KVKK 政策

1. 简介

1.1. 目的

 已制定 个人数据存储和销毁政策(“政策”), 以确定 PROMMASHTEST (“公司”)进行的存储和销毁活动的工作和交易的程序和原则。

PROMMASH测试 其目的是确保属于公司员工、员工候选人、客户、访客和其他第三方的个人数据按照土耳其宪法、国际协议、第 6698 号个人数据保护法(“法律”)和其他相关立法进行处理,并确保相关人员有效行使其权利,被确定为优先事项。

有关个人数据的存储和销毁的工作和交易按照公司就此制定的“政策”进行。

1.2. 范围

属于公司员工、员工候选人、服务提供商、访客和其他第三方的个人数据均属于本政策的范围,本政策适用于处理公司拥有或管理的个人数据的所有记录环境以及与个人相关的活动。数据处理。

2. 原则

PROMMASHTEST  在个人数据的存储和销毁方面遵循以下原则:

  1. 在个人数据的删除、销毁和匿名化处理中,应当遵循本法第四条所列的原则以及本政策第十二条和第5.2条范围内必须采取的原则。 完全遵守本文规定的技术和管理措施、相关立法规定、董事会决定和本政策。
  2. 所有有关删除、销毁和匿名化个人数据的交易均由公司记录,并且有关这些交易的记录  至少  保存3 年,不包括其他法律义务。

三. 除非董事会做出相反决定,否则我们依职权选择适当的方法删除、销毁或匿名化个人数据。 但是, 根据 相关人员 的要求,将在解释理由的情况下选择适当的方法。

  1. 如果该法第 5 条和第 6 条规定的处理个人数据的所有条件均已消除,则公司依职权或应相关人的要求删除、销毁或匿名化个人数据。 如果相关人士就此事向公司提出申请;
  2. 提交的请求最迟在 30(三十)天内完成,并通知相关人员,
  3. 如果请求所涉及的数据已被转移给第三方,则这种情况会通知数据被转移到的第三方,并在第三方之前采取必要的行动。

3. 需要储存和废弃的原因的说明

属于数据所有者的个人数据由公司在 KVKK 和其他相关立法规定的范围内安全处理。5.1。 它存储在文章中指定的物理或电子介质中,特别是用于下列目的。

  1. 维持商业活动。
  2. 员工权益与福利的规划与执行。

三. 管理客户关系并为客户提供更好的服务。

  1. 确保公司安全。
  2. 联系与该机构有业务关系的真实/法人。
  3. 存储个人数据,因为它与合同的订立和执行直接相关。

七. 出于建立、行使或保护权利的目的而存储个人数据。

八. 为了公司的合法利益,必须保留个人数据,前提是不损害个人的基本权利和自由。

  1. 为了履行公司的任何法律义务而存储个人数据。
  2. 法律对个人数据的存储有明确规定。
  3. 在未来可能出现的法律纠纷中作为证据的举证责任。

根据该条例,在下列情况下,公司依职权或根据要求删除、销毁或匿名化数据所有者的个人数据。

  1. 构成个人数据处理或存储基础的相关立法规定

修改或废除。

  1. 需要处理或存储个人数据的目的消失了。

三. 消除该法第 5 条和第 6 条中要求处理个人数据的条件。

  1. 如果仅在明确同意的基础上处理个人数据,相关人员可以撤回其同意。
  2. 如果数据控制者拒绝相关人向其提出的删除、销毁或匿名化其个人数据的申请,认为其答复不充分,或者未在法律规定的期限内答复; 向董事会提出投诉并由董事会批准该请求。
  3. 数据控制者接受相关人员在本法第 11 条 (e) 和 (f) 款规定的权利范围内提出的删除、销毁或匿名化其个人数据的申请。

七. 尽管已经过了要求存储个人数据的最长期限,但没有任何条件可以证明存储个人数据的时间更长。

4. 有关储存和处置期限的原则

根据KVKK及其他相关法规的规定,本公司所获得的您的个人数据的存储和销毁期限采用以下标准:

