINITIONS
Les définitions utilisées dans la présente politique ont la signification suivante ;
Consentement ouvert : Il s'agit du consentement fondé sur des informations relatives à un sujet spécifique et exprimé en toute liberté.
Anonymisation : Cela signifie que les données à caractère personnel ne peuvent en aucun cas être associées à une personne physique identifiée ou identifiable, même en les rapprochant d'autres données.
Obligation d'information : Il s'agit de l'obligation du responsable du traitement ou de la personne autorisée par le responsable du traitement de fournir des informations à la personne concernée dans le cadre de l'article 10 de la loi sur la protection des données lors de l'acquisition de données à caractère personnel.
Données personnelles : toute information concernant une personne physique identifiée ou identifiable (dans le cadre de cette procédure, le terme "données à caractère personnel" comprend également, dans la mesure appropriée, les "données à caractère personnel sensibles" telles que définies ci-dessous)
Traitement des données personnelles : Il s'agit de tous les types d'opérations effectuées sur les données, telles que l'obtention, l'enregistrement, le stockage, la conservation, la modification, la réorganisation, la divulgation, le transfert, la prise en charge, la mise à disposition, la classification ou la prévention de l'utilisation des données à caractère personnel par des moyens entièrement ou partiellement automatiques ou non automatiques, pour autant qu'ils fassent partie d'un système d'enregistrement des données.
La commission : Désigne le comité de protection des données personnelles de l'entreprise.
Conseil d'administration : Se réfère à la Commission de protection des données personnelles.
Institution : Fait référence à l'Autorité de protection des données personnelles.
KVKK : Loi n° 6698 sur la protection des données personnelles.
Règlement du KVK : Loi n° 6698 sur la protection des données à caractère personnel et autre législation pertinente pour la protection des données à caractère personnel, décisions contraignantes, décisions de principe, dispositions, instructions émises par les autorités de régulation et de contrôle, les tribunaux et autres autorités officielles, ainsi que les accords internationaux applicables et toute autre législation relative à la protection des données.
Politiques du KVK : Il s'agit des politiques émises par l'entreprise en matière de protection des données personnelles.
Procédures KVK : Il s'agit des procédures qui déterminent les obligations que l'entreprise, les employés et le Comité doivent respecter dans le cadre des politiques de la KVK.
Catégories particulières de données à caractère personnel : "Données relatives à la race, à l'origine ethnique, aux opinions politiques, aux convictions philosophiques, à la religion, à la secte ou à d'autres croyances, à l'habillement, à l'appartenance à des associations, fondations ou syndicats, à la santé, à la vie sexuelle, aux condamnations pénales et aux mesures de sûreté, ainsi qu'aux données biométriques et génétiques.
Effacer et détruire : Il s'agit de la destruction irréversible des données à caractère personnel.
Inventaire des données : Le terme "traitement des données personnelles" désigne l'inventaire contenant des informations telles que les processus et méthodes de traitement des données personnelles, les finalités du traitement des données personnelles, la catégorie de données, les tiers auxquels les données personnelles sont transférées, etc. pour les activités de traitement des données personnelles de l'entreprise.
Responsable du traitement des données : Il s'agit de la personne physique ou morale qui traite les données à caractère personnel pour le compte du contrôleur des données en étant autorisée par ce dernier.
Personne concernée : Désigne toutes les personnes physiques dont les données à caractère personnel sont traitées par la société ou en son nom.
Contrôleur de données : Désigne la personne physique et morale qui traite les données à caractère personnel en précisant les finalités et les modalités du traitement, et qui est responsable de la mise en place et de la gestion du système d'enregistrement des données.
Contrôleur des données Personne de contact : Désigne la personne réelle qui est notifiée au registre par le responsable du traitement des données pour la communication à établir avec l'Autorité concernant les règlements PDP.
5. LE TRAITEMENT DES DONNÉES À CARACTÈRE PERSONNEL PRINCIPES
5.1 Traitement des données personnelles conformément à la loi et à la bonne foi
La société traite les données à caractère personnel conformément à la loi et à la bonne foi et sur la base du principe de proportionnalité.
