Gesetz zum Schutz personenbezogener Daten
1. VERPFLICHTUNG ZUR VERTRAULICHKEIT DER DATEN
1.2 Das Unternehmen verpflichtet sich, in Übereinstimmung mit dieser Richtlinie und den gemäß der Richtlinie anzuwendenden Verfahren in Bezug auf personenbezogene Daten innerhalb seines eigenen Körpers zu handeln.2. ZWECK DER RICHTLINIE
Der Hauptzweck dieser Richtlinie besteht darin, die Grundsätze bezüglich der Methoden und Prozesse für die Verarbeitung und den Schutz personenbezogener Daten durch das Unternehmen festzulegen.
3. GELTUNGSBEREICH DER RICHTLINIE
3.2 Diese Richtlinie gilt nicht für Daten, die nicht als personenbezogene Daten gelten.
3.3 Diese Richtlinie kann von Zeit zu Zeit mit Zustimmung des Vorstands geändert werden, wenn dies gemäß den KVK-Vorschriften erforderlich ist oder wenn das Unternehmen oder der Ausschuss dies für erforderlich halten. Bei Widersprüchen zwischen dem KVK-Reglement und dieser Richtlinie wird das KVK-Reglement zugrunde gelegt.
Ausdrückliche Zustimmung: Sie bezieht sich auf die Zustimmung, die darauf basiert, dass man über ein bestimmtes Thema informiert und freiwillig ausgedrückt wird.
Anonymisierung: Es bedeutet, dass personenbezogene Daten in keiner Weise einer identifizierten oder identifizierbaren natürlichen Person zugeordnet werden können, auch nicht durch Abgleich mit anderen Daten.
Offenlegungspflicht: Dies bedeutet die Verpflichtung des Datenverantwortlichen oder der von dieser Person bevollmächtigten Person, den Dateneigentümer im Rahmen von Artikel 10 der KVKK während der Erfassung personenbezogener Daten zu informieren.
Personenbezogene Daten: Bezieht sich auf alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (im Rahmen dieses Verfahrens umfasst der Begriff „personenbezogene Daten“ auch die nachstehend definierten „besonderen personenbezogenen Daten“, soweit dies der Fall ist angemessen)
Verarbeitung personenbezogener Daten: Bezieht sich auf alle Arten von Vorgängen, die mit Daten durchgeführt werden, wie z auf die personenbezogenen Daten durch vollständig oder teilweise automatische oder nicht automatische Mittel, vorausgesetzt, dass es sich um einen Teil eines Datenaufzeichnungssystems handelt,
Ausschuss: Bezieht sich auf den Ausschuss für den Schutz personenbezogener Daten des Unternehmens.
Board: Bezieht sich auf das Personal Data Protection Board.
Institution: Bezieht sich auf die Datenschutzbehörde.
KVKK: Bezieht sich auf das Gesetz zum Schutz personenbezogener Daten Nr. 6698.
KVK-Vorschriften: beziehen sich auf das Gesetz Nr. 6698 zum Schutz personenbezogener Daten und andere relevante Gesetze zum Schutz personenbezogener Daten, verbindliche Entscheidungen, politische Entscheidungen, Bestimmungen, Anweisungen und anwendbare internationale Vereinbarungen zum Datenschutz und alle anderen Arten von Gesetzen, die von Regulierungs- und Aufsichtsbehörden, Gerichten und anderen offiziellen Behörden erlassen werden.
KVK-Richtlinien: Bezieht sich auf die Richtlinien des Unternehmens zum Schutz personenbezogener Daten.
KVK-Verfahren: Bezieht sich auf die Verfahren, die die Pflichten des Unternehmens, der Mitarbeiter und des Ausschusses im Rahmen der KVK-Richtlinien festlegen.
Besonders qualifizierte personenbezogene Daten beziehen sich auf Daten von Einzelpersonen in Bezug auf ihre Rasse, ethnische Herkunft, politische Meinung, philosophische Überzeugung, Religion, Sekte oder andere Überzeugungen, Kleidung, Mitgliedschaft in Verbänden, Stiftungen oder Gewerkschaften, Gesundheit, Sexualleben, strafrechtliche Verurteilungen und Sicherheitsmaßnahmen einschließlich biometrische und genetische Daten.
Löschung und Vernichtung: Bezieht sich auf die unwiderrufliche Löschung oder Vernichtung personenbezogener Daten.
Dateninventar: bezieht sich auf das Inventar, das die Informationen über die Prozesse und Methoden der Verarbeitung personenbezogener Daten im Zusammenhang mit den Aktivitäten des Unternehmens zur Verarbeitung personenbezogener Daten, Zwecke der Verarbeitung personenbezogener Daten, Datenkategorien, Dritte, an die personenbezogene Daten übermittelt werden, usw. enthält.
Datenverarbeiter: Bezieht sich auf die natürliche oder juristische Person, die personenbezogene Daten im Auftrag des Datenverantwortlichen mit Genehmigung des Datenverantwortlichen verarbeitet.