  1. 如果立法规定了相关个人数据的存储期限,则应遵守该期限。 上述期限届满后,将针对以下第 2 条范围内的数据采取行动。
  2. 如果法律规定的有关个人数据的存储期限已届满,或者相关立法没有规定有关数据的存储期限;
  3. 根据 KVKK 第 6 条的定义,个人数据分为个人数据和特殊类别的个人数据。 所有被确定为隐私的个人数据都将被销毁。 销毁相关数据所采用的方法是根据数据的性质及其存储对公司的重要性来确定的。
  4. 数据存储是否符合 KVKK 第 4 条规定的原则(例如,公司存储数据是否具有合法目的)受到质疑。 其存储被确定违反 KVKK 第 4 条规定的原则的数据将被删除、销毁或匿名化。
  5. 确定在 KVKK 第 5 条和第 6 条规定的哪些例外情况下可以考虑数据存储。 数据存储的合理期限是在已识别的例外情况的框架内确定的。 如果这些期限到期,数据将被删除、销毁或匿名化。

所有有关个人数据删除、销毁和匿名化的交易都会被记录,并且这些记录至少保存三年,不包括其他法律义务。

5. 公司存储和销毁个人数据的程序

5.1. 录音媒体

根据相关立法,特别是 KVKK 的规定,并在国际数据安全原则的框架内,属于数据所有者的个人数据由公司安全存储在下表所列的环境中:

  1. 电子媒体
  • 服务器
  • 软件(办公软件)
  • 信息安全设备(防火墙、入侵检测和防御、日志文件、
  • 防病毒软件等
  • 个人电脑(台式机、笔记本电脑)
  • 移动设备(手机、平板电脑等)
  • 光盘(CD、DVD 等)
  • 可移动存储器(USB、存储卡等)
  1. 非电子媒体
  • 手动数据记录系统
  • 书面、印刷和视觉媒体

5.2. 技术和行政措施

公司在 KVKK 第 12 条原则框架内为安全存储您的个人数据、防止非法处理、访问和合法销毁数据而采取的所有管理和技术措施如下:

5.2.1. 行政措施:

PROMMASHTEST  采取以下管理措施。

  • 它限制了根据其工作描述需要访问这些数据的人员对存储的个人数据的内部访问。 在限制访问时,还考虑了数据是否具有特殊性及其重要程度。
  • 若处理后的个人资料被他人通过非法手段获取,将尽快通知相关人员和委员会 
  • 在个人数据共享方面, 与个人数据共享者 签订有关个人数据保护和数据安全的框架合同  ,或在现有合同中添加条款以确保数据安全。 它雇用了在个人数据处理方面知识丰富、经验丰富的人员,并为其人员提供了个人数据保护立法和数据安全范围内的必要培训。
  • 它进行必要的检查并进行检查,以确保该法的规定在其法人实体内得到执行。 它消除了因审计而出现的隐私和安全漏洞。

5.2.2. 技术措施:

公司采取以下技术措施。

  • 通过信息安全事件管理的实时分析,持续监控影响信息系统连续性的风险和威胁。
  • 对信息系统的访问和  用户的授权  是通过访问和授权矩阵以及通过公司活动 目录的 安全策略来实现的
  • 公司信息系统设备、软件和数据的物理安全采取了必要的预防措施。
  • 为了确保信息系统的安全免受环境威胁,硬件(仅允许授权人员进入系统机房的访问控制系统、24/7监控系统等)和软件(防火墙、攻击预防系统、网络访问控制) 、阻止  恶意软件 )系统等)采取预防措施。
  • 识别防止非法处理个人数据的风险,采取适合这些风险的技术措施,并对所采取的措施进行技术控制。
  • 公司内部建立了访问程序,并进行了有关访问个人数据的报告和分析研究。
  • 记录对包含个人数据的存储区域的访问,并控制不当访问或访问尝试。
  • 公司采取必要措施确保相关用户无法访问和使用已删除的个人数据。
  • 如果其他人非法获取个人数据,公司已创建适当的系统和基础设施,以将这种情况通知相关人员和董事会。
  • 监控安全漏洞,安装适当的安全补丁,并使信息系统保持最新状态。
  • 在处理个人数据的电子环境中使用强密码。
  • 安全记录保存(日志)系统用于处理个人数据的电子环境中。
  • 数据备份程序用于确保个人数据的安全存储。
  • 根据访问原则,对电子或非电子媒体中存储的个人数据的访问受到限制。
  • 已为敏感个人数据的安全制定了单独的政策。
  • 对涉及特殊个人数据处理的员工进行了特殊个人数据安全培训,签署了保密协议,并明确了有权访问数据的用户的权限。
  • 对处理、存储和/或访问特殊个人数据的物理环境采取充分的安全措施,通过确保物理安全来防止未经授权的出入。

