AKC МЕБЕЛЬ ЛЕСНАЯ ПРОДУКЦИЯ ТУРИЗМ СТРОИТЕЛЬСТВО ИМПОРТ ЭКСПОРТ ПРОМЫШЛЕННОСТЬ ТОРГОВЛЯ ЛИМИТИРОВАННАЯ КОМПАНИЯ

ПОЛИТИКА ОБРАБОТКИ И ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ

 

1. ЦЕЛЬ И ОБЛАСТЬ ПРИМЕНЕНИЯ

Компания Общество с ограниченной ответственностью AKC Мебель, Лесная Продукция, Туризм, Строительство, Импорт, Экспорт, Промышленность и Торговля (“Компания”), которая с самого начала своей деятельности проявляет максимальную осторожность в соблюдении правовых норм, также придаёт большое значение конфиденциальности персональных данных, создавая необходимые системы для осуществления всех действий в соответствии с законодательством об обработке и защите персональных данных.

Настоящая Политика обработки и защиты персональных данных (“Политика ПД”) определяет принципы, принятые нашей Компанией при обработке и защите персональных данных. В этом контексте ставятся цели создания необходимой системы и порядка для обеспечения соблюдения законодательства о защите персональных данных в рамках деятельности Компании, повышения осведомлённости внутри Компании, предотвращения незаконной обработки персональных данных и незаконного доступа к ним.

В соответствии с важностью, которую наша Компания придаёт защите персональных данных, настоящая Политика определяет основные принципы соблюдения положений Закона № 6698 о защите персональных данных (“Закон ПД”) и действия, которые должна предпринять Компания. Реализация положений Политики обеспечит устойчивость принципов информационной безопасности, принятых Компанией.

Данная Политика применяется к обработке всех персональных данных и к группам субъектов персональных данных, обрабатываемых полностью или частично автоматически либо неавтоматическими средствами, при условии включения в систему хранения данных, включая кандидатов на работу, сотрудников, акционеров/партнёров, стажёров, клиентов, потенциальных клиентов, поставщиков, уполномоченных и сотрудников компаний-партнёров, а также посетителей (включая онлайн-посетителей веб-сайта).

2. РОЛИ И ОТВЕТСТВЕННОСТИ

Регламент, процедуры, руководства, стандарты и образовательные мероприятия, подготовленные в соответствии с Политикой ПД, применяются в нашей Компании при консультативной поддержке Бухгалтерского отдела, а также Генеральный директор Компании назначается Ответственным по ПД. Все сотрудники и партнёры Компании обязаны сотрудничать с командами бухгалтерии в целях соблюдения Политики ПД, а также предотвращения юридических рисков и потенциальных угроз.

Обязанности Ответственного по ПД изложены ниже:

  • Разрабатывать и представлять на утверждение Совета директоров основные политики по обработке и защите персональных данных и, при необходимости, их изменения;

 

  • Определять порядок реализации и контроля соблюдения политики обработки и защиты персональных данных, осуществлять соответствующие внутренние назначения и координацию (или представлять предложения на утверждение Совета директоров);

 

  • Определять необходимые действия для обеспечения соблюдения Закона ПД и соответствующего законодательства, представлять их на утверждение Совета директоров;

 

  • Осуществлять мероприятия по повышению осведомлённости в области обработки и защиты персональных данных внутри Компании и среди деловых партнёров Компании;

 

  • Идентифицировать возможные риски в деятельности Компании по обработке персональных данных, обеспечивать принятие необходимых мер, представлять предложения по улучшению на утверждение Совета директоров;

 

  • Разрабатывать и обеспечивать реализацию обучающих программ по вопросам защиты персональных данных и реализации политик;

 

  • Рассматривать и решать обращения субъектов персональных данных;

 

  • Следить за развитием и регулированием в области защиты персональных данных, предоставлять Совету директоров рекомендации относительно необходимых мер в Компании в соответствии с такими изменениями;

 

  • Координировать отношения с Органом и Советом по защите персональных данных;

 

  • Выполнять другие задачи, порученные Советом директоров в области защиты персональных данных.