5.2 prendre les mesures nécessaires pour garantir l'exactitude et la mise à jour des données à caractère personnel, le cas échéant
La société prend toutes les mesures nécessaires pour s'assurer que les données personnelles sont complètes, exactes et à jour et met à jour les données personnelles pertinentes lorsque le propriétaire des données demande des modifications des données personnelles dans le cadre des règlements de la KVKK.
5.3 Conformément aux finalités spécifiques, explicites et légitimes des données à caractère personnel Traitement
Avant le traitement des données à caractère personnel, la société détermine la finalité du traitement des données à caractère personnel. Dans ce contexte, le propriétaire des données est informé du champ d'application des règlements du KVK et son consentement explicite est obtenu si nécessaire.
5.4 Pertinent, limité et proportionné à la finalité du traitement des données à caractère personnel À être
La société ne traite les données personnelles que dans des cas exceptionnels dans le cadre des réglementations de la KVK (article 5.2 et article 6.3 de la KVKK) ou conformément à la finalité dans le cadre du consentement explicite obtenu de la personne concernée (article 5.1 et article 6.2 de la KVKK) et en accord avec le principe de proportionnalité. Le responsable du traitement traite les données à caractère personnel d'une manière propice à la réalisation des objectifs spécifiés et évite le traitement dans les cas qui ne sont pas liés à la réalisation de l'objectif ou qui ne sont pas nécessaires.
5.5 Aux fins stipulées dans la législation pertinente ou aux fins pour lesquelles les données à caractère personnel sont traitées Stockage pendant la période requise Édition
5.5.1 La société conserve les données à caractère personnel aussi longtemps que nécessaire conformément à l'objectif poursuivi. Si la société souhaite conserver les données à caractère personnel pendant une période plus longue que celle stipulée dans les règlements de la KVK ou exigée par la finalité du traitement des données à caractère personnel, elle agit conformément aux obligations spécifiées dans les règlements de la KVK.
5.5.2 À l'expiration de la période nécessaire au traitement des données à caractère personnel, celles-ci sont supprimées, détruites ou rendues anonymes. Dans ce cas, il est veillé à ce que les tiers auxquels la société transfère des données à caractère personnel suppriment, détruisent ou anonymisent également les données à caractère personnel.
5.5.3 Le comité est responsable du fonctionnement des processus de suppression, de destruction et d'anonymisation. Dans ce contexte, la procédure nécessaire est établie par le Comité.
6. DONNÉES À CARACTÈRE PERSONNEL TRAITEMENT
Les données personnelles ne peuvent être traitées par la société que dans le cadre des procédures et principes suivants.
6.1 Ouvrir Reza
6.1.1 Les données à caractère personnel sont traitées après la notification aux personnes concernées dans le cadre de l'exécution de l'obligation de divulgation et si les personnes concernées donnent leur consentement explicite.
6.1.2 Les personnes concernées sont informées de leurs droits avant d'obtenir un consentement explicite dans le cadre de l'obligation de divulgation.
6.1.3 Le consentement explicite du propriétaire des données est obtenu par des méthodes conformes aux règlements de la KVK. Les consentements explicites sont conservés par l'entreprise pendant la période requise dans le cadre des règlements de la KVK.
6.1.4 Le Comité est tenu de s'assurer que l'obligation de divulgation est respectée pour tous les processus de traitement des données personnelles, que le consentement explicite est obtenu si nécessaire et que le consentement explicite obtenu est préservé. Tous les employés du service qui traitent des données personnelles sont tenus de respecter les instructions de la personne de contact et du comité, la présente politique et les procédures du KVK qui y sont annexées.
