1. КОНФИДЕНЦИАЛЬНОСТЬ ДАННЫХ КОМИТЕНТ
1.1 Настоящая Политика защиты персональных данных ("Политика") ЭМП СЕРВИС ТРЕЙД КО. Он определяет принципы, которые должны соблюдаться в Компании и/или Компанией при выполнении своих обязательств по защите Персональных данных и обработке Персональных данных в соответствии с положениями соответствующего законодательства, в особенности Закона № 6698 о защите Персональных данных.
1.2 Компания обязуется действовать в соответствии с настоящей Политикой и процедурами, которые должны быть внедрены в соответствии с Политикой в отношении Персональных данных в рамках своей структуры.
2. ПОЛИТИКА ЦЕЛЬ
Основной целью настоящей Политики является определение принципов, касающихся методов и процессов обработки и защиты Персональных данных Компанией.
3. ПОЛИТИКА SCOPE
3.1 Настоящая Политика охватывает все действия в отношении персональных данных, обрабатываемых Компанией, и применяется к таким действиям.
3.2 Настоящая Политика не распространяется на данные, которые не квалифицируются как Персональные данные.
3.3 В настоящую Политику могут время от времени вноситься изменения с одобрения Совета директоров, если этого требуют Правила КВК или если Компания или Комитет сочтут это необходимым. В случае каких-либо несоответствий между Положением о ПВП и настоящей Политикой, преимущественную силу имеет Положение о ПВП.
4. ОПРЕДЕЛЕНИЯ
Определения, используемые в настоящей Политике, имеют следующие значения;
Открытое согласие: Речь идет о согласии, основанном на информации о конкретном субъекте и выраженном по доброй воле.
Анонимизация: Это означает, что личные данные не могут быть связаны с идентифицированным или идентифицируемым физическим лицом ни при каких обстоятельствах, даже путем сопоставления с другими данными.
Обязанность информировать: Он относится к обязанности Контролера данных или лица, уполномоченного Контролером данных, предоставлять Субъекту данных информацию в рамках статьи 10 KVKK во время получения Персональных данных.
Личные данные: Любая информация, относящаяся к идентифицированному или идентифицируемому физическому лицу (в рамках данной процедуры термин "Персональные данные" также включает в себя, в соответствующих случаях, "Чувствительные персональные данные", как определено ниже)
Обработка персональных данных: Это относится ко всем видам операций, выполняемых с данными, таким как получение, запись, хранение, сохранение, изменение, реорганизация, раскрытие, передача, завладение, предоставление, классификация или предотвращение использования Персональных данных полностью или частично автоматизированными или неавтоматизированными средствами при условии, что они являются частью любой системы записи данных.
Комитет: Относится к Комитету по защите персональных данных компании.
Совет: Относится к Совету по защите персональных данных.
Учреждение: Относится к Управлению по защите персональных данных.
КВКК: Закон № 6698 о защите персональных данных.
Правила КВК: Закон № 6698 о защите персональных данных и другие соответствующие законы о защите персональных данных, обязательные решения, принципиальные решения, положения, инструкции, изданные регулирующими и надзорными органами, судами и другими официальными органами, а также применимые международные соглашения и любое другое законодательство о защите данных.
Политика КВК: Он относится к политике компании по защите персональных данных.
Процедуры КВК: Он относится к процедурам, определяющим обязательства, которые компания, сотрудники и Комитет должны соблюдать в рамках Политики KVK.
Специальные категории персональных данных: "Данные, касающиеся расы, этнического происхождения, политических взглядов, философских убеждений, религии, секты или других верований, одежды, членства в ассоциациях, фондах или профсоюзах, здоровья, сексуальной жизни, судимости и мер безопасности, а также биометрические и генетические данные.
Стереть и уничтожить: Речь идет о необратимом уничтожении или разрушении Личных данных.
Инвентаризация данных: Под "Обработкой персональных данных" понимается реестр, содержащий информацию о процессах и методах обработки персональных данных, целях обработки персональных данных, категории данных, третьих лицах, которым передаются персональные данные, и т.д. в отношении деятельности Компании по обработке персональных данных.
Обработчик данных: Это физическое или юридическое лицо, которое обрабатывает Персональные данные от имени Контролера данных, будучи уполномоченным Контролером данных.
Субъект данных: Относится ко всем физическим лицам, чьи Персональные данные обрабатываются Компанией или от ее имени.
