Текст разъяснения закона о защите персональных данных

img_alt.reptur_city
Заказать звонок

Обработка, защита, хранение и уничтожение персональных данных

I. ВВЕДЕНИЕ

1.1. Цель Политики

Целью настоящей Политики является определение принципов обработки, защиты, хранения и, при необходимости, уничтожения персональных данных, полученных компанией Reptur Gayrimenkul İnşaat Turizm ve Ticaret A.Ş. ("Компания" или "Reptur") . Это делается в соответствии со статьей 20 Конституции Турции "Приватность частной жизни", Законом № 6698 о защите персональных данных ("Закон") и действующими положениями регламентов и коммюнике. Политика направлена на защиту основных прав и свобод субъектов данных (сотрудников, кандидатов на работу, поставщиков, акционеров/партнеров, должностных лиц компании, посетителей и других третьих лиц), особенно конфиденциальности их частной жизни, а также на обеспечение того, чтобы контролер данных, который обрабатывает персональные данные, осуществлял свою деятельность по обработке данных в соответствии с законом.

1.2. Область применения Политики

Настоящая Политика определяет процедуры и принципы деятельности по обработке данных, осуществляемой Reptur, исходя из того, что любая операция, такая как получение, запись, хранение, изменение, реорганизация, раскрытие, передача, приобретение, предоставление доступа, классификация или предотвращение использования любой информации о конкретном или идентифицируемом физическом лице, является деятельностью по обработке данных. Эта деятельность может осуществляться Reptur как контролером данных полностью или частично автоматически, либо неавтоматически, при условии, что она является частью какой-либо системы регистрации данных.

1.3. Применение Политики и соответствующего законодательства

Настоящая Политика была подготовлена в соответствии с действующим законодательством и правилами, изложенными в регламентах, коммюнике, решениях и руководствах, опубликованных Советом, в частности, с Законом № 6102 о торговле Турции, Законом № 6098 об обязательствах Турции, Законом № 6698 о защите персональных данных, Положением № 30286 о Реестре контролеров данных, Положением № 30224 об удалении, уничтожении или анонимизации персональных данных и Положением об обработке данных о здоровье и защите конфиденциальности. В случае изменения Закона или другого соответствующего законодательства после даты публикации Политики, и если Политика становится несовместимой с такими изменениями, будут применяться измененные положения и правила. Reptur следит за всеми коммюнике, решениями и руководствами, опубликованными Советом, и обновляет правила, предусмотренные Политикой.

1.4. Вступление в силу Политики

Политика была опубликована на веб-сайтах Reptur: reptur.ru, reptur.com, reptur.de, reptur.com.tr, и вступила в силу с даты её публикации.

II. ПОЛОЖЕНИЯ, КАСАЮЩИЕСЯ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ

2.1. Обеспечение безопасности персональных данных

В соответствии со статьей 12 Закона № 6698, контролер данных обязан принимать все необходимые административные и технические меры для обеспечения надлежащего уровня безопасности, чтобы:

  • Предотвратить незаконную обработку персональных данных.
  • Предотвратить незаконный доступ к персональным данным.
  • Обеспечить хранение персональных данных.

По этим причинам Reptur применяет меры безопасности для предотвращения незаконной обработки персональных данных, их передачи и раскрытия третьим лицам, несанкционированного доступа и других недостатков безопасности. Объяснения по принятым административным и техническим мерам содержатся в разделе VI "АДМИНИСТРАТИВНЫЕ И ТЕХНИЧЕСКИЕ МЕРЫ, ПРИНЯТЫЕ ДЛЯ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ".

2.2. Защита специальных категорий персональных данных

Данные, которые по своей природе являются чувствительными и могут привести к дискриминации или ущербу для субъектов данных, если они попадут в руки третьих лиц, считаются специальными категориями персональных данных в рамках Закона. К специальным категориям персональных данных относятся данные о расе, этническом происхождении, политических взглядах, философских убеждениях, религии, секте или других убеждениях, одежде, членстве в ассоциациях, фондах или профсоюзах, здоровье, сексуальной жизни, судимости и мерах безопасности, а также биометрические и генетические данные. Специальные категории персональных данных не могут быть обработаны без явного согласия соответствующего субъекта данных. Данные о здоровье субъектов данных могут быть обработаны без их явного согласия лицами или уполномоченными учреждениями и организациями, обязанными сохранять конфиденциальность, только в целях защиты общественного здоровья, проведения профилактического лечения и медицинского обслуживания, а также планирования и управления медицинскими услугами и их финансированием. Кроме того, все специальные категории персональных данных могут быть обработаны только при условии принятия достаточных мер, определенных KVKK, независимо от их типа. Reptur принимает все необходимые меры для защиты специальных категорий персональных данных, и основной принцип — избегать получения и обработки таких данных, насколько это возможно.