3. ОСНОВЫ ПОЛИТИКИ

 

3.1. ОСНОВНЫЕ ПРИНЦИПЫ

 С целью обеспечения и поддержания соответствия законодательству о защите персональных данных, наша Компания придерживается следующих основных принципов, указанных также в Законе ПД:

3.1.1. Обработка персональных данных в соответствии с законом и принципами добросовестности

Наша Компания осуществляет обработку персональных данных в соответствии с Конституцией Турецкой Республики, законодательством о защите персональных данных, принципами законности и добросовестности.

3.1.2. Обеспечение точности и актуальности обрабатываемых персональных данных

Наша Компания обеспечивает точность и актуальность обрабатываемых персональных данных, принимает необходимые административные и технические меры, осуществляет соответствующие процессы. В случае выявления ошибок в персональных данных, используются механизмы их исправления и подтверждения.

3.1.3. Обработка персональных данных с определённой, чёткой и законной целью

Наша Компания заранее чётко определяет законную и правомерную цель обработки персональных данных. Обработка осуществляется исключительно в связи с предоставляемыми услугами и в объёме, необходимом для их реализации. Цель обработки персональных данных устанавливается до начала процесса.

3.1.4. Обработка персональных данных, ограниченных целью обработки и в адекватном объёме

Наша Компания обрабатывает персональные данные в объёме, необходимом для реализации целей обработки. Не обрабатываются данные, не соответствующие заявленным целям или не являющиеся необходимыми. Также не обрабатываются данные на случай будущей возможной необходимости.

3.1.5. Хранение персональных данных в течение срока, предусмотренного законодательством или необходимого для цели обработки

Наша Компания хранит персональные данные в течение срока, предусмотренного законодательством, или необходимого для цели обработки. Соблюдаются сроки, установленные контрактным, трудовым, торговым, налоговым законодательством, а также в области охраны труда. По завершении срока хранения или при исчезновении цели обработки, персональные данные удаляются, уничтожаются или обезличиваются.

3.2. ОСУЩЕСТВЛЕНИЕ ДЕЯТЕЛЬНОСТИ ПО ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ В СООТВЕТСТВИИ С УСЛОВИЯМИ ОБРАБОТКИ

В деятельности Компании по обработке персональных данных соблюдаются вышеуказанные основные принципы и положения статей 5 и 6 Закона ПД, а также Положения о обработке персональных медицинских данных.

В рамках обработки персональных данных оценивается наличие соответствующих условий; при их отсутствии обработка не осуществляется. Согласно статье 20 Конституции и статьям 5 и 6 Закона ПД, персональные данные могут обрабатываться с явного согласия субъекта. Однако согласие — это лишь одно из возможных правовых оснований. При наличии одного или нескольких из следующих условий данные могут быть обработаны и без согласия:

Наша Компания обрабатывает персональные данные на следующих правовых основаниях согласно статье 5 Закона ПД:

  • Наличие явного согласия субъекта персональных данных,
  • Прямое указание на обработку в законе,
  • Необходимость обработки в связи с заключением или исполнением договора,
  • Обязательность обработки для выполнения юридических обязанностей Компании,
  • Обнародование данных субъектом,
  • Обработка, необходимая для защиты законных интересов Компании при условии, что не нарушаются основные права и свободы субъекта.

На основании статьи 6 Закона ПД обрабатываются также:

  • Данные при наличии явного согласия,
  • Если это прямо предусмотрено законом,
  • Если данные обрабатываются корпоративным врачом в целях диагностики и лечения.

 

Во всех действиях по обработке персональных данных в Компании соблюдаются положения Конституции Турецкой Республики, Уголовного кодекса, Закона ПД, другого законодательства и настоящей Политики.