6.2 Données personnelles sans consentement explicite Traitement
Dans les cas où il est prévu de traiter des données personnelles sans obtenir de consentement explicite dans le cadre des règlements de la KVKK (article 5.2 de la KVKK), la société peut traiter des données personnelles sans obtenir le consentement explicite du propriétaire des données. Dans le cas où les données personnelles sont traitées de cette manière, la société traite les données personnelles dans les limites fixées par les règlements de la KVK. Dans ce contexte ;
6.2.1 Les données personnelles peuvent être traitées par l'entreprise sans consentement explicite si la législation le prévoit explicitement.
6.2.2 Les données à caractère personnel peuvent être traitées par la société sans consentement explicite si cela est nécessaire pour protéger la vie ou l'intégrité physique du propriétaire des données lui-même ou d'une personne autre que le propriétaire des données qui n'est pas en mesure de divulguer son consentement en raison d'une impossibilité réelle ou dont le consentement n'est pas juridiquement valable.
6.2.3 Pour autant qu'elles soient directement liées à l'établissement ou à l'exécution d'un contrat, s'il est nécessaire de traiter des données à caractère personnel appartenant aux parties au contrat, les données à caractère personnel peuvent être traitées par la société sans le consentement explicite des personnes concernées.
6.2.4 Si le traitement des données est obligatoire pour que la société remplisse son obligation légale, les données personnelles peuvent être traitées par la société sans le consentement explicite des personnes concernées.
6.2.5 Les données personnelles rendues publiques par la personne concernée peuvent être traitées par la société sans qu'il soit nécessaire d'obtenir un consentement explicite.
6.2.6 Si le traitement des données à caractère personnel est obligatoire pour la constatation, l'exercice ou la protection d'un droit, les données à caractère personnel peuvent être traitées par la société sans qu'il soit nécessaire d'obtenir un consentement explicite.
6.2.7 Sous réserve que cela ne porte pas atteinte aux droits et libertés fondamentaux du propriétaire des données, les données personnelles peuvent être traitées par la société sans consentement explicite si le traitement des données est obligatoire pour les intérêts légitimes de la société.
7. LES CATÉGORIES PARTICULIÈRES DE DONNÉES À CARACTÈRE PERSONNEL TRAITEMENT
7.1 Les catégories spéciales de données à caractère personnel ne peuvent être traitées qu'en présence du consentement explicite de la personne concernée ou si le traitement est explicitement requis par la loi en ce qui concerne les catégories spéciales de données à caractère personnel autres que les données relatives à la vie sexuelle et à la santé personnelle.
7.2 Les données personnelles relatives à la santé et à la vie sexuelle ne peuvent être traitées sans consentement explicite qu'à des fins de protection de la santé publique, de médecine préventive, de diagnostic médical, de traitement et de services de soins, de planification et de gestion des services et du financement de la santé, par des personnes soumises à l'obligation de confidentialité (par exemple, le médecin de l'entreprise) ou par des institutions et des organisations autorisées.
7.3 Lors du traitement de données à caractère personnel sensibles, les mesures déterminées par la Commission sont prises.
7.4 Pour les employés impliqués dans le traitement de catégories particulières de données à caractère personnel ;
7.4.1.L'entreprise organisera régulièrement des formations sur les règlements du KVK et sur la sécurité des catégories spéciales de données à caractère personnel.
7.4.2.Il est possible de conclure des accords de confidentialité.
7.4.3.Il définit clairement la portée et la durée de l'autorisation des utilisateurs autorisés à accéder aux données à caractère personnel sensibles.
7.4.4.Effectuer périodiquement des contrôles d'autorisation.
7.4.5.Révoquer immédiatement l'autorisation des employés qui changent de fonctions ou quittent leur emploi et reprendre immédiatement l'inventaire attribué à l'employé concerné.
7.5 Dans le cas où les données personnelles sensibles sont transférées sur des supports électroniques, l'entreprise en ce qui concerne les supports électroniques dans lesquels les données personnelles sensibles sont traitées, stockées et/ou consultées ;
7.5.1.Il contrôlera en permanence les mises à jour de sécurité des environnements dans lesquels se trouvent les données à caractère personnel sensibles.