Контроллер данных: Относится к физическому и юридическому лицу, которое обрабатывает Персональные данные, определяя цели и способы обработки, и которое несет ответственность за создание и управление системой учета данных.
Контроллер данных Контактное лицо: Относится к реальному лицу, о котором контролер данных сообщает в реестр для установления связи с органом власти в отношении Положения о PDP.
5. ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИНЦИПЫ
5.1 Обработка персональных данных в соответствии с законом и из лучших побуждений
Компания обрабатывает Персональные данные в соответствии с законом, добросовестно и на основе принципа соразмерности.
5.2 Принятие необходимых мер для обеспечения точности и актуальности персональных данных, когда это необходимо
Компания принимает все необходимые меры для обеспечения полноты, точности и актуальности Персональных данных и обновляет соответствующие Персональные данные в случае, если владелец Данных запрашивает изменения в Персональных данных в рамках Положения о КВКК.
5.3 В соответствии с конкретными, явными и законными целями использования персональных данных Обработка
Перед обработкой Персональных данных Компания определяет цель, для которой будут обрабатываться Персональные данные. В связи с этим Владелец данных информируется о положениях KVK и при необходимости получает его явное согласие.
5.4 Соответствие, ограниченность и соразмерность целям, для которых обрабатываются личные данные Быть
Компания обрабатывает Персональные данные только в исключительных случаях в рамках Правил КВК (статья 5.2 и статья 6.3 КВК) или в соответствии с целью в рамках явного согласия, полученного от Субъекта данных (статья 5.1 и статья 6.2 КВК) и в соответствии с принципом соразмерности. Контролер данных обрабатывает Персональные данные таким образом, чтобы это способствовало реализации указанных целей, и избегает обработки в случаях, которые не связаны с реализацией цели или не являются необходимыми.
5.5 Для целей, предусмотренных соответствующим законодательством, или для целей, для которых обрабатываются персональные данные Хранение в течение требуемого периода Редактирование
5.5.1 Компания хранит Персональные данные столько, сколько необходимо в соответствии с целью. Если Компания желает хранить Персональные данные дольше срока, установленного Положением о КВК или требуемого целью обработки Персональных данных, Компания действует в соответствии с обязательствами, указанными в Положении о КВК.
5.5.2 По истечении срока, необходимого для обработки Персональных данных, Персональные данные подлежат удалению, уничтожению или обезличиванию. В этом случае обеспечивается, чтобы третьи лица, которым Компания передает Персональные данные, также удаляли, уничтожали или анонимизировали Персональные данные.
5.5.3 Комитет отвечает за функционирование процессов удаления, уничтожения и анонимизации. В связи с этим Комитет устанавливает необходимую процедуру.
6. ПЕРСОНАЛЬНЫЕ ДАННЫЕ ПРОЦЕССИНГ
Компания может обрабатывать персональные данные только в рамках следующих процедур и принципов.
6.1 Открыть Реза
6.1.1 Персональные данные обрабатываются после уведомления, которое должно быть сделано Субъектам данных в рамках выполнения обязательства по раскрытию информации и в случае, если Субъекты данных дают явное согласие.
6.1.2 Субъекты данных информируются о своих правах до получения явного согласия в рамках обязательства по раскрытию информации.
6.1.3 Явное согласие владельца данных получается методами в соответствии с Положением о КВК. Явные согласия хранятся Компанией в течение необходимого периода времени в соответствии с Положением о КВК.
6.1.4 Комитет обязан обеспечить выполнение обязательств по раскрытию информации в отношении всех процессов обработки персональных данных, а также получение явного согласия в случае необходимости и сохранение полученного явного согласия. Все сотрудники отдела, обрабатывающие Персональные данные, обязаны соблюдать инструкции Контактного лица и Комитета, настоящую Политику и Процедуры KVK, прилагаемые к настоящей Политике.
6.2 Персональные данные без явного согласия Обработка
В случаях, когда предусмотрена обработка Персональных данных без получения явно выраженного согласия в рамках Положения о КВКК (статья 5.2 КВКК), Компания может обрабатывать Персональные данные без получения явно выраженного согласия Владельца данных. В случае, если Персональные данные обрабатываются таким образом, Компания обрабатывает Персональные данные в пределах, установленных Положением KVKK. В данном контексте;
6.2.1 Персональные данные могут обрабатываться Компанией без явно выраженного согласия, если это прямо предусмотрено законодательством.