3.3. ОСУЩЕСТВЛЕНИЕ ПЕРЕДАЧИ ПЕРСОНАЛЬНЫХ ДАННЫХ В СООТВЕТСТВИИ С УСЛОВИЯМИ ПЕРЕДАЧИ

Условием передачи персональных данных, как и их обработки, является наличие явного согласия субъекта. Однако в случаях, когда в Законе ПД предусмотрена возможность обработки без согласия, допускается и передача данных без согласия. В этом контексте некоторые персональные данные, обрабатываемые нашей Компанией, могут быть переданы в SGK (Социальное страхование), другим уполномоченным учреждениям, банку по договору пенсионного обеспечения, банку, где получаются зарплаты, договорному юристу, бухгалтеру, консалтинговой фирме, компании группы, туристическому агентству, компании по аренде автомобилей и поставщикам. Все передачи осуществляются в соответствии с условиями, изложенными в статье 8 Закона ПД.

3.4. ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ

 
Наша Компания принимает все необходимые меры для предотвращения незаконной обработки, раскрытия, передачи персональных данных, незаконного доступа к ним или других потенциальных угроз, исходя из характера защищаемых данных.

Ниже перечислены применяемые административные и технические меры.

3.4.1. Административные меры

 

  • Для сотрудников предусмотрены дисциплинарные положения, связанные с безопасностью данных,
  • Периодически проводятся обучающие и информационные мероприятия по вопросам безопасности данных для сотрудников,
  • Создана матрица полномочий для сотрудников,
  • Разработаны и внедрены корпоративные политики по доступу, информационной безопасности, использованию, хранению и уничтожению данных,
  • Заключаются соглашения о конфиденциальности,
  • Заключённые договоры содержат положения по безопасности данных,
  • Определены политики и процедуры безопасности персональных данных,
  • Проблемы, связанные с безопасностью персональных данных, быстро сообщаются,
  • Осуществляется мониторинг безопасности персональных данных,
  • Приняты необходимые меры безопасности при входе и выходе в физические зоны, где хранятся персональные данные,
  • Обеспечивается защита от внешних рисков (пожар, наводнение и т. д.) для таких мест,
  • Гарантируется безопасность сред, содержащих персональные данные,
  • Объём обрабатываемых персональных данных минимизируется,
  • Проводятся регулярные или выборочные внутренние аудиты,
  • Определены существующие риски и угрозы,
  • Разработаны и внедрены протоколы и процедуры по защите чувствительных персональных данных.
3.4.2. Технические меры

 

  • При передаче данных по сети используется закрытая система,
  • Приняты меры безопасности при поставке, разработке и обслуживании IT-систем,
  • Используются актуальные антивирусные программы,
  • Применяются межсетевые экраны (файрволы),
  • При передаче данных в бумажном виде принимаются дополнительные меры безопасности, документы маркируются как конфиденциальные,
  • Данные резервируются, обеспечивается защита резервных копий,
  • Определены текущие риски и угрозы,
  • Если чувствительные данные отправляются по электронной почте — они шифруются и передаются через KEP или корпоративную почту,
  • Используются безопасные ключи шифрования, управляемые разными подразделениями,
  • При передаче через USB, CD, DVD — чувствительные данные шифруются,
  • Поставщики услуг по обработке данных регулярно проходят аудит,
  • Повышается осведомлённость поставщиков по вопросам безопасности данных,
  • Применяются системы предотвращения потери данных (DLP).
3.4.3. Контрольные мероприятия по защите персональных данных

Технические и административные меры, принятые для защиты и безопасности персональных данных, а также соответствие процедурам и инструкциям контролируются бухгалтерским отделом. Эти мероприятия могут выполняться как внутренне, так и с привлечением внешних аудиторских компаний.

Результаты аудита предоставляются руководителям бухгалтерии, маркетинга, клиентского сервиса, IT-отдела и Совету директоров. Ответственные за процессы должны регулярно отслеживать исполнение действий, запланированных по итогам проверок. Бухгалтерский отдел также проводит проверки и валидационные тесты.

Независимо от результатов аудита, мероприятия по улучшению защиты данных осуществляются соответствующими операционными подразделениями Компании.