7.5.2.Si les données personnelles sensibles sont accessibles par le biais d'un logiciel, il sera procédé à des autorisations d'utilisation de ce logiciel.
7.5.3.En cas d'accès à distance à des données personnelles sensibles, il fournira un système d'authentification en deux étapes.
7.6.Dans le cas où des données à caractère personnel sensibles sont traitées dans un environnement physique, l'entreprise en ce qui concerne les environnements physiques dans lesquels les données sont traitées, stockées et/ou consultées ;
7.6.1.Il veillera à ce que des mesures de sécurité adéquates (contre les fuites électriques, les incendies, les inondations, les vols, etc.) soient prises en fonction de la nature de l'environnement dans lequel se trouvent les données à caractère personnel sensibles.
7.6.2.Il empêchera les entrées et sorties non autorisées en assurant la sécurité physique de ces environnements.
7. en cas de transfert de catégories particulières de données à caractère personnel, Entreprise ;
7.1 S'il est nécessaire de transmettre des données à caractère personnel sensibles par courrier électronique, adresse de courrier électronique d'entreprise cryptée ou courrier électronique recommandé. ("KEP") utilisera le compte.
7.2 Dans le cas où il est nécessaire de transférer physiquement des données à caractère personnel sensibles sur support papier, il prendra les mesures nécessaires contre les risques tels que le vol, la perte ou la consultation du document par des personnes non autorisées et enverra le document dans le format "documents confidentiels".
7.3 Outre les règlements susmentionnés, le comité et la personne de contact agissent conformément aux règlements de la KVK, en particulier au guide de sécurité des données personnelles publié par le conseil d'administration concernant la sécurité des données personnelles, y compris les catégories spéciales de données.
7.4 Dans tous les cas nécessitant le traitement de catégories particulières de données à caractère personnel, le comité est informé par l'employé concerné.
7.5 S'il n'est pas clair qu'une donnée relève des catégories spéciales de données à caractère personnel, le service concerné demande l'avis du comité.
8. LE STOCKAGE DES DONNÉES À CARACTÈRE PERSONNEL DURÉE
Les données personnelles sont conservées au sein de l'entreprise pendant la durée des périodes de conservation légales pertinentes et sont conservées pendant la période nécessaire à la réalisation des activités liées à ces données et aux objectifs spécifiés dans la présente politique. Les données personnelles dont l'utilisation a pris fin et dont la période de conservation légale a expiré sont supprimées, détruites ou anonymisées par l'entreprise conformément à l'article 7 de la loi sur la protection des données à caractère personnel.
9. L'EFFACEMENT, LA DESTRUCTION ET L'ANONYMISATION DES DONNÉES À CARACTÈRE PERSONNEL FAIRE FONCTIONNER L'INFORMATIQUE
9.1 Lorsque l'objectif légitime du traitement des données à caractère personnel disparaît, les données à caractère personnel concernées sont supprimées, détruites ou anonymisées. Les situations dans lesquelles les données à caractère personnel doivent être supprimées, détruites ou rendues anonymes font l'objet d'un suivi par le comité et les services.
9.2 Le comité est responsable du fonctionnement des processus de suppression, de destruction et d'anonymisation. Dans ce contexte, la procédure nécessaire est établie par le Comité.
9.3La société peut ne pas stocker les données personnelles en tenant compte de la possibilité d'une utilisation future.
9.4 Toutes les activités de suppression, de destruction et d'anonymisation mises en œuvre par la société sur les données à caractère personnel sont menées conformément aux principes spécifiés dans la politique de stockage et de destruction des données à caractère personnel.
