Datenschutzbestimmungen
1. Zweck
Der Hauptzweck dieser Datenschutz- und Verarbeitungsrichtlinie (“Richtlinie”) besteht darin, Erklärungen zu den Aktivitäten der Verarbeitung personenbezogener Daten, die von SST Teknoloji A.Ş. (“das Unternehmen“) gemäß dem Gesetz und den für den Schutz personenbezogener Daten angenommenen Systemen durchgeführt werden, abzugeben und die Verfahren und Grundsätze zu bestimmen, die von den Datenverantwortlichen aufgrund ihrer Beziehung zum Unternehmen befolgt werden müssen, um Transparenz gegenüber den Personen zu gewährleisten, deren Daten verarbeitet werden.
Das Unternehmen führt seine Aktivitäten in Übereinstimmung mit den Bestimmungen zum Schutz und zur Privatsphäre personenbezogener Daten durch, die insbesondere in der Verfassung der Republik Türkei und den internationalen Konventionen, denen wir angehören, sowie im Gesetz über den Schutz personenbezogener Daten (“KVKK“) und der relevanten Gesetzgebung festgelegt sind. Das Unternehmen geht mit maximaler Sensibilität auf den Schutz personenbezogener Daten sowie auf grundlegende Rechte und Freiheiten ein und konzentriert sich in all seinen Aktivitäten auf grundlegende Menschenrechte wie das Recht auf Privatsphäre und die Freiheit der Meinungsäußerung.
2. Geltungsbereich und Umsetzung
Diese Richtlinie wurde in Übereinstimmung mit den geltenden Vorschriften und internationalen Standards erstellt. Das Unternehmen wird diese Richtlinie in allen Datenverarbeitungsaktivitäten, wie z.B. der Verarbeitung, Übertragung und Änderung von Daten, vorrangig umsetzen.
Das Unternehmen hat auch verschiedene Richtlinien, die den Schutz personenbezogener Daten und die Gewährleistung der Informationssicherheit in Bezug auf bestimmte Geschäftstätigkeiten und -prozesse ansprechen. Diese Richtlinie hat keine Vorrangstellung gegenüber den Datenschutzbedingungen in den verschiedenen Richtlinien des Unternehmens, es sei denn, sie enthält zusätzliche Bedingungen oder verlangt einen höheren Standard für den Schutz personenbezogener Daten. Diese Richtlinie wird in Verbindung mit anderen Richtlinien und Verfahren umgesetzt, soweit dies angemessen ist.
Im Falle eines Konflikts zwischen den Bestimmungen der relevanten geltenden Gesetzgebung zum Schutz und zur Verarbeitung personenbezogener Daten und den Bestimmungen dieser Richtlinie haben die aktuellen gesetzlichen Bestimmungen Vorrang.
3. Definitionen
KVKK: Gesetz über den Schutz personenbezogener Daten mit der Nummer 6698
DSGVO: Allgemeine Datenschutzverordnung der Europäischen Union
Datenverarbeiter: Die natürliche oder juristische Person, die personenbezogene Daten im Auftrag des Datenverantwortlichen auf Grundlage der ihm/ihr erteilten Ermächtigung verarbeitet.
Datenverantwortlicher: Die natürliche oder juristische Person, die die Zwecke und Mittel der Verarbeitung personenbezogener Daten bestimmt und das Datenablagesystem verwaltet (der Ort, an dem die Daten systematisch aufbewahrt werden).
Dateninhaber/Datenbetroffener: Die natürliche Person, deren personenbezogene Daten verarbeitet werden, einschließlich, aber nicht beschränkt auf, Mitarbeiter, Kunden, Geschäftspartner, Aktionäre, Beamte, potenzielle Kunden, Bewerber, Praktikanten, Besucher, Lieferanten des Unternehmens und seiner Tochtergesellschaften, Mitarbeiter der Institutionen, mit denen das Unternehmen zusammenarbeitet, und Dritte.
Einwilligung: Freiwillig gegebene, spezifische und informierte Zustimmung.
Personenbezogene Daten: Alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.
Besondere Kategorien personenbezogener Daten: Daten, die sich auf Rasse, ethnische Herkunft, politische Meinungen, philosophische Überzeugungen, Religion, Sekte oder andere Überzeugungen, Aussehen und Kleidung, Mitgliedschaft in Vereinen, Stiftungen oder Gewerkschaften, Gesundheit, Sexualleben, strafrechtliche Verurteilungen und Sicherheitsmaßnahmen sowie Biometrie und Genetik beziehen.
