POLITIQUE DE PROTECTION ET DE TRAITEMENT DES DONNÉES PERSONNELLES SENSIBLES
I. ÉTENDUE
Cette politique couvre tous les départements, employés et tiers impliqués dans tout processus qui traite des données personnelles au sein de KRK Holding, société du groupe, sociétés affiliées et autres sociétés au sein de leurs partenariats.
Cette politique qui désignera les dispositions pour la sécurité des Données Personnelles Sensibles de la Société et couvrira toutes les activités qui assurent la gestion dans ce domaine, sera appliquée à chaque étape pour le maintenir.
Cette politique ne sera appliquée qu’aux données personnelles sensibles.
II. DÉFINITIONS
Loi: Loi sur la Protection des données personnelles N ° 6698
Règlement: Règlement sur l'effacement, la destruction ou l'anonymisation des données personnelles
Commission: Commission de protection des données personnelles
Donnée personnelle: Toutes sortes d'informations concernant une personne physique identifiée ou identifiable
Politique: Présent Politique de protection et de traitement des données personnelles sensibles
Inventaire du traitement des données personnelles: Inventaire crée par le responsable du traitement en associant les activités de traitement des données personnelles en fonction des processus commerciaux, les finalités du traitement des données personnelles sensibles et la base juridique avec la catégorie de données, les groupes destinataires et de personnes concernées et en détaillant la durée maximale de conservation nécessaire au traitement des données personnelles sensibles envisagées pour être transférées à l'étranger et les mesures prises en matière de sécurité des données.
Données personnelles sensibles: Dans le cadre de la loi, les données personnelles sensibles sont les données concernant la race, l'origine ethnique, l'opinion politique, les convictions philosophiques, la religion, la secte ou d'autres croyances, l'apparence, l'appartenance à des associations, fondations ou syndicats, la santé, la vie sexuelle, la condamnation pénale et les mesures de sécurité et les données biométriques-génétiques
Société: KRK Holding, société du groupe, filiales et autres sociétés au sein de ses partenariats
Personne concernée: Personne physique dont les données personnelles sont traitées
VERBİS (Système d’information du registre des contrôleurs des données) Registre des contrôleurs de données tenu par la présidence
III. OBJECTIF
Cette Politique a été créée afin de déterminer les procédures et les principes de protection et de traitement des données personnelles sensibles collectées par la en tant que responsable du traitement conformément à la Loi.
La Société, en tant que responsable du traitement ayant l'obligation de s'inscrire auprès de VERBIS, ; elle est tenue de conserver Données Personnelles Sensibles qu'elle a obtenu, conformément à l'inventaire de traitement des données personnelles, de définir les règles de sécurité de ces données, d'agir conformément à la présente politique en couvrant toutes les activités qu'elle gérera et en préparant une politique qu'elle mettra en œuvre pour le maintenir.
Les conditions et les principes de la loi et de la législation connexe seront valables pour le stockage et la destruction des données personnelles.
IV. DONNÉES PERSONNELLES SENSIBLES
1) PRINCIPES GENERAUX RELATIFS AU TRAITEMENT DES DONNÉES PERSONNELLES SENSIBLES
La Société prend toutes les mesures techniques et administratives nécessaires concernant le stockage sécurisé des données personnelles et pour éviter leur traitement et leur accès illégal.
La Société s'engage à ne pas traiter les Données Personnelles contrairement à la manière spécifiée dans la Loi.
À part des exceptions spécifiées dans la loi, il est interdit à la société de stocker les données personnelles sensibles sans le consentement explicite des personnes, sauf exceptions aux conditions de traitement des données personnelles sensibles spécifiées au troisième paragraphe de l'Article 6 de la loi. Dans les cas où la société stocke des données personnelles sensibles, elle traite les données conformément à la législation en vigueur, après obtention d'un consentement explicite.
2) DONNÉES PERSONNELLES SENSIBLES TRAITÉES PAR LA SOCIÉTÉ
Données personnelles sensibles, hormis la santé et la vie sexuelle, la race des personnes, l'origine ethnique, l'opinion politique, les croyances philosophiques, la religion, la secte ou d'autres croyances, l'apparence, l'appartenance à des associations, fondations ou syndicats, condamnation pénale et mesures de sécurité et données biométriques et génétiques les données peuvent être traitées sans demander le consentement explicite de la personne concernée, dans les cas prévus par la loi.
Les données personnelles sensibles concernant la santé et la vie sexuelle ne peuvent être traitées, sans demander le consentement explicite de la personne concernée, que par les personnes soumises à l'obligation de confidentialité ou par des institutions et organisations publiques compétentes, aux fins de la protection de la santé publique, du fonctionnement de la médecine préventive, services de diagnostic, de traitement et de soins infirmiers, planification et gestion des services de santé ainsi que leur financement.
