KVKK


Политика хранения и уничтожения персональных данных

ВВЕДЕНИЕ

1.1. Цель

Политика хранения и уничтожения персональных данных (Политика) была подготовлена с целью определения процедур и принципов в отношении работ и операций, связанных с хранением и уничтожением, осуществляемых PANORAMA TEKNOLOJİ ANONİM ŞİRKETİ (Компания).

Компания; В соответствии с процедурами и принципами, определенными в рамках Закона о защите персональных данных (KVKK) и соответствующего законодательства, а также собственной миссии, видения и основных принципов; сотрудников компании, кандидатов в сотрудники, поставщиков услуг, посетителей, получателей продукции или услуг, потенциальных получателей продукции или услуг, сотрудников поставщиков, должностных лиц поставщиков и других третьих лиц персональных данных в соответствии с Конституцией Турецкой Республики, международными конвенциями, KVKK № 6698 и другим соответствующим законодательством и для обеспечения эффективного использования соответствующими лицами своих прав.

Работы и операции, касающиеся хранения и уничтожения персональных данных, осуществляются в соответствии с политикой, подготовленной компанией в этом направлении.


1.2. Область применения

Персональные данные сотрудников компании, кандидатов в сотрудники, поставщиков услуг, посетителей, получателей продукции или услуг, потенциальных получателей продукции или услуг, сотрудников поставщиков, должностных лиц поставщиков и других третьих лиц относятся к сфере действия данной политики, и эта политика применяется во всех учетных средах, где обрабатываются персональные данные, принадлежащие компании или управляемые ею, и в деятельности по обработке персональных данных.



1.3. Сокращения и определения

Группа получателей: Категория физических или юридических лиц, которым персональные данные передаются контроллером данных

Явное согласие: Согласие по конкретному вопросу, основанное на информации и выраженное свободной волей.

Анонимизация: Сделать так, чтобы персональные данные невозможно было связать с идентифицированным или идентифицируемым физическим лицом ни при каких обстоятельствах, даже путем сопоставления с другими данными.

Сотрудник: Персонал компании

Электронные носители: носители, на которых персональные данные могут быть созданы, прочитаны, изменены и записаны с помощью электронных устройств.

Неэлектронные носители: Все письменные, печатные, визуальные и т.д. другие носители, кроме электронных.

Поставщик услуг: Физическое или юридическое лицо, предоставляющее услуги в рамках конкретного договора с Органом по защите персональных данных.

Соответствующее лицо: Физическое лицо, чьи персональные данные обрабатываются.

Соответствующий пользователь: Лица, обрабатывающие персональные данные в рамках организации контролера данных или в соответствии с полномочиями и инструкциями, полученными от контролера данных, за исключением лица или подразделения, ответственного за техническое хранение, защиту и резервное копирование данных.

Уничтожение: Удаление, уничтожение или обезличивание персональных данных.

Закон: Закон № 6698 о защите персональных данных.

Носитель записи: любой носитель, содержащий персональные данные, которые полностью или частично автоматизированы или обрабатываются неавтоматизированными средствами, при условии, что он является частью любой системы записи данных.

Персональные данные: Любая информация, относящаяся к идентифицированному или поддающемуся идентификации физическому лицу.

Инвентаризация обработки персональных данных: Опись, в которой контролеры данных подробно описывают деятельность по обработке персональных данных, которую они осуществляют в зависимости от своих бизнес-процессов, связывая их с целями и правовыми основаниями для обработки персональных данных, категорией данных, группой передаваемых получателей и группой субъектов данных, а также объясняя максимальный срок хранения, необходимый для целей, для которых обрабатываются персональные данные, персональные данные, которые планируется передавать в иностранные государства, и меры, принятые в отношении безопасности данных.

Обработка персональных данных: Любая операция, выполняемая с персональными данными, такая как получение, запись, хранение, складирование, изменение, перестановка, раскрытие, передача, завладение, предоставление, классификация или предотвращение использования персональных данных полностью или частично автоматическими средствами или неавтоматическими средствами при условии, что они являются частью любой системы регистрации данных.

Совет: Совет по защите персональных данных

Специальные категории персональных данных: Данные, касающиеся расы, этнического происхождения, политических взглядов, философских убеждений, религии, секты или других верований, внешнего вида и одежды, членства в ассоциациях, фондах или профсоюзах, здоровья, сексуальной жизни, судимостей и мер безопасности, а также биометрические и генетические данные.

Периодическое уничтожение: процесс удаления, уничтожения или обезличивания, который должен осуществляться по должности через периодические промежутки времени, указанные в политике хранения и уничтожения персональных данных, в случае устранения всех условий для обработки персональных данных, указанных в Законе.