Verarbeitung personenbezogener Daten: Jede Operation, die ganz oder teilweise automatisiert oder nicht automatisiert an personenbezogenen Daten durchgeführt wird, die Teil eines Datenablagesystems sind, wie z.B. Sammlung, Aufzeichnung, Speicherung, Schutz, Änderung, Anpassung, Offenlegung, Übertragung, Abruf, Bereitstellung zur Sammlung, Kategorisierung, Verhinderung der Nutzung.
Anonymisierung personenbezogener Daten: Die Unmöglichkeit, personenbezogene Daten mit einer identifizierten oder identifizierbaren natürlichen Person zu verknüpfen, selbst durch Abgleich mit anderen Daten.
Löschung personenbezogener Daten: Die Unzugänglichkeit und Unbrauchbarkeit personenbezogener Daten für die relevanten Nutzer.
Zerstörung personenbezogener Daten: Die Unzugänglichkeit, Unwiederbringlichkeit und Unbrauchbarkeit personenbezogener Daten für jedermann.
Board of PDP /Board: Der Rat für den Schutz personenbezogener Daten.
PDP Authority /Authority: Die Behörde für den Schutz personenbezogener Daten.
4. Verarbeitung personenbezogener Daten
4.a. Grundsätze für die Verarbeitung personenbezogener Daten
Die Richtlinien und Verfahren des Unternehmens werden parallel zu den in der KVKK und der relevanten Gesetzgebung festgelegten Verarbeitungsgrundsätzen umgesetzt. Wir wissen, dass diese Grundsätze für die Ausübung der Rechte der betroffenen Personen und deren Kontrolle über die Daten von entscheidender Bedeutung sind, und wir sind sehr sensibel, diese Grundsätze in all unseren Verarbeitungsaktivitäten zu betonen. Unsere Grundsätze zum Schutz personenbezogener Daten sind wie folgt:
Personenbezogene Daten werden rechtmäßig, fair und transparent verarbeitet.
Bei den Datenverarbeitungsaktivitäten stützt sich das Unternehmen auf die in der KVKK festgelegten rechtlichen Grundlagen für die Verarbeitung von Daten. Darüber hinaus berücksichtigt es die angemessenen Erwartungen der betroffenen Personen gemäß dem Prinzip der Ehrlichkeit. Das Unternehmen verwendet eine klare und verständliche Sprache in der Kommunikation mit den betroffenen Personen und ist immer in einer leicht zugänglichen Position.
Personenbezogene Daten werden nur für festgelegte, eindeutige und legitime Zwecke verarbeitet. Das Unternehmen bestimmt den Zweck der Verarbeitung vor den Datenverarbeitungsaktivitäten. Die Daten werden nur für zusätzliche Zwecke verarbeitet, die mit dem ursprünglichen Zweck der Verarbeitung vereinbar sind.
Personenbezogene Daten sind angemessen, relevant und auf das notwendige Maß beschränkt, das für die Zwecke, für die sie verarbeitet werden, erforderlich ist. Unser Unternehmen verarbeitet Daten nur in dem Umfang, der für den Zweck der Datenverarbeitung erforderlich ist. Daten werden mit der Methode erfasst, die am besten geeignet ist, um die Privatsphäre und Sicherheit der Daten zu gewährleisten. In unseren Verarbeitungsaktivitäten wird eine unverhältnismäßige Beeinträchtigung der Rechte, Interessen und Freiheiten der betroffenen Personen vermieden.
Personenbezogene Daten sind genau und aktuell, wo erforderlich. Das Unternehmen stellt sicher, dass die Daten in allen Verarbeitungsaktivitäten aktuell sind. Unvollständige, falsche oder ungenaue Daten werden so schnell wie möglich gelöscht oder korrigiert. Das Unternehmen überprüft die Aktualität der Daten in regelmäßigen Abständen.
Personenbezogene Daten werden während der in der relevanten Vorschrift festgelegten Zeit und für die Zwecke, für die die personenbezogenen Daten verarbeitet werden, aufbewahrt. Mit dem Wegfall der Zwecke für die Datenverarbeitung werden die Daten so schnell wie möglich gelöscht, zerstört oder anonymisiert. Personenbezogene Daten werden in einer Weise verarbeitet, die die angemessene Sicherheit der personenbezogenen Daten gewährleistet.
Unser Unternehmen implementiert die Datensicherheit als Hauptprinzip. Es ergreift die notwendigen administrativen und technischen Maßnahmen, indem es die besten Praktiken in dieser Richtung verfolgt. Das Unternehmen zeigt, dass es die Einhaltung der anderen Prinzipien der KVKK und/oder DSGVO gewährleistet. Unser Unternehmen hält sich in allen Verarbeitungsaktivitäten an das Prinzip der Verantwortlichkeit.