Dateneigentümer: Bezieht sich auf alle natürlichen Personen, deren personenbezogene Daten von oder im Auftrag des Unternehmens verarbeitet werden.
Datenverantwortlicher: Bezieht sich auf die natürliche und juristische Person, die personenbezogene Daten verarbeitet, indem sie die Zwecke und Methoden der Verarbeitung angibt, und die für die Einrichtung und Verwaltung des Datenaufzeichnungssystems verantwortlich ist.
Kontaktperson für den Datenverantwortlichen: Bezieht sich auf die reale Person, die eine Registrierungsbenachrichtigung durch den Datenverantwortlichen für die mit der Behörde einzurichtende Kommunikation bezüglich der KVK-Vorschriften vornimmt.
5. GRUNDSÄTZE DER VERARBEITUNG PERSONENBEZOGENER DATEN
5.1 Verarbeitung personenbezogener Daten in Übereinstimmung mit dem Gesetz und den Integritätsregeln
Das Unternehmen verarbeitet personenbezogene Daten in Übereinstimmung mit dem Gesetz und den Regeln der Integrität und auf der Grundlage der Verhältnismäßigkeit.
5.2 Ergreifen der erforderlichen Vorkehrungen, um personenbezogene Daten im Bedarfsfall korrekt und aktuell zu halten
Das Unternehmen ergreift alle erforderlichen Maßnahmen, um sicherzustellen, dass die personenbezogenen Daten vollständig, genau und aktuell sind, und aktualisiert die relevanten personenbezogenen Daten, falls der Dateneigentümer eine Änderung der personenbezogenen Daten im Rahmen der KVKK-Vorschriften verlangt.
5.3 Verarbeitung personenbezogener Daten für bestimmte, ausdrückliche und legitime Zwecke
Bevor die personenbezogenen Daten verarbeitet werden, wird der Zweck, für den die personenbezogenen Daten verarbeitet werden, vom Unternehmen festgelegt. In diesem Zusammenhang wird der Dateneigentümer im Rahmen der KVK-Vorschriften informiert und im Bedarfsfall seine ausdrückliche Zustimmung eingeholt.
5.4 Personenbezogene Daten, die mit dem Zweck, für den sie verarbeitet werden, verbunden, begrenzt und verhältnismäßig sind
Das Unternehmen verarbeitet personenbezogene Daten nur in Ausnahmefällen im Rahmen der KVK-Vorschriften (Artikel 5.2 und 6.3 der KVKK) oder für den Zweck im Rahmen der ausdrücklichen Zustimmung des Dateneigentümers (Artikel 5.1 und 6.2 der KVKK) und nach dem Grundsatz der Verhältnismäßigkeit. Der Datenverantwortliche verarbeitet die personenbezogenen Daten in einer Weise, die für die Verwirklichung der festgelegten Zwecke geeignet ist, und unterlässt die Verarbeitung in Fällen, die nicht mit der Verwirklichung des Zwecks zusammenhängen oder nicht erforderlich sind.
5.5 Aufbewahrung personenbezogener Daten für den Zeitraum, der in den einschlägigen Rechtsvorschriften vorgesehen oder für den Zweck der Verarbeitung erforderlich ist
5.5.1 Das Unternehmen speichert personenbezogene Daten so lange, wie es für den Zweck erforderlich ist. Falls das Unternehmen personenbezogene Daten länger aufbewahren möchte, als es die KVK-Vorschriften oder der Zweck der Verarbeitung personenbezogener Daten erfordern, handelt das Unternehmen in Übereinstimmung mit den in den KVK-Vorschriften festgelegten Verpflichtungen.
5.5.2 Personenbezogene Daten werden gelöscht, vernichtet oder anonymisiert, nachdem der für die Verarbeitung personenbezogener Daten erforderliche Zeitraum abgelaufen ist. In diesem Fall sind auch die Dritten, an die das Unternehmen personenbezogene Daten übermittelt, verpflichtet, personenbezogene Daten zu löschen, zu vernichten oder zu anonymisieren.
5.5.3 Das Komitee ist für die Durchführung der Prozesse der Löschung, Vernichtung und Anonymisierung verantwortlich. In diesem Zusammenhang wird das erforderliche Verfahren vom Ausschuss festgelegt.
6. VERARBEITUNG PERSONENBEZOGENER DATEN
Personenbezogene Daten dürfen vom Unternehmen nur im Rahmen der nachstehend aufgeführten Verfahren und Grundsätze verarbeitet werden.
6.1 Explizite Zustimmung
6.1.1 Personenbezogene Daten werden nach der im Rahmen der Erfüllung der Informations- und Aufklärungspflichten der Dateneigentümer zu erteilenden Meldung verarbeitet und nur dann, wenn die Dateneigentümer ihre ausdrückliche Zustimmung geben.
6.1.2 Dateneigentümer werden über ihre Rechte informiert, bevor die ausdrückliche Zustimmung im Rahmen der Aufklärungspflicht (Offenlegung) eingeholt wird.