3.4.4. МЕРЫ, ПРИНИМАЕМЫЕ В СЛУЧАЕ НЕЗАКОННОГО РАСКРЫТИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ

В случае незаконного получения третьими лицами персональных данных, обрабатываемых нашей Компанией, об этом без промедления (не позднее чем в течение 72 часов) уведомляются Совет по защите персональных данных (KVK Kurulu) и субъекты данных. Если невозможно связаться с субъектами данных напрямую, уведомление о нарушении публикуется на официальном сайте Компании.

Уполномоченное лицо по ПД действует в соответствии с процедурами и правилами, изложенными в уведомлении Совета по защите персональных данных от 24.01.2019 №2019/10.

3.5. ОБЯЗАННОСТИ, СВЯЗАННЫЕ С ДЕЯТЕЛЬНОСТЬЮ ПО ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

Наша Компания обязуется соблюдать требования, предусмотренные Законом ПД для контролёров данных. Основные обязанности, подлежащие исполнению в этом контексте, перечислены ниже:

3.5.1. Обязанность по регистрации в реестре контролёров данных и уведомлению

Наша Компания зарегистрирована в Реестре контролёров данных («VERBIS») в соответствии со статьёй 16 Закона ПД и положениями Постановления о порядке ведения реестра. В VERBIS общедоступны следующие сведения:

  • Информация и адрес нашей Компании как контролёра данных,
  • Цель обработки персональных данных,
  • Категории данных и группы субъектов, чьи данные обрабатываются,
  • Лица или группы лиц, которым могут быть переданы данные,
  • Персональные данные, подлежащие передаче за границу,
  • Принятые меры по защите обрабатываемых персональных данных,
  • Максимальные сроки хранения персональных данных, соответствующие целям обработки.

 
В случае изменения зарегистрированных сведений, обновления направляются в Совет по ПД через VERBIS в течение семи дней с даты изменений.

3.5.2. Обязанность по информированию субъектов данных

В соответствии со статьёй 10 Закона ПД и Постановлением об исполнении обязанности по информированию, при получении персональных данных субъекты данных информируются посредством специальных уведомлений. В уведомлении содержится следующая информация:

  • Личность контролёра данных и, при наличии, его представителя,
  • Цели обработки персональных данных,
  • Кому и с какой целью могут быть переданы данные,
  • Методы и правовые основания получения данных,
  • Права субъектов данных, указанные в статье 11 Закона ПД.
3.5.3. Обязанность по обеспечению безопасности персональных данных

Наша Компания, осознавая необходимость обеспечения безопасности персональных данных и соблюдения основных прав и свобод субъектов, в соответствии со статьёй 12 Закона ПД:

  • Предотвращает незаконную обработку персональных данных,
  • Предотвращает незаконный доступ к персональным данным,
  • Обеспечивает сохранность персональных данных.

Для этого принимаются все необходимые технические и административные меры. Контроль за мерами безопасности осуществляется бухгалтерским отделом.

3.5.4. Обязанность выполнять решения Совета по ПД

Наша Компания обязуется соблюдать решения, принятые Советом по защите персональных данных, действующим как исполнительный орган, и исполнять их без задержек, но не позднее 30 дней с момента уведомления. Все запрошенные документы и сведения передаются не позднее 15 дней, а также предоставляется возможность для проверки на месте при необходимости.

3.5.5. Обязанность по ответу на запросы субъектов данных

В соответствии со статьёй 13 Закона ПД, наша Компания обязуется рассматривать и отвечать на запросы субъектов персональных данных в течение 30 (тридцати) дней с даты обращения. Заявления подаются через форму, доступную на сайте Компании или в приёмной. Заявление с собственноручной подписью должно быть подано лично, направлено по почте или через нотариуса на адрес:
Süleymaniye OSB Mahallesi 1. Cadde No: 27 İnegöl/Bursa,
или отправлено через KEP, защищённую электронную подпись или зарегистрированный email на [email protected].