4.b. Zwecke der Verarbeitung personenbezogener Daten
Die Zwecke der Verarbeitung personenbezogener Daten, die von unserem Unternehmen verarbeitet werden, sind wie folgt:
- Durchführung der Bewerbungsprozesse von Bewerbern,
- Durchführung der Auswahl- und Platzierungsprozesse von Bewerbern/ Praktikanten/ Studenten,
- Erfüllung der Verpflichtungen der Mitarbeiter aus dem Arbeitsvertrag und der Gesetzgebung,
- Planung der Personalprozesse,
- Bereitstellung von Informationen an autorisierte Personen, Institutionen und Organisationen,
- Durchführung von Aktivitäten zur Arbeitssicherheit und Gesundheitsschutz,
- Durchführung von Schulungsaktivitäten,
- Durchführung von Leistungsbewertungsprozessen,
- Durchführung von finanziellen und buchhalterischen Angelegenheiten,
- Durchführung/Audit von Geschäftstätigkeiten,
- Durchführung von Vertragsprozessen,
- Durchführung von Verkaufsprozessen für Waren/Dienstleistungen,
- Durchführung der Lohnpolitik,
- Durchführung von After-Sales-Supportdiensten für Waren/Dienstleistungen,
- Durchführung von Aktivitäten zur Kundenzufriedenheit,
- Durchführung von Werbe-/Kampagnen-/Promotionsprozessen,
- Organisation und Veranstaltungsmanagement,
- Durchführung von strategischen Planungsaktivitäten,
- Durchführung von Marketinganalysen,
- Durchführung von Kommunikationsaktivitäten,
- Durchführung von Produktions- und Betriebsprozessen für Waren/Dienstleistungen,
- Durchführung von Marketingprozessen für Produkte/Dienstleistungen,
- Gewährleistung der Sicherheit der Operationen des Datenverantwortlichen,
- Gewährleistung der physischen Sicherheit des Raumes.
4.c. Rechtliche Grundlagen für die Verarbeitung personenbezogener Daten:
Das Unternehmen stützt sich bei der Verarbeitung personenbezogener Daten auf eine der in Artikel 5 der KVKK festgelegten rechtlichen Bedingungen. Die Bedingungen für die Verarbeitung personenbezogener Daten, mit anderen Worten, die Fälle der Gesetzeskonformität, sind im Gesetz begrenzt und diese Bedingungen können nicht erweitert werden. Das Unternehmen stützt sich bei der Verarbeitung personenbezogener Daten auf die folgenden rechtlichen Grundlagen:
- Vorliegen einer ausdrücklichen Einwilligung der betroffenen Person,
- Die Verarbeitung personenbezogener Daten der Vertragsparteien ist erforderlich, sofern sie direkt mit der Erstellung oder Erfüllung des Vertrags verbunden ist.
- Es ist erforderlich, um einer rechtlichen Verpflichtung nachzukommen, der der Datenverantwortliche unterliegt.
- Personenbezogene Daten wurden von der betroffenen Person selbst veröffentlicht.
- Die Datenverarbeitung ist erforderlich für die Begründung, Ausübung oder den Schutz eines Rechts.
- Die Verarbeitung von Daten ist erforderlich für die legitimen Interessen des Datenverantwortlichen, sofern sie nicht die grundlegenden Rechte und Freiheiten der betroffenen Person verletzt.
Unser Unternehmen stützt sich im Falle des Vorliegens einer anderen rechtlichen Grundlage nicht auf die rechtliche Grundlage der ausdrücklichen Einwilligung.
4.d. Rechtliche Grundlagen für die Verarbeitung sensibler personenbezogener Daten
Sensible personenbezogene Daten sind Daten, die die Person im Falle einer Offenlegung Diskriminierung aussetzen, wie z.B. Religion, Rasse, Überzeugung, Gesundheit und Sexualleben der Person. Sensible personenbezogene Daten dürfen nicht verarbeitet werden, es sei denn, es liegen die in Artikel 6 der KVKK festgelegten begrenzten rechtlichen Grundlagen vor.
In diesem Zusammenhang verarbeitet das Unternehmen sensible personenbezogene Daten, mit Ausnahme der Daten, die die Gesundheit betreffen, auf der rechtlichen Grundlage der;
Ausdrücklichen Einwilligung
Daten, die die Gesundheit betreffen, werden von Personen verarbeitet, die der Geheimhaltungspflicht unterliegen;
Zu den Zwecken des Schutzes der öffentlichen Gesundheit, der Durchführung von Präventivmedizin, medizinischer Diagnose, Behandlung und Pflege, Planung und Verwaltung von Gesundheitsdiensten sowie deren Finanzierung.