6.1.3 Die ausdrückliche Zustimmung des Dateneigentümers wird durch Methoden gemäß den KVK-Vorschriften eingeholt. Die ausdrückliche Zustimmung wird vom Unternehmen für den erforderlichen Zeitraum im Rahmen der KVK-Vorschriften nachweislich aufbewahrt.
6.1.4 Das Komitee ist verpflichtet sicherzustellen, dass die Offenlegungspflicht in Bezug auf alle Verarbeitungsprozesse personenbezogener Daten erfüllt wird und dass eine ausdrückliche Zustimmung eingeholt und bei Bedarf beibehalten wird. Alle Mitarbeiter der Abteilung, die personenbezogene Daten verarbeiten, sind verpflichtet, die Anweisungen der Kontaktperson und des Ausschusses, diese Richtlinie und die dieser Richtlinie beigefügten KVK-Verfahren einzuhalten.
6.2 Verarbeitung personenbezogener Daten ohne ausdrückliche Zustimmung
In Fällen, in denen die Verarbeitung personenbezogener Daten ohne die ausdrückliche Zustimmung im Rahmen der KVKK-Vorschriften (Artikel 5.2) der KVKK vorgesehen ist, kann das Unternehmen die personenbezogenen Daten ohne die ausdrückliche Zustimmung des Dateneigentümers verarbeiten. Falls die personenbezogenen Daten auf diese Weise verarbeitet werden, verarbeitet das Unternehmen die personenbezogenen Daten innerhalb der durch die KVK-Vorschriften festgelegten Grenzen. In diesem Kontext:
6.2.1 Personenbezogene Daten können vom Unternehmen ohne ausdrückliche Zustimmung verarbeitet werden, wenn dies gesetzlich ausdrücklich vorgeschrieben ist.
6.2.2 Personenbezogene Daten können vom Unternehmen ohne ausdrückliche Zustimmung verarbeitet werden, wenn dies zum Schutz des Lebens oder der körperlichen Unversehrtheit des Dateneigentümers oder einer anderen Person als dem Dateneigentümer erforderlich ist, die seine Zustimmung nicht ausdrücken kann oder ihre Einwilligung aufgrund tatsächlicher Unmöglichkeit oder deren Einwilligung nicht rechtswirksam ist.
6.2.3 Unter der Voraussetzung, dass sie in direktem Zusammenhang mit der Begründung oder Erfüllung eines Vertrags stehen, können die personenbezogenen Daten der Vertragsparteien vom Unternehmen ohne die ausdrückliche Zustimmung der Dateneigentümer verarbeitet werden, falls dies der Fall ist erforderlich, um die personenbezogenen Daten zu verarbeiten.
6.2.4 Wenn die Verarbeitung von Daten für das Unternehmen zur Erfüllung seiner gesetzlichen Verpflichtungen erforderlich ist, können personenbezogene Daten vom Unternehmen ohne die ausdrückliche Zustimmung der Dateneigentümer verarbeitet werden.
6.2.5 Personenbezogene Daten, die vom Dateneigentümer veröffentlicht werden, können vom Unternehmen verarbeitet werden, ohne die ausdrückliche Zustimmung des Dateneigentümers einzuholen.
6.2.6 Wenn die Verarbeitung personenbezogener Daten für die Begründung, Ausübung oder den Schutz eines Rechts erforderlich ist, können personenbezogene Daten vom Unternehmen ohne ausdrückliche Zustimmung verarbeitet werden.
6.2.7 Unter der Voraussetzung, dass die Grundrechte und Grundfreiheiten des Dateneigentümers nicht beeinträchtigt werden, dürfen personenbezogene Daten vom Unternehmen ohne ausdrückliche Zustimmung verarbeitet werden, wenn die Datenverarbeitung für die berechtigten Interessen des Unternehmens erforderlich ist.
7. VERARBEITUNG VON PERSONENBEZOGENEN DATEN VON BESONDERER QUALITÄT
7.1 Personenbezogene Daten von besonderer Qualität können nur verarbeitet werden, wenn der Dateneigentümer seine/ihre ausdrückliche Zustimmung gegeben hat oder wenn die Verarbeitung in Bezug auf andere sensible personenbezogene Daten als das Sexualleben und personenbezogene Daten ausdrücklich gesetzlich vorgeschrieben ist Gesundheitsdaten.
7.2 Personenbezogene Daten zum Gesundheits- und Sexualleben dürfen nur von Personen (z. B. Betriebsarzt) oder berechtigten Institutionen und Organisationen verarbeitet werden, die zum Schutz der öffentlichen Gesundheit, zur Durchführung der Gesundheitsvorsorge, zur medizinischen Diagnostik zur Verschwiegenheit verpflichtet sind , Behandlungs- und Pflegedienste, Planung und Verwaltung von Gesundheitsdiensten und Finanzierung. ohne ausdrückliche Zustimmung einzuholen.