10. TRANSFERT DE DONNÉES À CARACTÈRE PERSONNEL ET DE DONNÉES PERSONNELLES TROISIÈME PERSONNE BY TRAITEMENT
La société peut transférer des données à caractère personnel à une tierce personne physique ou morale dans le pays et/ou à l'étranger conformément à la réglementation du KVK, à condition qu'elle prenne les mesures nécessaires conformément aux finalités du traitement des données à caractère personnel. Dans ce cas, la société s'assure que les tiers auxquels elle transfère des données personnelles se conforment également à la présente politique. Dans ce contexte, les règles de protection nécessaires sont ajoutées aux contrats conclus avec le tiers. Chaque employé est tenu de respecter les processus de la présente politique en cas de transfert de données à caractère personnel.
10.1 Données à caractère personnel transmises à des tiers en Turquie Transfert
10.1.1 Les données à caractère personnel peuvent être transférées par la société à des tiers en Turquie sans consentement explicite dans les cas exceptionnels spécifiés à l'article 5.2 de la LPPD et à l'article 6.3, à condition que des mesures adéquates soient prises, ou dans d'autres cas, à condition que le consentement explicite de la personne concernée soit obtenu (article 5.1 et article 6.2 de la LPPD).
10.1.2 Les employés de l'entreprise et le Comité sont conjointement et solidairement responsables de veiller à ce que le transfert de données à caractère personnel à des tiers en Turquie soit conforme à la réglementation PDP.
10.2 Transfert de données à caractère personnel à des tiers à l'étranger
10.2.1 Les données personnelles peuvent être transférées par la société à des tiers à l'étranger, à condition que le consentement explicite du propriétaire des données soit obtenu (article 5.1 et article 6.2 de la loi sur la protection des données).
10.2.2 Dans le cas où des données à caractère personnel sont transférées sans consentement explicite conformément aux règlements de la KVK, l'une des conditions suivantes doit également être remplie dans le pays étranger vers lequel les données seront transférées ;
10.2.3 Le pays étranger vers lequel les données à caractère personnel seront transférées figure dans la liste des pays bénéficiant d'une protection adéquate de la part de la Commission,
10.2.4 Si le pays étranger où le transfert aura lieu ne figure pas sur la liste des pays sûrs de la Commission, la société et les responsables du traitement des données dans le pays concerné doivent obtenir l'autorisation de la Commission en s'engageant par écrit à ce qu'une protection adéquate soit assurée.
10.2.5 Les employés de l'entreprise, le Comité et son représentant sont conjointement et solidairement responsables de veiller à ce que le transfert de données à caractère personnel à des tiers à l'étranger soit conforme au règlement PDP.
11. INFORMATION DE L'ENTREPRISE OBLIGATION
Conformément à l'article 10 de la loi sur la protection des données, la société informe les personnes concernées avant le traitement des données à caractère personnel. Dans ce contexte, la société s'acquitte de l'obligation de divulgation lors de l'acquisition de données à caractère personnel. La notification à faire aux personnes concernées dans le cadre de l'obligation de divulgation comprend les éléments suivants respectivement ;
11.1 Identité du responsable du traitement (et de son représentant, le cas échéant),
11.2 La finalité du traitement des données à caractère personnel,
11.3 À qui et dans quel but les données à caractère personnel traitées peuvent être transférées,
11.4 La méthode et le motif juridique de la collecte des données à caractère personnel,
11.5 Droits des personnes concernées énumérés à l'article 11 de la loi sur la protection des personnes à l'égard du traitement des données à caractère personnel.
11.6 L'entreprise fournit les informations nécessaires si la personne concernée en fait la demande conformément à l'article 20 de la Constitution de la République de Turquie et à l'article 11 de la LPPD.
11.7 Si les personnes concernées en font la demande conformément aux règlements de la KVKK, la société fournira à la personne concernée les informations nécessaires concernant les données personnelles qu'elle traite.
11.8 L'employé qui suit le processus concerné et le Comité sont conjointement et solidairement responsables de veiller à ce que l'obligation de divulgation nécessaire soit remplie avant le traitement des données à caractère personnel.
11.9 Les tiers ayant le statut de responsables du traitement des données s'engagent par un contrat écrit à agir conformément aux obligations susmentionnées avant de commencer le traitement des données.