6.2.2 Персональные данные могут обрабатываться Компанией без явно выраженного согласия, если это необходимо для защиты жизни или физической неприкосновенности самого Владельца данных или иного лица, не являющегося Владельцем данных, который не может сообщить о своем согласии в силу фактической невозможности или чье согласие не имеет юридической силы.
6.2.3 При условии, что это напрямую связано с заключением или исполнением договора, если необходимо обработать Персональные данные, принадлежащие сторонам договора, Персональные данные могут обрабатываться Компанией без прямого согласия Субъекта данных.
6.2.4 Если обработка данных является обязательной для выполнения Компанией своих правовых обязательств, Персональные данные могут обрабатываться Компанией без прямого согласия Субъекта данных.
6.2.5 Персональные данные, обнародованные субъектом данных, могут обрабатываться Компанией без получения явного согласия.
6.2.6 Если обработка Персональных данных является обязательной для установления, осуществления или защиты какого-либо права, Персональные данные могут обрабатываться Компанией без получения явно выраженного Согласия.
6.2.7 При условии, что это не наносит ущерба основным правам и свободам Владельца данных, Персональные данные могут обрабатываться Компанией без явно выраженного Согласия, если обработка данных является обязательной для соблюдения законных интересов Компании.
7. СПЕЦИАЛЬНЫЕ КАТЕГОРИИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРОЦЕССИНГ
7.1 Специальные категории персональных данных могут обрабатываться только при наличии явного согласия Владельца данных или если обработка явно требуется по закону в отношении специальных категорий персональных данных, за исключением данных о сексуальной жизни и личном здоровье.
7.2 Личные данные, касающиеся здоровья и сексуальной жизни, могут обрабатываться без получения явного согласия только в целях охраны общественного здоровья, профилактической медицины, медицинской диагностики, лечения и услуг по уходу, планирования и управления медицинскими услугами и финансированием, лицами, обязанными соблюдать конфиденциальность (например, врачом компании), или уполномоченными учреждениями и организациями.
7.3 При обработке чувствительных личных данных принимаются меры, определенные Советом.
7.4 Для сотрудников, участвующих в обработке специальных категорий персональных данных;
7.4.1.Компания будет проводить регулярные тренинги по Положению о КВК и безопасности специальных категорий персональных данных.
7.4.2.Заключает соглашения о конфиденциальности.
7.4.3.В нем должны быть четко определены объем и срок действия полномочий пользователей, которым разрешен доступ к чувствительным личным данным.
7.4.4.Периодически проводите проверки авторизации.
7.4.5.Немедленно отзывать разрешения у сотрудников, которые меняют свои обязанности или увольняются с работы, и немедленно забирать инвентарь, выделенный соответствующему сотруднику.
7.5 В случае передачи Чувствительных личных данных на электронные носители, Компания в отношении электронных носителей, на которых обрабатываются, хранятся и/или к которым осуществляется доступ Чувствительные личные данные;
7.5.1.Она будет постоянно следить за обновлениями системы безопасности сред, в которых находятся конфиденциальные личные данные.
7.5.2.Если доступ к чувствительным личным данным осуществляется с помощью программного обеспечения, то для этого программного обеспечения необходимо произвести авторизацию пользователя.
7.5.3.В случае удаленного доступа к чувствительным личным данным будет обеспечена двухступенчатая система аутентификации.
7.6.В случае, если чувствительные личные данные обрабатываются в физической среде, Компания в отношении физических сред, в которых обрабатываются, хранятся и/или к которым осуществляется доступ;
7.6.1.Он обеспечит принятие адекватных мер безопасности (от утечки электричества, пожара, наводнения, кражи и т. д.) в соответствии с характером среды, в которой находятся чувствительные персональные данные.
7.6.2.Она предотвращает несанкционированный вход и выход, обеспечивая физическую безопасность этих сред.
7. в случае передачи специальных категорий персональных данных, Компания;
7.1 Если необходимо передать чувствительные личные данные по электронной почте, зашифрованному корпоративному адресу электронной почты или зарегистрированной электронной почте ("КЭП") будет использовать учетную запись.
