شركة بيرليوغلو للصناعات الغذائية والتجارة المحدودة
سياسة حماية البيانات الشخصية ومعالجتها
I. المقدمة
1.1. هدف السياسة
بناءً على المادة 20 من الدستور المتعلقة بـ "سرية الحياة الخاصة"، وقانون حماية البيانات الشخصية رقم 6698 ("القانون") والأنظمة والتعليمات النافذة، يهدف سياسة شركة بيرليوغلو للصناعات الغذائية والتجارة المحدودة ("بيرليوغلو") إلى حماية الحقوق الأساسية والحريات، بما في ذلك سرية الحياة الخاصة، ومعالجة البيانات الشخصية التي يتم الحصول عليها من قبل بيرليوغلو والتخزين والحفظ والتخلص منها عند الضرورة، وتحديد الأسس التي يجب أن يتم بها معالجة البيانات الشخصية بما يتفق مع القانون.
1.2. نطاق السياسة
كل معلومة تتعلق بشخص طبيعي محدد أو محدد بالتأكيد تعتبر بيانات شخصية من قبل بيرليوغلو كمسؤول عن المعالجة، سواء كانت هذه المعلومات تم الحصول عليها بطريقة آلية كاملة أو جزئية أو بواسطة أساليب غير آلية تكون جزءًا من نظام تسجيل بيانات، بما في ذلك التجميع والتخزين والحفظ والتعديل والتنظيم والإفصاح والنقل والاستحصال على البيانات، والتصنيف أو الاستخدام أو منع استخدامها، ويتم تعيين الأسس والإجراءات التي يجب أن تتم بها عملية معالجة البيانات التي يقوم بها بيرليوغلو في نطاق هذه السياسة.
1.3. تطبيق السياسة والتشريعات ذات الصلة
هذه السياسة تم إعدادها وفقًا للتشريعات ذات الصلة النافذة وبخاصة قانون حماية البيانات رقم 6698 والأنظمة والتعليمات والقرارات والإرشادات التي تم نشرها من قبل المجلس. في حالة حدوث تغيير في القوانين بعد تاريخ نشر هذه السياسة وجعلها غير متوافقة مع التغييرات المذكورة، ستكون الأحكام والقواعد المعدلة هي التي ستطبق.
1.4. النفاذية القانونية للسياسة
تم نشر هذه السياسة على موقع الويب الخاص ببيرليوغلو www.pirlioglu.com.tr وقد دخلت حيز التنفيذ في تاريخ النشر.
II. مواضيع ذات صلة بحماية البيانات الشخصية
2.1. ضمان أمن البيانات الشخصية
بموجب المادة 12 من القانون رقم 6698، يلتزم مسؤول المعالجة باتخاذ جميع التدابير الإدارية والتقنية اللازمة لضمان مستوى أمان مناسب لحماية البيانات الشخصية من:
- المعالجة غير القانونية للبيانات الشخصية،
- الوصول غير القانوني إلى البيانات الشخصية،
- الحفاظ على سرية البيانات الشخصية.
لهذه الأسباب، تطبق بيرليوغلو تدابير أمنية لمنع معالجة البيانات الشخصية بطرق غير مشروعة، ونقلها لأطراف ثالثة، والكشف عنها، والوصول غير المصرح به، وأي نقص في الأمان الذي قد يحدث بأي طريقة أخرى. تفاصيل التدابير الإدارية والتقنية المتخذة موجودة في قسم VI. التدابير الإدارية والتقنية المتخذة لحماية البيانات الشخصية.
2.2. حماية البيانات الشخصية ذات الطبيعة الخاصة
تعتبر البيانات الشخصية ذات الطبيعة الخاصة تلك التي إذا تم الكشف عنها قد يؤدي إلى التمييز أو الإضرار بالفرد. لذا، تحتاج هذه البيانات إلى حماية أكبر بكثير مقارنة بالبيانات الشخصية الأخرى. يمكن معالجة البيانات الشخصية ذات الطبيعة الخاصة إما بموافقة صريحة من الفرد أو في حالات محددة في القانون فقط.
وقد حدد القانون أنواع معينة من البيانات الشخصية ذات الطبيعة الخاصة، وتشمل الأنواع التالية: عرق الأفراد، الأصل العرقي، الآراء السياسية، الاعتقادات الفلسفية، الديانة، الملابس، عضوية الجمعيات أو النقابات، الصحة، الحياة الجنسية، الإدانة الجنائية وتدابير الأمن. لا يمكن توسيع تعريف البيانات الشخصية ذات الطبيعة الخاصة أو تقليصه.
III. معالجة البيانات الشخصية
3.1. معالجة البيانات الشخصية بموافقة صريحة
تعني الموافقة الصريحة المعلومات الموجهة إلى فرد معين أو إلى مجموعة من الأفراد بشكل مفصل وصريح، مثل تزويدهم بالمعلومات المتعلقة بالمعالجة والتوافق مع غرض معالجة البيانات الشخصية.