12. LES PERSONNES CONCERNÉES (DATA SUBJECTS) DROITS
12.1 La société répond aux demandes suivantes des personnes concernées dont elle traite les données à caractère personnel conformément aux règlements de la KVK ;
12.1.1 Savoir si des données personnelles sont traitées par l'entreprise,
12.1.2 En cas de traitement de données à caractère personnel, demander des informations à ce sujet
12.1.3 Connaître la finalité du traitement des données à caractère personnel et savoir si elles sont utilisées conformément à leur finalité,
12.1.4Connaître les tiers auxquels les données à caractère personnel sont transférées au niveau national ou à l'étranger,
12.1.5.Demander la correction des données personnelles en cas de traitement incomplet ou incorrect par la société,
12.1.6.demander l'effacement ou la destruction des données à caractère personnel par la société dans le cas où les raisons justifiant le traitement des données à caractère personnel disparaissent, à évaluer dans le cadre des principes de finalité, de durée et de légitimité,
12.1.7.En cas de correction, d'effacement ou de destruction de données à caractère personnel par la société, demander la notification de ces opérations aux tiers auxquels les données à caractère personnel sont transférées,
12.1.8.Dans le cas où les données personnelles traitées sont analysées exclusivement par des systèmes automatisés, de s'opposer à ce résultat dans le cas d'un résultat au détriment du propriétaire des données,
12.1.9.Dans le cas où des données à caractère personnel sont traitées en violation de la loi et que le propriétaire des données subit un préjudice pour cette raison, demander la réparation du préjudice.
Dans les cas où les personnes concernées veulent exercer leurs droits et/ou pensent que la société n'agit pas dans le cadre de la présente politique lorsqu'elle traite des données à caractère personnel, elles peuvent soumettre leurs demandes à l'adresse électronique indiquée ci-dessous, qui peut changer de temps à autre, en remplissant le formulaire sur le site web de la société ou en créant leurs propres demandes pour répondre aux conditions déterminées par l'Autorité, Ils peuvent envoyer leur candidature à la société par courrier électronique (l'adresse électronique enregistrée dans le système doit être vérifiée) ou par signature électronique sécurisée ou signature mobile à l'adresse KEP de la société ou à l'adresse postale ci-dessous, qui peut changer de temps à autre, accompagnée d'une pétition humide signée et de documents certifiant leur identité, en main propre ou par l'intermédiaire d'un notaire, ou par d'autres méthodes déterminées par l'Autorité qui pourraient être ajoutées à l'avenir. Les méthodes de demande actuelles et le contenu de la demande doivent être confirmés par la législation avant la demande.
Contrôleur de données : EMPCLINICS HİZMETLERI TİCARET A.Ş
Courrier : Küçükbakkalköy, Ahmet Yesevi Cd No : 8/A, 34750 Ataşehir/İstanbul
Si les personnes concernées soumettent par écrit à la société leurs demandes concernant les droits énumérés ci-dessus, la société traitera la demande gratuitement dans un délai de (30) trente jours au plus tard, en fonction de sa nature. Si la finalisation des demandes par le responsable du traitement entraîne des frais supplémentaires, le responsable du traitement peut demander le paiement des frais prévus dans le tarif déterminé par la Commission de protection des données à caractère personnel.
13. GESTION ET SÉCURITÉ DES DONNÉES
13.1 La société crée un comité chargé de remplir ses obligations en vertu des règlements du KVK, d'assurer et de superviser la mise en œuvre des procédures du KVK nécessaires à la mise en œuvre de la présente politique et de formuler des suggestions quant à leur fonctionnement.
13.2 Tous les employés impliqués dans le processus concerné sont conjointement et solidairement responsables de la protection des données à caractère personnel conformément à la présente politique et aux procédures du KVK.
13.3 Les activités de traitement des données personnelles par la société sont supervisées par des systèmes techniques en fonction des possibilités technologiques et des coûts de mise en œuvre.
