MESAY AUTOMOTIVE INDUSTRY AND TRADE INC.

ПОЛИТИКА ХРАНЕНИЯ И УНИЧТОЖЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ

Настоящая Политика хранения и уничтожения персональных данных («Политика»), подготовлена в соответствии с Законом № 6698 «О защите персональных данных» («KVKK» или «Закон») и Положением о защите персональных данных, вступившим в силу после публикации в Официальном вестнике от 28 октября 2017 года, которое является вторичным нормативным актом Закона. В качестве ответственного за данные, с целью выполнения наших обязательств в соответствии с «Положением об удалении, уничтожении или анонимизации» («Положение») и информирования субъектов данных о принципах определения максимального срока хранения, необходимого для целей обработки персональных данных, а также процессов их удаления, уничтожения и анонимизации, MESAY AUTOMOTIVE INDUSTRY AND TRADE INC. (MESAY OTOMOTİV или «Компания»). При удалении, уничтожении и анонимизации персональных данных компанией MESAY OTOMOTİV полностью соблюдаются принципы, указанные в статье 4 Закона, технические и административные меры, предусмотренные в настоящей Политике в рамках статьи 12, а также положения законодательства, решения Совета и настоящая Политика. Если Советом не принято иное решение, соответствующий метод удаления, уничтожения или анонимизации персональных данных выбирается нами самостоятельно. Однако по запросу субъекта данных будет выбран соответствующий метод с указанием причины. В случае, если условия обработки персональных данных, предусмотренные в статьях 5 и 6 Закона, отпадают, персональные данные удаляются, уничтожаются или анонимизируются компанией MESAY OTOMOTİV самостоятельно или по запросу соответствующего лица.

1.ВВЕДЕНИЕ

1.1 Цель

Политика хранения и уничтожения персональных данных («Политика»), Mesay Otomotiv Sanayi Ve Ticaret A.Ş. («Компания» или «MESAY OTOMOTİV») предназначена для определения процедур и принципов, касающихся работ и операций, связанных с деятельностью по хранению и уничтожению, осуществляемых Компанией. Компания, в соответствии с миссией, видением и основными принципами, определёнными в Стратегическом плане, Конституцией обрабатывает персональные данные сотрудников компании, кандидатов на работу, поставщиков услуг, посетителей и других третьих лиц в приоритетном порядке в соответствии с международными соглашениями, Законом № 6698 «О защите персональных данных» («Закон») и другим применимым законодательством, а также обеспечивает эффективное использование соответствующими лицами своих прав. Работы и операции, связанные с хранением и уничтожением персональных данных, осуществляются в соответствии с Политикой, подготовленной Компанией в этом направлении.

1.2 Область применения

Персональные данные сотрудников компании, кандидатов на работу, поставщиков услуг, посетителей и других третьих лиц подпадают под действие настоящей Политики. Настоящая Политика применяется ко всем средам записи, где обрабатываются персональные данные, находящиеся во владении или под управлением Компании, а также к деятельности по обработке персональных данных.

1.3 Сокращения и определения

Группа получателей: Категория физических или юридических лиц, которым персональные данные передаются ответственным за данные.

Явное согласие: Согласие на конкретный предмет, основанное на информированности и выраженное свободной волей.

Анонимизация: Приведение персональных данных в состояние, при котором они не могут быть связаны с определённым или определяемым физическим лицом каким-либо образом, даже путём сопоставления с другими данными.

Сотрудник: Персонал MESAY AUTOMOTIVE.

Электронные носители: Среды, где персональные данные могут быть созданы, прочитаны, изменены и записаны с использованием электронных устройств.

Неэлектронные носители: Все письменные, печатные, визуальные и т. д. иные среды, кроме электронных.

Соответствующее лицо: Физическое лицо, персональные данные которого обрабатываются.

Соответствующий пользователь: Лица, обрабатывающие персональные данные в рамках организации ответственного за данные или на основании полномочий и указаний, полученных от него, за исключением лица или подразделения, ответственного за техническое хранение, защиту и резервное копирование данных.

Уничтожение: Удаление, уничтожение или анонимизация персональных данных.

Закон: Закон № 6698 «О защите персональных данных».

Среда записи: Любая среда, в которой персональные данные полностью или частично обрабатываются автоматически или неавтоматическими средствами при условии, что она является частью любой системы записи данных.

Персональные данные: Любая информация, относящаяся к определённому или определяемому физическому лицу.