تجمع بيرليوغلو معلومات شخصية تحت إشراف وإشراف الفرد بدون تدخل لمعالجة البيانات الشخصية. يتم تحديد موافقة الموافقة من خلال آليات الكترونية أو ورقية ، حسب الحاجة.
3.2. استخدام البيانات الشخصية
يقوم بيرليوغلو بمعالجة البيانات الشخصية المحصلة لأغراض القانون، على سبيل المثال ، من خلال خدمات المنتجات والخدمات الأساسية. ويقوم بيرليوغلو بمعالجة البيانات الشخصية الشخصية للحفاظ على السرية والسلامة الفردية والجماعية.
الأسباب: منع انتقال معالجة للبيانات التي لا يمكن معالجة البيانات التي الموافقة على الحماية الفردية، او الاعفاء او استثناء او يمكن او يمكن الاستخدام المرحلة او تقييد.
لذا، تطبق بيرليوغلو الخصوصيية لمعالجة البيانات الشخصية بطرق غير مشروعة، الجهة ثالثة، ونقلها عند الاستحصال على البيانات، عليها الاطلاع على التخزين وحفظ تعديل التنظيم النظام الاجتماعي والنقل الاستخدام استخدام او النفاذ النشر الاستخدام الاستخدام النقل استخدام تقييد لنظام الحماية الاخرى.
IV. إنهاء السياسة والتشريعات ذات الصلة الخاصة
تم الإعداد من خلال النظام الذي برمته آلي تحليل جميع التطبيقات المتعلقة بحماية البيانات الشخصية ومعالجتها معلومات البيانات الشخصية على ضوء تحديد الاحتياجات التشريعية.
1.1. تحديد احتياجات التشريعية والحفاظ على اتخاذ الموقف منها التي قد يتعين على المعالجة والبيانات المحصلة ومعالجتها الحصول عليها وتصنيفها المعين أو تحديدها.
ومعالجة البيانات الشخصية والتنظيم لهذه السياسة.
1.4. للنفاذية لمنتج النشر والقانونية.
الويب خاص قد يدخل التنفيذ تاريخا.
البيانات
3.3. التسامح بشأن استصدار الموافقة الصريحة
أ) الاستثناءات المنصوص عليها في القوانين
إحدى شروط معالجة البيانات هي توقعات واضحة في القوانين بشأن إمكانية معالجة البيانات الشخصية. يمكن أن تشكل أحكام القوانين المعالجة للبيانات شرطًا للمعالجة. في مثل هذه الحالة، لا يُطلب الحصول على موافقة صريحة من الشخص ذي الصلة.
ب) العجز الفعلي
في حالات عدم إمكانية الشخص فيها التعبير عن موافقته بسبب عجز فعلي، أو عدم اعتراف قانوني بموافقته، يمكن معالجة بياناته الشخصية دون الحاجة إلى الحصول على موافقة صريحة، إذا كان ذلك ضروريًا لحماية حياته أو سلامته الجسدية أو سلامة شخص آخر.
ج) الصلة المباشرة بتأسيس أو تنفيذ عقد
في حال كانت معالجة البيانات الشخصية ضرورية لتأسيس عقد أو تنفيذه، فيجوز معالجة البيانات دون الحصول على موافقة صريحة من صاحب البيانات.
د) الالتزام بالتزامات قانونية
يمكن معالجة البيانات الشخصية دون الحصول على موافقة صريحة من صاحب البيانات في إطار تنفيذ الالتزامات القانونية التي يجب على المسؤول عن المعالجة الامتثال لها.
هـ) تعميم البيانات من قبل الشخص المعني
يمكن معالجة البيانات الشخصية التي تم تعميمها من قبل الشخص المعني دون الحاجة إلى الحصول على موافقة صريحة، بشرط أن لا تُستخدم هذه البيانات لأغراض غير مشروعة.
و) الضرورة لتأسيس واستخدام وحماية حق
في حال كانت معالجة البيانات الشخصية ضرورية لتأسيس حق أو استخدامه أو حمايته، يمكن معالجة هذه البيانات دون الحاجة إلى الحصول على موافقة صريحة.
ز) الاهتمامات المشروعة للمسؤول عن المعالجة
يمكن معالجة البيانات الشخصية دون الحصول على موافقة صريحة إذا كانت هناك مصلحة مشروعة للمسؤول عن المعالجة تستدعي المعالجة، شريطة أن لا تتعارض هذه المصلحة بشكل غير ملائم مع حقوق وحريات الأفراد المعنيين.
المصلحة المشروعة للمسؤول عن المعالجة تتعلق بالفوائد والمكاسب التي سيحققها نتيجة للمعالجة التي سيقوم بها. يجب أن تكون هذه الفوائد مشروعة وفعالة بما يكفي للتنافس مع حقوق وحريات الأفراد المعنيين، وتكون ذات صلة بالأنشطة الحالية للمسؤول عن المعالجة وستوفر فوائد في المستقبل القريب.
3.4. معالجة البيانات الشخصية الخاصة
يخضع معالجة البيانات الشخصية الخاصة للمادة 6 من القانون، ومن غير المسموح بمعالجة هذه البيانات دون الحصول على موافقة صريحة من صاحب البيانات.