Политика: Политика хранения и уничтожения персональных данных

Обработчик данных: Физическое или юридическое лицо, которое обрабатывает персональные данные от имени контролера данных на основании разрешения, предоставленного контролером данных.

Система записи данных: Система записи, в которой персональные данные структурируются и обрабатываются в соответствии с определенными критериями.

Контроллер данных: Физическое или юридическое лицо, которое определяет цели и средства обработки персональных данных и несет ответственность за создание и управление системой учета данных.

Информационная система реестра контролеров данных: Информационная система, созданная и управляемая Президиумом, доступная через Интернет, которую контролеры данных будут использовать при подаче заявки в Реестр и других связанных с Реестром операциях.

VERBIS: Информационная система реестра контролеров данных

Постановление: Положение об удалении, уничтожении или анонимизации персональных данных, опубликованное в Официальном вестнике от 28 октября 2017 года.



РАСПРЕДЕЛЕНИЕ ОТВЕТСТВЕННОСТИ И ОБЯЗАННОСТЕЙ
Все подразделения и сотрудники Компании активно поддерживают ответственные подразделения в принятии технических и административных мер по обеспечению безопасности данных во всех средах, где обрабатываются персональные данные, с целью предотвращения незаконной обработки персональных данных, предотвращения незаконного доступа к персональным данным и обеспечения хранения персональных данных в соответствии с законом, путем надлежащего выполнения технических и административных мер, принятых ответственными подразделениями в рамках Политики, обучения и повышения осведомленности сотрудников подразделений, мониторинга и постоянного контроля.

ДОЛЖНОСТЬ / ПОДРАЗДЕЛЕНИЕ / ЗАДАЧА
Менеджер компании / председатель совета директоров; Компания; Отвечает за обеспечение того, чтобы сотрудники действовали в соответствии с политикой.

Менеджер по персоналу; Отдел кадров; Отвечает за подготовку, разработку, исполнение, публикацию и обновление Политики в соответствующих средах и предоставление технических решений, необходимых для реализации Политики.

Персональные данные, собранные посредством телефонных звонков, документов клиента, контрактов, форм запроса на работу и информации, записей заказов, устных, письменных или электронных носителей, автоматических или неавтоматических методов.

Персональные данные, собранные через другие ("Цифровые носители"), такие как веб-сайты Компании ("Сайт"), программное обеспечение и приложения ("Приложение"), предлагаемые для использования на компьютерах или некоторых интеллектуальных устройствах, учетные записи в социальных сетях ("Социальные сети"), управляемые лицами, уполномоченными предоставлять услуги от имени Компании.



НОСИТЕЛИ ИНФОРМАЦИИ
Персональные данные надежно хранятся компанией в соответствии с законом в перечисленных ниже средах.

Электронные среды:
a) Серверы (домен, резервное копирование, электронная почта, база данных, веб, обмен файлами и т.д.)

b) Программное обеспечение (офисное программное обеспечение, портал, VERBIS.)

c) Устройства информационной безопасности (брандмауэр, система обнаружения и предотвращения вторжений, журнал регистрации, антивирус и т.д.)

d) Персональные компьютеры (настольные, портативные)

e) Мобильные устройства (телефон, планшет и т.д.)

f) Оптические диски (CD, DVD и т.д.)

g) Съемные носители (USB, карты памяти и т.д.)

h) Принтер, сканер, ксерокс

Неэлектронные носители:
a) Бумага

b) Ручные системы регистрации данных (анкетные формы, журнал учета посетителей)

c) Письменные, печатные, визуальные носители

РАЗЪЯСНЕНИЯ ПО ХРАНЕНИЮ И УТИЛИЗАЦИИ

Персональные данные сотрудников компании, кандидатов в сотрудники, поставщиков услуг, посетителей, получателей продукции или услуг, потенциальных получателей продукции или услуг, сотрудников поставщиков, должностных лиц поставщиков и других третьих лиц хранятся и уничтожаются компанией в соответствии с Законом.

В этом контексте ниже приведены подробные пояснения относительно хранения и уничтожения соответственно.


4.1. Пояснения по хранению

Статья 3 Закона определяет понятие обработки персональных данных, статья 4 гласит, что обрабатываемые персональные данные должны быть связаны, ограничены и измерены для целей их обработки и должны храниться в течение срока, предусмотренного соответствующим законодательством или для целей их обработки, а статьи 5 и 6 перечисляют условия обработки персональных данных.

Соответственно, в рамках деятельности нашей компании персональные данные хранятся в течение срока, предусмотренного соответствующим законодательством или в соответствии с нашими целями обработки.