5. Offenlegungspflicht
Das Unternehmen ist verpflichtet, die betroffenen Personen gemäß der KVKK und dem Kommuniqué über die Verfahren und Grundsätze, die bei der Erfüllung der Offenlegungspflicht zu beachten sind, aufzuklären. Wenn die personenbezogenen Daten von der betroffenen Person erlangt werden, informiert das Unternehmen die betroffenen Personen persönlich oder durch die vom Unternehmen autorisierten Personen zum Zeitpunkt der Datenerhebung. Wenn die personenbezogenen Daten nicht von der betroffenen Person erlangt werden, wird die Offenlegungspflicht innerhalb einer angemessenen Frist erfüllt, zum Zeitpunkt der ersten Kommunikation, wenn die Daten zur Kommunikation mit der betroffenen Person verwendet werden, und spätestens bei der ersten Übertragung, wenn die Daten übertragen werden.
Das Unternehmen informiert die betroffenen Personen mindestens über die rechtliche Einheit und die Adressdaten des Unternehmens, zu welchem Zweck die personenbezogenen Daten verarbeitet werden, an wen und warum die verarbeiteten Daten übertragen werden können, die Methode der Erhebung personenbezogener Daten und die rechtliche Grundlage für die in Artikel 11 der KVKK festgelegten Rechte.
Wenn sich der Zweck der Verarbeitung personenbezogener Daten ändert, wird die Informationspflicht zu diesem Zweck vor der Datenverarbeitung erfüllt.
Daten SicherheitUnser Unternehmen ist als Datenverantwortlicher verpflichtet, personenbezogene Daten vor unrechtmäßiger Verarbeitung und Zugriff zu schützen. Aus diesem Grund hat das Unternehmen alle technischen und administrativen Maßnahmen in Bezug auf die Datensicherheit umgesetzt, einschließlich zusätzlicher Maßnahmen, die zum Schutz sensibler personenbezogener Daten erforderlich sind. Die von unserem Unternehmen in diesem Rahmen umgesetzten Maßnahmen sind nachfolgend aufgeführt.
Technische Maßnahmen des Unternehmens- Netzwerksicherheit und Anwendungssicherheit sind gewährleistet.
- Sicherheitsmaßnahmen im Rahmen der Beschaffung, Entwicklung und Wartung von Informationstechnologiesystemen werden ergriffen.
- Die Sicherheit personenbezogener Daten, die in der Cloud gespeichert sind, ist gewährleistet.
- Disziplinarvorschriften, die Bestimmungen zur Datensicherheit für Mitarbeiter enthalten, sind vorhanden.
- Schulungs- und Sensibilisierungsaktivitäten zur Datensicherheit werden regelmäßig für Mitarbeiter durchgeführt.
- Zugriffsprotokolle werden regelmäßig geführt.
- Unternehmensrichtlinien zu Zugang, Informationssicherheit, Nutzung, Speicherung und Vernichtung wurden erstellt und umgesetzt.
- Mitarbeiter, die einen Jobwechsel haben oder das Unternehmen verlassen, werden in diesem Bereich von ihrer Befugnis entzogen.
- Aktuelle Antivirensysteme werden verwendet.
- Firewalls werden eingesetzt.
- Zusätzliche Sicherheitsmaßnahmen werden für auf Papier übertragene personenbezogene Daten ergriffen, und die entsprechenden Dokumente werden in einem vertraulichen Format gesendet.
- Notwendige Sicherheitsmaßnahmen werden für den Zugang zu und den Austritt aus physischen Umgebungen, die personenbezogene Daten enthalten, ergriffen.
- Physische Umgebungen, die personenbezogene Daten enthalten, sind gegen externe Risiken (Brand, Überschwemmung usw.) gesichert.
- Die Sicherheit von Umgebungen, die personenbezogene Daten enthalten, ist gewährleistet.
- Personenbezogene Daten werden so weit wie möglich reduziert.
- Personenbezogene Daten werden gesichert und die Sicherheit der gesicherten personenbezogenen Daten ist ebenfalls gewährleistet.
- Ein Benutzerkontenmanagement- und Autorisierungskontrollsystem wird angewendet und deren Nachverfolgung erfolgt ebenfalls.
- Protokollaufzeichnungen werden ohne Benutzereingriff geführt.
- Aktuelle Risiken und Bedrohungen wurden ermittelt.
- Protokolle und Verfahren zur Sicherheit besonderer Kategorien personenbezogener Daten wurden festgelegt und umgesetzt.
- Verschlüsselung wird durchgeführt.
- Bewusstseinsaktivitäten werden für das obere Management und die Abteilungsleiter durchgeführt.
- Materialien zum Schutz personenbezogener Daten werden während der Neueinstellungen geteilt.
- Verträge werden zwischen dem Datenverantwortlichen und dem Datenverarbeiter geschlossen.
- Mitarbeiter erhalten Schulungen zum Schutz und zur Sicherheit personenbezogener Daten.