III. ПОЛОЖЕНИЯ, КАСАЮЩИЕСЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

3.1. Обработка персональных данных в соответствии с принципами, предусмотренными законодательством

В соответствии со статьей 4 Закона, принципы, которые должны применяться при обработке ваших персональных данных, следующие:

  • Соответствие закону и добросовестность.
  • Точность и, при необходимости, актуальность.
  • Обработка для конкретных, явных и законных целей.
  • Связь, ограниченность и соразмерность с целью, для которой они обрабатываются.
  • Хранение в течение срока, предусмотренного соответствующим законодательством или необходимого для цели, для которой они обрабатываются.

3.2. Условия обработки персональных данных

Персональные данные, полученные Reptur, не могут быть обработаны без явного согласия соответствующего лица, за исключением случаев, предусмотренных Законом. Ваши персональные данные могут быть обработаны без явного согласия в следующих случаях:

  • Когда это явно предусмотрено законом.
  • Когда это необходимо для защиты жизни или физической неприкосновенности лица, которое не может выразить свое согласие из-за фактической невозможности, или чье согласие не имеет юридической силы, либо для защиты жизни или физической неприкосновенности другого лица.
  • Когда обработка персональных данных сторон договора необходима при условии, что она напрямую связана с заключением или исполнением этого договора.
  • Когда это необходимо для выполнения юридических обязательств контролера данных.
  • Когда персональные данные были сделаны общедоступными самим субъектом данных.
  • Когда обработка данных необходима для установления, использования или защиты права.
  • Когда обработка данных необходима для законных интересов контролера данных, при условии, что это не нарушает основные права и свободы субъекта данных.

3.3. Исключения из обязательства получения явного согласия

a) Когда это явно предусмотрено законом Одним из условий обработки данных является то, что она прямо предусмотрена законом. Положения, содержащиеся в законах, касающиеся возможности обработки персональных данных, могут создавать условие для обработки данных. В таком случае получение явного согласия субъекта данных не требуется.

b) Фактическая невозможность В случаях, когда необходимо защитить жизнь или физическую неприкосновенность лица, которое не может выразить свое согласие из-за фактической невозможности, или чье согласие не имеет юридической силы, либо другого лица, персональные данные соответствующего лица могут быть обработаны без получения явного согласия.

c) Прямая связь с заключением или исполнением договора Обработка персональных данных без явного согласия может иметь место, если обработка данных необходима для заключения или исполнения договора, стороной которого является субъект данных.

d) Выполнение юридических обязательств Компании Персональные данные могут быть обработаны без явного согласия с целью выполнения юридических обязательств, которые Reptur должен выполнить в качестве контролера данных.

e) Сделаны общедоступными субъектом данных Персональные данные, которые были сделаны общедоступными субъектом данных, то есть раскрыты общественности каким-либо образом, могут быть обработаны без получения явного согласия. Даже в этом случае, общедоступные персональные данные не могут быть использованы для целей, отличных от той, для которой они были раскрыты.

f) Необходимо для установления, использования и защиты права В случаях, когда это необходимо для установления, использования или защиты права, персональные данные соответствующего лица могут быть обработаны без его явного согласия.

g) Необходимо для законных интересов контролера данных, при условии, что это не нарушает основные права и свободы субъекта данных Если обработка персональных данных необходима для контролера данных, и эта деятельность по обработке данных не наносит ущерба основным правам и свободам субъекта данных, персональные данные могут быть обработаны без явного согласия. Законный интерес контролера данных относится к выгоде и пользе, которую он получит в результате обработки. Выгода, которую получит контролер данных, должна быть: законной, достаточно эффективной, чтобы конкурировать с основными правами и свободами субъекта данных, конкретной и существующей в настоящее время. Это должна быть операция, связанная с текущей деятельностью контролера данных и приносящая ему пользу в ближайшем будущем.

3.4. Обработка специальных категорий персональных данных

Обработка специальных категорий персональных данных регулируется статьей 6 Закона, и их обработка без явного согласия соответствующего лица запрещена. К специальным категориям персональных данных относятся данные о расе, этническом происхождении, политических взглядах, философских убеждениях, религии, секте или других убеждениях, одежде, членстве в ассоциациях, фондах или профсоюзах, здоровье, сексуальной жизни, судимости и мерах безопасности, а также биометрические и генетические данные. Перечень этих данных является исчерпывающим и не может быть расширен путем толкования. По своей природе специальные категории персональных данных — это данные, которые могут привести к дискриминации и ущербу для субъекта данных, если они станут известны. Поэтому они требуют более строгой защиты, чем другие персональные данные.

a) Специальные категории персональных данных, не относящиеся к здоровью и сексуальной жизни Специальные категории персональных данных, за исключением данных о здоровье и сексуальной жизни, могут быть обработаны без явного согласия соответствующего лица в случаях, предусмотренных законом.

b) Специальные категории персональных данных, относящиеся к здоровью и сексуальной жизни Специальные категории персональных данных, относящиеся к здоровью и сексуальной жизни, могут быть обработаны только лицами или уполномоченными учреждениями и организациями, обязанными сохранять конфиденциальность, в целях защиты общественного здоровья, профилактической медицины, медицинской диагностики, лечения и ухода, а также планирования и управления медицинскими услугами и их финансированием.