4.1.1. Правовые основания, требующие сохранения информации

Персональные данные, обрабатываемые в рамках деятельности Компании, хранятся в течение срока, предусмотренного соответствующим законодательством. В данном контексте, персональные данные;

a) Закон № 6698 о защите персональных данных,

b) Турецкий кодекс обязательств под номером 6098,

c) Закон о социальном обеспечении и общем медицинском страховании № 5510,

d) Закон № 5651 о регулировании публикаций в Интернете и борьбе с преступлениями, совершаемыми посредством этих публикаций,

e) Закон о гигиене и безопасности труда № 6331,

f) Закон о труде № 4857,

g) Положение о мерах по охране труда и технике безопасности, которые должны быть приняты в рабочих зданиях и приложениях,

h) Коммерческий кодекс Турции № 6102,

i) сохраняется в течение сроков хранения, предусмотренных другими подзаконными актами, действующими в соответствии с этими законами.

4.1.2. Правовые основания, требующие сохранения информации

Осуществление кадровых процессов,
Обеспечение коммерческой деятельности компании,
Обеспечение корпоративной коммуникации,
Обеспечение безопасности компании,
Уметь проводить статистические исследования,
Для выполнения работ и сделок в результате подписанных договоров и протоколов,
Обеспечивать выполнение юридических обязательств в соответствии с требованиями или предписаниями законодательства,
Поддерживать связь с реальными/юридическими лицами, имеющими деловые отношения с Компанией,
Бремя доказывания в качестве доказательства в юридических спорах, которые могут возникнуть в будущем.

4.2. Пояснения по хранению

Персональные данные;
Изменение или отмена соответствующих положений законодательства, являющихся основанием для обработки,
Исчезновение цели, требующей обработки или хранения,
В случаях, когда обработка персональных данных осуществляется только на основании явного согласия, заинтересованное лицо может отозвать свое явное согласие,
В соответствии со статьей 11 Закона, принятие Советом по защите персональных данных заявления субъекта данных об удалении и уничтожении персональных данных в рамках его прав или судебного решения,
В случаях, когда компания отклоняет заявление субъекта данных с просьбой об удалении, уничтожении или обезличивании его персональных данных, считает ответ недостаточным или не отвечает в установленный Законом срок; подать жалобу в Совет по защите персональных данных, и эта жалоба будет удовлетворена Советом,
В случае, если максимальный срок, необходимый для хранения персональных данных, истек, и нет условий, оправдывающих хранение персональных данных в течение более длительного периода времени, они удаляются, уничтожаются или ex officio удаляются, уничтожаются или обезличиваются Компанией по просьбе заинтересованного лица.

ТЕХНИЧЕСКИЕ И АДМИНИСТРАТИВНЫЕ МЕРЫ

Технические и административные меры принимаются компанией в рамках адекватных мер, определенных и объявленных Советом по защите персональных данных для специальных категорий персональных данных в соответствии со статьей 12 Закона и четвертым пунктом статьи 6 Закона для безопасного хранения персональных данных, предотвращения незаконной обработки и доступа и уничтожения персональных данных в соответствии с законом.


5.1. Технические меры

Ниже перечислены технические меры, принимаемые компанией в отношении обрабатываемых ею персональных данных:

Посредством тестов на проникновение выявляются риски, угрозы, уязвимости и уязвимые места, если таковые имеются, для информационных систем нашей компании и принимаются необходимые меры.
Риски и угрозы, которые могут повлиять на непрерывность работы информационных систем, постоянно отслеживаются в результате анализа в режиме реального времени, проводимого в рамках управления инцидентами информационной безопасности.
Доступ к информационным системам и авторизация пользователей осуществляются посредством политик безопасности через матрицу доступа и авторизации и корпоративный активный каталог.
Принимаются необходимые меры по физической защите оборудования, программного обеспечения и данных информационных систем компании.
Для обеспечения безопасности информационных систем от угроз внешней среды принимаются аппаратные (система контроля доступа, позволяющая входить в системное помещение только авторизованному персоналу, система круглосуточного мониторинга, обеспечивающая физическую безопасность пограничных коммутаторов, составляющих локальную сеть, система пожаротушения, система кондиционирования и т.д.) и программные (межсетевые экраны, системы предотвращения атак, контроль доступа к сети, системы предотвращения вредоносного ПО и т.д.) меры.
Определяются риски для предотвращения незаконной обработки персональных данных, принимаются технические меры в соответствии с этими рисками и осуществляется технический контроль принятых мер.
В компании установлены процедуры доступа, ведется отчетность и анализ доступа к персональным данным.
Доступ к местам хранения, содержащим персональные данные, регистрируется, а неправомерный доступ или попытки доступа держатся под контролем.
Компания принимает необходимые меры для обеспечения того, чтобы удаленные персональные данные были недоступны и не подлежали повторному использованию для соответствующих пользователей.