- Vertrauliche Informationen werden identifiziert und vertrauliche Informationen werden vom Unternehmen bestimmt.
- Ein Dateinamen-System wird eingerichtet.
- Ein Dokumentenkontrollsystem wird eingerichtet.
- Vereinbarungen zur Übertragung personenbezogener Daten und zur Vertraulichkeit werden getroffen.
- Unternehmensrichtlinien und -verfahren werden festgelegt.
- Eine Risikoanalyse wird durchgeführt.
- Unterzeichnete Verträge enthalten Bestimmungen zur Datensicherheit.
- Ein Verzeichnis personenbezogener Daten wird erstellt und das Verzeichnis wird aktuell gehalten.
- Die Sicherheit von Informationsquellen ist gewährleistet.
- Ein Passwortrichtlinien- und -verfahren wird eingerichtet.
- Vereinbarungen zur Übertragung personenbezogener Daten und zur Vertraulichkeit werden getroffen.
- Die Kontinuität der Elemente Datenschutz-Zugänglichkeit und Integrität wird gewährleistet.
- Probleme mit der Sicherheit personenbezogener Daten werden schnell gemeldet.
- Es gibt Disziplinarvorschriften, die Bestimmungen zur Datensicherheit für Mitarbeiter enthalten.
- Die unterzeichneten Verträge enthalten Bestimmungen zur Datensicherheit.
- Protokolle und Verfahren zur Sicherheit besonderer Kategorien personenbezogener Daten wurden festgelegt und umgesetzt.
6.Übertragung personenbezogener Daten
6.a. Übertragung innerhalb des Landes
Unser Unternehmen überträgt personenbezogene Daten an Dritte, die sich auf die in den Artikeln 5 und 6 der KVKK festgelegten Bedingungen für die Datenverarbeitung stützen. Das Unternehmen ergreift alle notwendigen Sicherheitsmaßnahmen für die Datenübertragungsaktivitäten. Die Empfängergruppen, an die unser Unternehmen in diesem Zusammenhang Daten überträgt, sind wie folgt:
Lieferanten, zu den Zwecken der Planung von Personalprozessen, Durchführung von Geschäftstätigkeiten,
Kompetente Institutionen und Organisationen, zu den Zwecken der Erfüllung der Verpflichtungen aus dem Arbeitsvertrag und der Gesetzgebung für Mitarbeiter, Information kompetenter Personen, Institutionen und Organisationen,
Öffentlichkeit, zu den Zwecken der Durchführung von Werbe-/Kampagnen-/Promotionsprozessen, Durchführung von Verkaufsprozessen für Waren/Dienstleistungen, Organisation und Veranstaltungsmanagement,
6. b. Übertragung ins Ausland
Das Unternehmen überträgt Daten ins Ausland, indem es eine der folgenden Bedingungen gemäß Artikel 9 der KVKK erfüllt.
Vorliegen einer ausdrücklichen Einwilligung der betroffenen Person,
Das Land, in das personenbezogene Daten übertragen werden, hat den Status eines “sicheren Landes” und es wird ein angemessener Schutz gewährleistet,
Vorliegen einer schriftlichen Verpflichtung zum angemessenen Schutz und Genehmigung des Boards durch Regelung der Rechte und Pflichten des Unternehmens und des Empfängers bezüglich der Datenübertragung.
Die Empfängergruppen, an die unser Unternehmen in diesem Zusammenhang Daten überträgt, sind wie folgt:
Gruppe Unternehmen, zu den Zwecken der Planung von Personalprozessen, Durchführung von Leistungsbewertungsprozessen, Durchführung von finanziellen und buchhalterischen Angelegenheiten, Durchführung/Audit von Geschäftstätigkeiten, Durchführung von Vertragsprozessen, Durchführung von Verkaufsprozessen für Waren/Dienstleistungen, Durchführung der Lohnpolitik, Durchführung von Aktivitäten zur Kundenzufriedenheit, Durchführung von Werbe-/Kampagnen-/Promotionsprozessen, Organisation und Veranstaltungsmanagement, Durchführung von strategischen Planungsaktivitäten, Durchführung von Marketinganalysen, Durchführung von Marketingprozessen für Produkte/Dienstleistungen.
Lieferanten, zu den Zwecken der Planung von Personalprozessen, Durchführung von finanziellen und buchhalterischen Angelegenheiten, Durchführung von Verkaufsprozessen für Waren/Dienstleistungen, Durchführung von Produktions- und Betriebsprozessen für Waren/Dienstleistungen.
Öffentlichkeit, zu den Zwecken der Durchführung von Werbe-/Kampagnen-/Promotionsprozessen, Durchführung von Verkaufsprozessen für Waren/Dienstleistungen, Organisation und Veranstaltungsmanagement.