Инвентарь обработки персональных данных: Деятельность по обработке персональных данных, осуществляемая ответственными за данные в зависимости от их бизнес-процессов; инвентарь, который создаётся путём увязки целей и правовых оснований обработки персональных данных, категорий данных, группы получателей и группы субъектов данных, с пояснением максимального срока хранения, необходимого для целей обработки, персональных данных, подлежащих передаче за границу, а также мер, принятых в отношении безопасности данных.

Обработка персональных данных: Получение, запись, хранение, изменение, реорганизация, раскрытие, передача, принятие, предоставление доступа, классификация персональных данных полностью или частично автоматическими либо неавтоматическими средствами при условии, что они являются частью любой системы записи данных, или любые действия, совершаемые с данными, такие как предотвращение их использования.

Специальные категории персональных данных: Данные о расовой принадлежности, этническом происхождении, политических взглядах, философских убеждениях, религии, вероисповедании или других убеждениях, одежде, членстве в ассоциациях, фондах или профсоюзах, данные о здоровье, сексуальной жизни, судимости и мерах безопасности, а также биометрические и генетические данные.

Периодическое уничтожение: Процесс удаления, уничтожения или анонимизации, который проводится по инициативе компании с определённой периодичностью и указан в политике хранения и уничтожения персональных данных, в случае если все условия обработки персональных данных, предусмотренные законом, перестают существовать.

Обработчик данных: Физическое или юридическое лицо, обрабатывающее персональные данные от имени ответственного за данные на основании предоставленных им полномочий.

Система регистрации данных: Система записи, в которой персональные данные обрабатываются и структурируются по определённым критериям.

Ответственный за данные: Физическое или юридическое лицо, которое определяет цели и средства обработки персональных данных и отвечает за создание и управление системой записи данных.

Информационная система регистрации ответственных за данные: Информационная система, созданная и управляемая Управлением, доступная через интернет, используемая ответственными за данные при подаче заявлений в Реестр и при совершении других связанных операций.

VERBIS : Информационная система регистрации ответственных за данные

Положение: Положение об удалении, уничтожении или анонимизации персональных данных, опубликованное в Официальном вестнике от 28 октября 2017 года

 

2.

2. РАСПРЕДЕЛЕНИЕ ОБЯЗАННОСТЕЙ И ФУНКЦИЙ

Все подразделения и сотрудники компании несут ответственность за реализацию технических и административных мер, предусмотренных Политикой, обучение и информирование сотрудников подразделений, предотвращение незаконной обработки персональных данных, предотвращение незаконного доступа к персональным данным, а также за контроль и постоянный надзор за персональными данными. Они активно поддерживают ответственные подразделения в принятии технических и административных мер для обеспечения безопасности данных во всех средах, где обрабатываются персональные данные, с целью их хранения в соответствии с законом.

 

3. СРЕДЫ ЗАПИСИ

Электронные носители:

Серверы (домен, резервное копирование, электронная почта, база данных, веб, файловый обмен и т. д.); программное обеспечение (офисные программы, портал), устройства информационной безопасности (межсетевой экран, системы обнаружения и предотвращения вторжений, журналы, антивирус и т. д.); персональные компьютеры (настольные, портативные); мобильные устройства (телефон, планшет и т. д.); оптические диски (CD, DVD и т. д.); переносные носители (USB, карта памяти и т. д.); принтер, сканер, копировальный аппарат.

Неэлектронные носители:

Бумага, ручные системы записи данных (анкеты, журнал посетителей), письменные, печатные и визуальные материалы.

 

4. ПОЯСНЕНИЯ ПО ХРАНЕНИЮ И УНИЧТОЖЕНИЮ

Компания хранит и уничтожает персональные данные сотрудников, кандидатов на работу, посетителей, поставщиков услуг, а также сотрудников третьих сторон, учреждений или организаций, с которыми имеется контакт, в соответствии с Законом. В этом контексте ниже приведены подробные пояснения относительно хранения и уничтожения.

4.1 Пояснения по хранению

В статье 3 Закона определяется понятие обработки персональных данных, а в статье 4 указывается, что обрабатываемые персональные данные должны быть связаны с целью, для которой они обрабатываются, ограничены и соразмерны, а также храниться в течение срока, необходимого для достижения цели их обработки, либо в течение срока, установленного соответствующим законодательством.

В соответствии с деятельностью нашей компании персональные данные хранятся в течение срока, предусмотренного соответствующим законодательством, либо в течение времени, необходимого для наших целей обработки.