البيانات الشخصية الخاصة تشمل البيانات التي تتعلق بعرق الأفراد، أصلهم العرقي، الرأي السياسي، الاعتقادات الفلسفية، الدينية، الطائفية أو الدينية، اللباس والملبس، العضوية في جمعيات العمل أو الجمعيات أو النقابات، الصحة، الحياة الجنسية، الإدانة الجنائية والإجراءات الأمنية ذات الصلة، والبيانات البيولوجية والجينية. تُعد هذه البيانات محدودة ولا يمكن توسيع تفسيرها بأي طريقة.
لأنها تحتوي من الطبيعة على بيانات شخصية خاصة، يجب أن تكون هذه البيانات محمية بشكل أكبر بكثير من غيرها من البيانات الشخصية وفقًا للقوانين.
أ) البيانات الشخصية الخاصة باستثناء الصحة والحياة الجنسية
يمكن معالجة البيانات الشخصية الخاصة باستثناء البيانات التي تتعلق بالصحة والحياة الجنسية إذا كان هناك استثناء معنون به في القوانين.
ب) البيانات الشخصية الخاصة بالصحة والحياة الجنسية
يمكن معالجة البيانات الشخصية الخاصة بالصحة والحياة الجنسية فقط من قبل أشخاص أو جهات مخولة في إطار الالتزام بحفظ صحة العامة، والطب الوقائي، والتشخيص الطبي، والعلاج والرعاية، وتخطيط وإدارة الخدمات الصحية، وفي إطار التزامات السرية.
3.5. إخطار وإعلام صاحب البيانات الشخصية
أثناء جمع البيانات الشخصية، يتم إجراء إخطار لأصحاب البيانات الشخصية من قبل Pirlioğlu كمسؤول عن المعالجة أو من خلال الأشخاص المفوضين من قبله. يتم تحديد الإجراءات والمعايير المتعلقة بالإخطار في "بيان إخطار Pirlioğlu بشأن حماية البيانات الشخصية" الذي يصدره Pirlioğlu ويشمل الإخطار ملخصًا للنقاط التالية:
● هوية المسؤول عن المعالجة وممثله إذا وجد،
● الأغراض التي ستتم معالجة البيانات الشخصية من أجلها،
● الأطراف التي يمكن نقل البيانات الشخصية إليها وأسباب نقلها،
● طريقة جمع البيانات الشخصية والأساس القانوني لذلك،
● حقوق الشخص ذي البيانات كما هو موضح في المادة 11 من القانون.
أ) هوية المسؤول عن المعالجة وممثله إذا وجد
وفقًا للمادة 10 من القانون، تُعالج البيانات الشخصية التي تم الحصول عليها من أصحاب البيانات (الأشخاص الذين يتلقون المنتج أو الخدمة، المستهلكين المحتملين للمنتج أو الخدمة، الموظفين السابقين، الموظفين الحاليين والمرشحين للوظائف، ممثلو البائعين أو الموردين، الشركاء أو الشركاء، مسؤولو Pirlioğlu، الزوار، شركاء الأعمال وأطراف أخرى معرفة) بواسطة Pirlioğlu، Pirlioğlu Kuruyemiş Gıda Sanayi ve Tic. Ltd. يمكن الحصول على التفاصيل الخاصة بالجهة المعنية من info@pirlioglu.com.tr أو من خلال www.pirlioglu.com.tr.
ب) أغراض معالجة البيانات الشخصية
تتم معالجة البيانات الشخصية لأغراض محددة وواضحة ومشروعة، وتعتمد على مبدأ إبلاغ أصحاب البيانات. يتم توضيح الأغراض التي يتم تجهيز بياناتك الشخصية من أجلها في قسم "تصنيف وأغراض معالجة البيانات الشخصية التي يتم معالجتها من قبل الشركة" في السياسة.
ج) الأطراف التي تم نقل البيانات الشخصية إليها وأسباب نقلها
يجب على المسؤول عن المعالجة أن يحدد بوضوح الأطراف التي تم نقل البيانات الشخصية إليها وأسباب نقلها وفقًا لواجبه بإخطار أصحاب البيانات بالإخطار. لا يمكن نقل البيانات الشخصية إلى أطراف ثالثة دون موافقة صريحة من صاحب البيانات. وقد تم عرض مجموعات المستلمين وأسباب نقل البيانات الشخصية من قبل Pirlioğlu في قسم "نقل البيانات الشخصية" في الجزء الرابع من السياسة.
د) طريقة جمع البيانات الشخصية والأساس القانوني لذلك
يجب على المسؤول عن المعالجة تحديد الأساس القانوني لمعالجة البيانات الشخصية وفقًا للمواد 5 و 6 من القانون، ويتم تحديد طريقة ووسيلة جمع البيانات الشخصية من قبل المسؤول عن المعالجة. يجب أن تتوافق أساليب جمع البيانات الشخصية مع الشروط القانونية للمعالجة.