7.3 Bei der Verarbeitung von personenbezogenen Daten von besonderer Qualität werden die vom Vorstand festgelegten Maßnahmen ergriffen.
7.4 Das Unternehmen bietet regelmäßig Schulungen für die Mitarbeiter an, die an der Verarbeitung sensibler personenbezogener Daten beteiligt sind
7.4.1. zu den KVK-Vorschriften und der Sicherheit von personenbezogenen Daten von besonderer Qualität.
7.4.2. Vertraulichkeitsvereinbarungen werden getroffen.
7.4.3. Es wird den Umfang und die Dauer der Autorisierung von Benutzern, die Zugriff auf personenbezogene Daten von besonderer Qualität haben, klar definieren.
7.4.4. Er führt regelmäßig Autorisierungsprüfungen durch.
7.4.5. Er wird den Mitarbeitern in ihrem Tätigkeitsbereich, die einen Dienstwechsel haben oder den Arbeitsplatz kündigen, unverzüglich die Befugnisse entziehen und das dem betreffenden Mitarbeiter zugewiesene Inventar unverzüglich zurücknehmen.
7.5 Für den Fall, dass personenbezogene Daten von besonderer Qualität an elektronische Medien übertragen werden, wo personenbezogene Daten von besonderer Qualität verarbeitet, gespeichert und/oder abgerufen werden
7.5.1. Das Unternehmen verfolgt ständig die Sicherheitsaktualisierungen der Umgebungen, in denen sich die personenbezogenen Daten von besonderer Qualität befinden.
7.5.2. Wenn über eine Software auf private personenbezogene Daten zugegriffen wird, wird die entsprechende Person zur Verwendung dieser Software autorisiert
7.5.3. Im Falle eines Fernzugriffs auf besonders qualifizierte personenbezogene Daten wird ein zweistufiges Authentifizierungssystem bereitgestellt.
7.6. Falls personenbezogene Daten von besonderer Qualität in einer physischen Umgebung verarbeitet werden, trifft das Unternehmen die erforderlichen Vorkehrungen in Bezug auf die physischen Umgebungen, in denen die Daten verarbeitet, aufbewahrt und/oder abgerufen wurden
7.6.1. Es stellt sicher, dass angemessene Sicherheitsmaßnahmen (gegen elektrische Leckage, Feuer, Überschwemmung, Diebstahl usw.) unter Berücksichtigung der Umgebung getroffen werden, in der besonders qualifizierte Daten gespeichert werden.
7.6.2. Es wird unbefugtes Betreten und Verlassen verhindern, indem es die physische Sicherheit dieser Umgebungen gewährleistet.
7.7. Im Falle der Übertragung von besonders qualifizierten personenbezogenen Daten,
7.8 Das Unternehmen verwendet eine verschlüsselte Unternehmens-E-Mail-Adresse oder ein registriertes E-Mail-Konto („KEP“), wenn es erforderlich ist, sensible personenbezogene Daten per E-Mail zu übertragen.
7.2 Wenn es notwendig ist, die personenbezogenen Daten physisch in Papierform zu übertragen, trifft das Unternehmen die erforderlichen Vorkehrungen gegen Risiken wie Diebstahl, Verlust oder Einsichtnahme der Dokumente durch Unbefugte und sendet die Dokumente in Form von „vertraulich Dokumente”.
7.9 Zusätzlich zu den oben genannten Vorschriften handeln der Ausschuss und die Kontaktperson gemäß den KVK-Vorschriften, insbesondere dem vom Vorstand veröffentlichten Leitfaden zur Sicherheit personenbezogener Daten in Bezug auf die Sicherheit personenbezogener Daten, einschließlich Daten von besonderer Qualität.
7.10 In allen Fällen, die die Verarbeitung personenbezogener Daten von besonderer Qualität erfordern, wird der Ausschuss von dem zuständigen Mitarbeiter informiert.
7.11 Wenn nicht verständlich ist, ob es sich bei Daten um personenbezogene Daten von besonderer Qualität handelt oder nicht, wird die Stellungnahme des Ausschusses von der zuständigen Abteilung eingeholt.
8. AUFBEWAHRUNGSZEITRAUM FÜR PERSONENBEZOGENE DATEN
Personenbezogene Daten werden im Rahmen der einschlägigen gesetzlichen Aufbewahrungsfristen innerhalb des Unternehmens und für den Zeitraum aufbewahrt, der für die Durchführung der Aktivitäten im Zusammenhang mit diesen Daten und den in dieser Richtlinie angegebenen Zwecken erforderlich ist. Personenbezogene Daten, deren Verwendungszweck und gesetzliche Aufbewahrungsfrist abgelaufen sind, werden vom Unternehmen gemäß Artikel 7 der KVKK gelöscht, vernichtet oder anonymisiert
9. LÖSCHEN, VERNICHTEN UND ANONYMISIERUNG PERSÖNLICHER DATEN
9.1 Wenn der rechtmäßige Zweck für die Verarbeitung personenbezogener Daten entfällt, werden die relevanten personenbezogenen Daten gelöscht, vernichtet oder anonymisiert. Situationen, in denen personenbezogene Daten gelöscht, vernichtet oder anonymisiert werden sollten, werden vom Ausschuss und den Abteilungen weiterverfolgt.