 

4.1.1 Юридические основания для хранения

Персональные данные, обрабатываемые в компании в рамках её деятельности, хранятся в течение срока, установленного соответствующим законодательством. В этом контексте персональные данные хранятся в соответствии со следующими законами:

· Закон № 6698 «О защите персональных данных»,

· Турецкий закон об обязательствах № 6098,

· Турецкий торговый кодекс № 6102,

· Закон № 5510 «О социальном страховании и всеобщем медицинском страховании»,

· Закон № 5651 «О регулировании публикаций в интернете и этих публикаций»,

· Закон № 6331 «О гигиене и безопасности труда»,

· Закон № 4982 «О доступе к информации»,

· Закон № 3071 «О праве на подачу петиций»,

· Закон о труде № 4857,

· Положение о мерах по охране здоровья и безопасности, принимаемых в зданиях предприятий и их приложениях,

· Положение об архивных услугах

Хранение осуществляется также в рамках иных вторичных нормативных актов, действующих в соответствии с этими законами, в течение установленных сроков.

4.1.2 Цели обработки, требующие хранения

Компания хранит персональные данные, которые она обрабатывает в рамках своей деятельности, для следующих целей.

· Осуществление процессов управления персоналом.

· Обеспечение корпоративной коммуникации.

· Обеспечение безопасности компании.

· Проведение статистических исследований.

· Выполнение работ и операций в результате подписанных договоров и протоколов.

· Определение предпочтений и потребностей сотрудников, ответственных за данные, контактных лиц, представителей ответственных за данные и операторов данных в рамках VERBIS, организация предоставляемых услуг в соответствии с этим и их обновление при необходимости.

· Обеспечение выполнения юридических обязательств, предусмотренных или требуемых правовыми нормами.

· Взаимодействие с физическими/юридическими лицами, имеющими деловые отношения с компанией.

· Подготовка юридических отчётов.

· Необходимость доказывания в качестве доказательства в возможных будущих юридических спорах.

 

4.2 Причины уничтожения

Персональные данные подлежат уничтожению в следующих случаях:

· Изменение или отмена положений соответствующего законодательства, являющегося основанием для обработки,

· Отпадение цели, требующей обработки или хранения.

· В случаях, когда обработка персональных данных осуществляется только на основании явного согласия, субъект данных отзывает своё явное согласие,

· Одобрение заявления, поданного Компанией о удалении и уничтожении персональных данных в рамках прав субъекта данных в соответствии со статьёй 11 Закона,

· В случаях, когда Компания отклоняет заявление субъекта данных об удалении, уничтожении или анонимизации его персональных данных, считает ответ недостаточным или не отвечает в срок, установленный Законом; подача жалобы в Совет и одобрение этого запроса Советом,

· Истечение максимального срока хранения персональных данных и отсутствие условий, оправдывающих хранение персональных данных в течение более длительного периода,

в этих случаях данные удаляются, уничтожаются или анонимизируются Компанией по собственной инициативе либо по запросу субъекта данных.

 

 

5. АДМИНИСТРАТИВНЫЕ И ТЕХНИЧЕСКИЕ МЕРЫ

В соответствии со статьёй 12 Закона и четвёртым параграфом статьи 6 Закона Компания принимает технические и административные меры, установленные и объявленные Советом, для того чтобы персональные данные хранились безопасно, предотвращалась их незаконная обработка и доступ, а также чтобы персональные данные уничтожались в соответствии с Законом.

 

5.1 Административные меры

Административные меры, принимаемые Компанией в отношении обрабатываемых ею персональных данных, перечислены ниже:

· Проводятся тренинги по Закону № 6698 и другим соответствующим нормативным актам с целью повышения квалификации сотрудников, предотвращения незаконной обработки персональных данных, предотвращения незаконного доступа к персональным данным и обеспечения их защиты.

· Сотрудники информируются о конфиденциальности в отношении деятельности, осуществляемой Компанией, и Компания выполняет обязанность по информированию соответствующих лиц перед обработкой персональных данных.

· Подготовлен инвентарь обработки персональных данных.

· В компании проводятся периодические и выборочные аудиты.

· В случае незаконного получения персональных данных третьими лицами Компания уведомляет субъект данных и Совет как можно скорее.

 

5.2 Технические меры

· Технические меры, принимаемые Компанией в отношении обрабатываемых ею персональных данных, перечислены ниже.

· Принимаются необходимые меры для физической безопасности оборудования, программного обеспечения и данных информационных систем компании.

· Определяются риски для предотвращения незаконной обработки персональных данных, принимаются соответствующие технические меры против этих рисков и осуществляются технические проверки принятых мер.

· Доступы к зонам хранения, где хранятся персональные данные, фиксируются, а несанкционированные доступы или попытки доступа контролируются.