13.4 Le personnel employé est compétent pour les questions techniques liées aux activités de traitement des données à caractère personnel.
13.5 Les employés de l'entreprise sont informés et formés à la protection et au traitement des données personnelles conformément à la loi.
13.6 Les employés de l'entreprise ne peuvent accéder aux données à caractère personnel que dans le cadre de l'autorisation qui leur a été accordée et conformément à la procédure PDP correspondante. Tout accès et traitement effectué par l'employé au-delà de son autorisation est illégal et constitue un motif de résiliation du contrat de travail pour juste cause.
13.7 Si l'employé de la société soupçonne que la sécurité des données à caractère personnel n'est pas assurée de manière adéquate ou détecte une telle lacune, il en informe le comité.
13.8 Une procédure PDP détaillée pour la sécurité des données personnelles est établie par le Comité.
13.9 Chaque personne qui se voit attribuer un appareil de l'entreprise est responsable de la sécurité des appareils qui lui sont attribués.
13.10 Chaque employé de la société ou personne travaillant au sein de la société est responsable de la sécurité des dossiers physiques dans son domaine de responsabilité.
13.11 Si des mesures de sécurité sont ou doivent être exigées en plus pour la sécurité des données à caractère personnel dans le cadre des règlements de la KVK, tous les employés sont tenus de respecter les mesures de sécurité supplémentaires et d'assurer la continuité de ces mesures de sécurité.
13.12 Dans l'entreprise, des logiciels et du matériel, y compris des systèmes de protection contre les virus et des pare-feu, sont installés conformément à l'évolution technologique afin de stocker les données à caractère personnel dans des environnements sécurisés.
13.13 Des programmes de sauvegarde sont utilisés dans l'entreprise pour prévenir la perte ou l'endommagement des données à caractère personnel et des mesures de sécurité adéquates sont prises.
13.14 Les mesures nécessaires seront prises pour protéger les documents contenant des données à caractère personnel destinés à la Société au moyen de systèmes cryptés (chiffrés). Dans ce contexte, les données à caractère personnel ne seront pas stockées dans les zones communes et sur le bureau. Les fichiers, dossiers, etc. contenant des données à caractère personnel ne seront pas déplacés sur le bureau ou dans un dossier commun, les informations contenues dans l'ordinateur de l'entreprise ne seront pas transférées sur un autre périphérique tel qu'une clé USB, etc. sans l'accord écrit préalable du Comité, et ne seront pas emportées hors de l'entreprise.
13.15 Le comité, en collaboration avec le conseil d'administration, est chargé de prendre des mesures techniques et administratives pour la protection de toutes les données personnelles au sein de la société, de surveiller en permanence les développements et les activités administratives, de préparer les procédures KVK nécessaires et de les annoncer au sein de la société, d'assurer et de superviser le respect de ces procédures. Dans ce contexte, le comité organise les formations nécessaires pour sensibiliser les employés.
13.16 Si un service de l'entreprise traite des données personnelles sensibles, ce service sera informé par le Comité de l'importance, de la sécurité et de la confidentialité des données personnelles qu'il traite et le service concerné agira conformément aux instructions du Comité. Seuls quelques employés seront autorisés à accéder aux données personnelles sensibles et leur liste et leur suivi seront effectués par le Comité.
13.17 Toutes les données personnelles traitées au sein de l'entreprise sont considérées comme des "informations confidentielles" par l'entreprise..
13.18 Les employés de l'entreprise ont été informés que leurs obligations en matière de sécurité et de confidentialité des données à caractère personnel se poursuivront après la fin de la relation d'affaires et un engagement a été obtenu de la part des employés de l'entreprise de se conformer à ces règles.
14 PLAN D'INTERVENTION EN CAS DE VIOLATION DE DONNÉES
14.1 L'employé qui constate une attitude et un comportement contraires à la loi sur la protection des données personnelles et à la législation pertinente en informe immédiatement le comité de protection des données personnelles de l'ENTREPRISE.