7.2 В случае необходимости физической передачи Чувствительных персональных данных в бумажном виде, он примет необходимые меры против таких рисков, как кража, потеря или ознакомление с документом неуполномоченных лиц, и отправит документ в формате "конфиденциальных документов".
7.3 В дополнение к вышеуказанным положениям, Комитет и Контактное лицо должны действовать в соответствии с Положениями PDP, в частности с Руководством по безопасности персональных данных, опубликованным Советом по безопасности персональных данных, включая Специальные категории данных.
7.4 В любом случае, требующем обработки специальных категорий персональных данных, Комитет должен быть проинформирован соответствующим сотрудником.
7.5 Если неясно, относятся ли данные к специальным категориям персональных данных или нет, соответствующий отдел должен узнать мнение Комитета.
8. ХРАНЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ ДЛИТЕЛЬНОСТЬ
Персональные данные хранятся в Компании в течение соответствующих установленных законом сроков хранения и хранятся в течение периода, необходимого для осуществления деятельности, связанной с этими данными, и целей, указанных в настоящей Политике. Персональные данные, цель использования которых закончилась, а установленный законом срок хранения истек, удаляются, уничтожаются или обезличиваются Компанией в соответствии со статьей 7 KVKK.
9. УДАЛЕНИЕ, УНИЧТОЖЕНИЕ И ОБЕЗЛИЧИВАНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ ОРГАНИЗАЦИЯ
9.1 Когда законная цель обработки Персональных данных исчезает, соответствующие Персональные данные должны быть удалены, уничтожены или обезличены. Ситуации, когда персональные данные должны быть удалены, уничтожены или обезличены, отслеживаются Комитетом и департаментами.
9.2 Комитет отвечает за функционирование процессов удаления, уничтожения и анонимизации. В связи с этим Комитет устанавливает необходимую процедуру.
9.3Компания может не хранить Персональные данные с учетом возможности их использования в будущем.
9.4 Все действия по удалению, уничтожению и анонимизации Персональных данных, осуществляемые Компанией, должны проводиться в соответствии с принципами, указанными в Политике хранения, уничтожения Персональных данных.
10. ПЕРЕДАЧА ЛИЧНЫХ ДАННЫХ И ПЕРСОНАЛЬНЫХ ДАННЫХ ТРЕТЬИ ЛИЦА ПО АДРЕСУ ПРОЦЕССИНГ
Компания может передавать Персональные данные третьему физическому или юридическому лицу в стране и/или за рубежом в соответствии с правилами KVK, при условии, что она принимает необходимые меры в соответствии с целями обработки Персональных данных. В этом случае Компания гарантирует, что третьи лица, которым она передает Персональные данные, также соблюдают настоящую Политику. В связи с этим в договоры, заключаемые с третьими лицами, добавляются необходимые защитные положения. Каждый сотрудник обязан соблюдать процессы, предусмотренные настоящей Политикой, в случае передачи персональных данных.
10.1 Передача персональных данных третьим лицам в Турции Передача
10.1.1 Персональные данные могут быть переданы Компанией третьим лицам в Турции без явно выраженного согласия в исключительных случаях, указанных в статье 5.2 LPPD и статье 6.3, при условии принятия адекватных мер, или в других случаях, при условии получения явно выраженного согласия Владельца данных (статья 5.1 и статья 6.2 LPPD).
10.1.2 Сотрудники компании и Комитет несут солидарную ответственность за то, чтобы передача Персональных данных третьим лицам в Турции соответствовала Положению о PDP.
10.2 Передача персональных данных третьим лицам за рубежом
10.2.1 Персональные данные могут быть переданы компанией третьим лицам за рубежом при условии получения явного согласия владельца данных (статья 5.1 и статья 6.2 KVKK).
10.2.2 В случае передачи Личных данных без явно выраженного согласия в соответствии с Положением о KVK, одно из следующих условий должно также существовать в отношении иностранного государства, в которое они будут переданы;
10.2.3 Иностранное государство, в которое будут переданы Личные данные, входит в список стран с надлежащей защитой со стороны Совета,
10.2.4 Если иностранное государство, в которое будет осуществляться передача, не входит в список безопасных стран, составленный Советом директоров, компания и контролеры данных в соответствующей стране должны получить разрешение Совета директоров, взяв на себя письменное обязательство обеспечить надлежащую защиту.