Les données personnelles sensibles sont traitées au sein de la Société avec le consentement exprès des personnes concernées, et ces données ne sont traitées que dans le cadre des contrôles spécifiés dans la section `` Principes généraux concernant le traitement des données personnelles sensibles '' de la présente politique. Il se diversifie et diffère selon le type et la nature de la relation entre la Société et la Personne liée, les canaux de communication utilisés et les informations finales mentionnées.
3) FINALITÉS DU TRAITEMENT DES DONNÉES PERSONNELLES SENSIBLES
Les données personnelles peuvent être traitées dans le cadre des finalités spécifiées dans l'inventaire de traitement des données personnelles et peuvent être conservées aussi longtemps que ces finalités et les délais légaux pertinents le stipulent.
4) TRANSFERT DE DONNÉES PERSONNELLES SENSIBLES
Dans le cadre des finalités dans la section `` Finalités du traitement des données personnelles sensibles '' de la présente politique et conformément aux articles 8 et 9 de la loi, la société transfère des données en Turquie et à l'étranger et les données personnelles peuvent être traitées et stockées dans les serveurs et presse électronique utilisés dans ce contexte. Les destinataires auxquels les données personnelles sont communiquées et les finalités du transfert de données sont détaillés dans l'inventaire de traitement des données personnelles préparé par la Société. La nature de ces transferts et les destinataires auxquels les données personnelles sont communiquées, varient en fonction du type et de la nature de la relation entre la personne concernée et la Société, du but du transfert et de la base juridique pertinente, et les mesures prises dans ce cadre, les codes de pratique et les actions à effectuer dans ce cadre sont valables.
Si la société transfère des données personnelles sensibles; elle doit prendre les mesures nécessaires conformément aux termes et conditions précisés dans la loi et la législation applicable.
5) DISPARITION DES CONDITIONS DU TRAITEMENT
La Société est responsable de l'actualité des conditions de traitement des Données Personnelles Sensibles et partage cette responsabilité avec tous ses employés.
Les employés ne peuvent pas poursuivre le traitement des données dans les cas où les conditions de traitement des données n'existent plus. Les données personnelles seront détruites conformément aux dispositions de la présente Politique par la Société d'office ou à la demande de la personne concernée, dans le cas où les raisons du traitement n'existeraient plus.
La Société accepte que les conditions de traitement des Données Personnelles Sensibles n'existent plus dans les cas pertinents énumérés ci-dessous à titre d'exemple et spécifiés dans le Règlement:
- En cas de disparition des motifs du traitement
- Dans le cas où le traitement des données personnelles est contraire à la loi et au principe d'honnêteté,
Si le traitement des Données Personnelles n'a lieu que sous la condition d'un consentement explicite, en cas de retrait du consentement explicite
6) CONSERVATION DES DONNÉES PERSONNELLES SENSIBLES
La société prend les mesures suivantes en tant que responsable du traitement:
i) Mesures administratives:
- Pour les employés, des activités de formation et de sensibilisation sont menées périodiquement pour améliorer la qualité et les connaissances / compétences techniques des employés, prévenir le traitement illégal des données personnelles, empêcher l'accès illégal aux données personnelles, assurer la préservation des données personnelles, les techniques de communication et la législation pertinente.
- Règles disciplinaires incluant des dispositions de sécurité des données pour les employés.
- L'inventaire du traitement des données personnelles a été préparé.
- Des politiques d'entreprise sur le stockage et la destruction ont été préparées.
- Avant de commencer le traitement des données personnelles, les obligations d'information des personnes concernées et d'obtention de leur consentement explicite sont remplies
- Les données personnelles sont réduites autant que possible.
- Les audits périodiques et aléatoires sont effectués.
- L'enregistrement VERBIS est effectué
- En plus des mesures administratives prises pour les données personnelles; une politique et une procédure distinctes, systématiques, claires, gérables et durables pour la sécurité des données personnelles sensibles sont déterminées.
- Les formations régulières sont données sur la loi et les réglementations associées et la sécurité des Données Personnelles Sensibles.
- La portée et la durée de l'autorisation d'accès aux données des utilisateurs sont clairement déterminées.
- Des contrôles d'autorisation sont effectués périodiquement.
ii) Mesures techniques:
- Les politiques et procédures de sécurité des données personnelles ont été déterminées
- Les problèmes de sécurité des données personnelles sont rapportés directement.
- La sécurité des données personnelles est surveillée.
- Des processus d'effacement, de destruction ou d'anonymisation sont appliqués périodiquement conformément à la politique de stockage et de destruction des données personnelles.
- En cas de changement de position ou de départ de l'emploi, le salarié sera privé de son pouvoir dans ce domaine.
- Les mesures de sécurité nécessaires sont prises pour entrer et sortir des environnements physiques contenant des données personnelles.
- La sécurité des plateformes contenant des Données Personnelles est assurée
- Les risques de prévention des traitements illégaux sont identifiés, des mesures techniques sont prises en fonction de ces risques.