3.5. Информирование и уведомление субъекта персональных данных

При получении персональных данных Reptur, как контролер данных, или уполномоченные им лица, информируют субъектов данных. Процедуры и принципы информирования изложены в соответствующих "Текстах информирования об обработке персональных данных", опубликованных Reptur. Уведомление кратко содержит следующие элементы:

  • Личность контролера данных и, если есть, его представителя.
  • Цель, для которой будут обрабатываться персональные данные.
  • Кому и с какой целью могут быть переданы персональные данные.
  • Метод сбора персональных данных и правовое основание.
  • Права субъекта данных, как указано в статье 11 Закона.

a) Личность контролера данных и его представителя Персональные данные, полученные от субъектов данных (сотрудников, кандидатов на работу, поставщиков, акционеров/партнеров, должностных лиц компании, посетителей и других третьих лиц), обрабатываются Reptur Gayrimenkul İnşaat Turizm ve Ticaret A.Ş. в качестве контролера данных. Связь может быть установлена по каналам, указанным на веб-сайтах www.reptur.ru, www.reptur.com, www.reptur.de, www.reptur.com.tr.

b) Цели обработки персональных данных Обработка персональных данных осуществляется для конкретных, явных и законных целей и основана на принципе информирования субъектов данных. Цели, для которых обрабатываются ваши данные, указаны в разделе V "КАТЕГОРИЗАЦИЯ И ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ, ОБРАБАТЫВАЕМЫХ НАШЕЙ КОМПАНИЕЙ" настоящей Политики.

c) Лица, которым передаются персональные данные, и цели передачи В рамках обязательства контролера данных информировать субъекта данных, должны быть четко указаны лица, которым передаются персональные данные, и цели передачи. Персональные данные не могут быть переданы третьим лицам без явного согласия субъекта данных. Группы получателей, которым Reptur передает персональные данные, и цели передачи указаны в разделе IV "ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ".

d) Метод сбора персональных данных и правовое основание В соответствии со статьями 5 и 6 Закона, контролер данных должен четко указать, на каком из условий обработки персональных данных основана обработка. Метод и средство сбора данных определяются контролером данных. Условия обработки персональных данных, то есть случаи правомерности, перечислены в Законе (статьи 5-6) и не могут быть расширены. Контролер данных Reptur сначала оценивает, основана ли цель деятельности по обработке персональных данных на одном из условий обработки, отличных от явного согласия. Если эта цель не соответствует хотя бы одному из условий, отличных от явного согласия, указанных в Законе, то для продолжения деятельности по обработке данных запрашивается явное согласие лица.

IV. ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ

4.1. Передача внутри страны

Персональные данные не могут быть переданы без явного согласия соответствующего лица. Однако:

  • В соответствии со вторым абзацем статьи 5.
  • При наличии одного из условий, указанных в третьем абзаце статьи 6, с принятием достаточных мер.

На этом основании, персональные данные соответствующего лица могут быть переданы третьим лицам без получения явного согласия в следующих случаях: когда это явно предусмотрено законом (1); когда это необходимо для защиты жизни или физической неприкосновенности лица, которое не может выразить свое согласие из-за фактической невозможности, или чье согласие не имеет юридической силы, либо другого лица (2); когда обработка персональных данных сторон договора необходима при условии, что она напрямую связана с заключением или исполнением этого договора (3); когда это необходимо для выполнения юридических обязательств контролера данных (4); когда персональные данные были сделаны общедоступными самим субъектом данных (5); когда обработка данных необходима для установления, использования или защиты права (6); когда обработка данных необходима для законных интересов контролера данных, при условии, что это не нарушает основные права и свободы субъекта данных. Также, специальные категории персональных данных, не относящиеся к здоровью и сексуальной жизни, могут быть переданы третьим лицам без явного согласия соответствующего лица в случаях, предусмотренных законом. Данные о здоровье и сексуальной жизни могут быть переданы третьим лицам без явного согласия только лицами или уполномоченными учреждениями и организациями, обязанными сохранять конфиденциальность, в целях защиты общественного здоровья, профилактической медицины, медицинской диагностики, лечения, ухода, а также планирования и управления медицинскими услугами и их финансированием. Информация о группах получателей, которым Reptur передает ваши персональные данные, содержится в разделе EK 4 - "Третьи лица, которым передаются персональные данные, и цели передачи" настоящей Политики.

4.2. Передача за границу

Персональные данные не могут быть переданы за границу без явного согласия соответствующего лица. Однако они могут быть переданы за границу без явного согласия, если существует одно из условий, указанных во втором абзаце статьи 5 и третьем абзаце статьи 6 Закона, и если в иностранном государстве, куда будут переданы персональные данные:

  • Обеспечен достаточный уровень защиты.
  • Если достаточный уровень защиты не обеспечен, контролеры данных в Турции и в соответствующем иностранном государстве письменно обязуются обеспечить достаточный уровень защиты, и имеется разрешение Совета.