تم تعدادها في 6 (ستة)، ولا يمكن توسيع هذه الشروط.
يتم تقييم ما إذا كانت أنشطة معالجة البيانات الشخصية من قبل Pirlioğlu تعتمد أساساً على أحد شروط معالجة البيانات الشخصية الأخرى بخلاف الحصول على موافقة صريحة. إذا لم تفي هذه الأغراض بأحد شروط معالجة البيانات الشخصية المذكورة في القانون، فإنه يتم اللجوء إلى الحصول على موافقة صريحة من الفرد لمواصلة أنشطة معالجة البيانات.
IV. نقل البيانات الشخصية
4.1. النقل داخل البلاد
لا يمكن نقل البيانات الشخصية دون موافقة صريحة من الفرد المعني. ومع ذلك، يمكن نقلها دون الحاجة إلى موافقة صريحة في الحالات التالية:
● الفقرة الثانية من المادة 5،
● بشرط اتخاذ التدابير الكافية، كما هو مبين في الفقرة الثالثة من المادة 6.
وبناءً على ذلك، يمكن نقل بيانات الفرد دون الحاجة إلى موافقته الصريحة إلى أطراف ثالثة إذا توفرت واحدة من الشروط المذكورة في القوانين: الإفصاح الصريح في القوانين (1)، ضرورة حماية الحياة أو سلامة الجسم للفرد أو لشخص آخر لا يمكنه الإفصاح عن موافقته بسبب العجز الفعلي أو لا يتم اعتبار موافقته صحيحة قانونيًا (2)، ضرورة معالجة البيانات الشخصية للأطراف المعنية المباشرة بتأسيس أو تنفيذ عقد (3)، ضرورة الامتثال لالتزام قانوني لمسؤول البيانات (4)، تم الإفصاح العلني عنه من قبل الفرد نفسه (5)، ضرورة معالجة البيانات الشخصية لإقامة أو استخدام أو حماية حق (6)، ضرورة معالجة البيانات الشخصية لمصلحة مشروعة لمسؤول البيانات مع الالتزام بعدم إلحاق الأذى بحقوق وحريات الفرد. في هذه الحالة، يمكن نقل بيانات الفرد دون الحاجة إلى الحصول على موافقته الصريحة إلى أطراف ثالثة.
كما يمكن نقل بيانات الفرد الشخصية الخاصة باستثناء البيانات الشخصية المتعلقة بالصحة والحياة الجنسية إلى أطراف ثالثة في الحالات المنصوص عليها في القوانين؛ بينما يمكن نقل بيانات الصحة والحياة الجنسية فقط لحماية الصحة العامة، والطب الوقائي، وتشخيص الطبي، والعلاج، وخدمات الرعاية، وتخطيط وإدارة الخدمات الصحية، وفقاً لالتزامات سرية المعلومات من قبل الأفراد أو الهيئات المخولة.
معلومات حول مجموعات المتلقين التي تم نقل بياناتك الشخصية إليها من قبل Pirlioğlu متوفرة في الفصل الرابع من هذه السياسة - الأطراف الثالثة التي تم نقل البيانات الشخصية إليها وأغراض النقل.
4.2. النقل الدولي
لا يمكن نقل البيانات الشخصية إلى خارج البلاد دون موافقة صريحة من الفرد المعني. ومع ذلك، يمكن نقلها إلى خارج البلاد بدون الحاجة إلى موافقة صريحة في حال توفر أحد الشروط المذكورة في الفقرة الثانية من المادة 5 والفقرة الثالثة من المادة 6، وتوفر الحماية الكافية في الدولة الأجنبية المعنية:
● الحماية الكافية،
● في حال عدم وجود حماية كافية، التزام مكتوب من قبل مسؤولي البيانات في تركيا والدولة الأجنبية المعنية بتوفير حماية كافية، وتوفر موافقة الهيئة.
بناءً على ذلك، يمكن نقل بيانات الفرد إلى خارج البلاد دون الحاجة إلى موافقته الصريحة.
V. تصنيف وأغراض معالجة البيانات الشخصية التي تُدار من قبل شركتنا
الأغراض التي يُراعى فيها معالجة البيانات الشخصية التي تم إرسالها إلى Pirlioğlu من قبل أصحاب البيانات المعنيين هي كما يلي:
إدارة أنشطة الإدارة في Pirlioğlu
● إدارة العلاقات مع الشركاء التجاريين والموردين
● إدارة التنظيم والفعاليات
● تنفيذ أنشطة التخطيط الاستراتيجي
● التخطيط وتنفيذ أنشطة الاتصال المؤسسي
● التخطيط وتنفيذ أنشطة الإدارة المالية
● تقديم دعم الاتصالات والإعلان والتسويق
● تقديم الدعم القانوني والاستشاري والتعليم
● تقديم الدعم التقني والتكنولوجي
● إدارة الأمن الفني والمادي
● تقديم الدعم الإداري والتنفيذي
● تحقيق الاستقرار في تحقيق أهداف الأنشطة في Pirlioğlu
إدارة الأنشطة المتعلقة بالأمن والصحة المهنية والبيئة
● إدارة الموارد البشرية
● تحليل الأنظمة والعمليات الداخلية
● الاتصالات والتسويق
● تخطيط الإنتاج
● إدارة العلاقات العامة والعلاقات العامة والعلاقات العامة والعلاقات العامة
البحث وتطوير أنشطة الابتكار
● مكافحة الاحتيال والتحقيق وإدارة المخاطر
● تخطيط البيع وإدارة العمليات
● تقديم الدعم التقني والتكنولوجي
● تقديم الدعم التقني والتكنولوجي
● تحليل الأنظمة والعمليات الداخلية
● التدريب وتطوير القدرات
وفقًا لقانون حماية البيانات الشخصية (رقم 6698) وأمر تقديم مزيد من التفاصيل والمعلومات الواجب إرسالها إلى Pirlioğlu.