- Des procédures sont établies et mises en œuvre pour la distribution des autorisations d'accès et des rôles
- La sécurité du réseau et des applications est assurée
- La matrice d'autorisation est faite.
- Les journaux d'accès sont conservés régulièrement.
- Si nécessaire, des mesures de masquage des données sont appliquées.
- Les systèmes antivirus récents sont utilisés.
- Des pare-feu sont utilisés.
- Un système de gestion des comptes utilisateurs et de contrôle des autorisations est appliqué et ils sont également surveillés.
- Les données personnelles sont sauvegardées et la sécurité des données personnelles sauvegardées est également assurée.
- En plus des mesures techniques prises pour les données personnelles; Les données personnelles sensibles sont stockées à l'aide de méthodes cryptographiques.
- Les traitements effectués sur les données sont enregistrés en toute sécurité.
- Lorsqu'un accès à distance aux données est requis, un système de validation d'identité en deux étapes au moins est appliqué
- Lorsque des données doivent être transférées par courrier électronique, une adresse électronique d'entreprise cryptée ou un compte de courrier électronique enregistré (REP) est utilisé.
- En plus des mesures techniques prises pour les données personnelles; des mesures de sécurité adéquates (contre les fuites électriques, les incendies, les inondations, les vols, etc.) sont prises pour les plates-formes où des données personnelles sensibles sont disponibles
- Les entrées et sorties non autorisées vers les plates-formes sur lesquelles des données personnelles sensibles sont disponibles sont interdites.
- Lors du transfert de Données Personnelles Sensibles avec les documents papier, les mesures nécessaires sont prises contre les risques tels que le vol, la perte ou la vue par des personnes non autorisées et le document est envoyé sous la forme de «documents classifiés».
7) TRANSFERT DE DONNÉES PERSONNELLES SENSIBLES
La Société peut transférer des Données Personnelles Sensibles, obtenues conformément à la loi, à des tiers, en prenant toutes les précautions de sécurité en ligne avec les finalités du traitement des données. En conséquence, la Société peut transférer des Données Personnelles Sensibles à des tiers, si une des conditions de traitement spécifiées dans la section ci-dessus ou une des suivants est remplie:
- avec le consentement explicite de la personne concernée
- S'il existe une réglementation explicite dans les lois concernant le transfert de données personnelles sensibles,
- S'il est nécessaire pour la protection de la vie ou de l'intégrité corporelle de la personne concernée et
- Dans le cas où le consentement explicite de la personne liée ne peut être obtenu en raison de l'impossibilité factuelle ou si son consentement n'est pas juridiquement valable
- S'il est nécessaire de transférer des données personnelles appartenant aux parties du contrat, à condition qu'elles soient directement liées à la conclusion ou à l'exécution d'un contrat
- Dans le cas où l'activité de traitement des données personnelles est nécessaire pour que l'entreprise remplisse son obligation légale
- Si la personne concernée divulgue ses données personnelles
- Si le transfert de Données Personnelles Sensibles est obligatoire pour l'établissement, l'utilisation et la protection d'un droit,
- Si le transfert de Données Personnelles est obligatoire pour les intérêts légitimes de la Société, à condition qu'il ne préjudicie pas aux droits et libertés fondamentaux de la Personne concernée.
8) TRANSFERT INTERNATIONAL DE DONNÉES PERSONNELLES SENSIBLES
La Société, en prenant les mesures de sécurité nécessaires et les précautions adéquates stipulées par le Conseil, conformément aux finalités légitimes et licites du traitement des Données Personnelles, peut transférer au responsable du traitement à l'étranger qui dispose d'un niveau de protection adéquat ou qui s'engage à protéger les Données Personnelles Sensibles de la personne liée dans les cas mentionnés ci-dessous:
- avec le consentement explicite de la personne concernée
- Données personnelles sensibles, hormis la santé et la vie sexuelle, la race des personnes, l'origine ethnique, l'opinion politique, les croyances philosophiques, la religion, la secte ou d'autres croyances, l'apparence, l'appartenance à des associations, fondations ou syndicats, condamnation pénale et mesures de sécurité et données biométriques et génétiques les données peuvent être traitées sans demander le consentement explicite de la personne concernée, dans les cas prévus par la loi; et Les données à caractère personnel concernant la santé et la vie sexuelle ne peuvent être traitées, sans solliciter le consentement explicite de la personne concernée, que par les personnes soumises à l'obligation de garder le secret ou les institutions et organisations publiques compétentes, aux fins de la protection de la santé publique, du fonctionnement de la médecine préventive, services de diagnostic médical, de traitement et de soins infirmiers, planification et gestion des services de santé ainsi que leur financement.
V. MISE À JOUR
Dans le cas où une nouvelle législation est déterminée ou la législation pertinente est mise à jour, la Société mettra à jour sa politique conformément à la législation applicable et se conformera aux exigences de la législation.