V. КАТЕГОРИЗАЦИЯ И ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ, ОБРАБАТЫВАЕМЫХ НАШЕЙ КОМПАНИЕЙ

Категоризация данных и цели, преследуемые при обработке персональных данных, полученных Reptur от соответствующих субъектов данных, указаны в соответствующих разделах текстов информирования, размещенных на нашем веб-сайте для каждой категории субъектов данных.

VI. АДМИНИСТРАТИВНЫЕ И ТЕХНИЧЕСКИЕ МЕРЫ, ПРИНЯТЫЕ ДЛЯ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ

Reptur принимает административные и технические меры для обеспечения безопасного хранения персональных данных, предотвращения их незаконной обработки и доступа к ним. Чтобы обеспечить безопасность персональных данных, Reptur определяет все обрабатываемые персональные данные и вероятность возникновения рисков, связанных с их защитой. При определении этих рисков учитываются следующие факторы: являются ли персональные данные специальными категориями персональных данных (1); какой уровень конфиденциальности требуется по их природе (2); характер и количество ущерба, который может возникнуть для субъекта данных в случае нарушения безопасности (3). После определения и приоритизации этих рисков, альтернативы контроля и решения для их снижения или устранения оцениваются в соответствии с принципами стоимости, применимости и полезности.

6.1. Административные меры

В случае атак, которые могут подорвать безопасность персональных данных, и угроз кибербезопасности, даже если у сотрудников ограниченные знания, их способность принять первые меры имеет большое значение для обеспечения безопасности персональных данных. Поэтому в нашей внутренней организации проводятся мероприятия по повышению осведомленности и информированию. Сотрудникам предоставляется необходимое обучение по таким вопросам, как незаконное раскрытие и передача персональных данных. Определяются роли и обязанности каждого сотрудника в отношении безопасности персональных данных, независимо от его должности, и обеспечивается, чтобы сотрудники знали о своих ролях и обязанностях в этом вопросе. Кроме того, в рамках процессов найма сотрудников подписываются соглашения о конфиденциальности, и применяется дисциплинарный процесс в случае несоблюдения сотрудниками политики и процедур безопасности. В случае любых изменений в политике и процедурах, применяемых в отношении безопасности персональных данных, проводятся тренинги для информирования и разъяснения этих изменений сотрудникам, и информация о безопасности данных и угрозах безопасности поддерживается в актуальном состоянии. Персональные данные должны быть точными и, при необходимости, актуальными в соответствии с пунктами (b) и (d) статьи 4 Закона, а также храниться в течение срока, предусмотренного соответствующим законодательством или необходимого для цели, для которой они обрабатываются. В этом контексте обрабатываемые данные обрабатываются в соответствии с принципами и правилами, которые должны соблюдаться при обработке данных, и хранятся в течение срока, необходимого для цели, для которой они обрабатываются. Информация о процедурах хранения и уничтожения персональных данных, обрабатываемых Reptur, и сроках хранения, указана в разделах VIII "ХРАНЕНИЕ И УНИЧТОЖЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ" и EK–4 "Сроки хранения персональных данных" настоящей Политики. Ниже приведена сводка административных мер, принимаемых для обеспечения безопасности данных.

Таблица 1: Административные меры

  • Проводится анализ рисков.
  • Обеспечивается "Корпоративная связь (управление кризисом, процессы информирования Совета и соответствующего лица, управление репутацией и т.д.)".
  • Осуществляется мониторинг безопасности персональных данных.
  • Персональные данные сводятся к минимуму, насколько это возможно.
  • Определены политика и процедуры безопасности персональных данных.
  • "Подготовлены и применяются корпоративные политики в отношении доступа, информационной безопасности, использования, хранения и уничтожения".
  • Определены существующие риски и угрозы.
  • Проблемы безопасности персональных данных оперативно сообщаются.
  • Проводятся и/или заказываются периодические и/или случайные внутренние аудиты.
  • "Принимаются меры безопасности в рамках поставки, разработки и обслуживания информационных систем".
  • Определены и применяются протоколы и процедуры для обеспечения безопасности специальных категорий персональных данных.
  • Применяются дисциплинарные меры, содержащие положения о безопасности данных для сотрудников.
  • Проводятся тренинги и мероприятия по повышению осведомленности о безопасности данных для сотрудников с определенной периодичностью.
  • Полномочия сотрудников, меняющих должность или увольняющихся, в этой области отменяются.
  • Обеспечивается регулярный аудит поставщиков услуг по обработке данных в отношении безопасности данных.