أنون يتم معالجة البيانات الشخصية التي يصنفها بيرلي أوغلو وفقًا لأهداف المعالجة المذكورة أعلاه وتتم معالجتها وفقًا لشروط معالجة البيانات الشخصية المذكورة في القانون والتشريعات ذات الصلة. تم عرض تصنيف البيانات الشخصية التي تم معالجتها في هذا السياسة في الملحق 3 - أقسام البيانات الشخصية.
VI. الإجراءات الإدارية والتقنية لحماية البيانات الشخصية
يتم اتخاذ إجراءات إدارية وتقنية من قبل بيرلي أوغلو لضمان تخزين البيانات الشخصية بشكل آمن ومنع معالجتها غير القانونية والوصول غير المصرح به إليها.
يتم التقدم في تحديد المخاطر التي قد تنشأ في حالة خرق الأمن، مع الأخذ في الاعتبار ما إذا كانت البيانات الشخصية ذات الطابع الخاص (1)، والسرية المطلوبة بناءً على طبيعتها (2)، ونوع وكمية الضرر الذي قد يحدث للشخص المعني في حالة انتهاك الأمان (3).
بعد تحديد هذه المخاطر وتحديد أولويتها، يتم تقييم الخيارات للسيطرة عليها أو التخلص منها، وفقًا لمبادئ التكلفة والتطبيقية والفائدة، ويتم تخطيط وتنفيذ الإجراءات الفنية والإدارية اللازمة.
6.1. الإجراءات الإدارية
تُعد وعي الموظفين داخل منظمتنا وتوعيتهم بمخاطر الأمان الشخصي لها أهمية كبيرة في التأكد من أن هناك استجابة أولية فورية حتى عندما تكون هناك معلومات محدودة.
يتم تقديم التدريب اللازم للموظفين حول مسائل مثل عدم كشف ومشاركة البيانات الشخصية بطرق غير قانونية، ويتم إجراء جهود توعية للموظفين وإنشاء بيئة تمكن من تحديد المخاطر الأمنية، ويتم ضمان أن جميع أفراد الموظفين يدركون أدوارهم ومسؤولياتهم فيما يتعلق بأمان البيانات الشخصية، بغض النظر عن موقعهم الوظيفي.
علاوة على ذلك، يتم توقيع اتفاقيات سرية كجزء من عمليات التوظيف للموظفين، ويتم تنفيذ إجراءات تأديبية في حالة عدم امتثال الموظفين لسياسات وإجراءات الأمان.
في حال حدوث أي تغيير في سياسات وإجراءات أمان البيانات الشخصية، يتم تحديث التوعية وإجراء التدريبات لإعلام الموظفين بالتغييرات ومناقشتها.
تجدر الإشارة إلى أن البيانات الشخصية يجب أن تكون صحيحة ومحدثة حسب الضرورة وفقًا للمادة 4 (ب) و (د) من القانون، ويجب الاحتفاظ بها لمدة محددة طبقًا للتشريعات ذات الصلة أو لمدة اللازمة لأغراض المعالجة. بموجب هذا الإطار، تتم معالجة البيانات وفقًا لمبادئ وقواعد معالجة البيانات التي يجب مراعاتها في نشاط معالجة البيانات، ويتم الاحتفاظ بها لفترة اللازمة لأغراض المعالجة. تم عرض فترات الاحتفاظ بالبيانات الشخصية التي يتم معالجتها بواسطة بيرلي أوغلو في قسم VIII من هذه السياسة.
فيما يلي ملخص للإجراءات الإدارية التي تتخذ لضمان أمان البيانات:
الإجراءات الإدارية
السياسات المؤسسية (الوصول، أمان المعلومات، الاستخدام، التخزين والإزالة، إلخ.)
العقود (بين مسؤولي البيانات - مسؤولي البيانات، بين مسؤولي البيانات - المعالجين)
تعهدات السرية
التفتيشات الدورية أو العشوائية داخل المؤسسة
تحليلات المخاطر
قواعد العمل ولائحة الانضباط (بما يتوافق مع الأحكام القانونية المناسبة)
الاتصال المؤسسي (إدارة الأزمات، إعلام المجلس والأشخاص المعنيين، إدارة السمعة، إلخ.)