Согласно статье 11 Закона ПД субъекты могут требовать:

  • Узнать, обрабатываются ли их персональные данные,

 

  • Запросить информацию, если данные обрабатываются,

 

  • Узнать цель обработки и использование данных по назначению,

 

  • Получить информацию о третьих лицах в стране или за рубежом, которым передаются данные,

 

  • Требовать исправления неверных или неполных данных и уведомления третьих лиц об этом,

 

  • Требовать удаления или уничтожения данных, если отпала необходимость в обработке, несмотря на то, что обработка соответствовала закону, и уведомления третьих лиц,
  • Возражать против результатов, возникших исключительно в результате автоматической обработки, если это противоречит интересам субъекта,

 

  • Требовать возмещения ущерба при нарушении законодательства о защите данных.
3.5.6. Обязанность по законной передаче и получению персональных данных

Наша Компания, в соответствии со статьёй 4 Закона ПД, обрабатывает персональные данные законно и добросовестно. В этом контексте все процессы получения и передачи персональных данных осуществляются в соответствии с законодательством.

3.5.7. Обязанность соблюдать правила хранения персональных данных

Наша Компания, в соответствии со статьёй 7 Закона ПД, приняла необходимые внутренние политики и механизмы для удаления, обезличивания или уничтожения персональных данных, если отпали основания для их обработки, даже если они были обработаны законно.

4. ПОДГОТОВКА ПОЛИТИКИ, ПРОЦЕДУР И СООТВЕТСТВУЮЩИХ РУКОВОДСТВ ПО ЗАЩИТЕ И ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

С целью обеспечения соответствия законодательству о защите персональных данных были подготовлены необходимые документы для публичного представления и внутреннего использования. Эти документы оформлены в соответствии с моделью документооборота, применяемой в Компании. В случае изменений в публичных политиках, они будут опубликованы в доступной для субъектов форме.

5. ПЕРЕСМОТР

Настоящая Политика вступает в силу с момента её утверждения Советом директоров. За исключением отмены Политики, любые изменения и порядок их вступления в силу могут быть внесены бухгалтерским отделом с разрешения Совета директоров. Изменения в Политику могут быть предложены бухгалтерским отделом и вступают в силу после одобрения Совета директоров.

В любом случае Политика пересматривается не реже одного раза в год, и при необходимости изменения выносятся на одобрение Совета директоров. Политика Компании по защите персональных данных публикуется на нашем веб-сайте и доводится до сведения общественности. В случае противоречия между положениями действующего законодательства, особенно Закона ПД, и настоящей Политикой, применяются положения законодательства.

6. ОПРЕДЕЛЕНИЯ

Ниже приведены важные определения, используемые в Политике ПД:

Обезличивание : Приведение персональных данных в форму, при которой личность субъекта невозможно определить, даже при сопоставлении с другими данными.
Постановление о порядке информирования : Постановление от 10 марта 2018 года №30356, опубликованное в Официальной газете, регулирующее порядок исполнения обязанности по информированию.
Положение об обработке персональных медицинских данных : Положение, опубликованное 20 октября 2016 года №29863 в Официальной газете, касающееся обработки и конфиденциальности персональных медицинских данных.
Персональные медицинские данные : Любая информация о физическом и психическом здоровье конкретного или определяемого лица, включая предоставленные ему медицинские услуги.
Персональные данные : Любая информация, относящаяся к определённому или определяемому физическому лицу.
Субъект персональных данных : Физическое лицо, чьи данные обрабатываются. Например: клиенты и сотрудники.
Обработка персональных данных : Любые действия, совершаемые с персональными данными — автоматическими или неавтоматическими способами: сбор, запись, хранение, изменение, передача, удаление, обезличивание и др.
Закон ПД : Закон №6698 от 24 марта 2016 года о защите персональных данных, опубликованный в Официальной газете 7 апреля 2016 года №29677.
Совет по защите персональных данных : Исполнительный орган, регулирующий сферу защиты персональных данных.
Орган по защите персональных данных : Государственный орган, отвечающий за соблюдение Закона ПД.
Чувствительные персональные данные : Данные, касающиеся расы, этнического происхождения, политических взглядов, религии, философских убеждений, внешнего вида, членства в объединениях, состояния здоровья, интимной жизни, судимости, а также биометрические и генетические данные.
Конституция Турецкой Республики : Конституция №2709, принятая 7 ноября 1982 года, опубликованная в Официальной газете от 9 ноября 1982 года №17863.
Уголовный кодекс Турции : Уголовный кодекс №5237 от 26 сентября 2004 года, опубликованный в Официальной газете от 12 октября 2004 года №25611.
Оператор обработки данных : Физическое или юридическое лицо, обрабатывающее персональные данные по поручению контролёра.
Контролёр данных : Лицо, определяющее цели и средства обработки персональных данных и управляющее системой хранения данных.
Постановление о порядке подачи заявлений контролёру : Постановление от 10 марта 2018 года №30356, регулирующее порядок подачи заявлений субъектами данных.
Реестр контролёров данных : Открытый реестр, ведётся под контролем Совета ПД при Органе по ПД. (VERBIS)
Положение о ведении реестра контролёров : Положение, вступившее в силу 1 января 2018 года, опубликованное в Официальной газете 30 декабря 2017 года №30286.