6.2. Технические меры

Среди мер, принимаемых для защиты информационных систем, содержащих персональные данные, от несанкционированного доступа и угроз со стороны третьих лиц через Интернет, используются брандмауэры и шлюзы. Используемый брандмауэр предотвращает нарушения в информационной сети, а шлюз ограничивает доступ сотрудников к веб-сайтам или онлайн-платформам, которые представляют угрозу для безопасности персональных данных. Кроме того, проводятся регулярные проверки для обеспечения надлежащей работы программного и аппаратного обеспечения, а также достаточности мер безопасности, принятых для систем. Доступ к системам, содержащим персональные данные, ограничен. В этом контексте сотрудникам предоставляется доступ к соответствующим системам с использованием имени пользователя и пароля в той мере, в какой это необходимо для их работы и обязанностей. При создании паролей, насколько это возможно, избегаются последовательности цифр или букв, связанных с личной информацией и легко угадываемых. В организации контролера данных создаются матрицы полномочий и контроля доступа, а также используются такие продукты, как антивирусное и антиспамовое программное обеспечение, которые регулярно сканируют информационную сеть на наличие вредоносного ПО и обнаруживают угрозы. Для обеспечения безопасности данных принимаются необходимые меры для усиления физической безопасности, чтобы документы в бумажном виде, содержащие персональные данные, а также серверы, устройства резервного копирования, CD, DVD, USB и другие подобные устройства хранения, были доступны только уполномоченному персоналу. Ниже приведена сводка технических мер, принимаемых для обеспечения безопасности данных.

Таблица 2: Технические меры

  • Матрица полномочий
  • Система контроля полномочий
  • Регулярное ведение журналов доступа
  • Управление учетными записями пользователей
  • Сетевая безопасность
  • Безопасность приложений
  • Шифрование
  • Системы обнаружения и предотвращения вторжений
  • Ведение журналов
  • Ведение журналов таким образом, чтобы исключить вмешательство пользователя
  • Программное обеспечение для предотвращения потери данных
  • Принятие и постоянный мониторинг мер кибербезопасности
  • Резервное копирование и обеспечение безопасности резервных копий персональных данных
  • Обеспечение безопасности персональных данных, хранящихся в облаке
  • Брандмауэры
  • Актуальные антивирусные системы
  • "Удаление, уничтожение или анонимизация"
  • Принятие необходимых мер безопасности в отношении входов и выходов из физических сред, содержащих персональные данные
  • Обеспечение безопасности сред, содержащих персональные данные

VII. ДЕЯТЕЛЬНОСТЬ ПО ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ВХОДАХ В ЗДАНИЯ И ВНУТРИ НИХ

Деятельность по видеонаблюдению при входах в здания и внутри них Деятельность по видеонаблюдению осуществляется при входе в Компанию, в рабочих зонах, общих зонах и на прилегающей территории в соответствии с Законом об услугах частной охраны, с целью обеспечения безопасности и защиты интересов Reptur и других лиц. Деятельность по видеонаблюдению ведется в соответствии с Законом и осуществляется в рамках условий обработки данных, перечисленных как в Законе, так и в настоящей Политике.

VIII. ХРАНЕНИЕ И УНИЧТОЖЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

8.1. Персональные данные должны быть точными и, при необходимости, актуальными в соответствии с пунктами (b) и (d) статьи 4 Закона, а также храниться в течение срока, предусмотренного соответствующим законодательством или необходимого для цели, для которой они обрабатываются. Ваши персональные данные, хранящиеся в Reptur, хранятся в течение срока, необходимого для деятельности по обработке данных. В случае возникновения обязательства по удалению, уничтожению или анонимизации персональных данных, это обязательство выполняется в течение первого периодического периода уничтожения, следующего за датой его возникновения. При удалении, уничтожении или анонимизации ваших персональных данных Reptur действует в соответствии с общими принципами, изложенными в статье 4 Закона, и техническими и административными мерами, изложенными в статье 12. Периодический период уничтожения ограничен максимум 1 годом. Специалист по персональным данным, назначенный Reptur для хранения и уничтожения данных, является лицом, ответственным за выполнение и контроль политики хранения и уничтожения персональных данных. Все операции по удалению, уничтожению или анонимизации персональных данных, осуществляемые Reptur, регистрируются и хранятся в течение не менее 3 лет в соответствии с юридическими обязательствами. Сроки хранения персональных данных, обрабатываемых Reptur, указаны в EK–4.

8.2. Обязательство по удалению, уничтожению и анонимизации персональных данных

Персональные данные, обработанные Reptur, удаляются, уничтожаются или анонимизируются по собственной инициативе или по требованию соответствующего субъекта данных, если причины, требующие их обработки, перестают существовать, в соответствии со статьей 7 Закона и положениями "Положения об удалении, уничтожении или анонимизации персональных данных", опубликованного в "Официальной газете" от 28 октября 2017 года под номером 30224, подготовленного Советом по защите персональных данных.

a) Удаление персональных данных Удаление персональных данных — это процесс, при котором персональные данные становятся недоступными и непригодными для повторного использования для соответствующих сотрудников. Принимаются все необходимые технические и административные меры, чтобы удаленные персональные данные были недоступны и непригодны для повторного использования для соответствующих сотрудников.

b) Уничтожение персональных данных Уничтожение персональных данных — это процесс, при котором персональные данные становятся недоступными, невосстановимыми и непригодными для повторного использования для кого-либо. Контролер данных обязан принимать все необходимые технические и административные меры для уничтожения персональных данных. Принимаются все необходимые технические и административные меры для того, чтобы персональные данные стали недоступными, невосстановимыми и непригодными для повторного использования для кого-либо.

c) Анонимизация персональных данных Анонимизация персональных данных — это процесс, при котором персональные данные перестают быть связанными с конкретным или идентифицируемым физическим лицом, даже если они сопоставляются с другими данными. Reptur принимает все необходимые технические и административные меры для анонимизации ваших персональных данных и применяет методы, соответствующие нашей политике хранения и уничтожения персональных данных.