الأنشطة التعليمية والتوعوية (أمان المعلومات والقانون)
سياسات وإجراءات أمان البيانات الشخصية
تحديد والإبلاغ السريع عن مشاكل أمان البيانات الشخصية
متابعة أمان البيانات الشخصية
إنشاء لوائح الانضباط التي تتضمن أحكام أمان البيانات الشخصية وسياسات التصرف المناسبة
إعداد برامج للتوعية بأمان البيانات الشخصية
تنظيم تدريبات منتظمة لجميع موظفي بيرلي أوغلو
التوعية المستمرة حول تقنيات الحماية الجديدة والتهديدات
اختبارات التصيد الاحتيالي للموظفين
التحقق من خلفيات موظفين جدد والموظفين الحاليين
تحديد وتطوير المؤشرات الأمنية لأمان البيانات
تنفيذ سياسات إدارة الوصول
تطبيق تقنيات إدارة الهوية والوصول
إعداد خطط الطوارئ والرد على الحوادث
إعداد تقارير مراجعة الأمان الدورية
توثيق السياسات والإجراءات
إعداد بيانات الاتصال الداخلية والخارجية
التوثيق الموثق
سياسة التحقق والتصديق
الاختبار الأمني لمتطلبات البرمجيات
ممارسات إدارة المخاطر
تحديد الضرورة للتحقق من البيانات
اتخاذ إجراءات تصحيحية في حالة خرق البيانات
VIII. تخزين وتدمير البيانات الشخصية
8.1. مدة تخزين البيانات الشخصية
تحتفظ Pirlioğlu بالبيانات الشخصية التي تُعالجها حتى لحظة عدم الاقتضاء لنشاط معالجة البيانات، وفي حال ظهور التزام بحذف أو تدمير أو جعلها مجهولة، يتم حذفها أو تدميرها أو جعلها مجهولة خلال أول فترة دورية للتدمير بعد تاريخ ظهور التزام بحذف أو تدمير أو جعلها مجهولة.
تم تحديد فترة التدمير الدوري بحد أقصى 6 أشهر.
تلتزم Pirlioğlu بالتصرف بموجب المبادئ العامة المذكورة في المادة 4 من القانون والتدابير الفنية والإدارية المذكورة في المادة 12 عند حذف أو تدمير أو جعل البيانات الشخصية مجهولة.
يتم تسجيل جميع العمليات المتعلقة بحذف أو تدمير أو جعل البيانات الشخصية مجهولة وفقًا للتزام القانوني ويتم الاحتفاظ بها لمدة لا تقل عن 3 سنوات.
المتخصص الذي يمثل Pirlioğlu هو المسؤول عن تنفيذ ومراقبة سياسة تخزين وتدمير البيانات الشخصية.
8.2. الالتزام بحذف وتدمير وجعل البيانات الشخصية مجهولة
تحتمل Pirlioğlu حذف البيانات الشخصية التي تم معالجتها وفقًا لأحكام "لائحة حول حذف وتدمير أو جعل البيانات الشخصية مجهولة" المنشورة في الجريدة الرسمية المنشورة في 28 أكتوبر 2017 والتي تتطلب معالجة البيانات الشخصية بمجرد انتهاء الأسباب التي تستدعي هذه المعالجة أو بناءً على طلب صاحب البيانات ذات الصلة.
أ) حذف البيانات الشخصية
يشير حذف البيانات الشخصية إلى جعل البيانات الشخصية غير متاحة وغير قابلة للوصول أو الاستخدام مرة أخرى للمستخدمين ذوي الصلة.
تتم اتخاذ جميع التدابير التقنية والإدارية اللازمة لجعل البيانات الشخصية التي تم حذفها غير متاحة وغير قابلة للوصول أو الاستخدام مرة أخرى للمستخدمين ذوي الصلة.
ب) تدمير البيانات الشخصية
تدمير البيانات الشخصية يعني جعل البيانات الشخصية غير قابلة للوصول أو الاسترجاع أو الاستخدام مرة أخرى من قبل أي شخص. يجب على مسؤول المعالجة اتخاذ جميع التدابير الفنية والإدارية اللازمة لتدمير البيانات الشخصية.
ج) جعل البيانات الشخصية مجهولة
جعل البيانات الشخصية مجهولة يعني جعل البيانات الشخصية غير قابلة للتعرف على هوية الشخص بأي حال من الأحوال عن طريق مطابقتها مع بيانات أخرى.
يتم جعل البيانات الشخصية مجهولة وفقًا لسياسة تخزين وتدمير البيانات الشخصية لـ Pirlioğlu بتطبيق جميع التدابير التقنية والإدارية اللازمة وفقًا للأساليب المناسبة للحالة من بيانات الشخصية.
8.3. تقنيات حذف وتدمير وجعل البيانات الشخصية مجهولة
تقنيات حذف وتدمير وجعل البيانات الشخصية مجهولة المعالجة من قبل Pirlioğlu موضحة أدناه، ويمكن أن تختلف الطريقة المستخدمة وفقًا لطبيعة البيانات الشخصية المعالجة.