7. КАТЕГОРИИ ПЕРСОНАЛЬНЫХ ДАННЫХ, ОБРАБАТЫВАЕМЫХ НАШЕЙ КОМПАНИЕЙ

 Наша Компания обрабатывает следующие категории персональных данных, подробно указанные в «ИНВЕНТАРИЗАЦИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ»:

1 – Идентификационные данные (Имя и фамилия, имена родителей, девичья фамилия матери, дата и место рождения, семейное положение, серия и номер удостоверения личности, номер национального удостоверения и т.д.)

2 – Контактные данные (Адрес, адрес электронной почты, физический адрес, зарегистрированный электронный адрес (KEP), номер телефона и т.п.)

3 – Кадровые данные (Данные о зарплате, дисциплинарные меры, документы о приёме на работу, декларации о доходах, резюме, отчёты о результатах оценки и т.д.)

4 – Юридические документы (Информация, содержащаяся в переписке с судебными органами, в судебных делах и т.п.)

5 – Клиентские действия (Записи центра поддержки, информация о счетах, чеках, заказах, заявках и т.д.)

6 – Физическая безопасность помещений (Информация о входе и выходе сотрудников и посетителей, видеозаписи и т.п.)

7 – Финансовые данные (Бухгалтерская отчётность, показатели финансовой эффективности, кредитные и рисковые данные, информация о собственности и т.д.)

8 – Профессиональный опыт (Дипломы, посещённые курсы, служебное обучение, сертификаты, выписки оценок и т.д.)

9 – Маркетинг (История покупок, анкеты, cookie-файлы, данные, полученные в рамках рекламных кампаний и т.д.)

10 – Визуальные и аудио записи (Фотографии, видеозаписи, аудиофайлы и т.д.)

11 – Философские убеждения, религия, конфессия и другие верования (Информация о вероисповедании, конфессиональной принадлежности и т.д.)

12 – Медицинская информация (Информация об инвалидности, группа крови, личные медицинские данные, информация об используемых устройствах и протезах и т.д.)

13 – Судимость и меры безопасности (Информация о судимости, ограничительных и охранных мерах и т.д.)

14 – Одежда и внешний вид (Информация, касающаяся одежды и внешнего вида и т.д.)

15 – Биометрические данные (Отпечатки пальцев и т.п.)

16 – Прочая информация (Свидетельства о коммерческой деятельности/выписки из торгово-промышленной палаты – для участия в зарубежных выставках)

17 – Прочая информация (Коммерческие приглашения – для участия в зарубежных выставках)

18 – Прочая информация (Выписки по банковским счетам – для участия в зарубежных выставках)

19 – Прочая информация (Сертификаты участия в выставках – для участия в зарубежных выставках)

 

8. ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ НАШЕЙ КОМПАНИЕЙ

Наша Компания обрабатывает персональные данные в соответствии с целями, указанными для каждой категории данных в системе VERBIS и в нашей внутренней инвентаризации обработки персональных данных.