7. Verzeichnis personenbezogener Daten
Das Unternehmen hat ein Datenverzeichnis mit den im Gesetz festgelegten Einzelheiten bezüglich der im Rahmen der KVKK verarbeiteten personenbezogenen Daten eingerichtet. Das Datenverzeichnis des Unternehmens umfasst die folgenden Einzelheiten:
- Geschäftsprozesse, die personenbezogene Daten verwenden,
- Kategorie personenbezogener Daten,
- Verarbeitete personenbezogene Daten,
- Verarbeitete besondere Kategorien personenbezogener Daten,
- Der Zweck und die rechtliche Grundlage für die Verarbeitungsaktivität,
- Inländische Empfänger personenbezogener Daten,
- Ob personenbezogene Daten ins Ausland übertragen werden,
- Aufbewahrungsfristen für personenbezogene Daten
8. Rollen und Verantwortlichkeiten
Die Rollen und Verantwortlichkeiten unseres Unternehmens bezüglich der Verarbeitung personenbezogener Daten sind wie folgt:
Marketing- und Vertriebsabteilung
Die betreffende Abteilung ist verantwortlich für die Information dieser Richtlinie an die betroffene Person, deren Daten verarbeitet wurden, wie z.B. Kunden, Subunternehmer und Lieferanten.
Personalabteilung
Die betreffende Abteilung ist verantwortlich für die Information dieser Richtlinie an die Parteien, die im Auftrag des Unternehmens Daten verarbeiten, wie z.B. Mitarbeiter, Aktionäre, und für die Umsetzung der Richtlinie durch die genannten Datenverarbeiter durch regelmäßige Kontrollen.
Rechtsabteilung
Die betreffende Abteilung ist verantwortlich für die Aktualisierung dieser Richtlinie. Die Abteilung nimmt die notwendigen Verbesserungen unter Berücksichtigung der Bedürfnisse der Informationsverarbeitungssysteme des Unternehmens vor und führt den Prozess der Aktualisierung der Richtlinie bei Bedarf durch.
Die betreffende Abteilung ist die zuständige Genehmigungsbehörde für die Genehmigung der Aktualisierungen bezüglich dieser Richtlinie.
Die betreffende Abteilung ist verantwortlich für die Festlegung und Umsetzung von Sanktionen bei Verstößen gegen die Umsetzung der Richtlinie.
9. Löschung, Zerstörung und Anonymisierung personenbezogener Daten
Gemäß Artikel 7 der KVKK und den Bestimmungen anderer relevanter Gesetzgebung werden personenbezogene Daten gelöscht, zerstört oder anonymisiert, wenn die Gründe für die Verarbeitung personenbezogener Daten nicht mehr bestehen, auf Beschluss des Unternehmens, regelmäßigen Kontrollen und/oder auf Antrag der betroffenen Person.
- Das Unternehmen wird personenbezogene Daten nicht länger speichern, als es im Zusammenhang mit dem Grund für die Erhebung personenbezogener Daten erforderlich ist. Das Unternehmen löscht, zerstört oder anonymisiert die personenbezogenen Daten während des ersten regelmäßigen Zerstörungsprozesses nach dem Datum, an dem die Verpflichtung zur Löschung, Zerstörung oder Anonymisierung der personenbezogenen Daten aufgrund des Wegfalls der Gründe für die Verarbeitung entsteht. Jeder regelmäßige Zerstörungsprozess wird alle 6 (sechs) Monate durchgeführt, und das Unternehmen hat diese Monate auf Mai und November festgelegt.
- Das Unternehmen hat eine Aufbewahrungs- und Zerstörungspolitik erstellt, um die Verfahren und Grundsätze in diesem Zusammenhang zu bestimmen. Die Aufbewahrungsfrist für jede Kategorie personenbezogener Daten, die Kriterien, die für die Aufbewahrungs- und Zerstörungsfristen verwendet werden, einschließlich der gesetzlichen Verpflichtungen, die das Unternehmen in Bezug auf die Aufbewahrung von Daten hat, sind in dieser Aufbewahrungs- und Zerstörungspolitik festgelegt.
- Bei der Löschung, Zerstörung oder Anonymisierung personenbezogener Daten hält sich das Unternehmen an die in Klausel 4/a dieser Richtlinie festgelegten Grundsätze, die technischen und administrativen Maßnahmen, die in Artikel 6 festgelegt sind, die Aufbewahrungs- und Zerstörungspolitik, die relevanten gesetzlichen Bestimmungen und die Entscheidungen des Boards.