В случае незаконного получения персональных данных другими лицами Компания создала соответствующую систему и инфраструктуру для уведомления соответствующего лица и Совета директоров.
Осуществляется мониторинг уязвимостей системы безопасности, устанавливаются соответствующие исправления, а информационные системы поддерживаются в актуальном состоянии.
На электронных носителях, где обрабатываются персональные данные, используются надежные пароли.
На электронных носителях, где обрабатываются персональные данные, используются системы безопасного протоколирования.
Для обеспечения надежного хранения персональных данных используются программы резервного копирования данных.
Доступ к персональным данным, хранящимся на электронных или неэлектронных носителях, ограничивается в соответствии с принципами доступа.
Доступ к веб-сайту компании зашифрован алгоритмом SHA 256 Bit RSA с использованием защищенного протокола (HTTPS).
Для обеспечения безопасности специальных категорий персональных данных разработана отдельная политика.
Для сотрудников, вовлеченных в процессы обработки специальных категорий персональных данных, проведены тренинги по безопасности специальных категорий персональных данных, заключены соглашения о конфиденциальности, определены полномочия пользователей, имеющих право доступа к данным.
Электронные носители, на которых обрабатываются, хранятся и/или к которым осуществляется доступ к чувствительным персональным данным, обслуживаются с использованием криптографических методов, криптографические ключи хранятся в защищенных средах, все записи транзакций протоколируются, обновления безопасности сред постоянно контролируются, регулярно проводятся/выполняются необходимые тесты безопасности, а результаты тестов записываются,
Принимаются адекватные меры безопасности для физических сред, в которых обрабатываются, хранятся и/или к которым осуществляется доступ к чувствительным персональным данным, а несанкционированный вход и выход предотвращается путем обеспечения физической безопасности.
Если конфиденциальные персональные данные необходимо передать по электронной почте, они передаются в зашифрованном виде с использованием корпоративного адреса электронной почты или учетной записи KEP. Если необходимо передать данные через носители, такие как портативная память, CD, DVD и т.д., они шифруются криптографическими методами, а криптографический ключ хранится на разных носителях. Если передача осуществляется между серверами, находящимися в разных физических средах, передача данных осуществляется путем создания VPN между серверами или с помощью метода sFTP. Если требуется передача на бумажных носителях, принимаются необходимые меры предосторожности против таких рисков, как кража, потеря или несанкционированный просмотр документа, и документ отправляется в "конфиденциальном" формате.

5.2. Административные меры

Ниже перечислены административные меры, принимаемые Компанией в отношении обрабатываемых ею персональных данных:

В целях повышения квалификации сотрудников проводятся тренинги по предотвращению незаконной обработки персональных данных, предотвращению незаконного доступа к персональным данным, обеспечению сохранности персональных данных, технике общения, навыкам технических знаний и другим соответствующим законодательным актам.
Сотрудниками подписываются соглашения о конфиденциальности в отношении деятельности, осуществляемой Компанией.
Для сотрудников, не соблюдающих политику и процедуры безопасности, разработана дисциплинарная процедура.
Перед началом обработки персональных данных компания выполняет свое обязательство по информированию соответствующих лиц.
Подготовлена инвентаризация обработки персональных данных.
Проводятся внутренние периодические и выборочные аудиты.
Для сотрудников проводятся тренинги по информационной безопасности.

МЕТОДЫ УНИЧТОЖЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ

По истечении срока, предусмотренного соответствующим законодательством, или по истечении срока хранения, необходимого для целей их обработки, персональные данные уничтожаются Компанией по должности или по заявлению заинтересованного лица, в соответствии с положениями соответствующего законодательства, следующими способами.


6.1. Удаление персональных данных


НОСИТЕЛЬ ЗАПИСИ ДАННЫХ / ОПИСАНИЕ

Персональные данные на серверах: Для персональных данных, находящихся на серверах, удаление производится системным администратором путем удаления полномочий доступа соответствующих пользователей для тех, чей срок хранения истек.

Персональные данные на электронных носителях: Персональные данные, хранящиеся на электронных носителях, срок хранения которых истек, становятся недоступными и не подлежат повторному использованию каким-либо образом для сотрудников (соответствующих пользователей), кроме администратора базы данных.