7.3. Среды записи персональных данных Среда записи персональных данных относится к любой среде, в которой хранятся персональные данные, обрабатываемые полностью или частично автоматически, либо неавтоматически, при условии, что она является частью какой-либо системы регистрации данных. Персональные данные, относящиеся к соответствующим субъектам данных, безопасно хранятся Reptur в следующих средах записи данных в соответствии с Законом № 6098 KVKK, а также соответствующим законодательством и международными принципами безопасности данных.

a) Технические среды записи: компьютерная среда, центральные серверы, съемные носители (USB, карты памяти и т.д.), устройства и программное обеспечение для обеспечения информационной безопасности. b) Нетехнические среды записи данных: бумага, системы ручной записи данных, письменные, печатные, визуальные носители.

7.4. Причины, требующие уничтожения персональных данных Персональные данные, относящиеся к соответствующим субъектам данных, уничтожаются Reptur, в частности, по следующим причинам и целям, но не ограничиваясь ими:

  • Общие принципы, содержащиеся в статье 4 Закона.
  • Изменение соответствующих положений законодательства, на основе которых осуществлялась обработка.
  • Отзыв явного согласия соответствующим лицом в случаях, когда обработка персональных данных осуществлялась только на основании явного согласия.
  • Требование соответствующего субъекта данных об уничтожении персональных данных.
  • Истечение срока юридических обязательств по хранению персональных данных.
  • Исчезновение цели, которая требовала обработки или хранения персональных данных.
  • Истечение максимального срока, который требовал хранения персональных данных, и отсутствие уважительной причины для продолжения их хранения.

7.5. Методы удаления, уничтожения и анонимизации персональных данных Ниже приведены методы удаления, уничтожения или анонимизации персональных данных, обработанных Reptur. Какой метод будет применен, может варьироваться в зависимости от характера обрабатываемых персональных данных. В процессе удаления, уничтожения или анонимизации персональных данных принимаются необходимые административные и технические меры, такие как: информирование сотрудников о процессах информационной безопасности и уничтожения; выбор наиболее подходящего метода в зависимости от характера среды записи данных, в которой хранятся персональные данные; проведение регулярных и периодических работ по обслуживанию и мониторингу безопасности данных; использование самых современных систем уничтожения; выдача команд автоматического удаления; отмена полномочий на доступ, повторное использование и восстановление удаленных данных. Для этого необходимо сначала определить персональные данные, подлежащие удалению, уничтожению или анонимизации (1); определить соответствующих сотрудников для каждой персональной данные с помощью матрицы полномочий и контроля доступа или аналогичной системы (2); определить полномочия и методы доступа, восстановления, повторного использования соответствующих сотрудников (3); закрыть и отменить полномочия и методы доступа, восстановления, повторного использования соответствующих сотрудников в отношении персональных данных (4).

Путь, которому следует удаление персональных данных, следующий:

  • Выдача команды удаления в облачных или прикладных решениях.
  • Затемнение, обрезка или скрытие данных в бумажных носителях.
  • Удаление данных на съемных носителях с использованием соответствующего программного обеспечения.

Путь, которому следует уничтожение персональных данных, следующий:

  • Физическое уничтожение в бумажных или электронных носителях.

Путь, которому следует анонимизация персональных данных, следующий:

  • Удаление переменных из данных, которые могут быть связаны с субъектом данных.
  • Региональное сокрытие для повышения безопасности набора данных и снижения риска предсказуемости.
  • Процесс обобщения для преобразования соответствующей персональной данные из конкретного значения в более общее.

IX. ПРАВА СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ И ИСПОЛЬЗОВАНИЕ ПРАВ

9.1. Права субъекта персональных данных

В соответствии с Законом № 6698, вы, как субъект данных, имеете следующие права:

  • Узнать, обрабатываются ли ваши персональные данные.
  • Запросить информацию об обработке, если ваши персональные данные были обработаны.
  • Узнать цель обработки ваших персональных данных и используются ли они в соответствии с этой целью.
  • Знать о третьих лицах, которым передаются персональные данные внутри страны или за границу.
  • Запросить исправление неполных или неверно обработанных персональных данных.
  • Запросить удаление или уничтожение ваших персональных данных в рамках условий, предусмотренных статьей 7.
  • Запросить уведомление третьих лиц, которым были переданы персональные данные, об исправлении неполной или неверной обработки, а также об операциях по удалению или уничтожению данных.
  • Возражать против результата, который возникает против вас в результате анализа обработанных данных исключительно автоматизированными системами.
  • Требовать возмещения ущерба, если вы понесли ущерб из-за незаконной обработки ваших персональных данных.