- Personenbezogene Daten werden sicher und auf die geeignetste Weise gemäß den Bestimmungen der KVKK, der relevanten Gesetzgebung und der Aufbewahrungs- und Zerstörungspolitik des Unternehmens zerstört. Auf Antrag der betroffenen Person wählt das Unternehmen die geeignete Methode mit einer Begründung für die Wahl. Die Zerstörung personenbezogener Daten wird mit einem Zerstörungsformular dokumentiert, und dieses Formular wird mindestens 3 (drei) Jahre aufbewahrt.
10. Rechte der betroffenen Person und Ausübung der Rechte
a. Rechte der betroffenen Person
Die betroffenen Personen haben die folgenden Rechte bezüglich ihrer personenbezogenen Daten, die gemäß Artikel 11 der KVKK verarbeitet werden:
- Zu erfahren, ob die personenbezogenen Daten verarbeitet werden oder nicht,
- Wenn personenbezogene Daten verarbeitet wurden, Informationen über die Struktur dieser Informationen zu verlangen und zu erfahren, an wen sie offengelegt wurden,
- Den Zweck der Verarbeitung personenbezogener Daten zu erfahren und ob diese Daten angemessen für die beabsichtigten Zwecke verwendet werden,
- Die Dritten zu kennen, an die personenbezogene Daten innerhalb des Landes oder ins Ausland übertragen wurden, und zu verlangen, dass die in dieser Richtung durchgeführten Maßnahmen den Dritten mitgeteilt werden,
- Die Berichtigung personenbezogener Daten zu verlangen, wenn sie unvollständig oder ungenau verarbeitet wurden, und die Mitteilung an Dritte in diesem Zusammenhang zu verlangen,
- Die Löschung oder Zerstörung personenbezogener Daten zu verlangen, wenn die Gründe, die ihre Verarbeitung erforderten, nicht mehr bestehen, obwohl sie gemäß den Bestimmungen des relevanten Gesetzes verarbeitet wurden,
- Widerspruch gegen jedes Ergebnis einzulegen, das gegen die Person selbst auftritt,
- Schadenersatz zu verlangen, wenn er/sie aufgrund der unrechtmäßigen Verarbeitung personenbezogener Daten einen Schaden erlitten hat.
b. Ausübung der Rechte
Anträge und Anfragen bezüglich personenbezogener Daten können an SST Teknoloji A.Ş. über das Antragsformular der betroffenen Person übermittelt werden:
- Durch das Senden des unterzeichneten Antrags an Kucukbakkalkoy Mah. Kayisdagi Cad. No:1/105 Allianz Tower K:28 Atasehir/Istanbul mit einer Fotokopie Ihres Ausweises,
- Durch das Senden des Antrags an [email protected] unter Verwendung Ihrer in unserem System registrierten E-Mail-Adresse,
- Durch das Senden des Antrags, der mit Ihrer elektronischen Unterschrift unterzeichnet ist, per registrierter E-Mail (KEP) an [email protected],
- Durch persönliche Antragstellung bei SST Academy mit einem gültigen Ausweisdokument und unterzeichnetem Antrag.
Die betroffene Person muss im Rahmen der gesetzlichen Verpflichtungen bezüglich der Verfahren und Grundsätze der Antragstellung an den Datenverantwortlichen in ihrem Antrag ihren Namen, Nachnamen, Unterschrift, wenn der Antrag schriftlich erfolgt, die Identifikationsnummer der Republik Türkei, wenn die betroffene Person ein türkischer Staatsbürger ist, die Staatsangehörigkeit, die Passnummer (Personalausweis, falls vorhanden), wenn die betroffene Person ein Ausländer ist, die Wohn- oder Geschäftsadresse, die E-Mail-Adresse und die Faxnummer, falls vorhanden, angeben, um auf Benachrichtigungen basieren zu können, und schließlich das Thema der Anfrage. Darüber hinaus müssen die Dokumente, die die Identität bestätigen, sowie Informationen und Dokumente zum Thema der Anfrage dem Antrag beigefügt werden.
Um den Prozess auf die effektivste Weise zu gestalten, wird darum gebeten, das Recht auszuüben und die Einzelheiten der angeforderten Operation klar und verständlich im Betreff der Anfrage anzugeben.
Das Thema der Anfrage muss die betroffene Person selbst betreffen. Wenn der Antrag im Namen einer anderen Person gestellt wird, muss die antragstellende Person auf eine speziell dokumentierte Ermächtigung für den angeforderten Prozess (Vollmacht) zurückgreifen. Anträge, die ohne Ermächtigung gestellt werden, werden nicht berücksichtigt.
c. Prüfung des Antrags
Anträge werden geprüft und eine Antwort wird so schnell wie möglich und spätestens innerhalb von 30 Tagen nach Eingang des Antrags gegeben.