10.2.5 Сотрудники компании, Комитет и его Представитель несут солидарную ответственность за то, чтобы передача Персональных данных третьим лицам за рубежом соответствовала Положению о PDP.
11. РАСКРЫТИЕ ИНФОРМАЦИИ КОМПАНИЕЙ ОБЯЗАТЕЛЬСТВО
В соответствии со статьей 10 KVKK, компания информирует Субъектов Данных перед обработкой Персональных Данных. В этом контексте Компания выполняет Обязательство по раскрытию информации во время получения Персональных данных. Уведомление, которое должно быть сделано Субъектам данных в рамках Обязательства по раскрытию информации, включает в себя следующие элементы соответственно;
11.1 Личность Контролера данных (и его представителя, если таковой имеется),
11.2 Цель, для которой будут обрабатываться личные данные,
11.3 Кому и с какой целью могут быть переданы обрабатываемые Персональные данные,
11.4 Метод и законные основания для сбора Личных данных,
11.5 Права субъектов данных, перечисленные в статье 11 LPPD.
11.6 Компания должна предоставить необходимую информацию, если Субъект Данных запрашивает ее в соответствии со статьей 20 Конституции Турецкой Республики и статьей 11 LPPD.
11.7 По запросу Субъекта данных в соответствии с Положением о KVKK Компания предоставляет Субъекту данных необходимую информацию о персональных данных, которые она обрабатывает.
11.8 Сотрудник, выполняющий соответствующий процесс, и Комитет несут солидарную ответственность за обеспечение выполнения необходимых обязательств по раскрытию информации перед обработкой Персональных данных.
11.9 Третьи лица в статусе обработчиков данных перед началом обработки данных обязуются заключить письменный договор о том, что они будут действовать в соответствии с вышеупомянутыми обязательствами.
12. СУБЪЕКТЫ ДАННЫХ (СУБЪЕКТЫ ДАННЫХ) ПРАВА
12.1 Компания отвечает на следующие запросы Субъектов данных, чьи Персональные данные она обрабатывает в соответствии с Положением о КВК;
12.1.1 Узнать, обрабатываются ли персональные данные компанией,
12.1.2 В случае обработки персональных данных, запросить информацию об этом
12.1.3 Узнать, с какой целью обрабатываются Личные данные и используются ли они в соответствии с их назначением,
12.1.4Знать третьих лиц, которым передаются Личные данные внутри страны или за рубежом,
12.1.5.Запрашивать исправление Личных данных в случае их неполной или неправильной обработки Компанией,
12.1.6.Потребовать удаления или уничтожения Компанией Личных данных в случае исчезновения причин, требующих обработки Личных данных, которые должны быть оценены в соответствии с принципами цели, продолжительности и законности,
12.1.7.В случае исправления, удаления или уничтожения Персональных данных Компанией, запросить уведомление об этих операциях у третьих лиц, которым передаются Персональные данные,
12.1.8.В случае, если обрабатываемые Персональные данные анализируются исключительно с помощью автоматизированных систем, возражать против такого результата в случае, если результат будет нанесен ущерб Владельцу данных,
12.1.9.В случае, если Персональные данные обрабатываются с нарушением закона и Владельцу данных по этой причине причиняется ущерб, требовать возмещения ущерба.
В случаях, когда Субъекты Данных хотят воспользоваться своими правами и/или считают, что Компания не действует в рамках настоящей Политики при обработке Персональных Данных, они могут направить свои запросы на указанный ниже адрес электронной почты, который может время от времени меняться, заполнив форму на сайте Компании или создав собственные запросы, соответствующие условиям, определенным Органом, Они могут направить свои заявки в компанию по электронной почте (необходимо проверить адрес электронной почты, зарегистрированный в системе) или с помощью защищенной электронной подписи или мобильной подписи на адрес КЭП компании или на указанный ниже почтовый адрес, который может время от времени меняться, вместе с мокрым подписанным ходатайством с документами, удостоверяющими их личность, от руки или через нотариуса, или другими способами, определенными Органом, которые могут быть добавлены к ним в будущем. Действующие способы подачи заявления и содержание заявления должны быть подтверждены законодательством до подачи заявления.