6. 责任和义务的分配

您可以在本政策附件1的列表中找到参与个人数据存储和销毁过程的人员的职称、单位和工作描述。

7. 个人数据的销毁程序

公司根据 KVKK 和其他相关立法获得的个人数据,如果法律和法规中列出的个人数据处理目的被消除,则由公司依职权或根据相关人员的申请   按照根据法律和相关立法的规定,使用下面指定的技术将被销毁。

7.1 个人数据的删除

  1. 服务器上的个人数据

对于保存期限届满的服务器上的个人数据,系统管理员会取消相关用户的访问权限并删除。

  1. 电子媒体中的个人数据

电子环境中的个人数据中,超过保存期限的数据,除数据库管理员之外的其他员工(相关用户)将无法访问和使用。

三. 物理环境中的个人数据

保存在物理环境中的个人数据,对于存储期限已过的个人数据,除负责文件存档的单位经理外,所有员工均无法访问和使用。 此外,还可以通过在表面上绘制/涂漆/擦除来进行黑化,使其无法读取。

  1. 便携式媒体中包含的个人数据

在基于闪存的存储介质中保存的个人数据中,那些已过期的数据通过系统管理员加密存储在具有加密密钥的安全环境中,并且仅向系统管理员授予访问权限。

7.2 个人数据的销毁

  1. 物理环境中的个人数据

存储在已过期纸张上的个人数据 将 被碎纸机或其他适当的方法  不可逆转地销毁。

  1. 光/磁介质中包含的个人数据

保存期限已过的光学介质和磁介质中包含的个人数据将根据情况通过不可恢复地删除相关数据或使介质环境物理上无法使用而被销毁。

7.3 个人数据的匿名化

个人数据匿名化意味着无法以任何方式将个人数据与已识别或可识别的自然人关联起来,即使它与其他数据匹配。 为了使个人数据匿名化; 个人数据必须由数据控制者或第三方返回和/或无法与已识别或可识别的自然人关联,即使通过在记录环境和相关活动领域使用适当的技术,例如匹配数据与其他数据。

8. 储存和处置期限

关于PROMMASHTEST 在其活动范围内 处理的个人数据;

  • 根据流程进行的活动范围内的所有个人数据的基于个人数据的保留期限均包含在个人数据处理清单中;
  • VERBIS 中记录了基于数据类别的保留期限;
  • 基于流程的保留期包含在个人数据存储和销毁政策中。

对于超过保存期限的个人资料,由本公司相关单位依职权进行删除、销毁或匿名化处理。

 

时期

储存期限

销毁期

企业传播活动的策划与执行

雇佣关系终止后10年

储存期结束后180天内

大会程序

10年

储存期结束后180天内

有关人员招聘的文件

雇佣关系终止后10年

储存期结束后180天内

回答法庭/执法部门有关人员的信息请求

雇佣关系终止后10年

储存期结束后180天内

有关人员在职培训的文件

雇佣关系终止后10年

储存期结束后180天内

招标/开业/各部委和副部长文件准备流程

10年

储存期结束后180天内