9.2 Der Ausschuss ist für die Löschungs-, Vernichtungs- und Anonymisierungsprozesse verantwortlich. In diesem Zusammenhang wird das erforderliche Verfahren vom Ausschuss festgelegt.
9.3 Das Unternehmen kann personenbezogene Daten in Anbetracht der Möglichkeit ihrer zukünftigen Verwendung nicht verbergen.
9.4 Alle vom Unternehmen durchzuführenden Lösch-, Vernichtungs- und Anonymisierungsaktivitäten für personenbezogene Daten werden in Übereinstimmung mit den in der Richtlinie zur Speicherung und Vernichtung personenbezogener Daten festgelegten Grundsätzen durchgeführt.
10. ÜBERTRAGUNG UND VERARBEITUNG PERSONENBEZOGENER DATEN DURCH DRITTE
Das Unternehmen kann personenbezogene Daten gemäß den KVK-Vorschriften an eine dritte natürliche oder juristische Person in der Türkei und/oder im Ausland übermitteln, sofern es die erforderlichen Maßnahmen für die Zwecke der Verarbeitung personenbezogener Daten ergreift. In diesem Fall stellt das Unternehmen sicher, dass die Dritten, an die es personenbezogene Daten übermittelt, diese Richtlinie ebenfalls einhalten. In diesem Zusammenhang werden die mit dem Dritten geschlossenen Verträge um notwendige Schutzbestimmungen ergänzt. Jeder Mitarbeiter ist verpflichtet, die Prozesse in dieser Richtlinie im Falle der Übertragung personenbezogener Daten einzuhalten.
10.1 Übermittlung personenbezogener Daten an Dritte in der Türkei
10.1.1 Personenbezogene Daten können ohne ausdrückliche Zustimmung in Artikel 5.2 der KVKK und in Ausnahmefällen gemäß Artikel 6.3 an Dritte in der Türkei übermittelt werden, sofern angemessene Maßnahmen ergriffen werden, oder in anderen Fällen, die in Artikel 5.1 festgelegt sind und 6.2 der KVKK-Daten können vom Unternehmen unter der Bedingung übertragen werden, dass die ausdrückliche Zustimmung des Dateneigentümers eingeholt wird.
10.1.2 Die Mitarbeiter des Unternehmens und der Ausschuss sind gemeinsam dafür verantwortlich, sicherzustellen, dass die Übermittlung personenbezogener Daten an Dritte in der Türkei den KVK-Vorschriften entspricht.
10.2 Übermittlung personenbezogener Daten an Dritte im Ausland
10.2.1 Personenbezogene Daten können vom Unternehmen an Dritte im Ausland übermittelt werden, sofern die ausdrückliche Zustimmung des Dateneigentümers vorliegt (Artikel 5.1 und 6.2 der KVKK).
10.2.2 Falls die personenbezogenen Daten ohne ausdrückliche Zustimmung gemäß den KVK-Vorschriften übermittelt werden, muss zusätzlich eine der folgenden Bedingungen in dem Ausland, in das sie übermittelt werden, aktuell gültig sein;
10.2.3 Das ausländische Land, in das die personenbezogenen Daten übermittelt werden, hat nach Ansicht des Vorstands den Status eines Landes mit angemessenem Schutz,
10.2.4 Wenn das Ausland, in das die Übertragung erfolgen soll, nicht in der Liste sicherer Länder des Vorstands enthalten ist, verpflichten sich das Unternehmen und die Datenverantwortlichen in dem jeweiligen Land schriftlich, einen angemessenen Schutz zu gewährleisten und eine Genehmigung einzuholen vom Vorstand.
10.2.5 Mitarbeiter des Unternehmens, der Ausschuss und sein Vertreter sind gemeinsam dafür verantwortlich, sicherzustellen, dass die Übermittlung personenbezogener Daten an Dritte im Ausland den KVK-Vorschriften entspricht.
11. OFFENLEGUNGSPFLICHT DES UNTERNEHMENS
Das Unternehmen informiert die Dateneigentümer vor der Verarbeitung personenbezogener Daten gemäß Artikel 10 der KVKK. In diesem Zusammenhang kommt das Unternehmen seiner Offenlegungspflicht bei der Erfassung personenbezogener Daten nach. Die im Rahmen der Offenlegungspflicht an die Dateneigentümer zu übermittelnde Mitteilung umfasst jeweils die folgenden Elemente:
11.1 Identität des Datenverantwortlichen (und seines/ihres Vertreters, falls vorhanden),
11.2 Zu welchem Zweck werden die personenbezogenen Daten verarbeitet,
11.3 An wen und zu welchem Zweck die verarbeiteten personenbezogenen Daten übermittelt werden können,
11.4 Methode und rechtlicher Grund für die Erfassung personenbezogener Daten,
11.5 Rechte der in Artikel 11 der KVKK aufgeführten Dateneigentümer.
11.6 In Übereinstimmung mit Artikel 20 der Verfassung der Republik Türkei und Artikel 11 der KVKK stellt das Unternehmen die erforderlichen Informationen bereit, falls der Dateneigentümer Informationen anfordert.