Персональные данные, хранящиеся на физических носителях: Для персональных данных, хранящихся на физических носителях, те из них, срок хранения которых истекает по истечении периода, необходимого для хранения, делаются недоступными и не подлежащими повторному использованию любым способом для сотрудников, кроме руководителя подразделения, ответственного за архив документов. Кроме того, применяется процесс затемнения путем нанесения царапин/закрашивания/стирания таким образом, чтобы их невозможно было прочитать.

Персональные данные на переносных носителях: Персональные данные, хранящиеся на флеш-носителях, а также те, срок хранения которых истек, шифруются системным администратором, разрешение на доступ к ним дается только системному администратору, и хранятся в защищенных помещениях с ключами шифрования.

6.2. Уничтожение персональных данных

НОСИТЕЛЬ ЗАПИСИ ДАННЫХ / ОПИСАНИЕ

Персональные данные на физических носителях: Персональные данные на бумажных носителях, срок хранения которых истек после истечения периода, необходимого для хранения, необратимо уничтожаются в машинах для измельчения бумаги.

Персональные данные на оптических / магнитных носителях: Персональные данные, содержащиеся на оптических и магнитных носителях, уничтожаются физически, например, путем плавления, сжигания или измельчения тех из них, срок хранения которых истек. Кроме того, магнитные носители пропускаются через специальное устройство, и данные на них делаются нечитаемыми путем воздействия на них сильного магнитного поля.

6.3. Анонимизация персональных данных
Анонимизация персональных данных означает, что персональные данные невозможно связать с идентифицированным или идентифицируемым физическим лицом ни при каких обстоятельствах, даже если эти персональные данные сопоставлены с другими данными.

Для того чтобы персональные данные были анонимизированы, необходимо сделать невозможной связь персональных данных с идентифицированным или идентифицируемым физическим лицом, даже с использованием соответствующих методов для носителя записи и соответствующей сферы деятельности, таких как возврат персональных данных контролером данных или третьими лицами и/или сопоставление данных с другими данными.

СРОКИ ХРАНЕНИЯ И УНИЧТОЖЕНИЯ

В отношении персональных данных, обрабатываемых Учреждением в рамках своей деятельности;

Сроки хранения на основе персональных данных, относящихся ко всем персональным данным в рамках деятельности, осуществляемой в зависимости от процессов в Инвентаре обработки персональных данных;
Сроки хранения на основе категорий данных регистрируются в VERBIS;
Сроки хранения на основе процессов включены в Политику сохранения и уничтожения персональных данных.
По должности удаление, уничтожение или обезличивание персональных данных, сроки хранения которых истекли, осуществляется отделом кадров.


ПРОЦЕСС / СРОК ХРАНЕНИЯ / СРОК УНИЧТОЖЕНИЯ

Подготовка контрактов; 10 лет после окончания срока действия контракта; В первый периодический период уничтожения после окончания срока хранения.

Осуществление коммуникационной деятельности компании; 10 лет после окончания деятельности; В первый периодический период уничтожения после окончания срока хранения.

Выполнение процессов управления персоналом; 10 лет после завершения деятельности; В первый периодический период уничтожения после окончания срока хранения.

Системы отслеживания записей журналов; 10 лет; При первом периодическом уничтожении после окончания срока хранения.

Выполнение процессов доступа к аппаратному и программному обеспечению; 2 года; При первом периодическом уничтожении после окончания срока хранения

Записи с камер; 2 года; При первом периодическом уничтожении после окончания срока хранения

ПЕРИОД ПЕРИОДИЧЕСКОГО УНИЧТОЖЕНИЯ

В соответствии со статьей 11 Положения, Компания определила период периодического уничтожения в 6 месяцев. Соответственно, процесс периодического уничтожения осуществляется в июне и декабре каждого года.

ПУБЛИКАЦИЯ И ХРАНЕНИЕ ПОЛИТИКИ

Политика публикуется на двух различных носителях - в мокрой подписи (на печатной бумаге) и на электронных носителях, а также раскрывается для общественности на веб-сайте. Печатная бумажная копия также хранится в файле KVKK.

ПЕРИОД ОБНОВЛЕНИЯ ПОЛИТИКИ

Политика пересматривается по мере необходимости и обновляются необходимые разделы.

ВСТУПЛЕНИЕ В СИЛУ И ОТМЕНА ПОЛИТИКИ


Политика считается вступившей в силу с момента ее опубликования на сайте Компании. В случае принятия решения об отмене Политики, старые экземпляры Политики с мокрыми подписями должны быть аннулированы (путем проставления штампа или письменного аннулирования) отделом кадров по решению Совета директоров и храниться в отделе кадров не менее 5 лет.