لذا، يجب أولاً تحديد البيانات الشخصية التي تخضع لعملية الحذف أو التدمير أو جعلها مجهولة (1)، ثم تحديد المستخدمين ذوي الصلة لكل بيان شخصي باستخدام مصفوفة الصلاحيات والوصول أو نظام مماثل (2)، ثم تحديد صلاحيات المستخدمين ذوي الصلة بشأن الوصول واسترجاع البيانات وإعادة استخدامها (3)، وأخيرًا، إغلاق وإزالة صلاحيات وطرق وصول المستخدمين ذوي الصلة للبيانات الشخصية (4).
الطريقة المتبعة لحذف البيانات الشخصية هي كما يلي:
● إصدار أمر الحذف في حلول السحابة أو التطبيقات،
● العمليات الأخرى للحذف المتبعة في بيئات الورق أو استخدام البرمجيات المناسبة للوسائط القابلة للنقل.
الطريقة المتبعة لتدمير البيانات الشخصية هي كما يلي:
● تدمير أو تحويل متطلبات الأمان المحددة أو بيانات الصور القابلة للنقل،
● إجراءات تدمير البيانات المقدمة بما في ذلك الخطوات المطلوبة للأمان الذاتي وأجهزة الأمان المادي.
الطريقة المتبعة لجعل البيانات الشخصية مجهولة هي كما يلي:
● البيانات الشخصية المجهولة المتبعة لتنفيذ وتقنيات المعالجة الآلية الخاصة بتحليل البيانات واستخدامها في الآلة أو برنامج الذكاء الاصطناعي.
يجب أن يتوافق مع أولويات البيانات الشخصية التي تجري المعالجة لها مع جميع القوانين واللوائح المنظمة للقوانين الوطنية والدولية في الدولة التي تقع فيها المعالجة.
المرفق - 2: أصحاب البيانات الشخصية
فئات أصحاب البيانات
الوصف
الموظف
يشير إلى الأشخاص العاملين في Pirlioğlu.
مرشح للوظيفة
يشير إلى الأشخاص الذين يقدمون طلبات عمل لـ Pirlioğlu عن طريق إرسال السيرة الذاتية أو طرق أخرى.
متدرب
يشير إلى الأشخاص الذين يتلقون تدريبًا عمليًا داخل Pirlioğlu لزيادة معرفتهم بالمهنة.
الأفراد الذين يتلقون المنتج أو الخدمة
يشير إلى الأشخاص الذين يستفيدون من الخدمات أو المنتجات التي يقدمها Pirlioğlu.
الأفراد المحتملين لاستلام المنتج أو الخدمة
يشير إلى الأشخاص الذين يظهرون اهتمامًا بخدمات أو منتجات Pirlioğlu ولديهم إمكانية تحويلهم إلى عملاء.
المورد
يشير إلى الأشخاص الطبيعيين الذين يتم منهم توريد الخدمات وموظفي الأشخاص الاعتبارية.
المساهمون / الشركاء
يشير إلى الأفراد الذين يمتلكون على الأقل سهمًا واحدًا في Pirlioğlu.
المسؤول الشركة
يشير إلى الأشخاص المفوضين من قبل Pirlioğlu للعمل نيابةً عنه في المسائل التي يحددها.
الزوار
يشير إلى الأشخاص الذين يزورون مكتبًا أو موقع الويب.
شركاء الأعمال
يشير إلى الأشخاص الطبيعيين وموظفي الأشخاص الاعتبارية الذين يتم التعامل معهم لتنفيذ تطوير الخدمات وأي نوع آخر من الأنشطة التجارية.