11.7 Wenn dies von den Dateneigentümern gemäß den KVKK-Vorschriften verlangt wird, informiert das Unternehmen den Dateneigentümer über die von ihm verarbeiteten personenbezogenen Daten.
11.8 Der Mitarbeiter, der den entsprechenden Prozess durchführt, und der Ausschuss sind gemeinsam dafür verantwortlich, sicherzustellen, dass die erforderliche Offenlegungspflicht vor der Verarbeitung personenbezogener Daten erfüllt wird.
11.9 Dritte mit Datenverarbeiterstatus verpflichten sich mit einem schriftlichen Vertrag, dass sie in Übereinstimmung mit den oben genannten Verpflichtungen handeln, bevor sie mit der Datenverarbeitung beginnen.
12. RECHTE DER BETROFFENEN PERSONEN (BEZOGENE PERSONEN)
12.1 Das Unternehmen antwortet auf die unten genannten Anfragen der Dateneigentümer, deren personenbezogene Daten es gemäß den KVK-Vorschriften verarbeitet;
12.1.1 Anfragen zu erfahren, ob personenbezogene Daten vom Unternehmen verarbeitet werden,
12.1.2 Anforderung von Informationen über die Verarbeitung personenbezogener Daten 12.1.3 Anfragen, um den Zweck der Verarbeitung personenbezogener Daten zu erfahren und ob sie in Übereinstimmung mit ihrem Zweck verwendet werden,
12.1.4. Anfragen zu wissen, an welche Dritten personenbezogene Daten im In- oder Ausland übermittelt werden,
12.1.5. Beantragung der Korrektur personenbezogener Daten im Falle einer unvollständigen oder fehlerhaften Verarbeitung durch das Unternehmen,
12.1.6. Die Löschung oder Vernichtung personenbezogener Daten durch das Unternehmen zu verlangen, falls die Gründe, die die Verarbeitung personenbezogener Daten erfordern, wegfallen, um nach den Grundsätzen des Zwecks und der Rechtmäßigkeit bewertet zu werden,
12.1.7. Im Falle einer Korrektur, Löschung oder Vernichtung personenbezogener Daten durch das Unternehmen, die Aufforderung, diese Transaktionen den Dritten mitzuteilen, an die die personenbezogenen Daten übertragen wurden,
12.1.8. Einspruch gegen das Ergebnis, das die Rechte des Dateneigentümers verletzt, da personenbezogene Daten ausschließlich durch automatisierte Systeme verarbeitet werden
12.1.9. Schadensersatz verlangen, falls die personenbezogenen Daten unrechtmäßig verarbeitet und der Dateneigentümer beeinträchtigt werden.
In Fällen, in denen Dateneigentümer ihre Rechte ausüben möchten und/oder glauben, dass das Unternehmen bei der Verarbeitung personenbezogener Daten nicht im Rahmen dieser Richtlinie handelt, können sie ihre Anfragen zusammen mit beglaubigten Dokumenten einreichen, die ihre Identität angeben, einschließlich einer Petition mit nasser Unterschrift von Ausfüllen des Formulars auf der Website des Unternehmens oder durch Erstellen eigener Anfragen in einer Weise, die den von der Institution festgelegten Bedingungen entspricht, an die folgende E-Mail-Adresse, die sich von Zeit zu Zeit ändern kann und die dem Unternehmen zuvor mitgeteilt und in registriert wurde Firmensystem (die im System registrierte E-Mail-Adresse sollte überprüft werden) oder an die KEP-Adresse der Firma mit sicherer elektronischer Signatur oder mobiler Signatur oder senden Sie diese Dokumente eigenhändig, durch einen Notar oder durch andere zusätzliche Methoden, die von festgelegt werden können die Behörde in der Zukunft. Aktuelle Antragsverfahren und Antragsinhalte müssen vor der Antragstellung durch den Gesetzgeber bestätigt werden.
Datenverantwortlicher: DOKU AESTHETICS AND HEALTH SERVICES TRADE LIMITED COMPANY
Registrierte E-Mail (KEP): [email protected]
Postanschrift: MERKEZ MAHALLESİ İSTİKLAL STREET NO: 9/75 SISLI ISTANBUL
Falls die Dateneigentümer ihre Anfragen bezüglich ihrer oben aufgeführten Rechte schriftlich an das Unternehmen richten, schließt das Unternehmen die Anfrage je nach Art der Anfrage spätestens innerhalb von (30) dreißig Tagen kostenlos ab. Für den Fall, dass für die Erledigung der Anfragen des Datenverantwortlichen gesonderte Kosten anfallen, können die Gebühren des vom Datenschutzausschuss festgelegten Tarifs vom Datenverantwortlichen verlangt werden.