Контроллер данных : EMPCLINICS HİZMETLERI TİCARET A.Ş
Почта : Кючюкбаккалкёй, Ахмет Есеви Cd No:8, 34750 Аташехир/Стамбул
В случае если Субъекты Данных направляют в Компанию письменные запросы, касающиеся их прав, перечисленных выше, Компания бесплатно обрабатывает запрос в течение (30) тридцати дней, в зависимости от его характера. В случае возникновения дополнительных расходов, связанных с обработкой запросов Контролером данных, Контролер данных может потребовать оплату по тарифу, установленному Советом по защите персональных данных.
13. УПРАВЛЕНИЕ ДАННЫМИ И БЕЗОПАСНОСТЬ
13.1 Компания создает Комитет для выполнения своих обязательств в соответствии с Положением о КВК, обеспечения и контроля за выполнением процедур КВК, необходимых для реализации настоящей Политики, а также для внесения предложений по их функционированию.
13.2 Все сотрудники, вовлеченные в соответствующий процесс, несут солидарную ответственность за защиту персональных данных в соответствии с настоящей Политикой и процедурами KVK.
13.3 Деятельность Компании по обработке персональных данных контролируется техническими системами в соответствии с технологическими возможностями и стоимостью реализации.
13.4 В компании работает персонал, разбирающийся в технических вопросах, связанных с обработкой персональных данных.
13.5 Сотрудники компании проинформированы и обучены по вопросам защиты и обработки Персональных данных в соответствии с законодательством.
13.6 Сотрудники компании могут получать доступ к Персональным данным только в рамках определенных им полномочий и в соответствии с соответствующей процедурой PDP. Любой доступ и обработка, осуществляемые работником сверх его полномочий, являются незаконными и служат основанием для расторжения трудового договора по уважительной причине.
13.7 Если сотрудник Компании подозревает, что безопасность Персональных данных не обеспечивается должным образом, или обнаруживает такой пробел в безопасности, он должен уведомить об этом Комитет.
13.8 Комитет разработал подробную процедуру PDP по обеспечению безопасности персональных данных.
13.9 Каждый человек, которому выделено устройство компании, несет ответственность за безопасность устройств, выделенных ему в пользование.
13.10 Каждый сотрудник компании или лицо, работающее в компании, несет ответственность за сохранность физических файлов в своей зоне ответственности.
13.11 В случае, если для обеспечения безопасности Персональных данных в рамках Положения KVK требуются или будут требоваться дополнительные меры безопасности, все сотрудники обязаны соблюдать дополнительные меры безопасности и обеспечивать непрерывность этих мер безопасности.
13.12 Для хранения Личных данных в безопасной среде в соответствии с технологическими достижениями устанавливается программное и аппаратное обеспечение, включая системы защиты от вирусов и брандмауэры.
13.13 Для предотвращения потери или повреждения Личных данных в Компании используются программы резервного копирования и принимаются соответствующие меры безопасности.
13.14 Будут приняты необходимые меры для защиты документов, содержащих Персональные данные, передаваемые в Компанию с помощью шифрованных (зашифрованных) систем. В связи с этим Персональные данные не будут храниться в местах общего пользования и на рабочем столе. Файлы, папки и т.д., содержащие Персональные данные, не будут перемещаться на рабочий стол или в общую папку, информация на компьютере Компании не будет переноситься на другое устройство, такое как USB и т.д., без предварительного письменного разрешения Комитета, а также не будет выноситься за пределы Компании.
13.15 Комитет совместно с Советом директоров отвечает за принятие технических и административных мер по защите всех Персональных данных в компании, постоянный мониторинг изменений и административной деятельности, подготовку необходимых процедур KVK и объявление о них в компании, обеспечение и контроль их соблюдения. В этом контексте Комитет организует необходимые тренинги для повышения осведомленности сотрудников.
13.16 Если какой-либо отдел компании обрабатывает чувствительные персональные данные, этот отдел будет проинформирован Комитетом о важности, безопасности и конфиденциальности обрабатываемых им персональных данных, и соответствующий отдел будет действовать в соответствии с указаниями Комитета. Только ограниченный круг сотрудников будет иметь право доступа к чувствительным персональным данным, а их список и последующие действия будут осуществляться Комитетом.
13.17 Все Персональные данные, обрабатываемые в Компании, рассматриваются Компанией как "Конфиденциальная информация".
13.18 Сотрудники компании были проинформированы о том, что их обязательства по обеспечению безопасности и конфиденциальности Персональных данных сохранятся и после прекращения деловых отношений, и от сотрудников компании было получено обязательство соблюдать эти правила.