14.2 Si les données personnelles traitées sont obtenues par d'autres de manière illégale, l'institution en est informée dans les 72 heures.
14.3 Après avoir déterminé les personnes concernées par la violation de données en question, celles-ci sont informées dans les meilleurs délais, directement si l'adresse de contact de la personne concernée peut être atteinte et, dans le cas contraire, par des méthodes appropriées telles que la publication sur le site web du responsable du traitement des données.
14.4 Si le responsable du traitement des données ne notifie pas la commission dans les 72 heures pour une raison justifiée, les raisons du retard sont expliquées à la commission en même temps que la notification à effectuer.
14.5 Dans la notification à faire au Conseil, l'institution https://ihlalbildirim.kvkk.gov.tr Le "Formulaire de notification de violation de données personnelles" publié à l'adresse est utilisé.
14.6 Dans les cas où il n'est pas possible de fournir les informations dans le formulaire en même temps, ces informations sont fournies progressivement et sans délai.
14.7 Le responsable du traitement des données veille à ce que les informations relatives aux violations de données, à leurs effets et aux mesures prises soient enregistrées et mises à la disposition du conseil d'administration pour examen.
14.8 Si les données à caractère personnel détenues par le sous-traitant sont obtenues par des tiers par des moyens illicites, le sous-traitant en informe le comité sans délai.
Le plan correspondant est revu périodiquement par le comité.
15. L'ÉDUCATION
15.1 La société offre à ses employés les formations nécessaires sur la protection des données personnelles dans le cadre de la politique et des procédures et règlements de la KVK qui y sont attachés. Elle peut proposer ces formations en personne ou en ligne.
15.2 Les formations mettent particulièrement l'accent sur les définitions des catégories spéciales de données à caractère personnel et sur les pratiques de protection de ces données.
15.3 Si l'employé de la société accède aux données à caractère personnel physiquement ou dans un environnement informatique, la société fournit à l'employé concerné une formation spécifique à ces accès (par exemple, le programme informatique auquel on accède).
16) AUDIT
La société a le droit de vérifier régulièrement et d'office que tous les employés, services et sous-traitants de la société agissent conformément à la présente politique et aux règlements du KVK, à tout moment et d'office, sans notification préalable, et effectue les audits de routine nécessaires dans ce contexte. Le Comité établit une procédure PDP pour ces audits. Il la soumet à l'approbation de la direction et veille à la mise en œuvre de ladite procédure.
17) VIOLATIONS
17.1 Chaque employé de l'entreprise signale au comité l'activité, la transaction ou l'action qu'il juge contraire aux procédures et principes spécifiés dans les règlements du KVK et dans la présente politique. Dans ce contexte, le comité élabore un plan d'action pour la violation en question, conformément à la présente politique et aux procédures du KVK.
17.2 Sur la base des informations fournies, le Comité prépare la notification à adresser au propriétaire des données ou à l'Autorité concernant la violation, en tenant compte des dispositions de la législation en vigueur en la matière, en particulier des règlements du KVK. La personne de contact assure la correspondance et la communication avec l'Autorité.
18. LES RESPONSABILITÉS
Les responsabilités au sein de l'entreprise sont assumées par les employés, les départements et les comités. Dans ce contexte, le comité responsable de la mise en œuvre de la politique est nommé par la direction de l'entreprise par le biais d'une décision de la direction ou par des organes autorisés à signer et à engager, et les changements dans ce contexte sont également effectués de la même manière.
19. À FAIRE DANS LA POLITIQUE CHANGEMENTS
19.1 La présente politique peut être modifiée par la société de temps à autre avec l'approbation de la direction.
19.2 L'entreprise communique le texte actualisé de la politique à ses employés par courrier électronique ou le rend accessible aux employés et aux personnes concernées à l'adresse Internet suivante.
20. LA DATE DE PRISE D'EFFET DE LA POLICE
Cette version de la politique 01/01/2023 Il a été approuvé par le conseil d'administration de la société et est entré en vigueur.