13. DATENVERWALTUNG UND -SICHERHEIT
13.1 Das Unternehmen richtet einen Ausschuss ein, um seine Verpflichtungen gemäß den KVK-Vorschriften zu erfüllen, die Umsetzung der für die Umsetzung dieser Richtlinie erforderlichen KVK-Verfahren sicherzustellen und zu überwachen und Vorschläge für deren Betrieb zu machen.
13.2 Alle an dem relevanten Prozess beteiligten Mitarbeiter sind gemeinsam für den Schutz personenbezogener Daten gemäß dieser Richtlinie und den KVK-Verfahren verantwortlich.
13.3 Die Verarbeitung personenbezogener Daten durch das Unternehmen wird durch technologische Möglichkeiten und technische Systeme gemäß ihren Anwendungskosten gesteuert.
13.4 Personal, das sich mit technischen Angelegenheiten im Zusammenhang mit Aktivitäten zur Verarbeitung personenbezogener Daten auskennt, wird beschäftigt.
13.5 Mitarbeiter des Unternehmens werden über den Schutz und die rechtmäßige Verarbeitung personenbezogener Daten informiert und geschult.
13.6 Mitarbeiter des Unternehmens können nur im Rahmen der für sie festgelegten Berechtigung und in Übereinstimmung mit dem entsprechenden KVK-Verfahren auf personenbezogene Daten zugreifen. Jeder Zugriff und jede Verarbeitung durch den Mitarbeiter, die seine Befugnisse überschreiten, verstößt gegen das Gesetz und ist ein Grund für die Kündigung des Arbeitsvertrags aus triftigem Grund.
13.7 Wenn der Mitarbeiter des Unternehmens vermutet, dass die Sicherheit der personenbezogenen Daten nicht angemessen gewährleistet ist, oder eine solche Sicherheitslücke feststellt, benachrichtigt er/sie den Ausschuss über diese Situation.
13.8 Ein detailliertes KVK-Verfahren für die Sicherheit personenbezogener Daten wird vom Ausschuss erstellt.
13.9 Jede Person, der ein Unternehmensgerät zugewiesen ist, ist für die Sicherheit der Geräte verantwortlich, die ihr/ihr zur eigenen Nutzung zugewiesen sind.
13.10 Jeder Mitarbeiter des Unternehmens oder jede Person, die innerhalb des Unternehmens arbeitet, ist für die Sicherheit der physischen Dateien in seinem Verantwortungsbereich verantwortlich.
13.11 Für den Fall, dass zusätzliche Sicherheitsmaßnahmen für die Sicherheit personenbezogener Daten im Rahmen der KVK-Vorschriften angefordert oder angefordert werden, sind alle Mitarbeiter verpflichtet, zusätzliche Sicherheitsmaßnahmen einzuhalten und die Kontinuität dieser Sicherheit zu gewährleisten Maßnahmen.
13.12 Software und Hardware, einschließlich Virenschutzsysteme und Firewalls, werden in Übereinstimmung mit technologischen Entwicklungen installiert, um personenbezogene Daten in sicheren Umgebungen zu speichern.
13.13 Das Unternehmen verwendet Sicherungsprogramme und ergreift angemessene Sicherheitsmaßnahmen, um den Verlust oder die Beschädigung personenbezogener Daten zu verhindern.
13.14 Es werden notwendige Maßnahmen ergriffen, um die Dokumente, die personenbezogene Daten für das Unternehmen enthalten, mit verschlüsselten Systemen zu schützen. In diesem Zusammenhang werden personenbezogene Daten nicht in öffentlichen Bereichen und auf dem Desktop gespeichert. Dateien und Ordner, die personenbezogene Daten usw. enthalten, und die Dokumente werden ohne vorherige schriftliche Genehmigung des Ausschusses nicht auf den Desktop oder in den gemeinsamen Ordner verschoben, die Informationen auf dem Computer des Unternehmens werden nicht auf USB usw. übertragen. Es wird nicht auf ein anderes Gerät übertragen oder aus dem Unternehmen entfernt.
13.15 Der Ausschuss ist zusammen mit dem Vorstand verpflichtet, technische und administrative Maßnahmen zum Schutz aller personenbezogenen Daten innerhalb des Unternehmens zu ergreifen, die Entwicklungen und Verwaltungsaktivitäten ständig zu überwachen, die erforderlichen KVK-Verfahren vorzubereiten, sie im Unternehmen bekannt zu machen, ihre Einhaltung sicherzustellen und zu überwachen. In diesem Zusammenhang organisiert der Ausschuss die notwendigen Schulungen, um das Bewusstsein der Mitarbeiter zu schärfen.