9.2. Использование прав субъектом персональных данных

Как субъекты персональных данных, вы можете направлять свои запросы в отношении ваших прав, используя методы, описанные в процедуре подачи заявок субъектом данных, заполнив "Форму заявки", опубликованную на веб-сайте, или в письменной форме. Заявка должна содержать: имя, фамилию и подпись, если она подана в письменной форме; идентификационный номер Т.Р. для граждан Турции, национальность, номер паспорта или, если есть, идентификационный номер для иностранцев; адрес места жительства или рабочего места для уведомлений; адрес электронной почты, номер телефона и факса для уведомлений, если они есть; тему запроса. Заявку можно отправить по почте по адресу OTTO Бизнес-центр, Барбарос, ул. Мимар Синан, №165, этаж 5, офис 36, 34746 Аташехир / Стамбул, Турция или по электронной почте [email protected] с подтверждением вашей личности, используя адрес зарегистрированной электронной почты (KEP), защищенную электронную подпись, мобильную подпись или адрес электронной почты, ранее уведомленный Reptur и зарегистрированный в системе Reptur. В этом случае Reptur рассмотрит запрос в кратчайшие сроки и бесплатно в течение не более тридцати дней с момента уведомления, в зависимости от характера запроса. Однако, если операция требует дополнительных расходов, Reptur взимает плату, определенную Советом по защите персональных данных.

9.3. Ответ Компании на заявки

Reptur рассматривает заявку в кратчайшие сроки в зависимости от ее характера. Этот срок не может превышать 30 дней с момента уведомления Reptur о вашей заявке. Если в вашей заявке есть недостатки или неясности, срок ответа не начинается до тех пор, пока мы не получим запрошенную дополнительную информацию и документы. Если операция требует каких-либо затрат, может быть запрошена плата в соответствии с тарифом, установленным Советом по защите персональных данных.

ПРИЛОЖЕНИЕ – 1: Определения

Явное согласие: Согласие, выраженное свободно и основанное на информированности по определенному вопросу.

Анонимизация: Превращение персональных данных в состояние, когда их нельзя связать с конкретным или идентифицируемым физическим лицом, даже путем сопоставления с другими данными.

Группа получателей: Категория физических или юридических лиц, которым контролер данных передает персональные данные.

Прямые идентификаторы: Идентификаторы, которые сами по себе напрямую раскрывают, разглашают и делают отличимым лицо, с которым они связаны.

Косвенные идентификаторы: Идентификаторы, которые в сочетании с другими идентификаторами раскрывают, разглашают и делают отличимым лицо, с которым они связаны.

Субъект данных: Физическое лицо, чьи персональные данные обрабатываются.

Соответствующий пользователь: Физическое или юридическое лицо, которое обрабатывает персональные данные внутри организации контролера данных или на основании полномочий и инструкций, полученных от контролера данных, за исключением лица или подразделения, ответственного за техническое хранение, защиту и резервное копирование данных.

Уничтожение: Удаление, уничтожение или анонимизация персональных данных.

Закон: Закон № 6698 о защите персональных данных от 24/3/2016.

Затемнение: Операции, такие как зачеркивание, обрезка и размытие всей части персональных данных таким образом, чтобы их нельзя было связать с конкретным или идентифицируемым физическим лицом.

Среда записи: Любая среда, в которой находятся персональные данные, обрабатываемые полностью или частично автоматически, либо неавтоматически, при условии, что она является частью какой-либо системы регистрации данных.

Персональные данные: Любая информация, относящаяся к конкретному или идентифицируемому физическому лицу.

Обработка персональных данных: Любая операция, совершаемая с персональными данными, такая как получение, запись, хранение, изменение, реорганизация, раскрытие, передача, приобретение, предоставление доступа, классификация или предотвращение их использования, полностью или частично автоматическими средствами или неавтоматическими средствами, при условии, что они являются частью какой-либо системы регистрации данных.

Закон о защите персональных данных ("KVKK"): Закон № 6698 о защите персональных данных, который вступил в силу после публикации в "Официальной газете" 7 апреля 2016 года.

Совет: Совет по защите персональных данных.

Орган: Орган по защите персональных данных.

Обработчик данных: Физическое или юридическое лицо, которое обрабатывает персональные данные от имени контролера данных на основании предоставленных им полномочий.

Система регистрации данных: Система регистрации, в которой персональные данные обрабатываются путем структурирования по определенным критериям.

Контролер данных: Физическое или юридическое лицо, которое определяет цели и средства обработки персональных данных, и несет ответственность за создание и управление системой регистрации данных.

ПРИЛОЖЕНИЕ – 2: Субъекты персональных данных (соответствующие лица)

Таблица 3: Категории субъектов данных

Категории субъектов данных

Описание

Сотрудник

Относится к лицам, работающим в Reptur.

Кандидат на работу

Относится к физическим лицам, подавшим заявление на работу, отправив резюме или другими способами в Reptur.