14 ПЛАН РЕАГИРОВАНИЯ НА УТЕЧКУ ДАННЫХ
14.1 Сотрудник, заметивший отношение и поведение, противоречащее Закону о защите персональных данных и соответствующему законодательству, немедленно сообщает об этом в Комитет по защите персональных данных КОМПАНИИ.
14.2 Если обрабатываемые персональные данные получены другими лицами незаконным путем, учреждение должно быть уведомлено об этом в течение 72 часов.
14.3 После определения лиц, затронутых нарушением данных, соответствующие лица должны быть уведомлены как можно скорее, если контактный адрес соответствующего лица доступен, напрямую, а если нет, то соответствующими методами, например, путем публикации на собственном веб-сайте контроллера данных.
14.4 Если контролер данных не уведомляет Совет в течение 72 часов по обоснованной причине, Совету должны быть объяснены причины задержки вместе с уведомлением, которое должно быть сделано.
14.5 В уведомлении, которое должно быть направлено Совету, учреждение https://ihlalbildirim.kvkk.gov.tr Используется "Форма уведомления о нарушении персональных данных", опубликованная по этому адресу.
14.6 В тех случаях, когда невозможно предоставить информацию в форме одновременно, она предоставляется постепенно, без задержек.
14.7 Контролер данных должен обеспечить регистрацию информации о нарушениях данных, их последствиях и принятых мерах и предоставить ее на рассмотрение Совета директоров.
14.8 В случае если персональные данные, хранящиеся у обработчика данных, получены другими лицами незаконным путем, обработчик данных должен незамедлительно уведомить об этом комитет.
Соответствующий план периодически пересматривается комитетом.
15. ОБРАЗОВАНИЕ
15.1 Компания проводит необходимые тренинги для своих сотрудников по защите персональных данных в рамках Политики и прилагаемых к ней Процедур КВК и Положений КВК. Обучение может проводиться как лично, так и в режиме онлайн.
15.2 В ходе тренингов особое внимание уделяется определениям специальных категорий персональных данных и методам их защиты.
15.3 Если сотрудник Компании получает доступ к Персональным данным физически или в компьютерной среде, Компания проводит обучение соответствующего сотрудника по вопросам, связанным с таким доступом (например, с компьютерной программой, к которой осуществляется доступ).
16. АУДИТ
Компания имеет право регулярно и по должности проверять, что все сотрудники, подразделения и подрядчики компании действуют в соответствии с настоящей Политикой и Правилами КВК в любое время и по должности без предварительного уведомления, и проводит необходимые плановые проверки в этом контексте. Комитет устанавливает процедуру PDP для проведения таких проверок. Он представляет ее на утверждение руководству и обеспечивает выполнение указанной процедуры.
17. ПРЕСТУПЛЕНИЯ
17.1 Каждый сотрудник компании сообщает Комитету о бизнесе, сделке или действии, которые, по его мнению, противоречат процедурам и принципам, указанным в Положении о КВК и настоящей Политике. В связи с этим Комитет разрабатывает план действий в отношении соответствующего нарушения в соответствии с настоящей Политикой и Процедурами КВК.
17.2 На основании предоставленной информации Комитет готовит уведомление, которое должно быть направлено Владельцу данных или Органу власти в связи с нарушением, с учетом положений действующего законодательства по данному вопросу, в особенности Правил KVK. Контактное лицо осуществляет переписку и связь с Органом власти.
18. ОБЯЗАННОСТИ
Ответственность в Компании несут сотрудники, отделы и комитеты соответственно. В этом контексте комитет, ответственный за реализацию Политики, назначается руководством компании на основании решения руководства или органами, уполномоченными подписывать и связывать обязательства, и изменения в этом контексте также вносятся аналогичным образом.
19. БЫТЬ СДЕЛАННЫМ В ПОЛИТИКЕ ИЗМЕНЕНИЯ
19.1 Компания может периодически вносить изменения в настоящую Политику с одобрения руководства.
19.2 Компания предоставляет обновленный текст Политики своим сотрудникам по электронной почте или делает его доступным для сотрудников и Субъектов данных по следующему веб-адресу.
20. ДАТА ВСТУПЛЕНИЯ ПОЛИСА В СИЛУ
Эта версия Политики 01/01/2023 Он был утвержден Советом директоров Компании и вступил в силу.