13.16 Wenn eine Abteilung innerhalb des Unternehmens sensible personenbezogene Daten verarbeitet, wird diese Abteilung vom Ausschuss über die Bedeutung, Sicherheit und Vertraulichkeit der von ihr verarbeiteten personenbezogenen Daten informiert, und die entsprechende Abteilung handelt gemäß den Anweisungen des Ausschusses. Nur eine begrenzte Anzahl von Mitarbeitern ist berechtigt, auf sensible personenbezogene Daten zuzugreifen, und ihre Liste und Nachverfolgung erfolgt durch das Komitee
13.17 Alle personenbezogenen Daten, die innerhalb des Unternehmens verarbeitet werden, werden vom Unternehmen als „vertrauliche Informationen“ betrachtet.
13.18 Mitarbeiter des Unternehmens wurden darüber informiert, dass ihre Verpflichtungen in Bezug auf die Sicherheit und Vertraulichkeit personenbezogener Daten nach Beendigung der Geschäftsbeziehung fortbestehen, und es wurde von den Mitarbeitern des Unternehmens eine Verpflichtung zur Einhaltung dieser Regeln erhalten.
14 REAKTIONSPLAN AUF DATENVERLETZUNG
14.2 Falls die verarbeiteten personenbezogenen Daten von anderen unrechtmäßig erlangt werden, wird die Institution innerhalb von 72 Stunden benachrichtigt.
14.3 Nach der Identifizierung der von der Verletzung der betreffenden Daten betroffenen Personen werden die betroffenen Personen so schnell wie möglich direkt benachrichtigt, wenn die Kontaktadresse der betroffenen Person erreichbar ist oder wenn sie nicht erreichbar ist durch geeignete Methoden wie die Veröffentlichung des Problems auf der eigenen Website des Datenverantwortlichen.
14.4 Wenn der Datenverantwortliche den Vorstand nicht innerhalb von 72 Stunden aus einem berechtigten Grund benachrichtigt, werden dem Vorstand auch die Gründe für die Verzögerung mit der zu übermittelnden Benachrichtigung mitgeteilt.
14.5 In der Benachrichtigung an den Vorstand ist das „Benachrichtigungsformular über die Verletzung personenbezogener Daten“, veröffentlicht bei der Institution https:// ihlalbildirim.kvkk.gov…
14.6 Wenn es nicht möglich ist, die im Formular geschriebenen Informationen gleichzeitig bereitzustellen, werden diese Informationen ohne Verzögerung schrittweise bereitgestellt.
14.7 Der Datenverantwortliche stellt sicher, dass die Informationen über Datenschutzverletzungen, ihre Auswirkungen und die ergriffenen Maßnahmen aufgezeichnet und dem Vorstand zur Überprüfung zur Verfügung gestellt werden.
14.8 Für den Fall, dass die vom Datenverarbeiter gespeicherten personenbezogenen Daten von anderen unrechtmäßig erlangt werden, muss der Datenverarbeiter dieses Problem unverzüglich dem Ausschuss mitteilen.
Der entsprechende Plan wird regelmäßig vom Ausschuss überprüft.
15. BILDUNG
15.2 In den Schulungen werden Anwendungen zur Definition und zum Schutz personenbezogener Daten von besonderer Qualität besonders erwähnt.
15.3 Wenn der Mitarbeiter des Unternehmens physisch oder auf einem Computer auf personenbezogene Daten zugreift, bietet das Unternehmen dem betreffenden Mitarbeiter Schulungen für diese Zugriffe an (z. B. das Computerprogramm, auf das zugegriffen wird).
16. PRÜFUNG
17.2 Als Ergebnis der Meldungen bereitet das Komitee die Meldung vor, die an den Dateneigentümer oder die Institution über den Verstoß zu richten ist, unter Berücksichtigung der Bestimmungen der geltenden Gesetzgebung zu diesem Thema, insbesondere der KVK-Verordnung. Kontaktperson Führt die Korrespondenz und Kommunikation mit der Institution durch.18. VERANTWORTLICHKEITEN
Verantwortlichkeiten innerhalb des Unternehmens werden jeweils von Mitarbeitern, Abteilungen und Gremien wahrgenommen. In diesem Kontext; Der für die Umsetzung der Richtlinie zuständige Ausschuss wird von der Unternehmensleitung durch Beschluss der Geschäftsführung oder von den zeichnungs- und zeichnungsberechtigten Organen ernannt und Änderungen in diesem Zusammenhang ebenfalls in der oben genannten Weise vorgenommen.
19. ÄNDERUNGEN, DIE IN DER RICHTLINIE VORZUNEHMEN SIND
19.2 Das Unternehmen teilt den aktualisierten Richtlinientext per E-Mail mit seinen Mitarbeitern, damit die Änderungen, die es an der Richtlinie vorgenommen hat, überprüft oder von den Mitarbeitern und Dateneigentümern über die folgende Webadresse aufgerufen werden können. 20. DATUM DES INKRAFTTRETENS DER RICHTLINIE