Потенциальный клиент

Относится к физическим лицам, которые проявляют интерес к использованию услуг Reptur и имеют потенциал стать клиентами.

Клиент

Относится к физическим лицам, которые получают услуги от Reptur.

Поставщик

Относится к физическим лицам и сотрудникам юридических лиц, от которых Reptur получает услуги.

Акционеры/Партнеры

Относится к физическим лицам, владеющим хотя бы одной акцией Reptur.

Посетитель

Относится к третьим лицам, посещающим рабочее место и веб-сайт Reptur.

Деловые партнеры

Относится к физическим лицам и сотрудникам юридических лиц, с которыми Reptur сотрудничает для разработки услуг и осуществления любой другой коммерческой деятельности.

Другие третьи лица

Физические лица, которые не входят в перечисленные категории, но чьи персональные данные обрабатываются Reptur.

E-Tablolar'a aktar

ПРИЛОЖЕНИЕ – 3: Третьи лица, которым передаются персональные данные, и цели передачи

Таблица 4: Третьи лица, которым передаются персональные данные, и цели передачи

Лицо/Подразделение, которому передаются данные

Область применения

Цель передачи

Деловые партнеры

Стороны, с которыми Reptur установил деловые партнерские отношения в рамках своей коммерческой деятельности.

Передача персональных данных, ограниченная целью выполнения деятельности, осуществляемой с деловыми партнерами.

Уполномоченные государственные учреждения и организации

Правовые отношения между уполномоченными государственными учреждениями и организациями и Reptur.

Передача/предоставление информации и документов, запрошенных соответствующими государственными учреждениями и организациями у Reptur, ограниченная этой целью.

Поставщики

Стороны, от которых Reptur получает услуги для продолжения своей коммерческой деятельности.

Передача персональных данных, ограниченная целью получения услуг от поставщиков.

Юридические консультанты

Стороны, от которых Reptur получает услуги для юридической поддержки.

Передача персональных данных, ограниченная целью получения юридической поддержки для установления, использования и защиты юридических прав Reptur.

Финансовые консультанты

Стороны, от которых Reptur получает услуги для финансовой поддержки.

Передача персональных данных, ограниченная целью получения юридической поддержки для установления, использования и защиты финансовых прав Reptur.

E-Tablolar'a aktar

ПРИЛОЖЕНИЕ – 4: Сроки хранения персональных данных

Таблица 5: Сроки хранения персональных данных

Источник персональных данных

Срок

Правовое основание

Персональные данные, обрабатываемые в контрактах и отношениях, вытекающих из контрактов (например, имя и фамилия должностного лица компании, циркуляр подписи и т.д.)

10 лет после окончания контракта

Закон № 6102, Закон № 6098 и Закон № 213

Процессы продаж и закупок

В течение всего срока деловых/коммерческих отношений с Reptur и 10 лет после их окончания

Закон № 6098 об обязательствах Турции и Закон № 6102 о торговле Турции

Все записи, касающиеся бухгалтерских и финансовых операций

10 лет

Закон № 6102, Закон № 213

Персональные данные, касающиеся налоговых записей

5 лет

Закон № 213 о налоговых процедурах

Процессы маркетинга

2 года

Закон № 6102, Закон № 6098 и Закон № 213

Все записи, касающиеся процессов управления персоналом, включая личные дела, в рамках Закона о труде

10 лет после окончания трудовых отношений

Закон № 4857 о труде и соответствующее законодательство / Закон № 6098 об обязательствах Турции

Данные, собранные в рамках законодательства о гигиене и безопасности труда (например, медицинские тесты при приеме на работу, медицинские отчеты, тренинги по гигиене и безопасности труда, записи о деятельности в области гигиены и безопасности труда и т.д.)

15 лет после окончания трудовых отношений

Закон № 6331 о гигиене и безопасности труда, Положение об услугах в области гигиены и безопасности труда

Данные, обрабатываемые в соответствии с деятельностью по корпоративным коммуникациям, направленной на сотрудников

10 лет после окончания трудовых отношений

Применяются отраслевые обычаи.

Данные, касающиеся заявок кандидатов, если заявка на работу не принята (например, резюме, форма заявки и т.д.)

2 года

Применяются отраслевые обычаи.

Персональные данные физических посетителей

1 год

Применяются отраслевые обычаи.

Записи подтверждения коммерческой электронной почты

1 год с даты отзыва согласия

Закон № 6563, Положение о коммерческих сообщениях и коммерческих электронных сообщениях, опубликованное в "Официальной газете" от 15.07.2015 под номером 29417

Персональные данные, обрабатываемые в целях безопасности с помощью CCTV камер (записи с камер)

3 месяца

Применяются отраслевые обычаи.

Информация о трафике, обрабатываемая во время использования сети Интернет, входа в Интернет и удаленного подключения

2 года

Закон № 5651

Файлы cookie, информация о трафике и записи журналов, касающиеся онлайн-посетителей

От 6 месяцев до 2 лет

Закон № 5651 об Интернете

Операции Совета по защите персональных данных

10 лет

Закон № 6698