Während des Prüfungsprozesses können zusätzliche Informationen und Dokumente angefordert werden, wenn erforderlich, und es kann eine Gebühr für die Erfüllung der Anfrage erhoben werden, wenn dies mit der relevanten Gesetzgebung übereinstimmt.
Das Unternehmen ergreift alle notwendigen administrativen und technischen Maßnahmen, um die Anträge der betroffenen Person effektiv und gesetzeskonform zu bearbeiten.
d. Ablehnung des Antrags
Ein Antrag wird in den Fällen abgelehnt, dass:
- Der Antrag nicht gemäß dem oben genannten Verfahren gestellt wurde,
- Der Antrag eine Anfrage enthält, die gegen die geltende Gesetzgebung verstößt,
- Der Antrag nicht begründet ist oder einen Missbrauch des Rechts darstellt,
- Die personenbezogenen Daten, die Gegenstand des Antrags sind, für Zwecke wie Forschung, Planung und Statistik anonymisiert verarbeitet werden.
- Die personenbezogenen Daten, die von der betroffenen Person veröffentlicht wurden, verarbeitet werden.
- Eine der anderen Umstände im Rahmen des Artikels 28 des Gesetzes über den Schutz personenbezogener Daten vorliegt.
Wenn der Antrag abgelehnt wird, informiert das Unternehmen die betroffene Person über die Ablehnung und erklärt die Gründe dafür.
e. Recht auf Beschwerde
In den an das Unternehmen gerichteten Anträgen hat die betroffene Person das Recht, beim Board Beschwerde einzulegen, wenn ihr Antrag abgelehnt wird, oder die Antwort des Unternehmens als unzureichend erachtet wird, oder wenn das Unternehmen innerhalb von 30 Tagen nicht antwortet.
Die betroffene Person kann ihr Recht auf Beschwerde innerhalb von 30 Tagen ab dem Datum, an dem sie von der Antwort des Unternehmens erfährt, und innerhalb von 60 Tagen ab dem Datum des Antrags in jedem Fall ausüben.
11. Inkrafttreten
Diese Richtlinie tritt am 14.04.2023 in Kraft.
12. Aktualisierung der Richtlinie
Diese Richtlinie wird bei Bedarf gemäß dem Gesetz über den Schutz personenbezogener Daten und anderer Gesetzgebung aktualisiert.
ANHANG-1 TABELLE ZU AUFBEWAHRUNGS- UND ZERSTÖRUNGSVORSCHRIFTEN FÜR PERSONENBEZOGENE DATEN
RELEVANTE ABTEILUNG |
HAUPTPROZESS |
AUFBEWAHRUNGSDAUER |
VERNICHTUNGSFRIST |
Personalabteilung |
Einstellungsprozess |
2 Jahre nach dem Vorstellungsgespräch |
Innerhalb von 30 Tagen nach dem Antrag der betroffenen Person auf Vernichtung ODER 180 Tage nach Ablauf der Aufbewahrungsdauer |
Personalabteilung |
Onboarding – Offboarding-Prozesse |
10 Jahre nach Beendigung des Arbeitsvertrags der Mitarbeiter |
|
Personalabteilung |
Gehaltsabrechnungen |
10 Jahre nach Beendigung des Arbeitsvertrags der Mitarbeiter |
|
Personalabteilung |
Gesundheits- und Sicherheitsangelegenheiten |
15 Jahre nach Beendigung des Arbeitsvertrags der Mitarbeiter |
|
Buchhaltung |
Zahlungen leisten (außer Mitarbeiter) |
10 Jahre nach dem Transaktionsdatum |
|
Buchhaltung |
Zahlungen erhalten |
10 Jahre nach dem Transaktionsdatum |
|
Buchhaltung |
Zahlungen an Mitarbeiter leisten |
10 Jahre nach Beendigung des Arbeitsvertrags |
|
Recht |
Verträge |
10 Jahre nach Beendigung/Ablauf des Vertrags |
|
Recht |
Hauptversammlungen, Vorstandssitzungen |
10 Jahre nach dem Datum der Dokumente |
|
Recht |
Rechtsstreitigkeiten und Vollstreckungsverfahren |
10 Jahre nach dem Transaktionsdatum |
|
IT |
Überwachungskameras |
25 Tage |
|
IT |
Protokolldateien |
2 Jahre nach dem Transaktionsdatum |
|
Akademie |
Schulungsaktivitäten |
10 Jahre nach dem Schulungsdatum |
|
Verwaltung |
Karten beantragen und Nummernschilder vergeben |
Bis zur Entlassung/Ausscheidung des Mitarbeiters |
|
Marketing |
Kundendaten |
5 Jahre |
|
Beschaffung |
Angebote |
10 Jahre nach dem Anfrage-Datum |