المرفق - 3: فئات البيانات الشخصية
معلومات الهوية
بيانات الهوية الخاصة بالأشخاص الطبيعيين. معلومات المستندات مثل رخصة القيادة، بطاقة الهوية، مكان الإقامة، جواز السفر، بطاقة المحاماة، شهادة الزواج، وما شابهها من المعلومات (مثل الرقم الوطني، رقم جواز السفر، رقم الهوية الوطنية، الاسم الكامل، الصورة، مكان الميلاد، تاريخ الميلاد، العمر، مكان الإقامة، نسخة من بطاقة الهوية القانونية)
معلومات الاتصال
المعلومات المستخدمة من قبل Pirlioğlu للتواصل مع الأشخاص (مثل رقم الهاتف، عنوان البريد الإلكتروني، عنوان الإقامة)
معلومات الحقوق الملكية
بيانات الأشخاص الطبيعيين المتعلقة بحقوق الملكية التي تحتوي عليها معلومات شخصية (مثل المعلومات المدرجة في حقوق الملكية وفقًا للقانون)
معلومات المعاملات القانونية والامتثال
البيانات التي يتم معالجتها لأداء التزامات قانونية وغيرها من الإجراءات القانونية ومتابعة الديون والمطالبات الأخرى (مثل البيانات المدرجة في قرار المحكمة أو السلطة الإدارية)
معلومات المعاملات العملاء
البيانات التي تم الحصول عليها من العملاء الذين يستشيرهم Pirlioğlu (مثل الاسم، اللقب، IBAN وما شابه)
معلومات أمن المباني الفعلي
البيانات الشخصية التي تم جمعها أثناء دخول وخروج الأشخاص من المباني وأثناء وجودهم في الفضاء الفعلي (مثل معلومات الزائرين، سجلات الكاميرات، وما شابه)
معلومات أمان المعاملات
البيانات الشخصية التي تم معالجتها لضمان أمان المعلومات وتوفير الأمن الإداري والقانوني والتجاري
معلومات عن الأصول المالية
جميع الوثائق والسجلات التي تظهر معلومات عن الأصول المالية لأصحاب البيانات الشخصية الذين تم إقامة علاقة قانونية معهم (مثل حساب العميل الجاري، ورصيد الديون والاعتمادات الأخرى، وتفاصيل الحسابات والبطاقات)
معلومات متقدمة عن مرشحي الوظائف
الاسم، تاريخ الميلاد، مكان الميلاد، التوقيع، الحالة الاجتماعية، العنوان، رقم الهاتف، الجوال، معلومات حالة المرض الهامة، الحالة الصحية، شخص يتم الاتصال به في حالات الطوارئ، رقم الهاتف للاتصال في حالات الطوارئ، معلومات الشهادة المملوكة، معلومات حالة التعلم، معلومات حالة اللغة الأجنبية، معلومات تجربة المهنية، معلومات الإحالة، ومعلومات السيرة الذاتية المرسلة ضمن السيرة الذاتية المقدمة، وملاحظات مقابلة العمل
معلومات الموظفين
البيانات المتعلقة بالشهادات والمؤهلات التي تم الحصول عليها من موظفينا (مثل معلومات شهادة التدريب، اسم الشهادة، المؤسسة التي تم الحصول منها على شهادة التدريب، مكان التدريب، اسم الدورة التدريبية / الندوة، تاريخ الشهادة، الكلية / القسم، اسم المؤسسة التعليمية التي تم فيها الدراسة، مكان الدراسة، تاريخ انتهاء التعليم، مستوى التعليم، نوع المؤسسة التعليمية التي تم فيها الدراسة، القسم الذي يعمل فيه، اسم المؤسسة التي يعمل فيها، المدينة التي يعمل فيها، البلد الذي يعمل فيه، نطاق نشاط الشركة، المجال الذي يعمل فيه في المؤسسة، تاريخ بدء العمل في الشركة وما شابه)
معلومات المعاملات الخاصة بالموظفين
جميع البيانات الشخصية المتعلقة بالمعاملات التي تقوم بها موظفينا نظرًا للنشاط الذي يقومون به بموجبه Pirlioğlu (مثل معلومات نفقات النفقات Pirlioğlu، معلومات السفر الدولي، المراسلات الإلكترونية، سجلات دخول وخروج العمل، معلومات حضور الاجتماعات وما شابه)
معلومات أداء الموظفين وتطوير المهنة
البيانات الشخصية التي يتم معالجتها في إطار إدارة تقييم أداء الموظفين وعملية تطوير مسارهم المهني (مثل التدريب الداخلي للخدمة، تقارير تقييم الأداء وما شابه)
معلومات حالة الأسرة
معلومات حالة الأسرة للموظفين
معلومات التسويق
جميع البيانات الشخصية التي يمكن استخدامها في الأنشطة التسويقية الموجهة للأفراد من قبل Pirlioğlu والتي تخدم هدف تسويق منتجات وخدمات Pirlioğlu (مثل سجلات العادات الشخصية، معلومات الاستهداف، سجلات الكوكيز وما شابه)
البيانات البصرية والسمعية
التسجيلات البصرية والسمعية المرتبطة بأصحاب البيانات الشخصية (مثل الصورة، سجلات الكاميرا والصوت وما شابه)
معلومات التفتيش والرقابة
البيانات التي تم معالجتها وفقًا للالتزامات القانونية وسياسات Pirlioğlu للامتثال (مثل تقارير التفتيش، سجلات المقابلات ذات الصلة وما شابه)
إدارة طلبات الشكاوى
معلومات Pirlioğlu المعالجة في إطار إدارة وتقييم كل نوع من أنواع الشكاوى والطلبات التي تم توجيهها إليه
البيانات الشخصية ذات الطابع الخاص
البيانات المتعلقة بالصحة والإدانة الجنائية والتدابير الأمنية
المرفق - 4: أطراف ثالثة تم نقل البيانات الشخصية إليها وأغراض النقل
الشخص / الوحدة المحولة
المدى
الغرض من النقل
المساهمون
مساهمو Pirlioğlu
نقل البيانات الشخصية بشكل محدود بين Pirlioğlu والمساهمين لتنفيذ تدفق المعلومات بين Pirlioğlu والمساهمين.
شركاء الأعمال
الأطراف التي تم إنشاء شراكة تجارية معها من قبل Pirlioğlu ضمن نطاق الأنشطة التجارية التي يديرها.
